Проблема одиннадцатая. ЭВМ и секретность. 11.1. Хранение секретной информации и доступ к нейНазад
Проблема одиннадцатая. ЭВМ и секретность. 11.1. Хранение секретной информации и доступ к ней
Nemo potest facere per obliquum quod поп potest facere per directum[1]
В слабо компьютеризированном обществе термин "секретность" еще обладает некоторым смыслом. Он, например, означает, что секретный документ держится втайне, его экземпляры пронумерованы. Должностное лицо может выдать вам один экземпляр, если у вас, конечно, есть так называемый допуск, при этом он запишет номер документа, получит расписку, да еще посадит работать с документом в особую закрытую комнату, и никуда вы не денетесь, пока не сдадите его. Сегодня маленький персональный компьютер и телефонная линия иногда служат средством доступа к самым секретным материалам.
Проблема секретности имеет две стороны. Во-первых, монополизация информации, сокращение системы "информационных кранов"[2], которые можно перекрыть в любой момент, и в связи с этим отсутствие заинтересованности в создании крупных межотраслевых общедоступных баз данных. Это вопрос гласности, свободы информации, т.е. вопрос политический. Во-вторых, "компьютерные кражи" совершаются с применением самых разнообразных технических средств и приобретают все более высокий технический уровень. Как обнаружить эти покушения на действительные секреты, как защитить данные, которые являются вашей собственностью, от подобного воровства?
Самой крупной и дорогостоящей из мер по обеспечению надежности и секретности процесса обработки данных грош цена, если сотрудники в целях экономии производят записи на обратной стороне рулонной бумаги с распечатывающих устройств, как это делалось в одном из офисов ведущего банка данных в Испании. Таким образом, все затраты этого банка, связанные с обеспечением надежности защиты и конфиденциальности данных, стали бесполезными в результате бездумной экономии на писчебумажных принадлежностях. "Единственное, что держится в секрете в испанских предприятиях, - сказал с иронией один из специалистов по информатике, - так это распечатки данных о зарплате руководящих кадров"[3].
Отсюда понятно, почему совершенно безнаказанно продаются данные, касающиеся граждан, находящиеся во владении крупных компаний по оказанию услуг и государственных банков данных. Нет ничего удивительного в том, что в руках у террористов была обнаружена подробная информация о частных банковских вкладах испанских граждан. Не стоит также удивляться тому, что компьютерные списки налогоплательщиков с указанными размерами выплачиваемых сумм оказались выброшенными в мусорный ящик в одном из департаментов министерства финансов Испании, вместо того чтобы быть уничтоженными[4]. Поскольку подобная безалаберность очень характерна и для нашей страны, проблема представляется достаточно актуальной.
Главной причиной, мешающей надежной защите от несанкционированного доступа к информации на предприятиях, является то, что наличие знаний в области обработки информации не всегда сопровождается ясным пониманием необходимости ее защиты. Так, любой может сравнительно легко воспользоваться терминалом компьютера и с его помощью получить, в пределах данного предприятия, доступ к постоянно увеличивающейся информации. Использование вычислительной техники становится новым средством в основном для ограбления банков. Это можно сделать, получив доступ к компьютеру, например, в выходные дни или во время обеденного перерыва. К тому же вооруженное ограбление банка чревато исключительной мерой наказания, а те, кто используют для этих же целей клавиатуру компьютера, рискуют значительно меньше.
В области защиты информации при ее обработке лишь немногие люди осознают, что сама информация представляет определенную ценность. Смета на строительство здания банка всегда предусматривает часть средств, которые тратятся на системы безопасности. Относительно же информации, которую следует охранять в той же степени, что и сами деньги в банке, ничего подобного не существует. Сложно изменить образ мыслей, так как опыт управления банками, накопленный за века, представляется весомым, а информация не является "осязаемым" ресурсом. Однако этот образ мыслей начинает меняться.
В самом деле, подсчитано, что в случае полного рассекречивания своей информационной системы 20% компаний средних размеров просуществуют всего несколько часов; 48% - несколько дней, а остальные 32% - от нескольких часов до нескольких дней; 16% крупных промышленных компаний - от нескольких часов до нескольких дней; 33% банков просуществуют несколько часов, 50% - несколько дней и 36% - от нескольких часов до нескольких дней. И тем не менее лишь 11% компаний заявляют, что они имеют в своем бюджете специальную статью ассигнований на обеспечение компьютерной безопасности[5].
Возможно ли обеспечить защиту данных в принципе? Например, если более 90% служащих учреждения заняты дистанционной работой с использованием терминалов у себя дома (а в развитых в компьютерном отношении обществах это обычная вещь)?
В мире широко применяется электронная почта. Тысячи пользователей осуществляют через нее служебные переговоры и даже пересылают секретную информацию. Можно ли при таких условиях гарантировать тайну сообщений?
Главная задача состоит в защите системы от несанкционированного доступа и постепенном достижении цели управления доступом всех лиц. Необходимо в любое время знать, кем и какая информация используется и в каких целях, что позволяет обнаружить несанкционированный доступ и прервать его до того, как он вызовет нежелательные последствия. Однако подобный уровень защиты информации в настоящее время достигается редко из-за неумения принять необходимые меры, обеспечивающие этот результат.
Желательно, чтобы следующим шагом явилось обеспечение проверки соблюдения правил защиты информации. При необходимости должны применяться санкции за несоблюдение этих правил. В первую очередь надо точно определить степень защиты информации, которую требуется обеспечить. Наличие персональных компьютеров повышает опасность проведения незаконных операций из-за значительного увеличения доступа практически ко всем видам информации.
К счастью, мы находимся накануне внедрения таких принципиально новых систем защиты информации, как, например, распознавание ударов по клавиатуре. В дальнейшем можно будет распознавать пользователя по его манере работать с клавиатурой. Независимо от того, полон ли он сил или немного устал, нервничает или спокоен, существуют константы, которые становятся неразличимыми лишь при использовании сильных наркотиков, таких, как нейролептические или антидепрессионные средства. Данная система безошибочно идентифицирует пользователя. Совместное с ней применение программных средств искусственного интеллекта позволит определить: пользователь работает с информацией как обычно или нет[6]. Для достижения этой цели требуется выяснить варианты возможного поведения, составить соответствующее программное обеспечение и, наконец, обеспечить его работу в реальном масштабе времени. Последняя задача предполагает дополнительное введение сопроцессоров, специально предназначенных для этой цели, так как нельзя допустить, чтобы программы, о которых идет речь, использовали все вычислительные ресурсы существующих ЭВМ.
Наиболее целенаправленные исследования в этих областях ведутся военными, поскольку перед ними не стоят проблемы экономической рентабельности, а требования, предъявляемые к безопасности, очень велики. Будет неплохо, если конверсия поможет гражданским пользователям применить в своей практике результаты их работ.
______________________
[1] Никто не может сделать окольным путем то, что ему не разрешено сделать прямо (лат.).
[2] См.: Грязин И.Н. Информационно-компьютерное право: отрасль права или отрасль законодательства?//Ученые записки Тартуского гос. ун-та. - Tartu ?likooli riikliku toimetised. Вып. 864. Труды по социальным проблемам кибернетики. Тарту, 1989. С. 14.
[3] El Pais. 13. Diciem.
[4] Ibid.
[5] См.: La Stampa. 1988. 13 Jul.
[6] См.: Lucey K.A. Quel avenir pour la securite?//Ressources temps reel. 1985. N 16. P. 94-95.
