Počítačová kriminalita

95 % všech počítačových zločinů, které byly odhaleny, byly odhaleny náhodou, nikoliv jako výsledek kontrolní činno...


95 % všech počítačových zločinů, které byly odhaleny, byly odhaleny náhodou,
nikoliv jako výsledek kontrolní činnosti. Seriál BVSK se blíží ke svému konci.
Mohli jste se v něm seznámit se současným stavem bezpečnosti informačních
technologií, od bezpečnostní politiky a analýzy rizik přes jednotlivé aspekty
počítačové a komunikační bezpečnosti a stavu legislativy k podrobným popisům
jednotlivých algoritmů, používaných v oblasti šifrování, při aplikaci
digitálního podpisu ap.
Mohlo by se zdát, že počítačový zločin nemůže mít při aplikaci všech dostupných
protiopatření prostor k realizaci. Opak je však pravdou.
Historie počítačového zločinu
Podívejme se na vývoj počítačové kriminality ve světě v průběhu posledních čtyř
desetiletí a všimněme si jejího nárůstu.
Počítačová kriminalita v 60. a 70. letech: Sběr údajů o zneužití počítačů
zajišťoval v USA již od r. 1958 Stanford Research Institute (SRI). V té době
byly údaje rozděleny do 4 kategorií: vandalismus namířený proti počítačovému
HW, krádež majetku nebo informací, podvod uskutečněný pomocí počítače nebo
krádež peněz, a nepřípustné použití počítače
nebo krádež a prodej počítačového času. Zaznamenaná data
nebyla významná až do r. 1968, kdy bylo podchyceno 13 případů. V r. 1977 dosáhl
počet zaznamenaných případů již 85. Statistiku vedl SRI do r. 1978.
V tomto období jsou alarmující příklady různých podvodů. V r. 1968 byl obviněn
např. viceprezident brokerské firmy z děrování speciálních datových štítků,
pomocí kterých převedl na svůj účet v průběhu 8 let 250 tis. dolarů. V jiném
případě modifikoval zaměstnanec brokerské firmy systém tak, že odesílal šeky s
dividendami na svou domácí adresu. V novinách tehdejšího počítačového podzemí
Seed se již objevuje článek, popisující technologii zničení počítače. Objevují
se rovněž četné případy magnetického vymazávání a elektronického monitorování.
Počítačová kriminalita v 80. letech: Kromě podvodů a fyzických škod dochází ke
krádežím databází, šíření virů, infiltraci logických a časových bomb, k
rozšiřování a využívání pirátského softwaru. Krádež softwaru nelegálním
kopírováním se postupně stává nejobecnějším a nejdražším typem počítačového
zločinu.
V tomto desetiletí se rovněž odehrály dva zločiny, které dosáhly značné
publicity a které vystihují počítačový zločin tohoto období. První byl podrobně
popsán v knize Kukaččí vejce: jde o skutečný příběh astronoma Clifforda Stolla,
pracujícího v Lawrence Berkeley Laboratory, a o jeho 10 měsíců probíhající
monitorování průniků do různých počítačů náhodně zjištěného vetřelce,
pojmenovaného Stollem Willy Hacker. Vetřelec se pokusil o přístup do 450
počítačů, provozovaných americkou armádou nebo jejími dodavateli a byl úspěšný
ve 30 případech. Z Willy Hackera se vyklubal počítačový profesionál ze
západního Německa s údajným propojením na KGB. Jeho sledování si vyžádalo
spolupráci více než 15 organizací včetně amerických a německých vládních úřadů
a soukromých organizací.
Případ internetového červa je rovněž obecně známý: autor červa, student R. T.
Morris, využil bezpečnostní slabiny určitého typu Unixu a jeho program se
nekontrolovaně rozšířil sítí do cca 6 000 počítačů a způsobil jejich kolaps.
Morris byl uznán vinným podle Zákona proti počítačovému podvodu a zneužití z r.
1986 (šlo o první usvědčení podle zmíněného zákona).
