Защита личной информации в компаниях сотовой связи

Размещено на http://www.allbest.ru/

Оглавление

1. Правовой аспект защиты личной информации в компаниях сотовой связи

2. Защита личной информации в различных компаниях сотовой связи

3. Реализация системы защиты информации в сетях оператора сотовой связи "МегаФон"

4. Преступления в сфере сотовой телефонной связи



1. Правовой аспект защиты личной информации в компаниях сотовой связи

На современном этапе развития сотовая телефонная связь стала неотъемлемой частью нашей жизни. Невозможно представить уже обычный день каждого человека без совершения звонка или написания смс-сообщения. Ежеминутно люди используют средства сотовой телефонной связи для совершения как личных бесед, так и бизнес-переговоров, решают неотложные дела посредством сотовой связи. Для осуществления всех этих операций необходимо получить услугу от компании - оператора, поставщика сотовой телефонной связи.

На сегодняшний день как на мировом, так и на российской рынке существует огромное количество компаний сотовой связи, начиная от мелких региональных компаний, заканчивая компаниями федерального и мирового уровня. Данный спектр компаний различает круг факторов - качество услуг, перечень дополнительных возможностей, стоимость, широта распространения, но в качестве объединяющего фактора между всеми компаниями выступает работа с персональной, личной информацией каждого абонента.

Данный вид деятельности основывается на определенной нормативно-правовой базе, и включает в себя перечень законов, нормативно-правовых актов, положений и постановлений.

Основным законом, которым должна руководствоваться каждая сотовая компания, является Конституция РФ. В данном законе перечислены все основные права человека и гражданина в сфере телефонной связи, так на основании ст.23.2 сотовая компания обязана хранить тайну переписки и телефонных переговоров, данное право может быть ограничено в судебном порядке. [1]

Помимо Конституции РФ к нормативно-правовым актам в сфере телефонной связи относится перечень других источников:

1. ФЗ «О связи» от 7.07.2003 года

2. ФЗ «О персональных данных» от 27.07.2006 года

3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 06.03.1997 года

4. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Расскажем подробнее о каждом нормативно-правовом акте.

Согласно ч.1 ст.44 Федерального закона от 7.07.2003 №126-ФЗ «О связи» на территории Российской Федерации услуги связи оказываются операторами связи пользователям услугами связи на основании договора об оказании услуг связи, заключаемого в соответствии с гражданским законодательством и правилами оказания услуг связи.

Правила оказания телематических услуг связи утверждены постановлением Правительства РФ от 10.09.2007 №575.

В соответствии с п.18,19,20 Правил оказания телематических услуг связи оказание телематических услуг связи с предоставлением доступа к сети передачи данных с использованием абонентской линии осуществляется на основании договора, заключенного в письменной форме.

Для заключения договора с предоставлением доступа к сети передачи данных с использованием абонентской линии лицо, имеющее намерение заключить договор (далее - заявитель), подает оператору связи заявление о заключении договора (далее - заявление).

Порядок регистрации и форма заявлений устанавливаются оператором связи. Оператор связи обязан оповестить заявителя о регистрации заявления в 3-дневный срок.

Оператор связи не вправе отказать заявителю в приеме и рассмотрении заявления.

Оператор связи в срок, не превышающий 30 дней с даты регистрации заявления, осуществляет проверку наличия технической возможности для предоставления доступа к сети передачи данных. При ее наличии оператор связи заключает с заявителем договор.

Оператор связи имеет право отказать в заключении договора при отсутствии технической возможности для предоставления доступа к сети передачи данных. При этом о своем отказе оператор связи обязан сообщить заявителю в письменной форме в срок, не превышающий 10 дней с даты окончания проверки, предусмотренной пунктом 19 настоящих Правил.

Согласно п.24 Правил оказания услуг местной, внутризоновой, междугородной и международной телефонной связи, утвержденных Постановлением Правительства РФ от 18.05.2005 №310 (далее Правила оказания услуг телефонной связи) услуги телефонной связи оказываются на основании возмездных договоров.

На основании п.34,35,36,34 Правил оказания услуг телефонной связи заявление о заключении договора может быть подано любому оператору связи, оказывающему услуги телефонной связи на территории муниципального образования, где расположено помещение, в котором устанавливается оборудование. Оператор связи не вправе отказать заявителю в приеме и рассмотрении указанного заявления.

Оператор связи в срок, не превышающий 1 месяц со дня регистрации им заявления о заключении договора, осуществляет в соответствии с заявлением проверку наличия технической возможности предоставления доступа к сети местной телефонной связи или технической возможности оказания услуг телефонной связи с использованием дополнительного абонентского номера (далее - техническая возможность). При наличии соответствующей технической возможности оператор связи заключает с заявителем договор.

При отсутствии соответствующей технической возможности заявление о заключении договора принимается на учет в целях определения очередности заключения договора.

Очередность заключения договора определяется исходя из даты регистрации заявления о заключении договора и с учетом преимуществ, установленных законодательством Российской Федерации и международными договорами. Порядок ведения очереди на заключение договора определяется оператором связи.

Оператор связи в срок, не превышающий 2 месяца со дня регистрации им заявления о заключении договора, сообщает (в письменной форме) заявителю о предполагаемом сроке заключения договора, а при отсутствии соответствующей технической возможности - также о порядковом номере.

Кроме того, на основании п. 56 Правила оказания услуг телефонной связи оператор связи не вправе при заключении договора навязывать абоненту и (или) пользователю оказание иных услуг за отдельную плату. [2]

Федеральный закон «О защите персональных данных» имеет более широкий круг влияния на операторов сотовой связи.

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 9 Федерального закона - согласие субъекта персональных данных на обработку его персональных данных - является одной из ключевых для работы сотовых компаний.

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

На основании перечисленных законодательных и нормативных актов должна осуществляться работа с личной информацией об абонентах сотовых компаний. [3]

2. Защита личной информации в различных компаниях сотовой связи

Случаев несанкционированного прослушивания и потери конфиденциальной информации непосредственно в сетях сотовой связи в мировой истории немного. Российские операторы не смогли упомянуть даже одного подобного инцидента. Тем не менее службы безопасности, а также ИТ-директора крупных предприятий и организаций видят угрозы обеспечению информационной безопасности всякий раз, когда различные мобильные устройства находят новое применение в сфере управления.

Для них подобные новшества, как правило, оборачиваются настоящей головной болью. Порой легче установить в организации дополнительно 100 компьютеров по уже отработанной процедуре, чем обеспечить защиту пяти появившихся планшетов, которые топ-менеджеры решили использовать для просмотра и согласования важных документов. Судя по отсутствию громких инцидентов, обеспечивать защиту этих новинок пока удается. Благо предложения со стороны операторов сотовой связи пока покрывают потребности клиентов в области защиты информации.

Стандартная защита.

Все используемые способы обеспечения информационной безопасности в сетях сотовой связи операторы «большой тройки» (как и «Скай Линк») определяют централизованно, а затем эти технологии защиты головной офис рекомендует региональным подразделениям.

Спектр имеющихся предложений еще не очень широк. Прежде всего, это услуга VPN, которая благодаря шифрованию позволяет надежно защитить передаваемую в сетях сотовой связи информацию. При подключении данной услуги обычно учитываются особенности сети компании клиента: специфичные способы авторизации, политики информационной безопасности, использование защищенного доступа. Компания «Скай Линк» даже создала типовые отраслевые решения защищенного доступа к корпоративным информационным системам.

В дополнение к VPN операторы предлагают сетевые экраны для защиты от действий третьих лиц по захвату управления над компьютерной сетью. Кроме того, в арсенале провайдеров есть услуга подключения оборудования по выделенному каналу с публичным статическим IP-адресом.

Голосовой трафик также шифруется. Специалисты считают, что стандарт CDMA, используемый «Скай Линк», обеспечивает лучшую защиту от прослушивания, чем GSM, однако и последний достаточно надежен. «В теории дешифровать как передаваемые по сетям мобильной связи данные, так и голос возможно. Однако при использовании криптографических алгоритмов с «длинными» ключами, такими как AES-256 или 3DES, на дешифровку методом перебора на современных компьютерных мощностях потребуются многие годы. Вряд ли кто-нибудь из злоумышленников увидит смысл в решении этой задачи», - говорит Павел Антонов, инженер-консультант представительства Cisco в России и СНГ.

Некоторая опасность связана с тем, что существуют стыковки с сетями сотовых операторов из менее развитых в технологическом плане стран. Степень защищенности таких сетей значительно ниже, чем в Европе, США и России. Однако подобная угроза существует только при обмене данными с партнерами из этих стран.

В момент передачи голосового трафика и данных по защищенным каналам в сетях сотовой связи вероятность их несанкционированного перехвата низка. Однако она увеличивается при наличии доступа к мобильным устройствам или установлении контроля над ними (например, путем заражения вирусами).

Чаще всего ноутбуки, телефоны и планшеты при потере или краже попадают в руки людей, которых интересует прежде всего само устройство. Но некоторых может заинтересовать и хранящаяся на них информация. Чтобы защитить данные в таких ситуациях, операторы «большой тройки» рекомендуют клиентам использовать для связи их специальные тарифы, услуги и телефоны. В настоящее время на российском рынке существует два варианта «защищенных» аппаратов -- канадский BlackBerry и отечественный «SMP-Атлас».

BlackBerry предлагают МТС и «ВымпелКом» в рамках предоставления одноименной услуги. Эта услуга обеспечивает доступ к корпоративной почте и таким системам, как CRM и ERP, при наличии канадского смартфона.

«При подключении к BlackBerry весь исходящий и входящий на аппарат трафик шифруется алгоритмом Triple DES либо AES, что гарантирует постоянную защищенность передаваемой информации. Все данные, находящиеся в памяти смартфона, защищены обязательным паролем и могут быть дополнительно зашифрованы. В случае утери или кражи аппарата BlackBerry у клиента есть возможность дистанционно изменить пароль, заблокировать телефон или даже удалить данные», - сообщил Дмитрий Костров, директор по проектам департамента информационной безопасности МТС.

Если в BlackBerry защищаются именно данные, то сотовый телефон «SMP-Атлас» обеспечивает дополнительное шифрование речи с помощью встроенных средств криптографической защиты. Шифрование и дешифровка происходят только в телефонном аппарате, что исключает возможность прослушивания. Из телефона невозможно извлечь SIM-карту без сброса ключей шифрования. Это исключает использование аппарата при его утере или краже. Приобрести «SMP-Атлас» можно у операторов МТС и «МегаФон» при подключении к похожим по названию услугам -- «Конфиденциальная связь» и «Конфиденциальная сотовая связь» соответственно.

Вирусы еще не стали серьезной угрозой для сотовых телефонов и смартфонов, но создатели антивирусных программ уже предлагают свои разработки для них, а российские операторы предлагают антивирусы своим клиентам.

Эксперты считают, что нынешняя ситуация с редкими попытками преодоления защиты в сетях сотовой связи является временной. Для злоумышленников, судя по всему, беспроводные каналы связи еще не очень интересны, поскольку существуют широкие возможности в фиксированных сетях доступа к Интернету. Но надо иметь в виду, что в последние годы мобильные телефоны приобретают свойства персональных компьютеров. «Следовательно, спектр угроз безопасности для мобильных устройств со временем будет становиться таким же как и для персональных компьютеров, работающих в Сети», - считает Павел Антонов.

С ним солидарен Дмитрий Костров: «Стремительное развитие технологий привело к тому, что количество рисков, с которыми сталкиваются пользователи, возрастает. Как только расширился функционал телефонов, появились неограниченные возможности для злоумышленников. После перехода на IP-технологии (3G, LTE) эта область стала сравнима с Интернетом».

Ожидается, что по мере появления новых угроз и большего интереса злоумышленников к сетям сотовой связи на рынке будут появляться новые предложения разработчиков технологий защиты, а также новые стандарты.

Рассмотрим принципы защиты информации, применяемые в самом распространенном стандарте сотовой связи - GSM.

У всех сотовых систем существует принципиальный недостаток: информация передается по радиоканалу, а значит, подвержена несанкционированному доступу и, как следствие из этого, необходимо защитить передаваемую информацию. В стандарте GSM применены три операции, обеспечивающие защиту данных.

1. Аутентификация (подлинность, достоверность). Эта процедура применяется при подключении абонента к системе. Рассмотрим простейший способ аутентификации абонента. В каждом телефонном аппарате стандарта GSM имеется индивидуальная SIM-карта, содержащая индивидуальный ключ абонента Ki и контроллер, предназначенный для аутентификации. С базовой станции на абонентскую посылается случайная последовательность RAND. При получении этой последовательности на абонентской станции происходит специальное преобразование T12, с использованием ключа абонента Ki. Формируется отклик на входящий сигнал RAND - последовательность Res. На базовой станции проходит такая же операция, с использованием ключа Ki, хранящегося в регистре данных оператора мобильной связи. Формируется отклик - xRes. Затем сравниваются отклики Res и xRes, и если они совпадают, то процедура аутентификации пройдена. Именно такой порядок необходим, чтобы сохранить секретность оригинального ключа Ki, хранящегося у оператора. Ведь, если вам известен ключ, то вы можете войти в сеть, а оператор будет считать, что в сеть вошел хозяин данного ключа, и вам "перейдет" его денежный счет у данного оператора. Именно поэтому необходимо защитить и базу данных с индивидуальными ключами абонентов.

2. Идентификация. Определяется принадлежность данного мобильного аппарата, вернее, SIM-карты. Если ваш телефонный аппарат был украден, то вы можете подать заявление об этом, и использование аппарата будет невозможно. Но, как показывает практика, операторы сотовой связи заносят в "черный список" лишь SIM-карту. И человек, укравший ваш аппарат, может выбросить вашу SIM-карту и подключить аппарат снова. Это подтверждается огромным числом краж трубок, причем среди пострадавших есть и мои знакомые. Поэтому стоит лишь посоветовать вам: беречь свои телефонные аппараты.

3. Шифрование передаваемой информации. В стандарте GSM использована система простейшего шифрования. Информация передается в цифровом виде, и происходит сложение по модулю два (mod2) информационной последовательности и шифровой. Дешифрация возможна при наличии шифровой последовательности и осуществляется все тем же сложением по модулю два (mod2) зашифрованной последовательности и дешифровочной, которая полностью совпадает с исходной шифровой.

Не касаясь сотовых систем, скажем, что для шифрования передаваемых данных разработано огромное количество алгоритмов. Все они имеют свои преимущества и свои недостатки, и не надо думать, что если метод шифрования достаточно прост, как в рассмотренном примере, то он недостаточно эффективен. Растущее с каждым днем число пользователей стандарта GSM доказывает его надежность и применимость

Одновременно с расширением областей использования сотовых сетей связи все более актуальными становятся вопросы защиты информации, передаваемой в этих сетях. Криптографическая защита информации с использованием заложенных в стандарте GSM алгоритмов предназначена только для закрытия радиоканала от телефона абонента до базовой станции и не может обеспечить требуемого уровня конфиденциальности.

Сейчас за 200 - 300 дол. можно приобрести оборудование, способное прослушивать разговоры до 200 абонентов. Причем комплект этого оборудования состоит из простых составляющих: обычный персональный компьютер, две звуковые колонки, клавиатура, простенький монитор и устройство для считывания информации SIM-карт. С помощью такой нехитрой "установки" можно прослушивать разговоры владельцев мобильных телефонов стандарта GSM на расстоянии до 500 м от "цели" в зависимости от погодных условий и местности. Принцип действия устройства считывания информации прост. Оно представляет собой сканер, который записывает сигналы, посылаемые телефоном во время разговора, а потом их раскодирует. Причем для прослушивания разговоров определенных абонентов ничего, кроме их номеров, не требуется.

Нелегальный оборот подобных специальных технических средств сегодня входит в число самых доходных криминальных промыслов, занимая четвертое-пятое место после торговли наркотиками и оружием.

Таким образом, обеспечить гарантированный уровень защиты информации от абонента до абонента по критериям конфиденциальности и целостности с использованием только штатных средств защиты информации существующих сотовых сетей невозможно (по ряду технологических и экономических причин).

Одним из доступных и выгодных путей решения данной проблемы является использование принципа абонентского шифрования с применением так называемых наложенных средств защиты информации. Иначе говоря, сеть сотовой связи "надстраивается" для определенной категории пользователей дополнительными средствами защиты до требуемого уровня конфиденциальности и целостности. Для этого в качестве абонентских терминалов используются специальные сотовые телефоны (ССТ) со встроенными средствами криптографической защиты. При этом информация защищается по принципу от пользователя до пользователя, что принципиально важно, так как по всему маршруту прохождения в сети информация криптографически защищена. Алгоритм шифрования имеет высокую стойкость и обеспечивает гарантированную защиту информации в случае ее несанкционированного перехвата. Помимо этого при вхождении в связь используется специальный алгоритм аутентификации пользователей, парольная защита и т.д.

Совокупность специальных сотовых телефонов, работающих по определенному алгоритму, в единой ключевой зоне, является специальной наложенной сетью относительно сети оператора сотовой связи. Причем, пользователи (абоненты) специальной наложенной сети имеют возможность выбора двух режимов работы:

обмена конфиденциальной информацией друг с другом внутри специальной наложенной сети за счет использования встроенных в ССТ функций абонентского шифрования информации, в том числе при роуминге;

выхода с использованием ССТ во внешнюю открытую сеть оператора и другие сопряженные сети для общения с обычными пользователями, при этом функция абонентского шифрования отключается.

Разумеется, доступность связи и в том и другом случае будет целиком и полностью зависеть от возможностей сети сотового оператора, имеющего специальную наложенную сеть, и сетей других операторов при роуминге.

3. Реализация системы защиты информации в сетях оператора сотовой связи "МегаФон"

Необходимость создания дополнительных систем защиты информации в сетях сотовой связи давно осознается руководством страны. Президент РФ Указом от 10.08.1998 г. № 944 поручил Правительству РФ принять меры по обеспечению безопасности государства при развитии и эксплуатации сетей электрической связи и созданию специальной федеральной подсистемы конфиденциальной сотовой связи на основе сотовой радиотелефонной связи в стандарте GSM (СФП КСС).

В сентябре 2000 г. Президент РФ подписал доктрину информационной безопасности РФ. В ней в числе других была поставлена задача защиты информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых на территории РФ. Задача обеспечения безопасного и устойчивого функционирования существующих и создаваемых сетей сотовой связи как составляющей взаимоувязанной сети связи РФ приобрела государственное значение.

