Фокус на бортовые системы управления (автомобили, самолеты)

Уязвимости бортовых систем управления автомобилей и самолетов – не менее актуальная тема. По уровню своей потенциальной опасности ее можно было бы поставить на первое место, поскольку успешная реализация атак здесь ставит под прямую угрозу человеческие жизни. Но ввиду ее небольшой распространенности пока что (а это может измениться в любой момент) эта тенденция замыкает наш ТОП10. Уже давно ходят разговоры о возможных хакерских атаках на бортовые системы автомобилей и самолетов. А в октябре 2015 года директор Европейского агентства авиационной безопасности подтвердил эти опасения, заявив, что хакеры могут легко проникнуть в критичные системы. Уже в этом году, из-за непрекращающихся боевых действий в Украине, Сирии и других горячих точках планеты, главной причиной крушения гражданских бортов с сотнями невинных человеческих жертв вполне может стать не взрывчатка на борту или вражеская ракета, а хакерская атака. Все возможности для этого были уже неоднократно продемонстрированы на хакерских конференциях. Надеемся, что этого не произойдет ни в этом году, ни когда-либо в дальнейшем. Что касается взлома автомобильных систем, это уже не редкость. Так, только на конференции BlackHat в США в 2015 году были представлены два доклада – о дистанционном взломе пассажирского автомобиля и о взломе физических систем автомобиля через протоколы DAB. В 2016 году почва для автомобильных хакеров будет еще более благодатной, поскольку ведущие автомобильные производители объединяют свои усилия с ИТ-гигантами для создания «умных» систем автоматизированного управления автомобилями. Например, компания Google объявила о сотрудничестве с Ford, а Volvo разработает беспилотный автомобиль вместе с Microsoft. Также ожидается, что в этом году в Германии начнет работу цифровой автобан, на котором автомобили смогут двигаться без участия водителей и взаимодействовать друг с другом.

Несмотря на рост опасности хакерских атак, мы верим, что новый 2016 год ознаменуется также скачком в развитии проактивных систем безопасности, основанных на глобальном анализе угроз и новых алгоритмах предотвращения вторжений.

1.1.6 Меры и средства обеспечения информационной безопасности

Существуют два подхода к проблеме обеспечения безопасности компьютерных систем и сетей: фрагментарный и комплексный.

Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи либо обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживается большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

· законодательного (стандарты, законы, нормативные акты и т. п.);

· административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, касающиеся людей);

· программно-технического (конкретные технические меры).

Меры законодательного уровня очень важны для обеспечения информационной безопасности. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершает противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято. Информационная безопасность - это новая область деятельности, здесь важно не только запрещать и наказывать, но и научить, разъяснить, помочь. Общество должно осознать важность этой области, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты административно-организационного уровня являются политика безопасности и комплекс организационных мер. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов организации.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:

· управление персоналом;

· физическая защита;

· поддержание работоспособности;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.

Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.

Меры и средства программно-технического уровня. В рамках современных информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:

· идентификация и проверка подлинности пользователей;

· управление доступом;

· протоколирование и аудит;

· криптография;

· экранирование;

· обеспечение высокой доступности.

Применение стандартов. Информационные системы компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Дело в том, что на данный момент нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить и разнородной ИС надежную защиту информации, требуются специалисты высокой квалификации, которые будут отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях н системах устройств защиты, межсетевых экранов, шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.

Интероперабельность продуктов защиты является важным требованием для большинства корпоративных информационных систем. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов поставщиками средств защиты, компаниями - системными интеграторами н организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.

Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии управления безопасностью. Стандарты являются необходимой базой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетание законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам являются тем фундаментом, на котором строится вся система защиты информационных систем.

Для поиска решений проблем информационной безопасности при работе в сети Интернет был создан независимый консорциум ISTF (Internet Security Task Force) - общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронного бизнеса и провайдеров интернет-инфраструктуры. Цель этого консорциума - разработка технических, организационных и операционных руководств по безопасности деятельности в Интернете.

Консорциум ISTF выделил двенадцать областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Этот список, в частности, включает следующие пункты:

· аутентификация (механизм объективного подтверждения идентифицирующей информации);

· право на частную, персональную информацию (обеспечение конфиденциальности информации);

· определение событий безопасности (Security Events);

· защита корпоративного периметра;

· определение атак;

· контроль за потенциально опасным содержимым (Malicious Content);

· контроль доступа;

· администрирование;

· реакция на события (Incident Response).

Рекомендации ISTF предназначены для существующих или вновь образуемых компаний электронной коммерции и электронного бизнеса. Эти рекомендации помогают определить потенциальные бреши в их компьютерных сетях, которые, если не обратить на них должного внимания, могут использоваться взломщиками. Это может привести к атакам на систему электронной коммерции, потрясениям и даже к крушению электронного бизнеса. Консорциум ISTF настоятельно рекомендовал воспользоваться его наработками еще до начала организации компании, намеревающейся заняться электронной коммерцией и бизнесом.

Реализация рекомендаций консорциума ISTF означает, что защита информации в системе электронного бизнеса должна быть комплексной.

Для комплексной защиты от угроз и гарантии экономически выгодного и безопасного использования коммуникационных ресурсов для электронного бизнеса необходимо решить следующие задачи:

· проанализировать угрозы безопасности для системы электронного бизнеса;

· разработать политику информационной безопасности;

· защитить внешние каналы передачи пнформацп к обеспечив конфиденциальность, целостность и подлинность передаваемой по ним информации;

· гарантировать возможность безопасного доступа к открытым ресурсам внешних сетей и Интернета, а также общения с пользователями этих сетей;

· защитить отдельные наиболее коммерчески значимые информационные системы независимо от используемых ими каналов передачи данных;

· предоставить защищенный удаленный доступ персонала к информационным ресурсам корпоративной сети;

· обеспечить надежное централизованное управление средствами сетевой защиты.

Согласно рекомендациям ISTF и классификации «рубежей обороны» Hurwitz Group, первым и важнейшим этапом разработки системы информационной безопасности электронного бизнеса являются механизмы управления доступом к сетям общего пользования и из них, а также механизмы безопасных коммуникаций, реализуемые межсетевыми экранами и продуктами частных защищенных виртуальных сетей (VPN).

Сопровождая их средствами интеграции и управления всей ключевой информацией системы защиты (PKI - инфраструктура открытых ключей), можно получить целостную, централизованно управляемую систему информационной безопасности.

Следующий рубеж включает в себя интегрируемые в общую структуру средства контроля доступа пользователей в систему вместе с системой однократного входа и авторизации (Single Sign-On).

Антивирусная защита, средства аудита и предотвращения атак, по существу, завершают создание интегрированной целостной системы безопасности, если речь не идет о работе с конфиденциальными данными. В этом случае потребуются также средства криптографической защиты данных и электронно-цифровой подписи.

Для реализации основных функциональных компонентов системы безопасности для электронного бизнеса применяются различные методы и средства защиты информации:

· защищенные коммуникационные протоколы;

· средства криптографии;

· механизмы аутентификации и авторизации;

· средства контроля доступа к рабочим местам сети и из сетей общего пользования;

· средства борьбы с вредоносными программами и спамом;

· программы обнаружения и предотвращения атак;

· средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым сетям.

Применение комплекса средств защиты на всех уровнях корпоративной системы позволяет построить эффективную и надежную систему обеспечения информационной безопасности.

⇐ Предыдущая1234

Поделиться: