Securitatea Informationala

January 22, 2020 | Author: Anonymous | Category: N/A
Share Embed Donate


Short Description

Download Securitatea Informationala ...

Description

Tema 13. Securitatea sistemelor informaţionale 1.Securitatea SI: definiţii, noţiuni principale, clasificarea pericolelor de securitate 2.Metodele de protecţie a SI 3.Sistemele de identificare şi delimitare a accesului la informaţie în cadrul SI 4.Managementul sistemului de securitate informaţională al firmei 5. Politica europeană în domeniul securităţii informatice 1.Securitatea SI: definiţii, noţiuni principale, clasificarea pericolelor de securitate Potenţialul societăţii informaţionale (impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces multiple. În acest context, desfăşurarea în bune condiţii a activităţii securităţii sistemelor informatice impune existenţa unui sistem IT funcţionabil. Managementul securităţii sistemelor IT constituie un factor hotărâtor in buna desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi a efectuării de tranzacţii electronice în condiţiile în care activitatea celor mai multe instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem informatic. Se pot enumera printre principalele mijloace tehnice implementate de întreprinderile societăţii moderne a căror activitate nu se poate desfăşura optim fără un sistem informatic bine pus la punct: programe antivirus, salvare a datelor, instruire referitoare la importanţa implementării şi urmăririi măsurilor de securitate. Societatea informaţională impune: • reglementarea legilor şi drepturilor pentru dezvoltarea comerţului electronic; • îmbunătăţirea productivităţii şi calităţii vieţii. Securitatea informaţiei se defineşte ca capacitatea sistemului de prelucrare a informaţiei de a asigura în anumită perioadă de timp a posibilităţii de executare a cerinţelor stabilite după mărimea probabilităţii realizării evenimentelor, manifestate în: -exodul informaţiei; -modificarea sau pierderea de date, ce prezintă anumită valoare pentru deţinător. Cauzele acestor evenimente pot fi: -impactul acţiunilor cu caracter stocastic ale omului; -impactul acţiunilor premeditate ale omului în formă de acces nesancţionat în sistem. Asigurarea securităţii datelor presupune realizarea a patru obiective: 1. Confidenţialitatea, uneori numită secretizare, îşi propune să interzică accesul neautorizat al persoanelor la informaţia care nu le este destinată. Confidenţialitatea reprezintă ţelul suprem al securităţii calculatoarelor. Pentru asigurarea confidenţialităţii trebuie ştiut care sunt informaţiile care trebuie protejate şi cine trebuie sau cine nu trebuie să aibă acces la ele. Aceasta presupune să existe mecanisme de protecţie a informaţiilor care sunt stocate în calculatoare şi care sunt transferate în reţea între calculatoare. În Internet, confidenţialitatea capătă noi dimensiuni sub forma unor măsuri de control al confidenţialităţii. Ţările dezvoltate, Statele Unite, Canada, Australia, Japonia etc., au reglementat prin lege controlul confidenţialităţii. 2. Integritatea, uneori numită acurateţe, îşi propune ca datele stocate în calculator să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei acţiuni răuvoitoare, ci şi ca urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. În acest caz se impune să existe un plan de recuperare şi refacere a datelor(existenţa unei copii de siguranţă).

3. Disponibilitatea îşi propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem şi utilizatorii generali, excepţie făcând sistemele de operare care echipează calculatoarele desktop. Orice utilizator general va putea să schimbe configurările de securitate ale calculatorului mergând până acolo încât să le anuleze. 4. Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora, în noua piaţă a comerţului electronic (E-Commerce). Obiectele critice (supuse securitizării, controlului sau/ şi gestiunii în condiţii de siguranţă): -sisteme de telecomunicaţie; -sisteme bancare; -staţii atomice; -sisteme de gestiune a transportului aerian şi rutier; -sisteme de prelucrare şi păstrare a informaţiei secrete şi confidenţiale. Proprietăţile de siguranţă a sistemelor critice: -integritatea sistemului, care se defineşte ca capacitatea mijloacelor tehnice de calcul sau a sistemului automatizat de a asigura constanţa (invariabilitatea) formei şi a calităţii informaţiei în condiţiile de deformare stocastică sau de ameninţare cu distrugerea; -inofensivitatea informaţiei, care se defineşte ca starea de protejare zascişcennosti a informaţiei, prelucrate cu ajutorul mijloacelor tehnice de calcul sau sistemelor automatizate de la ameninţări interne sau externe. Deşi în societatea informaţională varietatea crimelor este mare (şi va fi şi mai mare pe măsură ce tehnologia va progresa), următoarele fapte infracţionale sunt cele mai frecvente: frauda informatică falsul informatic, fapte ce prejudiciază datele sau programele pentru calculator, sabotajul informatic accesul neautorizat, intercepţia neautorizată, pirateria software, spionajul informatic, defăimarea prin Internet distribuirea de materiale obscene în Internet, spam-ul. Noţiunile-cheie: -accesul neautorizat reprezintă accesul fără drept la un sistem sau la o reţea informatică prin violarea regulilor de securitate; -confidenţialitatea datelor – atribut al datelor ce caracterizează accesul lor restrâns pentru un anumit grup de utilizatori; -criminalitatea informatică – totalitatea infracţiunilor comise cu ajutorul calculatorului sau în mediul informatizat; -documentul electronic (înscris electronic), reprezintă o colecţie de date în format electronic între care există relaţii logice şi funcţionale, care redau litere, cifre sau orice alte caractere cu semnificaţie inteligibilă, destinate a fi citite prin mijlocirea unui program informatic sau a altui procedeu similar; -dreptul comerţului electronic – totalitatea reglementărilor legale referitoare la activităţile comerciale care implică transferul de date şi realizarea unei tranzacţii financiare prin intermediul unei reţele electronice precum Internetul; -drept informatic sau dreptul societăţii informaţionale este un sistem unitar de reguli juridice aplicabile tehnologiilor specifice informaticii, precum şi acelei părţi a comunicaţiei aferente transferului de informaţie în reţelele informatice;

-dreptul securităţii informatice – totalitatea regulilor juridice care se referă la asigurarea securităţii sistemelor informatice şi a datelor şi informaţiilor cuprinse în aceste sisteme faţă de evenimente care le-ar putea afecta integralitatea; -frauda informatică – reprezintă intrarea, alterarea, ştergerea sau supraimprimarea de date sau de programe pentru calculator sau orice altă ingerinţă într-un tratament informatic care îi influenţează rezultatul, cauzând chiar prin aceasta un prejudiciu economic sau material în intenţia de a obţine un avantaj economic nelegitim pentru sine sau pentru altul; -funcţionarea licită a bazei sau băncii de date se referă la modalitatea legală în virtutea căreia organizaţia proprietar sau deţinător a bazei de date prestează servicii informatice; -intercepţia neautorizată, constă în intercepţia fără drept şi cu mijloace tehnice de comunicaţii cu destinaţie, cu provenienţă şi în interiorul unui sistem sau reţele informatice; -pirateria software constă în reproducerea, difuzarea sau comunicarea în public, fără drept, a unui program pentru calculator, protejat de lege; -sabotajul informatic, reprezintă intrarea, alterarea, ştergerea sau supraimprimarea de date sau de programe pentru calculator ori ingerinţa în sisteme informatice cu intenţia de a împiedica funcţionarea unui sistem informatic sau a unui sistem de telecomunicaţii; -semnătura electronică, reprezintă o colecţie de date în format electronic incorporate, ataşate sau asociate unui înscris în format electronic cu intenţia de a produce efecte juridice şi care permite identificarea formală a semnatarului; -spionajul informatic, constă în obţinerea prin mijloace ilegitime sau divulgarea, transferul sau folosirea fără drept ori fără nici o altă justificare legală a unui secret comercial sau industrial, în intenţia de a cauza un prejudiciu economic persoanei care deţine dreptul asupra secretului sau de a obţine pentru sine ori pentru altul avantaje economice ilicite. Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. Orice calculator este vulnerabil la atacuri. Politica şi produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului să aibă puţine şanse de reuşită. Principalele vulnerabilităţi în sistemele de calcul sunt: fizice; naturale; hardware; software; medii de stocare; radiaţii; comunicaţii; umane. Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la scara vulnerabilităţilor putem să distingem trei mari categorii [6]: • vulnerabilităţi care permit DoS (refuzul serviciului); • vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile limitate, fără autorizare; • vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat. O altă clasificare poate fi făcută după gradul de pericol pe care-l reprezintă vulnerabilitatea pentru sistemul supus atacului [6] (tabelul 1.4.1.): Grad de

Gradele de vulnerabilitate şi consecinţele acestora Mod de atac Consecinţe

Tabelul 1.4.1.

vulnerabilit ate A B C

Scripturi CGI cu opţiuni prestabilite

Permite accesul necondiţionat al utilizatorilor rău intenţionaţi

Vulnerabilitate criptare RSH Fişiere cu parole fără shadown Trimitere de pachete flood

Permite utiliyatorilor locali/generali să-şi mărească privilegiile şi să obţină control asupra sistemului

Grad de vulnerabilitate Mod de atac Consecinţe

Permite utilizatorilor din interior sau exterior să altereze procesele de prelucrare

Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi exploatează golurile din sistemul de operare, mai precis golurile la nivelul funcţiilor de reţea. Aceste goluri sunt detectate uneori la timp şi acoperite de către producător prin programe -patch-uri. Acest tip de atac permite ca unul sau mai mulţi indivizi să exploateze o particularitate a protocolului IP (Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informaţie. Atacul, cu pachete TCP SYN, presupune trimiterea către calculatorul-ţintă a unui număr foarte mare de cereri de conexiune, ducând în final la paralizarea procesului. În acest fel, dacă ţinta este un server, accesul la acesta e blocat şi serviciile asigurate de acesta sunt refuzate. Un atac asemănător poate fi declanşat şi asupra unui utilizator. Acest lucru este posibil datorit. Modului de proiectare a arhitecturii WWW. Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o poziţie medie, B, pe scara consecinţelor. Un utilizator local, adică un utilizator care are un cont şi o parolă pe un anume calculator, va putea, în UNIX, să-şi crească privilegiile de acces folosind aplicaţia sendmail. Atunci când este lansat programul, se face o verificare să se testeze dacă utilizatorul este root, numai acesta având drept de a configura şi trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat în aşa fel încât să se ocolească verificarea. Astfel, un utilizator local era drepturi de acces ca root. O altă posibilitate o reprezintă exploatarea zonelor de memorie tampon (buffere). Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat fac parte din clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai periculoase şi mai distructive. Multe atacuri se bazează pe o slabă administrare a sistemului sau pe configurarea greşită a acestuia. Cea mai cunoscută vulnerabilitate este conţinută de un fişier cu denumirea test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare care permitea intruşilor din exterior să citească conţinutul directorului CGI. şi aceasta din cauza a două ghilimele („) nepuse. Platformele Novell, cu servere HTTP, erau vulnerabile din cauza unui script cu numele convert.bas. Scriptul era scris în Basic şi permitea utilizatorilor de la distanţă să citească orice fişier sistem. O altă vulnerabilitate este întâlnită la serverele IIS (versiunea 1.0) de la Microsoft şi permite oricărui utilizator de la distanţă să execute comenzi arbitrare. Vulnerabilitţăile din clasa A pot fi întâlnite şi la următoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger. Există şi programe care pot să prezinte vulnerabilităţi asociate a două clase.

În concluzie, ameninţările la adresa securităţii se pot clasifica în trei categorii: naturale şi fizice; accidentale; intenţionate. Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente fizice care interacţionează cu calculatoarele. Se pot enunţa aici cutremurele, inundaţiile, furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate acţiona în sensul minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora. Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot produce ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor componente, insuficientei pregătiri profesionale, citirii insuficiente a documentaţilor etc. Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite în: interne; externe. Ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la informaţie, având de trecut mai puţine bariere şi ştiind şi o parte din politica de securitate a firmei. Ameninţările externe vin din partea mai multor categorii, şi anume: agenţii de spionaj străine; terorişti şi organizaţii teroriste; criminali; raiders; hackeri şi crackeri. Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile tehnologii. Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea acestora. Se impune ca aceste firme să folosească tehnologii şi programe de criptare foarte sofisticate pentru a proteja informaţiile. Ameninţarea inofensivităţii şi integrităţii se definesc ca acţiuni potenţial posibile asupra sistemului de calcul, care ar putea direct sau indirect frauda securitatea şi integritatea informaţiei a sistemului de prelucrare. Fraudarea integrităţii informaţiei constă în deformarea informaţiei, care pot condiţiona schimbări a formei şi a calităţii informaţiei. Fraudarea inofensivităţii informaţiei se defineşte ca deformarea stării de protejare a informaţiei conţinute în sistemul de calcul prin realizarea accesului nesancţionat a obiectelor sistemului. Accesul nesancţionat (neautorizat) la obiect se defineşte ca obţinerea de către utilizator sau program a accesului la obiect, pentru care autorizarea, în conformitate cu politica de securitate aprobată, lipseşte. Atacul se defineşte ca realizarea ameninţării. Clasificarea ameninţărilor: -după mijloacele de realizare/ de acţionare asupra sistemului de calcul (în clase): 1.intervenţia omului în funcţionarea sistemului de calcul: -mijloacele organizaţionale de perturbare a securităţii sistemului de calcul, inclusiv: -furtul purtătorului informaţiei; -accesul nesancţionat la dispozitivele de păstrare şi prelucrare a informaţiei; -deteriorarea utilijului, etc.;

-realizarea de către infractor a accesului nesancţionat la componentele de program a sistemului de calcul, inclusiv: -toate modalităţile de penetrare neautorizată în sistem; -modalităţile de obţinere de către utilizatorul-infractor a drepturilor ilegale la accesul la componentele sistemului; măsurile de asigurare a securităţii sistemului la astfel de pericole pot fi: -organizatorice (paza, regim de acces la dispozitivele sistemului); -perfecţionarea sistemelor de delimitare a accesului în sistem; -sisteme de depistare a tentativelor de selectare a parolelor; 2.intervenţia tehnică în funcţionarea sistemului de calcul: -obţinerea informaţiei după radiaţia electromagnetică a dispozitivelor sistemului; -acţiune electromagnetică asupra canalelor de transmitere a informaţiei; -alte metode; măsurile de protecţie contra astfel de emeninţări pot fi: -organizatorice; -tehnice (ecranarea radiaţiei dispozitivelor, protecţia canalelor de transmitere a informaţiei de la ascultare nesancţionată); -de programare (şifrarea mesajelor în canalelor de comunicaţie); 3.acţiune distructivă asupra componentelor de program a sistemului de calcul cu ajutorul mijloacelor de program, inclusiv: -viruşi; -„calul Troian”; -mijloacel de penetrare în sisteme la distanţă cu utilizarea reţelelor locale şi globale; măsurile de protecţie pot fi: -sisteme tehnice; -sisteme de program. 2

Monitor

Adapterul de reţea

Calculatorul

Mediul de calcul

2

Subsistemul de discuri

Tastatura Des.3.1.Clasificarea ameninţărilor securităţii sistemelor de calcul 033 2. Metodele de protecţie a sistemelor informaţionale La metodele de protejare a mijloacelor de păstrare şi transmitere a informaţiei de la accesul nesancţionat se referă: -organizaţional-tehnice de bază, inclusiv:

-limitarea accesului; -delimitarea accesului; -separarea accesului (privilegiilor); -transformările criptografice a informaţiei; -controlul şi evidenţa accesului; -măsuri legislative, etc. -suplimentare, condiţionate de: 1.complicarea procesului de prelucrare: mărirea numărului de mijloace tehnice, numărului şi a tipurilor acţiunilor stocastice, apariţia noilor canale de acces nesancţionat; 2.mărirea volumelor informaţiei, concentrarea informaţiei, mărirea numărului de utilizatori, etc. , inclusiv: -metodele controlului funcţional, ce asigură depistarea şi diagnosticarea refuzurilor, perturbărilor aparaturii şi erorilor condiţionate de factorul uman, precum şi erorile de program; -metodele de protecţie a informaţiei de la situaţii de avariere; -metodele de control a accesului la montarea internă a aparatelor, liniei de comunicaţie şi organele tehnologice de gestiune; -metodele de delimitare şi control a accesului la informaţie; -metodele de identificare şi autentificare a utilizatorilor, a mijloacelor tehnice, a purtătorilor de informaţie şi a documentelor; -metodele de protecţie de la radiaţia secundară şi navodok a informaţiei. Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie. Din această categorie fac parte: 1. Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricţionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul şi avea acces la datele stocate. Termenul de control al accesului (acces control) defineşte un set de mecanisme de control implementate în sistemele de operare de către producători pentru restricţionarea accesului. De această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc. 2. Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar accesul utilizatorilor avizaţi la informaţie. Identificarea şi autentificarea poate fi făcută şi cu ajutorul cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea după amprentă, voce, irisul ochiului etc. 3. Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din reţea şi permite trecerea altuia. Firewall-ul se interpune între reţeaua internă şi Internet şi filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit şi în interiorul propriei reţele pentru a separa subreţele cu nivele diferite de securitate. 4. VPN36-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O conexiune VPN se poate realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte tehnologii de criptare avansată a informaţiei care face ca aceasta să nu poată să fie modificată sau sustrasă fără ca acest lucru să fie detectat. 5. Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme deschise, cum ar fi Internetul, şi să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI complet., fiecare utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicaţie pe care o lansează este transparent şi complet asociat cu utilizatorul.

6. Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea şi autentificarea comunicaţiilor Web utilizând PKI pentru autentificarea serverelor şi a clienţilor. Lucrează foarte bine cu servere WWW. Este implementat în mai multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu de implementat. 7. Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de conturi şi parole care trebuie introduse de fiecare dată când accesează şi reaccesează programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de realizat datorită varietăţii de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor care au acelaşi tip de sisteme. Web-ul foloseşte un subset SSO numit Web SSO, funcţionarea fiind posibilă datorită faptului ca serverele Web folosesc aceeaşi tehnologie. Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie administrată,monitorizată şi întreţinută. Pentru aceasta trebuie efectuate următoarele operaţii: • administrarea sistemelor de calcul, care presupune şi controlul şi întreţinerea modului de acces la acestea de către utilizatori ; un utilizator care foloseşte o parolă scurtă sau care este uşor de ghicit va face ca acel calculator să fie uşor de penetrat. Atunci când un angajat este concediat sau pleacă pur şi simplu din alte motive de la firma respectivă, trebuie schimbate denumirile utilizatorului (user37) şi parola; denumirea user-ului şi a parolei trebuie făcută cu foarte mare atenţie şi mare responsabilitate; sarcina este de competenţa persoanei însărcinate cu securitatea; parolele vor conţine atât cifre, cât şi litere, pentru a face ghicirea lor cât mai grea, şi vor fi schimbate periodic; divulgarea parolei altor persoane va fi sancţionată administrativ; • detectarea intruşilor; trebuie făcută permanent; pentru aceasta există programe care controlează traficul şi care ţin jurnale de acces (log); verificarea se va face la nivelul fiecărui calculator din firmă; trebuie făcută aici distincţie între încercările de intruziune din afară şi cele din interior; de asemenea, trebuie separate încercările de acces neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator. • scanarea vulnerabilităţilor; este de fapt o analiză a vulnerabilităţii, presupune investigarea configuraţiei la nivel intern pentru detectarea eventualelor găuri de securitate; acesta se face atât la nivel hardware, cât şi software; folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia; • controlul viruşilor; se va face pentru a detecta şi elimina programele maliţioase din sistemele de calcul; acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot paraliza funcţionarea acestora sau pot produce distrugeri ale informaţiei; se impune obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruşi să se facă cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este nevoie. Aspectele generale privind informatice economice:

asigurarea

securităţii

datelor

în

sistemele

1. Asigurarea securităţii datelor în cadrul firmelor este strâns legată de posibilităţile financiare ale firmei în a investi în asigurarea securităţii. Firmele mari şi medii, care au şi câştiguri pe măsură, fac investiţii în securitate. Firmele mici nu fac astfel de investiţii decât foarte rar şi insuficient pentru a se asigura o securitate minimă. 2. Asigurarea securităţii datelor în cadrul firmelor depinde în mare măsură de cât de conştientă este conducerea firmei de faptul că trebuie asigurată o minimă securitate. Conducerea firmelor mari este asigurată de către un consiliu de administraţie (board), unde decizia de a se investi în securitate este luată de un grup de oameni care ştiu ce înseamnă riscurile. Acesta va trebui să fie conştient că trebuie asigurată securitatea datelor şi să dispună alocarea de resurse financiare îndeplinirii acestui deziderat. Unii manageri din această categorie văd asigurarea securităţii datelor ca un fel de gaură neagră, unde banii se duc şi nu aduc nici un beneficiu. Un rol important în conştientizarea asigurării securităţii datelor îl au, în acest caz, consultanţii pe probleme de securitate sau membrii echipei IT&C (dacă există) din firmă. 3. În cadrul firmelor mari există personal specializat cu asigurarea securităţii datelor. Acesta va implementa politica de securitate a firmei şi va testa periodic calculatoarele din firmă pentru descoperirea golurilor de securitate. 4. În cazurile în care firma, indiferent de mărime, nu are personal specializat cu studiul, implementarea şi gestionarea măsurilor de securitate, se poate face apel la firme specializate care să implementeze şi să gestioneze serviciile de securitate. Se poate opta şi pentru soluţia mixtă în care studiul şi implementarea să se facă de către o firmă specializată, iar gestionarea acestora să se facă de către beneficiar, urmând ca periodic să se facă testări de către firma specializată. 5. Programele aplicative la nivelul firmelor mari şi medii sunt elaborate luându-se în considerare şi securitatea datelor. Firmele mici folosesc ori programe piratate, ori aplicaţii create de nespecialişti care nu numai că nu au elemente de securitate încorporate, dar, în anumite cazuri, funcţionează şi defectuos, alterând datele. 6. Personalul angajat al unei firme nu are întotdeauna pregătirea necesară utilizării calculatorului. Firmele mari îşi permit să angajeze personal cu calificare înaltă, în timp ce firmele mici nu-şi pot permite acest lucru. Firmele mari fac eforturi pentru pregătirea angajaţilor, în timp ce firmele mici fac eforturi reduse sau deloc în ceea ce priveşte pregătirea personalului. 3.Sistemele de identificare şi delimitare a accesului la informaţie în cadrul sistemelor informaţionale Sarcina principală a sistemului de identificare şi delimitare a accesului constă în închiderea şi controlul accesului nesancţionat la informaţie, pentru care trebuie să fie asigurată securitatea. Măsurile de delimitare a accesului la informaţie şi mijloace de program de prelucrare trebuie să se realizeze în conformitate cu obligaţiunile funcţionale şi competenţelor a utilizatorilorpersonalităţi oficiale, personalului de deservire, utilizatorilor simpli. Principiul principal de elaborare a sistemului de identificare şi delimitare a accesului constă în accepţiunea adresărilor către informaţie cu indici aferenţi ai competenţelor autorizate.

Conţinutul măsurilor constă în efectuarea identificării şi autentificării utilizatorilor, dipozitivelor, proceselor, etc., separarea informaţiei şi a funcţiilor de prelucrare, montare şi întroducere a competenţelor. Protecţia informţiei constă în asigurarea accesului la obiectul informaţional printr-un singur canal protejat, care include funcţia de identificare a utilizatorului după codul parolei prezentate şi rezultatul pozitiv al verificării accesului la informaţie în conformitate cu competenţele determinate. Aceste proceduri sunt executate la fiecare dialog a utlizatorului. În prezent se aplică mai mulţi purtători de coduri de parole: permis la sisteme de control, carduri de identificare a personală sau documentele în original, etc., alegerea cărora este determinată de cerinţele faţă de sistemul automatizat, destinaţia sistemului, regimul de utilizare a sistemului, gradul de protecţie a informaţiei, numărul de utilizatori, tarife, etc.

4.Managementul sistemului de securitate informaţională al firmei Impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces multiple. Desfăşurarea în bune condiţii a activităţii securităţii sistemelor informatice impune existenţa unui sistem IT funcţionabil. Managementul securităţii sistemelor IT constituie un factor hotărâtor în buna desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi efectuarea de tranzacţii electronice în condiţiile în care activitatea celor mai multe instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem informatic. Întreprinderile societăţii moderne nu-şi pot desfăşurea activitatea optim fără un sistem informatic bine pus lapunct, ceea ce implică: programe antivirus; programe de salvare a datelor ; instruire referitoare la importanţa implementării; urmărire a măsurilor de securitate. Elemente de standardizare internatională în domeniul managementului securităţii sistemelor informatice sunt cuprinse în : – standardul ISO/CEI 13335: Information technology-Guidelines for the management of ITSecurity – cuprinde recomandări cu privire la analiza riscului pentru companii (Common Criteria); – standardul ISO/CEI 17799: Information technology-Code of practice for information security management –se referă la implementarea politicii de securitate (SMSI) şi la managementul acestuia;. – standardul ISO/CEI 17799:2000 – se referă la codul practicilor SMSI; – standardul britanic BS 7799-2:2002 – se referă la cerinţe şi la managementul sistemului de securitate ; – standardul ISO/CEI 17799:2000 – precizează recomandări pentru managementul securităţii informaţiei pentru a putea fi folosite de către cei responsabili cu iniţierea, implementarea sau menţinerea securităţii în organizaţia lor.pentru a exista control asupra tehnicii şi procedurilor; – seria de standarde ISO 15408: Information technology-Evaluation criteria for IT security – se referă la evaluarea securităţii sistemelor informatice prin mijloace tehnice adecvate, standardul definind criterii de evaluare şi certificare pe baza cărora vor fi evaluate şi certificate profilurile de protecţie. Sunt de menţionat următoarele: –existenţa politicii de securitate trebuie dovedită printr-un document obiectiv care explică ce se aşteaptă de la organizaţie;

–informaţia este un un bun economic care trebuie protejat şi securizat. Nu există cerinţe absolute; –TŰVIT-Germania este singura organizaţie acreditată pentru certificarea sistemelor de securitate în domeniu. Securizarea sistemului de Tehnologia Informaţiei este importantă pentru: –dezvoltarea încrederii ceea ce dă posibilitatea întocmirii unor contracte economice pentru tranzacţiile on-line; –identificarea informaţiilor critice şi stabilirea claselor de criticitate; –optimizarea costurilor într-o companie care lucrează în regim securizat; – asigurarea cerinţelor legale referitoare la securitatea informaţiilor; –educaţia şi instruirea; – raportarea incidentelor; – planificarea continuă. Cele mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigură un cadru comun pentru dezvoltarea standardelor organizaţionale de securitate şi pentru o practică efectivă de management al securităţii informaţiei .Standardul precizează pentru început: – Ce este securitatea informaţiei? – De ce este necesară securitatea informaţiei? – Cum se stabilesc cerinţele de securitate – Evaluarea riscurilor de securitate – Selectarea controalelor – Punct de plecare pentru securitatea informaţiei – Factori critici de succes – Dezvoltarea propriilor linii directoare. Un aspect important al securităţii sistemelor informatice îl constituie stabilirea politicii de securitate, care este documentul prin care se specifică politica de securitate informaţiei şi care trebuie permanent supusă unei politici de: revizuire şi evaluare. Referitor la securitatea organizaţională sunt importante de avut în vedere următoarele aspecte: –infrastructura securităţii informaţiei; –constituirea unei comisii pentru managementul securităţii informaţiei ; –coordonarea securităţii informaţiei; –alocare a responsabilităţilor pentru securitatea informaţiei; –procesul de autorizare pentru utilităţile de procesare a informaţiei; –consilierea din partea unui specialist în securitatea informaţiei ; –cooperarea între organizaţii; –revizuirea independentă a securităţii informaţiei; –securitatea accesului terţilor; –identificarea riscurilor în cazul accesului terţilor; –cerinţele de securitate în contractele cu terţii. O instituţie în care urmează a se implementa sistemul de management al securităţii informaţiei trebuie să înceapă cu clasificarea şi controlul activelor, ceea ce înseamnă: – stabilirea responsabilităţii pentru active; – realizarea inventarului tutor activelor din organizaţie; – clasificarea informaţiei; – stabilirea de îndrumări pentru clasificare; – etichetarea şi gestionarea informaţiei. Asigurarea securităţii personalului implică: – securitate în definire;

