Documente Academic
Documente Profesional
Documente Cultură
Detecţia Breşelor de
Încărcat de
Dragos PascuTitlu original
Drepturi de autor
Formate disponibile
Partajați acest document
Partajați sau inserați document
Vi se pare util acest document?
Este necorespunzător acest conținut?
Raportați acest documentDrepturi de autor:
Formate disponibile
Detecţia Breşelor de
Încărcat de
Dragos PascuDrepturi de autor:
Formate disponibile
Sorin Soviany
Detecia breelor de
securitate n sisteme
informatice pentru
aplicaii complexe
Ing. Sorin SOVIANY*
Cuvinte cheie. Bree de securitate, notificare,
autentificare.
Rezumat. Breele de securitate existente n siste-
mele informatice i de comunicaii expun utilizatorii
individuali la o multitudine de riscuri de securitate,
ntre care i acela al furtului de identitate. O bre de
securitate apare atunci cnd se realizeaz o achiziie
neautorizat de, sau un acces neautorizat la
nreistrri de date coninnd informaii personale
sensibile ale unui utilizator individual. !odalitile de
reacie imediat la depistarea unor bree de
securitate trebuie s considere cauzele respectivelor
bree precum i natura datelor care ar fi afectate prin
exploatarea acestor bree.
Keywords. "ecurit#
breaches, notification,
authen-tication.
Astract. $he securit#
breaches that are
present in informatics
and communications
s#stems are exposin
the individual users to a
lot of securit# ris%s,
amon them bein also
the identit# theft. &
securit# breach is
occurrin 'hen it is
performed an
unauthorized ac(uisition
or access to data
records containin
sensitive personal
information for an
individual user. $he
immediate reaction
approaches to securit#
breaches detection
should consider either
the causes of those
breaches, but also the
features of the data that
could be damaed b#
these breaches
exploitin.
1. Introducere
Breele de securitate existente n
sistemele infor-matice i de
comunicaii expun utilizatorii
individuali la o multitudine de riscuri
de securitate,
ntre care i
acela al furtului
de identitate. O
bre de
securitate apare
atunci cnd se
realizeaz o
ac!iziie
neautori-zat de,
sau un acces
neautorizat la
nre"istrri de
date coninnd
informaii
personale
sensibile ale
unui utilizator
individual.
#nformaiile
personale
sensibile pot
include numele
i adresa unei
persoane n
com-binaie cu
un numr de
asi"urri sociale,
eventual data naterii, informaii
despre contul bancar, date medicale
proprii sau date biometrice $informaii
care
#nstitutul %aional de Studii i
&ercetri pentru &o-municaii ' #%S&&.
permit
identificarea
unei persoane
pe baza unei
trsturi fizice a
acesteia(.
Studii recente
$din perioada
)**+-)**,( au
permis
identificarea i
raportarea unor
tipuri diverse de
bree de
securitate. -n
astfel de studii s-
a realizat
identificarea
entitilor
afectate de
breele de se-
curitate,
menionndu-se
i numrul
utilizatorilor
individuali
potenial expui
la consecinele
exploatrii
respectivelor
bree de
securitate. de
asemenea, s-a
precizat i cauza
respectivelor
bree.
&onform
raportrilor
#/0& $#dentity
/!eft 0e-source
&enter(,
entitile care
au raportat
bree de
securitate au
fost plasate n
urmtoarele
cate"orii1
2 instituii
educaionale
$cole"ii,
universiti,
diver-se entiti
afiliate(.
54
TELEC !"#IC$ %II & $nul LI' nr. 1()**+
3etecia breelor de securitate n sisteme informatice pentru aplicaii complexe
1 or"anizaii din
domeniul n"ri4irii sntii
$spita-le, diveri furnizori
de servicii de asisten
medical, societi de
asi"urare(.
2 companii, firme,
instituii care activeaz n
dome-niul financiar-bancar
$bnci, firme de asi"urri
.a.(.
3 firme, uniti
comerciale diverse .
4 a"enii
"uvernamentale.
Breele raportate au
fost clasificate dup
cauzele acestora1
1 !ac5er1 acces
ile"al prin #nternet la datele
stocate ntr-un sistem de
calcul, aciune efectuat de
ctre o persoan din afara
entitii afectate de brea
de securitate.
2 furt fizic1 furtul fizic
al calculatoarelor, al
ec!ipamentelor
componente sau al
materialelor descriptive.
3 prezentare
necorespunztoare1 se
permite ca informaiile
personale sensibile s fie
vzute de cei care nu ar
trebui s le acceseze.
4 acces intern1 un
an"a4at sau un contractor
care asi"ur
concurenei acces
la informaii
sensibile deinute
de ctre
an"a4atorul su.
5 pierderea
datelor stocate1
unitile de stocare
a datelor coninnd
informaii
personale sensibile
sunt pierdute sau
deteriorate n
cursul procesului
de transfer ctre
alt locaie.
6 cauze
nespecificate1
cauza specific a
breei de
securitate nu a fost
identificat sau6i
publicat.
Breele de
securitate
provenind din
atacurile !ac5erilor
sau din interior au
potenialul de a fi
cele mai
p"ubitoare,
deoarece aceste
bree sunt rezul-
tatul ncercrilor
deliberate de
obinere a
accesului la
informaii
personale
sensibile. 7entru
alte tipuri de bree,
adesea nu este
evident $cel puin
nu imediat( dac s-
a obinut accesul la
informaii sensibile
de ctre aceia care
eventual ar
inteniona s
iniieze atacuri
ulterioare prin furt
de identitate.
). ,eacia la bree de
securitate
8odalitile de reacie
imediat la depistarea unor
bree de securitate trebuie
s considere cauzele
respectivelor bree precum
i natura datelor care ar fi
afectate prin exploatarea
acestor bree. -n funcie de
aceste aspecte, reacia la
breele descoperite va
include parcur"erea
urmtorilor pai1
I. Stai!irea c!ar" a
ti#u!ui de re$" de
securi%tate care a a#"rut.
/rebuie stabilit ce anume a
afectat respectiva bre. 9
fost vorba de o bre n
le"tur cu un cont
existent la o instituie
financiar : 9 fost
compromis $sau dezvluit(
numrul de asi"u-rare
social $crend premisele
exploatrii acestuia de
ctre persoane nele"itime
care ar falsifica iden-
titatea( : 9u fost dezvluite
alte tipuri de informaii cu
caracter personal
sau emise de ctre
autoriti
"uvernamentale :
1 Conturi
existente- dac
brea a afectat un
cont existent,
posesorul acestuia
trebuie s monito-
rizeze ri"uros orice
activitate efectuat
folosind respectivul
cont. 9ciunile
considerate
suspecte vor
impune solicitarea
blocrii
respectivului cont.
2 .otenialu
l utili/0rii abu/i1e
a unor infor2maii
personale prin
falsificarea
identit0ii- dac
brea a determinat
dezvluirea unor
informaii per-
sonale $numr de
asi"urri sociale
.a.(, autorul unei
aciuni frauduloase
poate desc!ide noi
conturi i efectua
anumite aciuni
ile"ale sau
nepermise n nu-
mele unui utilizator
le"itim. -ntruct
astfel de situaii nu
pot fi depistate i
identificate imediat,
este nece-sar
plasarea unui
mecanism de
alert de fraude
care s permit i
monitorizarea pe
baze re"ulate a
conturilor i mai
ales a activitilor
derulate folosind
conturile le"itime.
3 Document
e de identificare
3ID4- O mare parte a
breelor de
securitate au
implicat conturi
finan-ciare. /otui,
n cazul notificrii
unei bree afectnd
TELEC!"
#IC$%II & $nul LI' nr. 1()**+ 55
Sorin Soviany
i
n
f
o
r
m
a
i
i
p
e
r
s
o
n
a
l
e
e
m
i
s
e
d
e
d
i
v
e
r
s
e
a
u
t
o
ri
ti,
se
poa
te
soli
cita
anu
lare
a
res
pec
tive
lor
doc
um
ent
e.
I
I.
No
ti&i
car
ea
de
#is
t"ri
i
re
$e!
or
$i
sta
i!i
rea
un
ui
me
ca
nis
m
de
a!e
rtar
e
'n
caz
de
ac(
iun
i
&ra
ud
u!o
ase
.
