Sunteți pe pagina 1din 24

Tema 13. Securitatea sistemelor informaionale 1.Securitatea SI: definiii, noiuni principale, clasificarea pericolelor de securitate 2.

Metodele de protecie a SI 3.Sistemele de identificare i delimitare a accesului la informaie n cadrul SI 4.Managementul sistemului de securitate informaional al firmei 5. Politica european n domeniul securitii informatice 1.Securitatea SI: definiii, noiuni principale, clasificarea pericolelor de securitate Potenialul societii informaionale (impactul instaurrii erei informatice constituie pentru epoca modern ceea ce au nsemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este n continu cretere datorit dezvoltrii tehnologice i a cilor de acces multiple. n acest context, desfurarea n bune condiii a activitii securitii sistemelor informatice impune existena unui sistem IT funcionabil. Managementul securitii sistemelor IT constituie un factor hotrtor in buna desfurare a activitii unei companii, pentru asigurarea proteciei datelor i a efecturii de tranzacii electronice n condiiile n care activitatea celor mai multe instituii, ntreprinderi depinde n proporie de circa 67 % de propriul lor sistem informatic. Se pot enumera printre principalele mijloace tehnice implementate de ntreprinderile societii moderne a cror activitate nu se poate desfura optim fr un sistem informatic bine pus la punct: programe antivirus, salvare a datelor, instruire referitoare la importana implementrii i urmririi msurilor de securitate. Societatea informaional impune: reglementarea legilor i drepturilor pentru dezvoltarea comerului electronic; mbuntirea productivitii i calitii vieii. Securitatea informaiei se definete ca capacitatea sistemului de prelucrare a informaiei de a asigura n anumit perioad de timp a posibilitii de executare a cerinelor stabilite dup mrimea probabilitii realizrii evenimentelor, manifestate n: -exodul informaiei; -modificarea sau pierderea de date, ce prezint anumit valoare pentru deintor. Cauzele acestor evenimente pot fi: -impactul aciunilor cu caracter stocastic ale omului; -impactul aciunilor premeditate ale omului n form de acces nesancionat n sistem. Asigurarea securitii datelor presupune realizarea a patru obiective: 1. Confidenialitatea, uneori numit secretizare, i propune s interzic accesul neautorizat al persoanelor la informaia care nu le este destinat. Confidenialitatea reprezint elul suprem al securitii calculatoarelor. Pentru asigurarea confidenialitii trebuie tiut care sunt informaiile care trebuie protejate i cine trebuie sau cine nu trebuie s aib acces la ele. Aceasta presupune s existe mecanisme de protecie a informaiilor care sunt stocate n calculatoare i care sunt transferate n reea ntre calculatoare. n Internet, confidenialitatea capt noi dimensiuni sub forma unor msuri de control al confidenialitii. rile dezvoltate, Statele Unite, Canada, Australia, Japonia etc., au reglementat prin lege controlul confidenialitii. 2. Integritatea, uneori numit acuratee, i propune ca datele stocate n calculator s nu poat fi alterate sau s nu poat fi modificate dect de persoane autorizate. Prin alterarea datelor se nelege att modificarea voit maliioas, ct i distrugerea acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei aciuni ruvoitoare, ci i ca urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. n acest caz se impune s existe un plan de recuperare i refacere a datelor(existena unei copii de siguran).

3. Disponibilitatea i propune ca datele stocate n calculatoare s poat s fie accesate de persoanele autorizate. Utilizatorii trebuie s aib acces doar la datele care le sunt destinate. Se pot distinge aici dou categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem i utilizatorii generali, excepie fcnd sistemele de operare care echipeaz calculatoarele desktop. Orice utilizator general va putea s schimbe configurrile de securitate ale calculatorului mergnd pn acolo nct s le anuleze. 4. Nerepudierea, termen recent aprut n literatura de specialitate, i propune s confirme destinatarului unui mesaj electronic faptul c acest mesaj este scris i trimis de persoana care pretinde c l-a trimis. n acest fel se asigur ncrederea prilor. Expeditorul nu poate s nege c nu a trimis el mesajul. Nerepudierea st la baza semnturilor digitale, asigurnd autenticitatea acestora, n noua pia a comerului electronic (E-Commerce). Obiectele critice (supuse securitizrii, controlului sau/ i gestiunii n condiii de siguran): -sisteme de telecomunicaie; -sisteme bancare; -staii atomice; -sisteme de gestiune a transportului aerian i rutier; -sisteme de prelucrare i pstrare a informaiei secrete i confideniale. Proprietile de siguran a sistemelor critice: -integritatea sistemului, care se definete ca capacitatea mijloacelor tehnice de calcul sau a sistemului automatizat de a asigura constana (invariabilitatea) formei i a calitii informaiei n condiiile de deformare stocastic sau de ameninare cu distrugerea; -inofensivitatea informaiei, care se definete ca starea de protejare zascicennosti a informaiei, prelucrate cu ajutorul mijloacelor tehnice de calcul sau sistemelor automatizate de la ameninri interne sau externe. Dei n societatea informaional varietatea crimelor este mare (i va fi i mai mare pe msur ce tehnologia va progresa), urmtoarele fapte infracionale sunt cele mai frecvente: frauda informatic falsul informatic, fapte ce prejudiciaz datele sau programele pentru calculator, sabotajul informatic accesul neautorizat, intercepia neautorizat, pirateria software, spionajul informatic, defimarea prin Internet distribuirea de materiale obscene n Internet, spam-ul. Noiunile-cheie: -accesul neautorizat reprezint accesul fr drept la un sistem sau la o reea informatic prin violarea regulilor de securitate; -confidenialitatea datelor atribut al datelor ce caracterizeaz accesul lor restrns pentru un anumit grup de utilizatori; -criminalitatea informatic totalitatea infraciunilor comise cu ajutorul calculatorului sau n mediul informatizat; -documentul electronic (nscris electronic), reprezint o colecie de date n format electronic ntre care exist relaii logice i funcionale, care redau litere, cifre sau orice alte caractere cu semnificaie inteligibil, destinate a fi citite prin mijlocirea unui program informatic sau a altui procedeu similar; -dreptul comerului electronic totalitatea reglementrilor legale referitoare la activitile comerciale care implic transferul de date i realizarea unei tranzacii financiare prin intermediul unei reele electronice precum Internetul; -drept informatic sau dreptul societii informaionale este un sistem unitar de reguli juridice aplicabile tehnologiilor specifice informaticii, precum i acelei pri a comunicaiei aferente transferului de informaie n reelele informatice;

-dreptul securitii informatice totalitatea regulilor juridice care se refer la asigurarea securitii sistemelor informatice i a datelor i informaiilor cuprinse n aceste sisteme fa de evenimente care le-ar putea afecta integralitatea; -frauda informatic reprezint intrarea, alterarea, tergerea sau supraimprimarea de date sau de programe pentru calculator sau orice alt ingerin ntr-un tratament informatic care i influeneaz rezultatul, cauznd chiar prin aceasta un prejudiciu economic sau material n intenia de a obine un avantaj economic nelegitim pentru sine sau pentru altul; -funcionarea licit a bazei sau bncii de date se refer la modalitatea legal n virtutea creia organizaia proprietar sau deintor a bazei de date presteaz servicii informatice; -intercepia neautorizat, const n intercepia fr drept i cu mijloace tehnice de comunicaii cu destinaie, cu provenien i n interiorul unui sistem sau reele informatice; -pirateria software const n reproducerea, difuzarea sau comunicarea n public, fr drept, a unui program pentru calculator, protejat de lege; -sabotajul informatic, reprezint intrarea, alterarea, tergerea sau supraimprimarea de date sau de programe pentru calculator ori ingerina n sisteme informatice cu intenia de a mpiedica funcionarea unui sistem informatic sau a unui sistem de telecomunicaii; -semntura electronic, reprezint o colecie de date n format electronic incorporate, ataate sau asociate unui nscris n format electronic cu intenia de a produce efecte juridice i care permite identificarea formal a semnatarului; -spionajul informatic, const n obinerea prin mijloace ilegitime sau divulgarea, transferul sau folosirea fr drept ori fr nici o alt justificare legal a unui secret comercial sau industrial, n intenia de a cauza un prejudiciu economic persoanei care deine dreptul asupra secretului sau de a obine pentru sine ori pentru altul avantaje economice ilicite. Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de sistemele de securitate i a avea acces neautorizat la informaii. Orice calculator este vulnerabil la atacuri. Politica i produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului s aib puine anse de reuit. Principalele vulnerabiliti n sistemele de calcul sunt: fizice; naturale; hardware; software; medii de stocare; radiaii; comunicaii; umane. Toate aceste vulnerabiliti vor fi exploatate de persoane ruvoitoare. Referitor la scara vulnerabilitilor putem s distingem trei mari categorii [6]: vulnerabiliti care permit DoS (refuzul serviciului); vulnerabiliti care permit utilizatorilor locali s-i mreasc privilegiile limitate, fr autorizare; vulnerabiliti care permit utilizatorilor externi s acceseze reeaua n mod neautorizat. O alt clasificare poate fi fcut dup gradul de pericol pe care-l reprezint vulnerabilitatea pentru sistemul supus atacului [6] (tabelul 1.4.1.):
Grad de Gradele de vulnerabilitate i consecinele acestora Mod de atac Consecine Tabelul 1.4.1.

