Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

Ing. Sorin SOVIANY*

Cuvinte cheie. Incidente de securitate, fraude electronice, autentificare. Rezumat. n contextul utilizrii tot mai accentuate a Internetului n activitile comerciale, de business, de administraie, n aplicaii din domeniul sntii sau pentru nvmnt la distan, fapt ce a condus i la apariia i extinderea unor noi concepte (ecommerce, cadru e-learning, de e-health, e-work, egovernment), apare ca esenial stabilirea unui robust ncredere pentru aplicaiile informatice care implementeaz astfel de servicii.O serie de concepte i principii generale trebuie luate n considerare pentru implementarea unor politici eficiente capabile s combat, dar mai ales s previn fraudele i, mai general vorbind, incidentele de securitate care pot afecta funcionarea sistemelor informatice i de comunicaii. Key words. Security incidents, electronic fraudes, authentication. Abstract. In the framework of more often using of Internet in commerce, business and administration activities, but also in applications for health area or for distance learning, leading also to new concepts emerging (e-commerce, e-learning, e-work, egovernment), it is crucial to establish a trusted framework for IT applications implementing such services. A lot of concepts and general principles should be considered in order to support efficient policies implementation able to control but especially to the prevent the fraudes and and, more generally systems speaking, the security incidents that could damage information communications working. digital ntre firme, organizaii i/sau persoane particulare. Cteva premise valabile pentru aplicaii suport pentru e-servicii pot fi menionate n acest context. n primul rnd, persoanele care intr n legtur prin Internet pentru realizarea unor tranzacii i aciuni specifice domeniului (comer electronic, aplicaii de nvmnt distant, teleworking, telemedicin etc.) nu se cunosc n prealabil sau nu se afl ntr-o ntlnire direct, fizic. Este cazul, de exemplu, al unor cumprturi on-line, de pe site-uri comerciale, unde cumprtorul conectat comand produse/servicii i pltete. n acelai timp, anumite portaluri pe Internet destinate unor tranzacii industriale ofer servicii on-line care cer o angajare contractual imediat. n al doilea rnd, n Internet circulaia informaiilor se face liber, fr un control i o cenzur restrictive. De aici rezult ns i

1. Introducere*
n contextul utilizrii tot mai accentuate a Internetului n activitile comerciale, de business, de administraie, n aplicaii din domeniul sntii sau pentru nvmnt la distan, fapt ce a condus i la apariia i extinderea unor noi concepte (ecommerce, cadru e-learning, de e-health, e-work, egovernment), apare ca esenial stabilirea unui robust ncredere pentru aplicaiile informatice care implementeaz astfel de servicii. Internetul contribuie la accelerarea fluxului de activiti n domenii din cele mai diverse. Aplicaiile din domeniul comercial, de exemplu, implic necesitatea unor schimburi de documente sub form
Institutul Naional de Comunicaii INSCC
*

Studii

Cercetri

pentru

TELECOMUNICAII Anul XXXIV, nr. 1/2007

25

Sorin Soviany

pericolul falsificrii

interceptrii datelor

acestora, de

modificrii exemplu

sau din

mpotriva unor ameninri. De exemplu, serviciile de autentificare ajut la protejarea sistemului mpotriva accesului neautorizat la resurse prin identificarea utilizatorilor care cer accesul n sistem. Serviciile de integritate i confidenialitate a datelor ajut la protejarea informaiilor confideniale din cadrul sistemului. Puterea unui serviciu de securitate este dat de robusteea mecanismelor i procedurilor din care este acesta compus. Preocuprile pentru securitatea reelelor i a sistemelor informatice folosite ca suport pentru aplicaii de e-health, e-commerce, e-learning, egovernment, pornind de la cerinele pentru protejarea tranzaciilor on-line, au crescut direct proporional cu creterea numrului de utilizatori ai reelelor i cu valoarea tranzaciilor efectuate. Nevoia de securitate a atins un punct critic, reprezentnd o cerin esenial pentru aplicaii realizate prin Internet, n domenii sensibile cum sunt cele medical, al tranzaciilor comerciale etc.

transmise,

contractele de natur confidenial sau strategic dintre companii (organizaii). Dezvoltarea Internetului n ultimii ani a fost puternic stimulat de perspectiva realizrii de afaceri on-line, de avantajele implementrii unor aplicaii practice n domenii din cele mai diverse, de la administraia public central i local pn la nvmnt, medicin, cercetarea tiinific etc. Pn i cele mai banale tranzacii se pot desfura prin Internet. Acesta va face s cad barierele fizice existente pn acum n calea comunicrii. n acest context extrem de dinamic, asigurarea securitii tranzaciilor prin Internet constituie cea mai important provocare ce st n faa acestor tipuri de aplicaii (de e-commerce, ehealth, e-government, e-learning, e-work). Pentru majoritatea organizaiilor, interesul n ceea ce privete securitatea informatic este proporional cu modul n care sunt percepute ameninrile i vulnerabilitile sistemelor de calcul. Administratorii de sistem i factorii de decizie trebuie s neleag pericolele existente din punct de vedere al securitii informatice, care ar fi riscul i costul unei probleme aprute n acest domeniu, precum i tipul de aciuni pe care ar trebui s le ntreprind. O ameninare la adresa unui sistem informatic poate fi o persoan, un program sau un eveniment care pot cauza pagube sau distrugeri n sistem. Vulnerabilitile sunt slbiciuni ale sistemului ce pot fi exploatate de o ameninare. De exemplu, accesul neautorizat la resursele sistemului poate fi obinut de o persoan extern prin ghicirea unei parole. Vulnerabilitatea exploatat n acest caz este alegerea unei parole slabe de ctre utilizatorii legitimi ai sistemului. Reducerea sau eliminarea vulnerabilitilor existente poate reduce sau elimina riscul ameninrilor. Un serviciu de securitate este o colecie de mecanisme de securitate i proceduri care ajut la protejarea sistemului

2. Principii generale n managementul fraudelor electronice

2.1. Concepte i abordri pentru protejarea informaiilor confideniale n cele ce urmeaz vor fi prezentate o serie de concepte i principii generale care trebuie luate n considerare pentru implementarea unor politici eficiente capabile s combat, dar mai ales s previn fraudele i, mai general vorbind, incidentele de securitate care pot afecta funcionarea sistemelor informatice i de comunicaii. nregistrri de ncredere Caracteristici ale nregistrrilor de ncredere Fiabilitatea, autenticitatea, integritatea i utilizabilitatea sunt caracteristicile utilizate pentru a descrie nivelul de ncredere n informaiile transmise n cadrul unor aplicaii cum ar fi cele de e-commerce,

