ISBN 978–966–2970–87–6 2 page

по-третє, формалізувати зазначені вище типи дій, представивши їх моделлю, яка міститиме три головні етапи – етап вивчення певного об’єкта, етап проведення нападу на нього й етап приховування слідів нападу та, як мінімум, по дві стадії в кожному з етапів – стадію інформаційного обміну й власне стадію здійснення нападу. Останні, у свою чергу, складатимуться з, по-перше, операцій щодо обміну даними, рекогносцировки, сканування й складання карти – характерні для інформаційного обміну й, по-друге, з операцій одержання доступу, розширення повноважень, крадіжки інформації, зомбування, знищення слідів, створення “чорних ходів” і відмови в обслуговуванні – характерні для стадії здійснення нападу.

В Україні (рис. 1.3), як і у більшості інших держав світу (табл. 1.2) деструктивні інциденти у сфері високих технологій не набули ще значних масштабів.

Проте їх поява, починаючи з кінця минулого тисячоліття, вже неодноразово зафіксована й, як і для інших країн світу, дає підстави стверджувати про стійку тенденцію щодо збільшення їх кількості. Такий стан справ простежується останнім часом перш за все у сфері комп’ютерних та Internet-технологій де, найбільш популярним способом кібернападу на державні ІР, який найчастіше було реалізовано в період з 2001 по 2011 роки, було застосування кібератак, що спрямовані на порушення доступності ІР та відносяться до класу DDoS-атак (Distributed Denial of Service). Популярність даного класу кібератак пов’язана в першу чергу з технічною простотою їх реалізації та по-друге недоведеністю на практиці факту здійснення КБа суб’єктом кібернападу.

За досліджуваний період (див. рис. 1.3) серед класу DDoS-атак найбільш часто використовувалася кібератака виду HTTP-Flood (80%). Кібератака
HTTP-Flood передбачає одночасне відправлення на державний ІР, що атакується, великої множини HTTP -запитів. При цьому для даного класу кібератак найчастіше використовується така технологія: у 55% випадків – боти одночасно звертаються із запитом до державного ІР; 28% – здійснюється кібератака на різні форми авторизації; 17% – кібапратки під час яких багаторазово повторюються спроби одночасного скачування одного і того самого державного ІР.

Таким чином, виходячи з прогнозу динаміки кібернападів на державні ІР на кінець 2013 року можна зробити однозначний висновок – з 2014 року слід очікувати зростання активності кібератак порівняно з 2011 роком приблизно на 36% (зростання в 1,6 рази) та на 55% (зростання в 2,2 рази) відповідно. Слід зауважити, що прогнозовані показники можуть дещо відрізнятися від реальних, оскільки на розвиток динаміки деструктивних інцидентів на державні ІР впливають як внутрішні, так і зовнішні політико-економічні чинники.

Під внутрішнім при цьому розуміють інцидент, джерелом якого є порушник, безпосередньо пов’язаний з постраждалою стороною. Серед найпоширеніших системних подій також можна виділити: витік конфіденційної інформації; неправомірний доступ до інформації; видалення інформації; компрометацію інформації; саботаж; шахрайство за допомогою ІТ; аномальну мережеву активність; аномальне поводження бізнес-додатків; використання активів установи в особистих цілях або в шахрайських операціях. Портрет внутрішнього порушника наведено на рис. 1.4. Під зовнішнім – інцидент, джерелом якого є порушник, безпосередньо не пов’язаний з постраждалою стороною. Серед системних подій такого типу можна виділити шахрайство в системах електронного документообігу; атаки типу “відмова в обслуговуванні” (DoS), у тому числі розподілені; перехоплення й підміну трафіка; неправомірне використання бренда установи в мережі Інтернет; фішинг; розміщення конфіденційної /провокаційної/ інформації в мережі Інтернет; злом або спробу злому мережевих вузлів, сканування порталу установи або мережі, вірусні атаки; неправомірний доступ до конфіденційної інформації; анонімні листи (листи з погрозами) тощо.

