Reeaua de calculatoare i de comunicaii, ca sistem deschis, este vulnerabil la atacuri

informatice. Ca urmare, apar mai multe riscuri asociate sistemelor

informaionale/sistemelor informatice financiar-contabile ale agenilor economici:
a) Riscurile de mediu - hardware i reele de comunicaii;
- sistem de operare;
- softuri de aplicaie;
- informaiile procesate de sistem;
b) Riscuri asociate mediului:
- pericole naturale si dezastre
- alterarea sau furtul aplicaiilor, respective a datelor;
- erori umane sau tehnice;
- incompetena managerial;
- pierderi financiare previzibile;
c) Riscuri asociate unui sistem informatic:
- pierderea, deturnarea i modificarea informaiilor;
- accesul neautorizat la informaii;
- ntreruperea procesrii.
Securitatea informaiei pentru agenii economici este domeniul aprut ca urmare a
creterii volumului de informaii, informaii care sunt cele mai de pre bunuri. Problema
de baz este c natura informaiei mpreun cu mediul de creare, dezvoltare, stocare i
transmitere este dificil de controlat. Progresul rapid al tehnologiei n interconectivitate i
capacitate de calcul a dus la apariia breelor de securitate accidentale sau intenionate.
Astfel se poate afirma c asigurarea securitii 100% este practic imposibil de
realizat i rmne ca o provocare pentru specialiti
Una dintre problemele majore ale securitii e-business (afacerilor electronice)
este aceea c se tinde ca arhitectura s fie realizat pe componente pierzndu-se astfel
imaginea de ansamblu.
Modelul de baz pentru arhitectura de securitate pe trei niveluri este cel oferit de
IBM i se refer la:
-securitatea la nivel de reea;
-securitatea la nivel de sistem;
-securitatea la nivel de tranzacii.
Se poate afirma c soluiile de securitate sunt implementate pentru contracararea
grupurilor de ameninri i vulnerabiliti. Astfel se poate afirma c politica de securitate
const n realizarea unui catalog de ameninri i vulnerabiliti precum i din
achiziionarea tehnologiilor specifice contacarrii acestora prin implementarea de soluii
specifice pentru baze de date, servicii, componente de sistem i sisteme de operare.
Principalele inte ale atacurilor informatice din ultimii ani sunt reprezentate de
agenii economici productivi, serviciile financiare, de sntate i guvernamentale. Studii
de dat recent arat c agenii economici sunt supui unei creteri a atacurilor
informatice personalizate (e-mail-uri infectate cu virui informatici, spyware, atacuri la
securitatea sistemului cu scopuri criminale) concomitent cu scderea ponderii atacurilor
informatice mai puin profitabile (virui clasici, spam-uri etc.). Atacurile informatice
profitabile urmresc sustragerea datelor confideniale din bazele de date ale agentului
economic sau furtul de fonduri financiare electronice ctre conturile atacatorului.

Firma IBM a anunat c n semestrul I al anului 2005 criminalitatea informatic,

ndreptat mpotriva agenilor economici productiv, serviciilor financiare i
guvernamentale, a crescut cu 50%.
Barometrul la scar mondial a tendinelor de securitate este reprezentat de
Indexul Global de Securitate a Afacerilor (Global Business Security Index, care arat c
atacurile informatice personalizate pentru profit s-au ndreptat, n special, mpotriva
agenilor economici din industriile spaial i a petrolului (din 217 de milioane de atacuri
informatice mpotriva securitii sistemelor informatice, n semestrul I al anului 2005, 16
de milioane de atacuri informatice au fost ndreptate mpotriva agenilor economici din
sectorul productiv)1.
Compania IBM atrage atenia c atacurile informatice personalizate de tipul
phising ce sunt executate cu scopul splrii banilor murdari (Laundering Money) i al
furtului de identitate, devin predominante (n semestrul I al anului 2005, au existat 15 de
milioane de atacuri de tip phising).
n aceeai ordine de idei, n anul 2005, n Romnia a devenit de notorietate cazul
ATM-ului montat de infractorii informatici n scara unor blocuri din Bucureti prin care
s-au furat identiti de pe cardurile bancare citite de la cei care au ncercat s scoat
bani de pe acest ATM. Cu aceste identiti (nume client bancar, cod pin etc), infractorii
informatici au furat toate sumele existente n conturile bancare respective.
Securizarea se face pe diverse componente de la desktop i continund cu reeaua
local, Internet i chiar autentificarea cu alte servere.
Se cunoate o multitudine de metode prin care o afacere electronic poate fi
atacat de hackeri, crackeri, ameninri cunoscute ca: hacking, cracking, spoofing,
sniffing, virui, viermi, cai troieni, denial of service (DoS).
Privit din punct de vedere al afacerilor, atacurile de tip denial of service-DoS sunt
cele mai periculoase ntruct pot mpiedica accesul la resurse, fr a provoca neaprat
pierderi de date, ns pagubele financiare produse prin nefurnizarea serviciilor ctre
clieni pot avea consecine grave. Tocmai din acest motiv o strategie corect aleas poate
nltura aceste inconveniente.
Problemele securitii se pot grupa n:
Pierderea integritii datelor;
Pierderea confidenialitii datelor;
Pierderea controlului;
Pierderea serviciilor.
Pentru a prentmpina aceste pierderi, o politic de securitate ar trebui s
identifice partenerii care particip la afacere, s confirme aciunile realizate de un anumit
utilizator, s asigure accesul la informaii numai persoanelor autorizate, s protejeze
informaia pe parcursul tranzitului sau la stocare, s poat genera audit pentru verificarea
tranzaciilor.
Politicile de securitate privesc agentul economic n toate domeniile activitii pe
care acesta o desfoar.
Se consider ca fiind eficient o politic de securitate pentru afaceri electronice,
dac include urmtoarele obiective:
Confidenialitatea care implic accesibilitatea informaiei doar persoanelor
autorizate. Domeniile n care se ine cont de cofidenialitate n cadrul unui agent
1

