Применение методов и технологий цифровых и сетевых технологий в библиотеке во многом определяет специфика среды, которую они используют. Это касается не только аппаратных, сетевых и программных средств, но и обеспечения правовых функций использования интеллектуальной собственности при организации цифрового взаимодействия читателей и библиотеки [1].

  Информация в цифровой экономике представляет собой не только важнейший ресурс организации, но и актив, который может стать источником дополнительных доходов, и потому она может статью целью кибер-преступников (хакеров) [2].

  Потери, связанные с хранением, обработкой и передачей информации приводят к дополнительным расходам, к которым относят: затраты на восстановление цифрового ресурса; расследование инцидентов в области защиты информации; нанесение ущерба бренду организации; потери, вызванные нарушением связи с партнёрами и читателями и др.

 Однако неизмеримо большие потери связаны с дестабилизацией цифрового экономического пространства библиотеки или его уничтожением хакерами. Нарушение работы инфраструктуры библиотеки может быть реализовано вследствие получения злоумышленником полного контроля над доменом и сетевым оборудованием. Для этого внешний нарушитель использует уязвимости в цифровом пространстве организации.

 Для обеспечения защищённости цифровой экономики в цифровых системах библиотеки следует применять методы и технологии информационной защиты (кибербезопасности) [3].

 Понятие информационной безопасности (защиты информации) в цифровой технологии определяют как совокупность мероприятий для защиты от угроз данных, коммуникаций и транзакций между распределёнными компонентами информационной системы.

 Защита информации направлена на предотвращение угрозы проникновения и воздействия вредоносного содержимого как на ресурсы, так и на технологии организации.

 Угроза в цифровой системе определяет потенциальную возможность нарушить безопасность информационного ресурса организации. Попытка реализации угрозы называют атакой, а предпринимающего такую попытку, определяют как «злоумышленник». Потенциальных злоумышленников характеризуют как «Источники угрозы» [4].

 Атаки могут быть предприняты в различных направлениях и иметь различные цели, однако, их нередко предпринимают с целью дестабилизации работы организации или нарушения социальной обстановки в обществе.

 Возможные угрозы в цифровой технологии обычно направлены на точки доступа к информационным ресурсам, которые определяют как уязвимые места защиты.

 Промежуток времени от момента, когда появляется возможность использовать уязвимое место в защите цифровой платформы, и до момента, когда это место будет ликвидировано, называют окном опасности.

 Для большинства уязвимых мест в системе защиты окно опасности существует достаточно долго (от нескольких дней, иногда - недель). За это время необходимо использовать соответствующие инструменты для их устранения и установки необходимых «заплат».

 Угрозы различают на временные и постоянные. Постоянные угрозы, как правило, связаны с использованием внешних ресурсов (например, информация, электричество, тепло, водоснабжение и др.), в временные ограничены временными рамками или достижением результата в определенные моменты.

  Значимость цифрового ресурса в современном мире постоянно расширяет сферу различных угроз, например, похищение с помощью шпионских программ логинов и паролей, подбор паролей по словарю, похищение паролей с помощью вредоносных программ, копирование номеров банковских карт, вымогательство и др. В качестве объектов похищения может служить информация, которую можно разделить на следующие уровни:

• - Персонал (личности) – фотографии, контакты, личные данные и т.д.;
• - Предприятия (организации) – информация о клиентах, партнёрах, продуктах, материалах и т.п.;
• - Региональные образования – данные о населении, предприятиях, планах, показателях и т.п.

   Для кражи объектов каждого из уровней злоумышленники используют соответствующие методы и ошибки при коммуникации пользователей цифровых сетей, учитывая менталитет соответствующих организационных объектов и населения.

Классификация угроз в цифровой технологии

 Источники угроз в системе информационной безопасности в цифровой технологии можно классифицировать по следующим критериям:

• - по направленности воздействия: доступность, целостность и конфиденциальность информации;
• - по компонентам информационного ресурса, на которые эти угрозы нацелены: данные, программы, аппаратура, и т.п.;
• - по способу осуществления: случайные или преднамеренные действия, природного или техногенного характера;
• - по расположению источника угроз: внутри или вне системы информационного управления;
• - по состоянию объектов организации: небрежность персонала, отказ информационной системы, недостаточная организационная культура сотрудников предприятия и др.

