Securitatea sistemelor informaţionale şi

riscurile asociate componentei umane

Valentin Măzăreanu

Let’s listen for a while Otto von Bismark’s words: “…I’d prefer to learn from other’s mistakes and so to avoid
the price I will have to pay for my mistakes.” In this spirit, this paper is trying to get on to some aspects about
people vs. system, about information security, so vital for a business and the way people can affect it. Learning
about this will make the process of risk identification more productive and so leading to a successful
management.

Key words: information security, risk management, human resource, social engineering, new economy

Introducere

Risk is everywhere....În managementul proiectelor se merge şi mai departe,

afirmându-se că e un risc să nu existe riscuri. Evident, ele există! Doar că nu au fost
identificate. Soluţia o reprezintă managementul riscului, proces ce implică identificarea
riscurilor care ar putea afecta succesul unui proiect şi administrarea proactivă a acestora,
în vederea eliminării sau reducerii impactului acestora. E aproape la fel cum Sun Tzu
spunea în Arta Războiului: „E mai bine să capturezi armata inamică, decât să o
nimiceşti; e mai bine să prinzi intacte un batalion, o companie sau o grupă de cinci
oameni decât să le nimiceşti.”
E vorba însă de un proces ce solicită din ce în ce mai mult, având în vedere că
păşim într-o societate în care să vorbeşti doar de ... capital ... muncă ... natură ... nu mai
este suficient. Informaţia şi tehnologia informaţională sunt componente care nu mai pot
fi ignorate de mult.
Trăim astfel un nou „Big Bang”, cel al economiei digitale. Facem e-Business,
cumpărăm de la e-Mall, ne achităm obligaţiile către stat prin e-Tax, trăim în e-
Democraţie, iar statul ne e-Guvernează. Implementăm soluţii: Enterprise Resource
Planning (ERP), Customer Relantionship Management (CRM), Supply Chain
Management (SpCM)....
Dar, la soluţii noi, riscuri pe măsură! Asistăm astfel la viruşi informatici din ce în
ce mai „performanţi”, care încep să atace sistemele de operare ale telefoanelor mobile,
PDA-urilor sau ale calculatoarelor de bord ale autovehiculelor; cardurile inteligente
solicită măsuri de securizare bazate pe algoritmi de criptare avansaţi; ca măsură de
securizare se dezvoltă sisteme de biometrie, ba mai mult, behaviometrie.
Rândurile următoare prezintă câteva aspecte ale riscului pe care componenta
umană, poate cea mai incontrolabilă componentă a lumii înconjurătoare, sursă primară
de incertitudine după John von Neuman şi Oskar Morgenstern, îl prezintă vis-a-vis de
administrarea unui sistem informaţional, prin prisma a două planuri, şi anume: riscul
generat de atacurile la sistemul informaţional şi riscul generat de statutul de „poziţie
cheie” a unei resurse umane în cadrul sistemului.


Doctorand cu frecvenţă, Universitatea „Al.I.Cuza”, Iaşi, Facultatea de Economie şi Administrarea Afacerilor,
catedra de Informatică Economică
 1. Riscul generat de proprii angajaţi

Referindu-se la atacurile umane asupra sistemelor informaţionale, Eugene Spafford,

