Sunteți pe pagina 1din 25

Referat

La protecia civil
Tema:Securitatea Informaional

Realizat de: Lupacu Dinu

Tema 13. Securitatea sistemelor informaionale


1.Securitatea SI: definiii, noiuni principale, clasificarea pericolelor de securitate
2.Metodele de protecie a SI
3.Sistemele de identificare i delimitare a accesului la informaie n cadrul SI
4.Managementul sistemului de securitate informaional al firmei
5. Politica european n domeniul securitii informatice
1.Securitatea SI: definiii, noiuni principale, clasificarea pericolelor de securitate
Potenialul societii informaionale (impactul instaurrii erei informatice constituie pentru epoca
modern ceea ce au nsemnat cronologic pentru omenire, descoperirea focului, fierului,
petrolului etc) este n continu cretere datorit dezvoltrii tehnologice i a cilor de acces
multiple. n acest context, desfurarea n bune condiii a activitii securitii sistemelor
informatice impune existena unui sistem IT funcionabil. Managementul securitii sistemelor
IT constituie un factor hotrtor in buna desfurare a activitii unei companii, pentru asigurarea
proteciei datelor i a efecturii de tranzacii electronice n condiiile n care activitatea celor mai
multe instituii, ntreprinderi depinde n proporie de circa 67 % de propriul lor sistem informatic.
Se pot enumera printre principalele mijloace tehnice implementate de ntreprinderile societii
moderne a cror activitate nu se poate desfura optim fr un sistem informatic bine pus la
punct: programe antivirus, salvare a datelor, instruire referitoare la importana implementrii i
urmririi msurilor de securitate.
Societatea informaional impune:
reglementarea legilor i drepturilor pentru dezvoltarea comerului electronic;
mbuntirea productivitii i calitii vieii.
Securitatea informaiei se definete ca capacitatea sistemului de prelucrare a informaiei de a
asigura n anumit perioad de timp a posibilitii de executare a cerinelor stabilite dup
mrimea probabilitii realizrii evenimentelor, manifestate n:
-exodul informaiei;
-modificarea sau pierderea de date, ce prezint anumit valoare pentru deintor.
Cauzele acestor evenimente pot fi:
-impactul aciunilor cu caracter stocastic ale omului;
-impactul aciunilor premeditate ale omului n form de acces nesancionat n sistem.
Asigurarea securitii datelor presupune realizarea a patru obiective:
1. Confidenialitatea, uneori numit secretizare, i propune s interzic accesul neautorizat al
persoanelor la informaia care nu le este destinat. Confidenialitatea reprezint elul suprem al
securitii calculatoarelor. Pentru asigurarea confidenialitii trebuie tiut care sunt informaiile
care trebuie protejate i cine trebuie sau cine nu trebuie s aib acces la ele. Aceasta presupune s
existe mecanisme de protecie a informaiilor care sunt stocate n calculatoare i care sunt
transferate n reea ntre calculatoare. n Internet, confidenialitatea capt noi dimensiuni sub
forma unor msuri de control al confidenialitii. rile dezvoltate, Statele Unite, Canada,
Australia, Japonia etc., au reglementat prin lege controlul confidenialitii.
2. Integritatea, uneori numit acuratee, i propune ca datele stocate n calculator s nu poat fi
alterate sau s nu poat fi modificate dect de persoane autorizate. Prin alterarea datelor se
nelege att modificarea voit maliioas, ct i distrugerea acestora. Dar datele pot fi alterate, sau
chiar pierdute/distruse, nu numai ca urmare a unei aciuni ruvoitoare, ci i ca urmare a unei
erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. n acest

caz se impune s existe un plan de recuperare i refacere a datelor(existena unei copii de


siguran).
3. Disponibilitatea i propune ca datele stocate n calculatoare s poat s fie accesate de
persoanele autorizate. Utilizatorii trebuie s aib acces doar la datele care le sunt destinate. Se
pot distinge aici dou categorii de utilizatori, cu drepturi de acces diferite: administratorii de
sistem i utilizatorii generali, excepie fcnd sistemele de operare care echipeaz calculatoarele
desktop. Orice utilizator general va putea s schimbe configurrile de securitate ale
calculatorului mergnd pn acolo nct s le anuleze.
4. Nerepudierea, termen recent aprut n literatura de specialitate, i propune s confirme
destinatarului unui mesaj electronic faptul c acest mesaj este scris i trimis de persoana care
pretinde c l-a trimis. n acest fel se asigur ncrederea prilor. Expeditorul nu poate s nege c
nu a trimis el mesajul. Nerepudierea st la baza semnturilor digitale, asigurnd autenticitatea
acestora, n noua pia a comerului electronic (E-Commerce).
Obiectele critice (supuse securitizrii, controlului sau/ i gestiunii n condiii de siguran):
-sisteme de telecomunicaie;
-sisteme bancare;
-staii atomice;
-sisteme de gestiune a transportului aerian i rutier;
-sisteme de prelucrare i pstrare a informaiei secrete i confideniale.
Proprietile de siguran a sistemelor critice:
-integritatea sistemului, care se definete ca capacitatea mijloacelor tehnice de calcul sau a
sistemului automatizat de a asigura constana (invariabilitatea) formei i a calitii informaiei n
condiiile de deformare stocastic sau de ameninare cu distrugerea;
-inofensivitatea informaiei, care se definete ca starea de protejare zascicennosti a informaiei,
prelucrate cu ajutorul mijloacelor tehnice de calcul sau sistemelor automatizate de la ameninri
interne sau externe.
Dei n societatea informaional varietatea crimelor este mare (i va fi i
mai mare pe msur ce tehnologia va progresa), urmtoarele fapte
infracionale sunt cele mai frecvente: frauda informatic falsul informatic,
fapte ce prejudiciaz datele sau programele pentru calculator, sabotajul
informatic accesul neautorizat, intercepia neautorizat, pirateria software,
spionajul informatic, defimarea prin Internet distribuirea de materiale
obscene n Internet, spam-ul.
Noiunile-cheie:
-accesul neautorizat reprezint accesul fr drept la un sistem sau la o reea
informatic prin violarea regulilor de securitate;
-confidenialitatea datelor atribut al datelor ce caracterizeaz accesul lor
restrns pentru un anumit grup de utilizatori;
-criminalitatea informatic totalitatea infraciunilor comise cu ajutorul
calculatorului sau n mediul informatizat;
-documentul electronic (nscris electronic), reprezint o colecie de date n
format electronic ntre care exist relaii logice i funcionale, care redau
litere, cifre sau orice alte caractere cu semnificaie inteligibil, destinate a fi
citite prin mijlocirea unui program informatic sau a altui procedeu similar;
-dreptul comerului electronic totalitatea reglementrilor legale referitoare
la activitile comerciale care implic transferul de date i realizarea unei
tranzacii financiare prin intermediul unei reele electronice precum
Internetul;

-drept informatic sau dreptul societii informaionale este un sistem unitar


de reguli juridice aplicabile tehnologiilor specifice informaticii, precum i
acelei pri a comunicaiei aferente transferului de informaie n reelele
informatice;
-dreptul securitii informatice totalitatea regulilor juridice care se refer la
asigurarea securitii sistemelor informatice i a datelor i informaiilor
cuprinse n aceste sisteme fa de evenimente care le-ar putea afecta
integralitatea;
-frauda informatic reprezint intrarea, alterarea, tergerea sau
supraimprimarea de date sau de programe pentru calculator sau orice alt
ingerin ntr-un tratament informatic care i influeneaz rezultatul, cauznd
chiar prin aceasta un prejudiciu economic sau material n intenia de a obine
un avantaj economic nelegitim pentru sine sau pentru altul;
-funcionarea licit a bazei sau bncii de date se refer la modalitatea legal
n virtutea creia organizaia proprietar sau deintor a bazei de date
presteaz servicii informatice;
-intercepia neautorizat, const n intercepia fr drept i cu mijloace
tehnice de comunicaii cu destinaie, cu provenien i n interiorul unui
sistem sau reele informatice;
-pirateria software const n reproducerea, difuzarea sau comunicarea n
public, fr drept, a unui program pentru calculator, protejat de lege;
-sabotajul informatic, reprezint intrarea, alterarea, tergerea sau
supraimprimarea de date sau de programe pentru calculator ori ingerina n
sisteme informatice cu intenia de a mpiedica funcionarea unui sistem
informatic sau a unui sistem de telecomunicaii;
-semntura electronic, reprezint o colecie de date n format electronic
incorporate, ataate sau asociate unui nscris n format electronic cu intenia
de a produce efecte juridice i care permite identificarea formal a
semnatarului;
-spionajul informatic, const n obinerea prin mijloace ilegitime sau
divulgarea, transferul sau folosirea fr drept ori fr nici o alt justificare
legal a unui secret comercial sau industrial, n intenia de a cauza un
prejudiciu economic persoanei care deine dreptul asupra secretului sau de a
obine pentru sine ori pentru altul avantaje economice ilicite.
Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete
procedurile de sistem, arhitectura sistemului, implementarea acestuia,
controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de
sistemele de securitate i a avea acces neautorizat la informaii. Orice
calculator este vulnerabil la atacuri. Politica i produsele de securitate ale
firmei pot reduce probabilitatea ca un atac asupra calculatorului s aib
puine anse de reuit. Principalele vulnerabiliti n sistemele de calcul
sunt: fizice; naturale; hardware; software; medii de stocare; radiaii;
comunicaii; umane. Toate aceste vulnerabiliti vor fi exploatate de
persoane ruvoitoare. Referitor la scara vulnerabilitilor putem s distingem
trei mari categorii [6]:
vulnerabiliti care permit DoS (refuzul serviciului);
vulnerabiliti care permit utilizatorilor locali s-i mreasc privilegiile
limitate, fr autorizare;
vulnerabiliti care permit utilizatorilor externi s acceseze reeaua n mod
neautorizat.

O alt clasificare poate fi fcut dup gradul de pericol pe care-l reprezint


vulnerabilitatea pentru sistemul supus atacului [6] (tabelul 1.4.1.):
Tabelul 1.4.1.
Grad de
vulnerabilit
ate
A
B

Gradele de vulnerabilitate i consecinele acestora


Mod de atac
Consecine
Scripturi CGI cu opiuni
prestabilite

Permite accesul necondiionat al utilizatorilor ru


intenionai

Vulnerabilitate criptare
RSH
Fiiere cu parole fr
shadown
Trimitere de pachete flood

Permite utiliyatorilor locali/generali s-i


mreasc privilegiile i s obin control asupra
sistemului
Permite utilizatorilor din interior sau exterior s
altereze procesele de prelucrare

Grad de vulnerabilitate Mod de atac Consecine

Vulnerabilitile care permit refuzul serviciului fac parte din categoria C i


exploateaz golurile din sistemul de operare, mai precis golurile la nivelul
funciilor de reea. Aceste goluri sunt detectate uneori la timp i acoperite de
ctre productor prin programe -patch-uri. Acest tip de atac permite ca unul
sau mai muli indivizi s exploateze o particularitate a protocolului IP
(Internet Protocol) prin care s interzic altor utilizatori accesul autorizat la
informaie. Atacul, cu pachete TCP SYN, presupune trimiterea ctre
calculatorul-int a unui numr foarte mare de cereri de conexiune, ducnd
n final la paralizarea procesului. n acest fel, dac inta este un server,
accesul la acesta e blocat i serviciile asigurate de acesta sunt refuzate. Un
atac asemntor poate fi declanat i asupra unui utilizator. Acest lucru este
posibil datorit. Modului de proiectare a arhitecturii WWW.
Vulnerabilitile care permit utilizatorilor locali s-i mreasc privilegiile
ocup o poziie medie, B, pe scara consecinelor. Un utilizator local, adic un
utilizator care are un cont i o parol pe un anume calculator, va putea, n
UNIX, s-i creasc privilegiile de acces folosind aplicaia sendmail. Atunci
cnd este lansat programul, se face o verificare s se testeze dac
utilizatorul este root, numai acesta avnd drept de a configura i trimite
mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat n aa fel
nct s se ocoleasc verificarea. Astfel, un utilizator local era drepturi de
acces ca root. O alt posibilitate o reprezint exploatarea zonelor de
memorie tampon (buffer-e).
Vulnerabilitile care permit utilizatorilor externi s acceseze reeaua n mod
neautorizat fac parte din clasa A, pe scara consecinelor. Aceste atacuri sunt
cele mai periculoase i mai distructive. Multe atacuri se bazeaz pe o slab
administrare a sistemului sau pe configurarea greit a acestuia. Cea mai
cunoscut vulnerabilitate este coninut de un fiier cu denumirea test.cgi,
distribuit cu primele versiuni de ApacheWeb Server. Acesta coninea o eroare
care permitea intruilor din exterior s citeasc coninutul directorului CGI. i
aceasta din cauza a dou ghilimele () nepuse. Platformele Novell, cu servere
HTTP, erau vulnerabile din cauza unui script cu numele convert.bas.
Scriptul era scris n Basic i permitea utilizatorilor de la distan s citeasc
orice fiier sistem.

O alt vulnerabilitate este ntlnit la serverele IIS (versiunea 1.0) de la


Microsoft i permite oricrui utilizator de la distan s execute comenzi
arbitrare.
Vulnerabilitile din clasa A pot fi ntlnite i la urmtoarele programe: FTP,
Goopher, Telnet, NFS, ARP, Portmap, Finger.
Exist i programe care pot s prezinte vulnerabiliti asociate a dou clase.
n concluzie, ameninrile la adresa securitii se pot clasifica n trei
categorii: naturale i fizice; accidentale; intenionate.
Ameninrile naturale i fizice vin din partea fenomenelor naturale sau a
altor elemente fizice care interacioneaz cu calculatoarele. Se pot enuna
aici cutremurele, inundaiile, furtunile, fulgerele, cderile de tensiune i
supratensiunile etc. Se poate aciona n sensul minimizrii efectelor
ameninrilor sau chiar al eliminrii acestora. Se pot instala dispozitive de
avertizare n caz de dezastre naturale sau dispozitive care s elimine efectul
acestora.
Ameninrile cu caracter neintenionat vin din partea oamenilor. Acetia pot
produce ameninri i dezastre asupra calculatoarelor din cauza neglijenelor
n manipularea diferitelor componente, insuficientei pregtiri profesionale,
citirii insuficiente a documentailor etc.
Ameninrile intenionate sunt i cele mai frecvente. Aceste ameninri pot fi
categorisite n: interne; externe.
Ameninrile interne vin din partea propriilor angajai. Acetia au acces mai
uor la informaie, avnd de trecut mai puine bariere i tiind i o parte din
politica de securitate a firmei.
Ameninrile externe vin din partea mai multor categorii, i anume: agenii
de spionaj strine; teroriti i organizaii teroriste; criminali; raiders; hackeri
i crackeri.
Ageniile de spionaj strine au tot interesul s intre n posesia de informaii
referitoare la noile tehnologii. Firmele productoare de nalt tehnologie sunt
inta atacurilor care vin din partea acestora. Se impune ca aceste firme s
foloseasc tehnologii i programe de criptare foarte sofisticate pentru a
proteja informaiile.
Ameninarea inofensivitii i integritii se definesc ca aciuni potenial posibile asupra
sistemului de calcul, care ar putea direct sau indirect frauda securitatea i integritatea informaiei
a sistemului de prelucrare.
Fraudarea integritii informaiei const n deformarea informaiei, care pot condiiona
schimbri a formei i a calitii informaiei.
Fraudarea inofensivitii informaiei se definete ca deformarea strii de protejare a informaiei
coninute n sistemul de calcul prin realizarea accesului nesancionat a obiectelor sistemului.
Accesul nesancionat (neautorizat) la obiect se definete ca obinerea de ctre utilizator sau
program a accesului la obiect, pentru care autorizarea, n conformitate cu politica de securitate
aprobat, lipsete.
Atacul se definete ca realizarea ameninrii.
Clasificarea ameninrilor:

-dup mijloacele de realizare/ de acionare asupra sistemului de calcul (n clase):


1.intervenia omului n funcionarea sistemului de calcul:
-mijloacele organizaionale de perturbare a securitii sistemului de calcul, inclusiv:
-furtul purttorului informaiei;
-accesul nesancionat la dispozitivele de pstrare i prelucrare a informaiei;
-deteriorarea utilijului, etc.;
-realizarea de ctre infractor a accesului nesancionat la componentele de program a
sistemului de calcul, inclusiv:
-toate modalitile de penetrare neautorizat n sistem;
-modalitile de obinere de ctre utilizatorul-infractor a drepturilor ilegale la
accesul la componentele sistemului;
msurile de asigurare a securitii sistemului la astfel de pericole pot fi:
-organizatorice (paza, regim de acces la dispozitivele sistemului);
-perfecionarea sistemelor de delimitare a accesului n sistem;
-sisteme de depistare a tentativelor de selectare a parolelor;
2.intervenia tehnic n funcionarea sistemului de calcul:
-obinerea informaiei dup radiaia electromagnetic a dispozitivelor sistemului;
-aciune electromagnetic asupra canalelor de transmitere a informaiei;
-alte metode;
msurile de protecie contra astfel de emeninri pot fi:
-organizatorice;
-tehnice (ecranarea radiaiei dispozitivelor, protecia canalelor de transmitere a
informaiei de la ascultare nesancionat);
-de programare (ifrarea mesajelor n canalelor de comunicaie);
3.aciune distructiv asupra componentelor de program a sistemului de calcul cu ajutorul
mijloacelor de program, inclusiv:
-virui;
-calul Troian;
-mijloacel de penetrare n sisteme la distan cu utilizarea reelelor locale i
globale;
msurile de protecie pot fi:
-sisteme tehnice;
-sisteme de program.
2

Monitor

Adapterul de reea

Calculatorul

Mediul de calcul

Subsistemul de discuri

Tastatura
Des.3.1.Clasificarea ameninrilor securitii sistemelor de calcul

033

2. Metodele de protecie a sistemelor informaionale


La metodele de protejare a mijloacelor de pstrare i transmitere a informaiei de la accesul
nesancionat se refer:
-organizaional-tehnice de baz, inclusiv:
-limitarea accesului;
-delimitarea accesului;
-separarea accesului (privilegiilor);
-transformrile criptografice a informaiei;
-controlul i evidena accesului;
-msuri legislative, etc.
-suplimentare, condiionate de: 1.complicarea procesului de prelucrare: mrirea numrului de
mijloace tehnice, numrului i a tipurilor aciunilor stocastice, apariia noilor canale de acces
nesancionat; 2.mrirea volumelor informaiei, concentrarea informaiei, mrirea numrului de
utilizatori, etc. , inclusiv:
-metodele controlului funcional, ce asigur depistarea i diagnosticarea refuzurilor,
perturbrilor aparaturii i erorilor condiionate de factorul uman, precum i erorile de
program;
-metodele de protecie a informaiei de la situaii de avariere;
-metodele de control a accesului la montarea intern a aparatelor, liniei de comunicaie i
organele tehnologice de gestiune;
-metodele de delimitare i control a accesului la informaie;
-metodele de identificare i autentificare a utilizatorilor, a mijloacelor tehnice, a
purttorilor de informaie i a documentelor;
-metodele de protecie de la radiaia secundar i navodok a informaiei.
Tehnologiile de restricie sunt menite s limiteze accesul la informaie. Din
aceast categorie fac parte:
1. Controlul accesului este un termen folosit pentru a defini un set de
tehnologii de securitate care sunt proiectate pentru restricionarea accesului.
Aceasta presupune ca numai persoanele care au permisiunea vor putea
folosi calculatorul i avea acces la datele stocate. Termenul de control al
accesului (acces control) definete un set de mecanisme de control
implementate n sistemele de operare de ctre productori pentru
restricionarea accesului. De aceast facilitate beneficiaz sistemele de
operare Windows, UNIX, Linux etc.
2. Identificarea i autentificarea, folosindu-se de conturi i parole, permit
doar accesul utilizatorilor avizai la informaie. Identificarea i autentificarea
poate fi fcut i cu ajutorul cartelelor electronice (smart card) sau prin
metode biometrice. Acestea presupun identificarea dup amprent, voce,
irisul ochiului etc.
3. Firewall-ul reprezint un filtru hardware sau software care stopeaz un
anumit trafic prestabilit din reea i permite trecerea altuia. Firewall-ul se
interpune ntre reeaua intern i Internet i filtreaz pachetele care trec. De
asemenea, firewall-ul poate fi folosit i n interiorul propriei reele pentru a
separa subreele cu nivele diferite de securitate.
4. VPN36-urile permit comunicarea sigur ntre dou calculatoare aflate ntro reea. O conexiune VPN se poate realiza att n reeaua local, ct i n
Internet. VPN folosete tehnologii de criptare avansat a informaiei care

face ca aceasta s nu poat s fie modificat sau sustras fr ca acest lucru


s fie detectat.
5. Infrastructura cu chei publice (PKI) i propune s asigure securitatea n
sisteme deschise, cum ar fi Internetul, i s asigure ncrederea ntre dou
persoane care nu s-au cunoscut niciodat. ntr-o structur PKI complet.,
fiecare utilizator va fi complet identificat printr-o metod garantat, iar
fiecare mesaj pe care-l trimite sau aplicaie pe care o lanseaz este
transparent i complet asociat cu utilizatorul.
6. Secure Socket Layer (SSL) reprezint un protocol Web securizat care
permite criptarea i autentificarea comunicaiilor Web utiliznd PKI pentru
autentificarea serverelor i a clienilor. Lucreaz foarte bine cu servere WWW.
Este implementat n mai multe versiuni. Versiunea SSL2 este cea mai
rspndit, iar versiunea SSL3 e cea mai sigur, dar este mai greu de
implementat.
7. Semntur doar o dat (SSO) dorete s debaraseze utilizatorul de
mulimea de conturi i parole care trebuie introduse de fiecare dat cnd
acceseaz i reacceseaz programe. Pentru aceasta utilizatorul trebuie s se
autentifice o singur dat. Dezideratul este greu de realizat datorit
varietii de sisteme. Deocamdat acest lucru se poate realiza n cadrul
firmelor care au acelai tip de sisteme. Web-ul folosete un subset SSO numit
Web SSO, funcionarea fiind posibil datorit faptului ca serverele Web
folosesc aceeai tehnologie.
Pe lng tehnologiile de restricionare, securitatea sistemelor trebuie
administrat,monitorizat i ntreinut. Pentru aceasta trebuie efectuate
urmtoarele operaii:
administrarea sistemelor de calcul, care presupune i controlul i
ntreinerea modului de acces la acestea de ctre utilizatori ; un utilizator
care folosete o parol scurt sau care este uor de ghicit va face ca acel
calculator s fie uor de penetrat. Atunci cnd un angajat este concediat sau
pleac pur i simplu din alte motive de la firma respectiv, trebuie schimbate
denumirile utilizatorului (user37) i parola; denumirea user-ului i a parolei
trebuie fcut cu foarte mare atenie i mare responsabilitate; sarcina este
de competena persoanei nsrcinate cu securitatea; parolele vor conine
att cifre, ct i litere, pentru a face ghicirea lor ct mai grea, i vor fi
schimbate periodic; divulgarea parolei altor persoane va fi sancionat
administrativ;
detectarea intruilor; trebuie fcut permanent; pentru aceasta exist
programe care controleaz traficul i care in jurnale de acces (log);
verificarea se va face la nivelul fiecrui calculator din firm; trebuie fcut
aici distincie ntre ncercrile de intruziune din afar i cele din interior; de
asemenea, trebuie separate ncercrile de acces neautorizat din reeaua
intern de accesul neautorizat la un calculator lsat nesupravegheat de ctre
utilizator.
scanarea vulnerabilitilor; este de fapt o analiz a vulnerabilitii,
presupune investigarea configuraiei la nivel intern pentru detectarea
eventualelor guri de securitate; acesta se face att la nivel hardware, ct i
software; folosirea unui scanner de parole va avea ca efect aflarea parolei n
cteva secunde, indiferent de lungimea acesteia;

controlul viruilor; se va face pentru a detecta i elimina programele


maliioase din sistemele de calcul; acestea se pot repede mprtia la toate
calculatoarele din sistem i pot paraliza funcionarea acestora sau pot
produce distrugeri ale informaiei; se impune obligatoriu s fie instalate
programe antivirus, actualizarea semnturilor de virui s se fac ct mai
des, iar scanarea pentru detectarea viruilor s se fac de oricte ori este
nevoie.
Aspectele generale privind asigurarea securitii datelor n sistemele
informatice economice:
1. Asigurarea securitii datelor n cadrul firmelor este strns legat de
posibilitile financiare ale firmei n a investi n asigurarea securitii. Firmele
mari i medii, care au i ctiguri pe msur, fac investiii n securitate.
Firmele mici nu fac astfel de investiii dect foarte rar i insuficient pentru a
se asigura o securitate minim.
2. Asigurarea securitii datelor n cadrul firmelor depinde n mare msur de
ct de contient este conducerea firmei de faptul c trebuie asigurat o
minim securitate. Conducerea firmelor mari este asigurat de ctre un
consiliu de administraie (board), unde decizia de a se investi n securitate
este luat de un grup de oameni care tiu ce nseamn riscurile. Acesta va
trebui s fie contient c trebuie asigurat securitatea datelor i s dispun
alocarea de resurse financiare ndeplinirii acestui deziderat. Unii manageri
din aceast categorie vd asigurarea securitii datelor ca un fel de gaur
neagr, unde banii se duc i nu aduc nici un beneficiu. Un rol important n
contientizarea asigurrii securitii datelor l au, n acest caz, consultanii pe
probleme de securitate sau membrii echipei IT&C (dac exist) din firm.
3. n cadrul firmelor mari exist personal specializat cu asigurarea securitii
datelor. Acesta va implementa politica de securitate a firmei i va testa
periodic calculatoarele din firm pentru descoperirea golurilor de securitate.
4. n cazurile n care firma, indiferent de mrime, nu are personal specializat
cu studiul, implementarea i gestionarea msurilor de securitate, se poate
face apel la firme specializate care s
implementeze i s gestioneze serviciile de securitate. Se poate opta i
pentru soluia mixt n care studiul i implementarea s se fac de ctre o
firm specializat, iar gestionarea acestora s se fac de ctre beneficiar,
urmnd ca periodic s se fac testri de ctre firma specializat.
5. Programele aplicative la nivelul firmelor mari i medii sunt elaborate
lundu-se n considerare i securitatea datelor. Firmele mici folosesc ori
programe piratate, ori aplicaii create de nespecialiti care nu numai c nu
au elemente de securitate ncorporate, dar, n anumite cazuri, funcioneaz
i defectuos, alternd datele.
6. Personalul angajat al unei firme nu are ntotdeauna pregtirea necesar
utilizrii calculatorului. Firmele mari i permit s angajeze personal cu
calificare nalt, n timp ce firmele mici nu-i pot permite acest lucru. Firmele
mari fac eforturi pentru pregtirea angajailor, n timp ce firmele mici fac
eforturi reduse sau deloc n ceea ce privete pregtirea personalului.
3.Sistemele de identificare i delimitare a accesului la informaie n cadrul sistemelor
informaionale

Sarcina principal a sistemului de identificare i delimitare a accesului const n nchiderea i


controlul accesului nesancionat la informaie, pentru care trebuie s fie asigurat securitatea.
Msurile de delimitare a accesului la informaie i mijloace de program de prelucrare trebuie s
se realizeze n conformitate cu obligaiunile funcionale i competenelor a utilizatorilorpersonaliti oficiale, personalului de deservire, utilizatorilor simpli.
Principiul principal de elaborare a sistemului de identificare i delimitare a accesului const n
accepiunea adresrilor ctre informaie cu indici afereni ai competenelor autorizate.
Coninutul msurilor const n efectuarea identificrii i autentificrii utilizatorilor, dipozitivelor,
proceselor, etc., separarea informaiei i a funciilor de prelucrare, montare i ntroducere a
competenelor.
Protecia informiei const n asigurarea accesului la obiectul informaional printr-un singur
canal protejat, care include funcia de identificare a utilizatorului dup codul parolei prezentate i
rezultatul pozitiv al verificrii accesului la informaie n conformitate cu competenele
determinate. Aceste proceduri sunt executate la fiecare dialog a utlizatorului.
n prezent se aplic mai muli purttori de coduri de parole: permis la sisteme de control, carduri
de identificare a personal sau documentele n original, etc., alegerea crora este determinat de
cerinele fa de sistemul automatizat, destinaia sistemului, regimul de utilizare a sistemului,
gradul de protecie a informaiei, numrul de utilizatori, tarife, etc.

