6.Концептуальные ошибки и ошибки внедрения. Концептуальные ошибки могут иметь драматические последствия в процессе эксплуата ции информационной системы.
Ошибки реализации бывают в основном менее опасными и достаточ но легко устранимыми.
7.Убытки от злонамеренных действий в нематериальной сфере.
Мошенничество и хищение информационных ресурсов - это одна из форм преступности, которая в настоящее время является довольно безо пасной и может принести больший доход, чем прямое ограбление банка. Между тем, учитывая сложность информационных систем и их слабые стороны, этот вид действий считается достаточно легко реализуемым.
Нередко все начинается случайно, часто с небольшого правонаруше ния: обмана, воровства, только для того чтобы установить, что это не слишком трудное дело и в больших масштабах. Единственным препятст вием остается только совесть. Мошенничество часто имеет внутренние побудительные мотивы или совершается в корыстных целях, по догово ренности с третьими лицами (сотрудничество).
8.Болтливость и разглашение. Эти действия, последствия которых не поддаются учету, относятся к числу трудноконтролируемых и могут находиться в рамках от простого, наивного хвастовства до промышлен ного шпионажа в коммерческой деятельности - таков их диапазон.
9.Убытки социального характера. Речь идет об уходе или увольне нии сотрудников, забастовках и других действиях персонала, приводя щих к производственным потерям и неукомплектованности рабочих мест. Опасность этих действий существует почти всегда.
Особо опасный вид угроз представляет промышленный шпионаж как форма недобросовестной конкуренции.
Промышленный шпионаж - это наносящие владельцу коммерческой тайны ущерб незаконный сбор, присвоение и передача сведений, состав ляющих коммерческую тайну, а также ее носителей лицом, не уполномо ченным на это ее владельцем.
4.4. Виды потерь
Информационный ущерб может рассматриваться и с точки зрения потерь, приводящих к какой-либо убыточности, в частности в тех случа ях, когда они могут быть оценены.
1. Потери, связанные с материальным ущербом. Речь идет о компен сации или размещении утраченных или похищенных материальных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных:
•стоимость компенсации, возмещение другого косвенно утраченного имущества;
•стоимость ремонтно-восстановительных работ;
•расходы на анализ и исследование причин и величины ущерба;
•другие различные расходы.
2.Дополнительные расходы, связанные с персоналом, обслуживани ем сети и расходы на восстановление информации, связанные с возоб новлением работы сети по сбору, хранению, обработке и контролю дан ных.
Кдополнительным расходам относятся также:
•поддержка информационных ресурсов и средств удаленного доступа;
•обслуживающий персонал, не связанный с информацией;
•специальные премии, расходы на перевозку и др.;
•другие виды расходов.
3. Эксплуатационные потери, связанные с ущемлением банковских интересов, или с финансовыми издержками, или с потерей клиентов.
Расходы на эксплуатацию соответствуют снижению общего потен циала предприятия, вызываемого следующими причинами:
•снижением банковского доверия;
•уменьшением размеров прибыли;
•потерей клиентуры;
•снижением доходов предприятия;
•другими причинами.
Естественно, что информационные потери увеличивают дополни тельные расходы на их восстановление, что требует определенного вре мени. Временные задержки вызывают соответствующие претензии поль зователей, потери интересов, а иногда и финансовые санкции.
4. Утрата фондов или невосстанавливаемого имущества. Утрата фондов соответствует в общем случае уменьшению финансовых возмож ностей (деньги, чеки, облигации, вексели, денежные переводы, боны, ак ции и т. д.).
Преступные действия могут быть предприняты и в отношении счетов третьей стороны (клиенты, поставщики, государство, лица наемного тру да), а иногда даже и против капиталов. Потери собственности соответст вуют утрате материальных ценностей как складированных, так и закуп ленных, а также недвижимости.
5. Прочие расходы и потери, в частности, связаны с моральной от ветственностью.
Эта категория потерь по своему содержанию довольно разнообразна: травмы, телесные повреждения, моральный ущерб, судебные издержки, штрафы, расходы на обучение и различные эксперименты, другие виды гражданской ответственности. Сюда же можно отнести качественные по тери и другие издержки.
Ущерб может быть прямой (расходы, связанные с восстановлением системы) и косвенный (потери информации, клиентуры).
В отдельных монографиях и статьях отечественных и зарубежных ученых излагаются некоторые результаты практических исследований по определению количественных значений различных угроз информацион ным системам. Не умаляя значения других авторов, исследовавших это направление, рассмотрим подход к оценке убытков информационным системам, проведенный Ж. Ламером [34]. В своей работе Ж. Ламер так оценивает убытки ИС. Размеры ущерба, нанесенного ИС за время с 1989-го по 1990 г., характеризуются количественными показателями, приведен ными в табл. 2.7.