26

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

e-health, e-government, e-learning i e-work, descriere fcut din perspectiva managementului nregistrrilor. Fiabilitatea: O nregistrare fiabil este una al crei coninut poate fi de ncredere ca o reprezentare complet i precis a tranzaciilor, activitilor sau faptelor pe care acestea le desemneaz. Autenticitatea: O nregistrare autentic este una dovedit a fi ceea ce se presupune a fi i care a fost creat sau transmis de persoana presupus de la nceput ca fiind la originea respectivei nregistrri. Pentru a demonstra autenticitatea nregistrrilor, este necesar s se implementeze i s se documenteze politici i proceduri care s controleze crearea, transmiterea, primirea i ntreinerea nregistrrilor de date, pentru a verifica faptul c autorii nregistrrilor sunt autorizai i identificai i, de asemenea, pentru a asigura c nregistrrile sunt protejate mpotriva accesrilor neautorizate. Integritatea: Integritatea unei nregistrri se refer la faptul c aceasta trebuie s rmn complet i nemodificat. Este necesar ca o nregistrare s fie protejat mpotriva ncercrilor neautorizate de modificare (din partea unor entiti care nu dein permisiuni n acest sens). Un alt aspect se refer la integritatea structural a nregistrrii. Structura unei nregistrri (deci formatul su fizic i logic, precum i relaiile dintre elementele de date coninute) ar trebui s rmn, de asemenea, intact fizic i logic. Utilizabilitatea: O nregistrare utilizabil este una care poate fi localizat, regsit, prezentat i interpretat. Pe parcursul oricrei ncercri ulterioare de regsire i utilizare, nregistrarea trebuie s poat fi accesat i utilizat n orice tranzacie din cadrul unor aplicaii cum sunt cele de e-commerce, e-health, egovernment, e-learning i e-work. Abordri pentru meninerea n timp a

nregistrrilor. Aceasta necesit reinerea informaiilor de context pentru documente, n locaia i la momentul n care nregistrarea a fost semnat electronic, mpreun cu nregistrarea semnat electronic. Informaia suplimentar de context trebuie meninut att timp ct este meninut i nregistrarea semnat electronic. n acest fel se poate proteja validitatea semnturii i se poate pstra caracterul adecvat al al cerinelor de documentare prin reinerea informaiilor contextuale referitoare la validitatea semnturii electronice de la momentul cnd nregistrarea a fost semnat. O alt abordare se bazeaz pe asigurarea capabilitii de a revalida semnturi digitale. Informaia necesar pentru revalidare (cheia public utilizat pentru validarea iniial a semnturii, certificatul asociat cu acea cheie, precum i lista de revocare a certificatelor de la autoritatea de certificare corespunznd momentului semnturii iniiale) trebuie s fie reinut att timp ct este reinut i nregistrarea semnat digital. Non-repudierea Indiferent de abordare, anumite forme de servicii de non-repudiere trebuie implementate pentru a se proteja fiabilitatea, autenticitatea, integritatea i utilizabilitatea, ca i confidenialitatea, dar i pentru a legitima utilizarea informaiilor semnate electronic. Non-repudierea este unul dintre serviciile de securitate eseniale n mediile informatice, fiind larg utilizat n sistemele de schimb de mesaje i mai ales n aplicaiile de comer electronic. Serviciile de nonrepudiere asigur dovada incontestabil c o anumit aciune (tranzacie) a avut loc. n esen, serviciul de non-repudiere protejeaz una dintre prile implicate ntr-o tranzacie mpotriva refuzului celeilalte pri de a recunoate o anumit aciune pe care a efectuat-o. Exist modele multiple pentru implementarea serviciilor de non-repudiere. Un posibil cadru de lucru l constituie modelul de nonrepudiere al ISO (International Organization for Standardization)-Non-repudiation-Part 1: General Model, ISO/IEC JTC1/SC27 N1503, Nov. 1996;

caracterului de ncredere al nregistrrilor semnate electronic O abordare ar fi aceea de a se menine o documentare adecvat privitoare la validitatea

TELECOMUNICAII Anul L, nr. 1/2007

27

Sorin Soviany

Non-repudiation techniques,

Part

2:

Using

symmetric Nov.

1996). O schem sintetic bazat pe acest model este reprezentat n figura 1.

ISO/IEC

JTC1/SC27

N1505,

Fig. 1. Model teoretic pentru implementarea unor servicii de non-repudiere de baz.

2.2. Identificarea riscurilor i rspunsul la fraude electronice La modul general, fraudele implic utilizarea unor metode incorecte sau neautorizate pentru a obine anumite avantaje fa de ali parteneri, utilizatori, beneficiari ai anumitor servicii .a.m.d. Circumstanele n care fraudele (i, n context, fraudele electronice, n aplicaii bazate pe Internet aa cum sunt i cele de e-commerce, e-health, egovernment, e-learning i e-work) apar pot fi foarte diverse. Unele dintre acestea includ: fraude n aplicaii de comer electronic, fraude n aplicaiile de nivel guvernamental (n sisteme de e-government), fraude cu efecte asupra consumatorilor individuali, fraude care afecteaz drepturile de proprietate intelectual, fraude care afecteaz companiile de asigurri, fraude n sistemele de sntate (asociate cu atacuri la adresa sistemelor suport pentru aplicaii

de e-health, de exemplu), fraude cu cri de credit falsificate (legate pn la urm tot de aplicaiile de comer electronic), .a.m.d. n contextul expansiunii tehnologiilor informatice i de comunicaii, beneficiile acestora nu ar trebui s ascund i potenialul pentru realizarea de fraude electronice la scar mare, fraude care s afecteze sistemele suport pentru aplicaii de e-commerce, e-health, e-government, e-learning i e-work. Beneficiile enorme aduse de aceste tehnologii utilizatorilor furnizeaz i pentru infractorii cibernetici oportuniti multiple. Astfel, acetia devin capabili: s comunice unul cu altul n secret; s i ascund adevratele identiti pentru a evita detecia i pentru a penetra sisteme informatice la distan; s falsifice i s altereze documente cu regim privat; s manipuleze sistemele de plat electronic pentru a obine ilegal fonduri.