%ot
ific
are
a
est
e
adr
esa
t
inst
itui
ilor
emi
tent
e
ale
doc
um
ent
elor
sau
bn
cilo
r la
car
e
u
ti
li
z
a
t
o
ri
i
d
e
c
a
r
d
u
ri
d
e
c
r
e
d
it
d
e
i
n
c
o
n
t
u
ri
.
I
I
.
S
o
!ici
tar
ea
de
ra#
oar
te
)in&
or
m"
ri*.
-n
caz
ul
n
car
e
me
can
ism
ul
de
aler
tare
a
frau
del
or
indi
c
pos
ibilit
ate
a
une
i
aci
uni
frau
dul
oas
e
car
e ar
ex-
plo
ata
o
anu
mit
bre
de
sec
urit
ate,
se
soli
cit
emi
tere
a
uno
r
rap
oart
e
sau
info
rm
ri
det
alia
te
asu
pra
str
ii
con
turil
or
sau
n
l
e
"
t
u
r
c
u
v
a
li
d
it
a
t
e
a
i
n
f
o
r
m
a
i
il
o
r
d
e
i
d
e
n
ti
fi
c
a
r
e
per
son
al
utili
zat
e
eve
n-
tual
pen
tru
des
c!i
der
ea
alto
r
con
turi
sau
pen
tru
nc
!id
ere
a
abu
ziv
a
uno
r
con
turi
exi
ste
nte
le"i
tim
e.
9ce
ste
rap
oart
e
vor
fi
ri"u
ros
ana
liza
te
i
n
fun
cie
de
con
inu
tul
lor
se
poa
te
soli
cita
blo
car
ea
con
tulu
i,
anu
lare
a
anu
mit
or
per
mis
e
baz
ate
pe
info
r
m
a
i
i
d
e
i
d
e
n
ti
fi
c
a
r
e
c
a
r
e
a
u
f
o
s
t
f
o
l
o
s
it
e
a
b
u
z
i
v
.
3. .
r
o
c
e
d
u
r
i
d
e
d
e
t
e
c
i
e
'
n
o
t
i
f
i
c
a
r
e
'
c
o
m
p
e
n
s
a
r
e
i
p
r
e
1
e
n
i
r
e
a
b
r
e
e
l
o
r
d
e
s
e
c
u
r
i
t
a
t
e
o
n
c
e
#
t
e
+
n
o
t
i
&
i
c
a
r
e
a
,
r
e
m
e
d
i
e
rea
)co
m#
en%
sar
ea*
$i
#re
ve
nir
ea
re
$e!
or
de
se
cur
itat
e.
;n
cal
cul
ator
con
in
nd
info
rma
ii
per
son
ale
sen
sibil
e
$nu
me,
nu
mr
de
asi
"ur
ri
soc
iale
,
per
mis
de
con
-
duc
tor
aut
o,
nu
mr
car
d
de
cre
dit
sau
deb
it(
poa
te fi
co
mpr
omi
s
de
o
bre
de
sec
urit
ate.
O
exa
min
are
a
l
o
"
ri
l
o
r
$
c
o
n
e
c
t
ri
l
o
r
(
l
a
s
i
s
t
e
m
p
o
a
t
e
fi
n
e
c
o
n
-
clu
ziv
n
priv
ina
pos
ibilit
ii
ca
dat
ele
sen
sibil
e
s
fi
fost
acc
esa
te
de
ctr
e
un
intr
us.
-n
ace
ste
con
diii
,
risc
ul
pen
tru
o
aci
une
inii
at
prin
furt
de
ide
ntit
ate
nu
poa
te fi
eva
luat
foar
te
pre
cis.
9stf
el
de
situ
aii
pre
zint
imp
lica
ii
de
ordi
n
etic
i
le"
ate
de
anu
mit
e
limi
te
le"
ale
pen
tru
a
d
m
i
n
i
s
t
r
a
t
o
ri
i
d
e
sist
em.
Se
pun
e
ntr
eba
rea
dac
ace
tia
treb
uie
sau
nu
s
noti
fice
utili
zat
orii
indi
vid
uali
ale
cr
or
info
r-
ma
ii
per
son
ale
ar fi
a4u
ns
sau
nu
n
pos
esi
a
uno
r
per
soa
ne
nea
utor
izat
e.
&
riter
iile
privi
nd
deci
ziile
de
noti
fica
re
asu
pra
bre
el
or
de
sec
urit
ate
afe
ct
nd
dat
e
per
son
ale
ale
utili
zat
o
ri
l
o
r
p
o
t
v
i
z
a
1
a
c
o
p
e
ri
r
e
a
d
a
t
e
l
o
r
n
f
o
r
m
a
t
e
l
e
c
t
roni
c i
non
-
elec
tron
ic,
incl
ude
rea
dat
elor
crip
tate
dar
i a
celo
r
non
-
crip
tate
,
spe
cific
are
a
uno
r
ceri
ne
i
ele
me
nte
spe
cific
e
car
e
s
fie
incl
use
n
noti
fic
ri,
pre
ciza
rea
uno
r
pen
alit
i
posi
bil a
fi
apli
cat
e n
caz
ul
dez
vlu
irii
nea
utor
izat
e
de
info
rma
ii
con
fide
nial
e.
O
alt
con
sid
e
r
a
i
e
n
l
e
"
t
u
r
c
u
p
r
o
c
e
s
u
l
d
e
n
o
ti
fi
c
a
r
e
a
b
r
e
e
l
or
de
sec
urit
ate
i a
inci
den
telo
r
cau
zat
e
prin
exp
loat
are
a
ace
stor
a
est
e
le"
at
de
cor
elar
ea
cu
sta
nda
rde
exi
ste
nte.
-
n
ese
n,
pro
ced
uril
e
de
re
me
die
re
3co
mp
ens
a2
re4
a
bre
el
or
de
sec
urit
ate
treb
uie
s
se
baz
eze
pe
urm
to
arel
e
ele
me
nte1
1
d
up
des
cop
erir
e
a
$i
d
e
n
ti
fi
c
a
r
e
a
(
s
a
u
n
o
ti
fi
c
a
r
e
a
u
n
e
i
b
r
e
e
d
e
s
e
c
u
ri
tate
afe
ct
nd
info
rma
ii
priv
ate
ale
utili
zat
oril
or
le"i
timi
,
inst
itui
a
car
e
dei
ne
res-
pec
tive
le
info
rma
ii
nre
"ist
rate
treb
uie
s
info
rme
ze
clie
nii
indi
vid
uali
asu
pra
fapt
ului
c
info
rma
iile
per
son
ale
ale
ace
stor
a
au
fost
obi
nut
e
de
ctr
e o
per
soa
n
nea
utor
izat
.
2
n
otifi
car
ea
treb
uie
s
fi
e
c
t
m
a
i
p
r
o
m
p
t
,
i
m
e
d
i
a
t
d
u
p
d
e
s
c
o
p
e
ri
r
e
a
b
r
eei
i
s
fie
urm
at
de
apli
car
ea
uno
r
me
cani
sm
e
de
det
erm
inar
e a
tipul
ui
bre
ei
i
de
a
rest
aur
a
inte
"rit
ate
a
dat
elor
sist
em
ului.
3
n
otifi
car
ea
tre
bui
e
s
con
in
o
des
crie
re
a
cat
e"
oriil
or
de
info
rm
aii
car
e
au
fost
obi
nut
e
de
ct
re
o
per
soa
n
ne
aut
oriz
at
.
S
t
r
a
t
e
"
ii
l
e
d
e
p
r
e
1
e
n
i
r
e
i
li
m
i
t
a
r
e
a
co
nse
2
cin
el
or
bre
el
or
de
sec
urit
ate
incl
ud
urm
to
arel
e
pra
ctici
rec
om
and
ate1
'
eli
mi
nar
ea
utili
zr
ii
nu
me
rel
or
de
asi
ur
ri
soc
iale
ca
ele
me
nte
pri
ma
re
de
ide
ntifi
car
e)
5
5
T
E
L
E
C
!
"
#
I
C
$
%
I
I &
$nul
LI'
nr.
1()*
*+
3etecia breelor de securitate n sisteme informatice pentru aplicaii complexe
* stabilirea de politici de
prote+are a caracterului
privat al informaiilor i
promovarea unor practici
echitabile de manipulare i
estionare a informaiilor)
* realizarea unei analize
cuprinztoare i a unei
evaluri consistente a
riscurilor de securitate.
7roce-sul de evaluare a
riscurilor de securitate
permite identificarea clar a
ameninrilor i
vulnerabilitilor.
-dezvoltarea unor
proceduri i protocoale de
rspuns la incidente de
securitate.
-ractici recomandate
de noti&icare a re$e!or de
securitate im#!ic.nd
in&orma(ii #ersona!e. Or-
"anizaiile care colecteaz i
"estioneaz informaii
personale ale utilizatorilor
individuali $aa cum se
ntmpl n aplicaii de e-
!ealt!, e-"overnment sau e-
learnin", de exemplu(
trebuie s implementeze i
s aplice mecanisme de
securitate eficiente care s
prote4eze informaiile stocate
fa de riscuri care pot
conduce la acces, folosire,
dezvluire, modificare sau
distru"ere neautorizat.
#mplementarea unui
pro"ram eficient de
securitate a informaiilor este
esenial pentru
or"anizaie pentru
ca aceasta s-i
nde-plineasc
responsabilitatea sa
n direcia clienilor
individuali care au
ncredere n nivelul
de securitate al
informaiilor stocate
la nivelul sistemelor
respective.
3up cum s-a
artat la nceputul
articolului, o bre0
de securitate se
realizeaz n situaia
n care ac!iziia
neautorizat de date
stocate la nivelul
unui sistem de
calcul conduce la
compromiterea
aspectelor de
securitate'
confidenialitate i
de inte6ritate ale
informaiilor cu
caracter personal
3pri1at4.
0ecomandrile
de <bune practici=
pot servi ca "!iduri
pentru or"anizaii,
pentru a le spri4ini n
furni-zarea prompt
i consistent de
informaii ctre
clieni sau utilizatori
individuali ale cror
date personale au
fost compromise
sau sunt pe cale s
fie compromise n
urma apariiei unor
bree de securitate.
9ceste recomandri
sunt "rupate n trei
cate"orii mari1
' protecie i
prevenire.
' pre"tire pentru
notificare.
' notificare.
;rmtoarele concepte
definesc termeni c!eie
utilizai n cadrul acestor
practici recomandate1
7 informaie de
declanare a notific0rii-
n func-
ie de re"lementrile le"ale
specifice n domeniu, poate
include numele sau
prenumele posesorului de
informaii sensibile, la care
se pot asocia1 numrul de
asi"urare social $sau,
dup caz, codul numeric
personal(, eventual
numrul permisului de
conducere auto, numrul
de carte de credit n
combinaie cu orice cod
sau parol care ar permite
accesul la contul
respectivei persoane.
7 informaie personal0
cu 6rad ridicat de risc-
%u numai informaia de
declanare a notificrii poate
fi int al unui atac prin furt
de identitate, dar i alte
cate"orii de informaii pot
prezenta riscuri foarte mari,
aa cum sunt informaiile de
sntate sau datele
medicale de pacient
$n cazul aplicaiilor
de e-!ealt!(, diferite
alte tipuri de
informaii financiare
sau date per-sonale
a cror dezvluire
poate conduce la
violarea intimitii
individuale $a
dreptului la
prote4area carac-
terului privat al
datelor, cerin
esenial de
securitate(.
7 posesorul
3dein0torul4
datelor- individul
sau or"anizaia cu
responsabilitatea
primar n determi-
narea scopului i
funciei sistemului
de nre"istrare a
datelor.
7racticile
recomandate de
notificare a
breelor de
securitate
implicnd informaii
personale fac parte
din urmtoarele
cate"orii1
I. .rotecie i
pre1enire. O
or"anizaie trebuie
s implementeze
msuri i
mecanisme de
protecie a
confidenialitii
informaiilor
personale care
aparin clienilor,
an"a4ailor i altor
cate"orii de
utilizatori le-"itimi.
9ceste mecanisme
includ msuri de
protecie de ordin
fizic, te!nic i
administrativ. -ntre
acestea, pot fi
menionate
urmtoarele practici
recomandate1
' colectarea
unui volum minim
de informaii
personale
necesare pentru
realizarea
scopurilor
TELEC!"
#IC$%II & $nul LI' nr. 1()**+ 58
Sorin Soviany
a
p
li
c
a
i
il
o
r,
i
r
e
i
n
e
r
e
a
a
c
e
s
t
o
r
a
p
e
n
t
r
u
u
n
i
n
t
e
r
v
al
de
tim
p
min
im
nec
esa
r.
'
pre
ciz
are
a
co
mp
one
ntel
or,
sist
em
elor
i a
ele-
me
ntel
or
de
sto
car
e
pen
tru
ide
ntifi
car
ea
clar
a
ace
lora
ce
con
in
info
rma
ii
per
son
ale.
'
cla
sific
are
a
info
rma
iilo
r
per
son
ale
sto
cat
e n
con
for
mit
ate
cu
"ra
dul
de
sen
sibil
itat
e al
ace
stor
a.
Se
ide
n
ti
fi
c
i
n
f
o
r
m
a
i
il
e
d
e
d
e
c
l
a
n
a
r
e
a
n
o
ti
fi
c
ri
i.
u
ti
li
z
are
a
uno
r
me
cani
sm
e
de
prot
eci
e
fizic
i
te!
nol
o"ic
ade
cvat
e
pen
tru
prot
e4ar
ea
info
rma
iilor
per
son
ale,
n
spe
cial
a
acel
ora
cu
"ra
d
ridic
at
de
risc.
9n"
a4ai
i
vor
fi
aut
oriz
ai
s
acc
ese
ze
doa
r
cat
e"o
rii
spe
cific
e
de
info
rma
ii
per
son
ale,
n
con
for-
mit
ate
cu
res
pon
sabi
liti
le
prof
e
s
i
o
n
a
l
e
a
l
e
a
c
e
s
t
o
r
a
.
9
c
o
l
o
u
n
d
e
e
s
t
e
p
o
s
i
b
il
,
s
e
vor
utili
za
anu
mit
e
met
ode
te!
nice
pen
tru
rest
rici
ona
rea
acc
esul
ui
inte
rn
la
cat
e"o
rii
spe
cific
e
de
info
rma
ii
per
son
ale.
3e
ase
-
me
nea
, se
va
mo
nito
riza
acc
esul
an"
a4ai
lor
la
info
rma
ii
per
son
ale
cu
"ra
d
ridic
at
de
risc.
'
pro
mo
var
ea
pre
ocu
pri
lor
pen
tru
res
pec
tare
a
poli
ticil
or
i
pro
c
e
d
u
ri
l
o
r
d
e
s
e
c
u
ri
t
a
t
e
i
d
e
p
r
o
t
e
4
a
r
e
a
c
a
r
a
c
t
e
r
u
lui
priv
at
al
dat
elor
prin
pro
"ra
me
de
inst
ruir
e
con
tinu
a
an"
a4a
ilor.
Se
va
urm
ri
mo
dul
n
car
e
an"
a4a
ii
res
pec
t
poli
ticil
e i
pro
ced
uril
e
de
sec
urit
ate.
Se
vor
spe
cific
a
pen
alit
i
$sa
nci
uni(
pen
tru
viol
are
a i
nc
lc
are
a
poli
ticil
or
i
pro
ced
uril
or
de
sec
urit
ate.
'
im
pun
ere
a
ctr
e
f
u
r
n
i
z
o
ri
i
d
e
s
e
r
v
i
c
ii
t
e
r
i
i
c
t
r
e
p
a
r
t
e
n
e
ri
c
a
r
e
folo
ses
c n
apli
caii
le
lor
info
rma
iile
per
son
ale
stoc
ate
a
nec
esit
ii
de
a
res
pec
ta
ri"u
ros
polit
icile
i
pro
ced
uril
e
de
sec
urit
ate.
'
fol
osir
ea
uno
r
te!
nol
o"ii
efic
ient
e
de
det
eci
e a
intr
uzi
unil
or
i a
uno
r
pro
ced
uri
efic
ace
pen
tru
de-
tect
are
a
rapi
d
a
acc
esu
lui
nea
utor
izat
la
info
rma
ii
p
e
r
s
o
n
a
l
e
c
u
"
r
a
d
ri
d
i
c
a
t
d
e
ri
s
c
.
