Безопасность систем и сетей: От модели оценки угроз до преступлений

Количество утечек информации в результате умышленных действий персонала стремительно возрастает, несмотря на повышение требований по защите информации и увеличение объёма внедряемых защитных решений.

 

Фото: https://avatars.mds.yandex.net/i?id=dfa8f8c3d91be59f9e124a9e96f5d23c_l-4936795-images-thumbs&n=13

 

«Positive Technologies», 2018 год: 82% промышленных организаций не готовы противостоять внутреннему нарушителю.

«СёрчИнформ», 2020 год: На долю рядовых сотрудников приходится до 80% утечек, и только четверть инцидентов носила непреднамеренный характер.

«Infowatch», 2023 год: Персонал причастен к 79% утечек информации. В 70% случаев утечки были следствием умышленных действий.

«Solar», 2025 год: Объем утекших у российских компаний данных за первые девять месяцев 2025 года вырос в 138 раз по сравнению с аналогичным периодом 2024 года.

 Утечки данных – чем дальше, тем страшнее.

 

Рисунок: https://t.me/RFI_Ru/28419?ysclid=mgszv3gowp2076613

ТАСС, ссылаясь на судебную статистику: Число приговоров за госизмену в России в 2024 году выросло в четыре раза.

«Первый отдел»: До 2022 года суды в России выносили в среднем один приговор о госизмене и шпионаже в месяц. В 2023 году в месяц выносили уже 14 приговоров, в 2024 году – 30. В первой половине 2025-го – 39. С января по июнь 2025 года фигурантами дел о госизмене, шпионаже и конфиденциальном сотрудничестве с иностранным государством стали 232 человека. Учитывая, что за первые шесть месяцев 2025 года в России было 117 рабочих дней, получается, что в среднем суды отправляют за решетку двух человек (1,98) ежедневно.

 

1. Динамика, при которой сигнал на выходе увеличивается пропорционально сигналу на входе системы, свойственна кибернетической модели управления с положительной обратной связью.

Представьте себе автомобиль без тормозов. Чем больше усилие на педаль газа, тем выше скорость и вероятность катастрофы на опасном повороте.

Отсутствие отрицательной обратной связи (тормоза), которая корректирует работу исполнительного механизма и устраняет ошибку между эталонным значением и сигналом на выходе приводит к саморазрушению системы. Двигатель, работающий без отрицательной обратной связи пойдёт «вразнос». Работа системы «вразнос» позволяет судить о потере управления.

Сегодня публично рассуждать о причинах потери управления допустимо исключительно в границах, установленных государством, что не мешает пониманию читателем сущности наблюдаемого явления и использованию полученных знаний для остановки начавшегося разрушения.

Причины работы системы «вразнос» будут рассмотрены на примере одного обязательного к исполнению официального документа.

 

2. Военные строят оборону, исходя из оценки вероятного характера действий противника.

Защитники информации строят защиту системы или сети, исходя из оценки вероятного характера действий нарушителей. Результаты оценки отражаются в Модели угроз безопасности информации. Ошибки, допущенные при оценке, приводят к росту утечек информации в результате непринятия требуемых мер защиты.

Порядок оценки определён «Методикой оценки угроз безопасности информации», утверждённой 05.02.2021 ФСТЭК России.

 

Скриншот: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g

 

 Регулирующий механизм методики влияет на ошибки. 

Будем считать, что официально опубликованная методика не содержит лингвистических неопределённостей.

Методика ставит целью оценки угроз безопасности информации «определение актуальных угроз безопасности». Можно ли грозить-угрожать-высказывать угрозу информации, абстрактный смысл которой до сих пор однозначно не определён наукой, не говоря уже о безопасности этого абстрактного объекта популярно разъяснено в блоге Г.А. Атаманова «Агасофия».

Оставив авторам методики ответ на вопрос о последствиях лингвистической неопределённости обозначенной цели, сформулируем цель методики в доступном для понимания виде самостоятельно, применив терминологию из публикации «Критическая инфраструктура или КИИ?»: 

Методика описывает последовательность оценки опасных для субъектов права событий, вызванных антропогенным воздействием с использованием информационных технологий на системы или сети, принадлежащие субъектам.