28

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

1. Mecanisme ale fraudelor electronice Fraude care implic sisteme de pli bazate pe hrtie: Atunci cnd bunuri i servicii sunt obinute efectiv on-line, dar totui sunt pltite utiliznd instrumente de plat bazate pe hrtie (cum ar fi ordine de plat, cecuri .a.), fraudele se pot realiza la fel ca n trecut. Vulnerabilitile sunt legate n principal de utilizatori individuali ce folosesc conturi deschise folosind detalii de identificare false, de situaii de depire a balanei creditului sau chiar de falsificarea sau alterarea unor instrumente de plat ca atare. n condiiile n care este o presiune pentru efectuarea ct mai rapid a tranzaciilor electronice, vnztorii ar putea dori s nu mai atepte ca informaiile introduse s fie terse sau s se efectueze verificri de autenticitate nainte de autorizarea distribuirii de bunuri sau furnizrii de servicii, prin urmare deschiznd calea unor poteniale fraude. La rndul lor, clienii ar putea trimite informaii specifice unui cec unui vnztor despre care nu dein informaii independente, care poate fi localizat ntr-o ar strin. Fraude implicnd sisteme de debit direct: Plile on-line se pot efectua prin debit direct, caz n care sumele de bani sunt transferate direct din contul pltitorului la banca destinaie, sau prin intermediul unui instrument de transfer n care un client poate solicita bncii sale s debiteze din contul su o sum care este electronic creditat pentru alt cont. Pentru ca astfel de tranzacii s aib loc, anumii pai preliminari trebuie efectuai de ctre prile implicate, incluznd schimbul de detalii despre conturi i realizarea a diverse verificri de identificare. Din punctul de vedere al cumprtorului, un element de risc apare dac fondurile sunt transferate nainte ca bunurile s soseasc sau ca serviciul s fie efectiv furnizat. Din punctul de vedere al vnztorului, este necesar ca fondurile s

soseasc nainte ca bunurile s fie livrate sau ca serviciul s fie furnizat. Principalul mijloc de protecie mpotriva unor astfel de fraude solicit comercianilor s adopte pai adecvai pentru autentificarea detaliilor de cont furnizate de ctre cumprtor i s se asigure c fondurile corespunztoare sunt inute n cont pentru a acoperi operaia de cumprare. Obinerea autorizaiei de la o instituie financiar este primul pas n prevenirea fraudelor. Fraude implicnd sisteme electronice de transfer de fonduri: Au fost dezvoltate diverse sisteme pentru a permite clienilor, bncilor i comercianilor s comunice n mod securizat unul cu cellalt. Respectivele sisteme electronice de transfer de fonduri au devenit deja operaionale ca substitute pentru tranzaciile prin cecuri bazate pe hrtie, i aceste sisteme pot fi adaptate pentru utilizarea n tranzacii realizate prin Internet. Totui, aceste sisteme creeaz un serios risc de securitate dac nu se implementeaz proceduri adecvate pentru verificarea disponibilitii fondurilor care ar trebui transferate sau pentru un control riguros al accesului la conturi. n plus, exist posibilitatea manipulrii i interceptrii informaiilor transmise prin reea n clar (n form necriptat). De aceea, pentru a securiza operaiunile de transferuri electronice de fonduri, datele sunt de regul criptate folosind algoritmi care codeaz mesajele transmise. La destinaia legitim ele vor fi decodate folosind chei cunoscute doar de ctre transmitor i receptor. Riscul major asociat cu un astfel de sistem const n posibilitatea ca respectivele chei de criptare s fie interceptate, n care caz datele din cadrul sistemului ar putea fi dezvluite sau manipulate. Majoritatea fraudelor pe scar larg la transferurile electronice de fonduri au implicat interceptarea sau alterarea mesajelor electronice transmise de la calculatoarele instituiilor financiare. Pentru a mbunti securitatea tranzaciilor bazate pe cri de credit i realizate prin

TELECOMUNICAII Anul L, nr. 1/2007

29

Sorin Soviany

Internet, diferite companii au proiectat sisteme care s asigure c identitatea prilor contractante poate fi autentificat i c vnztorii sunt capabili s determine dac un client deine n mod real fondurile necesare pentru a putea realiza tranzacia. Microsoft i Visa, de exemplu, au dezvoltat un protocol pentru pli electronice numit SET (Secure Electronic Transactions) care folosete criptarea cu chei publice pentru a proteja datele mpotriva tentativelor de compromitere sau corupere a acestora. Semnturile digitale sunt folosite, de asemenea, pentru a autentifica fiecare dintre prile implicate. Informaiile despre conturi sunt criptate nainte de transmisie, cheile de decriptare fiind protejate n mod separat. Principalele riscuri de securitate asociate cu aceste sisteme sunt legate de posibilitatea ca aceste chei private de criptare s fie furate sau utilizate fr autorizaie de ctre persoane care le-au obinut n mod nelegitim. Cel mai uor mod de a se realiza acest lucru ar fi transmiterea unei false dovezi de identificare ctre Autoritile de nregistrare atunci cnd se obine o pereche cheie public-privat. Fraude implicnd sisteme bazate pe carduri: n prezent, plile efectuate folosind smart carduri pot lua o varietate de forme. ns exist i riscuri aferente acestora. Principalul risc de securitate asociat cu smart cardurile este determinat de modul n care datele sunt criptate. Mecanismul de criptare utilizat poate fi spart dac anumite tipuri de erori au aprut la nivelul cardului. Unele defecte de proiectare sau din fabricaie pot spori riscurile de spargere a mecanismelor de protecie prin criptare. Fraude implicnd cash electronic (i tranzaciile bazate pe portofel electronic): Sunt n curs de dezvoltare variate sisteme care vor permite efectuarea de tranzacii n mod securizat prin Internet folosind cash electronic, sau elemente de valoare care sunt nregistrate digital pe calculatoare.

Ele trebuie s foloseasc mecanisme de criptare eficiente, i de regul se bazeaz pe criptarea cu chei publice. Fraude legate de identitate: Progresele n comerul electronic au creat premize pentru noi forme de aciuni ilegale i frauduloase, puin probabil s fie ntlnite n sistemele tranzacionale tradiionale. Spre exemplu, muli consumatori ntmpin mari dificulti n a-i identifica partenerii de afaceri (sau de tranzacii realizate prin Internet). Unii comerciani recurg n mod intenionat la mascarea (ascunderea) identitilor lor reale tocmai pentru a preveni posibilele fraude n tranzaciile electronice. n practic, tehnologiile Internet asigur utilizatorilor instrumente relativ simple pentru mascarea (ascunderea) identitilor reale ale acestora. Adresele de Internet, de pot electronic, spre exemplu, pot fi uor manipulate pentru a include detalii care nu sunt reale, sau sursa mesajului poate fi fcut anonim sau modificat astfel nct mesajul s apar ca provenind de la un alt utilizator. 2. Tipuri de fraude electronice Exist 3 tipuri principale de fraude mai des

ntlnite n aplicaiile bazate pe trazacii electronice. Primul tip este acela n care o anumit entitate pretinde c vinde ceva ce nu deine cu adevrat, dar pentru care solicit plata n avans. Un al doilea tip conduce la livrarea de bunuri sau servicii care sunt n realitate de o calitate inferioar celei pentru care s-a pltit. Un al treilea tip de fraud se manifest prin aciuni de unor convingere tehnici de a clienilor i s de achiziioneze ceva ce ei nu doresc cu adevrat, prin intermediul marketing promovare foarte agresive. 3. Rspunsul la fraude electronice n ceea ce privete rspunsul la fraudele electronice, 3 abordri general recunoscute sunt

30

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

avute n vedere. Prima abordare se bazeaz pe construirea unui cadru legal adecvat, deci pe reglementarea legislativ a rspunsului la aciuni frauduloase realizate pe cale electronic. Problema este nc larg dezbtut, fiindc se pun probleme de transparen i de protecia confidenialitii utilizatorilor. A doua abordare urmrete elaborarea unor coduri clare de practic pentru aplicaiile bazate pe tranzacii electronice. Sunt vizate aspecte cum ar fi cele referitoare la coninutul de date ce poate fi transmis n cursul tranzaciilor, la serviciile de certificare pentru protejarea acestor date i garantarea autenticitii lor. A treia abordare preventive. urmrete adoptarea unor strategii

aplicaii, viznd de exemplu aspecte practice cum ar fi nivelul de securitate pe care l asigur sistemele de autentificare a utilizatorilor (prin parole, .a.), accesul la i utilizarea n sistemelor private, de calcul organizaionale scopuri utilizarea

serviciilor de pot electronic n scopuri personale, descrcarea de software de pe Internet, sau utilizarea unor materiale care implic probleme de drepturi de autor. 2.3. Principii generale pentru autentificarea electronic Este vorba despre o serie de principii care privesc procesul de autentificare electronic n sensul cel mai larg, acoperind aspecte de politic (strategie) precum i consideraii tehnice i legale. Autentificarea se refer la un proces prin care se atest atributele participanilor la o sesiune de comunicaie electronic sau integritatea datelor transferate. Autentificarea electronic urmrete promovarea ncrederii n cadrul activitilor specifice aplicaiilor realizate prin comunicaii electronice. Participanii la sesiune sunt asigurai c celelalte entiti s-au autentificat folosind diferite tehnologii, i c acetia sunt de ncredere; de asemenea, se urmrete asigurarea de suport pentru integritatea datelor care urmeaz s fie transmise. De regul, tehnologiile criptografice. n acest context, atributele desemneaz toate informaiile unei alte relevante entiti depinde referitoare autentificate. de o la identitatea, de privilegiile sau drepturile unui participant sau ale Aciunea autentificare anumit activitate utilizate se bazeaz pe metode

Acestea au n vedere elaborarea unor recomandri i politici de control al tentativelor de fraud electronic n special prin utilizarea unor tehnologii eficiente de securitate informatic. n acest context, adoptarea unor politici clare de control al tentativelor de fraud n interiorul organizaiilor reprezint un principiu esenial pentru prevenirea i limitarea efectelor fraudelor n aplicaii care implic transferul de date sensibile, a cror dezvluire poate avea consecine serioase pe scar mai larg, aa cum sunt i aplicaiile de e-commerce, e-health, egovernment, e-learning i e-work. Stabilirea unor principii referitoare, de exemplu, la utilizarea etic a tehnologiilor informatice i la modul de reacie la anumite tipuri de fraude sunt, de asemenea, eseniale pentru succesul unor aplicaii cum sunt cele menionate anterior. De o importan particular este necesitatea de a dezvolta politici specifice de securitate informatic mpreun cu recomandri adecvate pentru raportarea utilizrii n scopuri ru intenionate a tehnologiilor informatice i de comunicaii. Astfel de politici trebuie s aib n vedere comportamentul on-line specific al angajailor instituiilor sau organizaiilor implicate n aceste

anterioar care autorizeaz participanii, n funcie de prezentarea de ctre acetia a anumitor atribute specificate. Aceste atribute pot fi inerente (cum ar fi identitatea) sau alocate (de exemplu, privilegiul sau

TELECOMUNICAII Anul L, nr. 1/2007

31

Sorin Soviany

dreptul de a fi parte ntr-o anumit tranzacie). Procesul de autorizare este n responsabilitatea unei autoriti speciale. 1. Principiul responsabilitii participanilor Participanii la un proces de autentificare trebuie s fie ateni la funciile pe care le realizeaz i la responsabilitile asociate cu aceste funcii. Responsabilitile participanilor sunt proporionale cu nivelul de cunotine i de control pe care acetia le pot avea i le pot exercita. Toi participanii trebuie s acioneze prudent i s urmeze paii necesari pentru a se informa n legtur cu natura procesului de autentificare, inclusiv despre cerinele i limitrile acestuia, n scopul protejrii informaiilor asociate cu acest proces, i pentru a gestiona n mod adecvat riscurile la care sunt expui. n plus, participanii accept responsabiliti specifice n conformitate cu rolurile sau funciile pe care acetia trebuie s le realizeze, cum ar fi: Administrare: Administratorul este responsabil pentru urmrirea procesului de autentificare i cu deosebire a msurilor de ncredere astfel nct ceilali participani s aib ncredere n validitatea atributelor pretinse. Specificare: Participantul este responsabil pentru alegerea unui anumit sistem cum ar fi infrastructura de autentificare sau a unui proces care satisface cerinele de securitate, n acord i cu prevederi legale i de strategie asociate cu tipurile de tranzacii care trebuie efectuate. Utilizator final: Responsabilitea utilizatorilor finali de a se informa n legtur cu procesul de autentificare este limitat de extinderea informaiilor transmise n clar. Responsabilitatea utilizatorilor finali de a proteja informaiile referitoare la procesul de autentificare poate fi limitat prin obligaii legale sau contractuale.

2. Managementul riscurilor Riscurile asociate proceselor de autentificare electronic trebuie s fie identificate, evaluate i abordate ntr-un mod rezonabil, corect i eficient. Responsabilitile participanilor n ceea ce privete managementul riscurilor sunt proporionale cu nivelul de cunotine i de control pe care fiecare participant le poate deine i exercita. Se admite c posibilitatea participanilor de a identifica, evalua i gestiona riscurile variaz substanial. Riscurile trebuie s fie identificate ct mai bine posibil. Acestea pot viza probleme de ordin financiar cauzate de funcionarea defectuoas a sistemelor, sau probleme cauzate n mod direct de pierderea confidenialitii datelor, de atacuri prin furt de identitate etc. Se impune o evaluare riguroas a riscurilor i a potenialului impact al atacurilor care exploateaz vulnerabilitile sistemelor. 3. Securitatea Toi participanii ar trebui s fie responsabili cu aplicarea msurilor de securitate, dar proporional cu rolurile pe care acetia le dein n cadrul tranzaciilor. Toi participanii trebuie s contribuie la prevenirea atacurilor prin aplicarea n practic a msurilor de securitate recomandate. Se urmrete diminuarea sau minimizarea riscurilor inerente n procesul de partajare a informaiilor. Toi participanii trebuie s fie contieni de riscurile de securitate, s cunoasc sursele de ameninare i vulnerabilitile sistemelor, precum i metodele de protecie. Informaiile despre riscurile, vulnerabilitile i ameninrile cunoscute trebuie partajate ntre participani. Msurile de securitate trebuie s fie proporionale cu nivelul riscurilor dar i n acord cu drepturile participanilor.

32

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

4. Caracterul privat Toate organizaiile implicate n proiectarea sau operarea mecanismelor de autentificare trebuie s se conformeze unor standarde de protecie a datelor care s fie n acord cu practicile relevante n domeniu i cu norme legale specifice. n particular, colectarea, utilizarea i dezvluirea de informaii cu caracter personal ar trebui minimizate. Procesul de autentificare bazat pe identitate poate s nu fie De conform exemplu, cu o cerinele metod de mai confidenialitate.

n plus, viteza cu care tranzaciile on-line se desfoar faciliteaz i fraudele, deoarece n multe cazuri prile implicate n tranzacii nu dispun de timpul necesar pentru a reflecta asupra condiiilor i termenilor propui n cadrul respectivelor tranzacii comerciale prin Internet. Acetia nu pot verifica nici identitatea real a presupuilor parteneri, ceea ce constituie o alt vulnerabilitate i o premiz pentru aciuni frauduloase. Unele metode de control implementate la nivel organizaional pentru a preveni fraudele nu se pot totui aplica pentru tranzaciile on-line (realizate prin Internet), n care acordurile trebuie ncheiate rapid iar plile trebuie efectuate cvasi-instantaneu (prin transferuri de fonduri prin mijloace electronice). Tehnologiile suport pentru sistemele de e-commerce asigur multiple posibiliti i pentru cei care doresc s obin foloase necuvenite prin aciuni frauduloase asupra sistemelor informatice i de comunicaii care susin aplicaiile de comer electronic. Prin urmare, elaborarea unor strategii eficiente de management al fraudelor, de prevenire i limitare a efectelor acestora, este o prioritate pentru organizaiile implicate n realizarea de tranzacii electronice pentru aplicaii de e-commerce. Politici adecvate de control i management al fraudelor trebuie adoptate pe scar larg att n sectorul public, ct i n cel privat. Din perspectiv tehnologic, o gam larg de soluii au fost proiectate i introduse n scopul reducerii riscurilor de fraude electronice pentru tranzaciile comerciale realizate prin Internet (n aplicaii de comer electronic). n ceea ce privete securitatea echipamentelor (hardware), acestea trebuie protejate astfel nct s se restricioneze accesul la resursele informaionale stocate, eventual prin firewall sau alte dispozitive, n scopul prevenirii unor intruziuni capabile s conduc la fraude electronice cu consecine serioase pentru instituiile financiare sau firmele implicate.

puternic de autentificare poate impune colectarea i compararea mai multor informaii personale. Totui, minimizarea aciunilor de colectare, utilizare i dezvluire a informaiilor personale n contextul procesului de autentificare este fundamental pentru meninerea unui nivel adecvat de ncredere n caracterul privat al informaiilor vehiculate prin mediul de reea. Metodele de protecie a confidenialitii i a caracterului privat pot contribui la sporirea ncrederii n procesele de autentificare.

3. Managementul fraudelor electronice n aplicaii

3.1. Managementul fraudelor n aplicaii de comer electronic n aplicaiile de e-commerce, fraudele apar ca rezultat al 3 factori: existena unor infractori motivai, disponibilitatea unor inte accesibile i absena unor msuri de protecie adecvate. Creterea numrului de entiti implicate n tranzacii specifice aplicaiilor de comer electronic a condus la sporirea disponibilitii pentru tot mai multe inte probabile ale infractorilor cibernetici. Majoritatea tranzaciilor electronice presupun i vehicularea unor multiple tipuri de informaii colaterale despre prile implicate, informaii care pot fi uor interceptate de ctre atacatori din Internet.

TELECOMUNICAII Anul L, nr. 1/2007

33

Sorin Soviany

Autentificarea utilizatorilor trebuie implementat astfel nct s reduc la minim riscul fraudelor legate de identitate (prin furt de identitate, mascarea identitii, etc.). Ct timp procedurile de autentificare sunt ineficiente, atacatorii pot evita responsabilitatea pentru aciunile lor, iar probabilitatea unor fraude n sistemele de comer electronic rmne ridicat. n principiu, metodele de identificare/autentificare folosite n sistemele actuale de e-commerce sunt de 3 tipuri principale: sisteme de identificare bazate pe cunotine, metode de autentificare biometrice i metode bazate pe jetoane (token-uri). Sistemele de identificare bazate pe cunotine sunt predispuse la multiple riscuri i trebuie serios protejate. Cum majoritatea sistemelor de plat online necesit utilizarea unor PIN-uri (Personal Identification Number) sau parole pentru ca utilizatorii s obine accesul la resursele informatice, protecia acestor date de acces reprezint prima i cea mai evident strategie de prevenire a fraudelor. Parolele sunt adesea utilizate n mod inadecvat i pot fi ghicite cu uurin, mai ales dac nu au fost alese cu atenie, respectnd anumite reguli n msur s reduc probabilitatea de a fi ghicite. Unele sisteme impun, ca msur suplimentar de protecie, schimbarea periodic a parolelor, sau chiar utilizarea unor parole de singur folosin, n sensul c la urmtoarea utilizare a sistemului se genereaz o nou parol pentru realizarea tranzaciei comerciale prin Internet, parol diferit de cea utilizat n cadrul sesiunii precedente. Metodele de autentificare biometric devin de un interes sporit deoarece aparent ele ofer un nivel de integritate mai ridicat, n comparaie cu sistemele de identificare bazate pe cunotine i cu cele bazate pe jetoane (dispozitive dedicate pentru controlul accesului). Se preconizeaz ca n viitor tehnologiile de autentificare bazate pe metode biometrice s asigure un nivel mai ridicat de securitate, dei

problemele de confidenialitate i de protecie a caracterului privat vor continua s rmn n atenie. Deja exist o varietate de sisteme care exploateaz particulariti fizice proprii ale indivizilor pentru a realiza o autentificare mai sigur. Identificatorii biometrici comuni n prezent includ amprentele degetelor, patern-uri vocale, patern-uri de tastare, imagini retiniene, caracteristici faciale. De exemplu, sistemele de identificare bazate pe amprente sunt utilizate pentru a restriciona accesul la tastaturi sau atunci cnd se folosete un mouse. Un dezavantaj este acela c dei astfel de sisteme ofer nivele de securitate mai ridicate dect cele realizate de sistemele bazate pe parol, ele sunt nc destul de costisitoare pentru a fi utilizate pe o scar larg. n plus, se ridic problema confidenialitii i a proteciei caracterului privat al informaiilor personale stocate n reelele de calculatoare. n ceea ce privete securitatea sistemelor bazate pe semntur digital, trebuie remarcat faptul c sistemele de criptare cu chei publice reprezint una dintre cele mai eficiente abordri pentru a permite realizarea n condiii mai sigure a tranzaciilor de comer electronic prin Internet. Fraudele n aplicaiile de comer electronic trebuie prevenite sau, dac tot au aprut, trebuie s fie detectate rapid pentru a li se limita pe ct posibil consecinele. Dac nu este posibil s se previn 100% aciunile frauduloase on-line, cel puin poate fi posibil ca prin intermediul unor soluii software de detecie s se identifice prezena unor aciuni tranzacionale frauduloase, i aceasta tocmai pentru a reduce potenialele pierderi cauzate de astfel de fraude. Diferite firme dezvolt soluii software dedicate utilizate n prevenirea fraudelor electronice. O alt modalitate n care fraudele pot fi detectate se bazeaz pe monitorizarea activitii pe Internet a angajailor companiilor. Utilizarea sistemelor de calcul de ctre angajai, i mai ales activitile on-

34

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

line ale acestora, pot fi monitorizate prin soluii software care jurnalizeaz (in evidena pentru) respectivele activiti. De asemenea, filtrarea accesului ctre exterior (prin politici adecvate la nivel de firewall, de exemplu) poate preveni sau limita tentativele de fraud prin Internet. 3.2. Managementul fraudelor n aplicaii de e-health Una dintre problemele care se ridic n cazul aplicaiilor de e-health este aceea a obinerii ilegale (sau nefundamentate corespunztor) de fonduri de la societile de asigurare medical de ctre furnizori de servicii de sntate i angajaii acestora, dar i de ctre utilizatori/beneficiari individuali ai serviciilor de sntate, persoane cu intenii ru voitoare care doresc s obin avantaje n mod fraudulos. Multe dintre entitile care solicit n mod fraudulos rambursarea unor pretinse servicii de sntate de care ar fi beneficiat invoc diverse situaii mai greu de verificat n practic, cum ar fi invocarea mai multor servicii dect au fost folosite n mod real, obinerea neautorizat de medicamente cu regim special prin efectuarea unor comenzi on-line i n condiiile n care nu se poate verifica existena unei prescripii adecvate. Sistemele electronice de plat a serviciilor medicale sunt, de asemenea, expuse unor riscuri de securitate care le fac vulnerabile la diverse activiti frauduloase. De aceea, pentru ca furnizorii de servicii medicale i pacienii s poat comunica n mod securizat cu societile de asigurri de sntate, trebuie ndeplinite anumite condiii, i anume: comunicaiile s se realizeze ntre entiti care s fie identificabile (prin mecanisme de autentificare comunicaiile implementate care implic n mod adecvat), de date transferul

laborator .a.) s nu poat fi interceptate de ctre teri i, nu n ultimul rnd, coninutul datelor s nu poat fi modificat dup ce acestea au fost transmise. Una dintre cele mai des utilizate metode de iniiere a unor atacuri inclusiv asupra sistemelor de e-health const n crearea i utilizarea de identiti false. Prin intermediul lor, persoanele ru intenionate pot transmite documente de invocare a unor servicii inexistente i de efectuare a unor pli pentru servicii medicale de care n realitate nu au beneficiat. Pe de alt parte, prin falsificarea identitii i obinerea neautorizat a unor privilegii de acces la resursele informatice ale spitalelor i altor tipuri de instituii din domeniul sntii, intruii pot avea acces la informaii sensibile, a cror dezvluire prezint un impact social n legtur cu persoanele la care se refer respectivele date. i n cazul aplicaiilor de e-health, strategiiile de securitate i de prevenire i limitare a fraudelor se bazeaz pe folosirea sistemelor criptografice cu chei publice i a semnturilor digitale. Evident, i aceste sisteme prezint o serie de surse de risc, de vulnerabiliti de care trebui inut cont n elaborarea strategiilor de prevenire i limitare a efectelor atacurilor din Internet i ale diverselor tipuri de fraude care pot afecta i sistemele de e-health. Aceste surse de risc se refer la alegerea algoritmilor, la generarea i distribuirea opional a cheilor, la managementul cheilor i gestiunea atributelor de securitate pentru entitile implicate n aceste aplicaii, la nivelele de securitate fizic, personal i administrativ. Securizarea stocrii i distribuirii cheilor este esenial pentru meninerea ncrederii n sistemele de e-health, contribuind i la limitarea posibilelor fraude cu diverse origini. De exemplu, cheile pot fi stocate pe hard-diskul unui calculator cu serviciul criptografic activat printr-un smart card. Smart cardurile pot fi utilizate pentru realizarea i meninerea de semnturi digitale i pentru autentificarea identitii unui utilizator.

