Documente Academic
Documente Profesional
Documente Cultură
Despre Securitatea Informationala
Despre Securitatea Informationala
Potenţialul societăţii informaţionale (impactul instaurării erei informatice constituie pentru epoca
modernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului,
petrolului etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces
multiple. În acest context, desfăşurarea în bune condiţii a activităţii securităţii sistemelor
informatice impune existenţa unui sistem IT funcţionabil. Managementul securităţii sistemelor IT
constituie un factor hotărâtor in buna desfăşurare a activităţii unei companii, pentru asigurarea
protecţiei datelor şi a efectuării de tranzacţii electronice în condiţiile în care activitatea celor mai
multe instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem informatic.
Se pot enumera printre principalele mijloace tehnice implementate de întreprinderile societăţii
moderne a căror activitate nu se poate desfăşura optim fără un sistem informatic bine pus la
punct: programe antivirus, salvare a datelor, instruire referitoare la importanţa implementării şi
urmăririi măsurilor de securitate.
Deşi în societatea informaţională varietatea crimelor este mare (şi va fi şi mai mare pe măsură
ce tehnologia va progresa), următoarele fapte infracţionale sunt cele mai frecvente: frauda
informatică falsul informatic, fapte ce prejudiciază datele sau programele pentru calculator,
sabotajul informatic accesul neautorizat, intercepţia neautorizată, pirateria software, spionajul
informatic, defăimarea prin Internet distribuirea de materiale obscene în Internet, spam-ul.
Noţiunile-cheie:
-accesul neautorizat reprezintă accesul fără drept la un sistem sau la o reţea informatică
prin violarea regulilor de securitate;
-confidenţialitatea datelor – atribut al datelor ce caracterizează accesul lor restrâns pentru
un anumit grup de utilizatori;
-criminalitatea informatică – totalitatea infracţiunilor comise cu ajutorul calculatorului
sau în mediul informatizat;
-documentul electronic (înscris electronic), reprezintă o colecţie de date în format
electronic între care există relaţii logice şi funcţionale, care redau litere, cifre sau orice alte
caractere cu semnificaţie inteligibilă, destinate a fi citite prin mijlocirea unui program informatic
sau a altui procedeu similar;
-dreptul comerţului electronic – totalitatea reglementărilor legale referitoare la
activităţile comerciale care implică transferul de date şi realizarea unei tranzacţii financiare
prin intermediul unei reţele electronice precum Internetul;
-drept informatic sau dreptul societăţii informaţionale este un sistem unitar de
reguli juridice aplicabile tehnologiilor specifice informaticii, precum şi acelei părţi a
comunicaţiei aferente transferului de informaţie în reţelele informatice;
-dreptul securităţii informatice – totalitatea regulilor juridice care se referă la asigurarea
securităţii sistemelor informatice şi a datelor şi informaţiilor cuprinse în aceste sisteme faţă de
evenimente care le-ar putea afecta integralitatea;
-frauda informatică – reprezintă intrarea, alterarea, ştergerea sau supraimprimarea de date
sau de programe pentru calculator sau orice altă ingerinţă într-un tratament informatic care îi
influenţează rezultatul, cauzând chiar prin aceasta un prejudiciu economic sau material în
intenţia de a obţine un avantaj economic nelegitim pentru sine sau pentru altul;
-funcţionarea licită a bazei sau băncii de date se referă la modalitatea legală în
virtutea căreia organizaţia proprietar sau deţinător a bazei de date prestează servicii
informatice;
-intercepţia neautorizată, constă în intercepţia fără drept şi cu mijloace tehnice de
comunicaţii cu destinaţie, cu provenienţă şi în interiorul unui sistem sau reţele informatice;
-pirateria software constă în reproducerea, difuzarea sau comunicarea în public, fără drept,
a unui program pentru calculator, protejat de lege;
-sabotajul informatic, reprezintă intrarea, alterarea, ştergerea sau supraimprimarea de date
sau de programe pentru calculator ori ingerinţa în sisteme informatice cu intenţia de a împiedica
funcţionarea unui sistem informatic sau a unui sistem de telecomunicaţii;
-semnătura electronică, reprezintă o colecţie de date în format electronic incorporate,
ataşate sau asociate unui înscris în format electronic cu intenţia de a produce efecte juridice şi
care permite identificarea formală a semnatarului;
-spionajul informatic, constă în obţinerea prin mijloace ilegitime sau divulgarea, transferul
sau folosirea fără drept ori fără nici o altă justificare legală a unui secret comercial sau
industrial, în intenţia de a cauza un prejudiciu economic persoanei care deţine dreptul asupra
secretului sau de a obţine pentru sine ori pentru altul avantaje economice ilicite.