 

3. Результаты оценки используются для выбора мер защиты тех компонентов автоматизированной системы или сети, которые участвуют в обработке защищаемой информации.

Компоненты, интерфейсы которых доступны нарушителю, будут для него объектом воздействия, а для тех, кто защищает эти компоненты – объектом защиты.

Компоненты автоматизированной системы – это персонал и комплекс средств, автоматизирующий процессы и операции трудовой деятельности персонала. 

Персонал, как привилегированные и непривилегированные пользователи системы или сетей – объект воздействия согласно пункту 4.3. методики и объект защиты, носитель информации и компонент, который управляет комплексом средств автоматизации.

Однако, это теория. На практике вместо пункта 4.3. применяется Приложение № 1 к методике.

В приложении объектом воздействия определён уже не персонал, а программное, программно-аппаратное или техническое средство.

Персонал и информационные процессы не отнесены к объектам защиты, в том числе:

– пунктом 17 утверждённых приказом ФСТЭК России от 25.12.2017 № 239 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;

– пунктом 7 утверждённых приказом ФСТЭК России от 14.03.2014 № 31 Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;

– пунктом 7.4. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

В приказе ФСТЭК России от 11.04.2025 № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» объекты защиты не определены от слова «совсем».

В результате опасное воздействие на персонал выходит за границы моделирования и не оценивается, а меры защиты персонала не принимаются. 

 

4. Человек уязвим. Знающий уязвимость способен управлять человеком. Управление возможно в целях нарушителя. Осведомлённость заинтересованного нарушителя об уязвимости кратно выше осведомленности полномочных органов, чей интерес возникает постфактум, когда персонал под управлением нарушителя совершил противоправное деяние.

Страх незащищённого персонала, вызванный опасностью использования нарушителем уязвимости, кратно сильнее страха перед ответственностью за противоправное деяние.

По соотношению «цена-качество» несанкционированный доступ к системе и обрабатываемой информации уступает перспективе, открывающейся при воздействии на уязвимости персонала. 

Воздействие на уязвимости персонала в преследуемых нарушителем целях позволяет:

– правовыми и административными мерами нейтрализовать меры по технической защите информации;

– преодолеть физическую защиту системы, задействовав персонал для несанкционированной передачи, разглашения и хищения подлежащей защите информации;

– создать условия для нарушения управления автоматизируемыми производственными и управленческими процессами;

– целенаправленно изменить поведение системы управления субъектов права.

 

5. Воздействие на персонал выполняется не техническими, а психологическими способами для сознательного или бессознательного выполнение персоналом желаемых установок, норм, законов или требований.

Интерфейсом воздействия в этом случае будет уязвимость персонала.

Психологическое воздействие на персонал выполняется в рамках личных, служебных и договорных отношений.

Последствием психологического воздействия станет причинение ущерба субъектам права:

а) физическому лицу:

– подчинение нарушителю против воли;

– унижение достоинства личности;

– создание условий для требуемого нарушителю взаимодействия;

– изменение мировоззрения, посредством подмены терминов, понятий, сокращений и смыслов;

– изменение должностных обязанностей, прав, полномочий и ответственности;

– нарушение иных прав и свобод гражданина, закреплённых в Конституции РФ и в федеральных законах;

б) юридическому лицу:

– формирование социальных групп и сообществ с изменённым мировоззрением;

– изменение организационно-штатной структуры и функций подразделений;

– изменение схемы взаимодействия подразделений и органов управления организации;

– нарушение порядка принятия решений;

– дискредитация работников;

– утрата доверия;

в) государству:

– нарушение законодательства.

 

6. В методике, несмотря на прямое соответствие, не приводится алгоритм оценки соответствия между нарушителем, преследуемыми нарушителем целями, влиянием субъекта права на экономику и жизнеобеспечение и статусом лиц-объектов воздействия.

Масштаб ущерба, который стремится причинить нарушитель, определяется влиянием субъекта права на экономику и жизнеобеспечение или влиянием статуса лиц на работу этого субъекта.