4.Managementul sistemului de securitate informaional al firmei


Impactul instaurrii erei informatice constituie pentru epoca modern ceea ce au nsemnat
cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este n continu cretere
datorit dezvoltrii tehnologice i a cilor de acces multiple. Desfurarea n bune condiii a
activitii securitii sistemelor informatice impune existena unui sistem IT funcionabil.
Managementul securitii sistemelor IT constituie un factor hotrtor n buna desfurare a
activitii unei companii, pentru asigurarea proteciei datelor i efectuarea de tranzacii
electronice n condiiile n care activitatea celor mai multe instituii, ntreprinderi depinde n
proporie de circa 67 % de propriul lor sistem informatic. ntreprinderile societii moderne nu-i
pot desfurea activitatea optim fr un sistem informatic bine pus lapunct, ceea ce implic:
programe antivirus; programe de salvare a datelor ; instruire referitoare la importana
implementrii; urmrire a msurilor de securitate.
Elemente de standardizare international n domeniul managementului securitii sistemelor
informatice sunt cuprinse n :
standardul ISO/CEI 13335: Information technology-Guidelines for the management of ITSecurity cuprinde recomandri cu privire la analiza riscului pentru companii (Common
Criteria);
standardul ISO/CEI 17799: Information technology-Code of practice for information security
management se refer la implementarea politicii de securitate (SMSI) i la managementul
acestuia;.
standardul ISO/CEI 17799:2000 se refer la codul practicilor SMSI;
standardul britanic BS 7799-2:2002 se refer la cerine i la managementul sistemului de
securitate ;

standardul ISO/CEI 17799:2000 precizeaz recomandri pentru managementul securitii


informaiei pentru a putea fi folosite de ctre cei responsabili cu iniierea, implementarea sau
meninerea securitii n organizaia lor.pentru a exista control asupra tehnicii i procedurilor;
seria de standarde ISO 15408: Information technology-Evaluation criteria for IT security se
refer la evaluarea securitii sistemelor informatice prin mijloace tehnice adecvate, standardul
definind criterii de evaluare i certificare pe baza crora vor fi evaluate i certificate profilurile
de protecie.
Sunt de menionat urmtoarele:
existena politicii de securitate trebuie dovedit printr-un document obiectiv care explic ce se
ateapt de la organizaie;
informaia este un un bun economic care trebuie protejat i securizat. Nu exist cerine absolute;
TVIT-Germania este singura organizaie acreditat pentru certificarea sistemelor de securitate
n domeniu.
Securizarea sistemului de Tehnologia Informaiei este important pentru:
dezvoltarea ncrederii ceea ce d posibilitatea ntocmirii unor contracte economice pentru
tranzaciile on-line;
identificarea informaiilor critice i stabilirea claselor de criticitate;
optimizarea costurilor ntr-o companie care lucreaz n regim securizat;
asigurarea cerinelor legale referitoare la securitatea informaiilor;
educaia i instruirea;
raportarea incidentelor;
planificarea continu.
Cele mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigur un cadru
comun pentru dezvoltarea standardelor organizaionale de securitate i pentru o practic efectiv
de management al securitii informaiei .Standardul precizeaz pentru nceput:
Ce este securitatea informaiei?
De ce este necesar securitatea informaiei?
Cum se stabilesc cerinele de securitate
Evaluarea riscurilor de securitate
Selectarea controalelor
Punct de plecare pentru securitatea informaiei
Factori critici de succes
Dezvoltarea propriilor linii directoare.
Un aspect important al securitii sistemelor informatice l constituie stabilirea politicii de
securitate, care este documentul prin care se specific politica de securitate informaiei i care
trebuie permanent supus unei politici de: revizuire i evaluare. Referitor la securitatea
organizaional sunt importante de avut n vedere urmtoarele aspecte:
infrastructura securitii informaiei;
constituirea unei comisii pentru managementul securitii informaiei ;
coordonarea securitii informaiei;
alocare a responsabilitilor pentru securitatea informaiei;
procesul de autorizare pentru utilitile de procesare a informaiei;
consilierea din partea unui specialist n securitatea informaiei ;
cooperarea ntre organizaii;
revizuirea independent a securitii informaiei;
securitatea accesului terilor;
identificarea riscurilor n cazul accesului terilor;
cerinele de securitate n contractele cu terii.

O instituie n care urmeaz a se implementa sistemul de management al securitii informaiei


trebuie s nceap cu clasificarea i controlul activelor, ceea ce nseamn:
stabilirea responsabilitii pentru active;
realizarea inventarului tutor activelor din organizaie;
clasificarea informaiei;
stabilirea de ndrumri pentru clasificare;
etichetarea i gestionarea informaiei.
Asigurarea securitii personalului implic:
securitate n definire;
instruire utilizatori;
rspuns la incidente de securitate sau aciuni.
Managementul comunicaiilor i funcionrii implic
proceduri i responsabiliti operaionale
planificarea i acceptabilitatea sistemului
protecia mpotriva software-ului maliios
Alte aspecte importante de care trebuie s se in cont n implementarea managementului
securitii sistemelor informatice sunt cele privind: mentenana; magementul reelei; operarea i
securitatea mediilor de stocare; schimburile de informaie i software; controlul accesului.
mbuntirea calitii managementului sistemelor informatice implic: asigurarea securitii
sistemelor informatice pentru domeniul financiar; asigurarea sntii; telecomunicaii;
furnizarea de soluii soft; activitatea organizaiilor guvernamentale precum i a celor non-profit i
n meninerea siguranei naionale. Securitatea informaiei este vectorul care integreaz axele
principale: confidenialitate; integritate; disponibilitate.

5. Politica european n domeniul securitii informatice


Internetul intereseaz n mod esenial att marile ct i micile companii. Practic, nu exist firm
ntr-o ar cu o dezvoltare cel puin medie care s nu aib create pagini Web, pe care se gsesc
informaii despre serviciile i produsele oferite. De asemenea, consumatorii i productorii pot
comunica instantaneu prin Net, ceea ce le confer posibilitatea unei informri reciproce i a unor
comunicaii foarte ieftine. i totui, acetia nu s-au aruncat nc s fac afaceri sau
administrare la scar mare prin Internet. De ce oare aceast reinere? Motivele invocate cel mai
adesea sunt legate de securitatea tranzaciilor on-line. Preocuprile pentru securitatea reelelor i
a sistemelor informatice au crescut proporional cu creterea numrului de utilizatori ai reelelor
i cu valoarea tranzaciilor. Securitatea a atins un punct critic, reprezentnd o cerin esenial
pentru afacerile electronice i pentru funcionarea ntregii economii. Combinarea ctorva factori
a fcut ca securitatea informaiilor i a comunicaiilor s constituie unul dintre punctele
principale pe agenda politicii Uniunii Europene:
1.guvernele i-au dat seama de dependena economiilor lor i a cetenilor fa de buna
funcionare a reelelor de comunicaie i au nceput s-i revizuiasc aranjamentele de securitate;
2.Internetul a creat o legtur global, conectnd milioane de reele, mari si mici, milioane de
calculatoare personale i alte dispozitive, precum telefoanele mobile; acest lucru a redus n mod
semnificativ costurile accesrii informaiilor economice vitale n cazul unor atacuri de la
distan.

3. sunt raportai numeroi virui, care cauzeaz pierderi mari prin distrugerea informaiilor i prin
neacordarea dreptului de acces la reele. Aceste probleme de securitate nu constituie chestiuni
specifice unei ri anume, ci un fenomen ce s-a rspndit rapid printre rile membre ale UE;
4.consiliile Uniunii Europene (de la Lisabona i Feira, de exemplu) au recunoscut Internetul ca
un factor cheie al productivittii economiilor uniunii, atunci cnd au lansat Planurile de Aciune
eEurope 2002 si eEurope 2005.
n concordan cu aceste lucruri, consiliul de la Stockholm a concluzionat Consiliul mpreun
cu Comisia vor dezvolta o strategie comprehensiv asupra securitii reelelor,inclusiv aciuni
de implementare n practic.
n timp ce securitatea a devenit o problem esenial pentru cei ce alctuiesc politici, gsirea unui
rspuns adecvat a devenit o sarcin complex. Cu numai civa ani n urm, securitatea reelelor
era o problem monopol de stat, care oferea servicii specializate bazate pe reele publice, n
particular pentru reelele telefonice. Securitatea sistemelor informatice era specific
organizaiilor mari i era axat pe controlul accesului la resurse. Aceste lucruri s-au schimbat
considerabil datorit unor dezvoltri n contextul unei piee lrgite, printre care amintim
liberalizarea, convergena i globalizarea:
- reelele sunt acum n principal n proprietate privat i sunt administrate de companii
private. Serviciile de comunicare sunt oferite pe baz de competitivitate, securitatea
reprezentnd o parte a ofertei pieei. Totui, muli clieni rmn ignorani n privina
riscurilor securitii atunci cnd se conecteaz la o reea i iau decizii bazndu-se pe
informaii incomplete;
- reelele i sistemele informatice converg. Ele devin interconectate, oferind aceleai
tipuri de servicii i, mai mult, mpart aceeai infrastructur. Terminalele (calculatoarele,
telefoanele mobile etc.) au devenit un element activ n arhitectura reelelor i pot fi
conectate la diferite reele;
- reelele sunt internaionale. O parte important a comunicaiilor din ziua de azi se
realizeaz transfrontarier, tranzitnd tere ri (cteodat chiar fr ca utilizatorul s
realizeze acest lucru). Ca urmare, orice soluie n faa riscurilor de securitate trebuie s
aib n vedere acest lucru. Multe reele sunt construite din produse comerciale, de la
comerciani internaionali. Produsele de securitate trebuie s fie compatibile cu
standardele internaionale.
1. Necesitatea unei politici publice. Protejarea reelelor de calculatoare este din ce n ce mai mult
considerat drept o prioritate pentru politicieni, n special datorit nevoii de protejare a datelor,
de asigurare a unei economii funcionale, din motive de asigurare a securitii naionale i de
promovare a comerului electronic. Aceasta a condus la un ansamblu substanial de precauii
legale n cadrul Directivelor UE n ce privete protecia datelor i a Cadrului UE pentru
telecomunicaii. Aceste msuri ns trebuie aplicate ntr-un mediu rapid schimbtor de noi
tehnologii, piee concureniale, convergen a reelelor i globalizare. Aceste provocri se
coreleaz de asemenea i cu tendina pieei de a nu investi suficient n securitate, din motive ce
vor fi analizate. Securitatea reelelor i a informaiei reprezint o marf cumprat i vndut pe
pia i o parte a nelegerilor contractuale ntre pri. Piaa produselor de securitate a crescut
substanial n ultimii ani. n conformitate cu unele studii, piaa software-ului de securizare pentru
Internet valora aproximativ 4,4 miliarde de dolari la sfritul anului 1999 i va crete cu un
procent de 23% pe an pentru a atinge 8,3 miliarde n 2004. n Europa, piaa pentru securitatea
comunicaiilor electronice se prognozeaz a crete de la 465 de milioane de dolari n 2000 la 5,3
miliarde la sfritul lui 2006, paralel cu o cretere a pieei pentru tehnologii de securitate a
informaiei de la 490 de milioane de dolari n 1999 la 2,74 miliarde n 2006. Presupunerea
implicit care se face de obicei este c mecanismul preului va balansa costul ofertei de securitate
cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel nalt de securitate, n