vulnerabilit ate A B C

Scripturi CGI cu opiuni prestabilite Vulnerabilitate criptare RSH Fiiere cu parole fr shadown Trimitere de pachete flood

Permite accesul necondiionat al utilizatorilor ru intenionai Permite utiliyatorilor locali/generali s-i mreasc privilegiile i s obin control asupra sistemului Permite utilizatorilor din interior sau exterior s altereze procesele de prelucrare

Grad de vulnerabilitate Mod de atac Consecine

Vulnerabilitile care permit refuzul serviciului fac parte din categoria C i exploateaz golurile din sistemul de operare, mai precis golurile la nivelul funciilor de reea. Aceste goluri sunt detectate uneori la timp i acoperite de ctre productor prin programe -patch-uri. Acest tip de atac permite ca unul sau mai muli indivizi s exploateze o particularitate a protocolului IP (Internet Protocol) prin care s interzic altor utilizatori accesul autorizat la informaie. Atacul, cu pachete TCP SYN, presupune trimiterea ctre calculatorul-int a unui numr foarte mare de cereri de conexiune, ducnd n final la paralizarea procesului. n acest fel, dac inta este un server, accesul la acesta e blocat i serviciile asigurate de acesta sunt refuzate. Un atac asemntor poate fi declanat i asupra unui utilizator. Acest lucru este posibil datorit. Modului de proiectare a arhitecturii WWW. Vulnerabilitile care permit utilizatorilor locali s-i mreasc privilegiile ocup o poziie medie, B, pe scara consecinelor. Un utilizator local, adic un utilizator care are un cont i o parol pe un anume calculator, va putea, n UNIX, s-i creasc privilegiile de acces folosind aplicaia sendmail. Atunci cnd este lansat programul, se face o verificare s se testeze dac utilizatorul este root, numai acesta avnd drept de a configura i trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat n aa fel nct s se ocoleasc verificarea. Astfel, un utilizator local era drepturi de acces ca root. O alt posibilitate o reprezint exploatarea zonelor de memorie tampon (buffere). Vulnerabilitile care permit utilizatorilor externi s acceseze reeaua n mod neautorizat fac parte din clasa A, pe scara consecinelor. Aceste atacuri sunt cele mai periculoase i mai distructive. Multe atacuri se bazeaz pe o slab administrare a sistemului sau pe configurarea greit a acestuia. Cea mai cunoscut vulnerabilitate este coninut de un fiier cu denumirea test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta coninea o eroare care permitea intruilor din exterior s citeasc coninutul directorului CGI. i aceasta din cauza a dou ghilimele () nepuse. Platformele Novell, cu servere HTTP, erau vulnerabile din cauza unui script cu numele convert.bas. Scriptul era scris n Basic i permitea utilizatorilor de la distan s citeasc orice fiier sistem. O alt vulnerabilitate este ntlnit la serverele IIS (versiunea 1.0) de la Microsoft i permite oricrui utilizator de la distan s execute comenzi arbitrare. Vulnerabilitile din clasa A pot fi ntlnite i la urmtoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger. Exist i programe care pot s prezinte vulnerabiliti asociate a dou clase.

n concluzie, ameninrile la adresa securitii se pot clasifica n trei categorii: naturale i fizice; accidentale; intenionate. Ameninrile naturale i fizice vin din partea fenomenelor naturale sau a altor elemente fizice care interacioneaz cu calculatoarele. Se pot enuna aici cutremurele, inundaiile, furtunile, fulgerele, cderile de tensiune i supratensiunile etc. Se poate aciona n sensul minimizrii efectelor ameninrilor sau chiar al eliminrii acestora. Se pot instala dispozitive de avertizare n caz de dezastre naturale sau dispozitive care s elimine efectul acestora. Ameninrile cu caracter neintenionat vin din partea oamenilor. Acetia pot produce ameninri i dezastre asupra calculatoarelor din cauza neglijenelor n manipularea diferitelor componente, insuficientei pregtiri profesionale, citirii insuficiente a documentailor etc. Ameninrile intenionate sunt i cele mai frecvente. Aceste ameninri pot fi categorisite n: interne; externe. Ameninrile interne vin din partea propriilor angajai. Acetia au acces mai uor la informaie, avnd de trecut mai puine bariere i tiind i o parte din politica de securitate a firmei. Ameninrile externe vin din partea mai multor categorii, i anume: agenii de spionaj strine; teroriti i organizaii teroriste; criminali; raiders; hackeri i crackeri. Ageniile de spionaj strine au tot interesul s intre n posesia de informaii referitoare la noile tehnologii. Firmele productoare de nalt tehnologie sunt inta atacurilor care vin din partea acestora. Se impune ca aceste firme s foloseasc tehnologii i programe de criptare foarte sofisticate pentru a proteja informaiile. Ameninarea inofensivitii i integritii se definesc ca aciuni potenial posibile asupra sistemului de calcul, care ar putea direct sau indirect frauda securitatea i integritatea informaiei a sistemului de prelucrare. Fraudarea integritii informaiei const n deformarea informaiei, care pot condiiona schimbri a formei i a calitii informaiei. Fraudarea inofensivitii informaiei se definete ca deformarea strii de protejare a informaiei coninute n sistemul de calcul prin realizarea accesului nesancionat a obiectelor sistemului. Accesul nesancionat (neautorizat) la obiect se definete ca obinerea de ctre utilizator sau program a accesului la obiect, pentru care autorizarea, n conformitate cu politica de securitate aprobat, lipsete. Atacul se definete ca realizarea ameninrii. Clasificarea ameninrilor: -dup mijloacele de realizare/ de acionare asupra sistemului de calcul (n clase): 1.intervenia omului n funcionarea sistemului de calcul: -mijloacele organizaionale de perturbare a securitii sistemului de calcul, inclusiv: -furtul purttorului informaiei; -accesul nesancionat la dispozitivele de pstrare i prelucrare a informaiei; -deteriorarea utilijului, etc.;

-realizarea de ctre infractor a accesului nesancionat la componentele de program a sistemului de calcul, inclusiv: -toate modalitile de penetrare neautorizat n sistem; -modalitile de obinere de ctre utilizatorul-infractor a drepturilor ilegale la accesul la componentele sistemului; msurile de asigurare a securitii sistemului la astfel de pericole pot fi: -organizatorice (paza, regim de acces la dispozitivele sistemului); -perfecionarea sistemelor de delimitare a accesului n sistem; -sisteme de depistare a tentativelor de selectare a parolelor; 2.intervenia tehnic n funcionarea sistemului de calcul: -obinerea informaiei dup radiaia electromagnetic a dispozitivelor sistemului; -aciune electromagnetic asupra canalelor de transmitere a informaiei; -alte metode; msurile de protecie contra astfel de emeninri pot fi: -organizatorice; -tehnice (ecranarea radiaiei dispozitivelor, protecia canalelor de transmitere a informaiei de la ascultare nesancionat); -de programare (ifrarea mesajelor n canalelor de comunicaie); 3.aciune distructiv asupra componentelor de program a sistemului de calcul cu ajutorul mijloacelor de program, inclusiv: -virui; -calul Troian; -mijloacel de penetrare n sisteme la distan cu utilizarea reelelor locale i globale; msurile de protecie pot fi: -sisteme tehnice; -sisteme de program. 2 Adapterul de reea Monitor Calculatorul 2

Mediul de calcul Tastatura

Subsistemul de discuri

Des.3.1.Clasificarea ameninrilor securitii sistemelor de calcul 033 2. Metodele de protecie a sistemelor informaionale La metodele de protejare a mijloacelor de pstrare i transmitere a informaiei de la accesul nesancionat se refer: -organizaional-tehnice de baz, inclusiv:

-limitarea accesului; -delimitarea accesului; -separarea accesului (privilegiilor); -transformrile criptografice a informaiei; -controlul i evidena accesului; -msuri legislative, etc. -suplimentare, condiionate de: 1.complicarea procesului de prelucrare: mrirea numrului de mijloace tehnice, numrului i a tipurilor aciunilor stocastice, apariia noilor canale de acces nesancionat; 2.mrirea volumelor informaiei, concentrarea informaiei, mrirea numrului de utilizatori, etc. , inclusiv: -metodele controlului funcional, ce asigur depistarea i diagnosticarea refuzurilor, perturbrilor aparaturii i erorilor condiionate de factorul uman, precum i erorile de program; -metodele de protecie a informaiei de la situaii de avariere; -metodele de control a accesului la montarea intern a aparatelor, liniei de comunicaie i organele tehnologice de gestiune; -metodele de delimitare i control a accesului la informaie; -metodele de identificare i autentificare a utilizatorilor, a mijloacelor tehnice, a purttorilor de informaie i a documentelor; -metodele de protecie de la radiaia secundar i navodok a informaiei. Tehnologiile de restricie sunt menite s limiteze accesul la informaie. Din aceast categorie fac parte: 1. Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul i avea acces la datele stocate. Termenul de control al accesului (acces control) definete un set de mecanisme de control implementate n sistemele de operare de ctre productori pentru restricionarea accesului. De aceast facilitate beneficiaz sistemele de operare Windows, UNIX, Linux etc. 2. Identificarea i autentificarea, folosindu-se de conturi i parole, permit doar accesul utilizatorilor avizai la informaie. Identificarea i autentificarea poate fi fcut i cu ajutorul cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea dup amprent, voce, irisul ochiului etc. 3. Firewall-ul reprezint un filtru hardware sau software care stopeaz un anumit trafic prestabilit din reea i permite trecerea altuia. Firewall-ul se interpune ntre reeaua intern i Internet i filtreaz pachetele care trec. De asemenea, firewall-ul poate fi folosit i n interiorul propriei reele pentru a separa subreele cu nivele diferite de securitate. 4. VPN36-urile permit comunicarea sigur ntre dou calculatoare aflate ntr-o reea. O conexiune VPN se poate realiza att n reeaua local, ct i n Internet. VPN folosete tehnologii de criptare avansat a informaiei care face ca aceasta s nu poat s fie modificat sau sustras fr ca acest lucru s fie detectat. 5. Infrastructura cu chei publice (PKI) i propune s asigure securitatea n sisteme deschise, cum ar fi Internetul, i s asigure ncrederea ntre dou persoane care nu s-au cunoscut niciodat. ntr-o structur PKI complet., fiecare utilizator va fi complet identificat printr-o metod garantat, iar fiecare mesaj pe care-l trimite sau aplicaie pe care o lanseaz este transparent i complet asociat cu utilizatorul.

6. Secure Socket Layer (SSL) reprezint un protocol Web securizat care permite criptarea i autentificarea comunicaiilor Web utiliznd PKI pentru autentificarea serverelor i a clienilor. Lucreaz foarte bine cu servere WWW. Este implementat n mai multe versiuni. Versiunea SSL2 este cea mai rspndit, iar versiunea SSL3 e cea mai sigur, dar este mai greu de implementat. 7. Semntur doar o dat (SSO) dorete s debaraseze utilizatorul de mulimea de conturi i parole care trebuie introduse de fiecare dat cnd acceseaz i reacceseaz programe. Pentru aceasta utilizatorul trebuie s se autentifice o singur dat. Dezideratul este greu de realizat datorit varietii de sisteme. Deocamdat acest lucru se poate realiza n cadrul firmelor care au acelai tip de sisteme. Web-ul folosete un subset SSO numit Web SSO, funcionarea fiind posibil datorit faptului ca serverele Web folosesc aceeai tehnologie. Pe lng tehnologiile de restricionare, securitatea sistemelor trebuie administrat,monitorizat i ntreinut. Pentru aceasta trebuie efectuate urmtoarele operaii: administrarea sistemelor de calcul, care presupune i controlul i ntreinerea modului de acces la acestea de ctre utilizatori ; un utilizator care folosete o parol scurt sau care este uor de ghicit va face ca acel calculator s fie uor de penetrat. Atunci cnd un angajat este concediat sau pleac pur i simplu din alte motive de la firma respectiv, trebuie schimbate denumirile utilizatorului (user37) i parola; denumirea user-ului i a parolei trebuie fcut cu foarte mare atenie i mare responsabilitate; sarcina este de competena persoanei nsrcinate cu securitatea; parolele vor conine att cifre, ct i litere, pentru a face ghicirea lor ct mai grea, i vor fi schimbate periodic; divulgarea parolei altor persoane va fi sancionat administrativ; detectarea intruilor; trebuie fcut permanent; pentru aceasta exist programe care controleaz traficul i care in jurnale de acces (log); verificarea se va face la nivelul fiecrui calculator din firm; trebuie fcut aici distincie ntre ncercrile de intruziune din afar i cele din interior; de asemenea, trebuie separate ncercrile de acces neautorizat din reeaua intern de accesul neautorizat la un calculator lsat nesupravegheat de ctre utilizator. scanarea vulnerabilitilor; este de fapt o analiz a vulnerabilitii, presupune investigarea configuraiei la nivel intern pentru detectarea eventualelor guri de securitate; acesta se face att la nivel hardware, ct i software; folosirea unui scanner de parole va avea ca efect aflarea parolei n cteva secunde, indiferent de lungimea acesteia; controlul viruilor; se va face pentru a detecta i elimina programele maliioase din sistemele de calcul; acestea se pot repede mprtia la toate calculatoarele din sistem i pot paraliza funcionarea acestora sau pot produce distrugeri ale informaiei; se impune obligatoriu s fie instalate programe antivirus, actualizarea semnturilor de virui s se fac ct mai des, iar scanarea pentru detectarea viruilor s se fac de oricte ori este nevoie. Aspectele generale privind informatice economice: asigurarea securitii datelor n sistemele

1. Asigurarea securitii datelor n cadrul firmelor este strns legat de posibilitile financiare ale firmei n a investi n asigurarea securitii. Firmele mari i medii, care au i ctiguri pe msur, fac investiii n securitate. Firmele mici nu fac astfel de investiii dect foarte rar i insuficient pentru a se asigura o securitate minim. 2. Asigurarea securitii datelor n cadrul firmelor depinde n mare msur de ct de contient este conducerea firmei de faptul c trebuie asigurat o minim securitate. Conducerea firmelor mari este asigurat de ctre un consiliu de administraie (board), unde decizia de a se investi n securitate este luat de un grup de oameni care tiu ce nseamn riscurile. Acesta va trebui s fie contient c trebuie asigurat securitatea datelor i s dispun alocarea de resurse financiare ndeplinirii acestui deziderat. Unii manageri din aceast categorie vd asigurarea securitii datelor ca un fel de gaur neagr, unde banii se duc i nu aduc nici un beneficiu. Un rol important n contientizarea asigurrii securitii datelor l au, n acest caz, consultanii pe probleme de securitate sau membrii echipei IT&C (dac exist) din firm. 3. n cadrul firmelor mari exist personal specializat cu asigurarea securitii datelor. Acesta va implementa politica de securitate a firmei i va testa periodic calculatoarele din firm pentru descoperirea golurilor de securitate. 4. n cazurile n care firma, indiferent de mrime, nu are personal specializat cu studiul, implementarea i gestionarea msurilor de securitate, se poate face apel la firme specializate care s implementeze i s gestioneze serviciile de securitate. Se poate opta i pentru soluia mixt n care studiul i implementarea s se fac de ctre o firm specializat, iar gestionarea acestora s se fac de ctre beneficiar, urmnd ca periodic s se fac testri de ctre firma specializat. 5. Programele aplicative la nivelul firmelor mari i medii sunt elaborate lundu-se n considerare i securitatea datelor. Firmele mici folosesc ori programe piratate, ori aplicaii create de nespecialiti care nu numai c nu au elemente de securitate ncorporate, dar, n anumite cazuri, funcioneaz i defectuos, alternd datele. 6. Personalul angajat al unei firme nu are ntotdeauna pregtirea necesar utilizrii calculatorului. Firmele mari i permit s angajeze personal cu calificare nalt, n timp ce firmele mici nu-i pot permite acest lucru. Firmele mari fac eforturi pentru pregtirea angajailor, n timp ce firmele mici fac eforturi reduse sau deloc n ceea ce privete pregtirea personalului. 3.Sistemele de identificare i delimitare a accesului la informaie n cadrul sistemelor informaionale Sarcina principal a sistemului de identificare i delimitare a accesului const n nchiderea i controlul accesului nesancionat la informaie, pentru care trebuie s fie asigurat securitatea. Msurile de delimitare a accesului la informaie i mijloace de program de prelucrare trebuie s se realizeze n conformitate cu obligaiunile funcionale i competenelor a utilizatorilorpersonaliti oficiale, personalului de deservire, utilizatorilor simpli. Principiul principal de elaborare a sistemului de identificare i delimitare a accesului const n accepiunea adresrilor ctre informaie cu indici afereni ai competenelor autorizate.

Coninutul msurilor const n efectuarea identificrii i autentificrii utilizatorilor, dipozitivelor, proceselor, etc., separarea informaiei i a funciilor de prelucrare, montare i ntroducere a competenelor. Protecia informiei const n asigurarea accesului la obiectul informaional printr-un singur canal protejat, care include funcia de identificare a utilizatorului dup codul parolei prezentate i rezultatul pozitiv al verificrii accesului la informaie n conformitate cu competenele determinate. Aceste proceduri sunt executate la fiecare dialog a utlizatorului. n prezent se aplic mai muli purttori de coduri de parole: permis la sisteme de control, carduri de identificare a personal sau documentele n original, etc., alegerea crora este determinat de cerinele fa de sistemul automatizat, destinaia sistemului, regimul de utilizare a sistemului, gradul de protecie a informaiei, numrul de utilizatori, tarife, etc.

4.Managementul sistemului de securitate informaional al firmei Impactul instaurrii erei informatice constituie pentru epoca modern ceea ce au nsemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este n continu cretere datorit dezvoltrii tehnologice i a cilor de acces multiple. Desfurarea n bune condiii a activitii securitii sistemelor informatice impune existena unui sistem IT funcionabil. Managementul securitii sistemelor IT constituie un factor hotrtor n buna desfurare a activitii unei companii, pentru asigurarea proteciei datelor i efectuarea de tranzacii electronice n condiiile n care activitatea celor mai multe instituii, ntreprinderi depinde n proporie de circa 67 % de propriul lor sistem informatic. ntreprinderile societii moderne nu-i pot desfurea activitatea optim fr un sistem informatic bine pus lapunct, ceea ce implic: programe antivirus; programe de salvare a datelor ; instruire referitoare la importana implementrii; urmrire a msurilor de securitate. Elemente de standardizare international n domeniul managementului securitii sistemelor informatice sunt cuprinse n : standardul ISO/CEI 13335: Information technology-Guidelines for the management of ITSecurity cuprinde recomandri cu privire la analiza riscului pentru companii (Common Criteria); standardul ISO/CEI 17799: Information technology-Code of practice for information security management se refer la implementarea politicii de securitate (SMSI) i la managementul acestuia;. standardul ISO/CEI 17799:2000 se refer la codul practicilor SMSI; standardul britanic BS 7799-2:2002 se refer la cerine i la managementul sistemului de securitate ; standardul ISO/CEI 17799:2000 precizeaz recomandri pentru managementul securitii informaiei pentru a putea fi folosite de ctre cei responsabili cu iniierea, implementarea sau meninerea securitii n organizaia lor.pentru a exista control asupra tehnicii i procedurilor; seria de standarde ISO 15408: Information technology-Evaluation criteria for IT security se refer la evaluarea securitii sistemelor informatice prin mijloace tehnice adecvate, standardul definind criterii de evaluare i certificare pe baza crora vor fi evaluate i certificate profilurile de protecie. Sunt de menionat urmtoarele: existena politicii de securitate trebuie dovedit printr-un document obiectiv care explic ce se ateapt de la organizaie;

informaia este un un bun economic care trebuie protejat i securizat. Nu exist cerine absolute; TVIT-Germania este singura organizaie acreditat pentru certificarea sistemelor de securitate n domeniu. Securizarea sistemului de Tehnologia Informaiei este important pentru: dezvoltarea ncrederii ceea ce d posibilitatea ntocmirii unor contracte economice pentru tranzaciile on-line; identificarea informaiilor critice i stabilirea claselor de criticitate; optimizarea costurilor ntr-o companie care lucreaz n regim securizat; asigurarea cerinelor legale referitoare la securitatea informaiilor; educaia i instruirea; raportarea incidentelor; planificarea continu. Cele mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigur un cadru comun pentru dezvoltarea standardelor organizaionale de securitate i pentru o practic efectiv de management al securitii informaiei .Standardul precizeaz pentru nceput: Ce este securitatea informaiei? De ce este necesar securitatea informaiei? Cum se stabilesc cerinele de securitate Evaluarea riscurilor de securitate Selectarea controalelor Punct de plecare pentru securitatea informaiei Factori critici de succes Dezvoltarea propriilor linii directoare. Un aspect important al securitii sistemelor informatice l constituie stabilirea politicii de securitate, care este documentul prin care se specific politica de securitate informaiei i care trebuie permanent supus unei politici de: revizuire i evaluare. Referitor la securitatea organizaional sunt importante de avut n vedere urmtoarele aspecte: infrastructura securitii informaiei; constituirea unei comisii pentru managementul securitii informaiei ; coordonarea securitii informaiei; alocare a responsabilitilor pentru securitatea informaiei; procesul de autorizare pentru utilitile de procesare a informaiei; consilierea din partea unui specialist n securitatea informaiei ; cooperarea ntre organizaii; revizuirea independent a securitii informaiei; securitatea accesului terilor; identificarea riscurilor n cazul accesului terilor; cerinele de securitate n contractele cu terii. O instituie n care urmeaz a se implementa sistemul de management al securitii informaiei trebuie s nceap cu clasificarea i controlul activelor, ceea ce nseamn: stabilirea responsabilitii pentru active; realizarea inventarului tutor activelor din organizaie; clasificarea informaiei; stabilirea de ndrumri pentru clasificare; etichetarea i gestionarea informaiei. Asigurarea securitii personalului implic: securitate n definire;

instruire utilizatori; rspuns la incidente de securitate sau aciuni. Managementul comunicaiilor i funcionrii implic proceduri i responsabiliti operaionale planificarea i acceptabilitatea sistemului protecia mpotriva software-ului maliios Alte aspecte importante de care trebuie s se in cont n implementarea managementului securitii sistemelor informatice sunt cele privind: mentenana; magementul reelei; operarea i securitatea mediilor de stocare; schimburile de informaie i software; controlul accesului. mbuntirea calitii managementului sistemelor informatice implic: asigurarea securitii sistemelor informatice pentru domeniul financiar; asigurarea sntii; telecomunicaii; furnizarea de soluii soft; activitatea organizaiilor guvernamentale precum i a celor non-profit i n meninerea siguranei naionale. Securitatea informaiei este vectorul care integreaz axele principale: confidenialitate; integritate; disponibilitate.

5. Politica european n domeniul securitii informatice Internetul intereseaz n mod esenial att marile ct i micile companii. Practic, nu exist firm ntr-o ar cu o dezvoltare cel puin medie care s nu aib create pagini Web, pe care se gsesc informaii despre serviciile i produsele oferite. De asemenea, consumatorii i productorii pot comunica instantaneu prin Net, ceea ce le confer posibilitatea unei informri reciproce i a unor comunicaii foarte ieftine. i totui, acetia nu s-au aruncat nc s fac afaceri sau administrare la scar mare prin Internet. De ce oare aceast reinere? Motivele invocate cel mai adesea sunt legate de securitatea tranzaciilor on-line. Preocuprile pentru securitatea reelelor i a sistemelor informatice au crescut proporional cu creterea numrului de utilizatori ai reelelor i cu valoarea tranzaciilor. Securitatea a atins un punct critic, reprezentnd o cerin esenial pentru afacerile electronice i pentru funcionarea ntregii economii. Combinarea ctorva factori a fcut ca securitatea informaiilor i a comunicaiilor s constituie unul dintre punctele principale pe agenda politicii Uniunii Europene: 1.guvernele i-au dat seama de dependena economiilor lor i a cetenilor fa de buna funcionare a reelelor de comunicaie i au nceput s-i revizuiasc aranjamentele de securitate; 2.Internetul a creat o legtur global, conectnd milioane de reele, mari si mici, milioane de calculatoare personale i alte dispozitive, precum telefoanele mobile; acest lucru a redus n mod semnificativ costurile accesrii informaiilor economice vitale n cazul unor atacuri de la distan. 3. sunt raportai numeroi virui, care cauzeaz pierderi mari prin distrugerea informaiilor i prin neacordarea dreptului de acces la reele. Aceste probleme de securitate nu constituie chestiuni specifice unei ri anume, ci un fenomen ce s-a rspndit rapid printre rile membre ale UE; 4.consiliile Uniunii Europene (de la Lisabona i Feira, de exemplu) au recunoscut Internetul ca un factor cheie al productivittii economiilor uniunii, atunci cnd au lansat Planurile de Aciune eEurope 2002 si eEurope 2005. n concordan cu aceste lucruri, consiliul de la Stockholm a concluzionat Consiliul mpreun cu Comisia vor dezvolta o strategie comprehensiv asupra securitii reelelor,inclusiv aciuni de implementare n practic. n timp ce securitatea a devenit o problem esenial pentru cei ce alctuiesc politici, gsirea unui rspuns adecvat a devenit o sarcin complex. Cu numai civa ani n urm, securitatea reelelor

era o problem monopol de stat, care oferea servicii specializate bazate pe reele publice, n particular pentru reelele telefonice. Securitatea sistemelor informatice era specific organizaiilor mari i era axat pe controlul accesului la resurse. Aceste lucruri s-au schimbat considerabil datorit unor dezvoltri n contextul unei piee lrgite, printre care amintim liberalizarea, convergena i globalizarea: - reelele sunt acum n principal n proprietate privat i sunt administrate de companii private. Serviciile de comunicare sunt oferite pe baz de competitivitate, securitatea reprezentnd o parte a ofertei pieei. Totui, muli clieni rmn ignorani n privina riscurilor securitii atunci cnd se conecteaz la o reea i iau decizii bazndu-se pe informaii incomplete; - reelele i sistemele informatice converg. Ele devin interconectate, oferind aceleai tipuri de servicii i, mai mult, mpart aceeai infrastructur. Terminalele (calculatoarele, telefoanele mobile etc.) au devenit un element activ n arhitectura reelelor i pot fi conectate la diferite reele; - reelele sunt internaionale. O parte important a comunicaiilor din ziua de azi se realizeaz transfrontarier, tranzitnd tere ri (cteodat chiar fr ca utilizatorul s realizeze acest lucru). Ca urmare, orice soluie n faa riscurilor de securitate trebuie s aib n vedere acest lucru. Multe reele sunt construite din produse comerciale, de la comerciani internaionali. Produsele de securitate trebuie s fie compatibile cu standardele internaionale. 1. Necesitatea unei politici publice. Protejarea reelelor de calculatoare este din ce n ce mai mult considerat drept o prioritate pentru politicieni, n special datorit nevoii de protejare a datelor, de asigurare a unei economii funcionale, din motive de asigurare a securitii naionale i de promovare a comerului electronic. Aceasta a condus la un ansamblu substanial de precauii legale n cadrul Directivelor UE n ce privete protecia datelor i a Cadrului UE pentru telecomunicaii. Aceste msuri ns trebuie aplicate ntr-un mediu rapid schimbtor de noi tehnologii, piee concureniale, convergen a reelelor i globalizare. Aceste provocri se coreleaz de asemenea i cu tendina pieei de a nu investi suficient n securitate, din motive ce vor fi analizate. Securitatea reelelor i a informaiei reprezint o marf cumprat i vndut pe pia i o parte a nelegerilor contractuale ntre pri. Piaa produselor de securitate a crescut substanial n ultimii ani. n conformitate cu unele studii, piaa software-ului de securizare pentru Internet valora aproximativ 4,4 miliarde de dolari la sfritul anului 1999 i va crete cu un procent de 23% pe an pentru a atinge 8,3 miliarde n 2004. n Europa, piaa pentru securitatea comunicaiilor electronice se prognozeaz a crete de la 465 de milioane de dolari n 2000 la 5,3 miliarde la sfritul lui 2006, paralel cu o cretere a pieei pentru tehnologii de securitate a informaiei de la 490 de milioane de dolari n 1999 la 2,74 miliarde n 2006. Presupunerea implicit care se face de obicei este c mecanismul preului va balansa costul ofertei de securitate cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel nalt de securitate, n vreme ce alii vor fi satisfcui de un nivel de securitate mai sczut dei statul ar putea s asigure un nivel minim de securitate. Aceast diferen se va reflecta n preurile pe care vor fi dispui s le plteasc pentru produsele de securitate. Cu toate acestea, multe riscuri rmn nerezolvate sau soluiile se impun lent pe pia datorit anumitor imperfeciuni ale acesteia: Costurile i beneficiile sociale: Investiiile ntr-o mai bun securitate a reelelor genereaz costuri i beneficii sociale care nu se reflect n mod adecvat n preurile de pe pia. De partea costurilor, actorii pieei nu sunt responsabili pentru vulnerabilitile legate de comportamentul lor n domeniul securitii. Utilizatorii i furnizorii cu niveluri de securitate reduse nu sunt nevoii s plteasc daune unor teri. Este ca i cum un ofer de taxi neatent n-ar fi tras la rspundere pentru costul blocajului de trafic ce rezult n urma accidentului provocat de el. n mod similar, pe Internet un numr de atacuri au fost montate prin intermediul unor maini slab protejate sau au trecut de nite utilizatori relativ neglijeni.

Beneficiile rezultate din securitate, de asemenea, nu sunt complet reflectate n preurile de pe pia. Cnd operatorii, furnizorii sau furnizorii de servicii mbuntesc gradul de securitate al produselor lor, o mare parte din beneficiile acestei investiii ajung nu numai la clienii lor, dar i la toi cei afectai direct sau indirect de comunicarea electronic n esen, toat economia. Asimetria informaiei: Reelele devin din ce n ce mai complexe i ating o pia mai larg, care include muli utilizatori cu prea puin nelegere a tehnologiei i a potenialelor ei pericole. Asta nseamn c utilizatorii nu vor fi complet contieni de riscurile de securitate i muli operatori, vnztori sau furnizori de servicii au dificulti, dat fiind existena i gradul de ntindere al vulnerabilitilor. Multe noi servicii, aplicaii i software ofer posibiliti atractive, dar adesea acestea sunt surse de noi vulnerabiliti (de exemplu, marele succes al Internetului este n parte datorat multitudinii de aplicaii multimedia care pot fi descrcate simplu, dar aceste plug-inuri reprezint i puncte de intrare pentru atacuri). n vreme ce beneficiile sunt vizibile, riscurile nu sunt i este mai atractiv pentru furnizori s ofere faciliti noi dect o mai bun securitate. Problema aciunii publice: Operatorii adopt ntr-un ritm cresctor standardele Internet sau i leag ntr-un fel sau altul reelele proprii la Internet. Cu toate acestea, Internetul nu a fost proiectat cu msuri de securitate, ci din contr, a fost dezvoltat astfel nct s ofere acces la informaii i s faciliteze schimbul de informaii. Aceasta a reprezentat baza succesului su. Internetul a devenit o reea global de reele de o neegalat bogie i diversitate. Investiiile n securitate adesea sunt eficiente doar dac muli oameni procedeaz n acelai mod. De aceea, cooperarea pentru a crea soluii de securitate este necesar. Dar cooperarea funcioneaz numai dac particip o mas critic de juctori, ceea ce e dificil de obinut. Interoperabilitatea ntre produse i servicii va permite concurena ntre soluiile de securitate. Sunt ns costuri substaniale de coordonare implicate pe msur ce se vor generaliza soluiile globale, iar unii juctori sunt tentai s impun o soluie aflat n posesia lor pe pia. Cum o mulime de produse i servicii nc folosesc soluii proprii, nu este nici un avantaj n a folosi standarde sigure, care nu ofer securitate suplimentar, dect dac toi ceilali le ofer. Ca rezultat al acestor imperfeciuni, cadrul european pentru protecia telecomunicaiilor i a datelor impune deja obligaii legale pentru operatori i furnizorii de servicii, n scopul de a asigura un anume nivel de securitate n sisteme de comunicaii i informatice. Recomandarea pentru o politic europeana n domeniul reelelor i securitii informaiei poate fi descris dup cum urmeaz. - n primul rnd, prevederile legale la nivelul UE trebuie aplicate efectiv, aceasta cernd o nelegere comun a problemelor de securitate i a msurilor specifice ce seimpun. Cadrul legal va trebui s evolueze n viitor, de exemplu, n legtur cu criminalitatea cibernetic, semntura electronic etc. - n al doilea rnd, anumite imperfeciuni ale pieei au condus la concluzia c forele de pe pia nu pompeaz suficiente investiii n tehnologiile sau practicile de securitate. Msurile politice pot revigora piaa i, n acelai timp, pot mbunti funcionalitatea cadrului legal. - n sfrit, serviciile din domeniul comunicaiilor i informaiei sunt oferite fr a se granie. Aadar, o politic european este necesar n scopul de aasigura piaa intern pentru asemenea servicii, de a beneficia de pe urma soluiilor comune i de a face posibil o aciune eficient la nivel global. Msurile politice propuse cu privire la securitatea reelelor i a informaiilor trebuie privite nu numai n contextul legislaiei deja existente

pentru telecomunicaii i protecia datelor, ci i n legtur cu politica mai recent, legat de infraciuni cibernetice. O politic n privina securitii reelelor i informaiei va constitui veriga lips n acest cadru politic. 2. Contientizarea pericolelor. Muli utilizatori (privai/publici) nc nu sunt contieni de posibilele ameninri pe care le ntlnesc folosind reelele de comunicaii sau de soluiile care deja exist pentru a le face fa. Problemele de securitate sunt complexe, iar riscurile sunt adesea dificil, chiar i pentru experi, de ntrevzut. Lipsa de informare este una dintre imperfeciunile pieei, pe care politicile de securitate ar trebui s o aib n vedere. Exist riscul ca unii utilizatori, alarmai de multele rapoarte i ameninri la adresa securitii, s evite pur i simplu folosirea comerului electronic. Alii, care fie sunt neinformai, fie subestimeaz riscul, pot fi prea neglijeni. Unele companii pot avea interesul de a prezenta ca minim riscul pentru a nu pierde clieni. Paradoxal, exist o cantitate impresionant de informaie n domeniul securitii reelelor i al informaiei disponibil pe Internet, iar revistele despre calculatoare acoper subiectul destul de bine. Problema utilizatorilor este aceea de a gsi informaiile potrivite, pe care le pot nelege, care sunt la zi i rspund propriilor lor nevoi. n sfrit, furnizorii de servicii ai unui serviciu public de telecomunicaii disponibil sunt obligai prin legile UE s-i informeze pe abonaii lor cu privire la riscurile cauzate de o bre a securitii reelei i despre posibilele remedii, inclusiv costul implicat (cf. art. 4 al Directivei 97/66 al CE). Scopul iniiativei pentru creterea contientizrii cetenilor, administraiilor i mediului de afaceri este deci acela de a furniza informaii accesibile, independente i pe care te poi baza despre securitatea reelelor i a informaiei. O discuie deschis despre securitate este necesar. Odat ce contientizarea a fost asigurat, oamenii devin liberi s fac alegeri proprii asupra nivelului de protecie pe care i-l doresc i permit. Aciuni propuse: - Statele membre ar trebui s lanseze o campanie public de educare i informare, iar msurile care se iau trebuie permanent actualizate. Aceasta ar trebui s includ o campanie mass-media i aciuni ce vizeaz un public larg. O campanie de informare bine plnuit i eficient nu este ieftin. Un coninut al acesteia care s descrie riscurile fr a alarma oamenii i fr a ncuraja potenialii hackeri, necesit o planificare atent. Comisia European va facilita un schimb de experien n ceea ce privete cele mai bune practici i va asigura un nivel de coordonare a diferitelor campanii naionale de informare la nivel UE, n particular n ceea ce privete corpul de informaie care trebuie difuzat. Un element al acestei campanii ar fi un portal pentru pagini web, att la nivel naional ct i European. Legarea acestor portaluri cu site-uri web de ncredere ale partenerilor internaionali ar trebui, de asemenea, luat n considerare. - Statele membre ar trebui s promoveze utilizarea celor mai bune practici n securitate, bazate pe msuri deja existente, cum ar fi ISO/IEC 17799 (cod de practici pentru managementul securitii informaiei www.iso.ch). Companiile de mrimi mici i medii ar trebui avute n vedere n primul rnd. Comisia va susine statele membre n eforturile lor. - Sistemele de educaie din statele membre ar trebui s dea mai mult atenie cursurilor dedicate securitii informatice. Dezvoltarea de programe educaionale la toate nivelurile, de exemplu, cursuri despre riscurile de securitate ale reelelor deschise i soluii eficiente ar trebui ncurajate s devin parte a educaiei despre calculatoare i informatic din coli. Comisia Europeana sprijin dezvoltarea de noi module pentru programa colar n cadrul programului su de cercetare. 3. Un sistem european de avertizare i informare n domeniul securitii informatice. Chiar i n cazul n care utilizatorii sunt contieni de riscurile de securitate, ei tot trebuie anunai cu privire la noi ameninri. Atacatorii ruvoitori, n mod aproape inevitabil, vor gsi noi vulnerabiliti care s ocoleasc protecia cea mai sigur. Se dezvolt n permanen aplicaii i servicii software noi, oferind o mai buna calitate a serviciilor, fcnd Internetul mai atractiv; dar n cursul procesului,

neintenionat, se deschide calea unor noi vulnerabiliti i riscuri. Chiar i inginerii de reea experimentai i experi n securitate sunt adesea surprini de noutatea adus de unele atacuri. Aadar este nevoie de un sistem de alarmare rapid, care s poat alerta toi utilizatorii, alturi de o surs de informaii i sfaturi rapide i demne de ncredere asupra modului n care se poate aciona mpotriva atacurilor. Mediul de afaceri, de asemenea, are nevoie de un mecanism confidenial de raportare a atacurilor, fr a risca pierderea ncrederii publicului. Acesta trebuie s fie complementat de o mai extins i anticipativ analiz de securitate, strngnd dovezi i comparnd riscurile cu beneficiile unor soluii i costurile aferente. Mult munc n acest domeniu este fcut de Computer Emergency Response Teams (CERTs) sau de entiti similare. De exemplu, Belgia a organizat un sistem de alert la virui care permite cetenilor belgieni informarea n legtur cu alertele cauzate de virui n dou ore. Totui CERT-urile opereaz n mod diferit n fiecare stat membru, fcnd cooperarea complex, dac nu chiar dificil. CERT-urile deja existente nu sunt ntotdeauna bine echipate, iar sarcinile lor adesea nu sunt clar definite. Cooperarea la nivel mondial se realizeaz prin CERT/CC, care este n parte finanat de guvernul SUA, iar CERT-urile din Europa depind de politica de publicare a informaiilor de ctre CERT/CC. Ca rezultat al acestei complexiti, coordonarea european a fost pn n prezent limitat. Cooperarea este esenial n asigurarea avertizrii din timp pe cuprinsul UE prin schimbul instantaneu de informaii la primul semn de atac ntr-o singur ar. Aadar, cooperarea cu sistemul CERT din interiorul UE ar trebui ntrit n regim de urgen. O prim aciune viznd ntrirea cooperrii public/private prin dependena de infrastructura de informare (inclusiv dezvoltarea sistemelor de avertizare de urgen) i mbuntirea colaborrii ntre CERT-uri a fost stabilit n cadrul planului de aciune eEurope. Aciuni propuse: -Statele membre ar trebui s-i reorganizeze propriile sisteme CERT, avnd n vedere mbuntirea echipamentului i a competenei CERT-urilor existente. n sprijinul eforturilor naionale, Comisia Europeana va dezvolta o propunere concret de ntrire a cooperrii n cadrul UE. Aceasta va include proiecte de propuneri n cadrul programului TEN Telecom pentru asigurarea navigrii eficiente pe reea i stabilirea de msuri companion n cadrul programului IST pentru facilitarea schimbului de informaii. - Odat cu stabilirea reelei CERT la nivel UE, aceasta ar trebui conectat cu instituii similare din toata lumea, de exemplu, sistemul de raportare a incidentelor propus de G8. - Comisia propune colaborarea cu statele membre pentru a se organiza ct mai bine colectarea de date la nivel european, analiza i proiectarea rspunsurilor anticipative la riscuri existente i posibile. 4. Dezvoltarea suportului tehnologic. Investiiile n securitatea reelelor i a informaiei sunt actualmente sub optim. Acesta este cazul att n ceea ce privete suportul tehnologic, ct i cercetarea pentru descoperirea de noi soluii. n contextul n care noile tehnologii n mod inevitabil aduc cu ele i riscuri noi, cercetarea continu este vital. Securitatea n domeniul reelelor i al informaiei este deja inclus n Information Technologies (IST) Programme of the EUs 6th Framework Research Programme, reprezentnd o investiie de 3,6 miliarde de euro de-a lungul a patru ani. Cercetarea la nivel tehnic n criptografie este ntr-un stadiu avansat la nivel european. Algoritmul Belgian numit Rijndael a ctigat concursul Advanced Encryption Standard, organizat de institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode europene pentru Semntur, Integritate i Criptare) al IST a lansat o competiie la nivel extins n domeniul algoritmilor de criptare ndeplinind cerinele noilor aplicaii multimedia, comerului mobil i smartcard-urilor.

Aciuni propuse: - Comisia propune includerea securitii n al aselea program cadru. Pentru ca aceast adugire s fie optim, ar trebui legat de o mai larg strategie pentru mbuntirea securitii reelelor i a informaiei. Cercetarea din cadrul acestui program ar trebui s aib n vedere provocrile cheie de securitate i va focaliza pe mecanisme de securitate de baz i pe interoperabilitatea acestora, procese de securitate dinamice, criptografie avansat, tehnologii de mbuntire a facilitilor de confidenialitate, tehnologii de operare cu obiecte digitale, tehnologii de ncredere pentru suportul afacerilor i funcii organizaionale n sistemele dinamice i de telefonie mobil. - Statele membre ar trebui s promoveze activ folosirea produselor criptografice puternice i plug-able. Soluii de securitate bazate pe criptarea plug-in trebuie s fie disponibile ca o alternativ la acelea fixate n sistemele de operare. 5. Standardizarea i certificarea. Pentru ca mbuntirea soluiilor de securitate s aib succes, ele trebuie implementate n comun de actori importani ai pieei i de preferin bazate pe standarde internaionale deschise. Una dintre principalele piedici n adoptarea multor soluii de securitate, de exemplu semntura electronic, a fost lipsa interoperabilitii ntre diferite implementri. Dac doi utilizatori doresc s comunice n mod sigur ntre diferite platforme, trebuie asigurat interoperabilitatea. Folosirea protocoalelor i interfeelor standardizate ar trebui ncurajat, inclusiv testarea de conformitate. Standarde deschise, de preferat bazate pe software cu sursa liber, ar putea contribui la nlturarea mai rapid a erorilor ca i la o mai mare transparen. De asemenea, evaluarea securitii contribuie la creterea ncrederii utilizatorilor. Folosirea de criterii comune de evaluare n multe ri faciliteaz recunoaterea mutual; aceste ri au intrat de asemenea ntr-un aranjament cu Canada i SUA pentru recunoatere mutual a certificatelor de securitate IT (Recomandarea Consiliului 95/144/EC referitoare la criteriile de evaluare a securitii tehnologiei informaiei, implementat n majoritatea statelor membre). Certificarea proceselor care se desfoar n afaceri i managementul sistemelor de securitate a informaiei este susinut de cooperarea european pentru acreditare (EA). Acreditarea organismelor naionale de certificare mrete ncrederea n competena i imparialitatea acestora, promovnd astfel acceptarea certificatelor n toat UE. n plus fa de certificare, ar trebui de asemenea efectuate teste de interoperabilitate. Un exemplu al acestei abordri este Iniiativa European de Standardizare a Semnturii Electronice (EESSI), care dezvolt soluii de consens n sprijinul directivei UE asupra semnturii electronice. Alte exemple sunt iniiativele privind smartcard-urile n eEurope i iniiativele de implementare a Infrastructurii de Chei Publice (PKI) lansate n interiorul programului Schimb de Date ntre Administraii (IDA). Nu lipsesc eforturile de standardizare, dar un mare numr de standarde aflate n competiie duce la fragmentarea pieei i la prezena de soluii non-interoperabile. Aadar, activitile de standardizare i certificare curente au nevoie de o mai bun coordonare i de asemenea au nevoie s in pasul cu introducerea de noi soluii de securitate. Armonizarea specificaiilor va conduce la o interoperabilitate crescut, fcnd posibil n acelai timp implementarea de ctre actorii pieei. Aciuni propuse: - Organizaiile de standardizare europene sunt invitate s accelereze lucrul la produse i servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate forme noi de deliverabile i proceduri pentru a accelera lucrul i a ntri cooperarea cu reprezentanii consumatorilor i angajamentul actorilor pieei. Pluggable nseamn c un produs software de criptare poate fi cu uurin instalat i fcut complet operaional n cadrul sistemelor de operare. - Comisia va continua s sprijine, mai ales prin programele IST i IDA folosirea semnturii electronice, implementarea de solutii PKI interoperabile i prietenoase pentru utilizator i dezvoltarea pe mai departe a IPv6 i IPSec (ca n Planul de Aciune eEurope).

- Statele membre sunt invitate s promoveze folosirea procedurilor de certificare i acreditare pe baza standardelor europene i internaionale general acceptate, favoriznd recunoaterea mutual de certificate. Comisia va evalua nevoia unei iniiative legale asupra recunoaterii mutuale de certificate. - Actorii de pe piaa european sunt ncurajai s participe mai activ n activiti de standardizare europene (CEN, Cenelec, ETSI) i internaionale (Internet Engineering Task Force (IETF) , World Wide Web Consortium (W3C)). - Statele membre ar trebui s-i revad toate standardele de securitate relevante. Ar putea fi organizate competiii mpreun cu Comisia pentru metode europene de criptare i soluii de securitate, cu scopul de a stimula standarde acceptate pe plan internaional. 6.Cadrul juridic. Exist mai multe texte legale care influeneaz securitatea reelelor de comunicaii i a sistemelor informatice. Datorit convergenei reelelor, problemele de securitate aduc laolalt reguli i tradiii legale din sectoare variate. Acestea includ telecomunicaiile (ncorpornd toate reelele de comunicaie), industria calculatoarelor, Internetul care a funcionat mai ales n baza unei abordri hands off (de neintervenie) i comerul electronic care este din ce n ce mai mult subiectul unei legislaii specifice. n legtur cu securitatea, prevederile privind daunele terilor, infracionalitatea cibernetic, semntura electronic, regulile privind protejarea i exportul datelor sunt relevante. Protejarea intimitii este un obiectiv politic cheie n Uniunea European. A fost recunoscut ca drept de baz prin articolul 8 al Conveniei Europene asupra drepturilor omului. Articolele 7 i 8 ale Cartei Drepturilor Fundamentale ale UE de asemenea stipuleaz dreptul la respect pentru viaa de familie i privat, cmin, comunicaie i date personale. Articolul 5 al Directivei de Protejare a Datelor n Telecomunicaii oblig statele membre s asigure confidenialitatea n reelele publice de telecomunicaii. n plus, la articolul 4 al aceleiai Directive se cere furnizorilor de servicii publice i reele s ia msuri tehnice i organizatorice pentru a asigura securitatea serviciilor oferite. Aceste prevederi au implicaii asupra necesitilor de securitate ale reelelor i sistemelor informatice folosite de acele persoane sau organizaii, de exemplu furnizorii de comer electronic. Natura pan-European a acestor servicii i mai marea competiie transfrontalier duc la o cretere tot mai mare de specificaii asupra mijloacelor de folosit pentru a fi n acord cu aceste prevederi. Programul cadru pentru servicii n telecomunicaii al UE conine mai multe prevederi cu privire la securitatea operaiilor pe reea (nsemnnd disponibilitatea reelelor n caz de urgen) i integritatea reelelor (nsemnnd asigurarea operaiilor normale n reelele interconectate). Comisia a propus un nou cadru de reguli pentru serviciile de comunicaii electronice n iulie 2000. Propunerile Comisiei reafirmau n esen dei cu modificri prevederile existente n ce privete securitatea i integritatea reelelor. Infraciunile informatice au declanat o larg discuie n UE despre cum s se reacioneze la activitile infracionale care folosesc computerele i reelele de calculatoare. Legile penale ale statelor membre trebuie s prevad i accesul neautorizat n reelele de calculatoare, inclusiv securitatea datelor personale. Sunt probleme n investigarea acestor ilegaliti i se constat o insuficient inhibare a hackerilor. Legi penale mpotriva intruziunii n reelele de calculatoare sunt, de asemenea, importante pentru a uura cooperarea judiciar ntre statele membre. ngrijorrile legitime fa de infracionalitatea electronic necesit investigaii legale eficiente. Aciuni propuse: -nelegerea comun a implicaiilor legislative ale securitii n comunicarea electronic este necesar. Pentru acest scop, Comisia va crea un inventar de msuri naionale care au fost deja luate i sunt n concordan cu legi comunitare relevante.

- Statele membre i Comisia ar trebui s sprijine n continuare libera circulaie a produselor i serviciilor criptografice, prin o mai mare armonizare al procedurilor administrative de export i o mai mare relaxare a controalelor la exporturi. - Comisia va propune o msur legislativ n cadrul Titlului VI al tratatului UE pentru echivalarea legilor penale legate de atacuri mpotriva sistemelor de calculatoare, incluznd hacking-ul i atacurile de refuz al serviciilor. 7. Securitatea n aplicaiile guvernamentale. Planul de aciune eEurope i propune s ncurajeze o mai eficient interaciune ntre ceteni i administraia public. Cum mare parte din informaia schimbat ntre ceteni i administraie are un caracter confidenial (medical, financiar, legal etc.), securitatea este vital pentru asigurarea implementrii cu succes a planului. Mai mult, dezvoltarea guvernrii electronice face ca administraia public s devin att exemplu de demonstrare a eficienei soluiilor de securitate ct i actor al pieei cu posibilitatea de a influena dezvoltarea n domeniu prin deciziile de achiziie pe care le face. Problema pentru administraia public nu este numai aceea de a achiziiona sisteme informatice i de comunicaii cu cerine de securitate, ci i dezvoltarea unei culturi de securitate a organizaiei. Acest obiectiv poate fi dus la ndeplinire prin stabilirea de politici organizaionale de securitate adaptate la nevoile instituiei. Aciuni propuse: - Statele membre ar trebui s ncorporeze soluii de securitate informatic eficiente i interoperabile, ca o cerin de baz n activitile lor de e-guvernare i e-procurement. - Statele membre ar trebui s introduc semntura electronic la oferirea serviciilor publice on-line. - n cadrul e-Comisiei, Comisia va lua o serie de msuri pentru a ntri cererea de securitate n sistemele sale informatice i de comunicaie. 8. Cooperarea internaional. Aa cum comunicaiile prin reele trec cu uurin graniele n fraciuni de secund, la fel se ntmpl i cu problemele de securitate informatic asociate. Reeaua este att de sigur ca i cea mai slab verig a ei, iar Europa nu se poate izola de restul reelei globale. n consecin, problemele de securitate precizate mai sus cer cooperare internaional. Comisia European deja contribuie la munca forurilor internaionale,cum ar fi G8, OECD, Naiunile Unite. Sectorul privat trateaz problemele de securitate n organizaii cum ar fi Global Business Dialogue (www.GBDe.org) sau Global Internet Project (www.GIP.org). Un dialog continuu ntre aceste organizaii va fi esenial pentru securitatea global. Comisia va ntri dialogul cu organizaiile internaionale i cu partenerii si n ceea ce privete securitatea reelelor i, n particular, n ceea ce privete interdependena crescnd a reelelor de calculatoare. 9. Securitatea informatic n planul eEurope 2005. Deoarece Societatea Informatizat devine tot mai important att pentru business ct i pentru societate, asigurarea securitii, att pentru infrastructura nsi, ct i pentru informaiile care circul pe ea, reprezint un punct critic. Pentru ca Internetul s fie un mediu de ncredere al Societii Informatizate, trebuie s devin disponibil, informaia transmis sau memorat s fie pstrat confidenial, trebuie s ne putem asigura cine este autorul unei informaii i c aceasta nu a fost alterat. Problemele de securitate reduc ncrederea noastr n reele i n sistemele informatice i, odat cu aceasta, reduc nivelul de utilizare a Internetului, cu toate avantajele sale. Ca urmare, securitatea este elementul cheie al proieciilor Comisiei UE privind Noua Generaie de Internet i reprezint una dintre cele 6 prioriti politice ale Planului eEurope 2005. Asigurarea securitii informatice nu este numai o provocare pur tehnologic, ci este, n acelai timp, o chestiune dependent de comportamentul uman i de cunotinele cu privire la ameninri i remedii. UE a dezvoltat deja reguli pentru comunicaii electronice sigure, aa cum sunt de fapt

Directiva asupra semnturii electronice sau legislaia cu privire la protecia datelor pentru comunicaii electronice. Alte provocri stau de asemenea ntre obiectivele Planului eEurope 2005: - Securitatea reelelor i a informaiilor mpotriva unor atacuri accidentale sau cu caracter criminal; - Criminalitatea cibernetic, pentru armonizarea legislaiei rilor membre; - Comunicaii sigure pentru e-guvernare, pentru dezvoltarea unei reele transeuropene sigure, prin care s se poat vehicula informaii secrete sau confideniale (Proiectul IDA- Interchange of Data between Administrations). Implementarea acestor obiective presupune o serie de activiti concrete: - crearea la nceputul lui 2004 a European Network and Information Security Agency (ENISA) o agenie european care va aciona ca un centru privind securitatea informatic al rilor membre i al instituiilor UE, contribuind la creterea cooperrii i a schimbului de informaii n domeniu, precum i la stabilirea cadrului juridic i de reglementare. Va contribui la dezvoltarea unui sistem european de alert i informare reciproc n caz de incidente informatice; - Planul de Aciune pentru un Internet mai Sigur (PAIS), destinat contracarrii unor aciuni ilegale n domeniul P2P, sisteme mobile, chat-uri, jocuri on-line etc.; - sprijinirea unor cercetri privind securitatea informatic, prin Programul Cadru nr. 6, n domenii ca e-autentificarea (smart-carduri, biometrice), metode criptografice noi, metode de semnatur electronic, criptare plug-in etc.; - dezvoltarea unor noi standarde, prin Network and Information Security (NIS) Focus Group, care s le completeze pe cele actuale i s umple eventualele goluri existente; - dezvoltarea unei culturi a securitii, n proiectarea, implementarea i utilizarea sistemelor informatice i de comunicaii. Sectorul privat trebuie s dezvolte practici adecvate i standarde n acest scop.

PRACTICUM Sarcina 1. De analizat problematica vulnerabilitatii si riscului infrastructurilor critice in societatea informatica (dup Adrian V. Gheorghe.ANALIZA DE RISC SI DE VULNERABILITATE
PENTRU INFRASTRUCTURILOR CUNOASTERII) CRITICE ALE SOCIETATII INFORMATICE -SOCIETATE A

1. Problematica vulnerabilitatii si riscului in Societatea Informatica Societatea Cunoasterii Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest ansamblu de transformari afecteaza viata fiecaruia dintre noi. Societatea Informatica Societatea Cunoasterii va depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere, transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara acestora. Societatea informatica societatea cunoasterii redefineste problematica si doctrina de aparare nationala; aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri. Securitatea infrastructurilor critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune. Cunoasterea, ca atare, va deveni o arma de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in societatea deceniilor viitoare. Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si consecintele negative ale propagarii dezastrelor. Ceea ce se numeste astazi tot mai des pericole cibernetice (cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica societate a cunoasterii.

La sfarsitul anilor 80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: scoate din priza calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate informatica, pentru a fi asadar vulnerabili. In etapa noua politica, economica si culturala in care se afla Romania, este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma fara a fi cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economicopolitica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice. Este, asadar, numai o chestiune de timp cand se fac afirmatii de un tip sau altul? 2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala societatea cunoasterii Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies (companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte). Schimbarile asteptate in viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a informatiei. Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc. In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii. In terminologia adptata recent, infrastructurile critice sunt definite prin: Structurile informatice si de comunicatie Bancile si sistemul financiar ale unei tari Sistemele de energie, incluzand cele de producere si transport ale electricitatii, ale petrolului si ale gazului natural Structuri de distributie fizica ale resurselor ex: sistemele de transport feroviare, rutiere, navale, aeriene Serviciile vitale support ale activitatilor umane (sanitare, apararea civila, politia, armata). Vulnerabilitatea acestor sectoare, in conditiile accentuarii introducerii in managementul societatii, a informaticii si cunoasterii (information and knowledge) trebuie re-evaluata si considerate in toata amplitudinea ei. Avantajul Romaniei este acela ca va proiecta si realiza aceste infrastructuri support ale prelucrarii si managementul informatiilor in conditii in care deja alte societati (societatea occidentala) se confrunta deja cu definirea si managementul riscurilor specifice aceasta are loc pe masura asimilarii de noi structuri tehnice care implica o complexitarte generalizata a tehnologiei, reteleor, sistemelor tehnologice support. Caderea, pentru numai o ora a sistemului de calculatorae ale bursei din New York - SUA, a creat in iunie 2001 panica si confuzie mondiala. Romania, ca viitor partener in structurile economice globale si euro atlantice, va trebui cu precadere sa-si defineasca o strategie support de identificare a vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei critice. 3. Solutii posibile In perspectiva accentuarii, in Romania, a introducerii si promovarii elementelor societatii informatice - societatea cunaosterii, o serie de aspecte noi trebuie identificate si controlate: Crescanda dependenta fata de infrastructurile critice ale societatii: in perspectiva dependenta fiecaruia dintre noi va fi tot mai mare fata de sistemele de producere, distributie si transport ale energiei electrice, sistemele de comunicatie si a sistemelor de calculatoare Va avea loc o crestere a vulnerabilitatii sistemelor infrastructurilor critice in etapele de trecere accentuata in Romania la societatea informatica- societatea cunoasterii: o Se vor diversifica posibilitatile de provocare a unor daune clasice (ex: riscurile tehnologice provocate de sisteme active (centrale nuclaro- electrice, chimice) sau de sisteme tehnice asa numite pasive (ex. baraje ale centralelor hidroelectrice) o Vor apare noi pericole de tip si natura cibernetica: extinderea retelelor de calculatoare, accesul la un computer personal (PC) si o conexiune telefonica clasica poate provoca intentionat duane insemnate o Complexitatea sistemelor tehnice si a interdependentelor acestora, precum si posibila / probabila interactiune cu catastrofele naturale vor reprezenta noi elemente de vulnerabilitate pentru infrastructurile critice ale societatii. Spectrul pericolelor se va extinde si poate, in principiu, sa includa: Evenimente naturale si accidente tehnice ce pot provoca daune materiale , ecologice si umane importante;

Erori umane si omisiuni, care prin suportul fizic al societatii informatice societatea cunoasterii, poate induce efecte transversale negative in numeroasele componente ale infrastructurilor critice.

O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a sistemului de transport feroviar privind transportul substantelor periculoase. Hackerii, cei care din numeroase motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a cunoasterii: Activitati criminale Spionaj industrial Terorism Razboi informatic. Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente de input negativ si stres pentru societatea romaneasca,ca societate informatica societate a cunostintelor. Bunaoara, trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor potential negative ce pot apare in societatea infomatica societate a cunoasterii, infrastructurile critice ale societatii. In etapa actuala de proiectare a structurilor societatii informatice societate a cunoasterii, trebuie accentuat pe urmatoarele aspecte: Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si politicienilor. Noi legi trebuie adoptate si promovate pe masura ce societatea informatica societate a cunoasterii demareaza ca un process continuu si ireversibil; Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate gradual la necesitatile societale; Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia internationala si Europeana; Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice societatea cunoasterii. Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de promovarea societatii informatice societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie. In acest sens, este de remarcat faptul ca promovarea societatii informatice societatea cunoasterii presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga continuu spre realizarea acestor deziderate ale societatii informatice societate a cunoasterii. Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice. In orice societate, dar cu precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care asigura linia vietii (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta. In societatea informatica societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni. Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate vulnerabilitati cibernetice si noi pericole, pericole cibernetice. Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice societate a cunoasterii, trebuie sa adopte noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care si le-au asumat si recentele studii cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca ceea ce este extrem de important este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea economica globala si a bunastarii la nivel national. Societatea informatica- societatea cunoasterii implica adoptarea si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde inamicul potential poate demola sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita militara. Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii, in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor critice din Romania. Inainte de a atinge stadiile societatii informatice societatii cunoasterii, Romania va trebui sa gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor

de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a infrastructurilor existente cu cele specifice societatii informatice societatea cunoasterii va presupune recunoasterea si managementul unor vulnerabilitati specifice. Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme, evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor complexe, vor avea un rol extrem de important in deceniul viitor. O concluzie posibila in etapa de demarare a dezideratelor societatii informatice societatea cunoasterii este aceea ca analiza de vulnerabilitate si risc trebuie considerate cu precadere. Se afirma recent ca a astepta aparitia dezastrelor este o strategie periculoasa. Acum este timpul pentru a actiona in vedera protejarii viitorului nostru. In noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice societatea cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta, securitate si risc. Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica societatea cunoasterii, o serie de aspecte se vor evidentia in continuare: Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice societatea cunoasterii Este necesar sa se construiasca in cadrul societatii informatice societatea cunoasterii, un sistem de responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor critice Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in structura generala a societatii in Romania Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare Sistemul de legi ale societatii informatice societatea cunoasterii trebuie sa ia in considerare potentialul de impact ale pericolelor cibernetice si reglementate in mod corespunzator Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate informatica societatea cunoasterii. In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor critice se impune, ca in conditiile Romaniei, sa se: Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor critice Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice societatea cunoasterii din Romania Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in special al infrastructurilor critice si impactul lor la nivel national Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice societatea cunoasterii, fara sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice societata cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA As Low As Reasonable Acceptable) Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice ale societatii informatice societatea cunoaterii

Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in
Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii infrastructurilor critice (ex. Fundatia Infosurance 1 in Elvetia). 4.Concluzii In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice societatea a cunoasterii: Remarca 1: Managementul riscurilor societatii informatice societatea cunoasterii necesita, in general, un parteneriat dedicat intre industrie, Guvern, societate Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si raspuns la crize privind disfunctionalitatea infrastructurilor critice Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea adecvata a efectelor acestora la niveluri diferite ale societatii Remarca 4: Adoptarea conceptelor cash and carry security sau buy-in security vor deveni instrumentale in cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a elementelor concrete ale societatii informatice societatea cunoasterii. Bibliografie 1. *** - Critical Foundations. Protecting Americas Infrastructures. The Report of the Presidents Commission on Critical Infrastrucutre Protection, Washington DC, October 1997 2. *** 3. *** 4. *** - Infosurance, Zrich, 2001

Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la scara societatii elvetiene