expert în securitatea Internetului şi profesor la Universitatea Purdue, afirmă [theta]:
„...percepţia publicului asupra persoanelor ce accesează fraudulos un sistem
informaţional este, din păcate, una prin care acestea sunt considerate fie genii, fie copii
îndrumaţi greşit şi care se dau în spectacol. Dar acest fapt este departe de adevăr.
Aceste persoane sunt pur şi simplu nişte infractori.”
Atunci când se vorbeşte despre criminalitate informatică, se aminteşte şi de faptul
că această „autostradă” a informaţiei are şi partea sa de „nelegiuiţi” [theta]. Şi chiar dacă
prin criminalitate informaţională se înţelege cel mai des acţiunile fără efecte negative
grave ale unor tineri şcolari hackeri, în realitate spaţiul virtual este plin de activităţi
ilegale, de la infracţiuni informatice la prostituţie, de la pornografie cu copii la spionaj
industrial.
Dar nu totdeauna atacul la un sistem informaţional se produce prin intermediul
spaţiului virtual. Exemplificăm în acest sens cazul renumitului hacker Kevin Mitnick
(cunoscut sub pseudonimul de „Condorul”), autor al unor atacuri asupra companiilor Sun
Microsystems, Motorola, Nokia, Nec, Fujitsu şi Novell (se presupune că este răspunzător
şi de atacuri asupra Pentagon-ului), sursă de inspiraţie chiar şi pentru unii regizori de
film (ex. „Takedown”, „Three Days of the Condor”). Aproape toate actele criminale
pentru care a fost acuzat au fost realizate profitând de naivitatea şi proasta pregătire a
personalului companiilor mai sus menţionate, faţă de care posta drept o cu totul altă
persoană, de regulă un tehnician de la întreţinerea echipamentelor tehnice sau chiar om
al legii, obţinând astfel diverse coduri de acces în reţea sau numere de telefon
confidenţiale. Dar Kevin Mitnick [kevinmitnick] (azi consultant în probleme de
securitate informaţională) nu este singurul care a reuşit să pătrundă în reţelele unor mari
companii prin astfel de metode. La fel ca el sunt şi alţii, printre care Kevin Poulsen (zis
şi „Dark Dante”), de asemenea inspiraţie pentru unii regizori de film („War Games”,
1983), care datorită cunoştinţelor sale a fost angajat în industria de apărare în calitate de
consultant pe probleme de securitate (asta după ce a reuşit să spargă sistemele de
securitate ale unor instituţii militare şi de guvernare); dar dacă pe timp de zi era
consultantul loial locului de muncă, pe timp de noapte acţiona împotriva sistemului,
furând diverse informaţii militare clasificate sau dezvăluind diverse informaţii clasificate
ale FBI.
Un alt mod prin care personalul nepregătit poate să pună în pericol, în mod
involuntar, propriul sistem informaţional şi implicit mersul afacerii companiei pentru
care lucrează, este prezentat (cu titlu de exemplu), în unul din articolele sale, din seria
„Thought for the day”, de către Paul Williams [computerweekly]:
- O cafenea care punea la dispoziţia clienţilor săi (în principal fiind vorba de
personalul marilor companii din vecinătate) posibilitatea de a nu-şi întrerupe activitatea
pe timpul pauzelor de cafea, prin faptul că se instalase o reţea wireless de conectare la
Internet. Astfel, se putea veni la cafenea cu laptop-ul de la serviciu şi în timpul savurării
cafelei se puteau continua discuţiile de afaceri, trimiterea de e-mailuri confidenţiale,
download de documente din reţeaua companiei sau alte operaţiuni care ar fi necesitat
un grad ridicat de securitate.
 Concluzia prezentată de autor: nici o politică de securitate nu va compensa
niciodată stupiditatea umană.
Inventivitatea omului este greu de anticipat, deci pe zi ce trece se va asista la
dezvoltarea de noi metode de atac asupra unui sistem informaţional.
Unindu-şi forţele, FBI şi National White Collar Crime Center au format Internet
Fraud Complaint Center (IFCC) [ifccfbi], având ca obiect de activitate tocmai
identificarea diverselor metode de atac asupra sistemelor informatice şi prevenirea
populaţiei cu privire la aceste metode. Acelaşi site are deschis şi un canal de raportare a
incidentelor întâlnite de diverse victime. Metodele de fraudă prezentate aici sunt din cele
mai diverse: fraude prin intermediul licitaţiilor electronice, e-shopping asociat cu
nelivrarea bunurilor cumpărate, fraude asupra cardurilor de credit, fraude investiţionale,
fraude guvernamentale, fraude de comunicaţie, scrisoarea nigeriană etc, dar şi
avertisment împotriva românilor ( Fraud Tips/ 11403RomanianWarning.pdf), modalitate
inclusă la fraudele de licitaţii electronice sau a sistemelor de work-from-home. Raportul
pe anul 2004 prezintă România pe locul 7 ca ţară sursă a atacurilor.

1.S.U.A. – 78.75% 6.Grecia – 1.04%

2.Canada – 3.03% 7.România – 0.92% (Obs. 2003-1.5%; în 2002-1.7%)
3.Nigeria – 2.87% 8.Franţa – 0.86%
4.Marea Britanie – 2.32% 9.Spania – 0.6%
5.Italia – 2.10% 10.China – 0.58%

Tot personalul propriu a fost considerat cea mai mare ameninţare asupra securităţii
reţelei într-un studiul realizat de către Computer Business Magazine, Cyberguard şi
Infosecurity [computerbusiness]. Astfel, la întrebarea „care sunt cele mai mari
ameninţări la care este supusă reţeaua dumneavoastră de calculatoare”, aproximativ
35% din cei intervievaţi au răspuns personalul intern (30% au identificat ca ameninţare
majoră viruşii informatici).
Subiectul este şi va rămâne deschis multă vreme, toate informaţiile prezentate mai
sus subliniind faptul că riscul la care este expus un sistem informaţional nu trebuie
neapărat să vină pe cale virtuală, ci şi pe căi clasice, profitându-se de poziţia de salariat
al unei companii, instituţii militare etc sau bazându-se pe naivitatea unor angajaţi,
nepregătiţi pentru această luptă.

2. Riscul statutului de „poziţie cheie” a unei resurse umane asupra sistemului

informaţional

În această secţiune se au în vedere riscurile care îi ameninţă pe angajaţii unei

companii, lucru care e oarecum neglijat de către unii manageri, sub acoperirea că
problemele angajaţilor nu ar trebui să facă subiectul preocupărilor companiei. Dar şi
această problemă nu este de neglijat, în realitate decesul sau reducerea capacităţii de
muncă a unui angajat cheie în companie sau în proiect putând duce la reducerea
productivităţii, diverse consecinţe legale, poate chiar eşecul implementării proiectului
sau imposibilitatea de a continua activitatea. Din acest punct de vedere, principalele
surse de pericol în ceea ce priveşte omul sunt: moartea, îmbolnăvirea, părăsirea locului
de muncă / echipei de proiect.
 Toate acestea, dar şi alte aspecte, precum şomajul involuntar sau îmbătrânirea şi
pensionarea sunt probleme cărora companiile respectabile le acordă o atenţie
corespunzătoare. Astfel, în ceea ce priveşte rata mortalităţii, se fac estimări cu privire la
frecvenţa probabilă a deceselor angajaţilor instituţiei. Diverse date statistice se utilizează
şi în cazul studierii ratei de îmbolnăvire [Anastasie, p.2]:
- date privitoare la numărul mediu de zile de incapacitate de muncă;
- date privitoare la frecvenţa accidentelor de muncă;
- date privitoare la frecvenţa apelării la serviciile medicale.
Aceste date statistice sunt publicate periodic de către autorităţile din domeniu, însă
nu trebuie neglijat că atât în cazul decesului, cât şi în cazul problemelor de sănătate, este
vorba de a face faţă unor riscuri complexe şi total imprevizibile. Din acest motiv e
imperios necesar a se păstra o concordanţă între complexitatea sistemului de administrat,
noutatea tehnologiei folosite, o documentaţie adecvată a acestor elemente, dependenţa de
specialişti şi riscul asociat documentaţiei sistemului. Astfel, dacă e vorba de un sistem
complex şi dificil de administrat dependenţa de specialişti este, de asemenea, mare. În
acest caz, dacă este vorba de un singur specialist ce administrează sistemul atunci este
evident că riscul este foarte mare. Cu cât numărul persoanelor ce au cunoştinţe de
administrarea respectivului sistem creşte, riscul asociat scade. La fel, dacă e vorba de un
sistem complex ce nu dispune de o documentaţie adecvată, riscul este ridicat. Prin
combinarea acestor tipuri de riscuri se va obţine o matrice a riscului asociat dependenţei
de specialişti [Munteanu, 2001, p.56]:

Dependenţa de Specialişti Nivelul Documentaţiei

Mare Medi Scăzu
u t
Mare Mare Mare Mediu
Mediu Mare Mediu Scăzut
Scăzut Mediu Scăzut Scăzut

Tabel 1. Matricea riscului asociat dependenţei de specialişti

O matrice identică se poate obţine şi prin analiza raportului dependenţă de specialişti-risc

asociat tehnologiei.
Toate aceste aspecte se iau în seamă şi în cazul părăsirii locului de muncă / echipei
de proiect de către un angajat. Iar această problemă se pare ca este destul de acută în
domeniul IT. Un studiu cercetând satisfacţia la locul de muncă, condus de Mercer
Human Resource Consulting, şi care se bazează pe răspunsurile a 1200 de angajaţi din
toate sectoarele industriale, a evidenţiat că media schimbărilor de locuri de muncă este
23%. Totuşi, în industria IT procentajul a atins 31%. Au fost găsite mai multe motive
care cauzează insatisfacţie legată de poziţia ocupată [smartnews]. Acestea includ
conducerea slabă în cadrul organizaţiei sau lipsa obiectivelor clare ale companiilor.
Mulţi manageri din IT provin din domeniul tehnic. Nu deţin cunoştinţe generale legate
de comunicare sau management. Acest lucru poate conduce la probleme între conducere
şi personal.
De altfel, se poate vorbi de o formă aparte de risc, şi anume riscul legat de
comportamentul managerilor în faţa modificărilor aduse de un nou sistem informaţional:
-managerii speră că noul sistem va rezolva problemele fundamentale ale proceselor
economice;
-nu se acordă suficient timp pentru analiza planificării procesului de implementare;
-uneori, conducerea ignoră „educarea personalului în spiritul noii resurse
informaţionale”;
-pentru a asigura succesul unei implementări, top managerii au fost „forţaţi” să preia
controlul direct al procesului de implementare;
-sistemul nou implementat va avea succes doar dacă salariaţii companiei îşi vor schimba
modul de lucru, în sensul utilizării cât mai eficiente a aplicaţiei;
-oamenilor nu le place schimbarea, iar un sistem informaţional modifică modul în care ei
îşi îndeplinesc sarcinile;
-odată cu implementarea unui nou sistem informaţional, cresc responsabilităţile
angajaţilor.
Cheia armonizării relaţiei dintre angajatori şi angajaţi este înţelegerea modului de
gândire a acestora din urmă. Nu trebuie aşteptată retragerea angajaţilor. Prin sondaje şi
studii se poate crea un management care înţelege angajaţii. Se pot, de asemenea, aplica
diverse strategii de menţinere a personalului „cheie” în interiorul companiei. Sunt
aspecte de management de resurse umane (aspecte importante ale managementului de
risc informaţional pe componentă umană, ca şi politicile de selecţionare şi pregătire a
personalului), precum şi de management al calităţii, aspecte dintre care menţionăm:
1. politici de salarizare (salariu, bonusuri, comisioane, alocaţii) funcţie de nivelul de
responsabilitate al locului de muncă, performanţa în muncă a persoanei, piaţa
externă a muncii;
2. politici de armonizare a condiţiilor de salarizare (salarii egale pentru slujbe
similare);
3. politici de instruire (training), învăţare (learning) şi cunoaştere (knowledge)
[Cojocaru, p.96];
- training: mijloc de dobândire a cunoştinţelor;
- learning: construirea la nivelul organizaţiei a capacităţii de a identifica şi
corecta acele procese care îi restrâng creşterea şi flexibilitatea;
- knowledge: face referire la fundamentul culturii unei organizaţii şi
reprezintă sinteza pe termen lung a tuturor abilităţilor intelectuale, a
cunoştinţelor angajaţilor, dar şi a inteligenţei căpătate pe parcursul derulării
proceselor interne şi a exerciţiului de piaţă.
4. politici de reorganizare a modului de desfăşurare a activităţilor (de la modelul clasic
la modelul de lucru pe proiecte);
5. politici de egalizare între personal şi conducere – statutul persoanei („...respectul
vine din ceea ce ai în cap şi nu din faptul că utilizezi un anumit grup social...”, Ian
Sloss - director de producţie şi de personal al firmei SP Tyres, proprietarul japonez
al Dunlop Rubber Company, şi un practician al modelului japonez de management
al calităţii, Kaisen);
6. stil deschis de management, comunicare liberă de sus în jos, dar şi de jos în sus,
introducerea brainstorming-ului şi a studiilor de grup pentru identificarea
problemelor şi nevoilor fiecărui membru al echipei;
 Se observă în această situaţie că, oricât de securizat ar fi sistemul informaţional,
riscul poate să fie identificat şi în zonele cheie de administrare sau chiar la nivelul
conducerii organizaţiei, atunci când, înlocuirea unui sistem informaţional vechi, cu care
toţi erau familiarizaţi, cu unul nou, pe care nimeni nu ştie să-l utilizeze eficient, nu
reprezintă întotdeauna cea mai viabilă soluţie.

