Acceso no autorizado
Acceso no autorizado : acceso a información en violación de la autoridad oficial de un empleado, acceso a información cerrada al público por personas que no tienen permiso para acceder a esta información. Además, el acceso no autorizado en algunos casos se denomina obtención de acceso a la información por parte de una persona que tiene derecho a acceder a esta información en una cantidad superior a la necesaria para el desempeño de sus funciones oficiales.
Documento guía de la Comisión Técnica Estatal “Protección contra el acceso no autorizado. Términos y definiciones” Copia de archivo del 10 de octubre de 2019 en Wayback Machine (aprobada por decisión del presidente de la Comisión Técnica Estatal de Rusia del 30 de marzo de 1992) interpreta la definición de manera un poco diferente:
Acceso no autorizado a la información (UAS) : acceso a la información que viola las reglas de control de acceso utilizando herramientas estándar proporcionadas por tecnología informática o sistemas automatizados.
El acceso no autorizado puede dar lugar a la fuga de información .
Causas del acceso no autorizado a la información
- errores de configuración ( derechos de acceso , cortafuegos , restricciones en el carácter masivo de consultas a bases de datos ),
- débil seguridad de las herramientas de autorización (robo de contraseñas , tarjetas inteligentes , acceso físico a equipos mal protegidos , acceso a lugares de trabajo desbloqueados de empleados en ausencia de empleados),
- errores de software ,
- abuso de autoridad (robo de copias de seguridad, copia de información a medios externos con derecho de acceso a la información),
- Escuchar canales de comunicación cuando se utilizan conexiones no seguras dentro de la LAN ,
- El uso de keyloggers, virus y troyanos en las computadoras de los empleados para la impersonalización .
Formas de cometer accesos ilegales a la información informática
El método para cometer el delito de acceso no autorizado son los métodos y métodos que utilizan los perpetradores al cometer un acto socialmente peligroso.
En la literatura [1] , existen varias clasificaciones de métodos para cometer delitos informáticos:
- Métodos de preparación (corresponde al concepto penal de “ preparación para cometer un delito ”):
- Colección de información;
- interceptación de mensajes de correo electrónico;
- Hacer un conocido;
- Interceptación de mensajes en canales de comunicación;
- Robo de información;
- Soborno y extorsión.
- Métodos de penetración (corresponde al concepto penal de " intento de delito "):
- Entrada directa al sistema (por enumeración de contraseñas);
- Obtener contraseñas;
- Explotar las debilidades en los protocolos de comunicación.
Algunos autores [2] ofrecen una clasificación en función de los fines perseguidos por el delincuente en una determinada etapa del delito:
- Táctico: diseñado para lograr objetivos inmediatos (por ejemplo, para obtener contraseñas);
- Estratégico: dirigido a la implementación de objetivos de largo alcance y está asociado con grandes pérdidas financieras para los sistemas de información automatizados.
Otro autor [3] identifica cinco formas de cometer accesos ilegales a la información informática :
- Uso directo de exactamente la computadora que almacena y procesa de manera autónoma información de interés para el delincuente;
- Conexión oculta de la computadora de un delincuente a un sistema informático oa una red de usuarios legítimos a través de canales de red o comunicaciones por radio;
- Búsqueda y uso de vulnerabilidades en la protección de sistemas y redes informáticas contra accesos no autorizados (por ejemplo, la falta de un sistema de verificación de códigos);
- Modificación o adición latente de programas informáticos que funcionan en el sistema;
- Uso ilegal de programas universales utilizados en situaciones de emergencia.
Existe una clasificación de métodos más establecida, por la que se guían la mayoría de los autores [1] y que se construye sobre la base de un análisis de la legislación extranjera. Esta clasificación se basa en el método de utilización de determinadas acciones por parte de un delincuente destinadas a acceder a equipos informáticos con distintas intenciones:
- Métodos de interceptación de información;
- Método de acceso no autorizado;
- método de manipulación;
- Métodos complejos.
Consecuencias del acceso no autorizado a la información
En la literatura [1] , además de la copia de archivo del 6 de abril de 2016 , especificada en el artículo 272 del Código Penal de la Federación Rusa en Wayback Machine , se propone una clasificación más general de las posibles consecuencias de este delito:
- Violación de funciones. Incluye cuatro tipos:
- Infracciones temporales que conduzcan a confusión en los horarios de trabajo, horarios de determinadas actividades, etc.;
- Indisponibilidad del sistema para los usuarios;
- Hardware dañado (reparable e irrecuperable);
- Corrupción de software
- Pérdida de recursos significativos;
- Pérdida del uso exclusivo;
- Violación de derechos (derechos de autor, conexos, de patente, inventivos).
Asimismo, las consecuencias del acceso no autorizado a la información son:
Prevención de fugas
Para evitar el acceso no autorizado a la información, se utilizan software y hardware, por ejemplo, los sistemas DLP .
Legislación
La Ley de Abuso y Fraude Informático de ha sido criticada por ser vaga, permitiendo intentos de usarla para interpretar como acceso no autorizado (con pena de hasta diez años de prisión) una violación de los términos de uso ( eng . .términos de servicio ) de un sistema de información (por ejemplo, sitio web). [4] [5] Véase también: Malware#Legal , Schwartz, Aaron , Estados Unidos v. Lori Drew .
Véase también
Notas
- ↑ 1 2 3 Mazurov V. A. Aspectos penales de la seguridad de la información. - Barnaul: [[Editorial de la Universidad de Altai (editorial) |]], 2004. - S. 92. - 288 p. — ISBN 5-7904-0340-9 .
- ↑ Okhrimenko SA, Cherney GA Amenazas a la seguridad de los sistemas de información automatizados (abuso de software) // NTI. Ser.1, Org. y metodología informar. obra: revista. - 1996. - Nº 5 . - S. 5-13 .
- ↑ Skoromnikov K. S. Guía del investigador. Investigación de delitos de mayor peligro público / Dvorkin A.I., Selivanov N.A. - Moscú: Liga Mind, 1998. - S. 346-347. — 444 pág.
- ↑ Ryan J. Reilly. Zoe Lofgren presenta la 'Ley de Aaron' para honrar a Swartz en Reddit . The Huffington Post / AOL (15 de enero de 2013). Consultado el 9 de marzo de 2013. Archivado desde el original el 11 de marzo de 2013. (indefinido)
- ↑ Tim Wu . Arreglando la peor ley en tecnología , News Desk Blog , The New Yorker . Archivado desde el original el 27 de marzo de 2013. Consultado el 28 de marzo de 2013.