Обеспечение защиты информации
дополнительных услуг операторов сотовой связи
http://spisok.math.spbu.ru/2013/txt/papers/
Васильева Н. А., к.т.н. ассистент кафедры Безопасные Информационные Технологии НИУ ИТМО nata-m@mail.ru
Аннотация
В статье произведен обзор рынка услуг от сотовых операторов, произведен анализ законодательной базы, рассмотрены актуальные виды мошенничества при обращении к услугам сотовых операторов, а так же определены сложности защиты информации абонентов при обращении к услугам сотовых операторов связи.
Введение
Современные мобильные телефоны – это мобильные компьютеры, позволяющие хранить, передавать, принимать и обрабатывать аудио-, видео-, и текстовую информацию. Два неоспоримых факта делают вопросы защиты абонентских устройств и оборудования операторов связи все более актуальными: круглосуточная близость к абоненту и растущий список возможностей. Целью проведенной работы был анализ защищенности услуг сотовых операторов связи. Полученные результаты говорят об акцентировании операторов связи на вопросах защиты абонентов от мошеннических действий и отсутствии официально принятой научно-методической базы для решения комплексных задач защиты абонентов при обращении к услугам связи.
Решение
В настоящее время количество введенных операторами связи дополнительных услуг исчисляется сотнями, а с учетом количества существующих на рынке операторов связи возможно приближается к 1000. Услуги от сотовых операторов связи
Перечислим самые известные услуги от сотовых операторов:
Передача SMS,
Передача ММS,
Видео- конфиренции,
Мобильный Интернет,
Короткие номера,
Баланс,
Теле- и радиовикторины и голосования,
Яндекс-пробки,
Мобильный банк,
Обнаружение местоположения абонента (Услуга Радар от ОАО «Мегафон»), [1.]
Знакомства, а так же подборка самых свежих анекдотов, прогноз погоды, тесты, курсы валют, информация о портале, стоимость сервисов, управление подписками и др. [2.]
Анализ законодательной и нормативной базы
Федеральный Закон N 126 "О связи" от 07.07.2003 (ред. от 03.12.2011)
Статья 2, пункт 33:
Услуга связи - деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений; [3.]
Статья 53, пункт 1:
Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации. [3.]
К сведениям об абонентах относятся:
- фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также
- адрес абонента или адрес установки оконечного оборудования,
- абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование,
- сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. [3.]
Федеральный закон N 152 «О персональных данных» от 27.07.2006 г.
Статья 8, пункт 1.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. [4.]
Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от 30 марта 1992 г. и аналогичные ему выдвигают технические требования по защите, которые могут быть применены к оборудованию сотовых операторов.
ГОСТ Р ИСО/МЭК 15408-1,2,3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» позволяет сформировать требования защиты информации практически к любому техническому средству. Стандарт может быть использован с целью формирования требований по защите информации к услугам сотовых операторов.
Виды мошенничества с использованием услуг сотовых операторов связи
Условно все современные виды мошенничества можно разделить на две группы:
- методы психологического воздействия на абонента (социальная инженерия).
- внедрение в абонентское устройство несанкционированного программного обеспечения или программного обеспечения с недекларированными возможностями.
Более подробно виды мошенничества описаны на тематических порталах сотовых операторов связи.
ОАО «Мегафон» разработал и поддерживает сайт «Безопасное общение» расположенный по адресу http://stopfraud.megafon.ru/.
Сотовый оператор «Билайн» разработал сайт «Безопасный Билайн» расположенный по адресу http://safe.beeline.ru/
Сотовая компания МТС разработала сайт «Безопасность – это просто», который находится по адресу http://www.safety.mts.ru/
Сотовый оператор Tele2 посвятил вопросам безопасности страницу «Мобильное мошенничество» – http://www.krasnodar.tele2.ru/help_warning_mobile.html, где даются советы по профилактики мошеннических действий и рекомендации по защите от них.
Виды мошенничества:
Мошенничество с использованием коротких premium номеров SMS: Открытка «с сюрпризом», SMS-знакомства, «Изменились условия Вашего тарифного плана. Предложения псевдоработодателей Некорректное указание стоимости и количества отправляемых SMS, Отсутствие заявленного на ресурсе сервиса.
Мошенничество с использованием голосовых premium номеров: «Позвони мне, позвони…»
Мошенничество на доверии: Телефон «на один звонок», Клонирование, Жертва вымогательства, Дилерские нарушения.
Внедрение вредоносного программного обеспечения: Порнобаннеры, Блокираторы и шифровальщики, Sms-отправители и «порнозвонилки», Псевдоантивирусы, «Задания работодателей».
Мошеннический спам с целью вымогательства: Sms-просьбы, «Выигрыши», «Нигерийские письма» и псевдоакции, «Ошибочные» платежи, Звонки «Техподдержки Оператора», Звонки «из банка». [1.]
Рекомендации по защите абонентов от мошеннических действий:
- Не давайте телефон незнакомым людям.
- Уточняйте стоимость перед звонком или отправкой SMS на короткий номер.
- Не сообщайте посторонним людям номера карт оплаты.
- Не выполняйте никаких инструкций, полученных от незнакомых людей по телефону
- Не сообщайте посторонним людям личную информацию. [2.]
- Устанавливайте на компьютер хорошо зарекомендовавшие себя антивирусные программы и межсетевые экраны (Firewall) и своевременно их обновляйте.
- При скачивании контента внимательно читайте Условия использования сервиса, а также информацию, размещенную с символом «звездочка» (*).
- Не устанавливайте сомнительное программное обеспечение на свой компьютер / мобильный телефон.
- Не открывайте и не запускайте (*.exe) вложенные файлы неизвестного происхождения.
- Будьте осторожны при всплывающих окнах, не переходите по неизвестным ссылкам.
- Не отправляйте SMS для разблокировки Windows и разархивирования файлов.
- Пользуйтесь услугами: «Мобильный прайс», «Блокировка отправки сообщений на короткие номера». [1.]
Особенности обеспечения защиты информации услуг операторов сотовой связи
Ответственность за защиту сведений об абоненте и оказываемых ему услугах связи возлагается на оператора связи и застройщика при строительстве средств связи и сооружений связи (ФЗ «о Связи» Статья 7 п.2).
Разработчиками («застройщиками») услуг связи являются как зарубежные (Nokia, Huawei, HP и др.), так и отечественные компании, специализирующиеся на разработки непосредственно дополнительных услуг (Протей, Беркут, Комплит и др.)
Касперский, Dr.Web, McAfee, Green Head предлагают решения для защиты абонентских мобильных устройств.
Федеральный орган исполнительной власти в области связи устанавливает требования защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации (ФЗ «о Связи» Статья 12, п.2; Статья 26, п.3.3) по согласованию с Федеральным органом исполнительной власти в области обеспечения безопасности (ФЗ «о Связи» Статья 12, п. 2.1).
Минкомсвязью разработаны несколько отраслевых нормативных документов:
Концепция защиты персональных данных в информационных системах персональных данных оператора связи.
Так же в открытом доступе в Интернете можно найти Концепцию и Модель угроз разработанные Инфокоммуникационным союзом непосредственно для операторов связи.
Сложности обеспечения защиты информации (сведений) абонентов при обращении к услугам сотового оператора:
Постоянно вводятся новые сервисы и заканчивают свое существование экономически не целесообразные или временные.
Часть сервисов является встроенными в оборудование сотового оператора связи.
Часть сервисов являются программными продуктами и используют аппаратно-программные комплексы оператора сотовой связи, при чем каждая новая услуга задействует только ей присущий набор технических средств.
Часть сервисов использует только каналы сотового оператора связи и находится в эксплуатации либо у заказчика, либо в аутсорсинге и следовательно использует для своей реализации аппаратно-программные комплексы не принадлежащие оператору
Никто не знает, какой дополнительная услуга будет завтра, в чем будет потребность рынка, частного и корпоративного клиент.
Заключение
Для корректного проведении работ по защите информации дополнительных услуг операторов связи, очевидно, требуется научно-методического подход. Разработанная методика должна учитывать и постоянно-меняющуюся инфраструктуру, и отдельную аттестацию крупных аппаратно-программных комплексов оператора сотовой связи и различную логическую инфраструктуру для каждой конкретно взятой услуги и многое другое.
Литература
1. Официальный сайт ОАО «Мегафон» «Безопасное общение». Лицензии №№ 15002, 41541, 41542, 42688, 54741. [Электронный ресурс]. URL: http://stopfraud.megafon.ru/ (дата обращения: 31.01.13)
2. К.Ю.Смирнов. «Мобильное мошенничество». СМИ «Tele2 (Теле2)». Свидетельство о регистрации Эл №ФС 77-36815 от 03 июля 2009. [Электронный ресурс]. URL: http://www.krasnodar.tele2.ru/help_warning_mobile.html (дата обращения: 31.01.13)
3. Федеральный Закон № 126-ФЗ "О связи" от 07.07.2003 (ред. от 03.12.2011).
4. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 г.