2.

2 Riscuri i ameninri la adresa IT&C

Noile mijloace tehnice (comunicatii, computere, aplicatii software)
determina in mod direct, o eficienta si o rapiditate , aducand totodata noi
riscuri si vulnerabilitati interne si externe, care trebuiesc cunoscute si
contracara.

Definirea riscurilor de securitate

Societatea modern este supus permanent, pe parcursul dezvoltrii sale,
aciunii unei multitudini de factori perturbatori. Influena acestora nu poate fi
neglijat deoarece, n timp, poate evolua pn la situaia n care devin obstacole
reale, uneori insurmonabile.
Dintre factorii perturbatori cu cel mai important impact la adresa ntregii
activiti a unei organizaii, factorii de risc se poziioneaz, de departe la loc de
frunte.
Simultan i proporional cu dezvoltarea interesului general al managerilor
pentru eficientizarea activitailor n organizaiile conduse, se manifest i
dezvoltarea interesului pentru o cunoatere ct mai profunda a unei ct mai largi
palete de factori de risc care, n funcie de statutul organiza iei, ncadrarea cu
personal, dinamica activitaii i densitatea momentelor critice ale acesteia,
creeaza un consum suplimentar de resurse, de cele mai multe ori neluate n
calcul la planificare sau preluate de la alte activitai cu prioritate mai redus.1
Riscul este un concept care, din punct de vedere
matematic, se leag de calcularea unei probabiliti de
producere a unor evenimente viitoare cu posibile efecte
negative i care este independent de valoarea procesului
desfurat.
Riscul este definit de multe ori i prin intermediul unor
componente ale sale, cum ar fi vulnerabilitatea, pericolul,
impactul sau incertitudinea.
Un alt autor, Douglas W.
2
Hubbard , ncearc s soluioneze aceast difereniere,
1 Iulian Bujoreanu, Analiza i Evaluarea Riscului n Sistemul Militar Romnesc de Management alResurselor
de Aprare, Ed. Universitii Naionale de Aprare, Bucureti, 2006, p. 11

2 Douglas W. Hubbard, How to Measure Anything: Finding the Value of

Intangibles in Business, Editura Wiley, 2010.

prezentnd cteva metode de msurare a riscurilor pentru

fundamentarea deciziei optime n domenii n care riscurile se
manifest mai pregnant, cum ar fi proprietatea intelectual, IT,
raportul cerere-ofert pe piaa liber .a. El consider c
"incertitudinea" reprezint lipsa de certitudini i existena a mai
mult dect a unei singure posibiliti de decizie. Msurarea
incertitudinii se poate realiza, n opinia autorului, prin
relaionarea unui "set de probabiliti" la un "set de posibiliti".
n acest caz, riscul reprezint o stare de incertitudine n care
unele posibiliti pot induce pierderi, catastrofe sau alte
consecine nedorite. Msurarea acestui risc se poate realiza prin
stabilirea cantitativ a unui set de posibiliti, corelate cu un set
de probabiliti de tip pierdere, cuantificabile. Concluzia lui
Hubbard este c "poate exista incertitudine fr riscuri, dar nu
poate fi vorba de riscuri fr incertitudine". Exemplul su este
formulat astfel: "putem s avem o incertitudine privind
ctigarea unui concurs de ctre cineva, dar numai dac am
investit bani n unul dintre concureni vom risca".
n glosarul de termeni NATO3 aceleai concepte sunt definite
astfel:
Ameninare: o violare potenial a securitii sistemului;
Vulnerabilitate: slbiciune sau lips a controlului ce ar
permite sau facilita aciunea unei ameninri mpotriva unui
bun sau inte specifice;
Risc: posibilitatea ca o ameninare particular
exploateze o vulnerabilitate particular din sistem.

Riscul este o ameninare capabil s exploateze eventualele puncte slabe ale

unui sistem ori a unei ntregi organizaii. Riscul este considerat un eveniment
aleator, neexistnd certitudinea c acesta se va ntmpla.
Riscurile i ameninrile sunt identificate, adeseori, reciproc. Se discut
despre un risc i se subnelege, implicit, ameninarea care produce acel risc.
3 NATO STANAG 5625, Automatic Data Processing NATO Glossary - AdatP-2,
Ediia 17 martie 2000;