«Слон мышей не давит».

Мотивировать исполнителя на несанкционированную передачу, хищение или разглашение информации, или на нарушение работоспособности информационного ресурса в стратегических целях, проще и безопаснее через лиц, управляющих исполнителем.

В тактических целях нарушитель воздействует на исполнителя непосредственно.

В результате отсутствия в методике алгоритма оценки актуальным нарушителем ошибочно признаётся нарушитель, цели которого не будут достигнуты при воздействии на компоненты системы, вместо лиц, которые психологически воздействуют на персонал.

 

7. Несмотря на отсутствие оценки опасного воздействия на персонал, методикой требуется определять возможность сговора внутренних нарушителей с тремя внешними: специальные службы иностранных государств; террористические, экстремистские группировки; преступные группы (криминальные структуры).

Внесём ясность и повысим осведомленность в этом вопросе.

Субъективные понятия, применяемые в методике, не учитывают терминологию российского права.

Статьёй 33 УК РФ соучастниками преступления вместе с исполнителем признаются организатор, подстрекатель и пособник.

Согласно статьи 35 УК РФ:

– преступление признается совершенным группой лиц, если в его совершении совместно участвовали два или более исполнителя без предварительного сговора.

– преступление признается совершенным группой лиц по предварительному сговору, если в нём участвовали лица, заранее договорившиеся о совместном совершении преступления.

– преступление признается совершенным организованной группой, если оно совершено устойчивой группой лиц, заранее объединившихся для совершения одного или нескольких преступлений.

– преступление признается совершенным преступным сообществом (преступной организацией), если оно совершено структурированной организованной группой или объединением организованных групп, действующих под единым руководством, члены которых объединены в целях совместного совершения одного или нескольких тяжких либо особо тяжких преступлений для получения прямо или косвенно финансовой или иной материальной выгоды.

Исходя из примечания 1 к статье 210 УК РФ учредители, участники, руководители, члены органов управления и работники организации, зарегистрированной в качестве юридического лица, и (или) руководители, работники её структурного подразделения не подлежат уголовной ответственности за организацию преступного сообщества (преступной организации) или участие в нём (ней) только в силу организационно-штатной структуры организации и (или) её структурного подразделения и совершения какого-либо преступления в связи с осуществлением ими полномочий по управлению организацией либо в связи с осуществлением организацией предпринимательской или иной экономической деятельности, за исключением случая, когда эти организация и (или) ее структурное подразделение были заведомо созданы для совершения одного или нескольких тяжких или особо тяжких преступлений.

Подмена правовых терминов субъективными понятиями приводит к тому, что в методике не рассматривается «сговор» внутренних нарушителей между собой, тем самым:

– группа лиц без предварительного сговора и организованная группа лиц исключается из возможных форм соучастия;

– группа лиц по предварительному сговору отождествляется с преступным сообществом;

– межрегиональные преступные группы, основанные на экономических и корыстных интересах коммерческих организаций (их руководителей), руководимые лицами, занимающими ответственные должности в органах власти, исключаются из рассмотрения;

– формы группового нарушителя ограничиваются до трёх случаев «сговора» с заведомо созданными для совершения преступлений внешними нарушителями;

– соучастие внутренних нарушителей исключается;

– роли соучастников преступления, относящиеся к различным видам нарушителей, не рассматриваются.

 

8. Из содержания статьи 33 УК РФ следует понимание смысла воздействия на персонал в виде склонения к совершению преступления путём уговора, подкупа, угрозы или другим способом.

В рамках преступлений, связанных с террористической деятельностью, деятельностью экстремистского сообщества (организации) и организацией массовых беспорядков, в УК РФ применяется термин «склонение, вербовка или иное вовлечение». В методике этот термин подменён «всеобъемлющим» понятием «сговор».

Вербовка в отличие от предварительного сговора требует от нарушителя значительных ресурсов и усилий, оправдываемых достижением поставленных целей. Чем масштабнее преследуемые цели – тем большими правами и полномочиями (статусом) должно обладать лицо, которое вербуется:

– высший (человек из руководящего звена, принимающий непосредственное участие в выработке важных решений);

– средний (лица, имеющие доступ к устной или документированной информации);

– нижний (люди, посещающие те места, где общаются члены группы или находятся документы, но не допущенные к самим документам);

– вспомогательный (люди, не имеющие отношения к данной структуре, но способные оказывать некоторое содействие).

