Documente Academic
Documente Profesional
Documente Cultură
Securitatea Informationala
Securitatea Informationala
Potenialul societii informaionale (impactul instaurrii erei informatice constituie pentru epoca
modern ceea ce au nsemnat cronologic pentru omenire, descoperirea focului, fierului,
petrolului etc) este n continu cretere datorit dezvoltrii tehnologice i a cilor de acces
multiple. n acest context, desfurarea n bune condiii a activitii securitii sistemelor
informatice impune existena unui sistem IT funcionabil. Managementul securitii sistemelor
IT constituie un factor hotrtor in buna desfurare a activitii unei companii, pentru asigurarea
proteciei datelor i a efecturii de tranzacii electronice n condiiile n care activitatea celor mai
multe instituii, ntreprinderi depinde n proporie de circa 67 % de propriul lor sistem informatic.
Se pot enumera printre principalele mijloace tehnice implementate de ntreprinderile societii
moderne a cror activitate nu se poate desfura optim fr un sistem informatic bine pus la
punct: programe antivirus, salvare a datelor, instruire referitoare la importana implementrii i
urmririi msurilor de securitate.
Noiunile-cheie:
-accesul neautorizat reprezint accesul fr drept la un sistem sau la o reea
informatic prin violarea regulilor de securitate;
-confidenialitatea datelor atribut al datelor ce caracterizeaz accesul lor
restrns pentru un anumit grup de utilizatori;
-criminalitatea informatic totalitatea infraciunilor comise cu ajutorul
calculatorului sau n mediul informatizat;
-documentul electronic (nscris electronic), reprezint o colecie de date n
format electronic ntre care exist relaii logice i funcionale, care redau
litere, cifre sau orice alte caractere cu semnificaie inteligibil, destinate a fi
citite prin mijlocirea unui program informatic sau a altui procedeu similar;
-dreptul comerului electronic totalitatea reglementrilor legale referitoare
la activitile comerciale care implic transferul de date i realizarea unei
tranzacii financiare prin intermediul unei reele electronice precum
Internetul;
-drept informatic sau dreptul societii informaionale este un sistem unitar
de reguli juridice aplicabile tehnologiilor specifice informaticii, precum i
acelei pri a comunicaiei aferente transferului de informaie n reelele
informatice;
-dreptul securitii informatice totalitatea regulilor juridice care se refer la
asigurarea securitii sistemelor informatice i a datelor i informaiilor
cuprinse n aceste sisteme fa de evenimente care le-ar putea afecta
integralitatea;
-frauda informatic reprezint intrarea, alterarea, tergerea sau
supraimprimarea de date sau de programe pentru calculator sau orice alt
ingerin ntr-un tratament informatic care i influeneaz rezultatul, cauznd
chiar prin aceasta un prejudiciu economic sau material n intenia de a obine
un avantaj economic nelegitim pentru sine sau pentru altul;
-funcionarea licit a bazei sau bncii de date se refer la modalitatea legal
n virtutea creia organizaia proprietar sau deintor a bazei de date
presteaz servicii informatice;
-intercepia neautorizat, const n intercepia fr drept i cu mijloace
tehnice de comunicaii cu destinaie, cu provenien i n interiorul unui
sistem sau reele informatice;
-pirateria software const n reproducerea, difuzarea sau comunicarea n
public, fr drept, a unui program pentru calculator, protejat de lege;
-sabotajul informatic, reprezint intrarea, alterarea, tergerea sau
supraimprimarea de date sau de programe pentru calculator ori ingerina n
sisteme informatice cu intenia de a mpiedica funcionarea unui sistem
informatic sau a unui sistem de telecomunicaii;
-semntura electronic, reprezint o colecie de date n format electronic
incorporate, ataate sau asociate unui nscris n format electronic cu intenia
de a produce efecte juridice i care permite identificarea formal a
semnatarului;
-spionajul informatic, const n obinerea prin mijloace ilegitime sau
divulgarea, transferul sau folosirea fr drept ori fr nici o alt justificare
legal a unui secret comercial sau industrial, n intenia de a cauza un
prejudiciu economic persoanei care deine dreptul asupra secretului sau de a
obine pentru sine ori pentru altul avantaje economice ilicite.
Clasificarea ameninrilor:
-dup mijloacele de realizare/ de acionare asupra sistemului de calcul (n clase):
1.intervenia omului n funcionarea sistemului de calcul:
-mijloacele organizaionale de perturbare a securitii sistemului de calcul, inclusiv:
-furtul purttorului informaiei;
-accesul nesancionat la dispozitivele de pstrare i prelucrare a informaiei;
-deteriorarea utilijului, etc.;
-realizarea de ctre infractor a accesului nesancionat la componentele de program a
sistemului de calcul, inclusiv:
-toate modalitile de penetrare neautorizat n sistem;
-modalitile de obinere de ctre utilizatorul-infractor a drepturilor ilegale la
accesul la componentele sistemului;
2 Monitor 2
Tastatura
n prezent se aplic mai muli purttori de coduri de parole: permis la sisteme de control, carduri
de identificare a personal sau documentele n original, etc., alegerea crora este determinat de
cerinele fa de sistemul automatizat, destinaia sistemului, regimul de utilizare a sistemului,
gradul de protecie a informaiei, numrul de utilizatori, tarife, etc.
Impactul instaurrii erei informatice constituie pentru epoca modern ceea ce au nsemnat
cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este n continu cretere
datorit dezvoltrii tehnologice i a cilor de acces multiple. Desfurarea n bune condiii a
activitii securitii sistemelor informatice impune existena unui sistem IT funcionabil.
Cele mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigur un cadru
comun pentru dezvoltarea standardelor organizaionale de securitate i pentru o practic efectiv
de management al securitii informaiei .Standardul precizeaz pentru nceput:
Ce este securitatea informaiei?
De ce este necesar securitatea informaiei?
Cum se stabilesc cerinele de securitate
Evaluarea riscurilor de securitate
Selectarea controalelor
Punct de plecare pentru securitatea informaiei
Factori critici de succes
Dezvoltarea propriilor linii directoare.
Internetul intereseaz n mod esenial att marile ct i micile companii. Practic, nu exist firm
ntr-o ar cu o dezvoltare cel puin medie care s nu aib create pagini Web, pe care se gsesc
informaii despre serviciile i produsele oferite. De asemenea, consumatorii i productorii pot
comunica instantaneu prin Net, ceea ce le confer posibilitatea unei informri reciproce i a unor
comunicaii foarte ieftine. i totui, acetia nu s-au aruncat nc s fac afaceri sau
administrare la scar mare prin Internet. De ce oare aceast reinere? Motivele invocate cel mai
adesea sunt legate de securitatea tranzaciilor on-line. Preocuprile pentru securitatea reelelor i
a sistemelor informatice au crescut proporional cu creterea numrului de utilizatori ai reelelor
i cu valoarea tranzaciilor. Securitatea a atins un punct critic, reprezentnd o cerin esenial
pentru afacerile electronice i pentru funcionarea ntregii economii. Combinarea ctorva factori
a fcut ca securitatea informaiilor i a comunicaiilor s constituie unul dintre punctele
principale pe agenda politicii Uniunii Europene:
1.guvernele i-au dat seama de dependena economiilor lor i a cetenilor fa de buna
funcionare a reelelor de comunicaie i au nceput s-i revizuiasc aranjamentele de securitate;
2.Internetul a creat o legtur global, conectnd milioane de reele, mari si mici, milioane de
calculatoare personale i alte dispozitive, precum telefoanele mobile; acest lucru a redus n mod
semnificativ costurile accesrii informaiilor economice vitale n cazul unor atacuri de la
distan.
3. sunt raportai numeroi virui, care cauzeaz pierderi mari prin distrugerea informaiilor i prin
neacordarea dreptului de acces la reele. Aceste probleme de securitate nu constituie chestiuni
specifice unei ri anume, ci un fenomen ce s-a rspndit rapid printre rile membre ale UE;
4.consiliile Uniunii Europene (de la Lisabona i Feira, de exemplu) au recunoscut Internetul ca
un factor cheie al productivittii economiilor uniunii, atunci cnd au lansat Planurile de Aciune
eEurope 2002 si eEurope 2005.
n timp ce securitatea a devenit o problem esenial pentru cei ce alctuiesc politici, gsirea unui
rspuns adecvat a devenit o sarcin complex. Cu numai civa ani n urm, securitatea reelelor
era o problem monopol de stat, care oferea servicii specializate bazate pe reele publice, n
particular pentru reelele telefonice. Securitatea sistemelor informatice era specific
organizaiilor mari i era axat pe controlul accesului la resurse. Aceste lucruri s-au schimbat
considerabil datorit unor dezvoltri n contextul unei piee lrgite, printre care amintim
liberalizarea, convergena i globalizarea:
- reelele sunt acum n principal n proprietate privat i sunt administrate de companii
private. Serviciile de comunicare sunt oferite pe baz de competitivitate, securitatea
reprezentnd o parte a ofertei pieei. Totui, muli clieni rmn ignorani n privina
riscurilor securitii atunci cnd se conecteaz la o reea i iau decizii bazndu-se pe
informaii incomplete;
- reelele i sistemele informatice converg. Ele devin interconectate, oferind aceleai
tipuri de servicii i, mai mult, mpart aceeai infrastructur. Terminalele (calculatoarele,
telefoanele mobile etc.) au devenit un element activ n arhitectura reelelor i pot fi
conectate la diferite reele;
- reelele sunt internaionale. O parte important a comunicaiilor din ziua de azi se
realizeaz transfrontarier, tranzitnd tere ri (cteodat chiar fr ca utilizatorul s
realizeze acest lucru). Ca urmare, orice soluie n faa riscurilor de securitate trebuie s
aib n vedere acest lucru. Multe reele sunt construite din produse comerciale, de la
comerciani internaionali. Produsele de securitate trebuie s fie compatibile cu
standardele internaionale.
1. Necesitatea unei politici publice. Protejarea reelelor de calculatoare este din ce n ce mai mult
considerat drept o prioritate pentru politicieni, n special datorit nevoii de protejare a datelor,
de asigurare a unei economii funcionale, din motive de asigurare a securitii naionale i de
promovare a comerului electronic. Aceasta a condus la un ansamblu substanial de precauii
legale n cadrul Directivelor UE n ce privete protecia datelor i a Cadrului UE pentru
telecomunicaii. Aceste msuri ns trebuie aplicate ntr-un mediu rapid schimbtor de noi
tehnologii, piee concureniale, convergen a reelelor i globalizare. Aceste provocri se
coreleaz de asemenea i cu tendina pieei de a nu investi suficient n securitate, din motive ce
vor fi analizate. Securitatea reelelor i a informaiei reprezint o marf cumprat i vndut pe
pia i o parte a nelegerilor contractuale ntre pri. Piaa produselor de securitate a crescut
substanial n ultimii ani. n conformitate cu unele studii, piaa software-ului de securizare pentru
Internet valora aproximativ 4,4 miliarde de dolari la sfritul anului 1999 i va crete cu un
procent de 23% pe an pentru a atinge 8,3 miliarde n 2004. n Europa, piaa pentru securitatea
comunicaiilor electronice se prognozeaz a crete de la 465 de milioane de dolari n 2000 la 5,3
miliarde la sfritul lui 2006, paralel cu o cretere a pieei pentru tehnologii de securitate a
informaiei de la 490 de milioane de dolari n 1999 la 2,74 miliarde n 2006. Presupunerea
implicit care se face de obicei este c mecanismul preului va balansa costul ofertei de securitate
cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel nalt de securitate, n
vreme ce alii vor fi satisfcui de un nivel de securitate mai sczut dei statul ar putea s
asigure un nivel minim de securitate. Aceast diferen se va reflecta n preurile pe care vor fi
dispui s le plteasc pentru produsele de securitate. Cu toate acestea, multe riscuri rmn
nerezolvate sau soluiile se impun lent pe pia datorit anumitor imperfeciuni ale acesteia:
Costurile i beneficiile sociale: Investiiile ntr-o mai bun securitate a reelelor genereaz
costuri i beneficii sociale care nu se reflect n mod adecvat n preurile de pe pia. De
partea costurilor, actorii pieei nu sunt responsabili pentru vulnerabilitile legate de
comportamentul lor n domeniul securitii. Utilizatorii i furnizorii cu niveluri de
securitate reduse nu sunt nevoii s plteasc daune unor teri. Este ca i cum un ofer de
taxi neatent n-ar fi tras la rspundere pentru costul blocajului de trafic ce rezult n urma
accidentului provocat de el. n mod similar, pe Internet un numr de atacuri au fost
montate prin intermediul unor maini slab protejate sau au trecut de nite utilizatori
relativ neglijeni.
Asimetria informaiei: Reelele devin din ce n ce mai complexe i ating o pia mai larg,
care include muli utilizatori cu prea puin nelegere a tehnologiei i a potenialelor ei
pericole. Asta nseamn c utilizatorii nu vor fi complet contieni de riscurile de
securitate i muli operatori, vnztori sau furnizori de servicii au dificulti, dat fiind
existena i gradul de ntindere al vulnerabilitilor. Multe noi servicii, aplicaii i
software ofer posibiliti atractive, dar adesea acestea sunt surse de noi vulnerabiliti
(de exemplu, marele succes al Internetului este n parte datorat multitudinii de aplicaii
multimedia care pot fi descrcate simplu, dar aceste plug-inuri reprezint i puncte de
intrare pentru atacuri). n vreme ce beneficiile sunt vizibile, riscurile nu sunt i este mai
atractiv pentru furnizori s ofere faciliti noi dect o mai bun securitate.
Problema aciunii publice: Operatorii adopt ntr-un ritm cresctor standardele Internet
sau i leag ntr-un fel sau altul reelele proprii la Internet. Cu toate acestea, Internetul nu
a fost proiectat cu msuri de securitate, ci din contr, a fost dezvoltat astfel nct s ofere
acces la informaii i s faciliteze schimbul de informaii. Aceasta a reprezentat baza
succesului su. Internetul a devenit o reea global de reele de o neegalat bogie i
diversitate. Investiiile n securitate adesea sunt eficiente doar dac muli oameni
procedeaz n acelai mod. De aceea, cooperarea pentru a crea soluii de securitate este
necesar. Dar cooperarea funcioneaz numai dac particip o mas critic de juctori,
ceea ce e dificil de obinut. Interoperabilitatea ntre produse i servicii va permite
concurena ntre soluiile de securitate. Sunt ns costuri substaniale de coordonare
implicate pe msur ce se vor generaliza soluiile globale, iar unii juctori sunt tentai s
impun o soluie aflat n posesia lor pe pia. Cum o mulime de produse i servicii nc
folosesc soluii proprii, nu este nici un avantaj n a folosi standarde sigure, care nu ofer
securitate suplimentar, dect dac toi ceilali le ofer.
Aciuni propuse:
- Statele membre ar trebui s lanseze o campanie public de educare i informare, iar
msurile care se iau trebuie permanent actualizate. Aceasta ar trebui s includ o
campanie mass-media i aciuni ce vizeaz un public larg. O campanie de informare bine
plnuit i eficient nu este ieftin. Un coninut al acesteia care s descrie riscurile fr a
alarma oamenii i fr a ncuraja potenialii hackeri, necesit o planificare atent.
Comisia European va facilita un schimb de experien n ceea ce privete cele mai bune
practici i va asigura un nivel de coordonare a diferitelor campanii naionale de informare
la nivel UE, n particular n ceea ce privete corpul de informaie care trebuie difuzat. Un
element al acestei campanii ar fi un portal pentru pagini web, att la nivel naional ct i
European. Legarea acestor portaluri cu site-uri web de ncredere ale partenerilor
internaionali ar trebui, de asemenea, luat n considerare.
- Statele membre ar trebui s promoveze utilizarea celor mai bune practici n securitate,
bazate pe msuri deja existente, cum ar fi ISO/IEC 17799 (cod de practici pentru
managementul securitii informaiei www.iso.ch). Companiile de mrimi mici i medii
ar trebui avute n vedere n primul rnd. Comisia va susine statele membre n eforturile
lor.
- Sistemele de educaie din statele membre ar trebui s dea mai mult atenie cursurilor
dedicate securitii informatice. Dezvoltarea de programe educaionale la toate nivelurile,
de exemplu, cursuri despre riscurile de securitate ale reelelor deschise i soluii eficiente
ar trebui ncurajate s devin parte a educaiei despre calculatoare i informatic din coli.
Comisia Europeana sprijin dezvoltarea de noi module pentru programa colar n cadrul
programului su de cercetare.
Cooperarea la nivel mondial se realizeaz prin CERT/CC, care este n parte finanat de guvernul
SUA, iar CERT-urile din Europa depind de politica de publicare a informaiilor de ctre
CERT/CC. Ca rezultat al acestei complexiti, coordonarea european a fost pn n prezent
limitat. Cooperarea este esenial n asigurarea avertizrii din timp pe cuprinsul UE prin
schimbul instantaneu de informaii la primul semn de atac ntr-o singur ar. Aadar, cooperarea
cu sistemul CERT din interiorul UE ar trebui ntrit n regim de urgen. O prim aciune viznd
ntrirea cooperrii public/private prin dependena de infrastructura de informare (inclusiv
dezvoltarea sistemelor de avertizare de urgen) i mbuntirea colaborrii ntre CERT-uri a fost
stabilit n cadrul planului de aciune eEurope.
Aciuni propuse:
-Statele membre ar trebui s-i reorganizeze propriile sisteme CERT, avnd n vedere
mbuntirea echipamentului i a competenei CERT-urilor existente. n sprijinul
eforturilor naionale, Comisia Europeana va dezvolta o propunere concret de ntrire a
cooperrii n cadrul UE. Aceasta va include proiecte de propuneri n cadrul programului
TEN Telecom pentru asigurarea navigrii eficiente pe reea i stabilirea de msuri
companion n cadrul programului IST pentru facilitarea schimbului de informaii.
- Odat cu stabilirea reelei CERT la nivel UE, aceasta ar trebui conectat cu instituii
similare din toata lumea, de exemplu, sistemul de raportare a incidentelor propus de G8.
- Comisia propune colaborarea cu statele membre pentru a se organiza ct mai bine
colectarea de date la nivel european, analiza i proiectarea rspunsurilor anticipative la
riscuri existente i posibile.
Cercetarea la nivel tehnic n criptografie este ntr-un stadiu avansat la nivel european. Algoritmul
Belgian numit Rijndael a ctigat concursul Advanced Encryption Standard, organizat de
institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode europene pentru
Semntur, Integritate i Criptare) al IST a lansat o competiie la nivel extins n domeniul
algoritmilor de criptare ndeplinind cerinele noilor aplicaii multimedia, comerului mobil i
smartcard-urilor.
Aciuni propuse:
- Comisia propune includerea securitii n al aselea program cadru. Pentru ca aceast
adugire s fie optim, ar trebui legat de o mai larg strategie pentru mbuntirea
securitii reelelor i a informaiei. Cercetarea din cadrul acestui program ar trebui s
aib n vedere provocrile cheie de securitate i va focaliza pe mecanisme de securitate de
baz i pe interoperabilitatea acestora, procese de securitate dinamice, criptografie
avansat, tehnologii de mbuntire a facilitilor de confidenialitate, tehnologii de
operare cu obiecte digitale, tehnologii de ncredere pentru suportul afacerilor i funcii
organizaionale n sistemele dinamice i de telefonie mobil.
- Statele membre ar trebui s promoveze activ folosirea produselor criptografice puternice
i plug-able. Soluii de securitate bazate pe criptarea plug-in trebuie s fie disponibile ca o
alternativ la acelea fixate n sistemele de operare.
Aciuni propuse:
- Organizaiile de standardizare europene sunt invitate s accelereze lucrul la produse i
servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate forme noi de
deliverabile i proceduri pentru a accelera lucrul i a ntri cooperarea cu reprezentanii
consumatorilor i angajamentul actorilor pieei. Pluggable nseamn c un produs
software de criptare poate fi cu uurin instalat i fcut complet operaional n cadrul
sistemelor de operare.
- Comisia va continua s sprijine, mai ales prin programele IST i IDA folosirea
semnturii electronice, implementarea de solutii PKI interoperabile i prietenoase pentru
utilizator i dezvoltarea pe mai departe a IPv6 i IPSec (ca n Planul de Aciune eEurope).
- Statele membre sunt invitate s promoveze folosirea procedurilor de certificare i
acreditare pe baza standardelor europene i internaionale general acceptate, favoriznd
recunoaterea mutual de certificate. Comisia va evalua nevoia unei iniiative legale
asupra recunoaterii mutuale de certificate.
- Actorii de pe piaa european sunt ncurajai s participe mai activ n activiti de
standardizare europene (CEN, Cenelec, ETSI) i internaionale (Internet Engineering
Task Force (IETF) , World Wide Web Consortium (W3C)).
- Statele membre ar trebui s-i revad toate standardele de securitate relevante. Ar putea
fi organizate competiii mpreun cu Comisia pentru metode europene de criptare i
soluii de securitate, cu scopul de a stimula standarde acceptate pe plan internaional.
6.Cadrul juridic. Exist mai multe texte legale care influeneaz securitatea reelelor de
comunicaii i a sistemelor informatice. Datorit convergenei reelelor, problemele de securitate
aduc laolalt reguli i tradiii legale din sectoare variate. Acestea includ telecomunicaiile
(ncorpornd toate reelele de comunicaie), industria calculatoarelor, Internetul care a
funcionat mai ales n baza unei abordri hands off (de neintervenie) i comerul electronic
care este din ce n ce mai mult subiectul unei legislaii specifice. n legtur cu securitatea,
prevederile privind daunele terilor, infracionalitatea cibernetic, semntura electronic, regulile
privind protejarea i exportul datelor sunt relevante.
Protejarea intimitii este un obiectiv politic cheie n Uniunea European. A fost recunoscut ca
drept de baz prin articolul 8 al Conveniei Europene asupra drepturilor omului. Articolele 7 i 8
ale Cartei Drepturilor Fundamentale ale UE de asemenea stipuleaz dreptul la respect pentru
viaa de familie i privat, cmin, comunicaie i date personale. Articolul 5 al Directivei de
Protejare a Datelor n Telecomunicaii oblig statele membre s asigure confidenialitatea n
reelele publice de telecomunicaii. n plus, la articolul 4 al aceleiai Directive se cere
furnizorilor de servicii publice i reele s ia msuri tehnice i organizatorice pentru a asigura
securitatea serviciilor oferite. Aceste prevederi au implicaii asupra necesitilor de securitate ale
reelelor i sistemelor informatice folosite de acele persoane sau organizaii, de exemplu
furnizorii de comer electronic. Natura pan-European a acestor servicii i mai marea competiie
transfrontalier duc la o cretere tot mai mare de specificaii asupra mijloacelor de folosit pentru
a fi n acord cu aceste prevederi.
Programul cadru pentru servicii n telecomunicaii al UE conine mai multe prevederi cu privire
la securitatea operaiilor pe reea (nsemnnd disponibilitatea reelelor n caz de urgen) i
integritatea reelelor (nsemnnd asigurarea operaiilor normale n reelele interconectate).
Comisia a propus un nou cadru de reguli pentru serviciile de comunicaii electronice n iulie
2000. Propunerile Comisiei reafirmau n esen dei cu modificri prevederile existente n ce
privete securitatea i integritatea reelelor.
Aciuni propuse:
-nelegerea comun a implicaiilor legislative ale securitii n comunicarea electronic
este necesar. Pentru acest scop, Comisia va crea un inventar de msuri naionale care au
fost deja luate i sunt n concordan cu legi comunitare relevante.
- Statele membre i Comisia ar trebui s sprijine n continuare libera circulaie a
produselor i serviciilor criptografice, prin o mai mare armonizare al procedurilor
administrative de export i o mai mare relaxare a controalelor la exporturi.
- Comisia va propune o msur legislativ n cadrul Titlului VI al tratatului UE pentru
echivalarea legilor penale legate de atacuri mpotriva sistemelor de calculatoare,
incluznd hacking-ul i atacurile de refuz al serviciilor.
Aciuni propuse:
- Statele membre ar trebui s ncorporeze soluii de securitate informatic eficiente i
interoperabile, ca o cerin de baz n activitile lor de e-guvernare i e-procurement.
- Statele membre ar trebui s introduc semntura electronic la oferirea serviciilor
publice on-line.
- n cadrul e-Comisiei, Comisia va lua o serie de msuri pentru a ntri cererea de
securitate n sistemele sale informatice i de comunicaie.
9. Securitatea informatic n planul eEurope 2005. Deoarece Societatea Informatizat devine tot
mai important att pentru business ct i pentru societate, asigurarea securitii, att pentru
infrastructura nsi, ct i pentru informaiile care circul pe ea, reprezint un punct critic.
Pentru ca Internetul s fie un mediu de ncredere al Societii Informatizate, trebuie s devin
disponibil, informaia transmis sau memorat s fie pstrat confidenial, trebuie s ne putem
asigura cine este
autorul unei informaii i c aceasta nu a fost alterat. Problemele de securitate reduc ncrederea
noastr n reele i n sistemele informatice i, odat cu aceasta, reduc nivelul de utilizare a
Internetului, cu toate avantajele sale. Ca urmare, securitatea este elementul cheie al proieciilor
Comisiei UE privind Noua Generaie de Internet i reprezint una dintre cele 6 prioriti politice
ale Planului eEurope 2005.
Asigurarea securitii informatice nu este numai o provocare pur tehnologic, ci este, n acelai
timp, o chestiune dependent de comportamentul uman i de cunotinele cu privire la ameninri
i remedii. UE a dezvoltat deja reguli pentru comunicaii electronice sigure, aa cum sunt de fapt
Directiva asupra semnturii electronice sau legislaia cu privire la protecia datelor pentru
comunicaii electronice.
PRACTICUM
Sarcina 1. De analizat problematica vulnerabilitatii si riscului infrastructurilor critice in
societatea informatica (dup Adrian V. Gheorghe.ANALIZA DE RISC SI DE VULNERABILITATE
PENTRU INFRASTRUCTURILOR CRITICE ALE SOCIETATII INFORMATICE -SOCIETATE A
CUNOASTERII)
Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest
ansamblu de transformari afecteaza viata fiecaruia dintre noi. Societatea Informatica Societatea Cunoasterii va
depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere,
transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale
ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara
acestora. Societatea informatica societatea cunoasterii redefineste problematica si doctrina de aparare nationala;
aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri. Securitatea infrastructurilor
critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune.
Cunoasterea, ca atare, va deveni o arma de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu
siguranta in societatea deceniilor viitoare.
Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in
pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere
in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si
consecintele negative ale propagarii dezastrelor. Ceea ce se numeste astazi tot mai des pericole cibernetice
(cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica societate a
cunoasterii.
La sfarsitul anilor 80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: scoate din priza
calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate
informatica, pentru a fi asadar vulnerabili. In etapa noua politica, economica si culturala in care se afla Romania,
este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma fara a fi
cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economico-
politica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice. Este, asadar,
numai o chestiune de timp cand se fac afirmatii de un tip sau altul?
2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala societatea cunoasterii
Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare
reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de
exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies
(companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte). Schimbarile asteptate in
viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se
profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a
informatiei. Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc.
In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine
politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii.
3. Solutii posibile
O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a
sistemului de transport feroviar privind transportul substantelor periculoase. Hackerii, cei care din numeroase
motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat
discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a
cunoasterii:
Activitati criminale
Spionaj industrial
Terorism
Razboi informatic.
Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente
de input negativ si stres pentru societatea romaneasca,ca societate informatica societate a cunostintelor. Bunaoara,
trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor
potential negative ce pot apare in societatea infomatica societate a cunoasterii, infrastructurile critice ale societatii.
In etapa actuala de proiectare a structurilor societatii informatice societate a cunoasterii, trebuie accentuat pe
urmatoarele aspecte:
Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si
politicienilor. Noi legi trebuie adoptate si promovate pe masura ce societatea informatica societate a
cunoasterii demareaza ca un process continuu si ireversibil;
Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate
gradual la necesitatile societale;
Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia
internationala si Europeana;
Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si
managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice
societatea cunoasterii.
Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de
promovarea societatii informatice societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie.
In acest sens, este de remarcat faptul ca promovarea societatii informatice societatea cunoasterii
presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga
continuu spre realizarea acestor deziderate ale societatii informatice societate a cunoasterii.
Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera
asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice. In orice societate, dar cu
precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care
asigura linia vietii (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta. In
societatea informatica societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni.
Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate vulnerabilitati cibernetice si noi
pericole, pericole cibernetice.
Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice societate a cunoasterii, trebuie sa adopte
noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care si le-au asumat si recentele studii
cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca ceea ce este extrem de important
este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in
ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la
atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea
economica globala si a bunastarii la nivel national. Societatea informatica- societatea cunoasterii implica adoptarea
si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde
inamicul potential poate demola sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita
militara.
Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii,
in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica
societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor
critice din Romania. Inainte de a atinge stadiile societatii informatice societatii cunoasterii, Romania va trebui sa
gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor
de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din
perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a
infrastructurilor existente cu cele specifice societatii informatice societatea cunoasterii va presupune recunoasterea
si managementul unor vulnerabilitati specifice. Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme,
evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor
complexe, vor avea un rol extrem de important in deceniul viitor.
O concluzie posibila in etapa de demarare a dezideratelor societatii informatice societatea cunoasterii este aceea ca
analiza de vulnerabilitate si risc trebuie considerate cu precadere. Se afirma recent ca a astepta aparitia
dezastrelor este o strategie periculoasa. Acum este timpul pentru a actiona in vedera protejarii viitorului nostru. In
noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice societatea
cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta,
securitate si risc.
Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica
societatea cunoasterii, o serie de aspecte se vor evidentia in continuare:
Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea
deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare
distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice societatea
cunoasterii
Este necesar sa se construiasca in cadrul societatii informatice societatea cunoasterii, un sistem de
responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor
critice
Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in
structura generala a societatii in Romania
Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare
Sistemul de legi ale societatii informatice societatea cunoasterii trebuie sa ia in considerare potentialul de
impact ale pericolelor cibernetice si reglementate in mod corespunzator
Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze
problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate
informatica societatea cunoasterii.
In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor
critice se impune, ca in conditiile Romaniei, sa se:
Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor
critice
Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind
proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special
Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor
specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice societatea
cunoasterii din Romania
Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o
activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in
special al infrastructurilor critice si impactul lor la nivel national
Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu
Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel
acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice societatea cunoasterii, fara
sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania
Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice societata
cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor
criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA As Low As Reasonable Acceptable)
Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la
descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care
sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a
infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora
Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei
constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de
securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice
ale societatii informatice societatea cunoaterii
Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in
Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii
infrastructurilor critice (ex. Fundatia Infosurance 1 in Elvetia).
4.Concluzii
In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si
realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice societatea
a cunoasterii:
Remarca 1: Managementul riscurilor societatii informatice societatea cunoasterii necesita, in general, un
parteneriat dedicat intre industrie, Guvern, societate
Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si
raspuns la crize privind disfunctionalitatea infrastructurilor critice
Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice
societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea
adecvata a efectelor acestora la niveluri diferite ale societatii
Remarca 4: Adoptarea conceptelor cash and carry security sau buy-in security vor deveni instrumentale in
cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a
elementelor concrete ale societatii informatice societatea cunoasterii.
Bibliografie
1. *** - Critical Foundations. Protecting Americas Infrastructures. The Report of the Presidents Commission
on Critical Infrastrucutre Protection, Washington DC, October 1997
2. *** -
3. *** -
4. *** - Infosurance, Zrich, 2001
1
Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la
scara societatii elvetiene