Počítačová kriminalita v 90. letech: Statistika amerického Národního střediska
pro údaje o počítačovém zločinu ze začátku 90. let uvádí pronikání počítačové
kriminality do 6 hlavních oblastí: nedovolený vstup 2 %, krádež služeb 10 %,
změna dat 12 %, škody způsobené na SW 16 %, krádež informací nebo programů 16
%, krádež peněz 44 %. 90. léta přinášejí s celosvětovým rozvojem Internetu i
jeho zneužití k šíření
pornografie, rasismu, propagaci výbušnin a drog, k prezentaci extremistů a
kriminálních živlů. Mezi útočníky, jejichž cílem jsou informace uchovávané na
počítačích, patří vedle profesionálních hackerů zpravodajské služby, detektivní
kanceláře, média, organizovaný zločin i političtí extrémisté.
A co u nás?
Se široce rozšířenou představou o sofistikovaných útocích dnešních
potenciálních pachatelů příliš nekoresponduje zpráva ve Večerníku Praha
uveřejněná letos v posledním srpnovém týdnu, rok po spáchaném počítačovém
podvodu. U Městského soudu byla obžalována dvojice pachatelek, 24letá dcera a
její matka, z podvodného vybrání celkové sumy 9 700 000 Kč. Do počítačového
systému vstoupila a podvod spáchala jedna z pachatelek, v době činu úřednice
Komerční banky tak, že se vydávala pomocí odpozorovaného hesla a fingovaných
podpisů za svoji kolegyni, autorizovanou uživatelku systému.
Zprávy podobného typu v denním tisku informují čas od času čtenáře o počítačové
kriminalitě, která se zaměřuje převážně na naše finanční ústavy. Závažné škody
způsobují ovšem i počítačoví piráti: ročně připraví v ČR výrobce programů o
stovky milionů dolarů.
Charakteristika počítačových zločinců
S tradiční představou počítačového zločince, teenagera ve věku 14 až 16 let,
který sám v hluboké noci připravuje jednotlivé útoky na počítačové systémy
především pro vlastní zábavu, příliš nekoresponduje statisticky zjištěná
skutečnost: věk se rozšířil až k hranici 35 i více let, pachatel je obvykle
vzdělaný, ovládající potřebné dovednosti, používá automatizované postupy delší
než 24 hod., pracuje v týmu a nezákonnou činnost obvykle neprovádí pro zábavu,
ale pro zisk. Výrazným rysem je skutečnost, že pachatel nemá dosud záznam v
trestním rejstříku. Často pracuje na místech, majících důvěru společnosti.
Krádež finančních částek provádí obvykle po menších částkách. Nechce ublížit
konkrétní osobě, ale neosobnímu zaměstnavateli, jímž se často cítí
vykořisťován. Krádež SW nebo dat považuje za jejich pouhou výpůjčku, s cílem je
později vrátit. Ženy hackeři mají svůj debut až v r. 1988.
Je úkolem vlád pečovat o bezpečnost IT?
Podívejme se, jak se k této otázce staví vláda USA. Snaha americké vlády
zajistit národní bezpečnost odpovídala vždy mezinárodnímu postavení USA. Byly
to proto vládní úřady, zejména úřady pod ministerstvem obrany, které v USA
podporovaly a řídily pokrok v počítačové bezpečnosti již od počátků vývoje
počítačů. Vysoce tajný Národní bezpečnostní úřad (NSA) byl ustaven již začátkem
50. let. Jeho úkolem bylo zajišťovat zejména komunikační bezpečnost se zřetelem
na národní bezpečnost a dále vztahy mezi Ministerstvem obrany USA a civilními
úřady, zabývajícími se počítačovou bezpečností, zejména Národním úřadem pro
normy a technologii, a komunitou prodejců.
V r. 1977 došlo také k vytvoření Národního výboru pro komunikační bezpečnost,
jehož cílem bylo rozdělit odpovědnost za komunikační bezpečnost; NSA tak
zůstala odpovědnost za ochranu klasifikovaných informací a informací
vztahujících se k národní bezpečnosti a Národní správa komunikací a informací,
podléhající Ministerstvu obchodu USA, odpovědnost za informace neklasifikované.
Direktiva NSDD 145 z r. 1984 znovu rozšířila pravomoce NSA: požadovala, aby
federální úřady ustanovily politiku, postupy a praktiky zajišťující v
počítačových systémech ochranu jak klasifikovaných, tak neklasifikovaných dat.
Nové Národní středisko pro počítačovou bezpečnost (NCSC) spolu s Radou COMSEC
pak bylo odpovědné za počítačovou bezpečnost v civilní vládní oblasti i v
komerčním světě. K dalšímu přerozdělení odpovědností došlo znovu v r. 1987, kdy
Computer Security Act definoval roli NBS (nově NIST) v ochraně citlivých
informací a roli NSA omezil na její tradiční oblast, ochranu klasifikovaných
informací.
Stav informační bezpečnosti se nevyvíjel samozřejmě v jednotlivých státech
zcela jednotně. Např. kalifornská legislativa požadovala již v 70. letech pro
každé státní výpočetní středisko funkci pracovníka specializovaného na
informační bezpečnost a Ministerstvo financí USA vyžadovalo pravidelnou
kontrolu politiky na ochranu důvěrnosti.
Odpovědnost americké vlády za počítačovou bezpečnost dokumentuje rovněž
nařízení č. 200 Národního výboru pro bezpečnost telekomunikací a informačních
systémů (NTISSP) z r. 1987, které požadovalo, aby federální úřady a jejich
kontraktoři instalovali do r. 1992 u víceuživatelských systémů obsahujících
klasifikované nebo neklasifikované, ale citlivé informace, volitelnou kontrolu
přístupu a audit na úrovni C2 Orange Book.
Legislativa a právní normy
O legislativě v oblasti počítačové bezpečnosti pojednávaly samostatné části
našeho seriálu. Pro porovnání vývoje právních norem např. se stavem u nás
uveďme několik vybraných paragrafů 18 U.S.C, které byly k dispozici v USA již v
r. 1989:
1029: zakazuje podvodné činnosti ve spojení s použitím přístupových zařízení v
mezistátním obchodě, zahrnující počítačová hesla, telefonní přístupové kódy a
kreditní karty.
1030: zakazuje vzdálený přístup s cílem defraudace v souvislosti s počítači
federálního zájmu nebo vlastněnými federální vládou a zakazuje neautorizovaný
přístup k počítači zaměstnancům společnosti.
1343: zakazuje používání mezistátních komunikačních systémů s cílem defraudace.
2512: zakazuje pořízení, distribuci, vlastnění a inzerci na průniková
komunikační zařízení.
2778 a 2510: zakazují nelegální export SW a dat, kontrolovaných Ministerstvem
obrany a Ministerstvem obchodu USA.
2701: zakazuje nezákonný přístup k elektronicky uchovávaným informacím.
Připomeňme si, že ani Evropa nebyla pozadu harmonizační snahy Rady Evropy
vyústily v doporučení o počítačovém zločinu z r. 1990. Vyjmenovává 8 povinných
konkrétních typů zločinu, mezi nimiž je např. počítačový podvod nebo
neoprávněný přístup, a 4 nepovinné, mezi něž patří např. změna počítačových dat
nebo programů a neautorizované použití počítače. U nás ovšem výslovně
počítačová ustanovení existují pouze v několika zákonech, a samostatný zákon o
zneužití počítače naše právo nezná.
Závěr
Při analýze jakéhokoliv zločinu, tedy i počítačového, je často používán v
anglosaském světě akronym MOMM Motive (motiv), Opportunity (příležitost), Means
(prostředky), Method (metoda). Nejsilněji motivují peníze, ideologie, hrozba
kompromitování. Příležitost spáchat zločin vyžaduje přístup k systému a obvykle
určité znalosti.
Počítačová kriminalita je rozsáhlá oblast a dotýká se téměř všech částí našeho
života: počítače kontrolují dodávky energie, letecký provoz, finanční služby,
na počítačích se uchovávají záznamy o našem zdraví i o kriminálních případech
samotných, při volbách se rozhoduje o budoucnosti národů. V důsledku
počítačových chyb a útoků na počítače byly ztraceny lidské životy, došlo ke
krádežím peněz i ke krádežím důvěrných informací. Hrozby proti počítačovým a
komunikačním systémům mohou mít mezinárodní a politický charakter. Moudré vlády
si toto vše uvědomují a kladou na počítačovou bezpečnost odpovídající důraz.
Ukázky angažovanosti americké vlády nebyly samoúčelné a čtenář si je jistě
porovná se situací u nás. Krátkozrakost v tomto směru může mít dalekosáhlé
následky.
8 2142 / ram









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.