08 декабря 2022

Кибербезопасность или киберзащита защищает от киборгов?

Кибербезопасность - что это? Эта статья о значении терминов кибербезопасность, киберзащита и киберзащищенность; в статье сопоставляются несколько определений слова киберзащита и предлагается еще одно определение; разъясняется, что означает слово кибербезопасность, которое часто, но неверно употребляют вместо слова киберзащищенность.

Сокращения

Раскрывая сокращение в обоих терминах, получаем:

– киберзащита – это кибернетическая защита,

– киборг – это кибернетический организм.

Оба термина имеют отношение к технической кибернетике.

Термин кибербезопасность часто, но неверно употребляют вместо слова киберзащищенность.

Сопоставление нескольких известных определений

Ни в законах, ни в общих стандартах пока нет определения термина «киберзащищенность». Впрочем, есть много документов, в которых определен термин «кибербезопасность», и его значение соответствует значению термина «киберзащищенность», хотя эти термины должны быть различными потому, что:

– кибербезопасность компьютерного объекта означает его безвредность для окружающей среды;

– киберзащищенность компьютерного объекта означает его закрытость от вреда из окружающей среды.

Подробности см. в статье Кибербезопасность и киберзащищенность - различные понятия [1].

Как определяют термин киберзащищенность в иностранных компьютерных компаниях?

Cisco, разработчик и производитель оборудования для компьютерных сетей, приводит такое определение [2]:

Cybersecurity is the practice of protecting systems, networks, and programs from digital attacks. These cyberattacks are usually aimed at accessing, changing, or destroying sensitive information; extorting money from users; or interrupting normal business processes.

Киберзащита – это деятельность по защите систем, сетей и программ от цифровых атак. Эти кибератаки обычно направлены на доступ, изменение или уничтожение конфиденциальной информации, вымогательство денег у пользователей или нарушение нормального хода бизнес-процессов. (Перевод автора.)

IBM, разработчик и производитель компьютерного оборудования и программ, приводит похожее определение [3]

Cybersecurity is the practice of protecting critical systems and sensitive information from digital attacks. Also known as information technology (IT) security, cybersecurity measures are designed to combat threats against networked systems and applications, whether those threats originate from inside or outside of an organization.

Киберзащита ‑ это деятельность по защите критически важных систем и конфиденциальной информации от цифровых атак. Меры киберзащиты, известные также как защита информационных технологий (ИТ), предназначены для борьбы с угрозами сетевым системам и приложениям, независимо от того, исходят эти угрозы изнутри или извне организации. (Перевод автора.)

Security в деловом английском
- the protection of people, organizations, countries, etc. against a possible attack or other crime:
border/homeland/national security

Security в IT, banking, Internet
- the protection of information against being stolen or used wrongly or illegally:
data/information/IT security

Было бы большой вольностью переводить английское cybersecurity на русский как кибербезопасность, потому что в деловом и техническом английском языке слово security означает protection, т. е. защиту или защищенность. Чтобы в этом убедиться, достаточно заглянуть в толковый словарь английского языка [5], см. врезку. Поэтому переводить cybersecurity на русский следует как киберзащита или киберзащищенность1.

Российский разработчик антивирусных программ «Лаборатория Касперского» утверждает, по сути, приблизительно то же самое, что IBM и Cisco, но употребляет неточное слово безопасность вместо термина защищенность [4]:

Кибербезопасность (компьютерная безопасность) – это совокупность методов и практик защиты от атак злоумышленников для компьютеров, серверов, мобильных устройств, электронных систем, сетей и данных.

Кроме того, в лаборатории Касперского отметили, что кибербезопасность это всего лишь новое название компьютерной безопасности. С этим мнением можно согласиться лишь отчасти, поскольку защите подлежат не только компьютеры (универсальные вычислительные машины), но и контроллеры (специализированные вычислительные машины), а общее название для компьютера и контроллера «программируемая вычислительная машина».

Все три компании сошлись на том, что киберзащита – это деятельность по защите. Компании разошлись в том, что именно нужно защищать и от чего.

