Obehörig åtkomst

Otillåten åtkomst  - tillgång till information i strid med en anställds officiella myndighet , tillgång till information som är stängd för allmänhetens tillgång av personer som inte har tillstånd att få tillgång till denna information. Otillåten åtkomst kallas också i vissa fall att få tillgång till information av en person som har rätt att få tillgång till denna information i ett belopp som överstiger vad som krävs för att utföra officiella uppgifter.

Vägledande dokument från Statens tekniska kommission "Skydd mot obehörig åtkomst. Villkor och definitioner” Arkivkopia daterad 10 oktober 2019 på Wayback Machine (godkänd genom beslut av ordföranden för Rysslands statliga tekniska kommission daterad 30 mars 1992) tolkar definitionen lite annorlunda:

Obehörig åtkomst till information (UAS)  - tillgång till information som bryter mot reglerna för åtkomstkontroll med hjälp av standardverktyg som tillhandahålls av datorteknik eller automatiserade system.

Obehörig åtkomst kan leda till informationsläckage .

Orsaker till obehörig åtkomst till information

Sätt att begå olaglig tillgång till datorinformation

Metoden för att begå brottet obehörigt tillträde  är de metoder och metoder som gärningsmännen använder när de begår en samhällsfarlig handling.

I litteraturen [1] finns det olika klassificeringar av metoder för att begå databrott:

  1. Metoder för förberedelse (motsvarar det straffrättsliga begreppet " förberedelse till brott "):
    • Insamling av information;
    • Avlyssning av e-postmeddelanden;
    • Att göra en bekantskap;
    • Avlyssning av meddelanden i kommunikationskanaler;
    • Stöld av information;
    • Mutor och utpressning.
  2. Penetrationsmetoder (motsvarar det straffrättsliga begreppet " försök till brott "):
    • Direkt inträde i systemet (genom uppräkning av lösenord);
    • Få lösenord;
    • Utnyttja svagheter i kommunikationsprotokoll.

Vissa författare [2] erbjuder en klassificering beroende på de mål som gärningsmannen eftersträvar i ett visst skede av brottet:

  1. Taktisk - utformad för att uppnå omedelbara mål (till exempel för att få lösenord);
  2. Strategisk - syftar till genomförandet av långtgående mål och är förknippade med stora ekonomiska förluster för automatiserade informationssystem.

En annan författare [3] identifierar fem sätt att begå olaglig åtkomst till datorinformation :

  1. Direkt användning av exakt den dator som autonomt lagrar och bearbetar information av intresse för brottslingen;
  2. Dold anslutning av en kriminells dator till ett datorsystem eller till ett nätverk av legitima användare via nätverkskanaler eller radiokommunikation;
  3. Sökning och användning av sårbarheter för att skydda datorsystem och nätverk från obehörig åtkomst till dem (till exempel avsaknaden av ett kodverifieringssystem);
  4. Latent modifiering eller tillägg av datorprogram som fungerar i systemet;
  5. Olaglig användning av universella program som används i nödsituationer.

Det finns en mer etablerad klassificering av metoder, som de flesta författare vägleds av [1] och som bygger på en analys av utländsk lagstiftning. Denna klassificering är baserad på metoden att använda vissa handlingar av en brottsling i syfte att få tillgång till datorutrustning med olika avsikter:

  1. Metoder för att fånga information;
  2. Metod för obehörig åtkomst;
  3. manipulationsmetod;
  4. Komplexa metoder.

Konsekvenser av obehörig åtkomst till information

I litteraturen [1] föreslås , förutom arkivkopian av den 6 april 2016 , specificerad i artikel 272 i den ryska federationens strafflagstiftning om återvägsmaskinen , en mer allmän klassificering av de möjliga konsekvenserna av detta brott:

  1. Brott mot funktioner. Innehåller fyra typer:
    • Tillfälliga överträdelser som leder till förvirring i arbetsscheman, scheman för vissa aktiviteter, etc.;
    • Systemets otillgänglighet för användare;
    • Skadad hårdvara (reparerbar och omöjlig att återställa);
    • Korruption av programvara
  2. Förlust av betydande resurser;
  3. Förlust av exklusiv användning;
  4. Brott mot rättigheter (upphovsrätt, relaterat, patent, uppfinningsrikedom).

Konsekvenserna av obehörig åtkomst till information är också:

Förebyggande av läckor

För att förhindra obehörig åtkomst till information används mjukvara och hårdvara, till exempel DLP-system .

Lagstiftning

US Computer Fraud and Abuse Act har kritiserats för att vara vag och tillåter försök att använda den för att tolka som obehörig åtkomst (med straff upp till tiotals år i fängelse) ett brott mot användarvillkoren ( sv .  användarvillkor ) för ett informationssystem (till exempel webbplats). [4] [5] Se även: Malware#Legal , Schwartz, Aaron , USA v. Lori Drew .

Se även

Anteckningar

  1. ↑ 1 2 3 Mazurov V.A. Straffrättsliga aspekter av informationssäkerhet. - Barnaul: [[Altais universitets förlag (förlag) |]], 2004. - S. 92. - 288 sid. — ISBN 5-7904-0340-9 .
  2. Okhrimenko S.A., Cherney G.A. Säkerhetshot mot automatiserade informationssystem (missbruk av programvara) // NTI. Ser. 1, Org. och metodinformation. arbete: tidning. - 1996. - Nr 5 . - S. 5-13 .
  3. Skoromnikov K.S. Utredarens guide. Utredning av brott av ökad allmän fara / Dvorkin A.I., Selivanov N.A. - Moscow: Liga Mind, 1998. - S. 346-347. — 444 sid.
  4. Ryan J. Reilly. Zoe Lofgren introducerar 'Aarons lag' för att hedra Swartz på Reddit . The Huffington Post / AOL (15 januari 2013). Hämtad 9 mars 2013. Arkiverad från originalet 11 mars 2013.
  5. Tim Wu . Fixing the Worst Law in Technology , News Desk Blog , The New Yorker . Arkiverad från originalet den 27 mars 2013. Hämtad 28 mars 2013.