Reeaua de calculatoare i de comunicaii, ca sistem deschis, este vulnerabil la atacuri
informatice. Ca urmare, apar mai multe riscuri asociate sistemelor
informaionale/sistemelor informatice financiar-contabile ale agenilor economici: a) Riscurile de mediu - hardware i reele de comunicaii; - sistem de operare; - softuri de aplicaie; - informaiile procesate de sistem; b) Riscuri asociate mediului: - pericole naturale si dezastre - alterarea sau furtul aplicaiilor, respective a datelor; - erori umane sau tehnice; - incompetena managerial; - pierderi financiare previzibile; c) Riscuri asociate unui sistem informatic: - pierderea, deturnarea i modificarea informaiilor; - accesul neautorizat la informaii; - ntreruperea procesrii. Securitatea informaiei pentru agenii economici este domeniul aprut ca urmare a creterii volumului de informaii, informaii care sunt cele mai de pre bunuri. Problema de baz este c natura informaiei mpreun cu mediul de creare, dezvoltare, stocare i transmitere este dificil de controlat. Progresul rapid al tehnologiei n interconectivitate i capacitate de calcul a dus la apariia breelor de securitate accidentale sau intenionate. Astfel se poate afirma c asigurarea securitii 100% este practic imposibil de realizat i rmne ca o provocare pentru specialiti Una dintre problemele majore ale securitii e-business (afacerilor electronice) este aceea c se tinde ca arhitectura s fie realizat pe componente pierzndu-se astfel imaginea de ansamblu. Modelul de baz pentru arhitectura de securitate pe trei niveluri este cel oferit de IBM i se refer la: -securitatea la nivel de reea; -securitatea la nivel de sistem; -securitatea la nivel de tranzacii. Se poate afirma c soluiile de securitate sunt implementate pentru contracararea grupurilor de ameninri i vulnerabiliti. Astfel se poate afirma c politica de securitate const n realizarea unui catalog de ameninri i vulnerabiliti precum i din achiziionarea tehnologiilor specifice contacarrii acestora prin implementarea de soluii specifice pentru baze de date, servicii, componente de sistem i sisteme de operare. Principalele inte ale atacurilor informatice din ultimii ani sunt reprezentate de agenii economici productivi, serviciile financiare, de sntate i guvernamentale. Studii de dat recent arat c agenii economici sunt supui unei creteri a atacurilor informatice personalizate (e-mail-uri infectate cu virui informatici, spyware, atacuri la securitatea sistemului cu scopuri criminale) concomitent cu scderea ponderii atacurilor informatice mai puin profitabile (virui clasici, spam-uri etc.). Atacurile informatice profitabile urmresc sustragerea datelor confideniale din bazele de date ale agentului economic sau furtul de fonduri financiare electronice ctre conturile atacatorului.
Firma IBM a anunat c n semestrul I al anului 2005 criminalitatea informatic,
ndreptat mpotriva agenilor economici productiv, serviciilor financiare i guvernamentale, a crescut cu 50%. Barometrul la scar mondial a tendinelor de securitate este reprezentat de Indexul Global de Securitate a Afacerilor (Global Business Security Index, care arat c atacurile informatice personalizate pentru profit s-au ndreptat, n special, mpotriva agenilor economici din industriile spaial i a petrolului (din 217 de milioane de atacuri informatice mpotriva securitii sistemelor informatice, n semestrul I al anului 2005, 16 de milioane de atacuri informatice au fost ndreptate mpotriva agenilor economici din sectorul productiv)1. Compania IBM atrage atenia c atacurile informatice personalizate de tipul phising ce sunt executate cu scopul splrii banilor murdari (Laundering Money) i al furtului de identitate, devin predominante (n semestrul I al anului 2005, au existat 15 de milioane de atacuri de tip phising). n aceeai ordine de idei, n anul 2005, n Romnia a devenit de notorietate cazul ATM-ului montat de infractorii informatici n scara unor blocuri din Bucureti prin care s-au furat identiti de pe cardurile bancare citite de la cei care au ncercat s scoat bani de pe acest ATM. Cu aceste identiti (nume client bancar, cod pin etc), infractorii informatici au furat toate sumele existente n conturile bancare respective. Securizarea se face pe diverse componente de la desktop i continund cu reeaua local, Internet i chiar autentificarea cu alte servere. Se cunoate o multitudine de metode prin care o afacere electronic poate fi atacat de hackeri, crackeri, ameninri cunoscute ca: hacking, cracking, spoofing, sniffing, virui, viermi, cai troieni, denial of service (DoS). Privit din punct de vedere al afacerilor, atacurile de tip denial of service-DoS sunt cele mai periculoase ntruct pot mpiedica accesul la resurse, fr a provoca neaprat pierderi de date, ns pagubele financiare produse prin nefurnizarea serviciilor ctre clieni pot avea consecine grave. Tocmai din acest motiv o strategie corect aleas poate nltura aceste inconveniente. Problemele securitii se pot grupa n: Pierderea integritii datelor; Pierderea confidenialitii datelor; Pierderea controlului; Pierderea serviciilor. Pentru a prentmpina aceste pierderi, o politic de securitate ar trebui s identifice partenerii care particip la afacere, s confirme aciunile realizate de un anumit utilizator, s asigure accesul la informaii numai persoanelor autorizate, s protejeze informaia pe parcursul tranzitului sau la stocare, s poat genera audit pentru verificarea tranzaciilor. Politicile de securitate privesc agentul economic n toate domeniile activitii pe care acesta o desfoar. Se consider ca fiind eficient o politic de securitate pentru afaceri electronice, dac include urmtoarele obiective: Confidenialitatea care implic accesibilitatea informaiei doar persoanelor autorizate. Domeniile n care se ine cont de cofidenialitate n cadrul unui agent 1
IBM Global Business Security Intelligence
economic sunt: marketing, activitate financiar-contabil, legislativ, comunicaii,
IT. Pentru a se menine confidenialitatea utilizatorilor, trebuie gsite mijloce secrete, pentru a o face inaccesibil vizualizrii neautorizate. Aceleai restricii se impun i informaiei n tranzit. Cnd informaia circul de la o entitate la alta, trebuie s existe o metod care s asigure transportul acesteia ctre destinatar. Integritatea presupune acurateea informaiei, astfel nct ea s nu poat fi modificat sau accesat n mod neintenionat sau neautorizat. Un caz extrem de pierdere a integritii este pierderea bazei de date sau nlocuirea ei cu altceva prin interceptare sau modificare n timpul tranzitului. Aceste modificri pot proveni de la hacker, administrator de reea sau de la diverse instituii care se ocup cu colectarea informaiilor. Disponibilitatea este o cerin fundamental a securiti i se refer la faptul c sistemele, datele i alte resurse sunt utilizabile numai atunci cnd este necesar, fr a ine cont de posibile dificulti cauzate de mediu. Lipsa de disponibilitate i are cauza n atacurile de tip denial of service (DoS). Ca pri componente ale disponibilitii sunt fiabilitatea i senzitivitatea sistemului, n care fiabilitatea reprezint funcionarea sistemului la parametrii dai, iar senzitivitatea se refer la ct de repede se poate restabili un serviciu dup o cdere a sistemului. Uzul legitim are trei componente: identificarea, autentificarea i autorizarea. Identificarea este procesul prin care un utilizator este recunoscut de serverul cu care efectueaz o tranzacie. Ca metod de identificare se folosete numele de utilizator i parola. Autentificarea funcioneaz n dublu sens i anume: utilizatorii autentific serverul, iar serverul autentific utilizatorii. Ca metod de autentificare este cunoscut certificatul digital. Autentificarea acestor certificate este fcut de o companie numit autoritate de certificare, iar procesul se numete Infrastructura Cheii Publice sau PKI. Dup ce o entitate a fost certificat ca fiind identificat corect, pasul urmtor va fi cel de folosire legitm a anumitor drepturi, care pot include accesul la fiiere, manipulare de date,etc. Audit; Non-repudiere. Se poate afirma c non-repudierea este activitatea prin care se dovedete c una din prile implicate n tranzacie a efectuat aciunea respectiv, ea oferind utilizatorului sigurana provenienei datelor i de asemenea asigur c datele au fost primite corect de receptor. Aceast cerin este util verificrii preteniilor ridicate de fiecare parte implicat i pentru stabilirea responsabilitilor n cazul n care apar litigii. n cazul n care securitatea nu este de nivel nalt, cel care a produs mesajul nu este sigur c destinatarul a primit informaia corect i nici nu are certitudinea c destinatarul cunoate expediorul mesajului. O infrastructur e-business (afaceri electronice) producre informaii de audit n condiiile n care este completat de un sistem non-repudiere de urmrire a tranzaciilor. Sistemul non-repudiere trebuie sincronizat cu urmrirea tranzaciilor pentru stabilirea ct mai exact a punctelor de responsabilitate.
2.1 Politici de securitate
Un element cheie utilizat n controlul intern al agentului economic l reprezint politica de securitate aplicat sistemelor informatice. Aceasta repezint un cadru general din care deriv toate celelalte metode i recomandri de securitate privind agenii economici. n sprijinul acestei idei vine i Legea pentru ratificarea Conveniei Consiliului Europei privind criminalitatea informatic, adoptat la Budapesta la 21 noiembrie 2001, aprobat de Romnia n aprilie 2004, care specific msurile de adoptat la nivel naional pentru infraciuni mpotriva confidenialitii, integritii i disponibilitii datelor i sistemelor informatice. n prevederile acestei legi se fac referiri la accesarea ilegal i fr drept a ansamblului ori a unei pri a unui sistem informatic. Astfel una din pri poate condiiona comiterea nclcrii prin violare a msurilor de securitate, cu intenia de a obine date informatice ori cu alt intenie delictual, sau poate eluda utilizarea autorizat a unui sistem informatic conectat la un alt sistem informatic. Se incrimineaz ca infraciune, interceptarea intenionat i fr drept, efectuat prin mijloace tehnice, a transmisiilor de date informatice care nu sunt publice, destinate, provenite sau aflate n interiorul unui sistem informatic, inclusiv a emisiilor electromagnetice provenind de la un sistem informatic care transport astfel de date. Infraciune este considerat i afectarea integritii datelor care presupune distrugerea, tergerea, deteriorarea, modificarea sau eliminarea datelor informatice. Referiri se fac i asupra afectrii integritii sistemului, prin fapta comis intenionat de a distruge, terge, altera sau suprima datele informatice, precum i la abuzurile asupra dispozitivelor. Legea prevede un capitol special dedicat infraciunii informatice, infraciuni cunoscute sub denumirea de falsificare informatic i fraud informatic. Prin falsificare informatic se definete introducerea, alterarea, tergerea sau suprimarea intenionat i fr drept a datelor informatice, din care s rezulte date neautentice, cu intenia ca acestea s fie utilizate n scopuri legale ca i cnd ar fi autentice, chiar dac sunt sau nu n mod direct lizibile i inteligibile. Frauda informatic presupune aducerea unui prejudiciu prin introducere, alterare, tergere sau suprimare de date informatice i prin orice alt form din care rezult atingerea funcionrii unui sistem informatic. Pentru astfel de aciuni se prevd o serie de msuri legislative. Conform acestor deziderate luate n considerare de legea amintit anterior, politica de securitate trebuie dezvoltat i implementat pentru a preveni i nltura breele existente n securitatea agenilor economici. Procedurile privind aplicarea politicii de securitate trebuie s fie realizate astfel nct s in cont de legislaia n vigoare, de noile tendine de dezvoltare ale activitii agenilor economici i de tehnologia informaiei. Noile politici de securitate dezvoltate precum i modificrile intervenite n cadrul celor existente trebuie comunicate personalului i n unele cazuri i agenilor economici teri. Termenii de politici, standarde i recomandri de securitate pentru afacerile electronice sunt adesea confundate i pot exista neconcordane n aplicarea lor.
Diferenele existente trebuie comunicate i nelese de ctre personal tocmai pentru
asigurarea succesului n aplicare. Soluiile de securitate au ca punct de pornire politica acestora. Pentru protecia informaiilor trebuie s se cunoasc n prealabil ceea ce este important de protejat precum i ce mijloace sunt luate n calcul pentru protecie. O prim metod ar fi protecia pe fiecare component a arhitecturii. O politic de securitate eficient trebuie s rspund urmtoarelor cerine: care sunt informaiile confideniale care trebuie a fi protejate; ce componente sunt vulnerabile; care este procedura cea mai eficient pentru asigurarea confidenialitii; cum se cripteaz informaiile; care este domeniul celor autorizai s acceseze i s modifice informaia; care este cel mai bun sistem de autentificare care se va utilza; care este cel mai bun mecanism ce va identifica intruziunile: care este structura componentelor critice din infrastructura e-business (afaceri electronice); ce proceduri de tratare a incidentelor se vor folosi n caz de apariie a acestora; care sunt planurile de asigurare a continuitii i minimizrii ntreruperilor serviciilor. Din politica de securitate trebuie s fac parte analiza de risc. Analiza de risc const din identificarea vulnerabilitilor, ameninrilor i costurilor acestora. De remarcat este fapul c eficiena unei msuri implementate este direct proporional cu costul acesteia. Un alt aspect al politicii de securitate este i implementarea celor mai performante practici n securizarea infrastructurii e-business (afaceri electronice), n care se pune cu acuitate problema vulnerabilitii. Strategia pus la punct pentru vulnerabilitate presupune elemente de tehnologia semnturii digitale, PKI, disponibilitatea i integritatea datelor. Din aceast categorie fac parte: managementul i securitarea reelei: protecia fizic a calculatoarelor; firewall; criptarea; PKI; Tratarea incidentelor; Soft antivirus; Certificat digital; Controlul accesului; Securizarea comunicaiilor. Politicile de securitate reprezint un cadru de securitate de nivel nalt care precizeaz scopurile agenilor economici referitor la realizarea controlului i a securitii sistemelor informatice. Politicile trebuie s precizeze responsabilitiile personalului implicat n exercitarea controlului i sunt de regul stabilite de manageri de pe diferite nivele i aprobate de consiliul director al agenilor economici . Politicile stabilesc msurile i regulile ce trebuie respectate pentru a preveni i asigura securitatea la nivel fizic (al componentelor hardware) i la nivel logic (pentru 5
software) i la nivelul datelor mpotriva accesului neautorizat, al distrugerilor i
dezastrelor ce pot interveni. n cadrul politicilor nu se detaliaz metodele de asigurare a securitii, cum sunt de exemplu, condiiile pe care trebuie s le respecte parolele sau modul de acces al utilizatorilor etc. Modificrile intervenite n cadrul politicilor trebuie discutate i aprobate de consiliul director, comunicate i aplicate de ctre personalul agentului economic. n cadrul politicii de securitate care privete un agent economic trebuie s existe cteva seciuni distincte care s reglementeze modul de realizare i implementare a controlului pe diferite nivele. Aceste seciuni sunt urmtoarele: 1. Obiectivele de securitate i moduri de realizare 2. Dezvoltarea i achiziionarea de sisteme informatice 3. Securitatea echipamentelor i informaiei 4. Monitorizarea sistemelor informatice i acordarea asistenei tehnice. Obiectivele de securitate i modurile de realizare se refer la sistemele informatice i de telecomunicaii i presupun: definirea i specificarea diverselor tipuri de echipamente hard i sisteme informatice i de telecomunicaie necesare n procesarea informaiilor cu care opereaz agentul economic; a modului n care aceste sisteme trebuie implementate i controlate pentru asigurarea eficienei i calitii; identificarea punctelor cheie din cadrul proceselor organizaiei; stabilirea personalului responsabil pentru asigurarea controlului. Dezvoltarea i achiziionarea de sisteme informatice. n aceast seciune se stabilesc necesitile i cerinele pentru implementarea sistemelor informatice precum i modul de realizarea a acestora. n cazul sistemelor dezvoltate n cadrul agenilor economici se stabilesc etapele de realizare i obiectivele fiecrei faze, urmrind ciclul de via al sistemelor; Specificarea cerinelor pentru fiecare etap i faz a sistemului informatic; Soluii alternative care pot fi luate n calcul atunci cnd exist mai multe posibiliti pentru o etap sau faz; Analiza sistemului informatic; Proiectare ; Implementare; Testare; Monitorizare. In cazul sistemelor achiziionate se specific modul de achziionare, implementare, testare, monitorizare i evaluare a performanelor precum i modul de liceniere a acestora. Verificarea acestor faze conduce la sporirea securitii modului de folosire ct i a cadrului legal n care sistemele informatice respective au fost achiziionate. Securitatea echipamentelor i informaiei specific trei nivele de securitate: Controlul i securizarea echipamentelor hardware i a mediului de lucru;
Securitatea informaiei i a comunicaiei la nivel logic;
Politici de realizare a copiilor de siguran i a recuperrii datelor n caz de distrugeri. Monitorizarea sistemelor informatice i acordarea asistenei tehnice presupune stabilirea departamentelor sau a personalului implicat n monitorizarea i evaluarea performanelor sistemelor informatice precum i modul de acordare a asistenei tehnice. Politicile de securitate a sistemelor informatice trebuie s prevad cel puin aceste puncte cheie. n funcie de profilul i de activitatea companiei se pot identifica i alte cerine de securitate ce pot fi incluse n cadrul politicilor de securitate.