  Сотрудники организации – самое слабое звено в системе безопасности. Наиболее частыми и наиболее опасными (до 65% потерь) источниками угроз становятся ошибки персонала, пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные ресурсы организации [5].

 Количество инцидентов информационной безопасности, связанных с использованием цифровой технологии во многом определяет число источников угроз, основными среди которых служат:

• - Электронная почта и Веб-сервис – одни из основных способов доставки заражённого содержимого;
• - Программы, находящиеся в Интернете, автоматические выполняющие какие-либо действия на компьютерах вместо людей (Боты и их перенастраиваемые формы);
• - Рекламный траффик, в том числе спам и рекламные сообщения, демонстрируемые пользователям при просмотре веб-контента;
• - Траффик социальных сетей и видео-сервисов;
• - Мобильные устройства (смартфоны и планшеты);
• - Организация резервного копирования;
• - Превышения уровня привилегий читателями библиотеки;
• - Уровень компетенций ответственного персонала и его численность и др.

Кибератаки на информационный ресурс библиотеки

 Одним из способов проведения атак на информационный ресурс библиотеки (кибер-атака) служит внедрение в атакуемые системы через уязвимости вредоносного программного обеспечения (ВПО).

 В мире каждый день появляется большое количество новых видов ВПО, которые имеют ограниченную длительность своего существования ВПО «нулевого дня» и более сложные ВПО, однако  более 90% взломов совершают с использованием традиционных уязвимостей [6].

 Массовая вредоносная активность использует также атаки без применения ВПО, пытаясь остаться на долго незамеченными во внутренних сетях компании (non-malware атака). Подобные атаки позволяют контролировать компьютеры без загрузки каких-либо файлов и использовать доверенные собственные средства операционной системы или использовать запущенные приложения (например, офисные или веб-браузеры) для компрометации сети.

 Особое место в ВПО занимают программы-вымогатели, которые одновременно заражают сотни и даже тысячи компьютеров одновременно.

 Выделяют следующие особенности вредоносного программного обеспечения: вредоносная функция; способ распространения; внешнее представление.

 Спектр вредоносных функций неограничен, они предназначены чаще всего для получения контроля над атакуемой системой, агрессивного потребления информационных ресурсов предприятия, изменения или разрушения программного обеспечения и базы данных и др.

 Способ распространения вредоносного содержимого определяет объект, на который ориентирована атака. Здесь и использование трудностей в организации различных мероприятий бизнеса, и взлом доверенного информационного ресурса, и проникновение с использованием сайтов партнёров по бизнесу и др.

 Внешнее представление вредоносной программы также определяет жертва кибер-атаки. Это могут быть и игры, и нелицензионные программы, и интересные сайты, позволяющие копировать необычную информацию и т.п. Форму представления вируса  преступник подстраивает под интересы «жертвы».

Механизмы распространения вредоносного программного обеспечения

 По механизму распространения ВПО различают на «вирусы», «черви» и «боты» [7].

 Под вирусом программного обеспечения понимают программный код, обладающий способностью к распространению путём внедрения в другие программы. Разновидность программного может вызвать нестандартное поведение цифровой платформы и он долго может оставаться незамеченным.

 Другая разновидность вирусов получила название «Эксплойт». Она начинает вредоносную активность, используя разрешённые приложения (например .pdf – программы и файлы), которые позволяют скачивание вредоносной программы, а затем выполняют кражу данных, шифрование дисков, уничтожение данных и др.

 Понятие «червь» определяет программный код (программу), способный самостоятельно, вызывать распространение своих копий а среде программного обеспечения и их выполнение (для активизации такого кода требуется запуск заражённой программы). Программы-черви ориентированы в первую очередь на распространение по сети.

 Бот представляет собой программу, автоматически выполняющую определённые действия в цифровой информационной среде, чаще всего в Интернете. Существенная часть атак связана с применение программ ботов, которые остаются в спящем состоянии до момента удалённой активации по предопределённому действию компьютера-«жертвы» или до определённого момента времени.