Таблица 2. 7. Размеры ущерба информационным системам от различных видов угроз
|
|
|
|
Виды |
ущерба |
|
Размеры |
ущерба, |
Вид |
Содержание |
|
|
млн. фр. |
||||
|
|
|
|
|||||
угрозы |
|
угрозы |
Г |
Д |
Е |
Ж |
Всего |
Процент |
|
|
|
к 1986 г. |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
А |
1 |
|
420 |
940 |
- |
100 |
|
|
2 |
|
50 |
45 |
|
|
|
||
|
3 |
|
|
1080 |
|
|
|
|
Итого |
|
|
470 |
2065 |
- |
100 |
2635 |
+21 |
|
4 |
|
- |
350 |
90 |
160 |
600 |
- 8 |
Б |
5 |
|
210 |
10 |
30 |
250 |
-17 |
|
|
6 |
|
|
650 |
50 |
200 |
300 |
+6 |
Итого |
|
|
|
1250 |
150 |
390 |
1750 |
-19 |
|
|
|
|
|
|
|
|
|
|
7 |
|
- |
650 |
1850 |
110 |
|
|
В |
8 |
|
570 |
10 |
150 |
|
|
|
9 |
|
|
1250 |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
10 |
|
|
50 |
|
|
|
|
Итого |
|
|
|
2650 |
1860 |
260 |
4670 |
+3 |
|
|
|
|
|
|
|
|
|
Всего |
|
|
470 |
5775 |
2010 |
750 |
9005 |
+5 |
|
|
+6 |
- 6 |
+5,5 |
+5 |
+0,5 |
||
|
|
|
|
|||||
Примечания:
А - происшествия. Это угроза материальным средствам информаци онной системы. Охватывает: 1 - материальный ущерб; 2 - кражи, хище ния и другие виды действий; 3 - аварии, поломки, отказы, выход из строя аппаратных и программных средств и баз данных.
Б - ошибки и непредвиденные действия. Охватывает: 4 - ошибки ввода, хранения, обработки и передачи информации; 5 - ошибки функ ционирования системы; 6 - концептуальные ошибки и ошибки внедрения (реализации).
В - вредительство: 7 - экономический шпионаж; 8 болтливость и разглашение информации; 9 - копирование программ и операционных систем; 10 - саботаж, забастовки, уход (увольнение) сотрудников.
Виды ущерба: Г - материальный ущерб различного характера; Д - дополнительные расходы на возмещение убытков; Е - финансовые убыт ки; Ж - моральный ущерб и др.
Убытки от злонамеренных действий непрерывно возрастают и явля ются наиболее значительными.
Приведенные в таблице данные обладают определенной погрешно стью (порядка 20 %), что связано в основном со сбором статистических данных.
В общем, 1990 г. отличался некоторым замедлением всех видов по терь, хотя ситуация в зависимости от различных причин довольно разно образна (происшествия - +4,8 %, ошибки - -2,6 %, злоупотребления - +8,6 %).
Следует отменить, что ущерб, превышающий 10 млн. фр., увеличился (46 против 44), при этом зарегистрирован только один случай, сумма ко торого превышает 100 млн. франков (против четырех в 1989 г.).
Убытки, связанные с происшествиями (2-я строка), зависят от разви тия парка, в частности от увеличения техники и рабочих мест, а также от разнообразия причин: пожары - 42 %; задымления, коррозия, неисправ ности - 11 %; ущерб от подтоплений - 12%; выход из строя машин - 8 %; возгорание электросетей и приборов (от грозовых разрядов и пере напряжения) - 9 %; неполадки во внешней среде - 10 %; другие случаи - 8%.
Что касается 3-й строки, различие также довольно значительное. Ти пичные аварии оборудования - 18 %; неполадки во внешней среде - 9 %; специфические неисправности оборудования - 15 %; выход из строя опе рационной системы - 10 %; неисправности сетей - 11 %; перебои в снаб жении водой - 5 %, перебои в электроснабжении - 3 %; перебои различ ного рода снабжения - 8 %; другие причины - 21 %.
