Documente Academic
Documente Profesional
Documente Cultură
AUDIT ŞI CERTIFICARE
CURSUL 1
1. Introducere
Securitatea a fost şi este o preocupare constantă a omului de-a lungul timpului. Această
preocupare nu este caracteristică numai omului, celelalte vieţuitoare îşi iau şi ele măsuri care
să le pună la adăpost de pericole. Protecţia în faţa pericolelor, sentimentul de încredere şi
linişte asigurat de absenţa oricărui pericol sunt elementele care definesc securitatea. Fără
existenţa unui potenţial pericol sau un potenţial agresor, măsurile de securitate nu se justifică.
sistem informatic - orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în
relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu
ajutorul unui program informatic;
prelucrare automată a datelor - se înţelege procesul prin care datele dintr-un sistem
informatic sunt prelucrate prin intermediul unui program informatic;
date informatice - se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o
formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi
orice program informatic care poate determina realizarea unei funcţii de către un sistem
informatic;
prin date referitoare la traficul informaţional se înţelege orice date informatice referitoare la
o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte
din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi
durata comunicării, precum şi tipul serviciului utilizat pentru comunicare;
prin date referitoare la utilizatori se înţelege orice informaţie care poate conduce la
identificarea unui utilizator, incluzând tipul de comunicaţie şi serviciul folosit, adresa poştală,
1
adresa geografică, adresa de IP, numere de telefon sau alte numere de acces şi modalitatea de
plată a serviciului respectiv, precum şi orice alte date care pot conduce la identificarea
utilizatorului;
prin măsuri de securitate se înţelege folosirea unor proceduri, dispozitive sau programe
informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat
sau interzis pentru anumite categorii de utilizatori.
Aşadar, sistemul informatic primeşte, prelucrează şi comunică date, fiind o
componentă a unui ansamblu de dispozitive interconectate; datele existente la nivelul
sistemului informatic trebuie protejate folosind diverse proceduri – software şi/sau hardware –
împotriva atacurilor interne sau externe sistemului.
O privire “fugară” asupra istoriei omenirii arată că – în orice perioadă istorică – omul
a fost preocupat de propria securitate şi a grupului de indivizi din care făcea parte, precum şi
de securizarea informaţiilor transmise. Astfel, primele măsuri umane luate pentru a se asigura
securitatea individului sau a grupului de indivizi vizau folosirea unor perimetre de securitate
naturale. Primii oameni se foloseau de peşteri atât pentru a se adăposti de vitregiile naturii, cât
şi pentru a se apăra de prădători. O dată cu evoluţia, s-a trecut la construirea de perimetre de
protecţie. Aceasta a marcat şi începuturile primelor construcţii umane. De remarcat aici este o
metodă ingenioasă folosită în acest scop – construirea locuinţelor lacustre. Ulterior, în evul
mediu, principiul a fost modificat şi folosit pentru apărarea cetăţilor, de această dată nu
împotriva animalelor, ci împotriva semenilor. Perimetrele de protecţie au suferit modificări
considerabile de-a lungul timpului. Zidurile de protecţie nu se mai fac din pământ, ci din
piatră. Suprafaţa protejată – cetatea – creşte, iar numărul persoanelor care beneficiază de
aceasta creşte de asemenea. În construcţia acestora nu se omite avantajul terenului. Pentru a
spori eficacitatea, cetăţile erau construite în locuri cu teren greu accesibil sau erau înconjurate
de şanţuri adânci de apă. Eficacitatea cetăţilor a fost dovedită până la apariţia armelor de foc
de calibru mare care făceau ca zidurile groase de piatră să fie neputincioase în faţa ghiulelelor
grele sau a muniţiei explozive. În paralel cu realizarea perimetrelor de protecţie se trece şi la
pedepsirea agresorului. Or, pedepsirea acestuia presupunea părăsirea zonei protejate şi
pătrunderea într-o zonă cu vulnerabilitate crescută. Aceasta a impus ca omul să se protejeze la
început cu armuri individuale, care au fost eficiente până la apariţia armelor de foc, sau să
folosească mijloace de protecţie mobile de grup, în timpurile moderne. Blindajele vehiculelor
moderne de luptă de pe pământ, apă şi aer dispun de aportul tehnologiilor care folosesc
materiale compozite şi materiale cu memorie pentru a scădea vulnerabilitatea acestora.
Pe lângă măsurile de securitate fizică privind asigurarea perimetrelor şi riposta
împotriva agresorului, omul a mai trebuit să-şi securizeze şi informaţiile transmise.