sensibile (informaii personale ale utilizatorilor, date medicale de pacient, rezultatele unor examinri de

TELECOMUNICAII Anul L, nr. 1/2007

35

Sorin Soviany

3.3. Managementul fraudelor n aplicaii de e-government Sistemele suport pentru aplicaii de e-

un mediu n care prile implicate n tranzacii s poat stabili relaii de ncredere. Mecanismele de autentificare sunt foarte utile n acest scop. 6. Caracterul privat: Ageniile vor colecta informaii private numai dac este necesar pentru procese n derulare. 7. Opiune: Ageniile vor asigura utilizatorilor individuali capacitatea de a determina dac doresc sau nu s acceseze serviciile guvernamentale prin metode electronice (aplicaii de e-government). n msura n care ageniile guvernamentale aleg metode adecvate pentru autentificare n cazul serviciilor specifice de e-government pe baza riscurilor dar i a cerinelor aplicaiilor, ele trebuie s i adapteze opiunile n proiectarea i implementarea mecanismelor de autentificare. 8. Diversitate: Se vor avea n vedere diverse soluii tehnice pentru implementarea autentificrii, soluii care s fie ct mai adecvate cerinelor aplicaiilor. n elaborarea strategiilor de management i combatere a fraudelor electronice n aplicaii de egovernment trebuie luat n considerare faptul c diferitele tipuri de tranzacii din aplicaii pot avea cerine diferite n ceea ce privete mecanismele de autentificare, n funcie de gradul de risc i de consecinele posibilelor atacuri. Pentru diferitele nivele de risc se asigur soluii adecvate, care pe de o parte s nu reduc eficiena sistemelor, iar pe de alt parte s implementeze un mecanism adecvat care s protejeze eficient sistemele i tranzaciile fa de aciuni frauduloase. 3.4. Managementul fraudelor n aplicaii de e-learning n aplicaiile de e-learning, riscurile de securitate i mai ales de fraude specifice provin din faptul c utilizatorii (studeni, personal n proces de instruire) pot accesa sisteme informatice care gzduiesc date

government necesit, la rndul lor, respectarea anumitor principii n msur s asigure un nivel adecvat de securitate precum i instrumente pentru prevenirea i remedierea consecinelor aciunilor frauduloase. i aceasta n condiiile n care atacurile asupra sistemelor de e-government pot avea un impact major pe scar foarte larg, afectnd funcionarea unor instituii i sisteme vitale de interes naional. Principiile avute n vedere pot fi sintetizate dup cum urmeaz: 1. Transparena: Ageniile i organizaiile guvernamentale trebuie s ia decizii adecvate referitoare la sistemele de autentificare pentru aplicaii de e-government, ntr-o manier deschis i uor de neles implicnd consultarea entitilor implicate n funcionarea respectivelor sisteme (n spe, a celor ce asigur suportul tehnic). 2. Managementul riscurilor: Selectarea instrumentelor de autentificare electronic (a metodelor de autentificare) trebuie s fie fcut n funcie de probabilitatea i de consecinele riscurilor identificate. 3. Consisten i interoperabilitate: Este necesar o abordare consistent n selecia mecanismelor de autentificare. Ageniile guvernamentale trebuie s utilizeze metode de autentificare interoperabile i consistente la nivel naional, pentru a rspunde ntr-o manier adecvat ateptrilor utilizatorilor serviciilor respective. 4. Receptivitate i responsabilitate: Ageniile trebuie s fie receptive la cerinele utilizatorilor individuali. Ele trebuie s fie responsabile pentru furnizarea serviciilor de e-government, s asigure suport adecvat pentru utilizarea respectivelor servicii i s soluioneze eventualele dispute i dezacorduri. 5. ncredere i securitate: Ageniile trebuie s implementeze msuri de securitate care s asigure

36

TELECOMUNICAII Anul L, nr. 1/2007

Principii de tratare a fraudelor n aplicaii informatice i de comunicaii electronice

importante

din

puncte

distante.

Resursele

tradiional, identificarea se face prin introducerea unui ID de utilizator asociat cu o parol. Metoda prezint o serie de slbiciuni, menionate n seciunile precedente. 2. Autorizarea: Se determin dac o anumit entitate autentificat are sau nu dreptul de a accesa anumite informaii. 3. Confidenialitatea: Se urmrete protecia datelor fa de accese neautorizate. Informaiile i datele sensibile nu trebuie s fie dezvluite ctre persoane neautorizate. Aplicarea unei anumite forme de criptate este o soluie pentru a realiza acest lucru. 4. Integritatea: Informaiile nu trebuie modificare sau distruse dup ce au fost stocate i transmise. Cu alte cuvinte, numai prile autorizate au dreptul s schimbe coninutul stocat, i nu n orice condiii. 5. Non-repudierea: Se urmrete ca nici o aciune efectuat n cursul aplicaiei s nu fie negat ulterior de ctre una dintre pri (cea iniiatoare). Aplicarea de semnturi digitale este o soluie adecvat. 6. Disponibilitatea: Se asigur faptul c toate resursele electronice i serviciile sunt disponibile pentru utilizatori autorizai atunci cnd acetia doresc s le acceseze. i n cazul aplicaiilor de e-learning, utilizarea unor soluii de monitorizare a activitilor on-line ale utilizatorilor (studeni, elevi, etc.) este o abordare care trebuie luat n considerare n cadrul strategiilor de management i de prevenire a fraudelor. De fapt, entitile i obiectele monitorizate pot diferi de la o organizaie sau instituie la alta. n practic, procesul de monitorizare ar trebui extins pentru a include aspecte cum ar fi cele de validare a informaiilor, de evaluare a capacitii operaionale a sistemelor suport, precum i de apreciere a ntregului impact pe care mediul de elearning l produce asupra utilizatorilor si.