S
e
v
o
r
e
f
e
c
t
u
a
p
e
ri
odi
c
test
e
de
pen
etra
re
pen
tru
a
det
erm
ina
efic
ien
a
sist
em
elor
i a
pro
ced
uril
or
imp
lem
ent
ate
n
det
ect
are
a i
rea
cio
nar
ea
la
bre
e
de
sec
urit
ate.
f
o
l
o
s
ir
e
a
,
o
ri
d
e
c
t
e
o
ri
e
s
t
e
p
o
s
i
b
il
,
a
t
e
!
n
i
c
il
o
r
d
e
crip
tare
a
dat
elor
n
co
mbi
nai
e
cu
m
suri
de
pro
-
tec
ie a
sist
em
elor
"az
d
i
de
con
trol
al
acc
esu
lui,
pen
tru
a
spo
ri
niv
elul
de
prot
eci
e a
info
rma
iilo
r cu
"ra
d
ridi
cat
de
risc
.
I
I.
.re
60t
ire
pe
ntr
u
not
ific
are
.
;n
pro
"ra
m
co
mpl
et
de
sec
urit
ate
a
info
rma
iilo
r
treb
uie
s
i
n
c
l
u
d
u
n
p
l
a
n
d
e
r
s
p
u
n
s
l
a
i
n
c
i
d
e
n
t
e
,
c
a
r
e
s
a
bor
dez
e
inci
den
tele
de
sec
urit
ate
pro
voc
ate
de
acc
esu
l
nea
utor
izat
la
info
rma
ii
per
son
ale
cu
"ra
d
ridi
cat
de
risc
sau
de
ac!
izii
ona
rea
nea
utor
izat
a
ace
stor
a.
7e
ntru
a
se
put
ea
efe
ctu
a
noti
fica
rea
ct
mai
pro
mpt
a
utili
zat
oril
or
pot
eni
al
afe
cta
i,
ur-
mt
oar
ele
pra
ctici
ar
treb
ui
incl
use
ntr
-
u
n
p
l
a
n
d
e
r
s
p
u
n
s
l
a
i
n
c
i
d
e
n
t
e
1
a
d
o
p
t
a
r
e
a
u
n
o
r
pro
ced
uri
clar
e
pen
tru
noti
fi-
car
ea
inte
rn
a
inci
den
telo
r de
sec
urit
ate
car
e
pot
imp
lica
acc
esu
l
nea
utor
izat
la
info
rma
ii
per
son
ale
cu
"ra
d
ridi
cat
de
risc
.
'
de
se
mn
are
a
unu
i
res
pon
sab
il
pen
tru
coo
rdo
-
nar
ea
pro
ced
uril
or
de
noti
fica
re
inte
rn.
'
ins
truir
ea
re"
ulat
a
an"
a4a
ilor
p
ri
v
i
n
d
r
o
l
u
ri
l
e
i
r
e
s
p
o
n
s
a
b
il
it
i
l
e
a
c
e
s
t
o
r
a
n
c
a
drul
pla
nul
ui
de
rs
pun
s la
inci
den
te.
'
pla
nifi
car
ea
i
utili
zar
ea
ade
cva
t a
m
suri
lor
pen
tru
con
trol
ul
i
blo
car
ea
oric
rui
inci
den
t de
sec
urit
ate
car
e
poa
te
imp
lica
acc
esu
l
nea
utor
izat
la
sist
em
ele
info
rma
tice
.
I
II.
#ot
ific
are.
&ar
act
erul
des
c!is
sau
tran
spa
ren
a
est
e
un
alt
prin
c
i
p
i
u
d
e
b
a
z
l
e
"
a
t
d
e
c
a
r
a
c
t
e
r
u
l
p
ri
v
a
t.
O
o
r
"
a
n
i
z
aie
car
e
cole
cte
az
sau
"es
tio-
nea
z
info
rma
ii
per
son
ale
treb
uie
s
fie
des
c!is
n
le"
tur
cu
polit
icile
i
pra
ctici
le
sale
de
info
rma
re.
9ce
ast
res
pon
sabi
litat
e
incl
ude
info
rma
rea
clie
nilo
r i
utili
zat
oril
or
indi
vidu
ali
des
pre
inci
den
te
det
erm
ina-
te
de
bre
e
de
sec
urit
ate
car
e
au
cau
zat
obi
n
e
r
e
a
i
n
f
o
r
m
a
i
il
or
per
son
ale
nec
ript
ate
ale
utili
zat
oril
or
le"i
-
timi
de
ctr
e
per
soa
ne
nea
utor
izat
e.
%oti
fica
rea
5
+
T
E
L
E
C
!
"
#
I
C
$
%
I
I &
$nul
LI'
nr.
1()*
*+
3etecia breelor de securitate n sisteme informatice pentru aplicaii complexe
individual asupra unor
astfel de incidente urm-
rete facilitarea adoptrii,
de ctre cei potenial
afectai, a unor msuri
active de protecie care s
previn sau s limiteze
daunele provocate de
atacuri prin furt de
identitate sau de alte tipuri.
;rmtoarele aspecte
trebuie luate n considerare
pentru procedurile de
notificare1
' ac!iziia1 msuri pentru
situaiile n care se
semnaleaz suspiciunea c
informaiile de declanare a
notificrii, n form
necriptat, au a4uns sau sunt
pe cale s a4un" n posesia
unor persoane neautorizate.
' ncadrarea temporal
a procesului de notifi-care1
notificarea ct mai prompt
a utilizatorilor le"itimi
potenial afectai, deci ct
mai curnd posibil dup
detectarea oricrui incident
implicnd accesul
neautorizat la informaii de
declanare a notificrii.
' contactarea unor
autoriti de resort n
situaia n care exist
suspiciunea c incidentele
de secu-ritate au implicat
aciuni ile"ale.
' mi4loacele de
notificare1 %otificarea
individual a celor afectai
este preferabil s
se realizeze ori-
cnd este posibil,
cel mai adesea
prin e-mail sau prin
alte forme de
comunicare rapid
i eficient
-roceduri $i
instrumente noi
#entru detec(ia
re$e!or de
securitate $i
reducerea
riscuri!or.
3up cum s-a artat
anterior, o bre0 de
securitate a datelor
sau o dezvluire
neautorizat se
ntmpl atunci
cnd date cu
caracter privat i cu
cerine restrictive de
acces, aflate sub o
anumit respon-
sabilitate, sunt
difuzate ctre o
audien care nu
este ndreptit
pentru accesul la
respectivele date. -n
multe cazuri, furtul
de date constituie o
activitate
infracional care
afecteaz mai multe
cate"orii de
utilizatori, deci are
<victime= multiple.
3ac o
dezvluire
neautorizat este
mr"init la
proprietatea
intelectual a
entitii care
stoc!eaz
respectivele
informaii, lista
<victimelor=
poteniale se poate
limita la aceasta.
3ar n multe
cazuri, totui,
datele pierdute $sau
dezvluite n mod
neautorizat( aparin i altor
entiti sau utilizatori
individuali le-"itimi. 9stfel,
pierderile provocate de
dezvluirile neautorizate
afecteaz cate"orii
multiple.
3etectarea breelor de
securitate implic utiliza-
rea unei varieti de soluii
de monitorizare i de
filtrare care vizeaz
perimetrul reelei care
inter-conecteaz sistemele
de calcul n care sunt
stocate respectivele date.
/otui, soluiile de
monitorizare actuale nu au
putut aborda satisfctor
problema <centrului=, mai
exact a locaiei n care
datele sunt stocate i la
care se face accesul. -n
prezent, multe companii
folosesc soluii de detecie
a breelor afec-tnd bazele
lor de date care opereaz
pornind de la analizarea
conectrilor i acceselor la
respectivele baze de date,
deci dup ce eventualele
incidente de
securitate
exploatnd breele
s-au concretizat
de4a. aceasta este
o abordare
reactiv, i nu una
pre-ventiv. 7rin
urmare, metodele
respective nu
conduc la un
rspuns preventiv
i la o limitare
efectiv a
potenialelor
pierderi cauzate de
incidente de secu-
ritate.
>i"ura ?
ilustreaz, n
sintez, o serie de
vectori de atac la
adresa serverelor
care conin date
sau aplicaii pentru
utilizatori.
#ncidentele de
securitate bazate pe
exploatarea breelor
se pot manifesta i
avea consecine mai
mult sau mai puin
extinse, n funcie de
situaiile urmtoare1
1) atacul s-a
efectuat direct
asupra sursei
datelor, n spe au
fost vizate
serverele de baze
de date sau de
fiiere coninnd
informaii sensibile.
2) brea nu a
fost descoperit
$identificat( la
sursa datelor sau
n timp real, fcnd
imposibil de
estimat amploarea
dezvluirii
neautorizate, sau
de evaluat zona
afectat.
3) daunele la
adresa reputaiei
deintorului
datelor au fost
semnificative, dei
amploarea real a
pa"u-belor cauzate
de furtul de date,
ca atare, nu este
cuantificabil.
TELEC!"
#IC$%II & $nul LI' nr. 1()**+ 59
Sorin Soviany
:i6. 1.
@ectori
principali de
atac la
adresa
serverelor
principale
pentru
aplicaii.
i
s
t
e
m
e
$
i
m
e
c
a
nis
me
#art
icu!
are
#en
tru
red
u%
cere
a
risc
uri!
or
aso
c
i
a
t
e
c
u
r
e
$
e
!
e
d
e
s
e
c
u
ri
t
a
t
e.
9
c
e
st
e
a
s
u
n
t
p
r
e
z
e
n
t
a
t
e
n
c
e
l
e
c
e
u
r
m
e
a
z
.
.
;
c
<
e
m0
de
aut
enti
fica
re
n )
pai
. O
cau
z
frec
vent
ntl
nit
a
mult
or
inci
dent
e de
sec
urita
te
con
st
n
ale"
erea
unor
paro
le
slab
e i
a
unor
me-
cani
sme
de
cont
rol
d
ef
e
ct
u
o
a
s
e
p
e
nt
r
u
p
r
o
c
e
s
ul
d
e
a
ut
e
nt
ifi
c
a
r
e.
9
c
e
st
e
b
r
e
e
d
e
s
e
c
u
rit
at
e
p
ot
af
e
ct
a
s
e
rv
e
r
e
c
a
r
e
st
o
c
!
e
a
z
d
at
e
fo
a
rt
e
s
e
n
s
i
b
i
l
e
.
&
a
e
x
e
m
p
l
e
d
e
s
l
b
i
c
i
u
n
i
a
l
e
p
o
l
i
t
i
cilor
privi
nd
ale"
erea
i
utiliz
area
paro
lelor
$par
te a
sc!
eme
lor
de
aute
nti-
ficar
e(
se
pot
men
ion
a1
1
p
osib
ilitat
ea
utiliz
atori
lor
de a
se
lo"a
fr
paro
l,
sau
d
e
a
-
i
st
a
bi
li
p
a
r
ol
e
n
ul
e.
2
s
ol
ic
it
a
r
e
a
r
a
r
d
e
s
c
!i
m
b
a
r
e
a
p
ar
ol
el
or
$d
e
ci
la
in
te
rv
al
e
n
d
el
u
n
"
at
e,
d
e
?
a
n
s
a
u
c
!i
ar
m
ai
m
ul
t(.
3
o
s
i
b
i
l
i
t
a
t
e
a
d
e
r
e
u
t
i
l
i
z
a
r
e
a
p
a
r
o
l
e
l
o
r
v
e
c
!i
care
au
mai
fost
folo
site
pent
ru
aute
ntifi
care
.
8
odel
ele
tipic
e de
aute
ntific
are
folos
ite
pn
n
prez
ent,
baz
ate
pe
pere
c!i
$aso
cieri
(
num
e de
utili-
zato
r-
paro
l,
r
e
p
r
e
zi
nt
d
e
fa
pt
u
n
m
e
c
a
ni
s
m
d
e
a
ut
e
nt
ifi
c
a
r
e
n
tr
-
u
n
si
n
"
u
r
p
a
s.
7
ri
n
ci
p
al
a
pr
o
bl
e
m
a
m
e
c
a
ni
s
m
ul
ui
d
e
a
ut
e
nt
ifi
c
ar
e
b
a
z
at
p
e
p
a
r
o
l
e
e
s
t
e
a
c
e
e
a
c
d
a
c
s
e
d
o
r
e
t
e
i
mpl
eme
ntar
ea
unui
mod
el
d
e
s
e
c
u
rit
at
e
p
ut
e
r
ni
c,
e
st
e
di
fi
ci
l
s
s
e
m
e
m
o
r
e
z
e
p
a
r
ol
e
m
ul
ti
pl
e
d
e
a
c
c
e
s
la
s
e
rv
e
r
e
di
fe
rit
e.
7
e
d
e
al
t
p
a
rt
e,
e
xi
st
o
c
e
ri
n
st
ri
n
"
e
n
t
p
e
n
t
r
u
i
m
p
l
e
m
e
n
t
a
r
e
a
u
n
o
r
m
e
c
a
n
i
s
m
e
d
e
aute
ntifi
care
mai
pute
rnic
e. O
astf
el
de
sc!
em
de
aute
ntifi
care
se
poat
e
baz
a pe
ceri
na
ca
utiliz
ator
ul
s
prez
inte
cre-
den
iale
baz
ate
pe
fact
ori
mult
ipli
$)
sau
mai
mul
i(.
-n
fu
n
c
ie
d
e
c
e
ri
n
el
e
d
e
s
e
c
u
rit
at
e
al
e
a
pl
ic
a
iil
or
,
s
e
p
o
at
e
d
e
ci
d
e
c
o
s
c
!
e
m
d
e
a
ut
e
nt
ifi
c
a
r
e
n
d
oi
p
a
i
p
o
at
e
a
si
"
u
r
a
u
n
c
o
nt
r
ol
s
uf
i
c
i
e
n
t
.
>
a
c
t
o
r
i
i
c
a
r
e
t
r
e
b
u
i
e
c
o
n
s
i
d
e
r
a
i
p
e
n
t
r
u o
sc!
em
de
aute
ntifi
care
n
doi
pai
sunt
1
'
cev
a pe
care
num
ai
utiliz
ator
ul
le"it
im l
cun
oat
e
$par
ola
sau
7#%-
ul
su(
.
'
cev
a pe
care
num
ai
utiliz
ator
ul
le"it
im l
d
e
in
e.
9
c
e
st
a
e
st
e,
d
e
r
e
"
ul
,
u
n
di
s
p
o
zi
ti
v
fi
zi
c
$4
et
o
n
d
e
a
ut
e
nt
ifi
c
a
r
e
(.
7
ri
n
ci
pi
ul
c
ar
e
fu
n
d
a
m
e
nt
e
a
z
o
a
st
fe
l
d
e
s
c
!
e
m
d
e
a
ut
e
nt
ifi
c
a
r
e
n
d
o
i
p
a
i
$
c
u
f
a
c
t
o
r
d
e
m
u
l
t
i
p
l
i
c
i
t
a
t
e
) al
ele
men
telor
de
secu
rizar
e(
este
simp
lu.
Aeto
nul
"en
erea
z
iniia
l o
paro
l
de
unic
folos
in
$O/
7,
One
/im
e
7as
sBor
d(,
care
este
un
num
r
de ,
cifre
.
9ce
st
n
u
m
r
e
st
e
"
e
n
e
r
at
cr
ip
to
"
r
af
ic
i
e
st
e
d
e
-
p
e
n
d
e
nt
d
e
in
fo
r
m
a
ia
in
ii
al
a
ut
ili
z
at
or
ul
ui
i
d
e
m
o
m
e
nt
ul
c
ur
e
nt
d
e
ti
m
p.
S
er
v
er
ul
c
ar
e
ar
e
in
st
al
at
5
*
T
E
L
E
C
!
"
#
I
C
$
%
I
I
&
$
n
ul
LI'
nr.
1()
**+
3etecia breelor de securitate n sisteme informatice pentru aplicaii complexe
un a"ent softBare de
autentificare, va transmite
mai departe cererea de
autentificare ctre un al
doilea
server $securizat( de
autentificare, dup cum
este ilustrat n
dia"rama din fi"ura
).
:i6. ). Sc!em
de autentificare
n ) pai
$principiu(.
3ia"rama
din fi"ur
prezint
procesul tipic
de
autentificare
n ) etape,
care include
urmtoarele
aciuni1
1 ;tiliza
torul se
conecteaz la
serverul care
este prote4at
printr-un
produs de
autentificare
de factor ).
9cesta poate
fi un simplu
serviciu care
autentific
utilizatorul prin
interfaa Ceb
sau un
dispozitiv @7%
compatibil cu
produsul de
autentificare
n doi pai.
;tilizatorului i
se cere s
introduc
parola sa
de unic
folosin
$O/7(.
2 S
erverul
$intermed
iar(
transmite
cererea
de au-
tentificar
e ctre
serverul
securizat
de
autentific
are.
9ceast
cerere
este
criptat
iar
comunica
ia se
face prin
porturi6se
rvicii bine
cunoscut
e care
asi"ur
un nivel
ridicat de
securitat
e pentru
serverul
securizat
de
autentific
are.
3 S
erverul
securizat
de
autentific
are
verific
cererea
de
autentific
are.
9cesta
solicit
numele
de
utilizator
i parola
de unic
folosin
$O/7(,
ambele
informaii
fiind
preluate
de la
serverul
solicitant.
-n baza
de date,
numele
de
utilizator
are
asociat
un to5en
$4eton(.
fiecare
4eton are
un numr
unic de
identificar
e care
permite
serverulu
i s
cunoasc
in-
formaia
iniial
necesar
pentru
"enerare
a parolei
O/7.
Odat ce
valoarea
O/7 a
fost
calculat,
aceasta
poate fi
comparat
cu cea
care a
fost
transmis
la
nceput i
cererea
de
autentific
are poate
fi
aprobat
sau
respins
$dac
valoarea
O/7
calculat
este
incorect
(.
1 S
erv
eru
l
aut
ent
ific
cu
suc
ces
utili
zat
oru
l.
2. "til
i/area
unui
anali/or
de reea
ca
instru2
ment de
securitat
e.
9nalizoar
ele de
reea
sunt
conceput
e s
urmreas
c
activitil
e din
reea, s
identifice
probleme
le i s
alerteze
administr
atorii
asupra
posibilelo
r
incidente
de
securitate.
9ceste
caracteristici
fac din
analizorul
de reea
un instru-
ment
excelent
pentru
determin
area i
localizare
a
breelor
de
securitat
e, pentru
a spri4ini
identificar
ea
TELEC
!"#
IC$%
II &
$nul
LI' nr.
1()**
+
51
Sorin Soviany
i
i
z
o
l
a
r
e
a
s
i
s
t
e
m
e
l
o
r
a
f
e
c
t
a
t
e
d
e
d
if
e
ri
t
e
ti
p
u
ri
d
e
sec
ven
e
de
cod
mal
iio
s.
;
n
ana
lizo
r de
prot
oco
l
arat
ce
se
nt
mpl
n
ree
a
prin
dec
oda
rea
dife
ritel
or
prot
oco
ale
pe
car
e
disp
oziti
vele
con
ect
ate
n
ree
a le
folo
ses
c
pen
tru
a
co
mu
nica
, i
apo
i
pre
zen
tare
a
rez
ulta
telo
r
ntr-
un
for
mat
uo
r de
citit
de
ctr
e
un
utili
zat
or
um
an.
8
a
4
o
-
ri
t
a
t
e
a
a
n
a
li
z
o
a
r
e
l
o
r
p
e
r
f
o
r
m
a
n
t
e
i
n
c
l
u
d
,
d
e
ase
me-
nea
, o
fun
cio
nalit
ate
de
rap
orta
re
stati
stic
.
;tili
tate
a
unu
i
astf
el
de
inst
rum
ent
pen
tru
mo
nito
riza
rea
acti
vi-
til
or
cur
ent
e
din
ree
a
est
e
evid
ent
.
mai
pui
n
clar
$i
prin
urm
are
sub
esti
mat
(
est
e
ct
de
imp
orta
nt
devi
ne
un
astf
el
de
ana
lizor
n
cad
rul
me
cani
sm
elor
de
rs
p
u
n
s
l
a
a
m
e
n
i
n
ri
d
e
s
e
c
u
ri
t
a
t
e
c
u
m
a
r
fi
i
n
t
r
u
z
i
u
n
i ale
!ac
5eril
or,
vier
mi,
viru
i.
9
tac
uril
e
!ac
5eri
lor
i
viru
ilo
r
"en
ere
az
n
mo
d
tipi
c
un
patt
ern
$a
blo
n(
sau
o
<se
mn
tur
=
de
pac
!et
e
ce
pot
fi
rec
uno
scu
te.
;n
ana
lizo
r de
ree
a
poa
te
ide
ntifi
ca
ace
ste
pac
!et
e i
aler
ta
ad
min
istr
a-
toru
l n
le"
tur
cu
pre
zen
a
lor
n
ree
a
p
ri
n
e
-
m
a
il
s
a
u
a
lt
e
f
o
r
m
e
d
e
c
o
m
u
n
i
c
a
r
e
r
a
p
i
d
.
8
a
4
orit
ate
a
ana
lizo
arel
or
per
mit
utili
zat
oril
or
s
set
eze
alar
me
car
e
s
fie
dec
lan
at
e
atu
nci
cn
d
est
e
det
ect
at
un
patt
ern
part
icul
ar.
;n
ele
ana
lizo
are
pot
fi
pro
"ra
-
mat
e
s
trim
it
e-
mai
l
sau
aler
te
de
alt
tip
atu
nci
cn
d
ace
ste
con
diii
sun
t
nd
epli
nite
.
3e
si"
ur,
ace
ste
l
u
c
r
u
ri
i
m
p
li
c
f
a
p
t
u
l
c
v
ir
u
s
u
l
i
<
s
e
m
n
t
u
r
a
=
s
a
a
u
mai
fost
<v
zut
e=
nai
nte
i
au
fost
nc
orp
orat
e n
list
a
de
filtr
are
de
pac
!et
e a
ana
lizo
rulu
i.
;n
astf
el
de
filtr
u
spe
cific
set
ul
de
crit
erii
pen
tru
car
e
un
ana
lizo
r va
cap
tura
pac
!et
e,
va
dec
lan
a
o
alar
m
sau
va
efe
ctu
a
alte
aci
uni
de
rs
pun
s la
astf
el
de
pro
ble
me.
%
oii
viru
i i
v
i
e
r
m
i
p
r
e
z
i
n
t
s
e
m
n
t
u
ri
d
if
e
ri
t
e
n
f
u
n
c
i
e
d
e
v
u
l
ner
abili
til
e
pe
car
e
nc
ear
c
s
le
expl
oat
eze
,
dar
din
mo
me
ntul
n
car
e
bre
e
de
se-
curi
tate
exis
t
n
sist
em,
exis
t
rela
tiv
pui
ne
lucr
uri
pe
car
e
!ac
5erii
ar
mai
treb
ui
s
le
real
izez
e n
ree
a.
3
i
n
t
r
e
c
e
l
e
m
a
i
i
m
p
o
r
t
a
n
t
e
a
c
i
u
n
i
c
a
r
e
p
o
t
fi
a
s
tf
e
l
efe
ctu
ate
sun
t de
me
nio
nat1
1
f
olo
sire
a
sist
em
elor
din
ree
a
ntr
-un
ata
c
3e
nial
of
Ser
vic
e
$3o
S(
lan
sat
asu
pra
unu
i
sist
em
ter.
;n
bun
ana
lizo
r de
ree
a
treb
uie
s
ide
ntifi
ce
cu
uu
rin
astf
el
de
sist
em
e
prin
ni1
elul
de
traf
ic
pe
car
e
ace
ste
a l
"en
ere
az
.
2
o
l
o
s
ir
e
a
s
i
s
t
e
m
u
l
u
i
p
e
n
e
t
r
a
t
c
a
u
n
s
e
r
v
e
r
>
/
7
p
entr
u
dist
ribu
irea
de
fii
ere
ile"
ale
sau
pen
tru
car
e
utili
zat
orii
nu
au
dre
pt
de
acc
es.
9n
aliz
orul
treb
uie
con
fi"u
rat
pen
tru
a
exa
min
a
trafi
cul
>/
7
sau
vol
um
ul
de
trafi
c
ne4
usti
fica
t.
%
atur
a
foar
te
vari
at
a
viru
ilo
r i
a
tutu
ror
cel
or-
lalt
e
tipu
ri
de
sec
ven
e
de
cod
mal
iio
s
p
o
a
t
e
e
x
p
li
c
a
"
e
n
e
r
a
r
e
a
u
n
o
r
n
i
v
e
l
e
n
e
o
b
i
n
u
it
e
d
e
trafi
c n
ree
a.
>re
cve
na
ridi
cat
a
pac
!et
elor
de
bro
adc
ast,
dar
i
ser
ver
ele
spe
cific
e
car
e
"en
ere
az
un
nu
mr
de
pac
!et
e
neo
bi
nuit
de
mar
e,
sun
t
con
se
mn
ate
n
nre
"ist
rril
e
pe
ter
me
n
lun
"
ale
ana
lizo
rulu
i de
ree
a,
per
mi
nd
ad
min
istr
ator
ului
s
urm
re
asc
patt
ern
-uri
d
e
t
r
a
fi
c
s
u
s
p
e
c
t
e
.
n
a
li
z
o
r
u
l
p
e
r
m
it
e
i
i
d
e
n
ti
fi
c
a
rea
trafi
cul
ui
ina
dec
-vat
car
e ar
ls
a
ree
aua
des
cop
erit
fa
de
ata
curi
ext
ern
e
sau
car
e ar
put
ea
am
plifi
ca
pot
eni
alel
e
sl
bici
uni.
4.
Co
ncl
u/i
i
-
n
ulti
mii
ani,
sec
urit
ate
a
ree
lelo
r
cor
por
aio
nal
e a
spo
rit
n
mo
d
se
mni
fica
tiv
dat
orit
nu
mr
ului
tot
mai
ridi
cat
de
am
e
n
i
n
ri
i
n
f
o
r
m
a
ti
c
e
p
r
o
v
e
n
i
n
d
d
i
n
#
n
t
e
r
n
e
t
d
a
r
i
nec
esit
ii
con
for
mr
ii
cu
noi
re"l
e-
me
ntr
i n
do
me
niul
sec
urit
ii
dat
elor
i
al
prot
eci
ei
con
fide
nia
lit
ii
info
rma
iilo
r n
do
me
nii
sen
sibil
e
$de
exe
mpl
u,
n
apli
cai
i de
e-
co
mm
erc
e,
e-
!ea
lt!,
e-
"ov
ern
me
nt,
e-
lear
nin
" i
e-
Bor
5(.
-n
con
sec
in
,
infr
act
orii
cib
ern
etic
i i
ndr
eap
t
t
o
t
m
a
i
i
n
sist
ent
ate
nia
spr
e
int
ele
mai
vul
ner
abil
e
$sis
tem
ele
or"
a-
5
)
T
E
L
E
C
!
"
#
I
C
$
%
I
I &
$nul
LI'
nr.
1()*
*+
3etecia breelor de securitate n sisteme informatice pentru aplicaii complexe
nizaiilor i firmelor mici i
mi4locii(. 9cest lucru nu
nseamn, ns, i faptul
c nu mai exist nici un fel
de ameninare la adresa
reelelor corporaionale
mari. /rebuie subliniat c
reelele mari susin adesea
aplicaii cu cerine de
securitate ridicate,
implicnd "enerarea,
transmiterea i stocarea de
date foarte sensibile din
punct de vedere al
confidenialitii, inte-"ritii
i disponibilitii, aa cum
este cazul aplicaiilor de e-
commerce, e-!ealt!, e-
"overnment, e-learnin" i
e-Bor5.
-n al doilea rnd,
sistemele neprote4ate sunt
mai uor de identificat. -n
prezent, numeroi !ac5eri
dein instrumente softBare
perfecionate care caut
conti-nuu pe #nternet reele
i calculatoare neprote4ate.
Odat descoperite,
calculatoarele neprote4ate
pot fi accesate i controlate
de la distan de ctre
!ac5eri, care le pot utiliza
pentru a lansa noi atacuri
asupra altor calculatoare
sau reele.
-n al treilea rnd,
ameninrile de securitate
sunt tot mai sofisticate i
capabile s produc daune
sporite, avnd impact ma4or
asupra sistemelor
afectate i asupra
aplicaiilor susinute
de ctre acestea.
9utorii de spyBare
creeaz pro"rame
periculoase care
sunt dificil de
eliminat, sufer
<mutaii= continue i
se rspndesc
foarte repede prin
#nternet. -n acelai
timp, apar tot mai
multe ameninri
combinate, m-
brcnd forme
multiple i care sunt
capabile s atace
sistemele
informatice pe mai
multe planuri
diferite.
>recvent,
ameninrile de
securitate sunt
"enerate <din
interior=. -n foarte
multe cazuri,
breele n sis-
temele de securitate
provin din interiorul
companiilor i, n
multe cazuri, sunt
neintenionate.
Sistemele
informatice ale
ntreprinderilor mici
i mi4locii sunt mai
vulnerabile la
pre4udiciile aduse
involuntar de ctre
an"a4ai din cauza
absenei msurilor
de se-curitate
interne tipice din
cazul companiilor
mai mari.
#mpactul
atacurilor la adresa
securitii este mare
n principal din
cauza naturii
aplicaiilor care
trebuie s ruleze pe
aceste sisteme.
9ceste aplicaii
implic
transmiterea i stocarea de
date sensibile, a cror
dezvluire poate avea
implicaii foarte serioase.
Dxist numeroase soluii
de prote4are a unei com-
panii mpotriva ameninrilor
de securitate din #nternet.
7rimul pas const n
includerea problemei
securiz-rii accesului la
#nternet ca element
fundamental n planul de
prioriti al companiei. %u
este suficient, ns, ca acest
plan s prevad c
securitatea infor-matic este
o prioritate principal.
/rebuie s existe un plan
scris i detaliat dedicat
securitii, care s includ
politici i proceduri specifice,
precum i un plan coninnd
cerinele te!nolo"ice.
/rebuie evaluate
procedurile i soluiile de
securi-tate implementate,
stabilindu-se dac acestea
satisfac cerinele impuse de
asi"urarea unui nivel de se-
curitate adecvat. ;n aspect
esenial l reprezint
actualizarea re"ulat a
soluiilor de
securitate adoptate
i implementate.
9cest lucru se
impune deoarece
zilnic pe #nternet
apar noi ameninri
de securitate. 3ac
sistemele de
securitate nu sunt
actualizate rapid i
re"ulat, ele devin
ineficiente mpotriva
viruilor, viermilor i
altor tipuri de
secvene de cod
$softBare( maliios
nou aprute.
=iblio6rafie
1. =ellam> =?.
,ulnerabilit#
-dentification and
.emedia-tion
$hrouh Best
"ecurit#
/ractices, S9%S
#nstitute, )**),
!ttp166BBB.sans.o
r"6readin"Eroom6
B!itepapers6
bestprac6
,+F.p!p
2. @re66 !.' Aim
D. -nside
0et'or% "ecurit#
&ssess-ment.
1uardin 2our -$
-nfrastructure,
/ec!0epublic,
!ttp166searc!.tec!
republic.com.com
6searc!6%etBor5G
S
ecurityG9ssessm
ent.!tml
3. @rime ,.-
-mplementin
,ulnerabilit#
"cannin in a
3are
Oranisation,
S9%S #nstitute,
Aune )**H,
!ttp166BBB.sans.o
r"6readin"Eroom6
B!itepapers6case
s tudies6??*H.p!p
4. Lundin E.,
?onsson E.
"urve# of
-ntrusion
4etection
.esearch,
/ec!nical 0eport
nr. *)-*I, )**)
TELEC!"
#IC$%II & $nul LI' nr. 1()**+ 5B
Sorin Soviany
5. .
a
t
r
i
c
i
u
C
i
c
t
or2
Caleriu'
.ietro
anu2
Ene
!onica
'
!ttp166as
sets.aar
p.or"6r"
center6c
onsume
6dd?I)E
security
Eb
=ic
a
Ion'
Cri
ste
a
Cos
tel
"ec
urit
ate
a
info
rma
tic
n
50-
6 i
-0$
7.