Riscul este, ns, o noiune mai abstract dect ameninarea prin faptul c,
implicit, face referine la costurile punerii n fapt a respectivei ameninri dar
cuprinde n sine, intuitiv, i cuantificarea realizrii efective a ameninrii. Riscul
este un partener normal i de nedesprit al oricrei activiti avnd efecte
directe i puternice asupra rezultatelor activitii respective.
Orice activitate are un anumit grad de risc. n fiecare zi structura
organizatoric din care facem parte este abordat direct sau indirect de
diverse riscuri. Totodat i noi ca persoane fizice, suntem supui la diverse
riscuri. Trim ntr-o lume a riscurilor. Aceste riscuri se refer la bunurile care
sunt la dispoziia noastr, la partenerii cu care lucrm, la mediul n care lucrm.
Aadar, riscul se definete drept un element incert dar posibil ce apare
permanent n procesul evenimentelor tehnice, umane, sociale, politice, reflectnd
variaiile distribuirii rezultatelor posibile, probabilitatea de apariie cu valorile
subiective i obiective, avnd efecte posibil pgubitoare i ireversibile.
Suntem permanent supui efectului surprizei datorit faptului c nu putem,
niciodat, dispune de toate informaiile necesare pentru o predicie corect.
Realitatea, ins, este i mai dur deoarece cantitatea de informaie incomplet de
care dispunem se mrete permanent, devenind copleitoare. Este foarte probabil
c nu s-ar putea folosi aceast cantitate mare de informaii chiar dac am
dispune de ea la timp i nu am avea aspecte necunoscute. Suntem dependenti de
serii de date caracterizate de evoluii lente,ndeprtm salturile i cutele pentru a
identifica esena, tendina, valori despre care dorim s credem c sunt reale.4
Tipuri de riscuri de securitate la adresa SIC militare
Dezvoltarea industriei IT, extinderea domeniilor de utilizare a calculatoarelor
la majoritatea domeniilor vieii cotidiene aduce pe lng beneficiile mai mult
sau mai puin evidente i o serie de probleme datorate nu att construciilor
defectuoase ala echipamentelor de calcul ct mai mult dorinei unor persoane de
a face ru folosind echipamentele de calcul i de comunicaii. Scopul acestor
persoane variaz de la simpla dorin de a se distra, de a se afirma n faa
colegilor pn la persoane puternic motivate financiar sau ideologic cu un nivel
de cunotine ridicat n domeniu.5
Hackeri sunt persoane care posed cunotinele necesare pentru a crea
instrumente care s le permit atacarea sistemelor de calcul. Exist dou
categorii de hackeri : aa numiii white hat sunt hackeri (sprgtorii cu plrii
4 Iulian Bujoreanu, Decizia i Evaluarea Riscului n Domeniul Militar, Ed. Universitii Naionale deAprare
Carol I, Bucureti, 2006, p. 25

5 Incze Arpad, Securitatea n Internet. Ameninri, Atacuri, Virui. Modulul 5, Ed. Universitii 1Decembrie
1918 Alba Iulia, 2005, p. 1

albe)care caut posibilele ci de atacuri cu scopul de a informa productorii din

domeniu ca acetia s poat lua msurile necesare pentru remedierea
problemelor semnalate ; black hat hacker (plrii negre) sunt rufctorii care
dup ce depisteaz breele de securitate le folosesc pentru a le exploata cu rea
voin de cele mai multe ori n scopuri financiare.

Constituie risc la adresa SIC militare urmtoarele6:

Pierderea, sustragerea, nlocuirea, alterarea sau distrugerea neautorizat sau
accidental a datelor, programelor, suportilor materiali ai acestora sau a
echipamentelor aferente;
Operarea greit n timpul prelurii, prelucrrii, transferului, stocrii, sau
arhivrii datelor;
Interceptarea i interpretarea transmisiilor efectuate n cadrul reelei de
calculatoare;
Forarea accesului, accesul neautorizat sau ntrzierea accesului autorizat la date,
programe, supori materiali ai acestora sau la echipamentele aferente;
nclcarea restriciilor privind accesul la date, prin modificarea neautorizat a
configuraiilor instalate, programelor sau a drepturilor de acces;
Copierea neautorizat a datelor;
Interceptarea i interpretarea radiaiilor electromagnetice sau acustice produse de
echipamentele de calcul, dispozitivele de transmisiuni sau canalele de
comunicaie;
Interceptarea discuiilor sau convorbirilor telefonice referitoare la sistemul
informatic;
Exploaterea informativ a personalului implicat n dezvoltarea, ntreinerea sau
exploatarea sistemului informatic;
Introducerea n exploatare de produse informatice fr o prealabil testare care
s ofere garanii de funionare corect controlat;
Pstrarea, amplasarea, exploatarea, ntreinerea sau depozitarea n condiii
improprii ale sistemelor de calcul, suporilor materiali de date sau a
dispozitivelor i echipamentelor destinate asigurrii proteciei i securitii
datelor;
Nerespectarea reglementrilor referitoare la secretul de stat sau a regulilor de
compartimentare a muncii;
Nerespectarea regulilor privind depozitarea, manipularea sau distrugerea
suporilor de memorie extern i a dispozitivelor i echipamentelor scoase dn uz;
6 Hotrrea Guvernului nr. 585 din 13 iunie 2002 pentru aprobarea Standardelor naionale de protecie
ainformaiilor clasificate n Romnia, ANEXA Nr. 10/C