Вербовка персонала, находящегося на высшем уровне, будет соответствовать масштабным, носящим долговременный характер, целям нарушителя, и позволит:

– достичь поставленных целей без компрометации соучастников преступления;

– создать комфортные условия для действий нарушителей и существенное затруднение работ по защите информации;

– обеспечить видимость правомерности совершаемых преступлений.

Вербовка персонала, находящегося на нижнем уровне, будет соответствовать краткосрочным целям нарушителя, что позволит:

– осуществить единичные преступления, имеющие масштабные негативные последствия;

– достичь поставленных целей, скомпрометировав, как минимум, исполнителя преступления.

Целями нарушителей, использующих «сговор» (склонение, вербовку или иное вовлечение) в методике определены:

– нанесение ущерба государству;

– получение конкурентных преимуществ на уровне государства;

– дестабилизация деятельности органов государственной власти;

– дестабилизация общества.

Дополняя методику, скажем, что целями также будут являться:

– скрытное долговременного использование системы;

– создание условий, позволяющих в заданное время прекратить автоматизируемую деятельность;

– дестабилизация системы управления государства, органа власти или организации.

С учётом масштаба перечисленных целей объектами воздействия (вербовки, сговора) будут:

– чиновники органов власти;

– представители регуляторов;

– полномочные представители организаций–исполнителей федеральных программ и проектов;

– лица, занимающие руководящие должности в аппарате управления госкорпораций и их организаций.

Объекты «удачного» воздействия на персонал с таким статусом в российском праве обозначены как «иноагенты» и «лица, находящиеся под иностранным влиянием».

«Сговор» (склонение, вербовка или иное вовлечение) с таким персоналом аналогичен воздействию на систему управления информационным оружием.

"Информационное оружие в первую очередь действует на систему управления, не столько уничтожая, сколько подчиняя себе систему управления поражённого объекта. При этом управление поражённой системой осуществляется с помощью скрытого и явного информационного воздействия на систему как извне, так и изнутри… Цель этого воздействия – целенаправленное изменение поведения системы…Поражённая информационным оружием система в своём поведении руководствуется уже не столько собственными интересами, сколько чужими командами… Цели управления часто бывают скрыты от самой системы в выделившимся из неё механизме управления… Ни один механизм управления никогда не будет вещать на управляемую им систему о том, что цели управления расходятся с благом системы…"

Завербованные лица в рамках служебного или личного взаимодействия оказывают психологическое воздействие по цепочке управления вниз до непосредственного исполнителя противоправного деяния.

Непосредственный исполнитель при таком подходе даже не понимает, что выполняет задачи, поставленные нарушителем, а тот, кто должен оценить такую опасность и защитить от неё персонал, ограничен регулирующим механизмом методики.

 

9. Нарушители руководствуется известными им уязвимостями, а защитники информации – мерами, которые по мнению регулятора позволяют нейтрализовать воздействие нарушителей.

Методикой способы воздействия нарушителей оцениваются как актуальные, если им соответствуют т.н. «угрозы безопасности информации» из банка данных угроз ФСТЭК России. 

Отсутствие угрозы «сговора» (склонение, вербовка или иное вовлечение) в банке данных не позволяет определить её, как актуальную, и выбрать необходимые меры защиты.

Для нарушителя отсутствие угрозы «сговора» в доступном для него банке данных будет считаться общеизвестной уязвимостью, позволяющей ему воздействовать даже на те системы, в которых выполнены меры по защите информации.

 

10. На этапе эксплуатации системы методикой рекомендовано вносить изменения в Модель, исходя из сценариев опасных воздействий, пересмотренных по результатам анализа уязвимостей и (или) тестирования на проникновение.

Основной целью тестирования на проникновение аттестованной системы, находящейся на этапе эксплуатации, является немедленное устранение выявленных уязвимостей.