Concluzii

Trăim într-adevăr o revoluţie, electronică de data aceasta. Ne îndreptăm către

vremuri în care site-ul web devine un atribut obligatoriu de identificare al oricărei
companii, în care afacerile încep să se deruleze prin intermediul agenţilor inteligenţi,
către tehnologii care vor solicita măsuri de securitate pe care la acest moment nici măcar
nu le anticipăm.
Totul se mişcă la viteze ameţitoare...În acest context, orice aspect luat în discuţie se
perimă într-un timp relativ scurt. Un singur element rămâne acelaşi şi, totuşi, total
imprevizibil într-o lume calculată. Omul...

Bibliografie

[Anastasie, p.2] Anastasie, Bogdan, Managementul Riscului, suport de curs, Facultatea

de Economie şi Administrarea Afacerilor, Iaşi, p.2
[Cojocaru, 2004, p.96] Cojocaru, Adrian, Oamenii şi gestiunea resurselor umane, suport
de curs, Universitatea Virtuală de Afaceri, SNSPA, Facultatea de Comunicare şi Relaţii
Publice „David Oglvy”, 2004, p.96
[computerbusiness] *** Viral Infection, Computer Business Magazine review, june
2004, p.55
[computerweekly] Paul Williams, Thought for the day-the IT dangers of coffe, la
http://www.computerweekly.com
[ifccfbi] *** IFCC-Internet Fraud Report, la http://www.ifccfbi.gov
[kevinmitnick] *** http://www.kevinmitnick.com
[Munteanu, 2001, p.56] Munteanu, Adrian, Auditul sistemelor informaţionale contabile,
Polirom, Iaşi, 2001, p.56
[smartnews] *** Angajaţii în IT predispuşi la schimbări, http://www.smartnews.ro,
3.02.2005, citând www.bignewsnetwork.com
[theta] *** A Crime By Any Other Name, la http://www.theta.com

Aparut in Măzăreanu, V., Securitatea sistemelor informaţionale şi riscurile asociate

componentei umane, în Analele Universităţii „Al.I.Cuza Iaşi”, Ştiinţe Economice,
2004/2005, Tomul L/LI, ISSN 1244-516X