Блокирование информации: расследование инцидента информационной безопасности, заключение специалиста.

Блокирование информации может проявляться как во временном прекращении работы сервера организации, нарушении функционирования сети передачи данных, блокировании интернет-ресурсов (сайтов), баз данных или учетных записей.

Инциденты, связанные с блокированием информации (учетной записи, сайта, базы данных). Расследование атак.

Самыми распространенными инцидентами, приводящими к блокированию информации являются:

  • блокирование сайтов и иных ресурсов в результате совершения DoS- или DdoS-атаки;
  • неправомерный доступ, повлекший модификацию системы защиты — смену ключей или паролей;
  • модификация информации, выраженная в шифровании информации (файлов, программ, баз данных);
  • модификацию настроек сетевых устройств и программного обеспечения.

При возникновении таких инцидентов компании, как правило, несут финансовые потери. А если выводится из строя система или узел, отвечающий за информационную безопасность, то это может приводить к хищению денежных средств или конфиденциальной информации.

Блокирование информации может являться следствием атаки или умышленных действий, осуществляемых сотрудниками или конкурентами, по различным мотивам.

К сожалению, нередки случаи, когда уволенные или недовольные сотрудники совершают действия, приводящие к важно информации предприятия, нарушая нормальный режим работы и доставляя массу неприятностей.

Блокирование информации также может стать следствием выхода из строя программно-аппаратной части или сегмента сети.

Блокирование информации расследование атак на сайт ddos

Ответственность за блокирование информации

Законодательство предусматривает уголовное наказание статьями 273 и 274 УК РФ, в частности за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для блокирования компьютерной информации и нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее блокирование компьютерной информации.

Заметка эксперта:

Необходимо отметить введение новой статьи Уголовного кодекса РФ, предусматривающей более серьезное наказание за преступления:

  • создание, распространение и использование вредоносных программ;
  • неправомерный доступ к охраняемой компьютерной информации;
  • нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации;

Речь идет о статье 274.1 УК РФ. «Неправомерное воздействие на критическую информационную инфраструктуру».

В действительности, если внимательно прочитать данную статью, то становится очевидным, что она является синтезом так называемых компьютерных статей —  272, 273 и 274 УК РФ но в фокусе находится объект —  критическая информационная инфраструктура.

Законодатель мог бы добавить соответствующую часть в существующие статьи или рассматривать деяние как «повлекшее тяжкие последствия или создание угрозы их наступления», что предусмотрено последними частями упомянутых статей.

Однако, выделение отдельной статьи интересно ещё и тем, что в соответствии со ст. 151 УПК РФ «Подследственность» предварительное следствие по деяниям, предусмотренным ст. 274.1 УК РФ осуществляются следователями органов ФСБ России.

Для определения причин инцидента и установления источника угрозы проводится исследование компьютерной информации и расследование возможной кибератаки.

В ходе расследования инцидента информационной безопасности или атаки экспертами осуществляться анализ данных атакованной системы, изучение журналов и лог-файлов,  трафика. Соотносятся действия, совершаемые программным обеспечением, локальными и удаленными пользователями.

В некоторых случаях проводится информационно-техническая экспертиза программного обеспечения (приложения, скрипта, web-сайта, CMS, СУБД и прочих программных продуктов), для определения настроек,  алгоритма работы и соответствия заявленной функциональности.

Блокирование информации

Наши сотрудники осуществляют полный комплекс расследования атак, а также других инцидентов, связанных с блокированием компьютерной информации:

оперативная фиксация следов инцидента

Действия, направленные на фиксацию следов произошедшего инцидента информационной безопасности являются важным этапом комплекса мероприятий, которые в обязательном порядке проводятся с целью недопущения уничтожения, утери, искажения, перезаписи компьютерной информации, содержащей следы неправомерного действия.
Осуществляется оперативное исследование информационной системы и компьютерной техники, подготовка заключения, необходимого для обращения в правоохранительные органы.

Основываясь на большом практическом опыте, можно с уверенность говорить, что наличие готового заключения специалиста ускоряет общий процесс расследования: рассмотрения заявления о преступлении, принятие решения о возбуждении уголовного дела, установление лиц, причастных к хищению денежных средств.

обеспечение функционирования информационных процессов предприятия

С учетом необходимости обеспечения непрерывности деятельности предприятия проводятся мероприятия, направленные на ликвидацию последствий инцидента информационной безопасности, восстановление функциональности информационных систем.

анализ информационной среды с целью предотвращения дальнейших инцидентов

Анализ данных, полученных в ходе проведения расследования атаки, позволяет установить причину блокирования информации и подготовить предложения по устранению уязвимостей. Независимо от правоохранительных органов специалисты проводят расследование атаки, готовят отчет об инциденте информационной безопасности, содержащий анализ, выявленные причины и рекомендации.

При необходимости наши сотрудники совместно с правоохранительными органами осуществляют дальнейшее расследование, оказывают консультации, участвуют в качестве специалистов и экспертов при проведении оперативно-розыскных мероприятий и следственных действий.

Для корпоративных клиентов существует система абонентского обслуживания по долгосрочным договорам, предусматривающая существенные скидки при обращении в Центр Безопасности при проведении компьютерных экспертиз, исследований, расследований атак и инцидентов информационной безопасности.

Более подробную информацию о проведении экспертизы или исследовании компьютерных программ можно получить, обратившись к нашим специалистам.