Требуемое методикой построение сценариев и внесение изменений в Модель, не учитывает долговременный характер согласования, утверждение изменённой Модели, закупку, поставку, доставку, монтаж и ввод в эксплуатацию технических средств защиты.

Нарушителем данное обстоятельство будет считаться как общеизвестная уязвимость, позволяющая оказать воздействие на аттестованную систему в период времени, затрачиваемого на выполнения обязательных требований методики.

 

11. Актуальность возможных угроз согласно методики оценивается наличием сценариев их реализации. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник.

В методике не приводятся тактики и техники, которые могут применить внутренние нарушители, имеющие к системе правомерный доступ.

Согласно методики при отсутствии тактик и техник угрозы не являются актуальными, и защита от них не предусматривается. Нарушителем данное обстоятельство будет считаться как общеизвестная уязвимость, которая позволяет беспрепятственно обойти систему защиты информации через персонал системы, имеющей к ней правомерный доступ. 

 

12. На примере «Методики оценки угроз безопасности информации» можно видеть, что рост утечек информации может быть прямым следствием следующих системных ошибок:

– исключение персонала и процессов его деятельности из объектов воздействия;

– исключение «сговора» (склонение, вербовка или иное вовлечение) из видов воздействия на персонал;

– исключение возможности действия в интересах внешних нарушителей: чиновников органов власти, представителей регулятора, организаций–исполнителей федеральных программ и проектов, а также должностных лиц аппарата управления госкорпораций и их организаций;

– недооценка соучастия в преступлении в рамках трудовых и договорных отношений;

– недооценка соответствия между масштабом целей нарушителя и статусом персонала;

– недооценка воздействия на персонал в следующих целях, преследуемых нарушителем:

·     изменение (дестабилизация) поведения всей системы управления организации, органа власти, государства;

·     причинение неприемлемого ущерба для организации, органа власти, государства, несмотря на выполненные меры защиты, определённые регуляторами;

·     деструктивное формирование мировоззрения персонала;

·     скрытное долговременное использование системы и нарушение управления процессами и комплексом технических средств в заданный нарушителем период.

 

13. Рост единичных утечек информации в результате умышленных действий персонала – это только часть, одна из граней системы, ушедшей «вразнос», из-за недооценки воздействия на персонал.

Попробуйте самостоятельно оценить масштаб проблемы, зависящей от недооценённого воздействия на персонал, ознакомившись для примера с письмом ФАС России от 09.03.2016 № АЦ/14427/16 «О рассмотрении обращения», с действующими до сегодняшнего времени требованиями области закупок и с результатами выполнения этих требований при проведении закупок для российских военных объектов:

– по строительству и реконструкции автомобильных дорог «Экспериментально-испытательная база (ЭИБ) на 1 ГИК МО РФ» г. Мирный Архангельской области (шифр 500/001/ЭИБ);

– по сооружению объектов 13-й ракетной Оренбургской Краснознамённой дивизии РВСН (войсковая часть №68545) из состава 31-й ракетной армии.

Не веря автору на слово, попробуйте подтвердить свои выводы, найдя на сайтах закупок аналогичные «результаты» в отношении объектов критической инфраструктуры. И ведь совсем не исключено, что часть объектов в последнее время стала мишенью для противника, террористов и диверсантов.

 

14. Перечисленные замечания к методике не означают, что методику не нужно применять. Применять нужно. Но применять нужно с учётом уникальных для каждой системы или сети особенностей, чтобы более 150 листов шаблонных результатов модели угроз безопасности информации не «положить пылиться на полку».

 

Сергей Нефедьев 

Статья была  перепечатана по адресу: https://dzen.ru/a/aQdwGUIn3hrfwabe

Другие публикации автора

Критическая инфраструктура или КИИ?

Кого считать субъектом КИИ?

Государственная социальная платформа «Мы» (обновлено 12.07.2024)

Какие методы воздействия на людей могут использоваться для создания тоталитарного режима? Отвечает Яндекс-Алиса

Оценка степени информационного поражения государства по доле структур, работающих в интересах глобалистов