Прикладами такому є:

1) події червня 1982 року, коли шляхом активації програмного забезпечення, отриманого радянськими розвідниками в Канаді, та у яке, як з’ясувалось пізніше, американці попередньо ввели помилкові дані, була проведена кібератака проти сибірського газопроводу. Після одержання команди ззовні програма перевищила режим роботи газопроводу настільки, що він вибухнув;

2) події 1995 року, коли з банку “Україна” шляхом проникнення в його мережу було викрадено майже 4 мільйони доларів, 1997 року, коли на декілька годин була заблокована робота Internet-провайдера “Глобал Юкрейн”, 2000 року, коли була зафіксована інформаційна диверсія проти Internet-провайдера “ukr.net”, лютого 2012 року, пов’язані з масованим кібернападом на державні ІР в ході виборчої кампанії в Україні;

3) міждержавні інциденти 2010 року, спричинені мережевими черв’яками Duqu, Flame та Stuxnet (таблиця 1.3). Останній був розроблений групою фахівців з Ізраїлю і США за участю представників Німеччини та Великобританії. Наслідком його деструктивних дій стало гальмування ядерної програми Ірану. Цьому сприяло виявлення вірусом програмованих логічних контролерів (ПЛК) у автоматизованій системі управління технологічними процесами станції (Supervisory Control And Data Acquisition), а також можливість використання (для впровадження особливого коду у “залізо” ПЕОМ АЕС) чотирьох, невідомих раніше уразливостей “нульової доби” (“ zero-day ”) у діючих версіях ОС Windows та двох дійсних сертифікатів від компаній Realtek і JMicron. Саме наявність останніх надавала можливість Win32 / Stuxnet тривалий час уникати антивірусних радарів. У ході детального вивчення Win32 / Stuxnet фахівці “Лабораторії Касперського” прийшли до невтішного висновку, що поява цієї шкідливої програми фактично знаменувала собою початок нової ери – ери кібервійни. За висловлюванням Є. Касперського – співзасновника і генерального директора “Лабораторії Касперського”, цей програмний засіб призначений не стільки “… для крадіжки грошей, розсилання спама або знищення особистих даних …”, скільки створений для “… виведення з ладу заводів та ушкодження промислових систем …”.

Викладене вище дає підстави стверджувати, що з моменту здобуття неза-

лежності Україна, як самодостатня і суверена держава, шляхом налагодження співробітництва з міжнародними інституціями, прагне створити комплексну систему протидії внутрішнім і зовнішнім загрозам власному інформаційному і кіберпросторам. Тим не менш, як відмічають вітчизняні і західні фахівці, нині існує ціла низка проблем, що заважають нашій державі, яка прагне до Європейського співтовариства, це зробити. До найбільш значущих серед них слід віднести:

складність структури ІКТ та національного кіберпростору;

наявність якісних відмінних рис кіберзброї від зброї звичайної;

можливість недержавних суб’єктів та неавторизованих користувачів виступити у ролі гравців в кіберпросторі та проблематичність щодо їх виявлення;

ускладненість щодо розмежування воєнних і цивільних об’єктів критичної інфраструктури держави у кіберпросторі;

можливість скритного (прихованого) проведення протиборчими сторонами кібератак та кібероперацій у кіберпросторах один одного;

деградацію науково-технічного потенціалу України, нерозвиненість національної інноваційної системи в інфосфері та низький рівень конкурентоспроможності в ній;

значну уразливість інфосфери України через надмірно широке впровадження до неї західних програмних продуктів (зокрема фірми Microsoft) та використання матеріально-технічних засобів іноземного виробництва;

непрозорість розподілу обов’язків між певними відомствами, правоохоронними органами і силовими структурами України, що спеціалізуються на проблемах кіберзахисту та їх незадовільне кадрове забезпечення кваліфікованими фахівцями з цих питань;

відсутність єдиного понятійно-термінологічного поля кібербезпеки України, як головної складової безпеки інформаційної та системних нормативно-правових документів, які б регламентували діяльність зазначених відомств, правоохоронних і силових структур у сфері кіберзахисту;

відсутність у вітчизняному законодавстві визначень перш за все таких термінів, як “кібервійна”, “кіберзахист” та “кібербезпека” (на відміну від інформаційної безпеки, сутність якої викладена у ст. 17 Конституції України), “комп’ютерна злочинність” і “комп’ютерний тероризм” (певним чином знайшли відображення у законі України “Про основи національної безпеки” та доктрині інформаційної безпеки України, а також у статті 1.1.5 проекту Річної національної програми України)

відсутність загальнонаціонального координаційного центру, який був би спроможним узгоджувати і координувати діяльність зазначених вище правоохоронних органів, силових структур і відомств щодо протидії реальним загрозам інформаційному і кіберпросторам України та керувати проведенням комплексних навчань з проблеми забезпечення кібербезпеки держави в інфосфері на кшталт навчань “ Cyber Storm ”, які проводяться в США та/або “ Cyber Europe ”, що проводяться у ЄС тощо.

Такий стан справ фактично є каталізатором для втручань в інфосферу України, результатом чого може стати порушення управління державою, її інституціями та окремими об’єктами її критично важливої інформаційної і кіберінфраструктури, виникнення техногенних катастроф тощо. Саме тому найбільш пріоритетним напрямом керівництво України вважає нині реформування власної інформаційної безпеки, доктрина якої затверджена Указом Президента України №514/209 від 8 липня 2009 року. Одним з головних завдань доктрини визначено забезпечення конфіденційності, цілісності та доступності до інформації в державних інформаційних ресурсах шляхом створення надійної системи захисту людини, суспільства та держави у цілому від впливу внутрішніх і зовнішніх, навмисних та/або випадкових кібервтручань і загроз та реагування на їх прояви.

1.2. Етапи життєвого циклу інформації та її загальні властивості

Більшість процесів життєдіяльності в суспільстві відбуваються за допомогою інформації, яка є формою зв’язку між об’єктом, що передає повідомлення і тим, хто його прийматиме. Термін “інформація” (лат. information) означає “пояснення”, “викладення”, “повідомлення”. Термін набув ужитку ще наприкінці ХІХ сторіччя, але спочатку використовувався лише відносно засобів зв’язку.

З розвитком науки і техніки інформацію почали розглядати залежно від конкретного змісту з відокремлюванням її різновидів, які стосуються різних галузей людської діяльності (рис. 1.5).

Нині під інформацією розуміють певні знання (синтезовані висновки, рекомендації тощо), які є результатом збирання, реєстрації, зберігання, передавання та перетворення інформаційних матеріалів, відомостей і даних, а також їх первинної (інформаційні матеріали), часткової (відомості) або повної (дані) обробки. Інформація – головний елемент будь-якої з функцій управління. Вона повинна відображати реальний світ, процеси, явища, використовуючи при цьому зрозумілу користувачеві мову, бути своєчасною, корисною та необхідною йому. До того ж інформація є одним із ресурсів, який:

може накопичуватися, реалізуватися та поновлюватися;

є придатним для колективного використання (на відміну від інших ресурсів);

у процесі споживання не втрачає своїх якостей.

У теорії автоматизованого оброблення інформації її розглядають як сукупність знань, що є об’єктом накопичення, реєстрації, передачі, збереження та оброблення. В економічному комплексі функціонують науково-технічна, економічна, правова, адміністративна, та інші види інформації.

Першим законодавчим актом, що стверджує інформаційний суверенітет України закріплює право громадян на інформацію закладає правові основи інформаційної діяльності і визначає правові форми міжнародного співробітництва в галузі інформації, став Закон України “Про інформацію”, прийнятий Верховною Радою України 02 жовтня 1992 року. Згідно статті 18 Закону інформація класифікується на: статистичну і масову інформацію, інформацію про діяльність державних органів влади й органів місцевого і регіонального самоврядування, правову інформацію та інформацію про особу, інформацію довідково-енциклопедичного характеру та соціологічну інформацію. Слід зазначити, що за будь-яких умов класифікацію інформації слід починати з виділення двох основних її класів – відкритої інформації та інформації з обмеженим доступом, тобто (рис. 1.6):

, (1.1)

де – множина інформаційних файлів відкритої інформації;

– множина інформаційних файлів інформації з обмеженим доступом.

Детальніше зупинимось передусім на класифікації інформації з обмеженим доступом. Виходячи з такого множину можна представити як:

, (1..2)

де – конфіденційна інформація, яка має гриф обмеження доступу “Конфіденційно” , “Для службового користування” , “Не для друку” . При цьому ; – таємна інформація, державна таємниця та інша передбачена законом таємницю (службова, військова, комерційна, банківська, лікарська, адвокатська таємниця тощо), тобто .

Потрібно відмітити, що динаміка змін грифа обмеження доступу може змінюватись як у прямому так і зворотному напрямках, а саме зміна ступеня секретності інформації може перейти в конфіденційну, а далі у відкриту інформацію і навпаки

→ → , або → . (1.3)

При обробці інформації в одній системі можна об’єднати інформацію різних грифів обмеження доступу, а пошук операцій та вибір інформації здійснювати відповідно з рівнем доступу до інформації користувача

, (1.4)

де – оператор об’єднання інформації різних грифів обмеження доступу, що представляє собою множину грифів обмеження.

Класифікація інформації з обмеженим доступом має обґрунтований характер при наявності математичної моделі такої інформації та притаманних такій інформації характерних властивостей. При створенні такої моделі та виборі способів формалізації інформації з обмеженим доступом можуть виникнути певні труднощі, які мають бути враховані джерелом її створення (головним чином виконавцем). Серед усього увагу слід зосередити на такому.

1. В основі створення інформації, яка зустрічається у першу чергу в системах електронного документообігу, лежить алфавіт

, (1.5)

як первинна множина символів.

2. На основі використання підмножини алфавіту , різних комбінацій алфавітів створюються інформаційні файли, як відповідні підмножини . Таким чином інформаційним простором є відповідна алгебра підмножин

. (1.6)

Сукупність двох об’єктів утворюють вимірний простір, який грає основну роль в інформаційних процесах. Оскільки алфавіт має скінчене число символів, то і -алгебра підмножин є також скінченою (а не -алгеброю).

3. Створення вимірного простору характерно як для відкритої інформації, так і для інформації з обмеженим доступом. А подальші операції з вимірним простором суттєво відрізняються, а саме:

– для відкритої інформації є основним інформаційним файлом і для передачі, сприймання і відповідного використання;

– для інформації з обмеженим доступом обов’язковим є використання оператора кодування тобто

. (1.7)

Таким чином, основну роль у розповсюдженні інформаційного файлу

грає оператор який дає можливість створювати інформаційні файли з обмеженим доступом. Відомо, що структура та організація оператора забезпечує виконання основних критеріїв політики інформаційної безпеки.

4. Основною умовою виконання політики інформаційної безпеки є наявність при розповсюдженні інформації з обмеженим доступом оберненого оператора , для якого має місце

а) ; б) .

5. Практична реалізація двох основних властивостей оберненого оператора базується на основних положеннях теорії інформації і така науково-технічна проблема в кожному конкретному випадку має своє рішення.

6. Незаперечним є факт, що для ентропії, як міри невизначеності інформації, має місце наступна нерівність

, (1.8)

де – інформаційний файл, що має гриф секретності “особливої важливості”;

– інформаційний файл, що має гриф секретності “цілком таємно”;

– інформаційний файл, що має гриф секретності “таємно”;

– інформаційний файл, що має іншу передбачену законом таємницю (службова, військова, комерційна, банківська, лікарська, адвокатська таємниця тощо).

Поділивши інформацію на відкриту інформацію та інформацію з обмеженим доступом Закон визначив і її правовий режим, згідно якого інформація нині поділяється на конфіденційну та таємну.

Конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюється за їх бажанням відповідно до передбачених ними умов. Конфіденційній інформації, що є власністю держави надається гриф обмеження доступу “Для службового користування”. Необхідність поставлення грифа “Для службового користування” визначається на підставі переліків: на документі – виконавцем та особою, що підписує документ; на виданні – автором (укладачем) і керівником, який підписав видання до друку. До таємної інформації належить інформація, що містить відомості, які становлять державну таємницю, а також іншу передбачену законом таємницю (службова, військова, комерційна, банківська, лікарська, адвокатська таємниця тощо), розголошення якої завдає шкоди особі, суспільству і державі. Склад і обсяг відомостей, що становлять комерційну таємницю, порядок їх захисту визначаються керівником організації. Рівень таємності визначається грифом, що присвоюється тій чи іншій інформації. В Україні в державних структурах встановлено такі рівні (грифи) таємності: несекретно, для службового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічна термінологія існує в більшості країн світу: unclassified, confidential, secret, top secret (U, C, S, TS). Така класифікація дає можливість визначити просту лінійну порядкову шкалу цінності інформації: Н < ДСК <T<ITT(U<C<S< TS). За цією шкалою відразу видно, до якої категорії інформації необхідно висувати більш високі вимоги щодо її захисту. Гриф обмеження доступу до інформації використовується, щоб показати необхідність у захисті найбільш уразливої частини інформації і визначити відповідний набір рівнів захисту та повідомити користувачам про необхідність спеціального поводження з цією інформацією. Однак через деякий проміжок часу з інформації знімається гриф обмеження доступу і вона стає загальнодоступною. Це варто взяти до уваги, тому що надмірне надання грифу обмеження доступу до інформації може привести до невиправних та додаткових витрат на її зберігання.

Як було раніше зазначено, останнім часом інформація стала найважливішим ресурсом, випереджаючи за важливістю навіть сировинні та енергетичні ресурси. Але для ефективного її використання необхідно вміти оцінювати значимість її для виконання відповідної діяльності, тобто оцінювати інформацію як об’єкт праці. Для такої оцінки необхідні показники двох видів, а саме такі, що характеризують інформацію як:

1) ресурс для забезпечення процесу отримання розв’язків різноманітних задач;

2) об’єкт звичайної праці.

Зміст показників першого виду визначається важливістю інформації в процесі розв’язання задач, а також кількістю і складом інформації, яка використовується. Під кількістю інформації тут розуміється об’єм відомостей, які використовуються в процесі розв’язання задач, причому не абсолютний їх об’єм, а їх достатність для інформаційного забезпечення конкретних задач, їх адекватність задачам. Отже, показники першого виду можуть бути такими:

важливість – це узагальнений показник, який характеризує значимість інформації з точки зору задач, для яких вона використовується, а також із точки зору організації її обробки. Тут оцінка може здійснюватися за: важливістю самих задач для даної діяльності; ступенем важливості інформації для ефективного виконання відповідних завдань; рівнем витрат при небажаних змінах інформації; рівнем витрат на відновлення порушень інформації. Слід зазначити, що для деяких видів інформації важливість можна досить точно оцінювати за так званим коефіцієнтом важливості, обчислення якого здійснюється на основі математичних, лінгвістичних або неформально-евристичних моделей;

повнота – це показник, що характеризує міру достатності інформації для розв’язання відповідної задачі. Для кількісного вираження цього показника також відомі формальні і неформальні моделі обчислення коефіцієнта повноти;

адекватність – це ступінь відповідності інформації дійсному стану тих об’єктів, які вона відображає. Адекватність залежить від об’єктивності генерування інформації про об’єкт, а також від тривалості часу між моментом генерування та моментом оцінки адекватності. Зазначимо, що для оцінки адекватності також відомі формальні і неформальні підходи, які дозволяють отримати її кількісні оцінки;

релевантність – це показник, що характеризує відповідність її потребам задачі, яка розв’язується. Відомий коефіцієнт релевантності – це відношення обсягу релевантної інформації до загального її обсягу. Існують моделі його обчислення;

толерантність – показник, що характеризує зручність сприйняття та використання інформації в процесі розв’язання відповідної задачі. Це поняття є дуже широким, невизначеним і суб’єктивним, а отже, формальних методів його оцінки поки що немає.

