III.

4 Vulnerabiliti, ameninri, riscuri i managementul riscurilor IT

III.4.1 Vulnerabiliti i ameninri Implementarea i utilizarea sistemelor informatice n activitatea curent a unei organizaii aduce n prim plan , alturi de sistemul de controale implementat prin proiectul sistemului informatic ca atare, i problema riscurilor la care este expus sistemul informatic i desigur impactul acestora asupra ntregii ntreprinderi. Riscul nseamn, conform Dicionarului explicativ al limbii romne, posibilitatea de a ajunge ntr-o primejdie, de a avea de nfruntat un necaz sau de a suporta o pagub. Orice aciune, proces sau operaie care poate la un moment dat s mearg ru i n consecin s aib un impact negativ asupra ntreprinderii poate fi considerat un risc, pentru ca afecteaz capacitatea ntreprinderii de a-i atinge obiectivele. Auditul are rolul de inventaria procesele, aciunile, operaiile, de a analiza ce poate merge ru, What Could Go Wrong - WCGR, ce impact i ce pierderi pot genera aceste erori, aceste disfuncionaliti, ce probabiliti de producere se pot estima, de ce se poate grei. De unde vine greeala i cum se pot ndrepta lucrurile Toate aceste analize sunt legate de vulnerabilitile i ameninrile asociate sistemului informatic. Vulnerabilitile sunt verigile slabe, punctele slabe ale sistemului informatic care-l expun din interior evenimentelor ce pot afecta negativ funcionarea sistemului. Ameninrile reprezint pericolele poteniale din exterior ce exploateaz vulnerabilitile sistemului informatic. Riscul este asociat cu probabilitatea ca o ameninare potenial s devin una real i s produc un impact a crui consecin va reprezenta o pierdere, o daun pentru ntreprindere i pentru acionarii si. n spiritul acestei definiii generale, C Brnda consider c riscul n cadrul sistemelor informatice reprezint probabilitatea de apariie a unei pierderi care afecteaz resursele i funcionarea sistemului1 M. Ghi leag riscurile de obiective i consider c riscul este ameninarea ca un eveniment, o aciune s afecteze capacitatea unei organizaii de a-i atinge obiectivele 2. Dei problematica auditului sistemelor informatice este dup cum se poate intui destul de larg, accentul se pune cu deosebire pe faptul c riscurile afecteaz n primul rnd securitatea sistemului informatic. Este vorba de cele cinci atribute ale securitii sistemului informatic pe care le poate afecta producerea unor astfel de riscuri: - confidenialitatea; - integritatea; - disponibilitatea; - ncrederea; - conformitatea. Dat fiind importana clar a auditului de securitate, vom discuta n capitolul urmtor mai n detaliu problematica sistemului de management al securitii informaiilor n cadrul sistemelor informatice.

1 2

Brnda C., Auditul sistemelor informaionale de gestiune , Universitatea de Vest, Timioara, 2004 Marcel Ghi, Auditul intern, Editura economic, Bucureti 2004

Pentru c nu exist un ndrumar teoretic pentru stabilirea general a vulnerabilitilor i ameninrilor IT, deoarece nici o metodologie nu le poate formula integral, se apeleaz la un inventar al acestora ce rezult din experiena celor mai bune practici n domeniu. Vulnerabilitile unui sistem informatic pot fi grupate, de exemplu, n urmtoarele categorii3 - vulnerabiliti ale infrastructurii hardware i de comunicaie; - vulnerabiliti ale sistemului software - software de baz i software aplicativ; - vulnerabiliti ale bazelor de date i arhivelor de date istorice; - vulnerabiliti umane; - vulnerabiliti naturale. Vulnerabilitile infrastructurii hardware i de comunicaie relev o serie de surse ale unor incidente care ar putea duce chiar la suspendarea temporar a proceselor din sistemul informatic. Aici se includ: avariile hardware - inclusiv cele de alimentare la reeaua electric, imposibilitatea rulrii unor tranzacii on-line sau a unor servicii Internet, apariia unor puncte sensibile n reelele wireless, n general, a unor bree de securitate n reea. Vulnerabilitile software sunt o clas complex de vulnerabiliti care ncep cu utilizarea de software neliceniat, sau lipsa de corelare n utilizarea acelorai versiuni de programe de ctre toi userii, apoi lipsa unei protecii consistente mpotriva abuzurilor software la care se mai adaug posibilitatea apariiei unor erori n nsi programele surs nedepistate n faza de testare, Vulnerabiliti ale bazelor de date i arhivelor de date istorice se refer la pierderile de date datorit unor proceduri de prelucrare neconsistente, neprotejarea structurilor de date, accesul neautorizat al unor programe la fiiere, alterri sau pierderi de copii de siguran, chiar i a unor biblioteci de programe. Vulnerabiliti umane, provin din nenumrate direcii dar persoanele care administreaz sistemul prezint cea mai mare vulnerabilitate, lor li se adaug operatorii i utilizatorii care voluntar sau involuntar pot afecta sistemul informatic; statisticile arat c 80 % din atacuri provin din interior, 42 % din companii nu au un specialist n securitatea sistemelor iar 17% au un singur specialist n domeniu. Putem aduga i vulnerabilitile fizice produse tot de oameni, de intruziunile fizice n spaiul serverelor de exemplu , sau n spaiul arhivelor de date pentru sustrageri de echipamente sau date. Vulnerabiliti naturale au n vedere incendiile, inundaiile i cutremurele, evenimente nedorite, cu o probabilitate greu de estimat, de fapt evenimente incerte dar posibile i care trebuie neaprat luate n calcul. Prelund o caracterizare a tipurilor de ameninri prezentate n www.boron.com/security Ali Eden i Victoria Stanciu au grupat ameninrile n urmtoarele categorii 1: ameninri cu caracter general, ameninri legate de autentificare i autorizare, controlul accesului i non repudiere, ameninri legate de credibilitatea serviciilor, de integritatea datelor, ameninri secrete i ameninri legale. Ameninrile cu caracter general vizeaz n primul rnd ameninrile cele mai frecvent posibile, erorile umane care duc la accidente neintenionate cu impact asupra datelor, pierderi, distrugeri sau modificri incorecte. Aceste ameninri sunt cauzate de superficialitate, de ignorarea sau necunoaterea documentaiei i slaba pregtire profesional a administratorilor sistemului, a administratorilor bazelor de date.
3

Ali Eden, Victoria Stanciu, Auditul sistemelor informatice, Editura Dual Tech, Bucureti, 2004

Inadecvarea sau chiar inexistena msurilor de securitate i documentaia incomplet sau suprancrcarea cu sarcini i proasta programare a proceselor pot contribui la producerea acestor erori umane. De multe ori fluctuaiile de personal fac ca administratorul de facto al sistemului s nu fi participat n echipa de proiectare sau nici mcar n echipa de implementare pentru a urmri i prelua sistemul. Tot n aceast categorie a ameninrilor generale, autorii citai includ: frauda, furtul, prin care se ofer informaii confideniale contra avantaje oneroase, date despre bree de securitate, abuzurile de privilegii, folosirea neautorizat a unor staii de lucru pornite, nesupravegheate, sau folosirea neautorizat a unor produse software. Mai elaborate sunt ameninrile folosirii unor infrastructuri publice de comunicare pentru a produce pagube sistemului folosind telefoane mail-uri aparent de la organele superioare pentru asumarea unei identiti false n ncercarea ilicit de a obine date, de a iniia unele proceduri de prelucrare sau chiar n a-i determina pe unii angajai s ruleze programe maliioase. Viruii, programele maliioase sunt ameninri generale la ordinea zilei, i sunt o permanent preocupare pentru toi informaticienii. Trebuie s recunoatem c este o industrie profitabil virusarea i devirusarea. Ameninrile legate de identificarea i autorizarea utilizatorilor i controlul accesului sunt cele ce creeaz aparena unor utilizatori valizi, din interior sau exterior, sau chiar a unor echipamente hardware comerciale normale care mascheaz intenia frauduloas de a sustrage date sau de a provoca daune. Controlul accesului vine s prentmpine spargerea parolelor, unele chiar defectuos gestionate i neactualizate, vine s previn ptrunderea neautorizat n sistem prin cunoscutele pori ascunse n setup-ul programelor surs, backdoors. Controlul accesului are n vedre i manipulri clandestine ale modem-urilor pentru extensii necontrolabile ale reelelor firmei i chiar accesul fizic neautorizat la reea. Ameninrile privind credibilitatea i continuitatea serviciilor sunt legate de acele evenimente care prin producerea lor induc o stare de nencredere n fiabilitatea sistemului, n capacitatea acestuia de a continua procesarea fr a fi afectate datele, procesele care erau active la momentul producerii unor incidente. n aceast categorie de ameninri se includ dezastrele naturale att cele minore - ntreruperea curentului electric, ct i cele majore deja amintite. Apoi erorile de funcionare a echipamentelor, ale mediilor de comunicaie, cabluri, interferene electromagnetice, instalaiile de climatizare etc. Una din ameninrile frecvente preferate de ruvoitorii ce utilizeaz ca purttor Internetul este DoS - ul , denial of service, un abuz n reea produs prin suprasolicitarea serverelor cu e-mail-uri sau download-uri de ActivX-uri sau applet-uri mari, macroinstruciuni periculoase sau chiar folosirea eronat a unor protocoale de rutare pentru a induce o funcionare defectuas a serverelor. Credibilitatea poate fi plasat sub semnul incertitudinii si prin aciuni de sabotaj produse din rea credin, rzbunare sau de ctre concurena neloial. Sabotajul are o arie larg de manifestri de la distrugeri intenionate de echipamente, programe, alterarea sistemului de operare, furt de echipamente, de date, de programe surs ale unor sisteme de software aplicativ i pn la tierea cablurilor de alimentare, etc. Ameninrile integritii datelor privite din perspectiva meninerii integritii fizice a acestora, prevenirea distrugerilor neintenionate sau cu intenie a datelor. Mai ru dect distrugerea fizic este modificarea eronat sau ru intenionat a datelor cu acelai efect duntor asupra integritii resurselor informaionale ale sistemului informatic. Ameninrile secrete nu sunt de neglijat de ctre marile companii, cci pentru firmele mici efortul este prea costisitor. Este vorba despre ascultare electromagnetic a traficului n reea ,

interceptarea radiaiilor VanEck emise de micarea mouse-uli sau de hard-disk sau alte tehnici, ca s nu mai vorbim de interceptarea e-mail-urilor, modificri ale adreselor DNS pentru redirectri de pachete de date, i deloc de neglijat recuperarea unor date din mediile magnetice de stocare nlocuite, aruncate sau vndute prin magazinele second-hand. Ameninrile legale sunt cele generate de nendeplinirea unor prevederi legale stipulate prin acte normative, reglementri, necesitatea respectrii unor standarde impuse de organisme i instituii abilitate prin lege, cum este cazul interziceri unor activiti ilegale n reeaua Internet instigare la violen, discriminarea minoritilor, rasism, terorism, splarea de bani i atacuri asupra unor alte reele. E bine de tiut ct mai n detaliu care este sursa acestor ameninri pentru ca aria de cuprindere este mare, de la proprii angajai la utilizatorii externi din rndul partenerilor firmei clieni, furnizori, consultani, instituii financiare i de asigurri, serviciile de paz i de protecie firme concurente, hackerii, mercenarii independeni i chiar jurnaliti i redactori ai unor posturi radio-tv. ntrebri recapitulative 1. 2. 3. 4. 5. 6. Ce sunt vulnerabilitile sistemelor IT ? Ce sunt ameninrile la adresa sistemelor IT ? Care sunt cele cinci clase de vulnerabiliti identificate ntr-un sistem IT ? Formulai cte trei exemple din fiecare clas de vulnerabiliti. Ce sunt ameninrile cu caracter general, precizai minim trei vulnerabiliti pe care le vizeaz. Ce sunt ameninrile de identificare, autorizare a utilizatorilor i controlul accesului, precizai trei exemple de aciuni preventive vizate de controalele pentru accesul utilizatorilor. Enumerai patru exemple de ameninri ce pot afecta credibilitatea i continuitatea serviciilor IT. Ce sunt ameninrile asupra integritii datelor ? Ce exemple putei formula din categoria ameninrilor secrete ?

7. 8. 9.