IBM Global Business Security Intelligence

economic sunt: marketing, activitate financiar-contabil, legislativ, comunicaii,

IT. Pentru a se menine confidenialitatea utilizatorilor, trebuie gsite mijloce
secrete, pentru a o face inaccesibil vizualizrii neautorizate. Aceleai restricii se
impun i informaiei n tranzit. Cnd informaia circul de la o entitate la alta,
trebuie s existe o metod care s asigure transportul acesteia ctre destinatar.
Integritatea presupune acurateea informaiei, astfel nct ea s nu poat fi
modificat sau accesat n mod neintenionat sau neautorizat. Un caz extrem de
pierdere a integritii este pierderea bazei de date sau nlocuirea ei cu altceva prin
interceptare sau modificare n timpul tranzitului. Aceste modificri pot proveni de
la hacker, administrator de reea sau de la diverse instituii care se ocup cu
colectarea informaiilor.
Disponibilitatea este o cerin fundamental a securiti i se refer la faptul c
sistemele, datele i alte resurse sunt utilizabile numai atunci cnd este necesar,
fr a ine cont de posibile dificulti cauzate de mediu. Lipsa de disponibilitate i
are cauza n atacurile de tip denial of service (DoS). Ca pri componente ale
disponibilitii sunt fiabilitatea i senzitivitatea sistemului, n care fiabilitatea
reprezint funcionarea sistemului la parametrii dai, iar senzitivitatea se refer la
ct de repede se poate restabili un serviciu dup o cdere a sistemului.
Uzul legitim are trei componente: identificarea, autentificarea i autorizarea.
Identificarea este procesul prin care un utilizator este recunoscut de serverul cu
care efectueaz o tranzacie. Ca metod de identificare se folosete numele de
utilizator i parola. Autentificarea funcioneaz n dublu sens i anume:
utilizatorii autentific serverul, iar serverul autentific utilizatorii. Ca metod de
autentificare este cunoscut certificatul digital. Autentificarea acestor certificate
este fcut de o companie numit autoritate de certificare, iar procesul se numete
Infrastructura Cheii Publice sau PKI. Dup ce o entitate a fost certificat ca fiind
identificat corect, pasul urmtor va fi cel de folosire legitm a anumitor drepturi,
care pot include accesul la fiiere, manipulare de date,etc.
Audit;
Non-repudiere.
Se poate afirma c non-repudierea este activitatea prin care se dovedete c una
din prile implicate n tranzacie a efectuat aciunea respectiv, ea oferind
utilizatorului sigurana provenienei datelor i de asemenea asigur c datele au
fost primite corect de receptor. Aceast cerin este util verificrii preteniilor
ridicate de fiecare parte implicat i pentru stabilirea responsabilitilor n cazul n
care apar litigii. n cazul n care securitatea nu este de nivel nalt, cel care a produs
mesajul nu este sigur c destinatarul a primit informaia corect i nici nu are
certitudinea c destinatarul cunoate expediorul mesajului.
O infrastructur e-business (afaceri electronice) producre informaii de
audit n condiiile n care este completat de un sistem non-repudiere de urmrire
a tranzaciilor. Sistemul non-repudiere trebuie sincronizat cu urmrirea
tranzaciilor pentru stabilirea ct mai exact a punctelor de responsabilitate.