vreme ce alii vor fi satisfcui de un nivel de securitate mai sczut dei statul ar putea s
asigure un nivel minim de securitate. Aceast diferen se va reflecta n preurile pe care vor fi
dispui s le plteasc pentru produsele de securitate. Cu toate acestea, multe riscuri rmn
nerezolvate sau soluiile se impun lent pe pia datorit anumitor imperfeciuni ale acesteia:
Costurile i beneficiile sociale: Investiiile ntr-o mai bun securitate a reelelor genereaz
costuri i beneficii sociale care nu se reflect n mod adecvat n preurile de pe pia. De
partea costurilor, actorii pieei nu sunt responsabili pentru vulnerabilitile legate de
comportamentul lor n domeniul securitii. Utilizatorii i furnizorii cu niveluri de
securitate reduse nu sunt nevoii s plteasc daune unor teri. Este ca i cum un ofer de
taxi neatent n-ar fi tras la rspundere pentru costul blocajului de trafic ce rezult n urma
accidentului provocat de el. n mod similar, pe Internet un numr de atacuri au fost
montate prin intermediul unor maini slab protejate sau au trecut de nite utilizatori
relativ neglijeni.
Beneficiile rezultate din securitate, de asemenea, nu sunt complet reflectate n preurile
de pe pia. Cnd operatorii, furnizorii sau furnizorii de servicii mbuntesc gradul de
securitate al produselor lor, o mare parte din beneficiile acestei investiii ajung nu numai
la clienii lor, dar i la toi cei afectai direct sau indirect de comunicarea electronic n
esen, toat economia.
Asimetria informaiei: Reelele devin din ce n ce mai complexe i ating o pia mai larg,
care include muli utilizatori cu prea puin nelegere a tehnologiei i a potenialelor ei
pericole. Asta nseamn c utilizatorii nu vor fi complet contieni de riscurile de
securitate i muli operatori, vnztori sau furnizori de servicii au dificulti, dat fiind
existena i gradul de ntindere al vulnerabilitilor. Multe noi servicii, aplicaii i
software ofer posibiliti atractive, dar adesea acestea sunt surse de noi vulnerabiliti
(de exemplu, marele succes al Internetului este n parte datorat multitudinii de aplicaii
multimedia care pot fi descrcate simplu, dar aceste plug-inuri reprezint i puncte de
intrare pentru atacuri). n vreme ce beneficiile sunt vizibile, riscurile nu sunt i este mai
atractiv pentru furnizori s ofere faciliti noi dect o mai bun securitate.
Problema aciunii publice: Operatorii adopt ntr-un ritm cresctor standardele Internet
sau i leag ntr-un fel sau altul reelele proprii la Internet. Cu toate acestea, Internetul nu
a fost proiectat cu msuri de securitate, ci din contr, a fost dezvoltat astfel nct s ofere
acces la informaii i s faciliteze schimbul de informaii. Aceasta a reprezentat baza
succesului su. Internetul a devenit o reea global de reele de o neegalat bogie i
diversitate. Investiiile n securitate adesea sunt eficiente doar dac muli oameni
procedeaz n acelai mod. De aceea, cooperarea pentru a crea soluii de securitate este
necesar. Dar cooperarea funcioneaz numai dac particip o mas critic de juctori,
ceea ce e dificil de obinut. Interoperabilitatea ntre produse i servicii va permite
concurena ntre soluiile de securitate. Sunt ns costuri substaniale de coordonare
implicate pe msur ce se vor generaliza soluiile globale, iar unii juctori sunt tentai s
impun o soluie aflat n posesia lor pe pia. Cum o mulime de produse i servicii nc
folosesc soluii proprii, nu este nici un avantaj n a folosi standarde sigure, care nu ofer
securitate suplimentar, dect dac toi ceilali le ofer.
Ca rezultat al acestor imperfeciuni, cadrul european pentru protecia telecomunicaiilor i
a datelor impune deja obligaii legale pentru operatori i furnizorii de servicii, n scopul
de a asigura un anume nivel de securitate n sisteme de comunicaii i informatice.
Recomandarea pentru o politic europeana n domeniul reelelor i securitii informaiei
poate fi descris dup cum urmeaz.

- n primul rnd, prevederile legale la nivelul UE trebuie aplicate efectiv, aceasta cernd o
nelegere comun a problemelor de securitate i a msurilor specifice ce seimpun.
Cadrul legal va trebui s evolueze n viitor, de exemplu, n legtur cu criminalitatea
cibernetic, semntura electronic etc.
- n al doilea rnd, anumite imperfeciuni ale pieei au condus la concluzia c forele de
pe pia nu pompeaz suficiente investiii n tehnologiile sau practicile de securitate.
Msurile politice pot revigora piaa i, n acelai timp, pot mbunti funcionalitatea
cadrului legal.
- n sfrit, serviciile din domeniul comunicaiilor i informaiei sunt oferite fr a se
granie. Aadar, o politic european este necesar n scopul de aasigura piaa intern
pentru asemenea servicii, de a beneficia de pe urma soluiilor comune i de a face
posibil o aciune eficient la nivel global. Msurile politice propuse cu privire la
securitatea reelelor i a informaiilor trebuie privite nu numai n contextul legislaiei deja
existente pentru telecomunicaii i protecia datelor, ci i n legtur cu politica mai
recent, legat de infraciuni cibernetice. O politic n privina securitii reelelor i
informaiei va constitui veriga lips n acest cadru politic.
2. Contientizarea pericolelor. Muli utilizatori (privai/publici) nc nu sunt contieni de
posibilele ameninri pe care le ntlnesc folosind reelele de comunicaii sau de soluiile care
deja exist pentru a le face fa. Problemele de securitate sunt complexe, iar riscurile sunt adesea
dificil, chiar i pentru experi, de ntrevzut. Lipsa de informare este una dintre imperfeciunile
pieei, pe care politicile de securitate ar trebui s o aib n vedere. Exist riscul ca unii utilizatori,
alarmai de multele rapoarte i ameninri la adresa securitii, s evite pur i simplu folosirea
comerului electronic. Alii, care fie sunt neinformai, fie subestimeaz riscul, pot fi prea
neglijeni. Unele companii pot avea interesul de a prezenta ca minim riscul pentru a nu pierde
clieni. Paradoxal, exist o cantitate impresionant de informaie n domeniul securitii reelelor
i al informaiei disponibil pe Internet, iar revistele despre calculatoare acoper subiectul destul
de bine. Problema utilizatorilor este aceea de a gsi informaiile potrivite, pe care le pot nelege,
care sunt la zi i rspund propriilor lor nevoi. n sfrit, furnizorii de servicii ai unui serviciu
public de telecomunicaii disponibil sunt obligai prin legile UE s-i informeze pe abonaii lor cu
privire la riscurile cauzate de o bre a securitii reelei i despre posibilele remedii, inclusiv
costul implicat (cf. art. 4 al Directivei 97/66 al CE). Scopul iniiativei pentru creterea
contientizrii cetenilor, administraiilor i mediului de afaceri este deci acela de a furniza
informaii accesibile, independente i pe care te poi baza despre securitatea reelelor i a
informaiei. O discuie deschis despre securitate este necesar. Odat ce contientizarea a fost
asigurat, oamenii devin liberi s fac alegeri proprii asupra nivelului de protecie pe care i-l
doresc i permit.
Aciuni propuse:
- Statele membre ar trebui s lanseze o campanie public de educare i informare, iar
msurile care se iau trebuie permanent actualizate. Aceasta ar trebui s includ o
campanie mass-media i aciuni ce vizeaz un public larg. O campanie de informare bine
plnuit i eficient nu este ieftin. Un coninut al acesteia care s descrie riscurile fr a
alarma oamenii i fr a ncuraja potenialii hackeri, necesit o planificare atent.
Comisia European va facilita un schimb de experien n ceea ce privete cele mai bune
practici i va asigura un nivel de coordonare a diferitelor campanii naionale de informare
la nivel UE, n particular n ceea ce privete corpul de informaie care trebuie difuzat. Un
element al acestei campanii ar fi un portal pentru pagini web, att la nivel naional ct i
European. Legarea acestor portaluri cu site-uri web de ncredere ale partenerilor
internaionali ar trebui, de asemenea, luat n considerare.
- Statele membre ar trebui s promoveze utilizarea celor mai bune practici n securitate,
bazate pe msuri deja existente, cum ar fi ISO/IEC 17799 (cod de practici pentru

managementul securitii informaiei www.iso.ch). Companiile de mrimi mici i medii


ar trebui avute n vedere n primul rnd. Comisia va susine statele membre n eforturile
lor.
- Sistemele de educaie din statele membre ar trebui s dea mai mult atenie cursurilor
dedicate securitii informatice. Dezvoltarea de programe educaionale la toate nivelurile,
de exemplu, cursuri despre riscurile de securitate ale reelelor deschise i soluii eficiente
ar trebui ncurajate s devin parte a educaiei despre calculatoare i informatic din coli.
Comisia Europeana sprijin dezvoltarea de noi module pentru programa colar n cadrul
programului su de cercetare.
3. Un sistem european de avertizare i informare n domeniul securitii informatice. Chiar i n
cazul n care utilizatorii sunt contieni de riscurile de securitate, ei tot trebuie anunai cu privire
la noi ameninri. Atacatorii ruvoitori, n mod aproape inevitabil, vor gsi noi vulnerabiliti
care s ocoleasc protecia cea mai sigur. Se dezvolt n permanen aplicaii i servicii
software noi, oferind o mai buna calitate a serviciilor, fcnd Internetul mai atractiv; dar n cursul
procesului, neintenionat, se deschide calea unor noi vulnerabiliti i riscuri. Chiar i inginerii de
reea experimentai i experi n securitate sunt adesea surprini de noutatea adus de unele
atacuri. Aadar este nevoie de un sistem de alarmare rapid, care s poat alerta toi utilizatorii,
alturi de o surs de informaii i sfaturi rapide i demne de ncredere asupra modului n care se
poate aciona mpotriva atacurilor.
Mediul de afaceri, de asemenea, are nevoie de un mecanism confidenial de raportare a
atacurilor, fr a risca pierderea ncrederii publicului. Acesta trebuie s fie complementat de o
mai extins i anticipativ analiz de securitate, strngnd dovezi i comparnd riscurile cu
beneficiile unor soluii i costurile aferente. Mult munc n acest domeniu este fcut de
Computer Emergency Response Teams (CERTs) sau de entiti similare. De exemplu, Belgia a
organizat un sistem de alert la virui care permite cetenilor belgieni informarea n legtur cu
alertele cauzate de virui n dou ore. Totui CERT-urile opereaz n mod diferit n fiecare stat
membru, fcnd cooperarea complex, dac nu chiar dificil. CERT-urile deja existente nu sunt
ntotdeauna bine echipate, iar sarcinile lor adesea nu sunt clar definite.
Cooperarea la nivel mondial se realizeaz prin CERT/CC, care este n parte finanat de guvernul
SUA, iar CERT-urile din Europa depind de politica de publicare a informaiilor de ctre
CERT/CC. Ca rezultat al acestei complexiti, coordonarea european a fost pn n prezent
limitat. Cooperarea este esenial n asigurarea avertizrii din timp pe cuprinsul UE prin
schimbul instantaneu de informaii la primul semn de atac ntr-o singur ar. Aadar, cooperarea
cu sistemul CERT din interiorul UE ar trebui ntrit n regim de urgen. O prim aciune viznd
ntrirea cooperrii public/private prin dependena de infrastructura de informare (inclusiv
dezvoltarea sistemelor de avertizare de urgen) i mbuntirea colaborrii ntre CERT-uri a fost
stabilit n cadrul planului de aciune eEurope.
Aciuni propuse:
-Statele membre ar trebui s-i reorganizeze propriile sisteme CERT, avnd n vedere
mbuntirea echipamentului i a competenei CERT-urilor existente. n sprijinul
eforturilor naionale, Comisia Europeana va dezvolta o propunere concret de ntrire a
cooperrii n cadrul UE. Aceasta va include proiecte de propuneri n cadrul programului
TEN Telecom pentru asigurarea navigrii eficiente pe reea i stabilirea de msuri
companion n cadrul programului IST pentru facilitarea schimbului de informaii.
- Odat cu stabilirea reelei CERT la nivel UE, aceasta ar trebui conectat cu instituii
similare din toata lumea, de exemplu, sistemul de raportare a incidentelor propus de G8.

- Comisia propune colaborarea cu statele membre pentru a se organiza ct mai bine


colectarea de date la nivel european, analiza i proiectarea rspunsurilor anticipative la
riscuri existente i posibile.
4. Dezvoltarea suportului tehnologic. Investiiile n securitatea reelelor i a informaiei sunt
actualmente sub optim. Acesta este cazul att n ceea ce privete suportul tehnologic, ct i
cercetarea pentru descoperirea de noi soluii. n contextul n care noile tehnologii n mod
inevitabil aduc cu ele i riscuri noi, cercetarea continu este vital. Securitatea n domeniul
reelelor i al informaiei este deja inclus n Information Technologies (IST) Programme of the
EUs 6th Framework Research Programme, reprezentnd o investiie de 3,6 miliarde de euro dea lungul a patru ani.
Cercetarea la nivel tehnic n criptografie este ntr-un stadiu avansat la nivel european. Algoritmul
Belgian numit Rijndael a ctigat concursul Advanced Encryption Standard, organizat de
institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode europene pentru
Semntur, Integritate i Criptare) al IST a lansat o competiie la nivel extins n domeniul
algoritmilor de criptare ndeplinind cerinele noilor aplicaii multimedia, comerului mobil i
smartcard-urilor.
Aciuni propuse:
- Comisia propune includerea securitii n al aselea program cadru. Pentru ca aceast
adugire s fie optim, ar trebui legat de o mai larg strategie pentru mbuntirea
securitii reelelor i a informaiei. Cercetarea din cadrul acestui program ar trebui s
aib n vedere provocrile cheie de securitate i va focaliza pe mecanisme de securitate de
baz i pe interoperabilitatea acestora, procese de securitate dinamice, criptografie
avansat, tehnologii de mbuntire a facilitilor de confidenialitate, tehnologii de
operare cu obiecte digitale, tehnologii de ncredere pentru suportul afacerilor i funcii
organizaionale n sistemele dinamice i de telefonie mobil.
- Statele membre ar trebui s promoveze activ folosirea produselor criptografice puternice
i plug-able. Soluii de securitate bazate pe criptarea plug-in trebuie s fie disponibile ca o
alternativ la acelea fixate n sistemele de operare.
5. Standardizarea i certificarea. Pentru ca mbuntirea soluiilor de securitate s aib succes,
ele trebuie implementate n comun de actori importani ai pieei i de preferin bazate pe
standarde internaionale deschise. Una dintre principalele piedici n adoptarea multor soluii de
securitate, de exemplu semntura electronic, a fost lipsa interoperabilitii ntre diferite
implementri. Dac doi utilizatori doresc s comunice n mod sigur ntre diferite platforme,
trebuie asigurat interoperabilitatea. Folosirea protocoalelor i interfeelor standardizate ar trebui
ncurajat, inclusiv testarea de conformitate. Standarde deschise, de preferat bazate pe software
cu sursa liber, ar putea contribui la nlturarea mai rapid a erorilor ca i la o mai mare
transparen. De asemenea, evaluarea securitii contribuie la creterea ncrederii utilizatorilor.
Folosirea de criterii comune de evaluare n multe ri faciliteaz recunoaterea mutual; aceste
ri au intrat de asemenea ntr-un aranjament cu Canada i SUA pentru recunoatere mutual a
certificatelor de securitate IT (Recomandarea Consiliului 95/144/EC referitoare la criteriile de
evaluare a securitii tehnologiei informaiei, implementat n majoritatea statelor membre).
Certificarea proceselor care se desfoar n afaceri i managementul sistemelor de securitate a
informaiei este susinut de cooperarea european pentru acreditare (EA). Acreditarea
organismelor naionale de certificare mrete ncrederea n competena i imparialitatea
acestora, promovnd astfel acceptarea certificatelor n toat UE. n plus fa de certificare, ar
trebui de asemenea efectuate teste de interoperabilitate. Un exemplu al acestei abordri este
Iniiativa European de Standardizare a Semnturii Electronice (EESSI), care dezvolt soluii de
consens n sprijinul directivei UE asupra semnturii electronice. Alte exemple sunt iniiativele

privind smartcard-urile n eEurope i iniiativele de implementare a Infrastructurii de Chei


Publice (PKI) lansate n interiorul programului Schimb de Date ntre Administraii (IDA). Nu
lipsesc eforturile de standardizare, dar un mare numr de standarde aflate n competiie duce la
fragmentarea pieei i la prezena de soluii non-interoperabile. Aadar, activitile de
standardizare i certificare curente au nevoie de o mai bun coordonare i de asemenea au nevoie
s in pasul cu introducerea de noi soluii de securitate. Armonizarea specificaiilor va conduce
la o interoperabilitate crescut, fcnd posibil n acelai timp implementarea de ctre actorii
pieei.
Aciuni propuse:
- Organizaiile de standardizare europene sunt invitate s accelereze lucrul la produse i
servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate forme noi de
deliverabile i proceduri pentru a accelera lucrul i a ntri cooperarea cu reprezentanii
consumatorilor i angajamentul actorilor pieei. Pluggable nseamn c un produs
software de criptare poate fi cu uurin instalat i fcut complet operaional n cadrul
sistemelor de operare.
- Comisia va continua s sprijine, mai ales prin programele IST i IDA folosirea
semnturii electronice, implementarea de solutii PKI interoperabile i prietenoase pentru
utilizator i dezvoltarea pe mai departe a IPv6 i IPSec (ca n Planul de Aciune eEurope).
- Statele membre sunt invitate s promoveze folosirea procedurilor de certificare i
acreditare pe baza standardelor europene i internaionale general acceptate, favoriznd
recunoaterea mutual de certificate. Comisia va evalua nevoia unei iniiative legale
asupra recunoaterii mutuale de certificate.
- Actorii de pe piaa european sunt ncurajai s participe mai activ n activiti de
standardizare europene (CEN, Cenelec, ETSI) i internaionale (Internet Engineering
Task Force (IETF) , World Wide Web Consortium (W3C)).
- Statele membre ar trebui s-i revad toate standardele de securitate relevante. Ar putea
fi organizate competiii mpreun cu Comisia pentru metode europene de criptare i
soluii de securitate, cu scopul de a stimula standarde acceptate pe plan internaional.
6.Cadrul juridic. Exist mai multe texte legale care influeneaz securitatea reelelor de
comunicaii i a sistemelor informatice. Datorit convergenei reelelor, problemele de securitate
aduc laolalt reguli i tradiii legale din sectoare variate. Acestea includ telecomunicaiile
(ncorpornd toate reelele de comunicaie), industria calculatoarelor, Internetul care a
funcionat mai ales n baza unei abordri hands off (de neintervenie) i comerul electronic
care este din ce n ce mai mult subiectul unei legislaii specifice. n legtur cu securitatea,
prevederile privind daunele terilor, infracionalitatea cibernetic, semntura electronic, regulile
privind protejarea i exportul datelor sunt relevante.
Protejarea intimitii este un obiectiv politic cheie n Uniunea European. A fost recunoscut ca
drept de baz prin articolul 8 al Conveniei Europene asupra drepturilor omului. Articolele 7 i 8
ale Cartei Drepturilor Fundamentale ale UE de asemenea stipuleaz dreptul la respect pentru
viaa de familie i privat, cmin, comunicaie i date personale. Articolul 5 al Directivei de
Protejare a Datelor n Telecomunicaii oblig statele membre s asigure confidenialitatea n
reelele publice de telecomunicaii. n plus, la articolul 4 al aceleiai Directive se cere
furnizorilor de servicii publice i reele s ia msuri tehnice i organizatorice pentru a asigura
securitatea serviciilor oferite. Aceste prevederi au implicaii asupra necesitilor de securitate ale
reelelor i sistemelor informatice folosite de acele persoane sau organizaii, de exemplu
furnizorii de comer electronic. Natura pan-European a acestor servicii i mai marea competiie
transfrontalier duc la o cretere tot mai mare de specificaii asupra mijloacelor de folosit pentru
a fi n acord cu aceste prevederi.

Programul cadru pentru servicii n telecomunicaii al UE conine mai multe prevederi cu privire
la securitatea operaiilor pe reea (nsemnnd disponibilitatea reelelor n caz de urgen) i
integritatea reelelor (nsemnnd asigurarea operaiilor normale n reelele interconectate).
Comisia a propus un nou cadru de reguli pentru serviciile de comunicaii electronice n iulie
2000. Propunerile Comisiei reafirmau n esen dei cu modificri prevederile existente n ce
privete securitatea i integritatea reelelor.
Infraciunile informatice au declanat o larg discuie n UE despre cum s se reacioneze la
activitile infracionale care folosesc computerele i reelele de calculatoare. Legile penale ale
statelor membre trebuie s prevad i accesul neautorizat n reelele de calculatoare, inclusiv
securitatea datelor personale. Sunt probleme n investigarea acestor ilegaliti i se constat o
insuficient inhibare a hackerilor. Legi penale mpotriva intruziunii n reelele de calculatoare
sunt, de asemenea, importante pentru a uura cooperarea judiciar ntre statele membre.
ngrijorrile legitime fa de infracionalitatea electronic necesit investigaii legale eficiente.
Aciuni propuse:
-nelegerea comun a implicaiilor legislative ale securitii n comunicarea electronic
este necesar. Pentru acest scop, Comisia va crea un inventar de msuri naionale care au
fost deja luate i sunt n concordan cu legi comunitare relevante.
- Statele membre i Comisia ar trebui s sprijine n continuare libera circulaie a
produselor i serviciilor criptografice, prin o mai mare armonizare al procedurilor
administrative de export i o mai mare relaxare a controalelor la exporturi.
- Comisia va propune o msur legislativ n cadrul Titlului VI al tratatului UE pentru
echivalarea legilor penale legate de atacuri mpotriva sistemelor de calculatoare,
incluznd hacking-ul i atacurile de refuz al serviciilor.
7. Securitatea n aplicaiile guvernamentale. Planul de aciune eEurope i propune s ncurajeze
o mai eficient interaciune ntre ceteni i administraia public. Cum mare parte din informaia
schimbat ntre ceteni i administraie are un caracter confidenial (medical, financiar, legal
etc.), securitatea este vital pentru asigurarea implementrii cu succes a planului. Mai mult,
dezvoltarea guvernrii electronice face ca administraia public s devin att exemplu de
demonstrare a eficienei soluiilor de securitate ct i actor al pieei cu posibilitatea de a
influena dezvoltarea n domeniu prin deciziile de achiziie pe care le face. Problema pentru
administraia public nu este numai aceea de a achiziiona sisteme informatice i de comunicaii
cu cerine de securitate, ci i dezvoltarea unei culturi de securitate a organizaiei. Acest obiectiv
poate fi dus la ndeplinire prin stabilirea de politici organizaionale de securitate adaptate la
nevoile instituiei.
Aciuni propuse:
- Statele membre ar trebui s ncorporeze soluii de securitate informatic eficiente i
interoperabile, ca o cerin de baz n activitile lor de e-guvernare i e-procurement.
- Statele membre ar trebui s introduc semntura electronic la oferirea serviciilor
publice on-line.
- n cadrul e-Comisiei, Comisia va lua o serie de msuri pentru a ntri cererea de
securitate n sistemele sale informatice i de comunicaie.
8. Cooperarea internaional. Aa cum comunicaiile prin reele trec cu uurin graniele n
fraciuni de secund, la fel se ntmpl i cu problemele de securitate informatic asociate.
Reeaua este att de sigur ca i cea mai slab verig a ei, iar Europa nu se poate izola de restul
reelei globale. n consecin, problemele de securitate precizate mai sus cer cooperare
internaional. Comisia European deja contribuie la munca forurilor internaionale,cum ar fi G8,
OECD, Naiunile Unite. Sectorul privat trateaz problemele de securitate n organizaii cum ar fi

Global Business Dialogue (www.GBDe.org) sau Global Internet Project (www.GIP.org). Un


dialog continuu ntre aceste organizaii va fi esenial pentru securitatea global. Comisia va ntri
dialogul cu organizaiile internaionale i cu partenerii si n ceea ce privete securitatea reelelor
i, n particular, n ceea ce privete interdependena crescnd a reelelor de calculatoare.
9. Securitatea informatic n planul eEurope 2005. Deoarece Societatea Informatizat devine tot
mai important att pentru business ct i pentru societate, asigurarea securitii, att pentru
infrastructura nsi, ct i pentru informaiile care circul pe ea, reprezint un punct critic.
Pentru ca Internetul s fie un mediu de ncredere al Societii Informatizate, trebuie s devin
disponibil, informaia transmis sau memorat s fie pstrat confidenial, trebuie s ne putem
asigura cine este
autorul unei informaii i c aceasta nu a fost alterat. Problemele de securitate reduc ncrederea
noastr n reele i n sistemele informatice i, odat cu aceasta, reduc nivelul de utilizare a
Internetului, cu toate avantajele sale. Ca urmare, securitatea este elementul cheie al proieciilor
Comisiei UE privind Noua Generaie de Internet i reprezint una dintre cele 6 prioriti politice
ale Planului eEurope 2005.
Asigurarea securitii informatice nu este numai o provocare pur tehnologic, ci este, n acelai
timp, o chestiune dependent de comportamentul uman i de cunotinele cu privire la ameninri
i remedii. UE a dezvoltat deja reguli pentru comunicaii electronice sigure, aa cum sunt de fapt
Directiva asupra semnturii electronice sau legislaia cu privire la protecia datelor pentru
comunicaii electronice.
Alte provocri stau de asemenea ntre obiectivele Planului eEurope 2005:
- Securitatea reelelor i a informaiilor mpotriva unor atacuri accidentale sau cu caracter
criminal;
- Criminalitatea cibernetic, pentru armonizarea legislaiei rilor membre;
- Comunicaii sigure pentru e-guvernare, pentru dezvoltarea unei reele transeuropene sigure,
prin care s se poat vehicula informaii secrete sau confideniale (Proiectul IDA- Interchange of
Data between Administrations).
Implementarea acestor obiective presupune o serie de activiti concrete:
- crearea la nceputul lui 2004 a European Network and Information Security Agency (ENISA)
o agenie european care va aciona ca un centru privind securitatea informatic al rilor
membre i al instituiilor UE, contribuind la creterea cooperrii i a schimbului de informaii n
domeniu, precum i la stabilirea cadrului juridic i de reglementare. Va contribui la dezvoltarea
unui sistem european de alert i informare reciproc n caz de incidente informatice;
- Planul de Aciune pentru un Internet mai Sigur (PAIS), destinat contracarrii unor aciuni
ilegale n domeniul P2P, sisteme mobile, chat-uri, jocuri on-line etc.;
- sprijinirea unor cercetri privind securitatea informatic, prin Programul Cadru nr. 6, n
domenii ca e-autentificarea (smart-carduri, biometrice), metode criptografice noi, metode de
semnatur electronic, criptare plug-in etc.;
- dezvoltarea unor noi standarde, prin Network and Information Security (NIS) Focus Group,
care s le completeze pe cele actuale i s umple eventualele goluri existente;
- dezvoltarea unei culturi a securitii, n proiectarea, implementarea i utilizarea sistemelor
informatice i de comunicaii. Sectorul privat trebuie s dezvolte practici adecvate i standarde n
acest scop.

PRACTICUM

Sarcina 1. De analizat problematica vulnerabilitatii si riscului infrastructurilor critice in


societatea informatica (dup Adrian V. Gheorghe.ANALIZA DE RISC SI DE VULNERABILITATE
PENTRU INFRASTRUCTURILOR
CUNOASTERII)

CRITICE

ALE

SOCIETATII

INFORMATICE

-SOCIETATE

1. Problematica vulnerabilitatii si riscului in Societatea Informatica Societatea Cunoasterii


Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest
ansamblu de transformari afecteaza viata fiecaruia dintre noi. Societatea Informatica Societatea Cunoasterii va
depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere,
transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale
ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara
acestora. Societatea informatica societatea cunoasterii redefineste problematica si doctrina de aparare nationala;
aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri. Securitatea infrastructurilor
critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune.
Cunoasterea, ca atare, va deveni o arma de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu
siguranta in societatea deceniilor viitoare.
Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in
pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere
in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si
consecintele negative ale propagarii dezastrelor. Ceea ce se numeste astazi tot mai des pericole cibernetice
(cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica societate a
cunoasterii.
La sfarsitul anilor 80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: scoate din priza
calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate
informatica, pentru a fi asadar vulnerabili. In etapa noua politica, economica si culturala in care se afla Romania,
este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma fara a fi
cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economicopolitica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice. Este, asadar,
numai o chestiune de timp cand se fac afirmatii de un tip sau altul?
2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala societatea cunoasterii
Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare
reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de
exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies
(companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte). Schimbarile asteptate in
viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se
profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a
informatiei. Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc.
In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine
politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii.
In terminologia adptata recent, infrastructurile critice sunt definite prin:
Structurile informatice si de comunicatie
Bancile si sistemul financiar ale unei tari
Sistemele de energie, incluzand cele de producere si transport ale electricitatii, ale petrolului si ale
gazului natural
Structuri de distributie fizica ale resurselor ex: sistemele de transport feroviare, rutiere, navale,
aeriene
Serviciile vitale support ale activitatilor umane (sanitare, apararea civila, politia, armata).
Vulnerabilitatea acestor sectoare, in conditiile accentuarii introducerii in managementul societatii, a informaticii si
cunoasterii (information and knowledge) trebuie re-evaluata si considerate in toata amplitudinea ei. Avantajul
Romaniei este acela ca va proiecta si realiza aceste infrastructuri support ale prelucrarii si managementul
informatiilor in conditii in care deja alte societati (societatea occidentala) se confrunta deja cu definirea si
managementul riscurilor specifice aceasta are loc pe masura asimilarii de noi structuri tehnice care implica o
complexitarte generalizata a tehnologiei, reteleor, sistemelor tehnologice support. Caderea, pentru numai o ora a
sistemului de calculatorae ale bursei din New York - SUA, a creat in iunie 2001 panica si confuzie mondiala.

Romania, ca viitor partener in structurile economice globale si euro atlantice, va trebui cu precadere sa-si
defineasca o strategie support de identificare a vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei critice.
3. Solutii posibile
In perspectiva accentuarii, in Romania, a introducerii si promovarii elementelor societatii informatice - societatea
cunaosterii, o serie de aspecte noi trebuie identificate si controlate:
Crescanda dependenta fata de infrastructurile critice ale societatii: in perspectiva dependenta fiecaruia
dintre noi va fi tot mai mare fata de sistemele de producere, distributie si transport ale energiei
electrice, sistemele de comunicatie si a sistemelor de calculatoare
Va avea loc o crestere a vulnerabilitatii sistemelor infrastructurilor critice in etapele de trecere
accentuata in Romania la societatea informatica- societatea cunoasterii:
o Se vor diversifica posibilitatile de provocare a unor daune clasice (ex: riscurile tehnologice
provocate de sisteme active (centrale nuclaro- electrice, chimice) sau de sisteme tehnice asa
numite pasive (ex. baraje ale centralelor hidroelectrice)
o Vor apare noi pericole de tip si natura cibernetica: extinderea retelelor de calculatoare, accesul
la un computer personal (PC) si o conexiune telefonica clasica poate provoca intentionat
duane insemnate
o Complexitatea sistemelor tehnice si a interdependentelor acestora, precum si posibila /
probabila interactiune cu catastrofele naturale vor reprezenta noi elemente de vulnerabilitate
pentru infrastructurile critice ale societatii.
Spectrul pericolelor se va extinde si poate, in principiu, sa includa:
Evenimente naturale si accidente tehnice ce pot provoca daune materiale , ecologice si umane importante;
Erori umane si omisiuni, care prin suportul fizic al societatii informatice societatea cunoasterii, poate
induce efecte transversale negative in numeroasele componente ale infrastructurilor critice.
O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a
sistemului de transport feroviar privind transportul substantelor periculoase. Hackerii, cei care din numeroase
motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat
discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a
cunoasterii:
Activitati criminale
Spionaj industrial
Terorism
Razboi informatic.
Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente
de input negativ si stres pentru societatea romaneasca,ca societate informatica societate a cunostintelor. Bunaoara,
trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor
potential negative ce pot apare in societatea infomatica societate a cunoasterii, infrastructurile critice ale societatii.
In etapa actuala de proiectare a structurilor societatii informatice societate a cunoasterii, trebuie accentuat pe
urmatoarele aspecte:
Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si
politicienilor. Noi legi trebuie adoptate si promovate pe masura ce societatea informatica societate a
cunoasterii demareaza ca un process continuu si ireversibil;
Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate
gradual la necesitatile societale;
Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia
internationala si Europeana;
Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si
managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice
societatea cunoasterii.
Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de
promovarea societatii informatice societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie.
In acest sens, este de remarcat faptul ca promovarea societatii informatice societatea cunoasterii
presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga
continuu spre realizarea acestor deziderate ale societatii informatice societate a cunoasterii.

Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera
asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice. In orice societate, dar cu
precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care
asigura linia vietii (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta. In
societatea informatica societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni.
Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate vulnerabilitati cibernetice si noi
pericole, pericole cibernetice.
Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice societate a cunoasterii, trebuie sa adopte
noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care si le-au asumat si recentele studii
cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca ceea ce este extrem de important
este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in
ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la
atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea
economica globala si a bunastarii la nivel national. Societatea informatica- societatea cunoasterii implica adoptarea
si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde
inamicul potential poate demola sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita
militara.
Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii,
in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica
societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor
critice din Romania. Inainte de a atinge stadiile societatii informatice societatii cunoasterii, Romania va trebui sa
gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor
de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din
perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a
infrastructurilor existente cu cele specifice societatii informatice societatea cunoasterii va presupune recunoasterea
si managementul unor vulnerabilitati specifice. Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme,
evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor
complexe, vor avea un rol extrem de important in deceniul viitor.
O concluzie posibila in etapa de demarare a dezideratelor societatii informatice societatea cunoasterii este aceea ca
analiza de vulnerabilitate si risc trebuie considerate cu precadere. Se afirma recent ca a astepta aparitia
dezastrelor este o strategie periculoasa. Acum este timpul pentru a actiona in vedera protejarii viitorului nostru. In
noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice societatea
cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta,
securitate si risc.
Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica
societatea cunoasterii, o serie de aspecte se vor evidentia in continuare:
Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea
deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare
distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice societatea
cunoasterii
Este necesar sa se construiasca in cadrul societatii informatice societatea cunoasterii, un sistem de
responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor
critice
Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in
structura generala a societatii in Romania
Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare
Sistemul de legi ale societatii informatice societatea cunoasterii trebuie sa ia in considerare potentialul de
impact ale pericolelor cibernetice si reglementate in mod corespunzator
Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze
problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate
informatica societatea cunoasterii.
In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor
critice se impune, ca in conditiile Romaniei, sa se:
Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor
critice
Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind
proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special

Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor
specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice societatea
cunoasterii din Romania
Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o
activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in
special al infrastructurilor critice si impactul lor la nivel national
Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu
Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel
acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice societatea cunoasterii, fara
sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania
Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice societata
cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor
criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA As Low As Reasonable Acceptable)
Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la
descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care
sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a
infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora
Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei
constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de
securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice
ale societatii informatice societatea cunoaterii
Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in
Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii
infrastructurilor critice (ex. Fundatia Infosurance 1 in Elvetia).

4.Concluzii
In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si
realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice societatea
a cunoasterii:
Remarca 1: Managementul riscurilor societatii informatice societatea cunoasterii necesita, in general, un
parteneriat dedicat intre industrie, Guvern, societate
Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si
raspuns la crize privind disfunctionalitatea infrastructurilor critice
Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice
societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea
adecvata a efectelor acestora la niveluri diferite ale societatii
Remarca 4: Adoptarea conceptelor cash and carry security sau buy-in security vor deveni instrumentale in
cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a
elementelor concrete ale societatii informatice societatea cunoasterii.
Bibliografie
1. *** - Critical Foundations. Protecting Americas Infrastructures. The Report of the Presidents Commission
on Critical Infrastrucutre Protection, Washington DC, October 1997
2. *** 3. *** 4. *** - Infosurance, Zrich, 2001

Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la
scara societatii elvetiene