В развитие издано ряд постановлений, в которых были намечены первые шаги по реализации указа, а также определен государственный заказчик проекта СФП КСС, он же специальный оператор федеральной подсистемы - ФАПСИ (ныне служба специальной связи и информации ФСО России, далее - Спецвязь ФСО России)…

…В настоящее время с участием "МегаФона" разрабатываются новые перспективные модели специальных сотовых телефонов. К примеру, российскими производителями сотовых телефонов скоро будет организовано серийное производство специального сотового телефона - криптосмартфона (рис. 3).

Накопленный опыт работы показал, что для качественного, эффективного и стабильного предоставления услуг конфиденциальной сотовой связи необходимо создание единой транспортной среды для СФП КСС и ССПД на основе сетей связи стандарта GSM с участием других, кроме базового, операторов связи.

Создание такой транспортной среды позволит организовать взаимодействие всех задействованных операторов связи, окончательно определить оптимальную маршрутизацию СФП КСС и введение приоритетов для выделенных групп абонентов, что существенно повысит качество предоставления услуг конфиденциальной сотовой связи.

Учитывая тот факт, что сети конфиденциальной сотовой связи существуют и, несомненно, будут существовать дальше, обязательным шагом в организации единой транспортной среды СФП КСС должно быть создание правовой базы для функционирования сетей конфиденциальной сотовой связи. Такой базы в настоящее время не существует. К примеру, базовый оператор СФП КСС для обеспечения бесперебойной и качественной конфиденциальной сотовой связи должен иметь возможность на законном основании использовать собственные несжатые межсетевые каналы связи (операторы дальней связи, как уже говорилось, сжимают свои каналы, что ведет к полному срыву конфиденциальной связи).

Кроме того, необходимо обеспечить возможность роуминга между сетями сотовых операторов в одном лицензионном регионе. Это нужно для того, чтобы часть абонентов СФП КСС, а они зачастую являются персонами государственной важности, при отсутствии покрытия в сети базового оператора могли иметь конфиденциальную сотовую связь, находясь на роуминге в сети другого сотового оператора на этой же лицензионной территории. Следует отметить, что при чрезвычайных ситуациях, стихийных бедствиях и тому подобному (во избежание паники и жертв) целесообразно предоставлять роуминг всему населению в оставшихся в рабочем состоянии сетях сотовой связи одного и того же региона.

В правовой базе СФП КСС необходимо определить само понятие СФП КСС, статус ее составных частей, зоны ответственности министерств, ведомств и организаций, обеспечивающих строительство, развитие и функционирование СФП КСС и т. п.

Сегодня в этих вопросах сложилась следующая ситуация.

Государственным заказчиком и специальным оператором СПКСС является Служба специальной связи и информации ФСО России (Спецсвязь ФСО России). Она же является координирующим органом СФП КСС по вопросам организации конфиденциальной сотовой связи и общего взаимодействия.

Базовым оператором, предоставляющим свои сети сотовой связи в качестве транспортной среды для СФП КСС и услуги конфиденциальной сотовой связи, является ОАО "МегаФон".

Координацию и контроль вопросов информационной безопасности в обеих компонентах СФП КСС осуществляет центр безопасности связи ФСБ России.

Организацию и координацию решения вопросов строительства, развития и функционирования единой транспортной среды (с участием операторов фиксированной и подвижной связи) в интересах СФП КСС осуществляет Мининформсвязи России совместно с базовым оператором СФП КСС. информация защита сотовая связь

Для обеих компонент СФП КСС допускается организация выделенных (ведомственных) сетей конфиденциальной сотовой связи. Подключение к ведомственным сетям абонентов, организация взаимодействия абонентов этих сетей производится с согласия ведомств, организовавших выделенную сеть.

К примеру, подключение абонентов других министерств и ведомств к сети конфиденциальной сотовой связи взаимодействия правоохранительных органов производится только после согласования с ВВ МВД России, которые организовали эту сеть.

Кроме того, для обеих компонент СФП КСС допускается организация шлюзов на ведомственные сети фиксированной связи после согласования со Спецсвязью ФСО России и другими ведомствами.

Это те примерные вопросы, решение которых в правовом плане упорядочит функционирование СФП КСС и, следовательно, повысит качество предоставления услуг конфиденциальной сотовой связи.

4. Преступления в сфере сотовой телефонной связи

Сотовая телефонная связь является сегодня одним из наиболее динамично развивающихся видов беспроводной персональной связи. Однако значительно большими темпами возрастет преступность в этой сфере. Преступления совершаются организованными преступными группами, деятельность многих из которых носит транснациональный характер. По оценкам аналитиков компании Ericsson, потери на мировом рынке сотовой связи превышают 1 млрд долл в год и в некоторых случаях достигают 40% дохода операторов связи(1). Операторы терпят убытки от мошенников также в форме потери доверия абонентов. Увеличиваются и затраты компаний на борьбу с "сотовой преступностью".

Прежде чем проанализировать основные способы совершения преступлений в системе сотовой телефонной связи, целесообразно дать краткую характеристику средствам и технологии данного вида персональной беспроводной связи.

Краткая характеристика сотовой телефонной связи.

Мобильные телефоны сотовой связи фактически являются сложной миниатюрной приемо-передающей радиостанцией. Каждому сотовому телефонному аппарату присваивается свой электронный серийный номер (ESN), который кодируется в микрочипе телефона при его изготовлении и сообщается изготовителями аппаратуры специалистам, осуществляющим его обслуживание. Кроме того, некоторые изготовители указывают этот номер в руководстве для пользователя. При подключении аппарата к системе связи компании, предоставляющей услуги сотовой связи, в микрочип телефона дополнительно заносятся мобильный идентификационный номер (MIN).

Мобильный сотовый телефон имеет большую, а иногда и неограниченную дальность действия, которую обеспечивает сотовая структура зон связи. Вся территория, обслуживаемая сотовой системой связи, разделена на отдельные прилегающие друг к другу зоны связи или "соты". Телефонный обмен в каждой такой зоне управляется базовой станцией, способной принимать и передавать сигналы на большом количестве радиочастот. Кроме того, эта станция подключена к обычной проводной телефонной сети и оснащена аппаратурой преобразования высокочастотного сигнала сотового телефона в низкочастотный сигнал проводного телефона и наоборот, чем обеспечивается сопряжение обеих систем.

Периодически (с интервалом 30-60 минут) базовая станция излучает служебный сигнал. Приняв его, мобильный телефон автоматически добавляет к нему свои MIN- и ESN-номера и передает получившуюся кодовую комбинацию на базовую станцию. В результате этого осуществляется идентификация конкретного сотового телефона, номера счета его владельца и привязка аппарата к определенной зоне, в которой он находится в данный момент времени.

Когда пользователь звонит по своему телефону, базовая станция выделяет ему одну из свободных частот той зоны, в которой он находится, вносит соответствующие изменения в его счет и передает его вызов по назначению. Если мобильный пользователь во время разговора перемещается из одной зоны связи в другую, базовая станция покидаемой зоны автоматически переводит сигнал на свободную частоту новой зоны.

Способы совершения преступлений в сфере сотовой телефонной связи

Преступления в сфере сотовой телефонной связи могут быть объединены в две основные группы:

· преступления против компаний сотовой связи (переадресация звонков, мошенничество с абонементом, перепрограммирование, клонирование);

· преступления, посягающие на интересы пользователей сотовой телефонной связи (несанкционированный перехват информации, хищение мобильных телефонов сотовой связи, незаконное использование утерянных и похищенных мобильных телефонных аппаратов).

Преступления против компаний сотовой связи. Существует несколько типичных схем совершения преступных посягательств данного вида. Рассмотрим их более подробно.

Переадресация звонков. Преступник становится клиентом компании мобильной связи, покупает телефон, а затем дает рекламу в газету о предоставлении услуг дешевой связи с любой страной мира. Связавшийся с ним клиент называет номер, с которым он хочет связаться. Затем мошенник вешает свою трубку, устанавливает переадресацию на указанный номер и связь осуществляется в обход по транку, через коммутатор. При этом номер преступника не занят и может использоваться снова. Таким образом можно одновременно обслужить множество международных вызовов, получить за них деньги и скрыться.

Мошенничество с абонементом. Данная преступная схема включает следующие стадии:

1. Преступник абонирует сотовую связь на имя другого лица без ведома последнего

2. Преступник использует телефон в операциях по "торговле телефонными звонками", то есть предлагает своим клиентам анонимно звонить в любое точку мира по низкому тарифу (например, 100 долларов в час).

3. Если счет остается неоплаченным, телефон отключается. Мошенник подключается к очередному чужому номеру.

4. Компании сотовой связи вынуждены возмещать компаниям междугородной связи стоимость таких звонков.

Перепрограммирование. Данная схема предполагает выполнение следующих основных операций:

1. Преступник приобретает сотовый телефонный аппарат законным способом и заменяет микросхему, или же нелегально приобретает телефон с уже перепрограммированным программным запоминающим устройством (ПЗУ).

2. При помощи перепрограммированного аппарата преступник получает доступ к коммутационному оборудованию телефонных компаний, и его вызовы обрабатываются, как и любые другие, с той лишь разницей, что предъявить по ним счет некому.

3. Поскольку компания сотовой связи не может установить личность клиента, она вынуждена оплатить счета по стоимости междугородной части таких вызовов. Если такая махинация проведена на высоком уровне, данный тип мошенничества невозможно отследить или предотвратить.

Клонирование. Клонирование основано на том, что абонент использует чужой идентификационный номер (а, следовательно - и счет) в корыстных интересах. При использовании данного способа используется следующая последовательность действий:

1. Преступник перехватывает идентифицирующий сигнал чужого телефона и выделяет из него идентификационные номера MIN и ESN. Потенциальный преступник может перехватить эту электронную информацию при помощи радиосканера либо так называемого сотового кэш-бокса, представляющего собой комбинацию сканнера, компьютера и сотового телефона. Он легко выявляет и запоминает номера MIN и ESN и автоматически перепрограммирует себя на них. Использовав пару MIN/ESN один раз, он стирает ее из памяти и выбирает другую. Такой аппарат делает выявление мошенничества практически невозможным. Несмотря на то, что эта аппаратура на Западе пока еще редка и дорога, она уже существует и представляет растущую опасность для пользователей сотовой связи.

2. Преступник перепрограммирует свой телефон так, чтобы пользоваться электронным серийным номером и телефонным номером этого абонента. Перепрограммирование осуществляется путем перенесения информации с помощью компьютера на микросхему, которая вставляется в сотовый телефон. Таким телефоном можно пользоваться до тех пор, пока несанкционированные вызовы не будут обнаружены. Стоимость разговора с этого аппарата заносится базовой станцией на счет того абонента, у которого эти номера были украдены.

3. Доказав, что такие вызовы были произведены не им, абонент может опротестовать счета и добиться их отмены. В таких случаях компания сотовой связи вынуждена оплатить междугородную часть таких вызовов Преступник же выходит на номер любого другого абонента и снова возвращается к своему незаконному бизнесу.

Кража номеров осуществляется, как правило, в деловых районах и в местах скопления большого количества людей: шоссе, дорожные пробки, парки, аэропорты, - с помощью очень легкого, малогабаритного автоматического оборудования. Выбрав удобное место и включив свою аппаратуру, мошенник может за короткий промежуток времени наполнить память своего устройства большим количеством номеров.

Например, в больших городах Запада, чаще всего в аэропортах, работают мошенники, которые, клонировав ESN-номер чьего-либо мобильного телефона, предоставляют за плату возможность другим людям звонить с этого телефона в отдаленные страны за счет того, чей номер выкрали.

Среди преступлений против интересов пользователей персональной сотовой телефонной связью наиболее опасным является несанкционированный перехват информации, который осуществляется с различными целями, среди которых одна из наиболее значимых - экономический шпионаж.

Несанкционированный перехват информации

В настоящее время электронный перехват разговоров, ведущихся по сотовому телефону, стал широко распространенным явлением. Так, например, в Канаде, по статистическим данным, от 20% до 80% радиообмена, ведущегося с помощью сотовых телефонов, случайно или преднамеренно, прослушивается посторонними лицами.

Электронный перехват сотовой связи не только легко осуществить, он, к тому же, не требует больших затрат на аппаратуру, и его почти невозможно обнаружить. Мобильные сотовые телефоны, особенно аналоговые, являются самыми уязвимыми аппаратами с точки зрения защиты передаваемой информации.

Принцип передачи информации такими устройствами основан на излучении в эфир радиосигнала, поэтому любой человек, настроив соответствующее радиоприемное устройство на ту же частоту, может услышать каждое ваше слово. Для этого даже не нужно иметь особо сложной аппаратуры. Разговор, ведущийся с сотового телефона, может быть прослушан с помощью программируемых сканнеров с полосой приема 30 КГц, способных осуществлять поиск в диапазоне 860-890 МГц. Для этой же цели можно использовать и обычные сканнеры после их небольшой модификации, которая подробно описана в Интернете. Перехватить разговор можно даже путем медленной перестройки УКВ-тюнера в телевизорах старых моделей в верхней полосе телевизионных каналов (от 67 до 69), а иногда и с помощью обычного радиотюнера. Наконец, такой перехват можно осуществить с помощью персонального компьютера.

Используемый в цифровых сотовых телефонах алгоритм шифрования Cellular Message Encryption Algorithm (CMEA) может быть вскрыт опытным специалистом в течение нескольких минут с помощью персонального компьютера. Цифровые коды, набираемых на клавиатуре цифрового сотового телефона (телефонные номера, номера кредитных карточек или персональные идентификационные номера PIN) могут быть легко перехвачены с помощью цифрового сканнера.

Некоторые направления предотвращения потерь телефонных компаний сотовой связи.Важным направлением борьбы с сотовыми мошенниками сегодня признается совершенствование методов анализа звонков с целью выделения аномального поведения абонентов. На прошедшей в Лондоне в апреле 1998 года ежегодной международной конференции "Борьба с мошенничеством в мобильных системах связи" (Digital Mobile Fraud'98 были рассмотрены системы защиты, построенные на различных принципах.

Системы, построенные на задании особых правил контроля и основанные на статистическом анализе звонков. Например, если с интервалом в 1 секунду следуют два вызова, а по учетной записи эти вызовы попадают в различные ячейки (например, в разных концах города), то можно сделать вывод, что происходит нештатная ситуация.

Для предотвращения мошенничества при роуминге предлагается два основных метода - сокращение периода обмена роуминговыми данными до 1 часа и использование специальной сигнализации со схем, которые связаны с коммутаторами, обеспечивающими синхронизацию по роумингу, для получения в режиме on-line информации о вызовах, которые делает абонент в сети другого коммутатора. Другая схема основана на возможности классифицировать роуминговые звонки по стране проживания клиента. Если он приехал, скажем, из России, то можно предполагать, что он связываться будет, в основном, именно со своей страной, а не с Нигерией. Предложено ввести в биллинговую систему некоторую классификацию стран, наиболее подверженных мошенничеству, - например, страны Юго-Восточной Азии. При вызовах именно в эти регионы система защиты от мошенничества начинает более тщательно отслеживать поведение клиента.

Системы, построенные на принципах теории распознавания образов. Подобные системы защиты строят различные адаптивные схемы, которые позволяют создать некоторый многомерный образ поведения абонента. При получении каждого следующего звонка этот образ перестраивается. Если клиент начинает вести себя аномально, слишком много говорить или делать слишком длинные вызовы, его образ поведения начинает значительно отличаться от уже созданного, и модель не может к нему подстроиться. И это служит сигналом, что с клиентом что-то не то.

Самообучающиеся системы, построенные на принципах нейронных сетей. Система нейронного типа внешне очень похожа на адаптивные системы, но отличается способом реализации. В этом случае все построено не на чисто математической модели, а на некоторой самообучающейся программе, которая имитирует поведение нейронных сетей в мозге человека. Такие системы способны даже отличать телефонные вызовы мошенников от внешне похожих звонков легальных абонентов.

Рекомендуемые меры предупреждения несанкционированного перехвата информации

Для предотвращения перехвата информации специалисты рекомендуют пользователю предпринять следующие меры:

· использовать общепринятые меры по предупреждению раскрытия информации: избегать или свести к минимуму передачу конфиденциальной информации, такой как номера кредитных карточек, финансовые вопросы, пароли. Использовать в этих целях к более надежным проводным телефонам, убедившись, что собеседник не использует в этот момент радиотелефон. Не использовать сотовые или беспроводные телефоны для ведения деловых разговоров;

· труднее перехватить разговор, который ведется с движущегося автомобиля, т.к. расстояние между ним и перехватывающей аппаратурой (если та находится не в автомобиле) увеличивается и сигнал ослабевает. Кроме того, при этом сигнал переводится с одной базовой станции на другую с одновременной сменой рабочей частоты, что не позволяет перехватить весь разговор целиком, поскольку для нахождения этой новой частоты требуется время;

· использовать системы связи, в которых данные передаются с большой скоростью при частой автоматической смене частот в течение разговора;

· использовать цифровые сотовые телефоны;

В случае использования беспроводного радиотелефона:

· использовать радиотелефоны с автоматической сменой рабочих частот типа "spread spectrum" или цифровые, работающие на частотах порядка 900 МГц;

· использовать радиотелефоны со встроенным чипом для шифрования сигнала.

Для предотвращения мошенничества:

· держать документы с ESN-номером вашего телефона в надежном месте;

· ежемесячно и тщательно проверять счета на пользование сотовой связью;

· в случае кражи или пропажи сотового телефона сразу предупредить фирму, предоставляющую вам услуги сотовой связи;

· держать телефон отключенным до того момента, пока вы не решили им воспользоваться. Этот способ самый легкий и дешевый, но следует помнить, что достаточно одного выхода на связь, чтобы выявить MIN/ESN номера аппарата;

· регулярно менять через компанию, предоставляющую вам услуги сотовой связи, MIN-номер вашего аппарата;

· установить дополнительный 4-значный PIN-код, набираемый перед разговором. Этот код затрудняет деятельность мошенников, так как они обычно перехватывают только MIN и ESN номера, но небольшая модификация аппаратуры перехвата позволяет выявить и его;

· наиболее эффективным методом противодействия является шифрование MIN/ESN номера (вместе с голосовым сигналом) по случайному закону. Этот метод дорог и пока малодоступен. [4]



Список литературы

1. Конституция Российской Федерации от 12.12.1993

2. Гражданский Кодекс Российской Федерации N 51-ФЗ от 30.11.1994

3. Уголовный Кодекс Российской Федерации N 63-ФЗ от 13.06.1996

4. Федеральный закон «О связи» N 126 от 07.07.2003

5. Федеральный закон «О персональных данных» N 152 от 27.07.2006

Размещено на Allbest.ru

...