07
$
Ddit
ura
/e!
nic
,
?JJ
F
6. .
a
t
r
i
c
iu
Ci
ct
o
r2
C
al
er
iu
'
.i
et
r
o
a
n
u2
E
n
e
!
o
ni
c
a'
=
ic
a
Io
n'
.
ri
e
s
c
u
?
u
s
ti
n
-
"
e
m
n
t
u
ri
e
l
e
c
t
r
o
n
i
c
e
i
s
e
c
u
ri
t
a
t
e
i
n
f
o
r
m
a
ti
c
.
&
s
p
e
c
t
e
c
ri
p
t
o
r
a
fi
c
e
,
t
e
h
n
i
c
e
,
+
u
r
i
d
i
c
e
i
d
e
s
t
a
n
d
a
r
d
i
z
a
r
e
,
D
d
i
t
u
r
a
B
#
&
9
K
K
,
)
*
*
,
7. .
et
er
s
e
n
,.
"
e
c
ur
it
#
B
re
a
c
h
e
s8
0
ot
ifi
c
at
io
n,
$r
e
at
m
e
nt
a
n
d
/
re
v
e
nt
io
n
,
D
3
;
&
9
;
S
D
r
e
v
i
e
B
,
A
u
l
y
6
9
u
"
u
s
t
)
*
*
+
,
!
tt
p
16
6
B
B
B
.
e
d
u
c
a
u
s
e
.
e
d
u
6i
r6
li
b
r
a
r
y
6
p
d
f6
e
r
m
*
+
I
?
H
.
p
d
f
r
e
a
c
!
.
p
d
f
10. D
d
r
n
E
a
=
.
$
'
o
9
a
c
t
o
r
&
u
t
h
e
n
t
i
c
a
t
i
o
n
7
v
a
l
u
at
io
n
/
ro
+e
ct,
C
!it
e
7
a
p
er
,
/
!
e
;
ni
ve
rsi
ty
of
9
uc
5l
a
n
d,
%
e
B
L
e
al
a
n
d,
%
ov
e
m
b
er
)
*
*
+
,
!
tt
p
16
6
B
B
B
.
a
u
c
5
l
a
n
d
.
a
c
.
n
z
6
s
e
c
u
ri
t
y
6
i
m
a
"
e
s
6
)
>
9
0
e
p
o
rt
v
?
.
p
d
f
11. M
M
M
.
e
c
o
m
m
e
n
d
e
d
/
r
a
c
ti
c
e
s
o
n
0
o
ti
c
e
o
f
"
e
c
u
ri
t
#
B
r
e
a
c
h
-
n
v
o
l
v
i
n
/
e
r
s
o
n
a
l
-
n
f
o
r
m
at
io
n,
Of
fic
e
of
7r
iv
ac
y
7r
ot
ec
tio
n,
>
e
br
u
ar
y
)
*
*
N,
!t
t
p
16
6
B
B
B
.
p
ri
v
a
c
y
p
r
o
t
e
c
ti
o
n
.
c
a
.
"
o
v
6r
e
c
o
m
m
e
n
d
a
ti
o
n
s
6
s
e
c
b
r
e
a
c
!
.
p
d
f
8. C
a
s
i
l
e
s
c
u
$
n
d
r
e
i
'
,
a
c
<
i
e
r
u
D
a
n
'
C
a
s
i
l
e
I
r
i
n
a
'
:
i
l
i
p
?
)
.
M
M
M
0
e
x
t
1
e
n
e
r
a
t
i
o
n
4
a
t
a
&
u
d
i
t
i
n
f
o
r
4
a
t
a
B
r
e
a
c
h
Lum
inia
'
C
a
s
iles
cu
Ele
d
e
a
plic
are
a
re-
com
and
rilo
r
euro
pen
e
refer
itoar
e la
conf
iden
ialit
atea
com
unic
aiilo
r
#%S
&&,
dece
mbri
e
)**
+
9. F
a
l
t
e
r
s
#
.
'
-
n
t
o
t
h
e
Br
ea
ch8
"e
cur
it#
Br
ea
ch
es
an
d
-de
ntit
#
$h
eft,
99
07
7u
blic
7ol
icy
#ns
titu
te,
Aul
y
)*
*,,
4et
ecti
on
and
.is
%
!iti
ati
on
/#L
O0
8a
ntra
,
)**
N,
!ttp
166!
ost
edd
ocs.
itto
olb
ox.c
om6
/izo
r*)
?+*
Nb.
pdf
13. M
l#z
er
as
a
"e
cur
it#
$o
ol,
%e
tB
or5
#ns
tru
me
nts
,
)*
*I,
!tt
p166
BB
B.n
eti
nst
.co
m6
as
set
s6p
df6
Se
cur
ity
C!
ite
7a
per
.pd
f
5
4
T
E
L
E
C
!
"
#
I
C
$
%
I
I
&
$
n
ul
LI
'
n
r.
1(
)
*
*
+
S-ar putea să vă placă și
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeDe la EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeEvaluare: 4.5 din 5 stele4.5/5 (20020)
- Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyDe la EverandArt of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyEvaluare: 4 din 5 stele4/5 (3321)
- The 7 Habits of Highly Effective People: The Infographics EditionDe la EverandThe 7 Habits of Highly Effective People: The Infographics EditionEvaluare: 4 din 5 stele4/5 (2475)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeDe la EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeEvaluare: 4 din 5 stele4/5 (5794)
- Habit 1 Be Proactive: The Habit of ChoiceDe la EverandHabit 1 Be Proactive: The Habit of ChoiceEvaluare: 4 din 5 stele4/5 (2556)
- Habit 3 Put First Things First: The Habit of Integrity and ExecutionDe la EverandHabit 3 Put First Things First: The Habit of Integrity and ExecutionEvaluare: 4 din 5 stele4/5 (2507)
- Never Split the Difference: Negotiating As If Your Life Depended On ItDe la EverandNever Split the Difference: Negotiating As If Your Life Depended On ItEvaluare: 4.5 din 5 stele4.5/5 (3275)
- American Gods: The Tenth Anniversary EditionDe la EverandAmerican Gods: The Tenth Anniversary EditionEvaluare: 4 din 5 stele4/5 (12946)
- The 7 Habits of Highly Effective PeopleDe la EverandThe 7 Habits of Highly Effective PeopleEvaluare: 4 din 5 stele4/5 (353)
- Habit 6 Synergize: The Habit of Creative CooperationDe la EverandHabit 6 Synergize: The Habit of Creative CooperationEvaluare: 4 din 5 stele4/5 (2499)
- Pride and Prejudice: Bestsellers and famous BooksDe la EverandPride and Prejudice: Bestsellers and famous BooksEvaluare: 4.5 din 5 stele4.5/5 (19653)
- How To Win Friends And Influence PeopleDe la EverandHow To Win Friends And Influence PeopleEvaluare: 4.5 din 5 stele4.5/5 (6520)
- The 7 Habits of Highly Effective PeopleDe la EverandThe 7 Habits of Highly Effective PeopleEvaluare: 4 din 5 stele4/5 (2566)
- The Iliad: A New Translation by Caroline AlexanderDe la EverandThe Iliad: A New Translation by Caroline AlexanderEvaluare: 4 din 5 stele4/5 (5718)
- Wuthering Heights (Seasons Edition -- Winter)De la EverandWuthering Heights (Seasons Edition -- Winter)Evaluare: 4 din 5 stele4/5 (9486)
- Remarkably Bright Creatures: A NovelDe la EverandRemarkably Bright Creatures: A NovelEvaluare: 4.5 din 5 stele4.5/5 (5501)
- The Perfect Marriage: A Completely Gripping Psychological SuspenseDe la EverandThe Perfect Marriage: A Completely Gripping Psychological SuspenseEvaluare: 4 din 5 stele4/5 (1107)
![American Gods [TV Tie-In]: A Novel](https://imgv2-2-f.scribdassets.com/img/audiobook_square_badge/626321117/198x198/22ab6b48b6/1712683119?v=1){kind=icon}