O altă clasificare poate fi făcută după gradul de pericol pe care-l reprezintă vulnerabilitatea
pentru sistemul supus atacului [6] (tabelul 1.4.1.):
Tabelul 1.4.1.
Gradele de vulnerabilitate şi consecinţele acestora
Grad de Mod de atac Consecinţe
vulnerabilitate
A Scripturi CGI cu opţiuni Permite accesul necondiţionat al utilizatorilor rău intenţionaţi
prestabilite
B Vulnerabilitate criptare RSH Permite utiliyatorilor locali/generali să-şi mărească
Fişiere cu parole fără shadown privilegiile şi să obţină control asupra sistemului
C Trimitere de pachete flood Permite utilizatorilor din interior sau exterior să altereze
procesele de prelucrare
Grad de vulnerabilitate Mod de atac Consecinţe
Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi exploatează golurile
din sistemul de operare, mai precis golurile la nivelul funcţiilor de reţea. Aceste goluri sunt
detectate uneori la timp şi acoperite de către producător prin programe -patch-uri. Acest tip de
atac permite ca unul sau mai mulţi indivizi să exploateze o particularitate a protocolului IP
(Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informaţie. Atacul,
cu pachete TCP SYN, presupune trimiterea către calculatorul-ţintă a unui număr foarte mare de
cereri de conexiune, ducând în final la paralizarea procesului. În acest fel, dacă ţinta este un
server, accesul la acesta e blocat şi serviciile asigurate de acesta sunt refuzate. Un atac
asemănător poate fi declanşat şi asupra unui utilizator. Acest lucru este posibil datorit. Modului
de proiectare a arhitecturii WWW.
Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o poziţie
medie, B, pe scara consecinţelor. Un utilizator local, adică un utilizator care are un cont şi o
parolă pe un anume calculator, va putea, în UNIX, să-şi crească privilegiile de acces folosind
aplicaţia sendmail. Atunci când este lansat programul, se face o verificare să se testeze dacă
utilizatorul este root, numai acesta având drept de a configura şi trimite mesaje. Dar, dintr-o
eroare de programare, sendmail poate fi lansat în aşa fel încât să se ocolească verificarea.
Astfel, un utilizator local era drepturi de acces ca root. O altă posibilitate o reprezintă
exploatarea zonelor de memorie tampon (buffer-e).
Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat fac
parte din clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai periculoase şi mai
distructive. Multe atacuri se bazează pe o slabă administrare a sistemului sau pe configurarea
greşită a acestuia. Cea mai cunoscută vulnerabilitate este conţinută de un fişier cu denumirea
test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare care
permitea intruşilor din exterior să citească conţinutul directorului CGI. şi aceasta din cauza a
două ghilimele („) nepuse. Platformele Novell, cu servere HTTP, erau vulnerabile din cauza
unui script cu numele convert.bas. Scriptul era scris în Basic şi permitea utilizatorilor de la
distanţă să citească orice fişier sistem.
O altă vulnerabilitate este întâlnită la serverele IIS (versiunea 1.0) de la Microsoft şi permite
oricărui utilizator de la distanţă să execute comenzi arbitrare.
Vulnerabilitţăile din clasa A pot fi întâlnite şi la următoarele programe: FTP, Goopher, Telnet,
NFS, ARP, Portmap, Finger.
Există şi programe care pot să prezinte vulnerabilităţi asociate a două clase.
În concluzie, ameninţările la adresa securităţii se pot clasifica în trei categorii: naturale şi
fizice; accidentale; intenţionate.
Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente
fizice care interacţionează cu calculatoarele. Se pot enunţa aici cutremurele, inundaţiile,
furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate acţiona în sensul
minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se pot instala dispozitive de
avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora.
Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot produce
ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor
componente, insuficientei pregătiri profesionale, citirii insuficiente a documentaţilor etc.
Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite
în: interne; externe.
Ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la
informaţie, având de trecut mai puţine bariere şi ştiind şi o parte din politica de securitate a
firmei.
Ameninţările externe vin din partea mai multor categorii, şi anume: agenţii de spionaj
străine; terorişti şi organizaţii teroriste; criminali; raiders; hackeri şi crackeri.
Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile
tehnologii. Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea
acestora. Se impune ca aceste firme să folosească tehnologii şi programe de criptare foarte
sofisticate pentru a proteja informaţiile.
Clasificarea ameninţărilor:
-după mijloacele de realizare/ de acţionare asupra sistemului de calcul (în clase):
1.intervenţia omului în funcţionarea sistemului de calcul:
-mijloacele organizaţionale de perturbare a securităţii sistemului de calcul, inclusiv:
-furtul purtătorului informaţiei;
-accesul nesancţionat la dispozitivele de păstrare şi prelucrare a informaţiei;
-deteriorarea utilijului, etc.;
-realizarea de către infractor a accesului nesancţionat la componentele de program a
sistemului de calcul, inclusiv:
-toate modalităţile de penetrare neautorizată în sistem;
-modalităţile de obţinere de către utilizatorul-infractor a drepturilor ilegale la
accesul la componentele sistemului;
2 Monitor 2
Tastatura
• detectarea intruşilor; trebuie făcută permanent; pentru aceasta există programe care
controlează traficul şi care ţin jurnale de acces (log); verificarea se va face la nivelul fiecărui
calculator din firmă; trebuie făcută aici distincţie între încercările de intruziune din afară şi
cele din interior; de asemenea, trebuie separate încercările de acces neautorizat din reţeaua
internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.
• scanarea vulnerabilităţilor; este de fapt o analiză a vulnerabilităţii, presupune investigarea
configuraţiei la nivel intern pentru detectarea eventualelor găuri de securitate; acesta se face atât
la nivel hardware, cât şi software; folosirea unui scanner de parole va avea ca efect aflarea
parolei în câteva secunde, indiferent de lungimea acesteia;
• controlul viruşilor; se va face pentru a detecta şi elimina programele maliţioase din sistemele
de calcul; acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot paraliza
funcţionarea acestora sau pot produce distrugeri ale informaţiei; se impune obligatoriu să fie
instalate programe antivirus, actualizarea semnăturilor de viruşi să se facă cât mai des, iar
scanarea pentru detectarea viruşilor să se facă de oricâte ori este nevoie.
În prezent se aplică mai mulţi purtători de coduri de parole: permis la sisteme de control, carduri
de identificare a personală sau documentele în original, etc., alegerea cărora este determinată de
cerinţele faţă de sistemul automatizat, destinaţia sistemului, regimul de utilizare a sistemului,
gradul de protecţie a informaţiei, numărul de utilizatori, tarife, etc.
Impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat
cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creştere
datorită dezvoltării tehnologice şi a căilor de acces multiple. Desfăşurarea în bune condiţii a
activităţii securităţii sistemelor informatice impune existenţa unui sistem IT funcţionabil.
Cele mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigură un cadru
comun pentru dezvoltarea standardelor organizaţionale de securitate şi pentru o practică efectivă
de management al securităţii informaţiei .Standardul precizează pentru început:
– Ce este securitatea informaţiei?
– De ce este necesară securitatea informaţiei?
– Cum se stabilesc cerinţele de securitate
– Evaluarea riscurilor de securitate
– Selectarea controalelor
– Punct de plecare pentru securitatea informaţiei
– Factori critici de succes
– Dezvoltarea propriilor linii directoare.