– instruire utilizatori; – răspuns la incidente de securitate sau acţiuni. Managementul comunicaţiilor şi funcţionării implică – proceduri şi responsabilităţi operaţionale – planificarea şi acceptabilitatea sistemului – protecţia împotriva software-ului maliţios Alte aspecte importante de care trebuie să se ţină cont în implementarea managementului securităţii sistemelor informatice sunt cele privind: mentenanţa; magementul reţelei; operarea şi securitatea mediilor de stocare; schimburile de informaţie şi software; controlul accesului. Îmbunătăţirea calităţii managementului sistemelor informatice implică: asigurarea securităţii sistemelor informatice pentru domeniul financiar; asigurarea sănătăţii; telecomunicaţii; furnizarea de soluţii soft; activitatea organizaţiilor guvernamentale precum şi a celor non-profit şi în menţinerea siguranţei naţionale. Securitatea informaţiei este vectorul care integrează axele principale: confidenţialitate; integritate; disponibilitate.

5. Politica europeană în domeniul securităţii informatice Internetul interesează în mod esenţial atât marile cât şi micile companii. Practic, nu există firmă într-o ţară cu o dezvoltare cel puţin medie care să nu aibă create pagini Web, pe care se găsesc informaţii despre serviciile şi produsele oferite. De asemenea, consumatorii şi producătorii pot comunica instantaneu prin Net, ceea ce le conferă posibilitatea unei informări reciproce şi a unor comunicaţii foarte ieftine. Şi totuşi, aceştia nu s-au „aruncat“ încă să facă afaceri sau administrare la scară mare prin Internet. De ce oare această reţinere? Motivele invocate cel mai adesea sunt legate de securitatea tranzacţiilor on-line. Preocupările pentru securitatea reţelelor şi a sistemelor informatice au crescut proporţional cu creşterea numărului de utilizatori ai reţelelor şi cu valoarea tranzacţiilor. Securitatea a atins un punct critic, reprezentând o cerinţă esenţială pentru afacerile electronice şi pentru funcţionarea întregii economii. Combinarea câtorva factori a făcut ca securitatea informaţiilor şi a comunicaţiilor să constituie unul dintre punctele principale pe agenda politicii Uniunii Europene: 1.guvernele şi-au dat seama de dependenţa economiilor lor şi a cetăţenilor faţă de buna funcţionare a reţelelor de comunicaţie şi au început să-şi revizuiască aranjamentele de securitate; 2.Internetul a creat o legătură globală, conectând milioane de reţele, mari si mici, milioane de calculatoare personale şi alte dispozitive, precum telefoanele mobile; acest lucru a redus în mod semnificativ costurile accesării informaţiilor economice vitale în cazul unor atacuri de la distanţă. 3. sunt raportaţi numeroşi viruşi, care cauzează pierderi mari prin distrugerea informaţiilor şi prin neacordarea dreptului de acces la reţele. Aceste probleme de securitate nu constituie chestiuni specifice unei ţări anume, ci un fenomen ce s-a răspândit rapid printre ţările membre ale UE; 4.consiliile Uniunii Europene (de la Lisabona şi Feira, de exemplu) au recunoscut Internetul ca un factor cheie al productivitătii economiilor uniunii, atunci când au lansat Planurile de Acţiune eEurope 2002 si eEurope 2005. În concordanţă cu aceste lucruri, consiliul de la Stockholm a concluzionat „Consiliul împreună cu Comisia vor dezvolta o strategie comprehensivă asupra securităţii reţelelor,inclusiv acţiuni de implementare în practică“. În timp ce securitatea a devenit o problemă esenţială pentru cei ce alcătuiesc politici, găsirea unui răspuns adecvat a devenit o sarcină complexă. Cu numai câţiva ani în urmă, securitatea reţelelor

era o problemă monopol de stat, care oferea servicii specializate bazate pe reţele publice, în particular pentru reţelele telefonice. Securitatea sistemelor informatice era specifică organizaţiilor mari şi era axată pe controlul accesului la resurse. Aceste lucruri s-au schimbat considerabil datorită unor dezvoltări în contextul unei pieţe lărgite, printre care amintim liberalizarea, convergenţa şi globalizarea: - reţelele sunt acum în principal în proprietate privată şi sunt administrate de companii private. Serviciile de comunicare sunt oferite pe bază de competitivitate, securitatea reprezentând o parte a ofertei pieţei. Totuşi, mulţi clienţi rămân ignoranţi în privinţa riscurilor securităţii atunci când se conectează la o reţea şi iau decizii bazându-se pe informaţii incomplete; - reţelele şi sistemele informatice converg. Ele devin interconectate, oferind aceleaşi tipuri de servicii şi, mai mult, împart aceeaşi infrastructură. Terminalele (calculatoarele, telefoanele mobile etc.) au devenit un element activ în arhitectura reţelelor şi pot fi conectate la diferite reţele; - reţelele sunt internaţionale. O parte importantă a comunicaţiilor din ziua de azi se realizează transfrontarier, tranzitând terţe ţări (câteodată chiar fără ca utilizatorul să realizeze acest lucru). Ca urmare, orice soluţie în faţa riscurilor de securitate trebuie să aibă în vedere acest lucru. Multe reţele sunt construite din produse comerciale, de la comercianţi internaţionali. Produsele de securitate trebuie să fie compatibile cu standardele internaţionale. 1. Necesitatea unei politici publice. Protejarea reţelelor de calculatoare este din ce în ce mai mult considerată drept o prioritate pentru politicieni, în special datorită nevoii de protejare a datelor, de asigurare a unei economii funcţionale, din motive de asigurare a securităţii naţionale şi de promovare a comerţului electronic. Aceasta a condus la un ansamblu substanţial de precauţii legale în cadrul Directivelor UE în ce priveşte protecţia datelor şi a Cadrului UE pentru telecomunicaţii. Aceste măsuri însă trebuie aplicate într-un mediu rapid schimbător de noi tehnologii, pieţe concurenţiale, convergenţă a reţelelor şi globalizare. Aceste provocări se corelează de asemenea şi cu tendinţa pieţei de a nu investi suficient în securitate, din motive ce vor fi analizate. Securitatea reţelelor şi a informaţiei reprezintă o marfă cumpărată şi vândută pe piaţă şi o parte a înţelegerilor contractuale între părţi. Piaţa produselor de securitate a crescut substanţial în ultimii ani. În conformitate cu unele studii, piaţa software-ului de securizare pentru Internet valora aproximativ 4,4 miliarde de dolari la sfârşitul anului 1999 şi va creşte cu un procent de 23% pe an pentru a atinge 8,3 miliarde în 2004. În Europa, piaţa pentru securitatea comunicaţiilor electronice se prognozează a creşte de la 465 de milioane de dolari în 2000 la 5,3 miliarde la sfârşitul lui 2006, paralel cu o creştere a pieţei pentru tehnologii de securitate a informaţiei de la 490 de milioane de dolari în 1999 la 2,74 miliarde în 2006. Presupunerea implicită care se face de obicei este că mecanismul preţului va balansa costul ofertei de securitate cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel înalt de securitate, în vreme ce alţii vor fi satisfăcuţi de un nivel de securitate mai scăzut – deşi statul ar putea să asigure un nivel minim de securitate. Această diferenţă se va reflecta în preţurile pe care vor fi dispuşi să le plătească pentru produsele de securitate. Cu toate acestea, multe riscuri rămân nerezolvate sau soluţiile se impun lent pe piaţă datorită anumitor imperfecţiuni ale acesteia: Costurile şi beneficiile sociale: Investiţiile într-o mai bună securitate a reţelelor generează costuri şi beneficii sociale care nu se reflectă în mod adecvat în preţurile de pe piaţă. De partea costurilor, actorii pieţei nu sunt responsabili pentru vulnerabilităţile legate de comportamentul lor în domeniul securităţii. Utilizatorii şi furnizorii cu niveluri de securitate reduse nu sunt nevoiţi să plătească daune unor terţi. Este ca şi cum un şofer de taxi neatent n-ar fi tras la răspundere pentru costul blocajului de trafic ce rezultă în urma accidentului provocat de el. În mod similar, pe Internet un număr de atacuri au fost „montate“ prin intermediul unor maşini slab protejate sau au trecut de nişte utilizatori relativ neglijenţi.

Beneficiile rezultate din securitate, de asemenea, nu sunt complet reflectate în preţurile de pe piaţă. Când operatorii, furnizorii sau furnizorii de servicii îmbunătăţesc gradul de securitate al produselor lor, o mare parte din beneficiile acestei investiţii ajung nu numai la clienţii lor, dar şi la toţi cei afectaţi direct sau indirect de comunicarea electronică – în esenţă, toată economia. Asimetria informaţiei: Reţelele devin din ce în ce mai complexe şi ating o piaţă mai largă, care include mulţi utilizatori cu prea puţină înţelegere a tehnologiei şi a potenţialelor ei pericole. Asta înseamnă că utilizatorii nu vor fi complet conştienţi de riscurile de securitate şi mulţi operatori, vânzători sau furnizori de servicii au dificultăţi, dată fiind existenţa şi gradul de întindere al vulnerabilităţilor. Multe noi servicii, aplicaţii şi software oferă posibilităţi atractive, dar adesea acestea sunt surse de noi vulnerabilităţi (de exemplu, marele succes al Internetului este în parte datorat multitudinii de aplicaţii multimedia care pot fi descărcate simplu, dar aceste plug-inuri reprezintă şi puncte de intrare pentru atacuri). În vreme ce beneficiile sunt vizibile, riscurile nu sunt şi este mai atractiv pentru furnizori să ofere facilităţi noi decât o mai bună securitate. Problema acţiunii publice: Operatorii adoptă într-un ritm crescător standardele Internet sau îşi leagă într-un fel sau altul reţelele proprii la Internet. Cu toate acestea, Internetul nu a fost proiectat cu măsuri de securitate, ci din contră, a fost dezvoltat astfel încât să ofere acces la informaţii şi să faciliteze schimbul de informaţii. Aceasta a reprezentat baza succesului său. Internetul a devenit o reţea globală de reţele de o neegalată bogăţie şi diversitate. Investiţiile în securitate adesea sunt eficiente doar dacă mulţi oameni procedează în acelaşi mod. De aceea, cooperarea pentru a crea soluţii de securitate este necesară. Dar cooperarea funcţionează numai dacă participă o masă critică de jucători, ceea ce e dificil de obţinut. Interoperabilitatea între produse şi servicii va permite concurenţa între soluţiile de securitate. Sunt însă costuri substanţiale de coordonare implicate pe măsură ce se vor generaliza soluţiile globale, iar unii jucători sunt tentaţi să impună o soluţie aflată în posesia lor pe piaţă. Cum o mulţime de produse şi servicii încă folosesc soluţii proprii, nu este nici un avantaj în a folosi standarde sigure, care nu oferă securitate suplimentară, decât dacă toţi ceilalţi le oferă. Ca rezultat al acestor imperfecţiuni, cadrul european pentru protecţia telecomunicaţiilor şi a datelor impune deja obligaţii legale pentru operatori şi furnizorii de servicii, în scopul de a asigura un anume nivel de securitate în sisteme de comunicaţii şi informatice. Recomandarea pentru o politică europeana în domeniul reţelelor şi securităţii informaţiei poate fi descrisă după cum urmează. - În primul rând, prevederile legale la nivelul UE trebuie aplicate efectiv, aceasta cerând o înţelegere comună a problemelor de securitate şi a măsurilor specifice ce seimpun. Cadrul legal va trebui să evolueze în viitor, de exemplu, în legătură cu criminalitatea cibernetică, semnătura electronică etc. - În al doilea rând, anumite imperfecţiuni ale pieţei au condus la concluzia că forţele de pe piaţă nu „pompează“ suficiente investiţii în tehnologiile sau practicile de securitate. Măsurile politice pot revigora piaţa şi, în acelaşi timp, pot îmbunătăţi funcţionalitatea cadrului legal. - În sfârşit, serviciile din domeniul comunicaţiilor şi informaţiei sunt oferite fără a se graniţe. Aşadar, o politică europeană este necesară în scopul de aasigura piaţa internă pentru asemenea servicii, de a beneficia de pe urma soluţiilor comune şi de a face posibilă o acţiune eficientă la nivel global. Măsurile politice propuse cu privire la securitatea reţelelor şi a informaţiilor trebuie privite nu numai în contextul legislaţiei deja existente

pentru telecomunicaţii şi protecţia datelor, ci şi în legătură cu politica mai recentă, legată de infracţiuni cibernetice. O politică în privinţa securităţii reţelelor şi informaţiei va constitui veriga lipsă în acest cadru politic. 2. Conştientizarea pericolelor. Mulţi utilizatori (privaţi/publici) încă nu sunt conştienţi de posibilele ameninţări pe care le întâlnesc folosind reţelele de comunicaţii sau de soluţiile care deja există pentru a le face faţă. Problemele de securitate sunt complexe, iar riscurile sunt adesea dificil, chiar şi pentru experţi, de întrevăzut. Lipsa de informare este una dintre imperfecţiunile pieţei, pe care politicile de securitate ar trebui să o aibă în vedere. Există riscul ca unii utilizatori, alarmaţi de multele rapoarte şi ameninţări la adresa securităţii, să evite pur şi simplu folosirea comerţului electronic. Alţii, care fie sunt neinformaţi, fie subestimează riscul, pot fi prea neglijenţi. Unele companii pot avea interesul de a prezenta ca minim riscul pentru a nu pierde clienţi. Paradoxal, există o cantitate impresionantă de informaţie în domeniul securităţii reţelelor şi al informaţiei disponibilă pe Internet, iar revistele despre calculatoare acoperă subiectul destul de bine. Problema utilizatorilor este aceea de a găsi informaţiile potrivite, pe care le pot înţelege, care sunt la zi şi răspund propriilor lor nevoi. În sfârşit, furnizorii de servicii ai unui serviciu public de telecomunicaţii disponibil sunt obligaţi prin legile UE să-i informeze pe abonaţii lor cu privire la riscurile cauzate de o breşă a securităţii reţelei şi despre posibilele remedii, inclusiv costul implicat (cf. art. 4 al Directivei 97/66 al CE). Scopul iniţiativei pentru creşterea conştientizării cetăţenilor, administraţiilor şi mediului de afaceri este deci acela de a furniza informaţii accesibile, independente şi pe care te poţi baza despre securitatea reţelelor şi a informaţiei. O discuţie deschisă despre securitate este necesară. Odată ce conştientizarea a fost asigurată, oamenii devin liberi să facă alegeri proprii asupra nivelului de protecţie pe care şi-l doresc şi permit. Acţiuni propuse: - Statele membre ar trebui să lanseze o campanie publică de educare şi informare, iar măsurile care se iau trebuie permanent actualizate. Aceasta ar trebui să includă o campanie mass-media şi acţiuni ce vizează un public larg. O campanie de informare bine plănuită şi eficientă nu este ieftină. Un conţinut al acesteia care să descrie riscurile fără a alarma oamenii şi fără a încuraja potenţialii hackeri, necesită o planificare atentă. Comisia Europeană va facilita un schimb de experienţă în ceea ce priveşte cele mai bune practici şi va asigura un nivel de coordonare a diferitelor campanii naţionale de informare la nivel UE, în particular în ceea ce priveşte corpul de informaţie care trebuie difuzat. Un element al acestei campanii ar fi un portal pentru pagini web, atât la nivel naţional cât şi European. Legarea acestor portaluri cu site-uri web de încredere ale partenerilor internaţionali ar trebui, de asemenea, luată în considerare. - Statele membre ar trebui să promoveze utilizarea celor mai bune practici în securitate, bazate pe măsuri deja existente, cum ar fi ISO/IEC 17799 (cod de practici pentru managementul securităţii informaţiei www.iso.ch). Companiile de mărimi mici şi medii ar trebui avute în vedere în primul rând. Comisia va susţine statele membre în eforturile lor. - Sistemele de educaţie din statele membre ar trebui să dea mai multă atenţie cursurilor dedicate securităţii informatice. Dezvoltarea de programe educaţionale la toate nivelurile, de exemplu, cursuri despre riscurile de securitate ale reţelelor deschise şi soluţii eficiente ar trebui încurajate să devină parte a educaţiei despre calculatoare şi informatică din şcoli. Comisia Europeana sprijină dezvoltarea de noi module pentru programa şcolară în cadrul programului său de cercetare. 3. Un sistem european de avertizare şi informare în domeniul securităţii informatice. Chiar şi în cazul în care utilizatorii sunt conştienţi de riscurile de securitate, ei tot trebuie anunţaţi cu privire la noi ameninţări. Atacatorii răuvoitori, în mod aproape inevitabil, vor găsi noi vulnerabilităţi care să ocolească protecţia cea mai sigură. Se dezvoltă în permanenţă aplicaţii şi servicii software noi, oferind o mai buna calitate a serviciilor, făcând Internetul mai atractiv; dar în cursul procesului,

neintenţionat, se deschide calea unor noi vulnerabilităţi şi riscuri. Chiar şi inginerii de reţea experimentaţi şi experţi în securitate sunt adesea surprinşi de noutatea adusă de unele atacuri. Aşadar este nevoie de un sistem de alarmare rapid, care să poată alerta toţi utilizatorii, alături de o sursă de informaţii şi sfaturi rapide şi demne de încredere asupra modului în care se poate acţiona împotriva atacurilor. Mediul de afaceri, de asemenea, are nevoie de un mecanism confidenţial de raportare a atacurilor, fără a risca pierderea încrederii publicului. Acesta trebuie să fie complementat de o mai extinsă şi anticipativă analiză de securitate, strângând dovezi şi comparând riscurile cu beneficiile unor soluţii şi costurile aferente. Multă muncă în acest domeniu este făcută de Computer Emergency Response Teams (CERTs) sau de entităţi similare. De exemplu, Belgia a organizat un sistem de alertă la viruşi care permite cetăţenilor belgieni informarea în legătură cu alertele cauzate de viruşi în două ore. Totuşi CERT-urile operează în mod diferit în fiecare stat membru, făcând cooperarea complexă, dacă nu chiar dificilă. CERT-urile deja existente nu sunt întotdeauna bine echipate, iar sarcinile lor adesea nu sunt clar definite. Cooperarea la nivel mondial se realizează prin CERT/CC, care este în parte finanţat de guvernul SUA, iar CERT-urile din Europa depind de politica de publicare a informaţiilor de către CERT/CC. Ca rezultat al acestei complexităţi, coordonarea europeană a fost până în prezent limitată. Cooperarea este esenţială în asigurarea avertizării din timp pe cuprinsul UE prin schimbul instantaneu de informaţii la primul semn de atac într-o singură ţară. Aşadar, cooperarea cu sistemul CERT din interiorul UE ar trebui întărită în regim de urgenţă. O primă acţiune vizând întărirea cooperării public/private prin dependenţa de infrastructura de informare (inclusiv dezvoltarea sistemelor de avertizare de urgenţă) şi îmbunătăţirea colaborării între CERT-uri a fost stabilită în cadrul planului de acţiune eEurope. Acţiuni propuse: -Statele membre ar trebui să-şi reorganizeze propriile sisteme CERT, având în vedere îmbunătăţirea echipamentului şi a competenţei CERT-urilor existente. În sprijinul eforturilor naţionale, Comisia Europeana va dezvolta o propunere concretă de întărire a cooperării în cadrul UE. Aceasta va include proiecte de propuneri în cadrul programului TEN Telecom pentru asigurarea navigării eficiente pe reţea şi stabilirea de măsuri companion în cadrul programului IST pentru facilitarea schimbului de informaţii. - Odată cu stabilirea reţelei CERT la nivel UE, aceasta ar trebui conectată cu instituţii similare din toata lumea, de exemplu, sistemul de raportare a incidentelor propus de G8. - Comisia propune colaborarea cu statele membre pentru a se organiza cât mai bine colectarea de date la nivel european, analiza şi proiectarea răspunsurilor anticipative la riscuri existente şi posibile. 4. Dezvoltarea suportului tehnologic. Investiţiile în securitatea reţelelor şi a informaţiei sunt actualmente sub optim. Acesta este cazul atât în ceea ce priveşte suportul tehnologic, cât şi cercetarea pentru descoperirea de noi soluţii. În contextul în care noile tehnologii în mod inevitabil aduc cu ele şi riscuri noi, cercetarea continuă este vitală. Securitatea în domeniul reţelelor şi al informaţiei este deja inclusă în Information Technologies (IST) Programme of the EU’s 6th Framework Research Programme, reprezentând o investiţie de 3,6 miliarde de euro de-a lungul a patru ani. Cercetarea la nivel tehnic în criptografie este într-un stadiu avansat la nivel european. Algoritmul Belgian numit Rijndael a câştigat concursul Advanced Encryption Standard, organizat de institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode europene pentru Semnătură, Integritate şi Criptare) al IST a lansat o competiţie la nivel extins în domeniul algoritmilor de criptare îndeplinind cerinţele noilor aplicaţii multimedia, comerţului mobil şi smartcard-urilor.

Acţiuni propuse: - Comisia propune includerea securităţii în al şaselea program cadru. Pentru ca această adăugire să fie optimă, ar trebui legată de o mai largă strategie pentru îmbunătăţirea securităţii reţelelor şi a informaţiei. Cercetarea din cadrul acestui program ar trebui să aibă în vedere provocările cheie de securitate şi va focaliza pe mecanisme de securitate de bază şi pe interoperabilitatea acestora, procese de securitate dinamice, criptografie avansată, tehnologii de îmbunătăţire a facilităţilor de confidenţialitate, tehnologii de operare cu obiecte digitale, tehnologii de încredere pentru suportul afacerilor şi funcţii organizaţionale în sistemele dinamice şi de telefonie mobilă. - Statele membre ar trebui să promoveze activ folosirea produselor criptografice puternice şi plug-able. Soluţii de securitate bazate pe criptarea plug-in trebuie să fie disponibile ca o alternativă la acelea „fixate“ în sistemele de operare. 5. Standardizarea şi certificarea. Pentru ca îmbunătăţirea soluţiilor de securitate să aibă succes, ele trebuie implementate în comun de actori importanţi ai pieţei şi de preferinţă bazate pe standarde internaţionale deschise. Una dintre principalele piedici în adoptarea multor soluţii de securitate, de exemplu semnătura electronică, a fost lipsa interoperabilităţii între diferite implementări. Dacă doi utilizatori doresc să comunice în mod sigur între diferite platforme, trebuie asigurată interoperabilitatea. Folosirea protocoalelor şi interfeţelor standardizate ar trebui încurajată, inclusiv testarea de conformitate. Standarde deschise, de preferat bazate pe software cu sursa liberă, ar putea contribui la înlăturarea mai rapidă a erorilor ca şi la o mai mare transparenţă. De asemenea, evaluarea securităţii contribuie la creşterea încrederii utilizatorilor. Folosirea de criterii comune de evaluare în multe ţări facilitează recunoaşterea mutuală; aceste ţări au intrat de asemenea într-un aranjament cu Canada şi SUA pentru recunoaştere mutuală a certificatelor de securitate IT (Recomandarea Consiliului 95/144/EC referitoare la criteriile de evaluare a securităţii tehnologiei informaţiei, implementată în majoritatea statelor membre). Certificarea proceselor care se desfăşoară în afaceri şi managementul sistemelor de securitate a informaţiei este susţinută de cooperarea europeană pentru acreditare (EA). Acreditarea organismelor naţionale de certificare măreşte încrederea în competenţa şi imparţialitatea acestora, promovând astfel acceptarea certificatelor în toată UE. În plus faţă de certificare, ar trebui de asemenea efectuate teste de interoperabilitate. Un exemplu al acestei abordări este Iniţiativa Europeană de Standardizare a Semnăturii Electronice (EESSI), care dezvoltă soluţii de consens în sprijinul directivei UE asupra semnăturii electronice. Alte exemple sunt iniţiativele privind smartcard-urile în eEurope şi iniţiativele de implementare a Infrastructurii de Chei Publice (PKI) lansate în interiorul programului Schimb de Date între Administraţii (IDA). Nu lipsesc eforturile de standardizare, dar un mare număr de standarde aflate în competiţie duce la fragmentarea pieţei şi la prezenţa de soluţii non-interoperabile. Aşadar, activităţile de standardizare şi certificare curente au nevoie de o mai bună coordonare şi de asemenea au nevoie să ţină pasul cu introducerea de noi soluţii de securitate. Armonizarea specificaţiilor va conduce la o interoperabilitate crescută, făcând posibilă în acelaşi timp implementarea de către actorii pieţei. Acţiuni propuse: - Organizaţiile de standardizare europene sunt invitate să accelereze lucrul la produse şi servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate forme noi de „deliverabile“ şi proceduri pentru a accelera lucrul şi a întări cooperarea cu reprezentanţii consumatorilor şi angajamentul actorilor pieţei. „Pluggable“ înseamnă că un produs software de criptare poate fi cu uşurinţă instalat şi făcut complet operaţional în cadrul sistemelor de operare. - Comisia va continua să sprijine, mai ales prin programele IST şi IDA folosirea semnăturii electronice, implementarea de solutii PKI interoperabile şi prietenoase pentru utilizator şi dezvoltarea pe mai departe a IPv6 şi IPSec (ca în Planul de Acţiune eEurope).