 Программы-вирусы распространяются локально в пределах узла корпоративной сети, используя пересылку заражённого файла. Распространение ВПО может вызвать агрессивное потребление информационных и материальных ресурсов, что может привести к выходу из строя не только программы, но и аппаратное обеспечение.

 Вредоносный код, который по своим характеристикам выглядит как полезная программа, называют троянским. Обычная программа, поражённая троянским вирусом, становится источником вируса. Одновременно она может стать подобием «зомби», а хакеры, используя несколько сотен, а то и десятки тысяч таких «зомби», вызывают сбой в работе цифровой платформы. Нередко троянские программы распространяют злонамеренно, используя привлекательную программную упаковку.

 Для ликвидации вредоносной программы следует обновлять базы данных с помощью антивирусных программ, что определяют как «закрытие окна опасности».

 Угроза целостности информационного ресурса, как правило, исходит от сотрудников организаций, знакомых с режимом работы и мерами защиты. Она связана нередко с кражами и подлогами. Для ликвидации этой угрозы системы защиты цифровой платформы регистрируют каждое обращение к информационным ресурсом со стороны персонала организации [3].

 Различают статическую и динамическую целостность программного и информационного обеспечений. С целью нарушения статической целостности злоумышленник может ввести неверные оперативные исходные данные или удалить важную информацию, что особенно опасно для систем управления технологическими процессами и для Интернета вещей (IoT), которые также начнут использовать в библиотеках.

Угрозы целостности информационного ресурса

 Угрозами динамической целостности служат нарушения процесса прохождения транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений. Такие действия в сетевой среде называют активным прослушиванием.

  Различают следующие основные способы доставки вредоносного содержимого внутрь защищённого периметра информационной системы: социальные мероприятия, использование доверенного ресурса, проникновение с использованием сайтов партнёров, фишинговые письма, посредством программного обеспечения.

 При использовании планируемого социального мероприятия  злоумышленник на веб-сайте организатора находит информацию о проводимом мероприятии и его участниках. Во время мероприятия злоумышленник по телефону он просит выслать ему по соответствующей ссылке от него материалы мероприятия. Организаторы мероприятия, не подозревая атаки, открывают ссылку и посылают на вымышленный адрес злоумышленника соответствующий материал. В ранее открытой ссылке содержится вредоносное ПО, которое автоматически будет загружено на сервер организатора мероприятия.

 Проникновение с использованием доверенных ресурсов предполагает использование интересных для предприятия цифровых продуктов. При этом эти цифровые ресурсы предварительно были заражены злоумышленником, поэтому ссылки на эти ресурсы, отправленные другим сотрудникам компании, да и сама жертва автоматически загружает себе вредоносное содержимое при работе с ресурсом [5].

 Использование веб-сайтов партнёров для заражения сайта компании предполагает поиск веб-сайтов, тех партнёров предприятия, которые недостаточно защищены. Злоумышленник заражает веб-сайт партнёра и загружает вредоносное содержимое в один из документов, направляемый партнёром по используемой технологии в компанию. После получения легитимного письма и работы с ним станция сотрудника компании заражена.

 Фишинговые письма, (spear-phishing) используют следующую ситуацию: злоумышленник посылает файл, с распространённым именем и имеющий известное расширение (например, pdf) и просит сохранить его на рабочем столе, нажав кнопку «Разрешить редактирование» . Это действие адресата и запускает вирус.

 Проникновение вируса с помощью программного обеспечения может проходить в процессе скачивания дистрибутива ПО, как правило не с веб-сайта производителя, а с альтернативного ресурса. Такое ПО может содержать фрагмент вредоносного содержимого, который инфицирует объект.

 Атаки на смартфоны связаны с уязвимостями в их операционной сети (например, OC Android), что связано с передачей во вне излишней информации, позволяя проводить с устройством различные операции без ведома пользователя.

 

  Рис. 1. Структура действий злоумышленника при подготовке и осуществлении кибер-атаки

  Такие атаки могут иметь следующую структуру: злоумышленник взламывает сеть (например WiFi), к которой подключён пользователь, затем прослушивает трафик и идентифицирует установленные на устройстве приложения. После этого он запускает целевую атаку, используя выявленную уязвимость и осуществляет перекачку необходимых данных, например логины/пароли, данные о финансах и их движении и др.

  Последовательность действий злоумышленника при проникновении и эксплуатации вредоносного содержимого ПО можно представить в виде модели, представленной на рисунке. Действия злоумышленника можно показать в виде следующей последовательности действий: доставка вредоносного содержимого, хранение зашифрованного файлах, получение адреса командного сервера, передача информации о компьютере «жертвы», шифрование собранной информации, обход программ и устройств защиты, получение доступа к периметру защиты, поиск доступа в соседние доступные системы и передача собранной информации в командный центр. Каждый этап содержит следующие операции [8]:

• - Доставка вредоносного содержимого:
•               Вредоносные вложения в электронную почту,
•               Вредоносное содержимое файлов (.doc, pdf),
•               Вредоносное содержимое исполняемых файлов (.exe, .scr),
•               Вредоносное содержимое архивных файлов (.rar),
•               Страница с приглашением с заранее заражённым сайтом,
•               Интеграция вредоносного кода в Java-коде.

• - Хранение зашифрованного файла в машине «жертвы» в виде зашифрованного файла;
• - Инициация ботом соединения во вне с целью получения адреса командного сервера (CnC server), соединение с IP-адресом доверенного ресурса, что позволяет обойти средства блокировки ботов (black list). На инфицированную станцию передают в кодированном виде адрес командного сервера. Инфицированная станция выполняет обращение на командный сервер, включаясь в инфицированную бот сеть и передавая управление злоумышленникам;
• - Передача информации о компьютере «жертвы»: имя страницы, локальный IP-адрес, домен, дату и время, версию почтового клиента, версию ОС, регистрацию всех нажатий, снимки с экрана, данные из адресной почтовой книги;
• - Шифрование собранной информации;
• - Обход программ и устройств защиты (брандмауэра или песочницы). Для этого выполняется функция 999999990 раз, после завершения которой она запускается ещё раз, сравнивая текущие значения с предыдущими. В случае их совпадения функция закрывает процесс вредоносного содержимого без его выполнения;
• - Получение доступа к периметру защиты организации с помощью общеситемных команд DOS, например, dir C:\Program File;
• - Поиск доступа в соседние доступные системы;
• - Собранную информацию помещают в архивный файл и передают на командный центр.

   Для уменьшения информационных рисков и угроз при использовании цифровых методов и технологий необходимо в библиотеке необходимо реализовать комплекс организационных и технологических мероприятий направленных на защиту информационного ресурса, которые определяют возможные действия персонала библиотеки и читателей, препятствующие несанкционированному доступу к информации, её искажению или уничтожению, от физического или программного воздействия, вызывающего дестабилизацию технологических процессов и системы управления деятельностью организации [8].

  Защита информации должна предотвращать угрозы проникновения и воздействия вредоносного содержимого, как на информационные ресурсы, так и на цифровые технологии библиотеки.

 

Список источников

1. 1. Меняев М.Ф. Цифровая экономика – новая форма организации общества //Электронный научный журнал «Культура: теория и практика» 2019. Выпуск 1 (28), http://theoryofculture.ru/issues/102/
2. 2. Малюк, А.А. Защита информации в информационном обществе: Учебное пособие для вузов / А.А. Малюк. - М.: ГЛТ, 2015. - 230 c.
3. 3. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c.
4. 4. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Academia, 2017. - 336 c.
5. 5. Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2016. - 368 c.
6. 6. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2017. - 304 c.
7. 7. Меняев М.Ф. Информационный менеджмент: учебник. / М.Ф. Меняев. – Москва: Издательство МГТУ им. Н.Э. Баумана, 2017. – 301 с.
8. 8. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2017. - 416 c.

Сведения об авторе

Меняев Михаил Фёдорович, доктор педагогических наук, Московский государственный технический университет им. Н.Э.Баумана

К оглавлению выпуска