2.1 Politici de securitate

Un element cheie utilizat n controlul intern al agentului economic l reprezint
politica de securitate aplicat sistemelor informatice. Aceasta repezint un cadru
general din care deriv toate celelalte metode i recomandri de securitate privind agenii
economici.
n sprijinul acestei idei vine i Legea pentru ratificarea Conveniei Consiliului
Europei privind criminalitatea informatic, adoptat la Budapesta la 21 noiembrie 2001,
aprobat de Romnia n aprilie 2004, care specific msurile de adoptat la nivel naional
pentru infraciuni mpotriva confidenialitii, integritii i disponibilitii datelor i
sistemelor informatice.
n prevederile acestei legi se fac referiri la accesarea ilegal i fr drept a
ansamblului ori a unei pri a unui sistem informatic. Astfel una din pri poate
condiiona comiterea nclcrii prin violare a msurilor de securitate, cu intenia de a
obine date informatice ori cu alt intenie delictual, sau poate eluda utilizarea autorizat
a unui sistem informatic conectat la un alt sistem informatic.
Se incrimineaz ca infraciune, interceptarea intenionat i fr drept, efectuat
prin mijloace tehnice, a transmisiilor de date informatice care nu sunt publice, destinate,
provenite sau aflate n interiorul unui sistem informatic, inclusiv a emisiilor
electromagnetice provenind de la un sistem informatic care transport astfel de date.
Infraciune este considerat i afectarea integritii datelor care presupune distrugerea,
tergerea, deteriorarea, modificarea sau eliminarea datelor informatice.
Referiri se fac i asupra afectrii integritii sistemului, prin fapta comis
intenionat de a distruge, terge, altera sau suprima datele informatice, precum i la
abuzurile asupra dispozitivelor.
Legea prevede un capitol special dedicat infraciunii informatice, infraciuni
cunoscute sub denumirea de falsificare informatic i fraud informatic.
Prin falsificare informatic se definete introducerea, alterarea, tergerea sau
suprimarea intenionat i fr drept a datelor informatice, din care s rezulte date
neautentice, cu intenia ca acestea s fie utilizate n scopuri legale ca i cnd ar fi
autentice, chiar dac sunt sau nu n mod direct lizibile i inteligibile.
Frauda informatic presupune aducerea unui prejudiciu prin introducere,
alterare, tergere sau suprimare de date informatice i prin
orice alt form din care rezult atingerea funcionrii unui sistem informatic.
Pentru astfel de aciuni se prevd o serie de msuri legislative.
Conform acestor deziderate luate n considerare de legea amintit anterior,
politica de securitate trebuie dezvoltat i implementat pentru a preveni i nltura
breele existente n securitatea agenilor economici. Procedurile privind aplicarea
politicii de securitate trebuie s fie realizate astfel nct s in cont de legislaia n
vigoare, de noile tendine de dezvoltare ale activitii agenilor economici i de
tehnologia informaiei. Noile politici de securitate dezvoltate precum i modificrile
intervenite n cadrul celor existente trebuie comunicate personalului i n unele cazuri i
agenilor economici teri.
Termenii de politici, standarde i recomandri de securitate pentru afacerile
electronice sunt adesea confundate i pot exista neconcordane n aplicarea lor.

Diferenele existente trebuie comunicate i nelese de ctre personal tocmai pentru

asigurarea succesului n aplicare.
Soluiile de securitate au ca punct de pornire politica acestora. Pentru protecia
informaiilor trebuie s se cunoasc n prealabil ceea ce este important de protejat precum
i ce mijloace sunt luate n calcul pentru protecie.
O prim metod ar fi protecia pe fiecare component a arhitecturii.
O politic de securitate eficient trebuie s rspund urmtoarelor cerine:
care sunt informaiile confideniale care trebuie a fi protejate;
ce componente sunt vulnerabile;
care este procedura cea mai eficient pentru asigurarea confidenialitii;
cum se cripteaz informaiile;
care este domeniul celor autorizai s acceseze i s modifice informaia;
care este cel mai bun sistem de autentificare care se va utilza;
care este cel mai bun mecanism ce va identifica intruziunile:
care este structura componentelor critice din infrastructura e-business (afaceri
electronice);
ce proceduri de tratare a incidentelor se vor folosi n caz de apariie a acestora;
care sunt planurile de asigurare a continuitii i minimizrii ntreruperilor serviciilor.
Din politica de securitate trebuie s fac parte analiza de risc.
Analiza de risc const din identificarea vulnerabilitilor, ameninrilor i
costurilor acestora. De remarcat este fapul c eficiena unei msuri implementate este
direct proporional cu costul acesteia.
Un alt aspect al politicii de securitate este i implementarea celor mai performante
practici n securizarea infrastructurii e-business (afaceri electronice), n care se pune cu
acuitate problema vulnerabilitii. Strategia pus la punct pentru vulnerabilitate
presupune elemente de tehnologia semnturii digitale, PKI, disponibilitatea i
integritatea datelor.
Din aceast categorie fac parte:
managementul i securitarea reelei:
protecia fizic a calculatoarelor;
firewall;
criptarea;
PKI;
Tratarea incidentelor;
Soft antivirus;
Certificat digital;
Controlul accesului;
Securizarea comunicaiilor.
Politicile de securitate reprezint un cadru de securitate de nivel nalt care
precizeaz scopurile agenilor economici referitor la realizarea controlului i a securitii
sistemelor informatice. Politicile trebuie s precizeze responsabilitiile personalului
implicat n exercitarea controlului i sunt de regul stabilite de manageri de pe diferite
nivele i aprobate de consiliul director al agenilor economici .
Politicile stabilesc msurile i regulile ce trebuie respectate pentru a preveni i
asigura securitatea la nivel fizic (al componentelor hardware) i la nivel logic (pentru
5

software) i la nivelul datelor mpotriva accesului neautorizat, al distrugerilor i

dezastrelor ce pot interveni. n cadrul politicilor nu se detaliaz metodele de asigurare a
securitii, cum sunt de exemplu, condiiile pe care trebuie s le respecte parolele sau
modul de acces al utilizatorilor etc.
Modificrile intervenite n cadrul politicilor trebuie discutate i aprobate de
consiliul director, comunicate i aplicate de ctre personalul agentului economic.
n cadrul politicii de securitate care privete un agent economic trebuie s existe
cteva seciuni distincte care s reglementeze modul de realizare i implementare a
controlului pe diferite nivele.
Aceste seciuni sunt urmtoarele:
1. Obiectivele de securitate i moduri de realizare
2. Dezvoltarea i achiziionarea de sisteme informatice
3. Securitatea echipamentelor i informaiei
4. Monitorizarea sistemelor informatice i acordarea asistenei tehnice.
Obiectivele de securitate i modurile de realizare se refer la sistemele
informatice i de telecomunicaii i presupun:
definirea i specificarea diverselor tipuri de echipamente hard i sisteme
informatice i de telecomunicaie necesare n procesarea informaiilor cu
care opereaz agentul economic;
a modului n care aceste sisteme trebuie implementate i controlate pentru
asigurarea eficienei i calitii;
identificarea punctelor cheie din cadrul proceselor organizaiei;
stabilirea personalului responsabil pentru asigurarea controlului.
Dezvoltarea i achiziionarea de sisteme informatice. n aceast seciune se
stabilesc necesitile i cerinele pentru implementarea sistemelor informatice precum i
modul de realizarea a acestora.
n cazul sistemelor dezvoltate n cadrul agenilor economici se stabilesc
etapele de realizare i obiectivele fiecrei faze, urmrind ciclul de via al
sistemelor;
Specificarea cerinelor pentru fiecare etap i faz a sistemului informatic;
Soluii alternative care pot fi luate n calcul atunci cnd exist mai multe
posibiliti pentru o etap sau faz;
Analiza sistemului informatic;
Proiectare ;
Implementare;
Testare;
Monitorizare.
In cazul sistemelor achiziionate se specific modul de achziionare,
implementare, testare, monitorizare i evaluare a performanelor precum i
modul de liceniere a acestora. Verificarea acestor faze conduce la sporirea
securitii modului de folosire ct i a cadrului legal n care sistemele
informatice respective au fost achiziionate.
Securitatea echipamentelor i informaiei specific trei nivele de securitate:
Controlul i securizarea echipamentelor hardware i a mediului de lucru;

Securitatea informaiei i a comunicaiei la nivel logic;

Politici de realizare a copiilor de siguran i a recuperrii datelor n caz de
distrugeri.
Monitorizarea sistemelor informatice i acordarea asistenei tehnice
presupune stabilirea departamentelor sau a personalului implicat n monitorizarea
i evaluarea performanelor sistemelor informatice precum i modul de acordare
a asistenei tehnice.
Politicile de securitate a sistemelor informatice trebuie s prevad cel puin
aceste puncte cheie. n funcie de profilul i de activitatea companiei se pot identifica i
alte cerine de securitate ce pot fi incluse n cadrul politicilor de securitate.