 Nerespectarea prevederilor, metodologiilor i a documentaiilor tehnice de

ntreinere i exploatere a sistemelor informatice;
Apariia de anomalii n funionarea sistemelor de operare,pachetelor de
programe sau programelor de aplicaie;
Apariia de anomalii n funcionarea sistemelor informatice;
Apariia de deranjamente ale canalelor de comunicaie;
Discutarea n condiii de insecuritate sau cu personae neautoriazate, a unor
aspecte privind sistemele informatice, informaiile i datele nmagazinate;
Producerea de calamiti naturale (cutremure, inundaii, alunecri de teren, etc.);
Producerea de evenimente cu efect distructiv (explozii, incendii, spargeri de
conducte, acte de sabotaj, aciuni teroriste, acte de vandalism, ocuri
electromagnetice, etc);
Pentru a realiza o securitate competitiv trebuie anticipate toate ameninrile
i vulnerabilitile reale ale sistemului informaional (operare greit, atacuri din
exterior, interferene sau interconectri accidentale sau intenionate, emisii
parazite purttoare de informaii utile etc.) i adoptarea de msuri
corespunztoare de securitate.
Globalizarea economic facilitat de noile tehnologii informaionale i
de comunicaii ofer oportuniti de dezvoltare profitabil pieelor
informaionale internaionale, simultan cu lrgirea spectrului noilor
activiti infracionale care utilizeaz tehnologiile moderne, deschiznd
totodat i perspective inedite de aciuni pentru reelele de crim
organizat.
Noua doctrin militar a S.U.A. precizeaz c unul din cele
ase obiective majore ale politicii de aprare este
,,securitatea sistemelor de informaii i comunicaii,
celelalte cinci obiective majore fiind: protejarea teritoriului
naional i a bazelor din strintate; trimiterea de fore n
teatrele de operaii; distrugerea sanctuarelor inamicului;
dezvoltarea utilizrii tehnologiei operaionale combinate n
teren; mpiedicarea accesului la spaiul i
Rzboiul a reprezentat, din totdeauna, nu numai o confruntare energetic, de
fore fizice umane i mijloace tehnice i materiale, ci i una de energii spirituale
i psihice. nc din antichitate Sun Tzu afirma c ,,arta suprem a rzboiului
este de a-l nvinge pe inamic fr lupt.7
Drept consecin a evoluiei tehnologiei, a echipamentelor de comunicaii i
7 Sun Tzu, Arta rzboiului, Bucureti, Editura Militar, 1976, p. 31-33.

IT, dimensiunea psihologic a conflictelor s-a extins i a devenit omniprezent.

Karl von Clausewitz remarca faptul c ,,scopul final al componentei psihologice
a rzboiului nu const n nimicirea forelor armate ale inamicului i cucerirea
teritoriului, ci nvingerea voinei acestuia i realizarea obiectivelor politicostrategice propuse cu pierderi umane i materiale ct mai mici.8
Internet-ul a devenit un atu privilegiat al profesionitilor denaturrii
informailor prin care se falsific date, se discrediteaz concurenii de pe piaa
mondial i se confrunt companii puternice.
n condiiile extinderii sistemelor i reelelor informatice i de comunicaii,
s-au gsit noi factori de influenare psihologic, precum hackerii care, prin
accesul neautorizat n sistemele private i n bncile de date, se pot altura unor
criminali i teroriti pentru denaturarea imaginii reale a unei situaii, prin
manipularea duntoare, cu consecine devastatoare.
Msuri anti-hacker
Protecia datelor personale
este importanta pentru toi
utilizatori de computere, care utilizeaz n mod regulat Internetul. Exist protecii mpotriva atacurilor hackerilor. Singura
problem este aceea c regulile i proteciile sunt fcute pentru
a fi nclcate. Deci, orict de complexe i de sigure ar prea
sistemele dumneavoastr de securitate, ele pot fi ocolite i
sparte.
Exist totui anumite metode care, deocamdat, ar putea
ngreuna puin viaa hackerilor, mai ales a spammeri-lor (acesta
fiind cel mai folosit n ultimul timp).
Aceste ar trebui n primul rnd aplicate de furnizorii de Internet
(ISP):
Va trebui eliminate toate fiierele necunoscute de pe
servere (care ar uura atacurile hackerilor), astfel nct se va
ine o strict eviden a lor.
Eliminarea pachetelor care au alt antet (header) dect
propria adres de IP (pachete msluite). Ele pot fi folosite de
unii utilizatori sub pretextul necesitrii anonimatului. Exist ns
alte modalitii de ai pstra anonimatul, folosind sisteme de
criptare i a unor servere specializate.
-

8 Karl von Clausewitz, Despre rzboi, Buc.

Interzicerea comportamentelor specifice scanrii porturilor.

Astfel se pot dezactiva programele care scaneaz zeci de mii de
porturi din ntreaga lume, pentru a face o list cu cele
vulnerabile.
Scanarea atent a serverelor de sniffere, programele
care rein informaiile importante care intr i ies dintr-un server
(username-uri, parole, numere de cri de credit etc).
-

Implementarea unor regulamente privind securitatea

echipamentelor, blocarea i filtrarea accesului la resurse n
funcie de necesiti, contientizarea aspectelor legate de
securitate de ctre utilizatori, detectarea n timp util a
incidentelor de securitate pentru atenuarea efectelor lor sunt
cteva msuri ce pot fi luate pentru a reduce riscul i costul
asociate.