Tema 13. Securitatea sistemelor informaionale 1.Securitatea SI:
definiii, noiuni principale, clasificarea pericolelor de securitate
2.Metodele de protecie a SI 3.Sistemele de identificare i
delimitare a accesului la informaie n cadrul SI 4.Managementul
sistemului de securitate informaional al firmei 5. Politica
european n domeniul securitii informatice 1.Securitatea SI:
definiii, noiuni principale, clasificarea pericolelor de securitate
Potenialul societii informaionale (impactul instaurrii erei
informatice constituie pentru epoca modern ceea ce au nsemnat
cronologic pentru omenire, descoperirea focului, fierului,
petrolului etc) este n continu cretere datorit dezvoltrii
tehnologice i a cilor de acces multiple. n acest context,
desfurarea n bune condiii a activitii securitii sistemelor
informatice impune existena unui sistem IT funcionabil.
Managementul securitii sistemelor IT constituie un factor hotrtor
in buna desfurare a activitii unei companii, pentru asigurarea
proteciei datelor i a efecturii de tranzacii electronice n
condiiile n care activitatea celor mai multe instituii,
ntreprinderi depinde n proporie de circa 67 % de propriul lor
sistem informatic. Se pot enumera printre principalele mijloace
tehnice implementate de ntreprinderile societii moderne a cror
activitate nu se poate desfura optim fr un sistem informatic bine
pus la punct: programe antivirus, salvare a datelor, instruire
referitoare la importana implementrii i urmririi msurilor de
securitate. Societatea informaional impune: reglementarea legilor i
drepturilor pentru dezvoltarea comerului electronic; mbuntirea
productivitii i calitii vieii. Securitatea informaiei se definete
ca capacitatea sistemului de prelucrare a informaiei de a asigura n
anumit perioad de timp a posibilitii de executare a cerinelor
stabilite dup mrimea probabilitii realizrii evenimentelor,
manifestate n: -exodul informaiei; -modificarea sau pierderea de
date, ce prezint anumit valoare pentru deintor. Cauzele acestor
evenimente pot fi: -impactul aciunilor cu caracter stocastic ale
omului; -impactul aciunilor premeditate ale omului n form de acces
nesancionat n sistem. Asigurarea securitii datelor presupune
realizarea a patru obiective: 1. Confidenialitatea, uneori numit
secretizare, i propune s interzic accesul neautorizat al
persoanelor la informaia care nu le este destinat.
Confidenialitatea reprezint elul suprem al securitii
calculatoarelor. Pentru asigurarea confidenialitii trebuie tiut
care sunt informaiile care trebuie protejate i cine trebuie sau
cine nu trebuie s aib acces la ele. Aceasta presupune s existe
mecanisme de protecie a informaiilor care sunt stocate n
calculatoare i care sunt transferate n reea ntre calculatoare. n
Internet, confidenialitatea capt noi dimensiuni sub forma unor
msuri de control al confidenialitii. rile dezvoltate, Statele
Unite, Canada, Australia, Japonia etc., au reglementat prin lege
controlul confidenialitii. 2. Integritatea, uneori numit acuratee,
i propune ca datele stocate n calculator s nu poat fi alterate sau
s nu poat fi modificate dect de persoane autorizate. Prin alterarea
datelor se nelege att modificarea voit maliioas, ct i distrugerea
acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse,
nu numai ca urmare a unei aciuni ruvoitoare, ci i ca urmare a unei
erori hardware, erori software, erori umane sau a unei erori a
sistemelor de securitate. n acest caz se impune s existe un plan de
recuperare i refacere a datelor(existena unei copii de
siguran).
3. Disponibilitatea i propune ca datele stocate n calculatoare s
poat s fie accesate de persoanele autorizate. Utilizatorii trebuie
s aib acces doar la datele care le sunt destinate. Se pot distinge
aici dou categorii de utilizatori, cu drepturi de acces diferite:
administratorii de sistem i utilizatorii generali, excepie fcnd
sistemele de operare care echipeaz calculatoarele desktop. Orice
utilizator general va putea s schimbe configurrile de securitate
ale calculatorului mergnd pn acolo nct s le anuleze. 4.
Nerepudierea, termen recent aprut n literatura de specialitate, i
propune s confirme destinatarului unui mesaj electronic faptul c
acest mesaj este scris i trimis de persoana care pretinde c l-a
trimis. n acest fel se asigur ncrederea prilor. Expeditorul nu
poate s nege c nu a trimis el mesajul. Nerepudierea st la baza
semnturilor digitale, asigurnd autenticitatea acestora, n noua pia
a comerului electronic (E-Commerce). Obiectele critice (supuse
securitizrii, controlului sau/ i gestiunii n condiii de siguran):
-sisteme de telecomunicaie; -sisteme bancare; -staii atomice;
-sisteme de gestiune a transportului aerian i rutier; -sisteme de
prelucrare i pstrare a informaiei secrete i confideniale.
Proprietile de siguran a sistemelor critice: -integritatea
sistemului, care se definete ca capacitatea mijloacelor tehnice de
calcul sau a sistemului automatizat de a asigura constana
(invariabilitatea) formei i a calitii informaiei n condiiile de
deformare stocastic sau de ameninare cu distrugerea;
-inofensivitatea informaiei, care se definete ca starea de
protejare zascicennosti a informaiei, prelucrate cu ajutorul
mijloacelor tehnice de calcul sau sistemelor automatizate de la
ameninri interne sau externe. Dei n societatea informaional
varietatea crimelor este mare (i va fi i mai mare pe msur ce
tehnologia va progresa), urmtoarele fapte infracionale sunt cele
mai frecvente: frauda informatic falsul informatic, fapte ce
prejudiciaz datele sau programele pentru calculator, sabotajul
informatic accesul neautorizat, intercepia neautorizat, pirateria
software, spionajul informatic, defimarea prin Internet
distribuirea de materiale obscene n Internet, spam-ul.
Noiunile-cheie: -accesul neautorizat reprezint accesul fr drept la
un sistem sau la o reea informatic prin violarea regulilor de
securitate; -confidenialitatea datelor atribut al datelor ce
caracterizeaz accesul lor restrns pentru un anumit grup de
utilizatori; -criminalitatea informatic totalitatea infraciunilor
comise cu ajutorul calculatorului sau n mediul informatizat;
-documentul electronic (nscris electronic), reprezint o colecie de
date n format electronic ntre care exist relaii logice i
funcionale, care redau litere, cifre sau orice alte caractere cu
semnificaie inteligibil, destinate a fi citite prin mijlocirea unui
program informatic sau a altui procedeu similar; -dreptul comerului
electronic totalitatea reglementrilor legale referitoare la
activitile comerciale care implic transferul de date i realizarea
unei tranzacii financiare prin intermediul unei reele electronice
precum Internetul; -drept informatic sau dreptul societii
informaionale este un sistem unitar de reguli juridice aplicabile
tehnologiilor specifice informaticii, precum i acelei pri a
comunicaiei aferente transferului de informaie n reelele
informatice;
-dreptul securitii informatice totalitatea regulilor juridice
care se refer la asigurarea securitii sistemelor informatice i a
datelor i informaiilor cuprinse n aceste sisteme fa de evenimente
care le-ar putea afecta integralitatea; -frauda informatic
reprezint intrarea, alterarea, tergerea sau supraimprimarea de date
sau de programe pentru calculator sau orice alt ingerin ntr-un
tratament informatic care i influeneaz rezultatul, cauznd chiar
prin aceasta un prejudiciu economic sau material n intenia de a
obine un avantaj economic nelegitim pentru sine sau pentru altul;
-funcionarea licit a bazei sau bncii de date se refer la
modalitatea legal n virtutea creia organizaia proprietar sau
deintor a bazei de date presteaz servicii informatice; -intercepia
neautorizat, const n intercepia fr drept i cu mijloace tehnice de
comunicaii cu destinaie, cu provenien i n interiorul unui sistem
sau reele informatice; -pirateria software const n reproducerea,
difuzarea sau comunicarea n public, fr drept, a unui program pentru
calculator, protejat de lege; -sabotajul informatic, reprezint
intrarea, alterarea, tergerea sau supraimprimarea de date sau de
programe pentru calculator ori ingerina n sisteme informatice cu
intenia de a mpiedica funcionarea unui sistem informatic sau a unui
sistem de telecomunicaii; -semntura electronic, reprezint o colecie
de date n format electronic incorporate, ataate sau asociate unui
nscris n format electronic cu intenia de a produce efecte juridice
i care permite identificarea formal a semnatarului; -spionajul
informatic, const n obinerea prin mijloace ilegitime sau
divulgarea, transferul sau folosirea fr drept ori fr nici o alt
justificare legal a unui secret comercial sau industrial, n intenia
de a cauza un prejudiciu economic persoanei care deine dreptul
asupra secretului sau de a obine pentru sine ori pentru altul
avantaje economice ilicite. Vulnerabilitatea poate fi definit ca o
slbiciune n ceea ce privete procedurile de sistem, arhitectura
sistemului, implementarea acestuia, controlul intern, precum i alte
cauze care pot fi exploatate pentru a trece de sistemele de
securitate i a avea acces neautorizat la informaii. Orice
calculator este vulnerabil la atacuri. Politica i produsele de
securitate ale firmei pot reduce probabilitatea ca un atac asupra
calculatorului s aib puine anse de reuit. Principalele
vulnerabiliti n sistemele de calcul sunt: fizice; naturale;
hardware; software; medii de stocare; radiaii; comunicaii; umane.
Toate aceste vulnerabiliti vor fi exploatate de persoane
ruvoitoare. Referitor la scara vulnerabilitilor putem s distingem
trei mari categorii [6]: vulnerabiliti care permit DoS (refuzul
serviciului); vulnerabiliti care permit utilizatorilor locali s-i
mreasc privilegiile limitate, fr autorizare; vulnerabiliti care
permit utilizatorilor externi s acceseze reeaua n mod neautorizat.
O alt clasificare poate fi fcut dup gradul de pericol pe care-l
reprezint vulnerabilitatea pentru sistemul supus atacului [6]
(tabelul 1.4.1.):Grad de Gradele de vulnerabilitate i consecinele
acestora Mod de atac Consecine Tabelul 1.4.1.
vulnerabilit ate A B C
Scripturi CGI cu opiuni prestabilite Vulnerabilitate criptare
RSH Fiiere cu parole fr shadown Trimitere de pachete flood
Permite accesul necondiionat al utilizatorilor ru intenionai
Permite utiliyatorilor locali/generali s-i mreasc privilegiile i s
obin control asupra sistemului Permite utilizatorilor din interior
sau exterior s altereze procesele de prelucrare
Grad de vulnerabilitate Mod de atac Consecine
Vulnerabilitile care permit refuzul serviciului fac parte din
categoria C i exploateaz golurile din sistemul de operare, mai
precis golurile la nivelul funciilor de reea. Aceste goluri sunt
detectate uneori la timp i acoperite de ctre productor prin
programe -patch-uri. Acest tip de atac permite ca unul sau mai muli
indivizi s exploateze o particularitate a protocolului IP (Internet
Protocol) prin care s interzic altor utilizatori accesul autorizat
la informaie. Atacul, cu pachete TCP SYN, presupune trimiterea ctre
calculatorul-int a unui numr foarte mare de cereri de conexiune,
ducnd n final la paralizarea procesului. n acest fel, dac inta este
un server, accesul la acesta e blocat i serviciile asigurate de
acesta sunt refuzate. Un atac asemntor poate fi declanat i asupra
unui utilizator. Acest lucru este posibil datorit. Modului de
proiectare a arhitecturii WWW. Vulnerabilitile care permit
utilizatorilor locali s-i mreasc privilegiile ocup o poziie medie,
B, pe scara consecinelor. Un utilizator local, adic un utilizator
care are un cont i o parol pe un anume calculator, va putea, n
UNIX, s-i creasc privilegiile de acces folosind aplicaia sendmail.
Atunci cnd este lansat programul, se face o verificare s se testeze
dac utilizatorul este root, numai acesta avnd drept de a configura
i trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate
fi lansat n aa fel nct s se ocoleasc verificarea. Astfel, un
utilizator local era drepturi de acces ca root. O alt posibilitate
o reprezint exploatarea zonelor de memorie tampon (buffere).
Vulnerabilitile care permit utilizatorilor externi s acceseze
reeaua n mod neautorizat fac parte din clasa A, pe scara
consecinelor. Aceste atacuri sunt cele mai periculoase i mai
distructive. Multe atacuri se bazeaz pe o slab administrare a
sistemului sau pe configurarea greit a acestuia. Cea mai cunoscut
vulnerabilitate este coninut de un fiier cu denumirea test.cgi,
distribuit cu primele versiuni de ApacheWeb Server. Acesta coninea
o eroare care permitea intruilor din exterior s citeasc coninutul
directorului CGI. i aceasta din cauza a dou ghilimele () nepuse.
Platformele Novell, cu servere HTTP, erau vulnerabile din cauza
unui script cu numele convert.bas. Scriptul era scris n Basic i
permitea utilizatorilor de la distan s citeasc orice fiier sistem.
O alt vulnerabilitate este ntlnit la serverele IIS (versiunea 1.0)
de la Microsoft i permite oricrui utilizator de la distan s execute
comenzi arbitrare. Vulnerabilitile din clasa A pot fi ntlnite i la
urmtoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap,
Finger. Exist i programe care pot s prezinte vulnerabiliti asociate
a dou clase.
n concluzie, ameninrile la adresa securitii se pot clasifica n
trei categorii: naturale i fizice; accidentale; intenionate.
Ameninrile naturale i fizice vin din partea fenomenelor naturale
sau a altor elemente fizice care interacioneaz cu calculatoarele.
Se pot enuna aici cutremurele, inundaiile, furtunile, fulgerele,
cderile de tensiune i supratensiunile etc. Se poate aciona n sensul
minimizrii efectelor ameninrilor sau chiar al eliminrii acestora.
Se pot instala dispozitive de avertizare n caz de dezastre naturale
sau dispozitive care s elimine efectul acestora. Ameninrile cu
caracter neintenionat vin din partea oamenilor. Acetia pot produce
ameninri i dezastre asupra calculatoarelor din cauza neglijenelor n
manipularea diferitelor componente, insuficientei pregtiri
profesionale, citirii insuficiente a documentailor etc. Ameninrile
intenionate sunt i cele mai frecvente. Aceste ameninri pot fi
categorisite n: interne; externe. Ameninrile interne vin din partea
propriilor angajai. Acetia au acces mai uor la informaie, avnd de
trecut mai puine bariere i tiind i o parte din politica de
securitate a firmei. Ameninrile externe vin din partea mai multor
categorii, i anume: agenii de spionaj strine; teroriti i organizaii
teroriste; criminali; raiders; hackeri i crackeri. Ageniile de
spionaj strine au tot interesul s intre n posesia de informaii
referitoare la noile tehnologii. Firmele productoare de nalt
tehnologie sunt inta atacurilor care vin din partea acestora. Se
impune ca aceste firme s foloseasc tehnologii i programe de
criptare foarte sofisticate pentru a proteja informaiile.
Ameninarea inofensivitii i integritii se definesc ca aciuni
potenial posibile asupra sistemului de calcul, care ar putea direct
sau indirect frauda securitatea i integritatea informaiei a
sistemului de prelucrare. Fraudarea integritii informaiei const n
deformarea informaiei, care pot condiiona schimbri a formei i a
calitii informaiei. Fraudarea inofensivitii informaiei se definete
ca deformarea strii de protejare a informaiei coninute n sistemul
de calcul prin realizarea accesului nesancionat a obiectelor
sistemului. Accesul nesancionat (neautorizat) la obiect se definete
ca obinerea de ctre utilizator sau program a accesului la obiect,
pentru care autorizarea, n conformitate cu politica de securitate
aprobat, lipsete. Atacul se definete ca realizarea ameninrii.
Clasificarea ameninrilor: -dup mijloacele de realizare/ de acionare
asupra sistemului de calcul (n clase): 1.intervenia omului n
funcionarea sistemului de calcul: -mijloacele organizaionale de
perturbare a securitii sistemului de calcul, inclusiv: -furtul
purttorului informaiei; -accesul nesancionat la dispozitivele de
pstrare i prelucrare a informaiei; -deteriorarea utilijului,
etc.;
-realizarea de ctre infractor a accesului nesancionat la
componentele de program a sistemului de calcul, inclusiv: -toate
modalitile de penetrare neautorizat n sistem; -modalitile de
obinere de ctre utilizatorul-infractor a drepturilor ilegale la
accesul la componentele sistemului; msurile de asigurare a
securitii sistemului la astfel de pericole pot fi: -organizatorice
(paza, regim de acces la dispozitivele sistemului); -perfecionarea
sistemelor de delimitare a accesului n sistem; -sisteme de
depistare a tentativelor de selectare a parolelor; 2.intervenia
tehnic n funcionarea sistemului de calcul: -obinerea informaiei dup
radiaia electromagnetic a dispozitivelor sistemului; -aciune
electromagnetic asupra canalelor de transmitere a informaiei; -alte
metode; msurile de protecie contra astfel de emeninri pot fi:
-organizatorice; -tehnice (ecranarea radiaiei dispozitivelor,
protecia canalelor de transmitere a informaiei de la ascultare
nesancionat); -de programare (ifrarea mesajelor n canalelor de
comunicaie); 3.aciune distructiv asupra componentelor de program a
sistemului de calcul cu ajutorul mijloacelor de program, inclusiv:
-virui; -calul Troian; -mijloacel de penetrare n sisteme la distan
cu utilizarea reelelor locale i globale; msurile de protecie pot
fi: -sisteme tehnice; -sisteme de program. 2 Adapterul de reea
Monitor Calculatorul 2
Mediul de calcul Tastatura
Subsistemul de discuri
Des.3.1.Clasificarea ameninrilor securitii sistemelor de calcul
033 2. Metodele de protecie a sistemelor informaionale La metodele
de protejare a mijloacelor de pstrare i transmitere a informaiei de
la accesul nesancionat se refer: -organizaional-tehnice de baz,
inclusiv:
-limitarea accesului; -delimitarea accesului; -separarea
accesului (privilegiilor); -transformrile criptografice a
informaiei; -controlul i evidena accesului; -msuri legislative,
etc. -suplimentare, condiionate de: 1.complicarea procesului de
prelucrare: mrirea numrului de mijloace tehnice, numrului i a
tipurilor aciunilor stocastice, apariia noilor canale de acces
nesancionat; 2.mrirea volumelor informaiei, concentrarea
informaiei, mrirea numrului de utilizatori, etc. , inclusiv:
-metodele controlului funcional, ce asigur depistarea i
diagnosticarea refuzurilor, perturbrilor aparaturii i erorilor
condiionate de factorul uman, precum i erorile de program;
-metodele de protecie a informaiei de la situaii de avariere;
-metodele de control a accesului la montarea intern a aparatelor,
liniei de comunicaie i organele tehnologice de gestiune; -metodele
de delimitare i control a accesului la informaie; -metodele de
identificare i autentificare a utilizatorilor, a mijloacelor
tehnice, a purttorilor de informaie i a documentelor; -metodele de
protecie de la radiaia secundar i navodok a informaiei.
Tehnologiile de restricie sunt menite s limiteze accesul la
informaie. Din aceast categorie fac parte: 1. Controlul accesului
este un termen folosit pentru a defini un set de tehnologii de
securitate care sunt proiectate pentru restricionarea accesului.
Aceasta presupune ca numai persoanele care au permisiunea vor putea
folosi calculatorul i avea acces la datele stocate. Termenul de
control al accesului (acces control) definete un set de mecanisme
de control implementate n sistemele de operare de ctre productori
pentru restricionarea accesului. De aceast facilitate beneficiaz
sistemele de operare Windows, UNIX, Linux etc. 2. Identificarea i
autentificarea, folosindu-se de conturi i parole, permit doar
accesul utilizatorilor avizai la informaie. Identificarea i
autentificarea poate fi fcut i cu ajutorul cartelelor electronice
(smart card) sau prin metode biometrice. Acestea presupun
identificarea dup amprent, voce, irisul ochiului etc. 3.
Firewall-ul reprezint un filtru hardware sau software care stopeaz
un anumit trafic prestabilit din reea i permite trecerea altuia.
Firewall-ul se interpune ntre reeaua intern i Internet i filtreaz
pachetele care trec. De asemenea, firewall-ul poate fi folosit i n
interiorul propriei reele pentru a separa subreele cu nivele
diferite de securitate. 4. VPN36-urile permit comunicarea sigur
ntre dou calculatoare aflate ntr-o reea. O conexiune VPN se poate
realiza att n reeaua local, ct i n Internet. VPN folosete
tehnologii de criptare avansat a informaiei care face ca aceasta s
nu poat s fie modificat sau sustras fr ca acest lucru s fie
detectat. 5. Infrastructura cu chei publice (PKI) i propune s
asigure securitatea n sisteme deschise, cum ar fi Internetul, i s
asigure ncrederea ntre dou persoane care nu s-au cunoscut niciodat.
ntr-o structur PKI complet., fiecare utilizator va fi complet
identificat printr-o metod garantat, iar fiecare mesaj pe care-l
trimite sau aplicaie pe care o lanseaz este transparent i complet
asociat cu utilizatorul.
6. Secure Socket Layer (SSL) reprezint un protocol Web securizat
care permite criptarea i autentificarea comunicaiilor Web utiliznd
PKI pentru autentificarea serverelor i a clienilor. Lucreaz foarte
bine cu servere WWW. Este implementat n mai multe versiuni.
Versiunea SSL2 este cea mai rspndit, iar versiunea SSL3 e cea mai
sigur, dar este mai greu de implementat. 7. Semntur doar o dat
(SSO) dorete s debaraseze utilizatorul de mulimea de conturi i
parole care trebuie introduse de fiecare dat cnd acceseaz i
reacceseaz programe. Pentru aceasta utilizatorul trebuie s se
autentifice o singur dat. Dezideratul este greu de realizat datorit
varietii de sisteme. Deocamdat acest lucru se poate realiza n
cadrul firmelor care au acelai tip de sisteme. Web-ul folosete un
subset SSO numit Web SSO, funcionarea fiind posibil datorit
faptului ca serverele Web folosesc aceeai tehnologie. Pe lng
tehnologiile de restricionare, securitatea sistemelor trebuie
administrat,monitorizat i ntreinut. Pentru aceasta trebuie
efectuate urmtoarele operaii: administrarea sistemelor de calcul,
care presupune i controlul i ntreinerea modului de acces la acestea
de ctre utilizatori ; un utilizator care folosete o parol scurt sau
care este uor de ghicit va face ca acel calculator s fie uor de
penetrat. Atunci cnd un angajat este concediat sau pleac pur i
simplu din alte motive de la firma respectiv, trebuie schimbate
denumirile utilizatorului (user37) i parola; denumirea user-ului i
a parolei trebuie fcut cu foarte mare atenie i mare
responsabilitate; sarcina este de competena persoanei nsrcinate cu
securitatea; parolele vor conine att cifre, ct i litere, pentru a
face ghicirea lor ct mai grea, i vor fi schimbate periodic;
divulgarea parolei altor persoane va fi sancionat administrativ;
detectarea intruilor; trebuie fcut permanent; pentru aceasta exist
programe care controleaz traficul i care in jurnale de acces (log);
verificarea se va face la nivelul fiecrui calculator din firm;
trebuie fcut aici distincie ntre ncercrile de intruziune din afar i
cele din interior; de asemenea, trebuie separate ncercrile de acces
neautorizat din reeaua intern de accesul neautorizat la un
calculator lsat nesupravegheat de ctre utilizator. scanarea
vulnerabilitilor; este de fapt o analiz a vulnerabilitii, presupune
investigarea configuraiei la nivel intern pentru detectarea
eventualelor guri de securitate; acesta se face att la nivel
hardware, ct i software; folosirea unui scanner de parole va avea
ca efect aflarea parolei n cteva secunde, indiferent de lungimea
acesteia; controlul viruilor; se va face pentru a detecta i elimina
programele maliioase din sistemele de calcul; acestea se pot repede
mprtia la toate calculatoarele din sistem i pot paraliza
funcionarea acestora sau pot produce distrugeri ale informaiei; se
impune obligatoriu s fie instalate programe antivirus, actualizarea
semnturilor de virui s se fac ct mai des, iar scanarea pentru
detectarea viruilor s se fac de oricte ori este nevoie. Aspectele
generale privind informatice economice: asigurarea securitii
datelor n sistemele
1. Asigurarea securitii datelor n cadrul firmelor este strns
legat de posibilitile financiare ale firmei n a investi n
asigurarea securitii. Firmele mari i medii, care au i ctiguri pe
msur, fac investiii n securitate. Firmele mici nu fac astfel de
investiii dect foarte rar i insuficient pentru a se asigura o
securitate minim. 2. Asigurarea securitii datelor n cadrul firmelor
depinde n mare msur de ct de contient este conducerea firmei de
faptul c trebuie asigurat o minim securitate. Conducerea firmelor
mari este asigurat de ctre un consiliu de administraie (board),
unde decizia de a se investi n securitate este luat de un grup de
oameni care tiu ce nseamn riscurile. Acesta va trebui s fie
contient c trebuie asigurat securitatea datelor i s dispun alocarea
de resurse financiare ndeplinirii acestui deziderat. Unii manageri
din aceast categorie vd asigurarea securitii datelor ca un fel de
gaur neagr, unde banii se duc i nu aduc nici un beneficiu. Un rol
important n contientizarea asigurrii securitii datelor l au, n
acest caz, consultanii pe probleme de securitate sau membrii
echipei IT&C (dac exist) din firm. 3. n cadrul firmelor mari
exist personal specializat cu asigurarea securitii datelor. Acesta
va implementa politica de securitate a firmei i va testa periodic
calculatoarele din firm pentru descoperirea golurilor de
securitate. 4. n cazurile n care firma, indiferent de mrime, nu are
personal specializat cu studiul, implementarea i gestionarea
msurilor de securitate, se poate face apel la firme specializate
care s implementeze i s gestioneze serviciile de securitate. Se
poate opta i pentru soluia mixt n care studiul i implementarea s se
fac de ctre o firm specializat, iar gestionarea acestora s se fac
de ctre beneficiar, urmnd ca periodic s se fac testri de ctre firma
specializat. 5. Programele aplicative la nivelul firmelor mari i
medii sunt elaborate lundu-se n considerare i securitatea datelor.
Firmele mici folosesc ori programe piratate, ori aplicaii create de
nespecialiti care nu numai c nu au elemente de securitate
ncorporate, dar, n anumite cazuri, funcioneaz i defectuos, alternd
datele. 6. Personalul angajat al unei firme nu are ntotdeauna
pregtirea necesar utilizrii calculatorului. Firmele mari i permit s
angajeze personal cu calificare nalt, n timp ce firmele mici nu-i
pot permite acest lucru. Firmele mari fac eforturi pentru pregtirea
angajailor, n timp ce firmele mici fac eforturi reduse sau deloc n
ceea ce privete pregtirea personalului. 3.Sistemele de identificare
i delimitare a accesului la informaie n cadrul sistemelor
informaionale Sarcina principal a sistemului de identificare i
delimitare a accesului const n nchiderea i controlul accesului
nesancionat la informaie, pentru care trebuie s fie asigurat
securitatea. Msurile de delimitare a accesului la informaie i
mijloace de program de prelucrare trebuie s se realizeze n
conformitate cu obligaiunile funcionale i competenelor a
utilizatorilorpersonaliti oficiale, personalului de deservire,
utilizatorilor simpli. Principiul principal de elaborare a
sistemului de identificare i delimitare a accesului const n
accepiunea adresrilor ctre informaie cu indici afereni ai
competenelor autorizate.
Coninutul msurilor const n efectuarea identificrii i
autentificrii utilizatorilor, dipozitivelor, proceselor, etc.,
separarea informaiei i a funciilor de prelucrare, montare i
ntroducere a competenelor. Protecia informiei const n asigurarea
accesului la obiectul informaional printr-un singur canal protejat,
care include funcia de identificare a utilizatorului dup codul
parolei prezentate i rezultatul pozitiv al verificrii accesului la
informaie n conformitate cu competenele determinate. Aceste
proceduri sunt executate la fiecare dialog a utlizatorului. n
prezent se aplic mai muli purttori de coduri de parole: permis la
sisteme de control, carduri de identificare a personal sau
documentele n original, etc., alegerea crora este determinat de
cerinele fa de sistemul automatizat, destinaia sistemului, regimul
de utilizare a sistemului, gradul de protecie a informaiei, numrul
de utilizatori, tarife, etc.
4.Managementul sistemului de securitate informaional al firmei
Impactul instaurrii erei informatice constituie pentru epoca modern
ceea ce au nsemnat cronologic pentru omenire, descoperirea focului,
fierului, petrolului etc) este n continu cretere datorit dezvoltrii
tehnologice i a cilor de acces multiple. Desfurarea n bune condiii
a activitii securitii sistemelor informatice impune existena unui
sistem IT funcionabil. Managementul securitii sistemelor IT
constituie un factor hotrtor n buna desfurare a activitii unei
companii, pentru asigurarea proteciei datelor i efectuarea de
tranzacii electronice n condiiile n care activitatea celor mai
multe instituii, ntreprinderi depinde n proporie de circa 67 % de
propriul lor sistem informatic. ntreprinderile societii moderne
nu-i pot desfurea activitatea optim fr un sistem informatic bine
pus lapunct, ceea ce implic: programe antivirus; programe de
salvare a datelor ; instruire referitoare la importana
implementrii; urmrire a msurilor de securitate. Elemente de
standardizare international n domeniul managementului securitii
sistemelor informatice sunt cuprinse n : standardul ISO/CEI 13335:
Information technology-Guidelines for the management of ITSecurity
cuprinde recomandri cu privire la analiza riscului pentru companii
(Common Criteria); standardul ISO/CEI 17799: Information
technology-Code of practice for information security management se
refer la implementarea politicii de securitate (SMSI) i la
managementul acestuia;. standardul ISO/CEI 17799:2000 se refer la
codul practicilor SMSI; standardul britanic BS 7799-2:2002 se refer
la cerine i la managementul sistemului de securitate ; standardul
ISO/CEI 17799:2000 precizeaz recomandri pentru managementul
securitii informaiei pentru a putea fi folosite de ctre cei
responsabili cu iniierea, implementarea sau meninerea securitii n
organizaia lor.pentru a exista control asupra tehnicii i
procedurilor; seria de standarde ISO 15408: Information
technology-Evaluation criteria for IT security se refer la
evaluarea securitii sistemelor informatice prin mijloace tehnice
adecvate, standardul definind criterii de evaluare i certificare pe
baza crora vor fi evaluate i certificate profilurile de protecie.
Sunt de menionat urmtoarele: existena politicii de securitate
trebuie dovedit printr-un document obiectiv care explic ce se
ateapt de la organizaie;
informaia este un un bun economic care trebuie protejat i
securizat. Nu exist cerine absolute; TVIT-Germania este singura
organizaie acreditat pentru certificarea sistemelor de securitate n
domeniu. Securizarea sistemului de Tehnologia Informaiei este
important pentru: dezvoltarea ncrederii ceea ce d posibilitatea
ntocmirii unor contracte economice pentru tranzaciile on-line;
identificarea informaiilor critice i stabilirea claselor de
criticitate; optimizarea costurilor ntr-o companie care lucreaz n
regim securizat; asigurarea cerinelor legale referitoare la
securitatea informaiilor; educaia i instruirea; raportarea
incidentelor; planificarea continu. Cele mai importante aspecte din
standardul ISO/CEI 17799. Acest standard asigur un cadru comun
pentru dezvoltarea standardelor organizaionale de securitate i
pentru o practic efectiv de management al securitii informaiei
.Standardul precizeaz pentru nceput: Ce este securitatea
informaiei? De ce este necesar securitatea informaiei? Cum se
stabilesc cerinele de securitate Evaluarea riscurilor de securitate
Selectarea controalelor Punct de plecare pentru securitatea
informaiei Factori critici de succes Dezvoltarea propriilor linii
directoare. Un aspect important al securitii sistemelor informatice
l constituie stabilirea politicii de securitate, care este
documentul prin care se specific politica de securitate informaiei
i care trebuie permanent supus unei politici de: revizuire i
evaluare. Referitor la securitatea organizaional sunt importante de
avut n vedere urmtoarele aspecte: infrastructura securitii
informaiei; constituirea unei comisii pentru managementul securitii
informaiei ; coordonarea securitii informaiei; alocare a
responsabilitilor pentru securitatea informaiei; procesul de
autorizare pentru utilitile de procesare a informaiei; consilierea
din partea unui specialist n securitatea informaiei ; cooperarea
ntre organizaii; revizuirea independent a securitii informaiei;
securitatea accesului terilor; identificarea riscurilor n cazul
accesului terilor; cerinele de securitate n contractele cu terii. O
instituie n care urmeaz a se implementa sistemul de management al
securitii informaiei trebuie s nceap cu clasificarea i controlul
activelor, ceea ce nseamn: stabilirea responsabilitii pentru
active; realizarea inventarului tutor activelor din organizaie;
clasificarea informaiei; stabilirea de ndrumri pentru clasificare;
etichetarea i gestionarea informaiei. Asigurarea securitii
personalului implic: securitate n definire;
instruire utilizatori; rspuns la incidente de securitate sau
aciuni. Managementul comunicaiilor i funcionrii implic proceduri i
responsabiliti operaionale planificarea i acceptabilitatea
sistemului protecia mpotriva software-ului maliios Alte aspecte
importante de care trebuie s se in cont n implementarea
managementului securitii sistemelor informatice sunt cele privind:
mentenana; magementul reelei; operarea i securitatea mediilor de
stocare; schimburile de informaie i software; controlul accesului.
mbuntirea calitii managementului sistemelor informatice implic:
asigurarea securitii sistemelor informatice pentru domeniul
financiar; asigurarea sntii; telecomunicaii; furnizarea de soluii
soft; activitatea organizaiilor guvernamentale precum i a celor
non-profit i n meninerea siguranei naionale. Securitatea informaiei
este vectorul care integreaz axele principale: confidenialitate;
integritate; disponibilitate.
5. Politica european n domeniul securitii informatice Internetul
intereseaz n mod esenial att marile ct i micile companii. Practic,
nu exist firm ntr-o ar cu o dezvoltare cel puin medie care s nu aib
create pagini Web, pe care se gsesc informaii despre serviciile i
produsele oferite. De asemenea, consumatorii i productorii pot
comunica instantaneu prin Net, ceea ce le confer posibilitatea unei
informri reciproce i a unor comunicaii foarte ieftine. i totui,
acetia nu s-au aruncat nc s fac afaceri sau administrare la scar
mare prin Internet. De ce oare aceast reinere? Motivele invocate
cel mai adesea sunt legate de securitatea tranzaciilor on-line.
Preocuprile pentru securitatea reelelor i a sistemelor informatice
au crescut proporional cu creterea numrului de utilizatori ai
reelelor i cu valoarea tranzaciilor. Securitatea a atins un punct
critic, reprezentnd o cerin esenial pentru afacerile electronice i
pentru funcionarea ntregii economii. Combinarea ctorva factori a
fcut ca securitatea informaiilor i a comunicaiilor s constituie
unul dintre punctele principale pe agenda politicii Uniunii
Europene: 1.guvernele i-au dat seama de dependena economiilor lor i
a cetenilor fa de buna funcionare a reelelor de comunicaie i au
nceput s-i revizuiasc aranjamentele de securitate; 2.Internetul a
creat o legtur global, conectnd milioane de reele, mari si mici,
milioane de calculatoare personale i alte dispozitive, precum
telefoanele mobile; acest lucru a redus n mod semnificativ
costurile accesrii informaiilor economice vitale n cazul unor
atacuri de la distan. 3. sunt raportai numeroi virui, care cauzeaz
pierderi mari prin distrugerea informaiilor i prin neacordarea
dreptului de acces la reele. Aceste probleme de securitate nu
constituie chestiuni specifice unei ri anume, ci un fenomen ce s-a
rspndit rapid printre rile membre ale UE; 4.consiliile Uniunii
Europene (de la Lisabona i Feira, de exemplu) au recunoscut
Internetul ca un factor cheie al productivittii economiilor
uniunii, atunci cnd au lansat Planurile de Aciune eEurope 2002 si
eEurope 2005. n concordan cu aceste lucruri, consiliul de la
Stockholm a concluzionat Consiliul mpreun cu Comisia vor dezvolta o
strategie comprehensiv asupra securitii reelelor,inclusiv aciuni de
implementare n practic. n timp ce securitatea a devenit o problem
esenial pentru cei ce alctuiesc politici, gsirea unui rspuns
adecvat a devenit o sarcin complex. Cu numai civa ani n urm,
securitatea reelelor
era o problem monopol de stat, care oferea servicii specializate
bazate pe reele publice, n particular pentru reelele telefonice.
Securitatea sistemelor informatice era specific organizaiilor mari
i era axat pe controlul accesului la resurse. Aceste lucruri s-au
schimbat considerabil datorit unor dezvoltri n contextul unei piee
lrgite, printre care amintim liberalizarea, convergena i
globalizarea: - reelele sunt acum n principal n proprietate privat
i sunt administrate de companii private. Serviciile de comunicare
sunt oferite pe baz de competitivitate, securitatea reprezentnd o
parte a ofertei pieei. Totui, muli clieni rmn ignorani n privina
riscurilor securitii atunci cnd se conecteaz la o reea i iau
decizii bazndu-se pe informaii incomplete; - reelele i sistemele
informatice converg. Ele devin interconectate, oferind aceleai
tipuri de servicii i, mai mult, mpart aceeai infrastructur.
Terminalele (calculatoarele, telefoanele mobile etc.) au devenit un
element activ n arhitectura reelelor i pot fi conectate la diferite
reele; - reelele sunt internaionale. O parte important a
comunicaiilor din ziua de azi se realizeaz transfrontarier,
tranzitnd tere ri (cteodat chiar fr ca utilizatorul s realizeze
acest lucru). Ca urmare, orice soluie n faa riscurilor de
securitate trebuie s aib n vedere acest lucru. Multe reele sunt
construite din produse comerciale, de la comerciani internaionali.
Produsele de securitate trebuie s fie compatibile cu standardele
internaionale. 1. Necesitatea unei politici publice. Protejarea
reelelor de calculatoare este din ce n ce mai mult considerat drept
o prioritate pentru politicieni, n special datorit nevoii de
protejare a datelor, de asigurare a unei economii funcionale, din
motive de asigurare a securitii naionale i de promovare a comerului
electronic. Aceasta a condus la un ansamblu substanial de precauii
legale n cadrul Directivelor UE n ce privete protecia datelor i a
Cadrului UE pentru telecomunicaii. Aceste msuri ns trebuie aplicate
ntr-un mediu rapid schimbtor de noi tehnologii, piee concureniale,
convergen a reelelor i globalizare. Aceste provocri se coreleaz de
asemenea i cu tendina pieei de a nu investi suficient n securitate,
din motive ce vor fi analizate. Securitatea reelelor i a informaiei
reprezint o marf cumprat i vndut pe pia i o parte a nelegerilor
contractuale ntre pri. Piaa produselor de securitate a crescut
substanial n ultimii ani. n conformitate cu unele studii, piaa
software-ului de securizare pentru Internet valora aproximativ 4,4
miliarde de dolari la sfritul anului 1999 i va crete cu un procent
de 23% pe an pentru a atinge 8,3 miliarde n 2004. n Europa, piaa
pentru securitatea comunicaiilor electronice se prognozeaz a crete
de la 465 de milioane de dolari n 2000 la 5,3 miliarde la sfritul
lui 2006, paralel cu o cretere a pieei pentru tehnologii de
securitate a informaiei de la 490 de milioane de dolari n 1999 la
2,74 miliarde n 2006. Presupunerea implicit care se face de obicei
este c mecanismul preului va balansa costul ofertei de securitate
cu nevoile specifice de securitate. Unii utilizatori vor solicita
un nivel nalt de securitate, n vreme ce alii vor fi satisfcui de un
nivel de securitate mai sczut dei statul ar putea s asigure un
nivel minim de securitate. Aceast diferen se va reflecta n preurile
pe care vor fi dispui s le plteasc pentru produsele de securitate.
Cu toate acestea, multe riscuri rmn nerezolvate sau soluiile se
impun lent pe pia datorit anumitor imperfeciuni ale acesteia:
Costurile i beneficiile sociale: Investiiile ntr-o mai bun
securitate a reelelor genereaz costuri i beneficii sociale care nu
se reflect n mod adecvat n preurile de pe pia. De partea
costurilor, actorii pieei nu sunt responsabili pentru
vulnerabilitile legate de comportamentul lor n domeniul securitii.
Utilizatorii i furnizorii cu niveluri de securitate reduse nu sunt
nevoii s plteasc daune unor teri. Este ca i cum un ofer de taxi
neatent n-ar fi tras la rspundere pentru costul blocajului de
trafic ce rezult n urma accidentului provocat de el. n mod similar,
pe Internet un numr de atacuri au fost montate prin intermediul
unor maini slab protejate sau au trecut de nite utilizatori relativ
neglijeni.
Beneficiile rezultate din securitate, de asemenea, nu sunt
complet reflectate n preurile de pe pia. Cnd operatorii, furnizorii
sau furnizorii de servicii mbuntesc gradul de securitate al
produselor lor, o mare parte din beneficiile acestei investiii
ajung nu numai la clienii lor, dar i la toi cei afectai direct sau
indirect de comunicarea electronic n esen, toat economia. Asimetria
informaiei: Reelele devin din ce n ce mai complexe i ating o pia
mai larg, care include muli utilizatori cu prea puin nelegere a
tehnologiei i a potenialelor ei pericole. Asta nseamn c
utilizatorii nu vor fi complet contieni de riscurile de securitate
i muli operatori, vnztori sau furnizori de servicii au dificulti,
dat fiind existena i gradul de ntindere al vulnerabilitilor. Multe
noi servicii, aplicaii i software ofer posibiliti atractive, dar
adesea acestea sunt surse de noi vulnerabiliti (de exemplu, marele
succes al Internetului este n parte datorat multitudinii de
aplicaii multimedia care pot fi descrcate simplu, dar aceste
plug-inuri reprezint i puncte de intrare pentru atacuri). n vreme
ce beneficiile sunt vizibile, riscurile nu sunt i este mai atractiv
pentru furnizori s ofere faciliti noi dect o mai bun securitate.
Problema aciunii publice: Operatorii adopt ntr-un ritm cresctor
standardele Internet sau i leag ntr-un fel sau altul reelele
proprii la Internet. Cu toate acestea, Internetul nu a fost
proiectat cu msuri de securitate, ci din contr, a fost dezvoltat
astfel nct s ofere acces la informaii i s faciliteze schimbul de
informaii. Aceasta a reprezentat baza succesului su. Internetul a
devenit o reea global de reele de o neegalat bogie i diversitate.
Investiiile n securitate adesea sunt eficiente doar dac muli oameni
procedeaz n acelai mod. De aceea, cooperarea pentru a crea soluii
de securitate este necesar. Dar cooperarea funcioneaz numai dac
particip o mas critic de juctori, ceea ce e dificil de obinut.
Interoperabilitatea ntre produse i servicii va permite concurena
ntre soluiile de securitate. Sunt ns costuri substaniale de
coordonare implicate pe msur ce se vor generaliza soluiile globale,
iar unii juctori sunt tentai s impun o soluie aflat n posesia lor
pe pia. Cum o mulime de produse i servicii nc folosesc soluii
proprii, nu este nici un avantaj n a folosi standarde sigure, care
nu ofer securitate suplimentar, dect dac toi ceilali le ofer. Ca
rezultat al acestor imperfeciuni, cadrul european pentru protecia
telecomunicaiilor i a datelor impune deja obligaii legale pentru
operatori i furnizorii de servicii, n scopul de a asigura un anume
nivel de securitate n sisteme de comunicaii i informatice.
Recomandarea pentru o politic europeana n domeniul reelelor i
securitii informaiei poate fi descris dup cum urmeaz. - n primul
rnd, prevederile legale la nivelul UE trebuie aplicate efectiv,
aceasta cernd o nelegere comun a problemelor de securitate i a
msurilor specifice ce seimpun. Cadrul legal va trebui s evolueze n
viitor, de exemplu, n legtur cu criminalitatea cibernetic, semntura
electronic etc. - n al doilea rnd, anumite imperfeciuni ale pieei
au condus la concluzia c forele de pe pia nu pompeaz suficiente
investiii n tehnologiile sau practicile de securitate. Msurile
politice pot revigora piaa i, n acelai timp, pot mbunti
funcionalitatea cadrului legal. - n sfrit, serviciile din domeniul
comunicaiilor i informaiei sunt oferite fr a se granie. Aadar, o
politic european este necesar n scopul de aasigura piaa intern
pentru asemenea servicii, de a beneficia de pe urma soluiilor
comune i de a face posibil o aciune eficient la nivel global.
Msurile politice propuse cu privire la securitatea reelelor i a
informaiilor trebuie privite nu numai n contextul legislaiei deja
existente
pentru telecomunicaii i protecia datelor, ci i n legtur cu
politica mai recent, legat de infraciuni cibernetice. O politic n
privina securitii reelelor i informaiei va constitui veriga lips n
acest cadru politic. 2. Contientizarea pericolelor. Muli
utilizatori (privai/publici) nc nu sunt contieni de posibilele
ameninri pe care le ntlnesc folosind reelele de comunicaii sau de
soluiile care deja exist pentru a le face fa. Problemele de
securitate sunt complexe, iar riscurile sunt adesea dificil, chiar
i pentru experi, de ntrevzut. Lipsa de informare este una dintre
imperfeciunile pieei, pe care politicile de securitate ar trebui s
o aib n vedere. Exist riscul ca unii utilizatori, alarmai de
multele rapoarte i ameninri la adresa securitii, s evite pur i
simplu folosirea comerului electronic. Alii, care fie sunt
neinformai, fie subestimeaz riscul, pot fi prea neglijeni. Unele
companii pot avea interesul de a prezenta ca minim riscul pentru a
nu pierde clieni. Paradoxal, exist o cantitate impresionant de
informaie n domeniul securitii reelelor i al informaiei disponibil
pe Internet, iar revistele despre calculatoare acoper subiectul
destul de bine. Problema utilizatorilor este aceea de a gsi
informaiile potrivite, pe care le pot nelege, care sunt la zi i
rspund propriilor lor nevoi. n sfrit, furnizorii de servicii ai
unui serviciu public de telecomunicaii disponibil sunt obligai prin
legile UE s-i informeze pe abonaii lor cu privire la riscurile
cauzate de o bre a securitii reelei i despre posibilele remedii,
inclusiv costul implicat (cf. art. 4 al Directivei 97/66 al CE).
Scopul iniiativei pentru creterea contientizrii cetenilor,
administraiilor i mediului de afaceri este deci acela de a furniza
informaii accesibile, independente i pe care te poi baza despre
securitatea reelelor i a informaiei. O discuie deschis despre
securitate este necesar. Odat ce contientizarea a fost asigurat,
oamenii devin liberi s fac alegeri proprii asupra nivelului de
protecie pe care i-l doresc i permit. Aciuni propuse: - Statele
membre ar trebui s lanseze o campanie public de educare i
informare, iar msurile care se iau trebuie permanent actualizate.
Aceasta ar trebui s includ o campanie mass-media i aciuni ce vizeaz
un public larg. O campanie de informare bine plnuit i eficient nu
este ieftin. Un coninut al acesteia care s descrie riscurile fr a
alarma oamenii i fr a ncuraja potenialii hackeri, necesit o
planificare atent. Comisia European va facilita un schimb de
experien n ceea ce privete cele mai bune practici i va asigura un
nivel de coordonare a diferitelor campanii naionale de informare la
nivel UE, n particular n ceea ce privete corpul de informaie care
trebuie difuzat. Un element al acestei campanii ar fi un portal
pentru pagini web, att la nivel naional ct i European. Legarea
acestor portaluri cu site-uri web de ncredere ale partenerilor
internaionali ar trebui, de asemenea, luat n considerare. - Statele
membre ar trebui s promoveze utilizarea celor mai bune practici n
securitate, bazate pe msuri deja existente, cum ar fi ISO/IEC 17799
(cod de practici pentru managementul securitii informaiei
www.iso.ch). Companiile de mrimi mici i medii ar trebui avute n
vedere n primul rnd. Comisia va susine statele membre n eforturile
lor. - Sistemele de educaie din statele membre ar trebui s dea mai
mult atenie cursurilor dedicate securitii informatice. Dezvoltarea
de programe educaionale la toate nivelurile, de exemplu, cursuri
despre riscurile de securitate ale reelelor deschise i soluii
eficiente ar trebui ncurajate s devin parte a educaiei despre
calculatoare i informatic din coli. Comisia Europeana sprijin
dezvoltarea de noi module pentru programa colar n cadrul
programului su de cercetare. 3. Un sistem european de avertizare i
informare n domeniul securitii informatice. Chiar i n cazul n care
utilizatorii sunt contieni de riscurile de securitate, ei tot
trebuie anunai cu privire la noi ameninri. Atacatorii ruvoitori, n
mod aproape inevitabil, vor gsi noi vulnerabiliti care s ocoleasc
protecia cea mai sigur. Se dezvolt n permanen aplicaii i servicii
software noi, oferind o mai buna calitate a serviciilor, fcnd
Internetul mai atractiv; dar n cursul procesului,
neintenionat, se deschide calea unor noi vulnerabiliti i
riscuri. Chiar i inginerii de reea experimentai i experi n
securitate sunt adesea surprini de noutatea adus de unele atacuri.
Aadar este nevoie de un sistem de alarmare rapid, care s poat
alerta toi utilizatorii, alturi de o surs de informaii i sfaturi
rapide i demne de ncredere asupra modului n care se poate aciona
mpotriva atacurilor. Mediul de afaceri, de asemenea, are nevoie de
un mecanism confidenial de raportare a atacurilor, fr a risca
pierderea ncrederii publicului. Acesta trebuie s fie complementat
de o mai extins i anticipativ analiz de securitate, strngnd dovezi
i comparnd riscurile cu beneficiile unor soluii i costurile
aferente. Mult munc n acest domeniu este fcut de Computer Emergency
Response Teams (CERTs) sau de entiti similare. De exemplu, Belgia a
organizat un sistem de alert la virui care permite cetenilor
belgieni informarea n legtur cu alertele cauzate de virui n dou
ore. Totui CERT-urile opereaz n mod diferit n fiecare stat membru,
fcnd cooperarea complex, dac nu chiar dificil. CERT-urile deja
existente nu sunt ntotdeauna bine echipate, iar sarcinile lor
adesea nu sunt clar definite. Cooperarea la nivel mondial se
realizeaz prin CERT/CC, care este n parte finanat de guvernul SUA,
iar CERT-urile din Europa depind de politica de publicare a
informaiilor de ctre CERT/CC. Ca rezultat al acestei complexiti,
coordonarea european a fost pn n prezent limitat. Cooperarea este
esenial n asigurarea avertizrii din timp pe cuprinsul UE prin
schimbul instantaneu de informaii la primul semn de atac ntr-o
singur ar. Aadar, cooperarea cu sistemul CERT din interiorul UE ar
trebui ntrit n regim de urgen. O prim aciune viznd ntrirea
cooperrii public/private prin dependena de infrastructura de
informare (inclusiv dezvoltarea sistemelor de avertizare de urgen)
i mbuntirea colaborrii ntre CERT-uri a fost stabilit n cadrul
planului de aciune eEurope. Aciuni propuse: -Statele membre ar
trebui s-i reorganizeze propriile sisteme CERT, avnd n vedere
mbuntirea echipamentului i a competenei CERT-urilor existente. n
sprijinul eforturilor naionale, Comisia Europeana va dezvolta o
propunere concret de ntrire a cooperrii n cadrul UE. Aceasta va
include proiecte de propuneri n cadrul programului TEN Telecom
pentru asigurarea navigrii eficiente pe reea i stabilirea de msuri
companion n cadrul programului IST pentru facilitarea schimbului de
informaii. - Odat cu stabilirea reelei CERT la nivel UE, aceasta ar
trebui conectat cu instituii similare din toata lumea, de exemplu,
sistemul de raportare a incidentelor propus de G8. - Comisia
propune colaborarea cu statele membre pentru a se organiza ct mai
bine colectarea de date la nivel european, analiza i proiectarea
rspunsurilor anticipative la riscuri existente i posibile. 4.
Dezvoltarea suportului tehnologic. Investiiile n securitatea
reelelor i a informaiei sunt actualmente sub optim. Acesta este
cazul att n ceea ce privete suportul tehnologic, ct i cercetarea
pentru descoperirea de noi soluii. n contextul n care noile
tehnologii n mod inevitabil aduc cu ele i riscuri noi, cercetarea
continu este vital. Securitatea n domeniul reelelor i al informaiei
este deja inclus n Information Technologies (IST) Programme of the
EUs 6th Framework Research Programme, reprezentnd o investiie de
3,6 miliarde de euro de-a lungul a patru ani. Cercetarea la nivel
tehnic n criptografie este ntr-un stadiu avansat la nivel european.
Algoritmul Belgian numit Rijndael a ctigat concursul Advanced
Encryption Standard, organizat de institutul de standardizare al
SUA (NIST). Proiectul NESSIE (Noi metode europene pentru Semntur,
Integritate i Criptare) al IST a lansat o competiie la nivel extins
n domeniul algoritmilor de criptare ndeplinind cerinele noilor
aplicaii multimedia, comerului mobil i smartcard-urilor.
Aciuni propuse: - Comisia propune includerea securitii n al
aselea program cadru. Pentru ca aceast adugire s fie optim, ar
trebui legat de o mai larg strategie pentru mbuntirea securitii
reelelor i a informaiei. Cercetarea din cadrul acestui program ar
trebui s aib n vedere provocrile cheie de securitate i va focaliza
pe mecanisme de securitate de baz i pe interoperabilitatea
acestora, procese de securitate dinamice, criptografie avansat,
tehnologii de mbuntire a facilitilor de confidenialitate,
tehnologii de operare cu obiecte digitale, tehnologii de ncredere
pentru suportul afacerilor i funcii organizaionale n sistemele
dinamice i de telefonie mobil. - Statele membre ar trebui s
promoveze activ folosirea produselor criptografice puternice i
plug-able. Soluii de securitate bazate pe criptarea plug-in trebuie
s fie disponibile ca o alternativ la acelea fixate n sistemele de
operare. 5. Standardizarea i certificarea. Pentru ca mbuntirea
soluiilor de securitate s aib succes, ele trebuie implementate n
comun de actori importani ai pieei i de preferin bazate pe
standarde internaionale deschise. Una dintre principalele piedici n
adoptarea multor soluii de securitate, de exemplu semntura
electronic, a fost lipsa interoperabilitii ntre diferite
implementri. Dac doi utilizatori doresc s comunice n mod sigur ntre
diferite platforme, trebuie asigurat interoperabilitatea. Folosirea
protocoalelor i interfeelor standardizate ar trebui ncurajat,
inclusiv testarea de conformitate. Standarde deschise, de preferat
bazate pe software cu sursa liber, ar putea contribui la nlturarea
mai rapid a erorilor ca i la o mai mare transparen. De asemenea,
evaluarea securitii contribuie la creterea ncrederii
utilizatorilor. Folosirea de criterii comune de evaluare n multe ri
faciliteaz recunoaterea mutual; aceste ri au intrat de asemenea
ntr-un aranjament cu Canada i SUA pentru recunoatere mutual a
certificatelor de securitate IT (Recomandarea Consiliului 95/144/EC
referitoare la criteriile de evaluare a securitii tehnologiei
informaiei, implementat n majoritatea statelor membre).
Certificarea proceselor care se desfoar n afaceri i managementul
sistemelor de securitate a informaiei este susinut de cooperarea
european pentru acreditare (EA). Acreditarea organismelor naionale
de certificare mrete ncrederea n competena i imparialitatea
acestora, promovnd astfel acceptarea certificatelor n toat UE. n
plus fa de certificare, ar trebui de asemenea efectuate teste de
interoperabilitate. Un exemplu al acestei abordri este Iniiativa
European de Standardizare a Semnturii Electronice (EESSI), care
dezvolt soluii de consens n sprijinul directivei UE asupra
semnturii electronice. Alte exemple sunt iniiativele privind
smartcard-urile n eEurope i iniiativele de implementare a
Infrastructurii de Chei Publice (PKI) lansate n interiorul
programului Schimb de Date ntre Administraii (IDA). Nu lipsesc
eforturile de standardizare, dar un mare numr de standarde aflate n
competiie duce la fragmentarea pieei i la prezena de soluii
non-interoperabile. Aadar, activitile de standardizare i
certificare curente au nevoie de o mai bun coordonare i de asemenea
au nevoie s in pasul cu introducerea de noi soluii de securitate.
Armonizarea specificaiilor va conduce la o interoperabilitate
crescut, fcnd posibil n acelai timp implementarea de ctre actorii
pieei. Aciuni propuse: - Organizaiile de standardizare europene
sunt invitate s accelereze lucrul la produse i servicii
interoperabile de securitate. Unde va fi necesar, ar trebui urmate
forme noi de deliverabile i proceduri pentru a accelera lucrul i a
ntri cooperarea cu reprezentanii consumatorilor i angajamentul
actorilor pieei. Pluggable nseamn c un produs software de criptare
poate fi cu uurin instalat i fcut complet operaional n cadrul
sistemelor de operare. - Comisia va continua s sprijine, mai ales
prin programele IST i IDA folosirea semnturii electronice,
implementarea de solutii PKI interoperabile i prietenoase pentru
utilizator i dezvoltarea pe mai departe a IPv6 i IPSec (ca n Planul
de Aciune eEurope).
- Statele membre sunt invitate s promoveze folosirea
procedurilor de certificare i acreditare pe baza standardelor
europene i internaionale general acceptate, favoriznd recunoaterea
mutual de certificate. Comisia va evalua nevoia unei iniiative
legale asupra recunoaterii mutuale de certificate. - Actorii de pe
piaa european sunt ncurajai s participe mai activ n activiti de
standardizare europene (CEN, Cenelec, ETSI) i internaionale
(Internet Engineering Task Force (IETF) , World Wide Web Consortium
(W3C)). - Statele membre ar trebui s-i revad toate standardele de
securitate relevante. Ar putea fi organizate competiii mpreun cu
Comisia pentru metode europene de criptare i soluii de securitate,
cu scopul de a stimula standarde acceptate pe plan internaional.
6.Cadrul juridic. Exist mai multe texte legale care influeneaz
securitatea reelelor de comunicaii i a sistemelor informatice.
Datorit convergenei reelelor, problemele de securitate aduc laolalt
reguli i tradiii legale din sectoare variate. Acestea includ
telecomunicaiile (ncorpornd toate reelele de comunicaie), industria
calculatoarelor, Internetul care a funcionat mai ales n baza unei
abordri hands off (de neintervenie) i comerul electronic care este
din ce n ce mai mult subiectul unei legislaii specifice. n legtur
cu securitatea, prevederile privind daunele terilor,
infracionalitatea cibernetic, semntura electronic, regulile privind
protejarea i exportul datelor sunt relevante. Protejarea intimitii
este un obiectiv politic cheie n Uniunea European. A fost
recunoscut ca drept de baz prin articolul 8 al Conveniei Europene
asupra drepturilor omului. Articolele 7 i 8 ale Cartei Drepturilor
Fundamentale ale UE de asemenea stipuleaz dreptul la respect pentru
viaa de familie i privat, cmin, comunicaie i date personale.
Articolul 5 al Directivei de Protejare a Datelor n Telecomunicaii
oblig statele membre s asigure confidenialitatea n reelele publice
de telecomunicaii. n plus, la articolul 4 al aceleiai Directive se
cere furnizorilor de servicii publice i reele s ia msuri tehnice i
organizatorice pentru a asigura securitatea serviciilor oferite.
Aceste prevederi au implicaii asupra necesitilor de securitate ale
reelelor i sistemelor informatice folosite de acele persoane sau
organizaii, de exemplu furnizorii de comer electronic. Natura
pan-European a acestor servicii i mai marea competiie
transfrontalier duc la o cretere tot mai mare de specificaii asupra
mijloacelor de folosit pentru a fi n acord cu aceste prevederi.
Programul cadru pentru servicii n telecomunicaii al UE conine mai
multe prevederi cu privire la securitatea operaiilor pe reea
(nsemnnd disponibilitatea reelelor n caz de urgen) i integritatea
reelelor (nsemnnd asigurarea operaiilor normale n reelele
interconectate). Comisia a propus un nou cadru de reguli pentru
serviciile de comunicaii electronice n iulie 2000. Propunerile
Comisiei reafirmau n esen dei cu modificri prevederile existente n
ce privete securitatea i integritatea reelelor. Infraciunile
informatice au declanat o larg discuie n UE despre cum s se
reacioneze la activitile infracionale care folosesc computerele i
reelele de calculatoare. Legile penale ale statelor membre trebuie
s prevad i accesul neautorizat n reelele de calculatoare, inclusiv
securitatea datelor personale. Sunt probleme n investigarea acestor
ilegaliti i se constat o insuficient inhibare a hackerilor. Legi
penale mpotriva intruziunii n reelele de calculatoare sunt, de
asemenea, importante pentru a uura cooperarea judiciar ntre statele
membre. ngrijorrile legitime fa de infracionalitatea electronic
necesit investigaii legale eficiente. Aciuni propuse: -nelegerea
comun a implicaiilor legislative ale securitii n comunicarea
electronic este necesar. Pentru acest scop, Comisia va crea un
inventar de msuri naionale care au fost deja luate i sunt n
concordan cu legi comunitare relevante.
- Statele membre i Comisia ar trebui s sprijine n continuare
libera circulaie a produselor i serviciilor criptografice, prin o
mai mare armonizare al procedurilor administrative de export i o
mai mare relaxare a controalelor la exporturi. - Comisia va propune
o msur legislativ n cadrul Titlului VI al tratatului UE pentru
echivalarea legilor penale legate de atacuri mpotriva sistemelor de
calculatoare, incluznd hacking-ul i atacurile de refuz al
serviciilor. 7. Securitatea n aplicaiile guvernamentale. Planul de
aciune eEurope i propune s ncurajeze o mai eficient interaciune
ntre ceteni i administraia public. Cum mare parte din informaia
schimbat ntre ceteni i administraie are un caracter confidenial
(medical, financiar, legal etc.), securitatea este vital pentru
asigurarea implementrii cu succes a planului. Mai mult, dezvoltarea
guvernrii electronice face ca administraia public s devin att
exemplu de demonstrare a eficienei soluiilor de securitate ct i
actor al pieei cu posibilitatea de a influena dezvoltarea n domeniu
prin deciziile de achiziie pe care le face. Problema pentru
administraia public nu este numai aceea de a achiziiona sisteme
informatice i de comunicaii cu cerine de securitate, ci i
dezvoltarea unei culturi de securitate a organizaiei. Acest
obiectiv poate fi dus la ndeplinire prin stabilirea de politici
organizaionale de securitate adaptate la nevoile instituiei. Aciuni
propuse: - Statele membre ar trebui s ncorporeze soluii de
securitate informatic eficiente i interoperabile, ca o cerin de baz
n activitile lor de e-guvernare i e-procurement. - Statele membre
ar trebui s introduc semntura electronic la oferirea serviciilor
publice on-line. - n cadrul e-Comisiei, Comisia va lua o serie de
msuri pentru a ntri cererea de securitate n sistemele sale
informatice i de comunicaie. 8. Cooperarea internaional. Aa cum
comunicaiile prin reele trec cu uurin graniele n fraciuni de
secund, la fel se ntmpl i cu problemele de securitate informatic
asociate. Reeaua este att de sigur ca i cea mai slab verig a ei,
iar Europa nu se poate izola de restul reelei globale. n consecin,
problemele de securitate precizate mai sus cer cooperare
internaional. Comisia European deja contribuie la munca forurilor
internaionale,cum ar fi G8, OECD, Naiunile Unite. Sectorul privat
trateaz problemele de securitate n organizaii cum ar fi Global
Business Dialogue (www.GBDe.org) sau Global Internet Project
(www.GIP.org). Un dialog continuu ntre aceste organizaii va fi
esenial pentru securitatea global. Comisia va ntri dialogul cu
organizaiile internaionale i cu partenerii si n ceea ce privete
securitatea reelelor i, n particular, n ceea ce privete
interdependena crescnd a reelelor de calculatoare. 9. Securitatea
informatic n planul eEurope 2005. Deoarece Societatea Informatizat
devine tot mai important att pentru business ct i pentru societate,
asigurarea securitii, att pentru infrastructura nsi, ct i pentru
informaiile care circul pe ea, reprezint un punct critic. Pentru ca
Internetul s fie un mediu de ncredere al Societii Informatizate,
trebuie s devin disponibil, informaia transmis sau memorat s fie
pstrat confidenial, trebuie s ne putem asigura cine este autorul
unei informaii i c aceasta nu a fost alterat. Problemele de
securitate reduc ncrederea noastr n reele i n sistemele informatice
i, odat cu aceasta, reduc nivelul de utilizare a Internetului, cu
toate avantajele sale. Ca urmare, securitatea este elementul cheie
al proieciilor Comisiei UE privind Noua Generaie de Internet i
reprezint una dintre cele 6 prioriti politice ale Planului eEurope
2005. Asigurarea securitii informatice nu este numai o provocare
pur tehnologic, ci este, n acelai timp, o chestiune dependent de
comportamentul uman i de cunotinele cu privire la ameninri i
remedii. UE a dezvoltat deja reguli pentru comunicaii electronice
sigure, aa cum sunt de fapt
Directiva asupra semnturii electronice sau legislaia cu privire
la protecia datelor pentru comunicaii electronice. Alte provocri
stau de asemenea ntre obiectivele Planului eEurope 2005: -
Securitatea reelelor i a informaiilor mpotriva unor atacuri
accidentale sau cu caracter criminal; - Criminalitatea cibernetic,
pentru armonizarea legislaiei rilor membre; - Comunicaii sigure
pentru e-guvernare, pentru dezvoltarea unei reele transeuropene
sigure, prin care s se poat vehicula informaii secrete sau
confideniale (Proiectul IDA- Interchange of Data between
Administrations). Implementarea acestor obiective presupune o serie
de activiti concrete: - crearea la nceputul lui 2004 a European
Network and Information Security Agency (ENISA) o agenie european
care va aciona ca un centru privind securitatea informatic al rilor
membre i al instituiilor UE, contribuind la creterea cooperrii i a
schimbului de informaii n domeniu, precum i la stabilirea cadrului
juridic i de reglementare. Va contribui la dezvoltarea unui sistem
european de alert i informare reciproc n caz de incidente
informatice; - Planul de Aciune pentru un Internet mai Sigur
(PAIS), destinat contracarrii unor aciuni ilegale n domeniul P2P,
sisteme mobile, chat-uri, jocuri on-line etc.; - sprijinirea unor
cercetri privind securitatea informatic, prin Programul Cadru nr.
6, n domenii ca e-autentificarea (smart-carduri, biometrice),
metode criptografice noi, metode de semnatur electronic, criptare
plug-in etc.; - dezvoltarea unor noi standarde, prin Network and
Information Security (NIS) Focus Group, care s le completeze pe
cele actuale i s umple eventualele goluri existente; - dezvoltarea
unei culturi a securitii, n proiectarea, implementarea i utilizarea
sistemelor informatice i de comunicaii. Sectorul privat trebuie s
dezvolte practici adecvate i standarde n acest scop.
PRACTICUM Sarcina 1. De analizat problematica vulnerabilitatii
si riscului infrastructurilor critice in societatea informatica
(dup Adrian V. Gheorghe.ANALIZA DE RISC SI DE VULNERABILITATEPENTRU
INFRASTRUCTURILOR CUNOASTERII) CRITICE ALE SOCIETATII INFORMATICE
-SOCIETATE A
1. Problematica vulnerabilitatii si riscului in Societatea
Informatica Societatea Cunoasterii Societatea romaneasca se afla in
mijlocul unor profunde transformari politice, economice, sociale si
culturale. Acest ansamblu de transformari afecteaza viata fiecaruia
dintre noi. Societatea Informatica Societatea Cunoasterii va
depinde cu siguranta de performantele infrastructurilor critice ale
economiei romanesti ex. sistemele de producere, transport si
distributie ale energiei, sistemele de telecomunicatie, banci,
sistemele de transport aerian, naval, pe cale ferata si pe cale
rutiera, care vor putea fi tot mai mult accesate din interiorul
granitelor nationale, dar si din afara acestora. Societatea
informatica societatea cunoasterii redefineste problematica si
doctrina de aparare nationala; aspectele economice nu vor fi cele
doar strict legate de business si / sau de afaceri. Securitatea
infrastructurilor critice ale societatii romanesti vor trebuie
asigurate la un inalt nivel de complexitate, intelegere si actiune.
Cunoasterea, ca atare, va deveni o arma de aparare impotriva
riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in
societatea deceniilor viitoare. Prin vulnerabilitate se intelege
identificarea unui ansamble de evenimente externe sistemelor
tehnice care pun in pericol existenta infrastructurilor tehnice,
ale sistemelor informatice, cu precadere, si reprezinta elemente de
initiere in cadrul analizelor de risc specializate, cu luarea in
considerare a probabilitatilor aparitiei elementelor de hazard si
consecintele negative ale propagarii dezastrelor. Ceea ce se
numeste astazi tot mai des pericole cibernetice (cyberthreats) vor
deveni mai prezente in etapele noi de tranzitie catre o societate
informatica societate a cunoasterii.
La sfarsitul anilor 80, un diplomat roman in una din tarile
nordice declara cu mandrie patriotica: scoate din priza
calculatoarele din societatea occidentala si aceasta va fi
pierduta. Noi (romanii) nu avem nevoie de o societate informatica,
pentru a fi asadar vulnerabili. In etapa noua politica, economica
si culturala in care se afla Romania, este evident ca lucrurile
s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca
va afirma fara a fi cuplata la Internet, fara o cultura informatica
minima, societatea romaneasca, intreaga ei structura
economicopolitica si culturala nu va mai fi nicidecum si nicicand
compatibila cu noile structuri euro-atlantice. Este, asadar, numai
o chestiune de timp cand se fac afirmatii de un tip sau altul? 2.
Teze ale vulnerabilitatii si riscurile infrastructurilor critice in
societatea informationala societatea cunoasterii Cunoasterea, si
managementul acesteia, au devenit resursa pricipala a societatilor
moderne actuale. Firme de mare reputatie internationala, inainte cu
cativa ani erau producatoare de echipamente energetice de mare
performata ca de exemplu firma elvetiano-suedeza ABB, sau firma
Sultzer. Astazi ele se declara knowledge management companies
(companii care proceseaza, coordoneaza si conduc o micro economie
bazata pe cunostinte). Schimbarile asteptate in viitor, de la o
societate bazata eminamente pe resurse materiale la o societate a
utilizarii resurselor inteligente care se profileaza deja astazi,
conduce la integrarea pe scara larga a prelucrarii si managemteul
cunostintelor si a informatiei. Aceasta este o schimbare
structurala in conditiile de globalizare, access la Internet, etc.
In lucrarea de fata ma voi rezuma la vulnerabilitaea
infrastructurilor critice in conditiile adoptarii unei noi doctrine
politice de dezvoltare in Romania, cea a societatii informatice, a
societatii cunoasterii. In terminologia adptata recent,
infrastructurile critice sunt definite prin: Structurile
informatice si de comunicatie Bancile si sistemul financiar ale
unei tari Sistemele de energie, incluzand cele de producere si
transport ale electricitatii, ale petrolului si ale gazului natural
Structuri de distributie fizica ale resurselor ex: sistemele de
transport feroviare, rutiere, navale, aeriene Serviciile vitale
support ale activitatilor umane (sanitare, apararea civila,
politia, armata). Vulnerabilitatea acestor sectoare, in conditiile
accentuarii introducerii in managementul societatii, a informaticii
si cunoasterii (information and knowledge) trebuie re-evaluata si
considerate in toata amplitudinea ei. Avantajul Romaniei este acela
ca va proiecta si realiza aceste infrastructuri support ale
prelucrarii si managementul informatiilor in conditii in care deja
alte societati (societatea occidentala) se confrunta deja cu
definirea si managementul riscurilor specifice aceasta are loc pe
masura asimilarii de noi structuri tehnice care implica o
complexitarte generalizata a tehnologiei, reteleor, sistemelor
tehnologice support. Caderea, pentru numai o ora a sistemului de
calculatorae ale bursei din New York - SUA, a creat in iunie 2001
panica si confuzie mondiala. Romania, ca viitor partener in
structurile economice globale si euro atlantice, va trebui cu
precadere sa-si defineasca o strategie support de identificare a
vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei
critice. 3. Solutii posibile In perspectiva accentuarii, in
Romania, a introducerii si promovarii elementelor societatii
informatice - societatea cunaosterii, o serie de aspecte noi
trebuie identificate si controlate: Crescanda dependenta fata de
infrastructurile critice ale societatii: in perspectiva dependenta
fiecaruia dintre noi va fi tot mai mare fata de sistemele de
producere, distributie si transport ale energiei electrice,
sistemele de comunicatie si a sistemelor de calculatoare Va avea
loc o crestere a vulnerabilitatii sistemelor infrastructurilor
critice in etapele de trecere accentuata in Romania la societatea
informatica- societatea cunoasterii: o Se vor diversifica
posibilitatile de provocare a unor daune clasice (ex: riscurile
tehnologice provocate de sisteme active (centrale nuclaro-
electrice, chimice) sau de sisteme tehnice asa numite pasive (ex.
baraje ale centralelor hidroelectrice) o Vor apare noi pericole de
tip si natura cibernetica: extinderea retelelor de calculatoare,
accesul la un computer personal (PC) si o conexiune telefonica
clasica poate provoca intentionat duane insemnate o Complexitatea
sistemelor tehnice si a interdependentelor acestora, precum si
posibila / probabila interactiune cu catastrofele naturale vor
reprezenta noi elemente de vulnerabilitate pentru infrastructurile
critice ale societatii. Spectrul pericolelor se va extinde si
poate, in principiu, sa includa: Evenimente naturale si accidente
tehnice ce pot provoca daune materiale , ecologice si umane
importante;
Erori umane si omisiuni, care prin suportul fizic al societatii
informatice societatea cunoasterii, poate induce efecte
transversale negative in numeroasele componente ale
infrastructurilor critice.
O eroare umana provaocata in sistemul de distributie a energiei
electrice, induce nealimentarea cu energie a sistemului de
transport feroviar privind transportul substantelor periculoase.
Hackerii, cei care din numeroase motive personale sau sociale,
aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca
intentionat discontinuitati grave ale functionarii infrastructurii
informatice ale viitoarei societati informatice - societate a
cunoasterii: Activitati criminale Spionaj industrial Terorism
Razboi informatic. Ceea ce reprezinta astazi vulnerabilitate si
risc pentru societatile occidentale avansate, ele vor reprezenta
elemente de input negativ si stres pentru societatea romaneasca,ca
societate informatica societate a cunostintelor. Bunaoara, trebuie
depuse de la inceput eforturi pentru cunoasterea, localizarea si
minimizarea inca de la inceput a efectelor potential negative ce
pot apare in societatea infomatica societate a cunoasterii,
infrastructurile critice ale societatii. In etapa actuala de
proiectare a structurilor societatii informatice societate a
cunoasterii, trebuie accentuat pe urmatoarele aspecte: Creearea
unei culturi de securitate (safety culture) la nivelul publicului,
specialistilor, managerilor si politicienilor. Noi legi trebuie
adoptate si promovate pe masura ce societatea informatica societate
a cunoasterii demareaza ca un process continuu si ireversibil;
Asigurarea unor infrastructuri manageriale corespunzatoare,
disseminate la toate nivelurile si adaptate gradual la necesitatile
societale; Elaborarea unui sistem de legi specifice protectiei
infrastrufturilor critice, in consens cu legislatia internationala
si Europeana; Elaborarea unui program de cercetare stiintifica si
dezvoltare care sa asigure progresul in cunoasterea si managementul
complexitatii si interactiunilor in cadrul infrastructurilor
critice ale societatii informatice societatea cunoasterii.
Necesitatea creerii unui program de constientizare si de educatie
pentru a face fata cerintelor generate de promovarea societatii
informatice societatea cunoasterii este un alt aspect ce trebuie
considerat cu atentie. In acest sens, este de remarcat faptul ca
promovarea societatii informatice societatea cunoasterii presupune
un amplu program de educare, de intelegere a dimensiunilor
promovarii procesului de a naviga continuu spre realizarea acestor
deziderate ale societatii informatice societate a cunoasterii.
Industria privata sau cea cu participare publica are sarcina de a
coopera si de a schimba informatii in vedera asigurarii
functionalitatii, in conditii de maxima securitate a
infrastructurilor critice. In orice societate, dar cu precadere in
societate informatica- societate a cunoasterii, infrastructurile
critice pot fi caracterizate ca acelea care asigura linia vietii
(lifelines infrastructures), de care societatea contemporana este
astazi pe deplin dependenta. In societatea informatica societatea
cunoasterii nu mai exista frontiere, in sensul clasic al acestei
acceptiuni. Infrastructurile critice, linii ale vietii, sunt expuse
la noi tipuri de vulnerabilitate vulnerabilitati cibernetice si noi
pericole, pericole cibernetice. Modul de abordare al
vulnerabilitatilor si riscurilor societatii informatice societate a
cunoasterii, trebuie sa adopte noile dimensiuni cibernetice
specifice acestora. Acestea sunt deja concluzii pe care si le-au
asumat si recentele studii cu rezonanta in SUA si Europa
Occidentala. Se mentioneaza in aceste studii ca ceea ce este extrem
de important este de a recunoaste ca atat detinatorii cit si cei ce
opereaza infrastructurile informatice sunt astazi in prima linie in
ceea ce priveste efortul pentru asigurarea securitatii acestora.
Acestia sunt, in primul rand, cei mai vulnerabili la atacurile
cibernetice. Si aceasta vulnerabilitate are influente negative
asupra securitatii nationale, competitivitatea economica globala si
a bunastarii la nivel national. Societatea informatica- societatea
cunoasterii implica adoptarea si negocierea unei noi geografii
informatice, in care granitele sunt irelevante si distantele
geografice fara sens, unde inamicul potential poate demola
sistemele vitale ale societatii fara nici un act de prezenta sau
agresiune asa numita militara. Pe masura ce vom face eforturi
pentru a atinge scopurile si avantajele societatii informatice-
societatea cunoasterii, in paralel trebuie sa avem in vedere ca
trebuie proiectate structuri si retele de conducere in societatea
informatica societatea cunoasterii reziliente, capabile sa raspunda
noii geografii a vulnerabilitatii si riscurilor infrastructurilor
critice din Romania. Inainte de a atinge stadiile societatii
informatice societatii cunoasterii, Romania va trebui sa
gospodareasca inteligent si eficace ansamblul infrastructurilor
critice existente, cu varsta lor tehnologica, gradul lor
de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de
lucru, ci un deziderat extrem de serios si din perspectiva in care
forma de proprietete a acestora sufera profunde schimbari. Apoi
integrarea dinamica a infrastructurilor existente cu cele specifice
societatii informatice societatea cunoasterii va presupune
recunoasterea si managementul unor vulnerabilitati specifice.
Analizele de risc si vulnerabilitate pentru aceste categorii de
sisteme, evolutia lor in etape de tranzitie, tinand cont de gradul
de educatie si pregatire pentru managementul sistemelor complexe,
vor avea un rol extrem de important in deceniul viitor. O concluzie
posibila in etapa de demarare a dezideratelor societatii
informatice societatea cunoasterii este aceea ca analiza de
vulnerabilitate si risc trebuie considerate cu precadere. Se afirma
recent ca a astepta aparitia dezastrelor este o strategie
periculoasa. Acum este timpul pentru a actiona in vedera protejarii
viitorului nostru. In noua geografie a riscurilor generate de
existenta infrastructurilor critice in cadrul societatii
informatice societatea cunoasterii este necesar sa invatam sa
gandim diferit asupra operabilitatii conceptelor de
vulnerabilitate, siguranta, securitate si risc. Referitor la
definirea directiilor de constructie si coordonare a eforturilor
societale pentru societatea informatica societatea cunoasterii, o
serie de aspecte se vor evidentia in continuare: Se impune cu
necesitate schimbul reciproc de informatii, date si cunostinte
referitor la vulnerabilitatea deferitelor sisteme de infrastructuri
critice, intre Guvern si sectoarele implicate, transversal intre
sectoare distincte in cadrul conceptului de infrastructuri critice,
in conditiile societatii infromatice societatea cunoasterii Este
necesar sa se construiasca in cadrul societatii informatice
societatea cunoasterii, un sistem de responsabilitati care sa
garanteze cooperarea intre diferitele grupuri active in
functionarea infrastructurilor critice Protectia infrastructurilor
impune construirea de capabilitati integrate in cadrul diverselor
institutii in structura generala a societatii in Romania Este
necesara realizarea unei culturi de securitate (safety culture)
corespunzatoare Sistemul de legi ale societatii informatice
societatea cunoasterii trebuie sa ia in considerare potentialul de
impact ale pericolelor cibernetice si reglementate in mod
corespunzator Se impune initierea si coordonarea adecvata a unor
activitati de cercetare stiintifica care sa adreseze problematica
vulnerabilitatii si securitatii infrastructurilor critice in cadrul
conceptului de societate informatica societatea cunoasterii. In
legatura cu realizarea unor studii practice care sa adreseze
problematica vulnerabilitatii si riscului infrastructurilor critice
se impune, ca in conditiile Romaniei, sa se: Promoveze construirea
unor banci de date care sa colecteze si prelucreze date spcifice
infrastructurilor critice Construirea de banci de cunostinte care
sa inglobeze cea mai buna practica (best practice) privind
proiectarea si functionarea infrastructurilor critice in lume si in
Romania, in special Promovarea unor programe de invatamant la nivel
universitar si postuniversitar pentru a face fata nevoilor
specifice analizei vulnerabilitatii si riscului infrastructurilor
critice ale societatii informatice societatea cunoasterii din
Romania Instituirea in cadrul structurii Academiei Romane a unui
grup de lucru, comisie sau task force, pentru o activitate de
cercetare interdisciplinara pe problematica vulnerabilitatii si
riscului sistemelor complexe, in special al infrastructurilor
critice si impactul lor la nivel national Se va impune cu siguranta
adoptarea unei terminologii unitare in acest domeniu Realizarea
unui parteneriat la nivel national intre domeniul public si cel
privat care sa asigure un nivel acceptabil al securitatii
infrastructurilor cirtice in cadrul societatii informatice
societatea cunoasterii, fara sa afecteze operabilitatea functiilor
vitale ale economiei nationale din Romania Promovarea in toate
etapele ciclului de viata al infrastructurilor critice ale
societatii infromatice societata cunoasterii a studiilor si
analizei de risc, promovand cea mai buna practica (best practice)
si adoptarea unor criterii de risc cu larga acceptabilitate
societala (ex. principiul ALARA As Low As Reasonable Acceptable)
Coordonarea in cadrul sistemului de legi din Romania a introducerii
unor prevederi care conduca la descurajarea atacurilor critice
asupra infrastructurilor critice, dar si includerea de elemente
legislative care sa incurajeze solutii de tip risc-beneficiu
privind proiectarea, realizarea si functionarea operativa a
infrastructurilor critice, in conditiile cresterii complexitatii si
a dependabilitatilor acestora Promovarea, sustinerea si realizarea
in practica a unui ansamblu de masuri specifice creerii unei
constientizari a actiunilor in caz de urgenta (emergency awareness)
care impreuna cu cele ale culturii de securitate (safety culture)
sa depaseasca momentele posibile de criza in functionarea
infrastructurilor critice ale societatii informatice societatea
cunoaterii
Realizarea unor schimbari de informatii si experienta
internationala prin creearea si de societati / fundatii inRomania
care sa disemineze cea mai buna practica privind asigurarea
continuitatii operabilitatii infrastructurilor critice (ex.
Fundatia Infosurance 1 in Elvetia). 4.Concluzii In loc de
concluzii, se pot lua in considerare urmatoarele remarci, in scopul
unor analize mai aprofundate si realizarea unui business plan
referitor la promovarea si implementarea principiilor societatii
informatice societatea a cunoasterii: Remarca 1: Managementul
riscurilor societatii informatice societatea cunoasterii necesita,
in general, un parteneriat dedicat intre industrie, Guvern,
societate Remarca 2: Structurile de decizie ale societatii
romanesti trebuie sa fie construite pe principiul de adaptabilitate
si raspuns la crize privind disfunctionalitatea infrastructurilor
critice Remarca 3: Se impune, in perspectiva construirii cu
intensitate a cadrului si dimensiunilor societatii informatice
societatea cunoasterii, luarea in considerare a pericolelor
cibernetice (cyberthreats) si anticiparea si marginirea adecvata a
efectelor acestora la niveluri diferite ale societatii Remarca 4:
Adoptarea conceptelor cash and carry security sau buy-in security
vor deveni instrumentale in cadrul structurilor economiei de piata
pentru Romania. Aplicarea lor va genera forme noi de promovare
durabila a elementelor concrete ale societatii informatice
societatea cunoasterii. Bibliografie 1. *** - Critical Foundations.
Protecting Americas Infrastructures. The Report of the Presidents
Commission on Critical Infrastrucutre Protection, Washington DC,
October 1997 2. *** 3. *** 4. *** - Infosurance, Zrich, 2001
1
Infosurance realizeaza un system complex de activitati privind
posiblia vulnerabilitate a sistemelor informatice la scara
societatii elvetiene