Что защищать

IBM защищает системы и информацию, противодействуя атакам на сетевые системы и приложения (т. е. программы).

Cisco инвертирует приоритеты: защищает системы, сети и программы, подчеркивая, что, конечной целью атак являются конфиденциальная информация, чужие деньги или бизнес-процессы.

Лаборатория Касперского одинаково защищает компьютеры, серверы, мобильные устройства, электронные системы, сети и данные, не назначая приоритетов в этом перечне ни одному элементу. И, хотя, на первый взгляд, перечень выглядит убедительным и полезно-разъяснительным, уже на «второй взгляд» становится ясно, что компьютеры, серверы, мобильные устройства и сети являются электронными системами, поэтому в перечне можно было бы оставить всего два элемента: электронные системы и данные.

Расхождения в перечне объектов защиты внутри самих определений ‑ это верный признак расплывчатости понятия, которое требуется уточнить. К уточнению объектов защиты мы вернемся, см. фрагмент «Три определения ‑ в одном».

От чего защищать

Обе иностранные компании однозначно и узко определили киберзащиту как защиту только от цифровых атак, что вполне соответствует тому содержанию, которое обычно вкладывается профессионалами в этот термин.

Напротив, лаборатория Касперского существенно расширила определение, заменив «цифровые атаки» на «атаки злоумышленников», а злоумышленниками можно назвать, к примеру, полк диверсантов-десантников-рейнджеров. Чем не злоумышленники? Такое расширенное толкование атак нельзя назвать удачным, поскольку киберзащита не предполагает противодействия воинским подразделениям «огнестрельного сочувствия».

Все три компании составили приблизительно одинаковый список способов (видов) компьютерных атак, к которым отнесли:

– вредоносные программы (malware),

– программы-вымогатели (ransomware),

– фишинг / социальную инженерию (phishing, social engineering),

– программы, вызывающие отказ в обслуживании (DDoS),

– усовершенствованные непрерывные атаки (advanced persistent threat),

– программы-перехватчики типа «человек посередине» (man-in-the-middle) и пр.

Три определения ‑ в одном

Расхождения в определениях понятия киберзащита свидетельствуют о шатаниях, значит, можно поучаствовать в обсуждении, которое начнем с цели кибератаки, её заказчика и исполнителя.

Цели кибератаки. Субъекты кибератаки

Целями кибератак, которые устанавливаются заказчиком, являются:

– украсть деньги со счета или украсть информацию для последующей продажи;

– получить незаконное конкурентное (или боевое) преимущество;

– принудить к чему-либо путем шантажа, угроз, в том числе, вымогать деньги;

– уничтожить соперника или врага;

– вызвать массовые волнения, страх, панику;

– удовлетворить собственное тщеславие.

Цели могут объединяться или быть соподчиненными.

Чтобы достичь цели, нужен исполнитель кибератаки ‑ хакер(-ы). Заказчик и исполнитель кибератаки ‑ не всегда разные люди.

Субъекты кибератаки – это заказчик и исполнитель (хакер).

Задачи кибератаки

Выполняя поставленную заказчиком цель, хакер решает такие, например, задачи:

– узнать (прочитать) секретный код банковской транзакции;

– неправомочно расширить права доступа к данным или программам;

– подменить правильный номер банковского счета неправильным;

– изменить настройки сетевой службы так, чтобы запросы клиентов отправлялись на неправильный сервер;

– подменить правильную серверную программу неправильной;

– изменить настройки сетевого маршрутизатора так, чтобы он не отвечал на запросы клиентов;

– перегрузить сервер бессмысленными запросами так, чтобы он не успевал отвечать на правильные запросы;

– неправомочно удалить чертежи изделия из компьютерного хранилища;

– неправомочно удалить серверную программу-обработчик клиентских запросов.

Перечень хакерских задач мог бы быть стать весьма длинным, но все разнообразие хакерских задач можно обобщить в достаточно коротком списке ‑ часто зависимых друг от друга ‑ обобщенных задач, связанных лишь с двумя понятиями: данные и программы, если для задач киберзащиты определить их широко:

Данные – это сведения, отражающие свойства объекта и позволяющие сделать об этом объекте некоторый вывод, принять решение и т. п.[8].

Под такое определение данных подпадают не только булевы поля, строки, множества, массивы, xml- и json-фрагменты, но и элементы базы данных, конфигурационные файлы, реестры, настройки оборудования, кадры, передаваемые по компьютерным сетям, прочие более сложные структуры и даже аналоговые сигналы, передаваемые от датчиков или к исполнительным устройствам.

Определение программы заимствуем из ещё действующего советского стандарта [9], в котором разумно утверждается, что программа ‑ это особая разновидность данных:

Программа ‑ данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма.

Впрочем, в свежем терминологическом международном стандарте [10] поддерживается та же точка зрения, когда, например, разъясняется, что примером обработки данных (data processing) «являются арифметические или логические операции с данными, … сборка или компиляция программ».

Под такое определение программы подпадают: прикладные или системные программы, скрипты, утилиты, компоненты операционной системы, windows-службы, процессы, unix-демоны, web-службы, драйверы, микропрограммы в ППЗУ, «прошивки», приложения для смартфонов и т. п.

Разнообразие неправомочных хакерских действий (внедрить, подменить, узнать, удалить, перехватить и т. п.) тоже можно обобщить и назвать обобщенными хакерскими операциями:

– над данными – прочитать, изменить (т. е. добавить или обновить или удалить), сделать недоступными (например, лишить права доступа или многократно увеличить время доступа);

– над программами – изменить (т. е. добавить или обновить или удалить), сделать недоступными (например, лишить права доступа или многократно увеличить время доступа).

 

Классификация обобщенных хакерских операций в графическом виде находится ниже (рисунок 1).

Классификация обобщенных хакерских операций

Рисунок 1 ‑ Классификация обобщенных хакерских операций

Вооружившись определениями данных, программы и хакерских операций, можно перечислить обобщенные хакерские задачи. Таких окажется всего две (рисунок 2).

Примеры хакерских задач   Список обобщенных хакерских задач

узнать (прочитать) секретный код банковской транзакции;

неправомочно расширить права доступа к данным или программам;

подменить правильный номер банковского счета неправильным;

изменить настройки сетевой службы так, чтобы запросы клиентов отправлялись на неправильный сервер;

подменить правильную серверную программу неправильной;

неправомочно удалить чертежи изделия из компьютерного хранилища;

неправомочно удалить серверную программу-обработчик клиентских запросов;

=>

неправомочно прочитать конфиденциальные данные, изменить конфиденциальные данные или программы, влияющие на бизнес-процессы

 

 

   

перегрузить сервер бессмысленными запросами так, чтобы он не успевал отвечать на правильные запросы;

изменить настройки сетевого маршрутизатора так, чтобы он не отвечал на запросы клиентов;

сделать серверное или телекоммуникационное оборудование неработоспособным;

=>

неправомочно сделать недоступными для правомочных субъектов конфиденциальные данные, программы, влияющие на бизнес-процессы

Рисунок 2 ‑ Список обобщенных хакерских задач

В большинстве случаев обобщенные хакерские задачи выполняются программами, написанными хакерами.

Двухэлементное множество обобщенных хакерских задач фокусирует внимание не на разнообразии неправомочных действий, а на предметах действий, которых оказалось всего два: данные и программы.

Связь между задачами и целями кибератаки

Итак, все перечисленные выше цели достигаются за счет решения одной или двух обобщенных хакерских задач (см. рисунок 3).

Обобщенные хакерские задачи и цели кибератак

Задачи (слева), приводящие к целям (справа).

Рисунок 3 ‑ Обобщенные хакерские задачи и цели кибератак

Среди обобщенных хакерских задач не упоминаются никакие другие объекты хакерской атаки, кроме конфиденциальных данных и программ, влияющих на бизнес-процессы.

Объекты защиты

Поскольку основным объектом хакерской атаки являются конфиденциальные данные и программы, влияющие на бизнес-процессы, то именно они должны быть названы основными объектами защиты2.

Если же вспомнить, что программы ‑ это особая разновидность данных (вновь см. [9], [10]), то пару понятий (конфиденциальные данные и программы, влияющие на бизнес-процессы) можно для лаконичности назвать особыми данными.

Вывод о том, что защищать нужно только данные, может показаться спорным, однако ниже описано несколько примеров, которые выступают в защиту этого вывода.

Даже когда пишут о защите не данных, а программно-технических комплексов, компьютеров, телекоммуникационного оборудования, кабельной сети и т. п., всё равно имеют в виду защиту данных. Например, когда говорят о защите сервера [11], то подразумевают защиту данных. В частности, когда на сервере настраивают:

– аутентификацию с несимметричными ключами шифрования (SSH), позволяющую отказаться от передачи паролей по сети, то, тем самым, защищают пароли, а это данные;

– фильтрацию сетевых пакетов, блокирующую некоторые TCP-порты и запрещающую доступ к серверным программам, то, тем самым, защищают данные, к которым можно было бы получить доступ через серверные программы;

– виртуальную частную сеть (VPN), позволяющую шифровать частные данные, которые передаются по сетям общего пользования, то, тем самым, защищают данные от перехвата и т. п.

Эти рассуждения приводят к новому вопросу: "Нужно ли защищать данные, не объявленные конфиденциальными, и программы, не влияющие на ход бизнес-процессов?", ответ на который послужит предметом другой статьи.

От чего не должна защищать киберзашита

Вспомним, что хакерскими операциями являются прочитать, изменить, сделать недоступными данные и программы. В списке хакерских операций нет пожаров, затоплений, стихийных бедствий, бандитских нападений, которые случались тогда, когда о кибератаках еще не слыхивали. Поэтому киберзащита не занимается предупреждением возгораний, их тушением, профилактикой трубопроводов и т. п.

И хотя пожар или протечка могут привести к недоступности данных, для защиты от такого рода напастей применялось и применяется резервирование, а не киберзащита. Другое дело, что порядок восстановления системы после бедствия и после кибератаки может быть одинаковым.

Итог

Теперь, после некоторых рассуждений, можно составить цепочку определений, которая последовательно приводит к толкованию понятий объект защиты, хакер, кибератака, киберзащита, киберзащищенность.

Особые данные ‑ конфиденциальные данные и программы, влияющие на бизнес-процессы.

Объекты защиты ‑ особые данные.

Хакер ‑ программист, посягающий на объекты защиты.

Обобщенная хакерская операция ‑ это конечное множество обобщенных неправомочных действий хакера над объектом защиты: {прочитать, изменить, сделать недоступным}.

Обобщенная хакерская задача ‑ это пара из объекта защиты и операции над ним: (объект защиты; обобщенная хакерская операция).

Кибератака ‑ это набор целенаправленных обобщенных хакерских задач.

Киберзащита ‑ это деятельность по защите особых данных от кибератак.

Киберзащищенность ‑ результат киберзащиты.

В такой цепочке определений

– определения взаимосвязаны и образуют комплекс понятий;

– объекты защиты перечислены предельно коротко и исчерпывающе;

– каждое последующее определение опирается на предыдущее; закольцованных определений нет;

– отсутствует оказавшийся ненужным, но часто встречающийся в публикациях и плохо определенный термин киберпространство;

Естественно, что цепочку из определений можно свернуть в одно определение:

Киберзащита – это деятельность по защите конфиденциальных данных и программ, влияющих на бизнес-процессы, от целенаправленных неправомочных действий над ними.

Хотя свернутое определение выглядит привычнее, в нём из-за свертки потерялось несколько полезных промежуточных определений и потому объекты защиты и субъекты атаки оказались не названными.

Выводы

Чтобы ответить на вопрос про киборгов из заголовка статьи, сначала следует вспомнить определения киберзащиты, киберзащищенности, киборга.

Киберзащита – это деятельность по защите конфиденциальных данных и программ, влияющих на бизнес-процессы, от целенаправленных неправомочных действий над ними.

Киберзащищенность результат киберзащиты.