Убытки, связанные с ошибками, несколько уменьшились. Это, в ча стности, относится к 4-й строке (несмотря на еще многочисленные ошиб ки маршрутизации потоков и ошибки, связанные с использованием сетей) и к 5-й сроке (здесь за счет увеличения доли автоматизации повысилось качество продукции). Вместе с тем можно отметить, что если увеличение обмена по каналам привело к улучшению показателей 4-й строки, то функциональные ошибки, которые не отражаются в этой таблице, ско рее всего имеют тенденцию к росту.
Концептуальные и внедренческие ошибки (6-я строка). Причины но сят одновременно структурный (привлечение к разработке сторонних ор ганизаций, абонементное обслуживание) и технический характер (физи ческий износ постоянно растущего числа действующих систем, обуслов ливающий проблемы восстановления или адаптации новых, более сложных систем и т. д.).
Убытки, связанные со злоупотреблениями (7-я строка). Здесь доволь но высокие показатели. По состоянию на 1989 г. они составляли: мошен ничество - 67 % и саботаж - 33 %. В свою очередь, мошенничество под разделяется: на хищение фондов - 70 %, хищение материальных ценно стей - 30 %. Последние могут быть проанализированы по отношению к социально-экономическому сектору: I - банки, страхование, социальное обеспечение, финансы - 38 %; II - промышленность, сельское хозяйст во - 28 %; III - транспорт, торговля, другие услуги - 34 %. Саботаж под разделяется, в свою очередь: на фальсификацию данных или программ - 20 %; частичный вывод из строя или частичное блокирование - 49 %; полный вывод из строя или полное блокирование - 31 %. Убытки, свя занные с вирусами, трудно поддаются оценке. В общем, они меньше 100 млн. фр. Хотя случаи их появления увеличиваются как в сетях миниЭВМ, так и в больших системах.
Убытки от разглашения и промышленного шпионажа (8-я строка) весьма значительны. Сегодня шпионаж не ограничивается только обла стью промышленности, а становится преимущественно экономическим. Особенно прогрессируют секторы торговли и финансов.
Показатели 9-й строки вновь увеличились после их падения в 1988 г. Это объясняется увеличением пиратских действий и в особенности рос том числа случаев подделки.
10-я строка имеет явную тенденцию к уменьшению приносимого ущерба.
В [4] анализируются угрозы автоматизированным информационным системам коммерческих банков. Результаты исследований, проведенных Datapro Information Service Group на основе анкетирования 1153 банков,
приведены в табл. 2.8. (В 1991, 1992, и 2001 гг. в опросе участвовало со ответственно 1102, 1153 и 1121 респондент.)
Таблица 2.8. Угрозы автоматизированным информационным системам, %
Вид угрозы |
Содержание |
угрозы |
1991 |
1992 |
2001 |
|
|
|
|
|
|
|
|
|
Стихийные бедствия |
|
|
14 |
8 |
8 |
|
Небрежность |
|
|
_ |
15 |
|
|
пользователей |
|
|
17 |
||
|
Неисправность |
|
|
_ |
|
|
Потеря связи |
учрежденческих АТС |
|
|
21 |
25 |
|
Неисправность в сетях |
|
_ |
|
|
||
|
|
|
|
|||
|
передачи данных |
|
|
46 |
46 |
|
|
Ошибки программных |
|
. |
|
55 |
|
|
средств |
|
|
39 |
||
|
Другие причины |
|
|
42 |
36 |
31 |
|
Программными средства |
|
|
|
|
|
|
ми (включая вирусы) |
|
|
22 |
44 |
64 |
|
Раскрытие пароля |
|
|
28 |
30 |
32 |
Компьютерные |
Внутренние угрозы |
|
|
4 |
|
|
преступления |
системе |
|
|
5 |
2 |
|
|
Внешние угрозы системе |
|
2 |
2 |
2 |
|
|
Возгорание компьютера |
|
2 |
1 |
1 |
|
|
Утечка информации |
|
|
9 |
11 |
17 |
Несанкциони |
|
|
|
|
|
|
рованный |
|
|
|
19 |
22 |
34 |
доступ |
|
|
|
|||
Стихийные |
Подтопление и другие |
|
3 |
|
|
|
бедствия |
причины |
|
|
3 |
3 |
|
Угрозы данным информационным системам, выраженные как причи ны потери данных в ИС [3], приведены на рис. 2.12. Анализ крупных убытков^ особенно тех, которые могут поставить под угрозу само суще ствование предприятия, показывает, что, кроме основных причин, нане сению ущерба способствовали и такие факторы, как:
•отсутствие взаимодействия между ответственными за безопасность лицами;
•несоответствие технических средств реальным потребностям безопасности;
•установка средств безопасности без глубокого изучения конкретных условий и особенностей.