Internetul interesează în mod esenţial atât marile cât şi micile companii. Practic, nu există firmă
într-o ţară cu o dezvoltare cel puţin medie care să nu aibă create pagini Web, pe care se găsesc
informaţii despre serviciile şi produsele oferite. De asemenea, consumatorii şi producătorii pot
comunica instantaneu prin Net, ceea ce le conferă posibilitatea unei informări reciproce şi a unor
comunicaţii foarte ieftine. Şi totuşi, aceştia nu s-au „aruncat“ încă să facă afaceri sau
administrare la scară mare prin Internet. De ce oare această reţinere? Motivele invocate cel mai
adesea sunt legate de securitatea tranzacţiilor on-line. Preocupările pentru securitatea reţelelor şi
a sistemelor informatice au crescut proporţional cu creşterea numărului de utilizatori ai reţelelor
şi cu valoarea tranzacţiilor. Securitatea a atins un punct critic, reprezentând o cerinţă esenţială
pentru afacerile electronice şi pentru funcţionarea întregii economii. Combinarea câtorva factori
a făcut ca securitatea informaţiilor şi a comunicaţiilor să constituie unul dintre punctele
principale pe agenda politicii Uniunii Europene:
1.guvernele şi-au dat seama de dependenţa economiilor lor şi a cetăţenilor faţă de buna
funcţionare a reţelelor de comunicaţie şi au început să-şi revizuiască aranjamentele de securitate;
2.Internetul a creat o legătură globală, conectând milioane de reţele, mari si mici, milioane de
calculatoare personale şi alte dispozitive, precum telefoanele mobile; acest lucru a redus în mod
semnificativ costurile accesării informaţiilor economice vitale în cazul unor atacuri de la
distanţă.
3. sunt raportaţi numeroşi viruşi, care cauzează pierderi mari prin distrugerea informaţiilor şi prin
neacordarea dreptului de acces la reţele. Aceste probleme de securitate nu constituie chestiuni
specifice unei ţări anume, ci un fenomen ce s-a răspândit rapid printre ţările membre ale UE;
4.consiliile Uniunii Europene (de la Lisabona şi Feira, de exemplu) au recunoscut Internetul ca
un factor cheie al productivitătii economiilor uniunii, atunci când au lansat Planurile de Acţiune
eEurope 2002 si eEurope 2005.
În timp ce securitatea a devenit o problemă esenţială pentru cei ce alcătuiesc politici, găsirea unui
răspuns adecvat a devenit o sarcină complexă. Cu numai câţiva ani în urmă, securitatea reţelelor
era o problemă monopol de stat, care oferea servicii specializate bazate pe reţele publice, în
particular pentru reţelele telefonice. Securitatea sistemelor informatice era specifică
organizaţiilor mari şi era axată pe controlul accesului la resurse. Aceste lucruri s-au schimbat
considerabil datorită unor dezvoltări în contextul unei pieţe lărgite, printre care amintim
liberalizarea, convergenţa şi globalizarea:
- reţelele sunt acum în principal în proprietate privată şi sunt administrate de companii
private. Serviciile de comunicare sunt oferite pe bază de competitivitate, securitatea
reprezentând o parte a ofertei pieţei. Totuşi, mulţi clienţi rămân ignoranţi în privinţa
riscurilor securităţii atunci când se conectează la o reţea şi iau decizii bazându-se pe
informaţii incomplete;
- reţelele şi sistemele informatice converg. Ele devin interconectate, oferind aceleaşi
tipuri de servicii şi, mai mult, împart aceeaşi infrastructură. Terminalele (calculatoarele,
telefoanele mobile etc.) au devenit un element activ în arhitectura reţelelor şi pot fi
conectate la diferite reţele;
- reţelele sunt internaţionale. O parte importantă a comunicaţiilor din ziua de azi se
realizează transfrontarier, tranzitând terţe ţări (câteodată chiar fără ca utilizatorul să
realizeze acest lucru). Ca urmare, orice soluţie în faţa riscurilor de securitate trebuie să
aibă în vedere acest lucru. Multe reţele sunt construite din produse comerciale, de la
comercianţi internaţionali. Produsele de securitate trebuie să fie compatibile cu
standardele internaţionale.