Якщо повернутися до показників другого виду, то слід зазначити, що для них інформація виступає: як сировина, яку добувають та обробляють, як напівфабрикат, що виникає в процесі обробки сировини або як продукт для використання. Тобто тут маємо звичайний виробничий ланцюжок: добування сировини – переробка для отримання напівфабрикатів – їх переробка для отримання кінцевого продукту. Нагадаємо, що при цьому всі стадії переробки інформації мають задовольняти показники першого виду. Зрозуміло, що тут найбільш важливими є форма або спосіб представлення інформації, а також її об’єм. Отже, як показники другого виду можуть виступати: по-перше, спосіб або система кодування інформації, тобто ефективність кодування й, по-друге, об’єм кодів, що відображають дану інформацію. Відзначимо, що методи визначення цих показників досить повно розроблені в теорії інформації.

Загальний процес обробки, зберігання, передачі і відображення інформації передбачає при цьому виконання сукупності таких взаємозалежних етапів (рис. 1.7).

Етап № 1 – цілевказівка та планування. Зазначені процедури полягають перш за все у виборі об’єкта та суб’єкта дослідження, визначені їх уразливих місць та використанні останніх для виконання поставлених завдань. При цьому в якості об’єкта дослідження може бути обраний будь-який об’єкт інфраструктури держави у відношенні якого можливе здійснення певних дій, а як суб’єкт – людина (наприклад, історична особа або діючий політик), спеціальні підрозділи та військові формування, організації та/або окремі особи, що загрожують національним інтересам, воєнно-політичне керівництво, державні та недержавні установи, промислово-фінансова еліта, технологічний ланцюг або процес створення конкретної речовини, воєнно-економічний або політичний потенціал країни, органи управління різних рівнів тощо, які мають у своєму розпорядженні електронно-обчислювальну техніку (ЕОТ), продукують в процесі функціонування або добувають важливі інформаційні матеріали (ІМ) відкритого та/або конфіденційного характеру.

Етап № 2 – первинна обробка ІМ про об’єкт дослідження. З точки зору системного підходу етап містить у собі процедури:

пошуку, збору і добування про об’єкт дослідження ІМ (рис. 1.6) – первинних, необроблених, але документально зафіксованих фактів з різних галузей знань (науки, техніки тощо), що є основою для подальшої обробки;

перекладу ІМ на державну мову та встановлення їх належності до певного інформаційного поля (ІП);

всебічної обробки зібраних (здобутих) ІМ про об’єкт дослідження, а саме їх належності до ІП, вивчення, обліку, формалізації та попереднього аналізу – тобто перетворення ІМ у відомості.

Етап № 3 – часткова обробка відомостей про об’єкт дослідження. З точки зору системного підходу етап містить у собі процедури:

збору, обліку та систематизації за певними класифікаційними ознаками відомостей про об’єкт дослідження;

оцінювання, аналізу і синтезу відомостей про об’єкт дослідження за якісними (достовірність, об’єктивність та однозначність), кількісними (повнота та релевантність) та/або ціннісними (вартість і актуальність) показниками;

накопичення та узагальнення відомостей про об’єкт дослідження – тобто перетворення відомостей у дані.

Етап № 4 – повна обробка даних про об’єкт дослідження. З точки зору системного підходу етап містить у собі процедури:

збору, обліку та систематизації за певними класифікаційними ознаками даних про об’єкт дослідження;