informaionale care pot fi accesate de la distan n aplicaii de e-learning pot fi cursuri (note de curs sau materiale complete), subiecte ale testelor, teme de cas, rspunsuri la chestionarele de evaluare, punctajele obinute la anumite testri. Strategiile de management pentru prevenirea fraudelor i limitarea efectelor acestora trebuie s ia n considerare modificarea neautorizat a materialelor de curs stocate on-line i disponibile prin accesarea unor website-uri de ctre studeni, gsirea i copierea neautorizat a rspunsurilor la problemele de examen, modificarea rspunsurilor la ntrebri dup expirarea timpului alocat examenelor, modificarea sau tergerea rspunsurilor de ctre teri neautorizai, modificarea punctajelor respectiv a notelor acordate, accesul neautorizat la subiectele testelor i dezvluirea acestora, distrugerea bazelor de date n care sunt stocate informaiile despre studenii nscrii la anumite cursuri, atacurile de blocare a serviciilor (Denial of Services) care pot genera probleme de accesibilitate pentru serverele de e-learning, interceptarea informaiilor secrete de conectare (ID-uri i parole) ale profesorilor i ale altor studeni, cu utilizarea acestora n scopuri nepermise. Este necesar ca instituiile de nvmnt care sunt incluse n aplicaii de e-learning s aplice politici de securitate clare i consistente. O astfel de politic trebuie s stabileasc reguli referitoare la accesul la resursele informatice (mecanisme puternice de control al accesului, mecanisme de autorizare i autentificare care s previn potenialele fraude). Msurile de securitate sunt, ca i n cazul celorlalte tipuri de aplicaii, cele care privesc: 1. Identificarea i autentificarea: Trebuie s se asigure c numai utilizatorii autorizai (studeni nregistrai, profesori, personal al instituiei de nvmnt) pot obine accesul la un astfel de sistem suport pentru aplicaii de e-learning. n mod

TELECOMUNICAII Anul L, nr. 1/2007

37

Sorin Soviany

Concluzii
Pe plan european i mondial se constat o cretere a interesului (n mediile guvernamentale, academice, de afaceri, precum i din partea publicului larg) n ceea ce privete securitatea comunicaiilor i a tranzaciilor efectuate prin mijloacele electronice de comunicaii. Aceast cretere a interesului se traduce, pe de-o parte, n dezvoltarea de tehnologii pentru securizarea tranzaciilor prin reele de comunicaii electronice, iar pe de alt parte n modificarea/dezvoltarea cadrului de reglementare (la nivel naional i european) n ceea ce privete manipularea/stocarea/valorificarea/distrugerea informaiilor sensibile. Interesul crescut pentru tehnologiile care contribuie la creterea nivelului de securitate al sistemelor de comunicaii este determinat i de creterea numrului de infractori cibernetici activi (mai ales n Internet), de creterea numrului de utilizatori ai reelelor de comunicaii electronice (n particular ai Internetului) i de evoluia pieei de bunuri i servicii, care au nceput s se dezvolte considerabil n segmentul reprezentat de tranzaciile on-line. n prezent, o multitudine de aplicaii bazate pe tehnologii Internet sunt utilizate n cele mai diverse domenii de activitate, att la nivel de administraii, ct i n instituii medicale, de nvmnt, de cercetare sau la nivelul unor organizaii comerciale. Aceste aplicaii implic, cel mai adesea, vehicularea unor date foarte sensibile, cu caracter confidenial, a cror dezvluire neautorizat poate avea consecine serioase nu doar pentru organizaia sau instituia implicat, ct i pentru utillizatori individuali care eventual folosesc resurse informatice i beneficiaz de servicii furnizate de ctre respectivele firme. Pe de alt parte, fraudele electronice (n aplicaii cum sunt, de exemplu, cele de e-commerce) se pot solda cu uriae pierderi financiare, cu mult peste costurile necesitate de implementarea unor tehnologii de securitate eficiente. De aceea, n ultimii ani au fost implementate noi mecanisme de

detecie a fraudelor electronice, bazate pe soluii mai eficiente de identificare a riscurilor i de rspuns la activiti frauduloase n msur s afecteze aplicaii de e-commerce, e-health, e-government sau e-learning, de exemplu.

Bibliografie
1. Al-Omari Hussein, Al-Omari Ahmed, Building an eGovernment e-Trust Infrastructure, American Journal of Applied Sciences 3 (11), 2006, http://www.scipub.org/ /fulltext/ajas/ajas3112122-2130.pdf 2. Brut Mihaela, Online Payment Facilities in Romania, Revista Informatica Economic nr. 2 (34)/2005. 3. Eibl Christian, von Solms Basie, Schubert Sigrid, A Framework for Evaluating the Information Security of E-Learning Systems, White paper, 2006, http://www.die.informatik.uni-siegen.de/DIE_BIB/ Forschung/ Publikationen/2006/ISSEP2006.pdf 4. Faloutsos C., Chau D.H., Fraud Detection in Electronic Auction, White paper, http://www.cs.cmu.edu/~dchau/ /papers/chau_fraud_detection.pdf 5. Graycar Adam, Smith Russell, Identifying and Responding to Electronic Fraud Risks, Australian Institute of Criminology, 30 Conference Canberra,
th

Australasian Registrars November 2002,

http://www.aic.gov.au/conferences/other/graycar_ada m/2002-11-registrars.pdf 6. Patriciu Victor-Valeriu, Pietroanu-Ene Monica, Bica Ion, Cristea Costel, Securitatea informatic n UNIX i INTERNET, Editura Tehnic, 1998. 7. Patriciu Victor-Valeriu, Pietroanu-Ene Monica, Bica Ion, Priescu Justin, Semnturi electronice i securitate informatic. Aspecte criptografice, tehnice, juridice i de standardizare, Editura BIC ALL, 2006. 8. Rachieru Dan, Metode de asigurare a confidenialitii comunicaiilor de date, n conformitate cu reglementrile europene, PN 03-340301 INSCC, iunie 2003-martie 2005. 9. Vasilescu Andrei, Rachieru Dan, Vasile Irina, Filip Luminia, Vasilescu Elena, Ghid de aplicare a recomandrilor europene referitoare la confidenialitatea comunicaiilor, INSCC, decembrie 2005.

38

TELECOMUNICAII Anul L, nr. 1/2007