Comunicarea între cetăţi prietene asediate sau între unităţi combatante separate aparţinând
aceleiaşi armate sau armatelor aliate presupunea transmiterea mesajului prin teritoriul
controlat de inamic, pericolul ca acesta să fie interceptat şi citit fiind mare. Din această cauză,
mesajele vor fi ascunse sau criptate. Ca măsură dublă se poate folosi şi o combinare a celor
două. Dacă ascunderea mesajului presupunea folosirea de metode ingenioase, criptarea a
presupus pe lângă ingeniozitate şi folosirea matematicii şi a tehnologiilor moderne. O
securitate maximă presupune ascunderea nu numai a conţinutului unui mesaj, ci şi faptul că
acel mesaj există. Un mesaj foarte bine ascuns nu mai trebuie criptat. Reciproca nu este
adevărată. Apariţia undelor radio a făcut ca eforturile pentru asigurarea securităţii informaţiei
să se concentreze mai mult spre criptare şi mai puţin pe ascundere, deoarece mesajele radio
puteau fi interceptate uşor. Important era ca cel care le intercepta să nu le înţeleagă. Apariţia
tehnicii de calcul electronice a făcut ca eforturile îndreptate spre asigurarea securităţii
calculatoarelor şi implicit a securităţii datelor din acestea să fie foarte mari. Cantitatea de
2
informaţii vehiculată între calculatoarele interconectate şi numărul acestora a crescut
considerabil. Acestea trebuiau securizate.
Asigurarea securităţii în sistemele de calcul presupune concentrarea în principal pe
asigurarea fizică împotriva dezastrelor naturale şi pe lupta împotriva atacurilor care vin din
partea oamenilor. Atacurile asupra sistemelor de calcul sunt de fapt o extrapolare a atacurilor
în general. Şi de o parte şi de alta a baricadei – atacat şi atacator – se află oameni.
În anul 1280 î.Hr., după un război de zece ani, cetatea antică Troia rezistă încă atacului
grecilor. Grecii construiesc un imens cal de lemn pe care-l umplu cu soldaţi şi pe care-l lasă la
porţile cetăţii ca dar pentru troieni, simulând retragerea din faţa cetăţii. Calul este introdus in
cetate iar noaptea soldaţii greci ies din cal şi cuceresc cetatea. Aceeaşi tehnică – Cal Troian –
este folosită pentru atacarea sistemelor de calcul şi preluarea controlului asupra ţintei. Istoria
consemnează cazuri când cetăţile din evul mediu erau cucerite aruncând peste zidurile
acestora, cu ajutorul catapultelor, alimente otrăvite sau infestate sau chiar oameni bolnavi de
ciumă. Atacul viruşilor din sistemele de calcul este poate mai puţin mortal, dar pagubele
produse pot fi semnificative. Constantinopolul, şi o dată cu el Imperiul Roman de Răsărit, este
cucerit în anul 1453 în parte şi din cauza unei mici porţi ascunse – Kerkaporta – uitată
deschisă. Exploatând această breşă în apărarea cetăţii, turcii cuceresc oraşul. Exploatarea
breşelor în securitate, a golurilor de securitate din programe informatice de astăzi este la fel de
exploatată de către atacatori. Slăbiciunile în asigurarea securităţii sistemelor de calcul poartă
denumirea generică de goluri de securitate. Cetatea dacică Sarmizegetusa este cucerită în al
doilea război daco-roman din anii 105 şi 106 d.Hr. pentru că un dac trădător, pe nume Bastus,
divulgă romanilor arhitectura sistemului de aducţiune a apei în cetate. Cele mai mari dezastre
le pot crea propriii angajaţi ai firmelor, deoarece aceştia cunosc foarte multe lucruri legate de
arhitectură şi măsurile de securitate implementate din interiorul firmelor. Debarcarea de la 6
iunie 1944 din Normandia a fost făcută ţinându-se cont de trei factori care au asigurat
succesul operaţiunii: locul debarcării, condiţiile atmosferice şi momentul zilei. Debarcarea a
fost făcută nu la Pas-de-Calais, unde se aşteptau germanii, condiţiile atmosferice erau
improprii (s-a folosit o fereastră în frontul atmosferic), iar Hitler în acea noapte dormea şi a
dat ordin să nu fie trezit. Extrapolând, o să vedem că atacurile din Internet sunt efectuate de
regulă când şansele de reuşită sunt mai mari (utilizatorul al cărui calculator este vizat este
posibil să nu se afle la calculatorul lăsat pornit – noaptea, pauze de masă etc.), posibilitatea de
ripostă este mai mică şi rapiditatea reprezintă factorul-cheie al succesului unui atac.
Acestea sunt doar câteva exemple care evidenţiază o similitudine între modul de
desfăşurare a agresiunilor clasice şi cel al agresiunilor informatice.
Securitatea în sistemele de calcul avea să fie serios reconsiderată după 2 noiembrie 1988
o dată cu primele distrugeri cauzate de un program maliţios – Giant Worm. Securitatea în
general şi implicit securitatea sistemelor de calcul aveau să fie reconsiderate din nou după 11
septembrie 2001, dată când organizaţiile teroriste şochează lumea cu atentatele de la World
Trade Center.
Construit din interconectarea mai multor reţele, Internetul s-a construit şi dezvoltat rapid
într-un mediu care conferea iniţial siguranţă. Ulterior s-a dovedit că Internetul este nesigur şi
este folosit ca suport pentru iniţierea de atacuri la distanţă. Dezvoltarea rapidă a acestuia a
făcut ca anumite standarde necesare bunei funcţionări a Internetului să fie rapid proiectate,
testate şi implementate. Ingeniozitatea atacatorilor avea să fie pusă la încercare o dată cu
implementarea primelor măsuri de securitate la nivel local şi la nivel reţea. Succesele
contorizate de cele două tabere aflate de o parte şi de alta a imaginarei şi fragilei linii de
demarcaţie între bine şi rău au fost folosite pentru atingerea scopului propus. De partea
binelui, succesele au dus la crearea unor politici de securitate mai eficiente, la implementarea
de noi tehnologii de securitate şi metode de apărare, contraatac şi pedepsire a atacatorilor. De
partea cealaltă, s-au căutat noi metode de penetrare în sistemele informatice.
Atacatorii au şi ei propria filozofie şi conduită. Unii atacă sistemele de calcul din
amuzament. Alţii atacă numai ca să facă rău. Categoria cea mai periculoasă este aceea care
3
lansează atacuri pentru a obţine profit. Furtul de informaţie, în special proprietate intelectuală,
ridică pierderile anuale ale firmelor la cifre de zeci de milioane de dolari. Fraudele financiare,
deşi au avut cote alarmante în ultimii ani, cunosc o scădere vertiginoasă datorită implemen-
tării noilor tehnologii de securitate. Marile firme, în special cele de vânzări, se confruntă cu
atacuri care le blochează site-urile comerciale, lucru care produce mari pagube financiare
datorită stopării vânzărilor. Atunci când atacatorii sunt formaţi din organizaţii teroriste sau, şi
mai grav, din state care au o astfel de conduită, comunitatea internaţională trebuie să se
mobilizeze pentru a contracara ameninţarea.
Ce poate să facă o firmă pentru a fi la adăpost de atacuri informatice? O glumă des
vehiculată printre personalul IT&C sau cel care se ocupă cu asigurarea securităţii spune că
„cel mai sigur calculator este cel care este scos din priză“. Deci o firmă are de ales între a
închide porţile şi a fi în siguranţă, iar afacerile să aibă serios de suferit, sau să deschidă larg
porţile şi să fie vulnerabilă, iar afacerile să prospere. Cu alte cuvinte, „cine nu riscă nu
câştigă“. Rolul cel mai important în asigurarea securităţii datelor într-o firmă îl are persoana
însărcinată cu managementul firmei. Numai aceasta ştie care este politica firmei în raport cu
piaţa şi care sunt informaţiile care nu trebuie făcute public. Dacă nu este conştientă de
aplicarea unor măsuri de securitate în general şi de securitate a datelor în special, atunci
afacerile pot să aibă de suferit. Mulţi conducători de firme invocă preţul crescut al asigurării
securităţii. Sunt însă măsuri care necesită cheltuieli minime. Una dintre ele este conştienti-
zarea angajatului cu privire la politica de securitate a firmei. Oamenii sunt mult mai impor-
tanţi decât tehnologiile în crearea unei securităţi adecvate şi efective în cadrul firmei. De
asemenea, o politică de securitate minimă, dar efectivă este de preferat în locul uneia compli-
cate şi greu de înţeles sau implementat. O securitate efectivă presupune protecţia bunurilor
firmei (implicit a datelor), detectarea intruziunilor şi răspunsul la acestea. Personalul însăr-
cinat cu asigurarea securităţii trebuie să fie tot timpul în alertă. Niciodată securitatea nu va fi
efectivă. Va exista întotdeauna o portiţă care să fie folosită pentru lansarea unui atac.
Important este ca acel atac să fie descoperit cât mai repede şi să fie contracarat. Ideal ar fi ca
aceste măsuri să ducă la descoperirea şi pedepsirea vinovatului. Unele firme preferă însă, de
teama pierderii încrederii clienţilor, să nu raporteze atacurile şi pierderile suferite. Sunt cazuri
în care, descoperit făptaşul, firma a căzut la înţelegere cu făptaşul că nu va divulga penetrarea
şi va păstra în schimb o parte din suma sustrasă.
O securitate efectivă la nivelul firmei va putea fi asigurată printr-un program care să
pună împreună politicile, procesele şi tehnologiile necesare asigurării securităţii. Standardele
arhitecturale pentru implementarea securităţii trebuie riguros respectate. Desemnarea unui
personal responsabil cu asigurarea securităţii la nivel de firmă este imperios necesară. Atunci
când acest lucru nu este posibil, în cadrul firmelor mici, se impune apelarea la serviciile unei
firme specializate. Securitatea este vitală în condiţiile actuale. Nu trebuie stopate nicicum
eforturile pentru asigurarea securităţii.
Securitatea nu este o destinaţie, securitatea este un proces continuu.
4
informaţiei odată cu folosirea acestei interconexiuni la nivel global, care mai apoi au evoluat
şi s-au transformat în adevărate mituri ce au luat forma dezvoltării industriei de securitate a
informaţiei. În acest moment înţelegerea acestor mituri este critică, pentru orice organizaţie
care vrea să dezvolte o strategie de securitate coerentă şi eficientă din punct de vedere al
rezultatelor şi mai ales al costurilor.
Mitul 3: Cu cat stim mai multe despre activititatea din propria retea, cu atat suntem mai
protejati.
Directorii IT şi personalul responsabil cu securitatea informaţiei au nevoie de informaţii
relevante care să le permită identificarea ameninţărilor ce reprezintă riscuri pentru organizaţie.
Securitatea informaţiei trebuie să se bazeze pe o evaluare clară a riscurilor pe care le prezintă
business-ul. Aceste riscuri şi potenţialul impact pe care îl au asupra aplicaţiilor şi proceselor
critice de business le permit organizaţiilor să îşi identifice priorităţile de securitate. Prin
focalizarea asupra priorităţilor de securitate, mai degrabă decât asupra examinării tuturor
incidentelor de securitate a informaţiei, se va optimiza eficacitatea propriilor resurse de
securitate.
5
Spionajul industrial este o afacere de proporţii, şi asta nu de puţin timp. Toate
organizaţiile, dar mai ales acelea care se bazează pe inovaţii, proiectează şi crează produse noi
sunt expuse la riscuri serioase. Pot fi date numeroase exemple în care s-a dovedit posesia unor
informaţii strict confidenţiale sustrase de la concurenţă de către diferite organizaţii. În prezent
spionajul industrial nu se limitează doar la marile corporaţii multinaţionale. În anul 2004,
Institute of Directors raporta faptul că 60 % dintre membrii săi (inclusiv organizaţii mici,
medii sau globale) au fost victime ale furtului de informaţii. Este clar că organizaţiile trebuie
să îşi protejeze resursele informatice de valoare în primul rând printr-o evaluare detaliată a
riscului şi o politică clară de securitate a informaţiei care să se adreseze ameninţărilor privind
penetrarea din exterior şi scurgerile de informaţii din interior.
6
domeniu, precum Sarbanes - Oxley şi Basel II, au ca scop reducerea riscurilor operaţionale şi
de securitate ale organizaţiilor.
Dincolo de mituri din tot ceea ce s-a prezentat se desprinde o singură concluzie, şi
anume: cea mai eficientă cale de a ne opune ameninţărilor ce se adresează securităţii
informaţiei unui sistem informatic ar fi combinarea soluţiilor de securitate a informaţiei ce
implică software şi hardware cu implementarea unui Sistem de Management al Informaţiei
adecvat care să reglementeze întregul sistem de securitate al unei organizaţii.
7
de securitate. În plus, persoanele cu putere de decizie interpretează adesea absenţa unei breşe
mari in sistemul de asigurare a securităţii ca o confirmare a faptului ca securitatea TI este
adecvată – aceasta este însă o ipoteza periculoasă. Din aceste considerente, acest articol îşi
propune să analizeze cele mai frecvente abordări asupra soluţionării incidentelor de securitate.
8
În cadrul unor organizaţii, diferite persoane pot conlucra împreună pentru a rezolva
într-un mod neformal problemele legate de securitate. Această abordare îşi are originea de la
existenţa unui grup de persoane în organizaţie care recunosc necesitatea de a aborda problema
securităţii chiar dacă ea este nerecunoscută de către managementul superior.
Oricum chiar dacă organizaţia are la dispoziţie persoane capabile pentru asigurarea
securităţii informaţionale, acest lucru nu înseamnă că ea este gata şi să poarte răspunderea. În
dependenţă de mărimea efortului voluntar depus, este foarte probabil că chiar cu un software
de detecţie bine pus la punct, unele incidente serioase legate de securitate pot trece
nedetectate. Cu toate că această abordare este vizibil mai bună decât metoda erorii fatale,
unele probleme mai persistă, precum:
• Unele atacuri pot trece nedetectate.
• Voluntarii pot aborda detaliile tehnice, dar s-ar putea să nu înţeleagă, sau să nu aibă
informaţia disponibilă pentru a evalua corect consecinţele măsurilor luate de ei
asupra afacerii.
• Voluntarii nu pot avea autoritatea pentru aplicarea metodelor tehnice (ca
deconectarea organizaţiei de la Internet) sau alte acţiuni pe care ei le cred necesare
(raportarea evenimentului către organele competente sau apelarea la consultanţă
juridică).
• Voluntarii pot amâna căutarea şi obţinerea aprobării din partea managementului
pentru a răspunde.
• Voluntarii nu au o abordare de ansamblu asupra procesului de asigurare a securităţii
informaţionale.
• Alte persoane în cadrul companiei care identifică o problemă posibilă de securitate
pot fi inconştienţi de grupul neformal existent şi respectiv să nu raporteze.
• Un grup neformal este puţin probabil de a fi recunoscut şi susţinut din exterior.
9
CSIRT-urile variază în ceea ce priveşte structura, personalul implicat şi spectrul de
servicii pe care le pot oferi în dependenţă de situaţia sau nevoia pe care vor s-o satisfacă la
momentul dat. Astfel, trebuie de luat în consideraţie foarte atent necesităţile pentru o
asemenea echipă în cadrul organizaţiei, fie că este pentru întreaga companie sau doar pentru
un singur departament.
Ce ne zic statisticile?
Pentru a confirma cele menţionate mai sus aducem la cunoştinţă câteva date statistice
extrase din cadrul unui studiu privind securitatea informaţiei realizat de Earnst & Young care
oferă, în urma chestionării unor companii implicate în domeniul TI, informaţii utile privind
problemele de securitate în tehnologia informaţiei, după cum urmează:
• 74% din cei chestionaţi cred că au o strategie privind securitatea informaţiei;
• 51% cred că securitatea informaţiei este o prioritate constantă în comparaţie cu alte
proiecte TI;
• 70% din organizaţii planifică îmbunătăţirea planurilor de continuitate a afacerii şi de
recuperare în caz de dezastre;
În acelaşi timp:
• 53% văd disponibilitatea internă a performanţelor specialiştilor ca o ameninţare a
securităţii efective;
• mai mult de 34% din organizaţii nu sunt încrezute că vor detecta un atac asupra
sistemului;
• mai mult de 40% din organizaţii nu investighează incidentele de securitate a
informaţiei;
• sistemele importante pentru afacere sunt afectate din ce în ce mai mult – peste 75%
din organizaţii se confruntă cu o neaşteptată lipsă a disponibilităţii serviciului;
• mai puţin de 50% din organizaţii au programe de instruire şi conştientizare privind
securitatea informaţiei;
10
• planuri de continuitate a afacerii există doar la 53% din organizaţii;
• doar 41% din organizaţii sunt îngrijorate de atacurile interne asupra sistemelor, în
ciuda dovezilor covârşitoare a numărului mare de atacuri provenind din interiorul
organizaţiilor;
• 60% din organizaţii se aşteaptă să aibă o vulnerabilitate mărită odată cu creşterea
conectivităţii;
Concluzii
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a
sistemelor informaţionale, problema securităţii acestor sisteme devine din ce în ce mai
importantă. Doar investind în securitate „cap-coadă” vom putea avea sisteme IT mai sigure.
De multe ori vom constata că beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor
fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual,
sau, mai rău, vom acţiona pentru a înlătura efectele abia după producerea unui incident de
securitate.
11