Н.А. Васильева - ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ДОПОЛНИТЕЛЬНЫХ УСЛУГ ОПЕРАТОРОВ СОТОВОЙ СВЯЗИ

Обеспечение защиты информации

дополнительных услуг операторов сотовой связи

http://spisok.math.spbu.ru/2013/txt/papers/

Васильева Н. А., к.т.н. ассистент кафедры Безопасные Информационные Технологии НИУ ИТМО nata-m@mail.ru

Аннотация

В статье произведен обзор рынка услуг от сотовых операторов, произведен анализ законодательной базы, рассмотрены актуальные виды мошенничества при обращении к услугам сотовых операторов, а так же определены сложности защиты информации абонентов при обращении к услугам сотовых операторов связи.

Введение

Современные мобильные телефоны – это мобильные компьютеры, позволяющие хранить, передавать, принимать и обрабатывать аудио-, видео-, и текстовую информацию. Два неоспоримых факта делают вопросы защиты абонентских устройств и оборудования операторов связи все более актуальными: круглосуточная близость к абоненту и растущий список возможностей. Целью проведенной работы был анализ защищенности услуг сотовых операторов связи. Полученные результаты говорят об акцентировании операторов связи на вопросах защиты абонентов от мошеннических действий и отсутствии официально принятой научно-методической базы для решения комплексных задач защиты абонентов при обращении к услугам связи.

Решение

В настоящее время количество введенных операторами связи дополнительных услуг исчисляется сотнями, а с учетом количества существующих на рынке операторов связи возможно приближается к 1000. Услуги от сотовых операторов связи

Перечислим самые известные услуги от сотовых операторов:

Передача SMS,

Передача ММS,

Видео- конфиренции,

Мобильный Интернет,

Короткие номера,

Баланс,

Теле- и радиовикторины и голосования,

Яндекс-пробки,

Мобильный банк,

Обнаружение местоположения абонента (Услуга Радар от ОАО «Мегафон»), [1.]

Знакомства, а так же подборка самых свежих анекдотов, прогноз погоды, тесты, курсы валют, информация о портале, стоимость сервисов, управление подписками и др. [2.]

Анализ законодательной и нормативной базы

Федеральный Закон N 126 "О связи" от 07.07.2003 (ред. от 03.12.2011)

Статья 2, пункт 33:

Услуга связи - деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений; [3.]

Статья 53, пункт 1:

Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации. [3.]

К сведениям об абонентах относятся:

- фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также

- адрес абонента или адрес установки оконечного оборудования,

- абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование,

- сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. [3.]

Федеральный закон N 152 «О персональных данных» от 27.07.2006 г.

Статья 8, пункт 1.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. [4.]

Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от 30 марта 1992 г. и аналогичные ему выдвигают технические требования по защите, которые могут быть применены к оборудованию сотовых операторов.

ГОСТ Р ИСО/МЭК 15408-1,2,3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» позволяет сформировать требования защиты информации практически к любому техническому средству. Стандарт может быть использован с целью формирования требований по защите информации к услугам сотовых операторов.

Виды мошенничества с использованием услуг сотовых операторов связи

Условно все современные виды мошенничества можно разделить на две группы:

- методы психологического воздействия на абонента (социальная инженерия).

- внедрение в абонентское устройство несанкционированного программного обеспечения или программного обеспечения с недекларированными возможностями.

Более подробно виды мошенничества описаны на тематических порталах сотовых операторов связи.

ОАО «Мегафон» разработал и поддерживает сайт «Безопасное общение» расположенный по адресу http://stopfraud.megafon.ru/.

Сотовый оператор «Билайн» разработал сайт «Безопасный Билайн» расположенный по адресу http://safe.beeline.ru/

Сотовая компания МТС разработала сайт «Безопасность – это просто», который находится по адресу http://www.safety.mts.ru/

Сотовый оператор Tele2 посвятил вопросам безопасности страницу «Мобильное мошенничество» – http://www.krasnodar.tele2.ru/help_warning_mobile.html, где даются советы по профилактики мошеннических действий и рекомендации по защите от них.

Виды мошенничества:

Мошенничество с использованием коротких premium номеров SMS: Открытка «с сюрпризом», SMS-знакомства, «Изменились условия Вашего тарифного плана. Предложения псевдоработодателей Некорректное указание стоимости и количества отправляемых SMS, Отсутствие заявленного на ресурсе сервиса.

Мошенничество с использованием голосовых premium номеров: «Позвони мне, позвони…»

Мошенничество на доверии: Телефон «на один звонок», Клонирование, Жертва вымогательства, Дилерские нарушения.

Внедрение вредоносного программного обеспечения: Порнобаннеры, Блокираторы и шифровальщики, Sms-отправители и «порнозвонилки », Псевдоантивирусы, «Задания работодателей».

Мошеннический спам с целью вымогательства: Sms-просьбы, «Выигрыши», «Нигерийские письма» и псевдоакции, «Ошибочные» платежи, Звонки «Техподдержки Оператора», Звонки «из банка». [1.]

Рекомендации по защите абонентов от мошеннических действий:

- Не давайте телефон незнакомым людям.

- Уточняйте стоимость перед звонком или отправкой SMS на короткий номер.

- Не сообщайте посторонним людям номера карт оплаты.

- Не выполняйте никаких инструкций, полученных от незнакомых людей по телефону

- Не сообщайте посторонним людям личную информацию. [2.]

- Устанавливайте на компьютер хорошо зарекомендовавшие себя антивирусные программы и межсетевые экраны (Firewall) и своевременно их обновляйте.

- При скачивании контента внимательно читайте Условия использования сервиса, а также информацию, размещенную с символом «звездочка» (*).

- Не устанавливайте сомнительное программное обеспечение на свой компьютер / мобильный телефон.

- Не открывайте и не запускайте (*.exe) вложенные файлы неизвестного происхождения.

- Будьте осторожны при всплывающих окнах, не переходите по неизвестным ссылкам.

- Не отправляйте SMS для разблокировки Windows и разархивирования файлов.

- Пользуйтесь услугами: «Мобильный прайс», «Блокировка отправки сообщений на короткие номера». [1.]

Особенности обеспечения защиты информации услуг операторов сотовой связи

Ответственность за защиту сведений об абоненте и оказываемых ему услугах связи возлагается на оператора связи и застройщика при строительстве средств связи и сооружений связи (ФЗ «о Связи» Статья 7 п.2).

Разработчиками («застройщиками») услуг связи являются как зарубежные (Nokia, Huawei, HP и др.), так и отечественные компании, специализирующиеся на разработки непосредственно дополнительных услуг (Протей, Беркут, Комплит и др.)

Касперский, Dr.Web, McAfee, Green Head предлагают решения для защиты абонентских мобильных устройств.

Федеральный орган исполнительной власти в области связи устанавливает требования защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации (ФЗ «о Связи» Статья 12, п.2; Статья 26, п.3.3) по согласованию с Федеральным органом исполнительной власти в области обеспечения безопасности (ФЗ «о Связи» Статья 12, п. 2.1).

Минкомсвязью разработаны несколько отраслевых нормативных документов:

Концепция защиты персональных данных в информационных системах персональных данных оператора связи.

Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли.

Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли.

Так же в открытом доступе в Интернете можно найти Концепцию и Модель угроз разработанные Инфокоммуникационным союзом непосредственно для операторов связи.

Сложности обеспечения защиты информации (сведений) абонентов при обращении к услугам сотового оператора:

Постоянно вводятся новые сервисы и заканчивают свое существование экономически не целесообразные или временные.

Часть сервисов является встроенными в оборудование сотового оператора связи.

Часть сервисов являются программными продуктами и используют аппаратно-программные комплексы оператора сотовой связи, при чем каждая новая услуга задействует только ей присущий набор технических средств.

Часть сервисов использует только каналы сотового оператора связи и находится в эксплуатации либо у заказчика, либо в аутсорсинге и следовательно использует для своей реализации аппаратно-программные комплексы не принадлежащие оператору

Никто не знает, какой дополнительная услуга будет завтра, в чем будет потребность рынка, частного и корпоративного клиент.

Заключение

Для корректного проведении работ по защите информации дополнительных услуг операторов связи, очевидно, требуется научно-методического подход. Разработанная методика должна учитывать и постоянно-меняющуюся инфраструктуру, и отдельную аттестацию крупных аппаратно-программных комплексов оператора сотовой связи и различную логическую инфраструктуру для каждой конкретно взятой услуги и многое другое.

Литература

1. Официальный сайт ОАО «Мегафон» «Безопасное общение». Лицензии №№ 15002, 41541, 41542, 42688, 54741. [Электронный ресурс]. URL: http://stopfraud.megafon.ru/ (дата обращения: 31.01.13)

2. К.Ю.Смирнов. «Мобильное мошенничество». СМИ «Tele2 (Теле2)». Свидетельство о регистрации Эл №ФС 77-36815 от 03 июля 2009. [Электронный ресурс]. URL: http://www.krasnodar.tele2.ru/help_warning_mobile.html (дата обращения: 31.01.13)

3. Федеральный Закон № 126-ФЗ "О связи" от 07.07.2003 (ред. от 03.12.2011).

4. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 г.