Киборг (кибернетический организм) это (I) устройство с высокой степенью симбиоза в физических и интеллектуальных действиях человека и технических средств автоматики [12] или (II) биологический организм, содержащий механические или электронные компоненты, машинно-человеческий гибрид [13].

Затем можно напомнить, что киберзащита противодействует неправомочным действиям хакеров-программистов.

И подчеркнуть, что поскольку пока ещё не все хакеры являются киборгами (шутка), то киборги не имеют к киберзащищенности (и к кибербезопасности) никакого отношения. По меньшей мере, пока не имеют.

См. список прочих заблуждений.

Список литературы

1. Немцов Э. Ф. Кибербезопасность и киберзащищенность – близнецы-сестры или нет? URL: https://nemtsov.ners.ru/articles/zabluzhdeniya-o-kompyuterah-programmah-avtomatizirovannyh-sistemah-i-t-p.html (дата обращения: 01.02.2022).

2. What Is Cybersecurity? // Cisco [сайт]. URL: https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html (дата обращения: 01.10.2021).

3. What is cybersecurity? // IBM [сайт]. URL: https://www.ibm.com/topics/cybersecurity (дата обращения: 16.10.2021).

4. Что такое кибербезопасность? // Kaspersky [сайт]. URL: https://www.kaspersky.ru/resource-center/definitions/what-is-cyber-security (дата обращения: 02.10.2021).

5. Cambridge Dictionary [сайт]. URL: https://dictionary.cambridge.org/ (дата обращения: 07.10.2021).

6. ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления. Industrial communication networks. Network and system security. Part 3. Security for industrial process measurement and control : национальный стандарт Российской Федерации.

7. Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : [утверждены приказом ФСТЭК от 14.03.2014 г. № 31 в ред. в ред. приказов ФСТЭК от 23.03.2017 № 49, от 09.08.2018 № 138, от 15.03.2021 № 46]. Текст : непосредственный.

8. Немцов Э. Ф. Атрибутивно-наследственный подход к определению понятий «данные» и «информация». «Отечественная наука в эпоху изменений: постулаты прошлого и теории нового времени», 2015, № 5, стр. 55-61.

9. ГОСТ 19781-90. Единая система программной документации. Обеспечение систем обработки информации программное. Термины и определения.

10. ISO/IEC 2382:2015 Information technology Vocabulary. URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:ed-1:v1:en (дата обращения: 04.01.2022) // International Organization for Standardization [сайт]. URL: https://www.iso.org/

11. Блог компании Galtsystems. Семь мер защиты сервера. URL: https://habr.com/ru/company/galtsystems/blog/314344/ (дата обращения: 09.01.2022) // Habr. Сообщество IT-специалистов [сайт].

12. Большая советская энциклопедия // Словари и энциклопедии на Академике. URL: https://dic.academic.ru/dic.nsf/bse/95166/Кибернетика (дата обращения: 14.11.2021).

13. Киборг. Текст : электронный. URL: https://ru.wikipedia.org/wiki/Киборг. (дата обращения: 10.01.2022) // Википедия [сайт]. URL: https://www.wikipedia.org/.

 



1 Впрочем, иногда переводят правильно. К примеру, есть международный стандарт на английском языке «Security for industrial process measurement and control». Когда его перевели на русский язык, он стал называться «Защищенность (кибербезопасность) промышленного процесса измерения и управления» [6], и в его терминологическом разделе верно написано, что «защищенный, защищенность» это «secure, security». Однако в содержательных разделах терминологическая точность теряется, и слова защищенность и безопасность употребляют как синонимы, что не верно.

2 В отношении «данных» ФСТЭК придерживается той же точки зрения. В требованиях к защите информации [7] среди объектов защиты «данные» стоят на первом месте:

«В автоматизированной системе управления объектами защиты являются:

– информация (данные) о параметрах … объекта или процесса …;

– программно-технический комплекс, включающий технические средства …, программное обеспечение …, а также средства защиты информации.»

 

 

(С) Немцов Э. Ф.
Статья впервые опубликована здесь, на моем сайте в январе 2022.
Авторские права на фотографии, статьи и рисунки принадлежат Эдварду Немцову, если это не оговорено особо.