- Statele membre sunt invitate să promoveze folosirea procedurilor de certificare şi acreditare pe baza standardelor europene şi internaţionale general acceptate, favorizând recunoaşterea mutuală de certificate. Comisia va evalua nevoia unei iniţiative legale asupra recunoaşterii mutuale de certificate. - Actorii de pe piaţa europeană sunt încurajaţi să participe mai activ în activităţi de standardizare europene (CEN, Cenelec, ETSI) şi internaţionale (Internet Engineering Task Force (IETF) , World Wide Web Consortium (W3C)). - Statele membre ar trebui să-şi revadă toate standardele de securitate relevante. Ar putea fi organizate competiţii împreună cu Comisia pentru metode europene de criptare şi soluţii de securitate, cu scopul de a stimula standarde acceptate pe plan internaţional. 6.Cadrul juridic. Există mai multe texte legale care influenţează securitatea reţelelor de comunicaţii şi a sistemelor informatice. Datorită convergenţei reţelelor, problemele de securitate aduc laolaltă reguli şi tradiţii legale din sectoare variate. Acestea includ telecomunicaţiile (încorporând toate reţelele de comunicaţie), industria calculatoarelor, Internetul care a funcţionat mai ales în baza unei abordări „hands off“ (de neintervenţie) şi comerţul electronic care este din ce în ce mai mult subiectul unei legislaţii specifice. În legătură cu securitatea, prevederile privind daunele terţilor, infracţionalitatea cibernetică, semnătura electronică, regulile privind protejarea şi exportul datelor sunt relevante. Protejarea intimităţii este un obiectiv politic cheie în Uniunea Europeană. A fost recunoscut ca drept de bază prin articolul 8 al Convenţiei Europene asupra drepturilor omului. Articolele 7 şi 8 ale Cartei Drepturilor Fundamentale ale UE de asemenea stipulează dreptul la respect pentru viaţa de familie şi privată, cămin, comunicaţie şi date personale. Articolul 5 al Directivei de Protejare a Datelor în Telecomunicaţii obligă statele membre să asigure confidenţialitatea în reţelele publice de telecomunicaţii. În plus, la articolul 4 al aceleiaşi Directive se cere furnizorilor de servicii publice şi reţele să ia măsuri tehnice şi organizatorice pentru a asigura securitatea serviciilor oferite. Aceste prevederi au implicaţii asupra necesităţilor de securitate ale reţelelor şi sistemelor informatice folosite de acele persoane sau organizaţii, de exemplu furnizorii de comerţ electronic. Natura pan-Europeană a acestor servicii şi mai marea competiţie transfrontalieră duc la o creştere tot mai mare de specificaţii asupra mijloacelor de folosit pentru a fi în acord cu aceste prevederi. Programul cadru pentru servicii în telecomunicaţii al UE conţine mai multe prevederi cu privire la securitatea operaţiilor pe reţea (însemnând disponibilitatea reţelelor în caz de urgenţă) şi integritatea reţelelor (însemnând asigurarea operaţiilor normale în reţelele interconectate). Comisia a propus un nou cadru de reguli pentru serviciile de comunicaţii electronice în iulie 2000. Propunerile Comisiei reafirmau în esenţă – deşi cu modificări –prevederile existente în ce priveşte securitatea şi integritatea reţelelor. Infracţiunile informatice au declanşat o largă discuţie în UE despre cum să se reacţioneze la activităţile infracţionale care folosesc computerele şi reţelele de calculatoare. Legile penale ale statelor membre trebuie să prevadă şi accesul neautorizat în reţelele de calculatoare, inclusiv securitatea datelor personale. Sunt probleme în investigarea acestor ilegalităţi şi se constată o insuficientă inhibare a hackerilor. Legi penale împotriva intruziunii în reţelele de calculatoare sunt, de asemenea, importante pentru a uşura cooperarea judiciară între statele membre. Îngrijorările legitime faţă de infracţionalitatea electronică necesită investigaţii legale eficiente. Acţiuni propuse: -Înţelegerea comună a implicaţiilor legislative ale securităţii în comunicarea electronică este necesară. Pentru acest scop, Comisia va crea un inventar de măsuri naţionale care au fost deja luate şi sunt în concordanţă cu legi comunitare relevante.

- Statele membre şi Comisia ar trebui să sprijine în continuare libera circulaţie a produselor şi serviciilor criptografice, prin o mai mare armonizare al procedurilor administrative de export şi o mai mare relaxare a controalelor la exporturi. - Comisia va propune o măsură legislativă în cadrul Titlului VI al tratatului UE pentru echivalarea legilor penale legate de atacuri împotriva sistemelor de calculatoare, incluzând hacking-ul şi atacurile de refuz al serviciilor. 7. Securitatea în aplicaţiile guvernamentale. Planul de acţiune eEurope îşi propune să încurajeze o mai eficientă interacţiune între cetăţeni şi administraţia publică. Cum mare parte din informaţia schimbată între cetăţeni şi administraţie are un caracter confidenţial (medical, financiar, legal etc.), securitatea este vitală pentru asigurarea implementării cu succes a planului. Mai mult, dezvoltarea guvernării electronice face ca administraţia publică să devină atât exemplu de demonstrare a eficienţei soluţiilor de securitate cât şi actor al pieţei cu posibilitatea de a influenţa dezvoltarea în domeniu prin deciziile de achiziţie pe care le face. Problema pentru administraţia publică nu este numai aceea de a achiziţiona sisteme informatice şi de comunicaţii cu cerinţe de securitate, ci şi dezvoltarea unei culturi de securitate a organizaţiei. Acest obiectiv poate fi dus la îndeplinire prin stabilirea de politici organizaţionale de securitate adaptate la nevoile instituţiei. Acţiuni propuse: - Statele membre ar trebui să încorporeze soluţii de securitate informatică eficiente şi interoperabile, ca o cerinţă de bază în activităţile lor de e-guvernare şi e-procurement. - Statele membre ar trebui să introducă semnătura electronică la oferirea serviciilor publice on-line. - În cadrul e-Comisiei, Comisia va lua o serie de măsuri pentru a întări cererea de securitate în sistemele sale informatice şi de comunicaţie. 8. Cooperarea internaţională. Aşa cum comunicaţiile prin reţele trec cu uşurinţă graniţele în fracţiuni de secundă, la fel se întâmplă şi cu problemele de securitate informatică asociate. Reţeaua este atât de sigură ca şi cea mai slabă verigă a ei, iar Europa nu se poate izola de restul reţelei globale. În consecinţă, problemele de securitate precizate mai sus cer cooperare internaţională. Comisia Europeană deja contribuie la munca forurilor internaţionale,cum ar fi G8, OECD, Naţiunile Unite. Sectorul privat tratează problemele de securitate în organizaţii cum ar fi Global Business Dialogue (www.GBDe.org) sau Global Internet Project (www.GIP.org). Un dialog continuu între aceste organizaţii va fi esenţial pentru securitatea globală. Comisia va întări dialogul cu organizaţiile internaţionale şi cu partenerii săi în ceea ce priveşte securitatea reţelelor şi, în particular, în ceea ce priveşte interdependenţa crescândă a reţelelor de calculatoare. 9. Securitatea informatică în planul eEurope 2005. Deoarece Societatea Informatizată devine tot mai importantă atât pentru business cât şi pentru societate, asigurarea securităţii, atât pentru infrastructura însăşi, cât şi pentru informaţiile care circulă pe ea, reprezintă un punct critic. Pentru ca Internetul să fie un mediu de încredere al Societăţii Informatizate, trebuie să devină disponibil, informaţia transmisă sau memorată să fie păstrată confidenţial, trebuie să ne putem asigura cine este autorul unei informaţii şi că aceasta nu a fost alterată. Problemele de securitate reduc încrederea noastră în reţele şi în sistemele informatice şi, odată cu aceasta, reduc nivelul de utilizare a Internetului, cu toate avantajele sale. Ca urmare, securitatea este elementul cheie al proiecţiilor Comisiei UE privind Noua Generaţie de Internet şi reprezintă una dintre cele 6 priorităţi politice ale Planului eEurope 2005. Asigurarea securităţii informatice nu este numai o provocare pur tehnologică, ci este, în acelaşi timp, o chestiune dependentă de comportamentul uman şi de cunoştinţele cu privire la ameninţări şi remedii. UE a dezvoltat deja reguli pentru comunicaţii electronice sigure, aşa cum sunt de fapt

Directiva asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor pentru comunicaţii electronice. Alte provocări stau de asemenea între obiectivele Planului eEurope 2005: - Securitatea reţelelor şi a informaţiilor împotriva unor atacuri accidentale sau cu caracter criminal; - Criminalitatea cibernetică, pentru armonizarea legislaţiei ţărilor membre; - Comunicaţii sigure pentru e-guvernare, pentru dezvoltarea unei reţele transeuropene sigure, prin care să se poată vehicula informaţii secrete sau confidenţiale (Proiectul IDA- Interchange of Data between Administrations). Implementarea acestor obiective presupune o serie de activităţi concrete: - crearea la începutul lui 2004 a European Network and Information Security Agency (ENISA) – o agenţie europeană care va acţiona ca un centru privind securitatea informatică al ţărilor membre şi al instituţiilor UE, contribuind la creşterea cooperării şi a schimbului de informaţii în domeniu, precum şi la stabilirea cadrului juridic şi de reglementare. Va contribui la dezvoltarea unui sistem european de alertă şi informare reciprocă în caz de incidente informatice; - Planul de Acţiune pentru un Internet mai Sigur (PAIS), destinat contracarării unor acţiuni ilegale în domeniul P2P, sisteme mobile, chat-uri, jocuri on-line etc.; - sprijinirea unor cercetări privind securitatea informatică, prin Programul Cadru nr. 6, în domenii ca e-autentificarea (smart-carduri, biometrice), metode criptografice noi, metode de semnatură electronică, criptare plug-in etc.; - dezvoltarea unor noi standarde, prin Network and Information Security (NIS) Focus Group, care să le completeze pe cele actuale şi să umple eventualele goluri existente; - dezvoltarea unei culturi a securităţii, în proiectarea, implementarea şi utilizarea sistemelor informatice şi de comunicaţii. Sectorul privat trebuie să dezvolte practici adecvate şi standarde în acest scop.

PRACTICUM Sarcina 1. De analizat problematica vulnerabilitatii si riscului infrastructurilor critice in societatea informatica (după Adrian V. Gheorghe.ANALIZA DE RISC SI DE VULNERABILITATE PENTRU INFRASTRUCTURILOR CUNOASTERII)

CRITICE

ALE

SOCIETATII

INFORMATICE

-SOCIETATE

A

1. Problematica vulnerabilitatii si riscului in Societatea Informatica –Societatea Cunoasterii Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest ansamblu de transformari afecteaza viata fiecaruia dintre noi. Societatea Informatica – Societatea Cunoasterii va depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere, transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara acestora. Societatea informatica – societatea cunoasterii redefineste problematica si doctrina de aparare nationala; aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri. Securitatea infrastructurilor critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune. “Cunoasterea”, ca atare, va deveni o “arma” de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in societatea deceniilor viitoare. Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si consecintele negative ale propagarii dezastrelor. Ceea ce se numeste astazi tot mai des pericole cibernetice (cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica – societate a cunoasterii.

La sfarsitul anilor ’80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: “scoate din priza calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate informatica, pentru a fi asadar vulnerabili”. In etapa noua politica, economica si culturala in care se afla Romania, este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma “fara a fi cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economicopolitica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice”. Este, asadar, numai o chestiune de timp cand se fac afirmatii de un tip sau altul? 2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala – societatea cunoasterii Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies (companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte). Schimbarile asteptate in viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a informatiei. Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc. In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii. In terminologia adptata recent, infrastructurile critice sunt definite prin:  Structurile informatice si de comunicatie  Bancile si sistemul financiar ale unei tari  Sistemele de energie, incluzand cele de producere si transport ale electricitatii, ale petrolului si ale gazului natural  Structuri de distributie fizica ale resurselor ex: sistemele de transport feroviare, rutiere, navale, aeriene  Serviciile vitale support ale activitatilor umane (sanitare, apararea civila, politia, armata). Vulnerabilitatea acestor sectoare, in conditiile accentuarii introducerii in managementul societatii, a informaticii si cunoasterii (information and knowledge) trebuie re-evaluata si considerate in toata amplitudinea ei. Avantajul Romaniei este acela ca va proiecta si realiza aceste infrastructuri support ale prelucrarii si managementul informatiilor in conditii in care deja alte societati (societatea occidentala) se confrunta deja cu definirea si managementul riscurilor specifice aceasta are loc pe masura asimilarii de noi structuri tehnice care implica o complexitarte generalizata a tehnologiei, reteleor, sistemelor tehnologice support. Caderea, pentru numai o ora a sistemului de calculatorae ale bursei din New York - SUA, a creat in iunie 2001 panica si confuzie mondiala. Romania, ca viitor partener in structurile economice globale si euro – atlantice, va trebui cu precadere sa-si defineasca o strategie support de identificare a vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei critice. 3. Solutii posibile In perspectiva accentuarii, in Romania, a introducerii si promovarii elementelor societatii informatice - societatea cunaosterii, o serie de aspecte noi trebuie identificate si controlate:  Crescanda dependenta fata de infrastructurile critice ale societatii: in perspectiva dependenta fiecaruia dintre noi va fi tot mai mare fata de sistemele de producere, distributie si transport ale energiei electrice, sistemele de comunicatie si a sistemelor de calculatoare  Va avea loc o crestere a vulnerabilitatii sistemelor infrastructurilor critice in etapele de trecere accentuata in Romania la societatea informatica- societatea cunoasterii: o Se vor diversifica posibilitatile de provocare a unor daune clasice (ex: riscurile tehnologice provocate de sisteme active (centrale nuclaro- electrice, chimice) sau de sisteme tehnice asa numite pasive (ex. baraje ale centralelor hidroelectrice) o Vor apare noi pericole de tip si natura cibernetica: extinderea retelelor de calculatoare, accesul la un computer personal (PC) si o conexiune telefonica clasica poate provoca intentionat duane insemnate o Complexitatea sistemelor tehnice si a interdependentelor acestora, precum si posibila / probabila interactiune cu catastrofele naturale vor reprezenta noi elemente de vulnerabilitate pentru infrastructurile critice ale societatii. Spectrul pericolelor se va extinde si poate, in principiu, sa includa:  Evenimente naturale si accidente tehnice ce pot provoca daune materiale , ecologice si umane importante;



Erori umane si omisiuni, care prin suportul fizic al societatii informatice – societatea cunoasterii, poate induce efecte transversale negative in numeroasele componente ale infrastructurilor critice.

O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a sistemului de transport feroviar privind transportul substantelor periculoase. Hackerii, cei care din numeroase motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a cunoasterii: • Activitati criminale • Spionaj industrial • Terorism • Razboi informatic. Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente de input negativ si stres pentru societatea romaneasca,ca societate informatica – societate a cunostintelor. Bunaoara, trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor potential negative ce pot apare in societatea infomatica – societate a cunoasterii, infrastructurile critice ale societatii. In etapa actuala de proiectare a structurilor societatii informatice – societate a cunoasterii, trebuie accentuat pe urmatoarele aspecte:  Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si politicienilor. Noi legi trebuie adoptate si promovate pe masura ce societatea informatica – societate a cunoasterii demareaza ca un process continuu si ireversibil;  Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate gradual la necesitatile societale;  Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia internationala si Europeana;  Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice – societatea cunoasterii. Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de promovarea societatii informatice – societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie. In acest sens, este de remarcat faptul ca promovarea societatii informatice – societatea cunoasterii presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga continuu spre realizarea acestor deziderate ale societatii informatice – societate a cunoasterii. Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice. In orice societate, dar cu precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care asigura “linia vietii” (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta. In societatea informatica – societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni. Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate – vulnerabilitati cibernetice – si noi pericole, pericole cibernetice. Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice – societate a cunoasterii, trebuie sa adopte noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care si le-au asumat si recentele studii cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca “ceea ce este extrem de important este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea economica globala si a bunastarii la nivel national.” Societatea informatica- societatea cunoasterii implica adoptarea si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde inamicul potential poate “demola” sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita militara. Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii, in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica – societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor critice din Romania. Inainte de a atinge stadiile societatii informatice – societatii cunoasterii, Romania va trebui sa gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor

de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a infrastructurilor existente cu cele specifice societatii informatice – societatea cunoasterii va presupune recunoasterea si managementul unor vulnerabilitati specifice. Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme, evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor complexe, vor avea un rol extrem de important in deceniul viitor. O concluzie posibila in etapa de demarare a dezideratelor societatii informatice – societatea cunoasterii este aceea ca analiza de vulnerabilitate si risc trebuie considerate cu precadere. Se afirma recent ca “…a astepta aparitia dezastrelor este o strategie periculoasa. Acum este timpul pentru a actiona in vedera protejarii viitorului nostru”. In noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice – societatea cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta, securitate si risc. Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica – societatea cunoasterii, o serie de aspecte se vor evidentia in continuare:  Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice – societatea cunoasterii  Este necesar sa se construiasca in cadrul societatii informatice – societatea cunoasterii, un sistem de responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor critice  Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in structura generala a societatii in Romania  Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare  Sistemul de legi ale societatii informatice – societatea cunoasterii trebuie sa ia in considerare potentialul de impact ale pericolelor cibernetice si reglementate in mod corespunzator  Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate informatica – societatea cunoasterii. In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor critice se impune, ca in conditiile Romaniei, sa se:  Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor critice  Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special  Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice – societatea cunoasterii din Romania  Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in special al infrastructurilor critice si impactul lor la nivel national  Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu  Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice – societatea cunoasterii, fara sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania  Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice – societata cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA –As Low As Reasonable Acceptable)  Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora  Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice ale societatii informatice –societatea cunoaterii

 Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii infrastructurilor critice (ex. Fundatia Infosurance 1 in Elvetia). 4.Concluzii In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice – societatea a cunoasterii: Remarca 1: Managementul riscurilor societatii informatice – societatea cunoasterii necesita, in general, un parteneriat dedicat intre industrie, Guvern, societate Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si raspuns la crize privind disfunctionalitatea infrastructurilor critice Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice – societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea adecvata a efectelor acestora la niveluri diferite ale societatii Remarca 4: Adoptarea conceptelor “cash and carry security” sau “buy-in security” vor deveni instrumentale in cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a elementelor concrete ale societatii informatice – societatea cunoasterii. Bibliografie 1. *** - Critical Foundations. Protecting America’s Infrastructures. The Report of the President’s Commission on Critical Infrastrucutre Protection, Washington DC, October 1997 2. *** 3. *** 4. *** - Infosurance, Zürich, 2001

1

Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la scara societatii elvetiene

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF