AUTENTIFICAREA ŞI ACCESUL LA INFORMAŢIE; SISTEME DE

AUDIT ŞI CERTIFICARE

CURSUL 1

ASPECTE GENERALE ALE SECURITĂŢII SISTEMELOR

INFORMATICE

1. Introducere

1.1. Noţiuni de bază

Securitatea a fost şi este o preocupare constantă a omului de-a lungul timpului. Această
preocupare nu este caracteristică numai omului, celelalte vieţuitoare îşi iau şi ele măsuri care
să le pună la adăpost de pericole. Protecţia în faţa pericolelor, sentimentul de încredere şi
linişte asigurat de absenţa oricărui pericol sunt elementele care definesc securitatea. Fără
existenţa unui potenţial pericol sau un potenţial agresor, măsurile de securitate nu se justifică.

Noţiuni folosite (conform Legii nr.161/2003):

sistem informatic - orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în
relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu
ajutorul unui program informatic;

prelucrare automată a datelor - se înţelege procesul prin care datele dintr-un sistem
informatic sunt prelucrate prin intermediul unui program informatic;

program informatic - se înţelege un ansamblu de instrucţiuni care pot fi executate de un

sistem informatic în vederea obţinerii unui rezultat determinat;

date informatice - se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o
formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi
orice program informatic care poate determina realizarea unei funcţii de către un sistem
informatic;

prin furnizor de servicii se înţelege:

1. orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica
prin intermediul sistemelor informatice;
2. orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice
pentru persoanele prevăzute la pct.1 şi pentru utilizatorii serviciilor oferite de
acestea;

prin date referitoare la traficul informaţional se înţelege orice date informatice referitoare la
o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte
din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi
durata comunicării, precum şi tipul serviciului utilizat pentru comunicare;

prin date referitoare la utilizatori se înţelege orice informaţie care poate conduce la
identificarea unui utilizator, incluzând tipul de comunicaţie şi serviciul folosit, adresa poştală,

1
adresa geografică, adresa de IP, numere de telefon sau alte numere de acces şi modalitatea de
plată a serviciului respectiv, precum şi orice alte date care pot conduce la identificarea
utilizatorului;

prin măsuri de securitate se înţelege folosirea unor proceduri, dispozitive sau programe
informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat
sau interzis pentru anumite categorii de utilizatori.
Aşadar, sistemul informatic primeşte, prelucrează şi comunică date, fiind o
componentă a unui ansamblu de dispozitive interconectate; datele existente la nivelul
sistemului informatic trebuie protejate folosind diverse proceduri – software şi/sau hardware –
împotriva atacurilor interne sau externe sistemului.

1.2. Scurt istoric

O privire “fugară” asupra istoriei omenirii arată că – în orice perioadă istorică – omul
a fost preocupat de propria securitate şi a grupului de indivizi din care făcea parte, precum şi
de securizarea informaţiilor transmise. Astfel, primele măsuri umane luate pentru a se asigura
securitatea individului sau a grupului de indivizi vizau folosirea unor perimetre de securitate
naturale. Primii oameni se foloseau de peşteri atât pentru a se adăposti de vitregiile naturii, cât
şi pentru a se apăra de prădători. O dată cu evoluţia, s-a trecut la construirea de perimetre de
protecţie. Aceasta a marcat şi începuturile primelor construcţii umane. De remarcat aici este o
metodă ingenioasă folosită în acest scop – construirea locuinţelor lacustre. Ulterior, în evul
mediu, principiul a fost modificat şi folosit pentru apărarea cetăţilor, de această dată nu
împotriva animalelor, ci împotriva semenilor. Perimetrele de protecţie au suferit modificări
considerabile de-a lungul timpului. Zidurile de protecţie nu se mai fac din pământ, ci din
piatră. Suprafaţa protejată – cetatea – creşte, iar numărul persoanelor care beneficiază de
aceasta creşte de asemenea. În construcţia acestora nu se omite avantajul terenului. Pentru a
spori eficacitatea, cetăţile erau construite în locuri cu teren greu accesibil sau erau înconjurate
de şanţuri adânci de apă. Eficacitatea cetăţilor a fost dovedită până la apariţia armelor de foc
de calibru mare care făceau ca zidurile groase de piatră să fie neputincioase în faţa ghiulelelor
grele sau a muniţiei explozive. În paralel cu realizarea perimetrelor de protecţie se trece şi la
pedepsirea agresorului. Or, pedepsirea acestuia presupunea părăsirea zonei protejate şi
pătrunderea într-o zonă cu vulnerabilitate crescută. Aceasta a impus ca omul să se protejeze la
început cu armuri individuale, care au fost eficiente până la apariţia armelor de foc, sau să
folosească mijloace de protecţie mobile de grup, în timpurile moderne. Blindajele vehiculelor
moderne de luptă de pe pământ, apă şi aer dispun de aportul tehnologiilor care folosesc
materiale compozite şi materiale cu memorie pentru a scădea vulnerabilitatea acestora.
Pe lângă măsurile de securitate fizică privind asigurarea perimetrelor şi riposta
împotriva agresorului, omul a mai trebuit să-şi securizeze şi informaţiile transmise.
Comunicarea între cetăţi prietene asediate sau între unităţi combatante separate aparţinând
aceleiaşi armate sau armatelor aliate presupunea transmiterea mesajului prin teritoriul
controlat de inamic, pericolul ca acesta să fie interceptat şi citit fiind mare. Din această cauză,
mesajele vor fi ascunse sau criptate. Ca măsură dublă se poate folosi şi o combinare a celor
două. Dacă ascunderea mesajului presupunea folosirea de metode ingenioase, criptarea a
presupus pe lângă ingeniozitate şi folosirea matematicii şi a tehnologiilor moderne. O
securitate maximă presupune ascunderea nu numai a conţinutului unui mesaj, ci şi faptul că
acel mesaj există. Un mesaj foarte bine ascuns nu mai trebuie criptat. Reciproca nu este
adevărată. Apariţia undelor radio a făcut ca eforturile pentru asigurarea securităţii informaţiei
să se concentreze mai mult spre criptare şi mai puţin pe ascundere, deoarece mesajele radio
puteau fi interceptate uşor. Important era ca cel care le intercepta să nu le înţeleagă. Apariţia
tehnicii de calcul electronice a făcut ca eforturile îndreptate spre asigurarea securităţii
calculatoarelor şi implicit a securităţii datelor din acestea să fie foarte mari. Cantitatea de

2
informaţii vehiculată între calculatoarele interconectate şi numărul acestora a crescut
considerabil. Acestea trebuiau securizate.
Asigurarea securităţii în sistemele de calcul presupune concentrarea în principal pe
asigurarea fizică împotriva dezastrelor naturale şi pe lupta împotriva atacurilor care vin din
partea oamenilor. Atacurile asupra sistemelor de calcul sunt de fapt o extrapolare a atacurilor
în general. Şi de o parte şi de alta a baricadei – atacat şi atacator – se află oameni.
În anul 1280 î.Hr., după un război de zece ani, cetatea antică Troia rezistă încă atacului
grecilor. Grecii construiesc un imens cal de lemn pe care-l umplu cu soldaţi şi pe care-l lasă la
porţile cetăţii ca dar pentru troieni, simulând retragerea din faţa cetăţii. Calul este introdus in
cetate iar noaptea soldaţii greci ies din cal şi cuceresc cetatea. Aceeaşi tehnică – Cal Troian –
este folosită pentru atacarea sistemelor de calcul şi preluarea controlului asupra ţintei. Istoria
consemnează cazuri când cetăţile din evul mediu erau cucerite aruncând peste zidurile
acestora, cu ajutorul catapultelor, alimente otrăvite sau infestate sau chiar oameni bolnavi de
ciumă. Atacul viruşilor din sistemele de calcul este poate mai puţin mortal, dar pagubele
produse pot fi semnificative. Constantinopolul, şi o dată cu el Imperiul Roman de Răsărit, este
cucerit în anul 1453 în parte şi din cauza unei mici porţi ascunse – Kerkaporta – uitată
deschisă. Exploatând această breşă în apărarea cetăţii, turcii cuceresc oraşul. Exploatarea
breşelor în securitate, a golurilor de securitate din programe informatice de astăzi este la fel de
exploatată de către atacatori. Slăbiciunile în asigurarea securităţii sistemelor de calcul poartă
denumirea generică de goluri de securitate. Cetatea dacică Sarmizegetusa este cucerită în al
doilea război daco-roman din anii 105 şi 106 d.Hr. pentru că un dac trădător, pe nume Bastus,
divulgă romanilor arhitectura sistemului de aducţiune a apei în cetate. Cele mai mari dezastre
le pot crea propriii angajaţi ai firmelor, deoarece aceştia cunosc foarte multe lucruri legate de
arhitectură şi măsurile de securitate implementate din interiorul firmelor. Debarcarea de la 6
iunie 1944 din Normandia a fost făcută ţinându-se cont de trei factori care au asigurat
succesul operaţiunii: locul debarcării, condiţiile atmosferice şi momentul zilei. Debarcarea a
fost făcută nu la Pas-de-Calais, unde se aşteptau germanii, condiţiile atmosferice erau
improprii (s-a folosit o fereastră în frontul atmosferic), iar Hitler în acea noapte dormea şi a
dat ordin să nu fie trezit. Extrapolând, o să vedem că atacurile din Internet sunt efectuate de
regulă când şansele de reuşită sunt mai mari (utilizatorul al cărui calculator este vizat este
posibil să nu se afle la calculatorul lăsat pornit – noaptea, pauze de masă etc.), posibilitatea de
ripostă este mai mică şi rapiditatea reprezintă factorul-cheie al succesului unui atac.
Acestea sunt doar câteva exemple care evidenţiază o similitudine între modul de
desfăşurare a agresiunilor clasice şi cel al agresiunilor informatice.
Securitatea în sistemele de calcul avea să fie serios reconsiderată după 2 noiembrie 1988
o dată cu primele distrugeri cauzate de un program maliţios – Giant Worm. Securitatea în
general şi implicit securitatea sistemelor de calcul aveau să fie reconsiderate din nou după 11
septembrie 2001, dată când organizaţiile teroriste şochează lumea cu atentatele de la World
Trade Center.
Construit din interconectarea mai multor reţele, Internetul s-a construit şi dezvoltat rapid
într-un mediu care conferea iniţial siguranţă. Ulterior s-a dovedit că Internetul este nesigur şi
este folosit ca suport pentru iniţierea de atacuri la distanţă. Dezvoltarea rapidă a acestuia a
făcut ca anumite standarde necesare bunei funcţionări a Internetului să fie rapid proiectate,
testate şi implementate. Ingeniozitatea atacatorilor avea să fie pusă la încercare o dată cu
implementarea primelor măsuri de securitate la nivel local şi la nivel reţea. Succesele
contorizate de cele două tabere aflate de o parte şi de alta a imaginarei şi fragilei linii de
demarcaţie între bine şi rău au fost folosite pentru atingerea scopului propus. De partea
binelui, succesele au dus la crearea unor politici de securitate mai eficiente, la implementarea
de noi tehnologii de securitate şi metode de apărare, contraatac şi pedepsire a atacatorilor. De
partea cealaltă, s-au căutat noi metode de penetrare în sistemele informatice.
Atacatorii au şi ei propria filozofie şi conduită. Unii atacă sistemele de calcul din
amuzament. Alţii atacă numai ca să facă rău. Categoria cea mai periculoasă este aceea care

3
lansează atacuri pentru a obţine profit. Furtul de informaţie, în special proprietate intelectuală,
ridică pierderile anuale ale firmelor la cifre de zeci de milioane de dolari. Fraudele financiare,
deşi au avut cote alarmante în ultimii ani, cunosc o scădere vertiginoasă datorită implemen-
tării noilor tehnologii de securitate. Marile firme, în special cele de vânzări, se confruntă cu
atacuri care le blochează site-urile comerciale, lucru care produce mari pagube financiare
datorită stopării vânzărilor. Atunci când atacatorii sunt formaţi din organizaţii teroriste sau, şi
mai grav, din state care au o astfel de conduită, comunitatea internaţională trebuie să se
mobilizeze pentru a contracara ameninţarea.
Ce poate să facă o firmă pentru a fi la adăpost de atacuri informatice? O glumă des
vehiculată printre personalul IT&C sau cel care se ocupă cu asigurarea securităţii spune că
„cel mai sigur calculator este cel care este scos din priză“. Deci o firmă are de ales între a
închide porţile şi a fi în siguranţă, iar afacerile să aibă serios de suferit, sau să deschidă larg
porţile şi să fie vulnerabilă, iar afacerile să prospere. Cu alte cuvinte, „cine nu riscă nu
câştigă“. Rolul cel mai important în asigurarea securităţii datelor într-o firmă îl are persoana
însărcinată cu managementul firmei. Numai aceasta ştie care este politica firmei în raport cu
piaţa şi care sunt informaţiile care nu trebuie făcute public. Dacă nu este conştientă de
aplicarea unor măsuri de securitate în general şi de securitate a datelor în special, atunci
afacerile pot să aibă de suferit. Mulţi conducători de firme invocă preţul crescut al asigurării
securităţii. Sunt însă măsuri care necesită cheltuieli minime. Una dintre ele este conştienti-
zarea angajatului cu privire la politica de securitate a firmei. Oamenii sunt mult mai impor-
tanţi decât tehnologiile în crearea unei securităţi adecvate şi efective în cadrul firmei. De
asemenea, o politică de securitate minimă, dar efectivă este de preferat în locul uneia compli-
cate şi greu de înţeles sau implementat. O securitate efectivă presupune protecţia bunurilor
firmei (implicit a datelor), detectarea intruziunilor şi răspunsul la acestea. Personalul însăr-
cinat cu asigurarea securităţii trebuie să fie tot timpul în alertă. Niciodată securitatea nu va fi
efectivă. Va exista întotdeauna o portiţă care să fie folosită pentru lansarea unui atac.
Important este ca acel atac să fie descoperit cât mai repede şi să fie contracarat. Ideal ar fi ca
aceste măsuri să ducă la descoperirea şi pedepsirea vinovatului. Unele firme preferă însă, de
teama pierderii încrederii clienţilor, să nu raporteze atacurile şi pierderile suferite. Sunt cazuri
în care, descoperit făptaşul, firma a căzut la înţelegere cu făptaşul că nu va divulga penetrarea
şi va păstra în schimb o parte din suma sustrasă.
O securitate efectivă la nivelul firmei va putea fi asigurată printr-un program care să
pună împreună politicile, procesele şi tehnologiile necesare asigurării securităţii. Standardele
arhitecturale pentru implementarea securităţii trebuie riguros respectate. Desemnarea unui
personal responsabil cu asigurarea securităţii la nivel de firmă este imperios necesară. Atunci
când acest lucru nu este posibil, în cadrul firmelor mici, se impune apelarea la serviciile unei
firme specializate. Securitatea este vitală în condiţiile actuale. Nu trebuie stopate nicicum
eforturile pentru asigurarea securităţii.
Securitatea nu este o destinaţie, securitatea este un proces continuu.

2. Cele şapte mituri ale securităţii informaţiei

Trăim într-o lume care nu mai poate supravieţui fără interconexiunile digitale. Pe
măsură ce Internetul este folosit aproape în fiecare business şi intră în tot mai multe case,
actualele şi viitoarele atacuri la adresa sistemelor informatice pot prolifera aproape
instantaneu. Securitatea informaţiei se referă de cele mai multe ori la managerizarea riscurilor.
Nici un sistem nu va fi vreodată infailibil sau lipsit de pericole, acesta este un lucru cert, dar,
prin înţelegerea ameninţărilor cu care se confruntă în fiecare zi o organizaţie, vulnerabilităţile
sistemelor informatice existente şi procesele acesteia, asset-urile cu grad mare de risc şi
resursele de securitate pot fi administrate mult mai eficace. De-a lungul istoriei Internetului au
apărut mai multe concepte şi idei, unele chiar preconcepute cu privire la necesitatea securităţii

4
informaţiei odată cu folosirea acestei interconexiuni la nivel global, care mai apoi au evoluat
şi s-au transformat în adevărate mituri ce au luat forma dezvoltării industriei de securitate a
informaţiei. În acest moment înţelegerea acestor mituri este critică, pentru orice organizaţie
care vrea să dezvolte o strategie de securitate coerentă şi eficientă din punct de vedere al
rezultatelor şi mai ales al costurilor.

Mitul 1: Firewallul si software-ul antivirus ne va proteja.

Ameninţările la adresa sistemelor informatice ale organizaţiilor venite via Internet sunt
în continuă dezvoltare îmbrăcând forme mult mai sofisticate decât acum câţiva ani. Atacuri de
tipul “denial of service”, “trojans”, “worms”, cu operare rapidă precum SQL Slammer şi
Nachi, tehnicile de “spyware”, “phishing” şi spam pot de acuma trece de firewall-uri şi pot
evita mult mai uşor un antivirus. În acelaşi timp, metodele de atac ale hackerilor se schimbă în
mod constant, tocmai pentru a evita detectarea atacurilor de către sistemele de securitate a
informaţiei. În prezent, hackerii au învăţat să speculeze frecvent vulnerabilităţile mai mici şi
mai puţin serioase ale sistemelor informatice, pentru a lansa un potenţial atac. Ţintesc, de
asemenea, fisurile existente în formatele obişnuite ale fişierelor de tipul JPEG, PDF, Word şi
Excel. În septembrie 2004, compania Microsoft a lansat un avertisment referitor la
vulnerabilitatea existentă în Windows XP care ar putea permite crearea de imagini purtătoare
de coduri maliţioase - aşa numitele “JPEG-uri ale morţii”. Întotdeauna vor exista
vulnerabilităţi în software care vor putea fi exploatate de către “băieţii răi”. Este momentul ca
organizaţiile să înţeleagă că securitatea informaţiei este ceva mult mai complex.

Mitul 2: Costul securitatii informatiei va creste in mod inevitabil.

Conform analiştilor în domeniu, costurile securităţii informaţiei aproape s-au dublat în
ultimii trei ani, în timp ce bugetele IT au rămas la fel. Proporţia cea mai mare din această
creştere este atribuită resurselor umane. Însă ceea ce este cel mai evident, este faptul că
abordarea securităţii informaţiei în mod reactiv, adică mai întâi apare problema după care vine
şi soluţia nu va putea genera o menţinere a costurilor la un nivel rezonabil. Atâta timp cât
viruşii şi pseudo-viruşii proliferează extrem de rapid, rămane din ce în ce mai puţin timp
pentru a-i combate într-un mod cât mai eficace. Din păcate, din ce în ce mai multe organizaţii
eşuează în a implementa la timp soluţiile de securitate necesare. De aceea este necesară
trecerea spre o abordare preventivă a securităţii informaţiei, bazată mai mult pe studiul
vulnerabilităţilor sistemelor informatice şi pe comportamentele pe care aceste ameninţări le
au. Dacă puteţi identifica vulnerabilităţile din sistemul informatic înainte ca acestea să fie
exploatate de către hackeri, atunci există posibilitatea să le puteţi elimina în timp util, nefiind
necesar să găsiţi mijloace specifice de apărare pentru fiecare ameninţare. Acest nou mod de
abordare poate transforma natura şi costurile securităţii informaţiei crescând eficacitatea şi
reducând costul securităţii Internetului.

Mitul 3: Cu cat stim mai multe despre activititatea din propria retea, cu atat suntem mai
protejati.
Directorii IT şi personalul responsabil cu securitatea informaţiei au nevoie de informaţii
relevante care să le permită identificarea ameninţărilor ce reprezintă riscuri pentru organizaţie.
Securitatea informaţiei trebuie să se bazeze pe o evaluare clară a riscurilor pe care le prezintă
business-ul. Aceste riscuri şi potenţialul impact pe care îl au asupra aplicaţiilor şi proceselor
critice de business le permit organizaţiilor să îşi identifice priorităţile de securitate. Prin
focalizarea asupra priorităţilor de securitate, mai degrabă decât asupra examinării tuturor
incidentelor de securitate a informaţiei, se va optimiza eficacitatea propriilor resurse de
securitate.

Mitul 4: Nu suntem o ţintă pentru spionajul industrial.

5
 Spionajul industrial este o afacere de proporţii, şi asta nu de puţin timp. Toate
organizaţiile, dar mai ales acelea care se bazează pe inovaţii, proiectează şi crează produse noi
sunt expuse la riscuri serioase. Pot fi date numeroase exemple în care s-a dovedit posesia unor
informaţii strict confidenţiale sustrase de la concurenţă de către diferite organizaţii. În prezent
spionajul industrial nu se limitează doar la marile corporaţii multinaţionale. În anul 2004,
Institute of Directors raporta faptul că 60 % dintre membrii săi (inclusiv organizaţii mici,
medii sau globale) au fost victime ale furtului de informaţii. Este clar că organizaţiile trebuie
să îşi protejeze resursele informatice de valoare în primul rând printr-o evaluare detaliată a
riscului şi o politică clară de securitate a informaţiei care să se adreseze ameninţărilor privind
penetrarea din exterior şi scurgerile de informaţii din interior.

Mitul 5: Furnizorii de produse şi servicii IT oferă o securitate “independentă”.

În prezent, există o tendinţă clară ca furnizorii de produse şi servicii IT să achiziţioneze
sau să fuzioneze cu companiile de securitate a informaţiei. Raţiunea acestor concentrări se
poate explica prin faptul că securitatea informaţiei ar trebui să fie creată odată cu produsele şi
serviciile IT, lucru care este, desigur, oarecum adevărat. Totuşi, toate software-urile şi
hardware-urile au şi vor avea vulnerabilităţi. Şi aici intervin companiile independente de
securitate, al căror rol este să identifce aceste vulnerabilităţi, şi să ofere o cale de reducere a
pagubelor care ar putea fi provocate de către acestea. Mai mult, putem spune că preocuparea
principală a furnizorilor de produse şi servicii IT o constituie performanţa, care este primul
etalon al propriilor produse şi servicii. Securitatea informaţiei joacă un rol secundar, mai ales
atunci când ea poate afecta performanţa produsului, ceea ce duce în mod evident la un
potenţial conflict de interese. Relaţia ideală dintre companiile de securitate a informaţiei şi
furnizorii de produse şi servicii IT nu poate fi decât una de cooperare foarte apropiată,
deoarece în momentul în care furnizorii de soluţii şi servicii de securitate a informaţiei nu mai
sunt independenţi, sunt în pericol de a-şi pierde credibilitatea. Legislaţia recentă (Sarbanes &
Oxley) întăreşte importanţa recomandărilor de securitate independente, recunoscând faptul că
o securitate a informaţiei eficace depinde de implementarea unor controale de securitate pe
care te poţi baza.

Mitul 6: Toate software-urile antivirus lucreaza in acelasi mod.

Majoritatea software-lor antivirus lucrează prin căutarea unei amprente digitale unice
sau a unei “semnături digitale” în codul unui virus. Pericolul unui astfel de algoritm provine
din faptul că dacă virusul este transformat şi relansat cu unele schimbari subtile, software-ul
antivirus nu îl va mai putea identifica. Un mijloc de identificare alternativ la căutarea
amprentei digitale a unui virus constă în examinarea “comportamentului” prin care virusul se
va propaga şi va putea infecta un sistem informatic. Dacă algoritmul s-ar focaliza asupra
tehnicilor comune diferiţilor viruşi, ar fi posibil să se elimine familii întregi de viruşi dintr-un
singur foc. Mai mult, orice cod viitor care foloseşte aceeaşi tehnică ar putea fi detectat cu
ajutorul acestui sistem antivirus bazat pe acest studiu de comportament. Totuşi, cel mai
eficace mod de a ne proteja de viruşi este de a folosi o combinaţie între recunoaşterea
semnăturii şi analiza comportamentului acestora.

Mitul 7: Securitatea informaţiei este o condiţie care face business-ul posibil.

“Securitatea este o condiţie sine qua non a business-ului” a fost, ani de zile, mantia
companiilor de securitate a informaţiei. Acestea au încercat să îşi convingă clienţii de faptul
că securitatea informaţiei constituie o investiţie şi nu un cost în plus. În realitate, Internetul şi
aplicaţiile care fac posibile conexiunile via Internet sunt condiţiile care fac business-ul
posibil. Securitatea informaţiei se referă în primul rând la managerizarea riscurilor acestor
interconexiuni, riscuri ce sunt foarte reale. O singură eroare poate afecta în mod direct o
organizaţie compromiţând informaţiile confidenţiale ale acesteia. Noile reglementări în

6
domeniu, precum Sarbanes - Oxley şi Basel II, au ca scop reducerea riscurilor operaţionale şi
de securitate ale organizaţiilor.
Dincolo de mituri din tot ceea ce s-a prezentat se desprinde o singură concluzie, şi
anume: cea mai eficientă cale de a ne opune ameninţărilor ce se adresează securităţii
informaţiei unui sistem informatic ar fi combinarea soluţiilor de securitate a informaţiei ce
implică software şi hardware cu implementarea unui Sistem de Management al Informaţiei
adecvat care să reglementeze întregul sistem de securitate al unei organizaţii.

3. Cum abordăm problema incidentelor de securitate

Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care

intervine din ce în ce mai des în problemele cu care se confruntă organizaţiile. Infracţiunile
semnalate atât din cadrul instituţiilor statului, cât şi din domeniul privat, sunt în continuă
creştere:
• acces neautorizat şi transfer de date cu grade diferite de confidenţialitate;
• modificarea, ştergerea sau deteriorarea datelor;
• perturbarea sistemelor informatice;
• producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a
dispozitivelor care pot perturba grav sistemele informatice;
• interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor
de calculatoare;
• falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
• înşelătorii sau fraude comise prin intermediul computerelor;
• utilizarea neautorizată a programelor protejate prin dreptul de autor;

De aceea, astăzi mediile de afaceri dependente de tehnologia informaţiei cer ca

angajaţii să cunoască importanţa protejării resurselor companiei. Şi totuşi, când vorbim despre
securitatea IT, în multe organizaţii există un decalaj între conştientizarea nevoilor de
securitate şi respectarea măsurilor de securitate. Acest fapt se explică prin însuşi concepţiile
greşite asupra procesului de asigurare a securităţii informaţionale, care pot rezulta în
implementarea unor soluţii ineficiente. Aşa cum s-a văzut, există o serie de „mituri” legate de
securitatea informaţională, dintre care cele mai răspândite sunt:
• „Mit: Hackerii cauzează cele mai grave incidente de securitate”
In realitate, statisticile demonstrează ca in 75% din cazuri, incidentele sunt produse
din interiorul organizaţiilor.
• „Mit: Criptarea va permite păstrarea confidenţialităţii şi integrităţii datelor”
In realitate, criptarea este doar o tehnică în protejarea datelor. Securitatea
informaţională presupune un şir de mijloace complexe combinate: mijloace organizatorice
combinate cu cele tehnice.
• „Mit: Firewall-ul este un mijloc sigur in protecţia datelor si infrastructurii
informaţionale ale organizaţiei.”
In realitate, 40% din atacurile efectuate din reţeaua Internet, au fost efectuate chiar si
în pofida faptului că firewall-ul era prezent. Pentru a implementa o soluţie efectivă care să
protejeze datele cu adevărat, va fi necesară întâi de toate să fie efectuată o procedură efectivă
de management al riscurilor.
De cele mai multe ori însă organizaţiile neglijează necesitatea de a determina nivelul
riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea incidentelor

7
de securitate. În plus, persoanele cu putere de decizie interpretează adesea absenţa unei breşe
mari in sistemul de asigurare a securităţii ca o confirmare a faptului ca securitatea TI este
adecvată – aceasta este însă o ipoteza periculoasă. Din aceste considerente, acest articol îşi
propune să analizeze cele mai frecvente abordări asupra soluţionării incidentelor de securitate.

ABORDAREA NR.1: Eram aproape siguri că sistemul nostru se poate auto-proteja

Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să răspundă unui
incident legat de securitatea informaţională până când nu au fost afectate semnificativ de un
asemenea incident. Multe dintre ele nu au evaluat aprioric riscul de afaceri asociat lipsei unui
sistem bine reglat de detecţie şi de răspuns la incidentele de securitate. De cele mai multe ori,
organizaţiile primesc rapoarte prin care sunt informate de implicarea acestora în incidente de
securitate care au originea de obicei din altă parte, fără a fi implicate în identificarea în sine a
incidentului. Această abordare poate fi denumită la fel de bine şi abordarea prin „încercarea
fatală”.
Problema îşi are originea în lipsa recunoaşterii de către multe organizaţii a unei nevoi
stringente pentru o infrastructură cuprinzătoare a sistemului de securitate. De obicei impactul
şi riscul de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav.
Managementul poate avea deseori opinia precum reţeaua şi securitatea sistemului
informaţional este o preocupare a administratorilor de reţea şi sistem ca parte integrantă a
activităţii lor zilnice. Deasemenea, ei pot gândi că securitatea este asigurată de firewall-ul
organizaţiei.
De obicei însă, această percepţie este de multe ori incorectă din toate privinţele.
Priorităţile administratorilor sistemului informaţional sunt în mare parte concentrate asupra
menţinerii şi administrării echipamentului de calcul existent. Firewall-urile pot preveni unele
atacuri, dar cu siguranţă nu toate tipurile de atac; şi dacă nu sunt configurate şi monitorizate
corect atunci ele pot lăsa organizaţia vulnerabilă la un şir de multe alte atacuri. Această
abordare poate rezulta în probleme serioase precum:
• Necunoaşterea dacă sistemul a fost compromis, sau daca a fost – de cât timp.
• Lipsa informaţiei cu privire la ce sisteme sunt expuse riscului, sau cu privire la ce
informaţie a fost luată, sau modificată de intruşi.
• Necunoaşterea metodelor folosite de atacatori pentru a obţine acces la sisteme.
• Necunoaşterea măsurilor ce trebuie întreprinse pentru a stopa atacurile şi
securizarea sistemelor şi a reţelelor.
• Neidentificarea din timp a efectelor adverse provocate de un incident asupra
capacităţii companiei de a desfăşura activitatea în condiţii normale.
• Lipsa unei persoane responsabile de luarea unor decizii privind stoparea activităţii,
contactarea organelor competente, etc.
• Amânările privitor la identificarea şi contactarea persoanelor corespunzătoare
asupra evenimentului produs (atât intern cât şi extern).
• Lipsa unor contacte de raportare în organizaţie cunoscute de către părţi externe sau
interne.

ABORDAREA NR.2: „Voluntarii” ne vor salva

Unele organizaţii au administratori de sisteme şi reţea care sunt interesaţi sau bine
instruiţi în domeniul securităţii informaţionale. Asemenea persoane sunt pregătite mai bine
pentru a face faţă unor probleme de securitate în cadrul domeniului lor de răspundere, precum
echipamentele din cadrul unui departament sau unitate de operare, ori echipamentul pe un
segment dat de reţea.

8
 În cadrul unor organizaţii, diferite persoane pot conlucra împreună pentru a rezolva
într-un mod neformal problemele legate de securitate. Această abordare îşi are originea de la
existenţa unui grup de persoane în organizaţie care recunosc necesitatea de a aborda problema
securităţii chiar dacă ea este nerecunoscută de către managementul superior.

Oricum chiar dacă organizaţia are la dispoziţie persoane capabile pentru asigurarea
securităţii informaţionale, acest lucru nu înseamnă că ea este gata şi să poarte răspunderea. În
dependenţă de mărimea efortului voluntar depus, este foarte probabil că chiar cu un software
de detecţie bine pus la punct, unele incidente serioase legate de securitate pot trece
nedetectate. Cu toate că această abordare este vizibil mai bună decât metoda erorii fatale,
unele probleme mai persistă, precum:
• Unele atacuri pot trece nedetectate.
• Voluntarii pot aborda detaliile tehnice, dar s-ar putea să nu înţeleagă, sau să nu aibă
informaţia disponibilă pentru a evalua corect consecinţele măsurilor luate de ei
asupra afacerii.
• Voluntarii nu pot avea autoritatea pentru aplicarea metodelor tehnice (ca
deconectarea organizaţiei de la Internet) sau alte acţiuni pe care ei le cred necesare
(raportarea evenimentului către organele competente sau apelarea la consultanţă
juridică).
• Voluntarii pot amâna căutarea şi obţinerea aprobării din partea managementului
pentru a răspunde.
• Voluntarii nu au o abordare de ansamblu asupra procesului de asigurare a securităţii
informaţionale.
• Alte persoane în cadrul companiei care identifică o problemă posibilă de securitate
pot fi inconştienţi de grupul neformal existent şi respectiv să nu raporteze.
• Un grup neformal este puţin probabil de a fi recunoscut şi susţinut din exterior.

ABORDAREA NR. 3: Rezultate eficiente prin susţinerea Companiei

Fără a căuta la bunele intenţii a experţilor tehnici sau ale altor membri ai
organizaţiilor, unica abordare eficientă pentru detectarea incidentelor şi un răspuns prompt în
soluţionarea lor este de a implică conducerea şi managementul superior al organizaţiei în
crearea şi implementarea unor proceduri de gestionare a riscurilor, în crearea unui grup
responsabil de identificarea şi soluţionarea incidentelor de securitate, toate acestea bazate pe
un management de cel mai înalt nivel. Modul de realizare, fie printr-o echipă distribuită
geografic sau una centralizată a angajaţilor săi, sau recurgând la servicii specializate, nu este
atât de important cât efortul în sine. Pe lângă suportul acordat de management, grupul
împuternicit cu asemenea sarcini trebuie să fie recunoscut pe plan intern şi extern, să-şi
dovedească eficacitatea şi credibilitatea.
Autoritatea şi recunoaşterea managementului sunt baza succesului. Dar un serviciu
eficient de detecţie şi răspuns va avea nevoie de încrederea şi credibilitatea managementului
precum şi altor părţi cu care va interacţiona.
Echipele create pentru detecţia şi răspunsul la incidentele de securitate în cadrul unei
organizaţii sunt cunoscute ca Echipele de Răspuns al Incidentelor legate de Securitatea
Calculatoarelor (CSIRT). Crearea, operarea şi găsirea persoanelor potrivite pentru aceste
echipe nu este un lucru uşor. Oricum, dacă o asemenea echipă este construită şi împuternicită
corespunzător într-o organizaţie, ea poate aborda asemenea probleme într-un mod foarte
constructiv şi poate câştiga respect şi credibilitate pentru funcţionarea sa normală.

9
 CSIRT-urile variază în ceea ce priveşte structura, personalul implicat şi spectrul de
servicii pe care le pot oferi în dependenţă de situaţia sau nevoia pe care vor s-o satisfacă la
momentul dat. Astfel, trebuie de luat în consideraţie foarte atent necesităţile pentru o
asemenea echipă în cadrul organizaţiei, fie că este pentru întreaga companie sau doar pentru
un singur departament.

Efectuarea tranziţiei de la abordarea „încercarea fatală” sau cea „voluntară” la

abordarea care presupune susţinerea companiei nu este deloc uşoară. Provocarea cea mai
importantă şi cea mai dificilă este convingerea managementului pentru un CSIRT efectiv şi
împuternicit ca parte a unei abordări integre ale riscului de gestionare a companiei.
Aşteptând momentul când se va produce un incident serios de securitate în organizaţia
dvs. pentru a convinge managementul de necesitatea acestei echipe nu este o abordare
eficientă, sau nu neapărat va avea succes. Chiar după ce un asemenea incident va avea loc,
compromiţând funcţionarea sistemelor informaţionale, unele organizaţii încă nu recunosc
necesitatea pentru o structură de detecţie şi răspuns la incidentele de securitate.
Unul dintre factorii cei mai importanţi de reţinut este riscul de afacere asociat sau
pierderea cauzată de orice incident de securitate. Această informaţie trebuie prezentată
managementului într-o manieră care va ajuta managementul să înţeleagă că problema este nu
una tehnică ci ţine chiar de afacere în sine. Spre exemplu într-una din organizaţii personalul
tehnic avea probleme în atragerea atenţiei managementului asupra pătrunderilor neautorizate.
Acest lucru a fost dus la capăt doar după prezentarea datelor de pătrundere, prin descrierea
scopului fiecărui sistem în discuţie şi nu atât de mult prezentarea informaţiei cu privire la
numele serverului şi a sistemului de operare folosit, care a atras atenţia managementului.
Voluntarii trebuie să încerce să documenteze şi să prezinte managementului impactul
pătrunderilor atestate şi pierderile înregistrate.

Ce ne zic statisticile?
Pentru a confirma cele menţionate mai sus aducem la cunoştinţă câteva date statistice
extrase din cadrul unui studiu privind securitatea informaţiei realizat de Earnst & Young care
oferă, în urma chestionării unor companii implicate în domeniul TI, informaţii utile privind
problemele de securitate în tehnologia informaţiei, după cum urmează:
• 74% din cei chestionaţi cred că au o strategie privind securitatea informaţiei;
• 51% cred că securitatea informaţiei este o prioritate constantă în comparaţie cu alte
proiecte TI;
• 70% din organizaţii planifică îmbunătăţirea planurilor de continuitate a afacerii şi de
recuperare în caz de dezastre;

În acelaşi timp:
• 53% văd disponibilitatea internă a performanţelor specialiştilor ca o ameninţare a
securităţii efective;
• mai mult de 34% din organizaţii nu sunt încrezute că vor detecta un atac asupra
sistemului;
• mai mult de 40% din organizaţii nu investighează incidentele de securitate a
informaţiei;
• sistemele importante pentru afacere sunt afectate din ce în ce mai mult – peste 75%
din organizaţii se confruntă cu o neaşteptată lipsă a disponibilităţii serviciului;
• mai puţin de 50% din organizaţii au programe de instruire şi conştientizare privind
securitatea informaţiei;

10
 • planuri de continuitate a afacerii există doar la 53% din organizaţii;
• doar 41% din organizaţii sunt îngrijorate de atacurile interne asupra sistemelor, în
ciuda dovezilor covârşitoare a numărului mare de atacuri provenind din interiorul
organizaţiilor;
• 60% din organizaţii se aşteaptă să aibă o vulnerabilitate mărită odată cu creşterea
conectivităţii;

Concluzii
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a
sistemelor informaţionale, problema securităţii acestor sisteme devine din ce în ce mai
importantă. Doar investind în securitate „cap-coadă” vom putea avea sisteme IT mai sigure.
De multe ori vom constata că beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor
fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual,
sau, mai rău, vom acţiona pentru a înlătura efectele abia după producerea unui incident de
securitate.

Glosar de termeni şi prescurtări:

IT&C – Information Technology & Computers. Se mai foloseşte si termenul de IT. În limba română se foloseşte prescurtarea
TI&C (Tehnologia Informaţiei şi Calculatoare). Termen folosit pentru desemnarea personalului însărcinat cu prelucrarea
informaţiei cu ajutorul calculatorului electronic.
Cracker – Persoane care pătrund deliberat, trecând peste sistemele de securitate, în sistemele de calcul.
General Packet Radio Service – Pachet general de servicii radio.

11