1. Necesitatea unei politici publice. Protejarea reţelelor de calculatoare este din ce în ce mai mult
considerată drept o prioritate pentru politicieni, în special datorită nevoii de protejare a datelor,
de asigurare a unei economii funcţionale, din motive de asigurare a securităţii naţionale şi de
promovare a comerţului electronic. Aceasta a condus la un ansamblu substanţial de precauţii
legale în cadrul Directivelor UE în ce priveşte protecţia datelor şi a Cadrului UE pentru
telecomunicaţii. Aceste măsuri însă trebuie aplicate într-un mediu rapid schimbător de noi
tehnologii, pieţe concurenţiale, convergenţă a reţelelor şi globalizare. Aceste provocări se
corelează de asemenea şi cu tendinţa pieţei de a nu investi suficient în securitate, din motive ce
vor fi analizate. Securitatea reţelelor şi a informaţiei reprezintă o marfă cumpărată şi vândută pe
piaţă şi o parte a înţelegerilor contractuale între părţi. Piaţa produselor de securitate a crescut
substanţial în ultimii ani. În conformitate cu unele studii, piaţa software-ului de securizare pentru
Internet valora aproximativ 4,4 miliarde de dolari la sfârşitul anului 1999 şi va creşte cu un
procent de 23% pe an pentru a atinge 8,3 miliarde în 2004. În Europa, piaţa pentru securitatea
comunicaţiilor electronice se prognozează a creşte de la 465 de milioane de dolari în 2000 la 5,3
miliarde la sfârşitul lui 2006, paralel cu o creştere a pieţei pentru tehnologii de securitate a
informaţiei de la 490 de milioane de dolari în 1999 la 2,74 miliarde în 2006. Presupunerea
implicită care se face de obicei este că mecanismul preţului va balansa costul ofertei de securitate
cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel înalt de securitate, în
vreme ce alţii vor fi satisfăcuţi de un nivel de securitate mai scăzut – deşi statul ar putea să
asigure un nivel minim de securitate. Această diferenţă se va reflecta în preţurile pe care vor fi
dispuşi să le plătească pentru produsele de securitate. Cu toate acestea, multe riscuri rămân
nerezolvate sau soluţiile se impun lent pe piaţă datorită anumitor imperfecţiuni ale acesteia:
Costurile şi beneficiile sociale: Investiţiile într-o mai bună securitate a reţelelor generează
costuri şi beneficii sociale care nu se reflectă în mod adecvat în preţurile de pe piaţă. De
partea costurilor, actorii pieţei nu sunt responsabili pentru vulnerabilităţile legate de
comportamentul lor în domeniul securităţii. Utilizatorii şi furnizorii cu niveluri de
securitate reduse nu sunt nevoiţi să plătească daune unor terţi. Este ca şi cum un şofer de
taxi neatent n-ar fi tras la răspundere pentru costul blocajului de trafic ce rezultă în urma
accidentului provocat de el. În mod similar, pe Internet un număr de atacuri au fost
„montate“ prin intermediul unor maşini slab protejate sau au trecut de nişte utilizatori
relativ neglijenţi.
Asimetria informaţiei: Reţelele devin din ce în ce mai complexe şi ating o piaţă mai largă,
care include mulţi utilizatori cu prea puţină înţelegere a tehnologiei şi a potenţialelor ei
pericole. Asta înseamnă că utilizatorii nu vor fi complet conştienţi de riscurile de
securitate şi mulţi operatori, vânzători sau furnizori de servicii au dificultăţi, dată fiind
existenţa şi gradul de întindere al vulnerabilităţilor. Multe noi servicii, aplicaţii şi
software oferă posibilităţi atractive, dar adesea acestea sunt surse de noi vulnerabilităţi
(de exemplu, marele succes al Internetului este în parte datorat multitudinii de aplicaţii
multimedia care pot fi descărcate simplu, dar aceste plug-inuri reprezintă şi puncte de
intrare pentru atacuri). În vreme ce beneficiile sunt vizibile, riscurile nu sunt şi este mai
atractiv pentru furnizori să ofere facilităţi noi decât o mai bună securitate.
Problema acţiunii publice: Operatorii adoptă într-un ritm crescător standardele Internet
sau îşi leagă într-un fel sau altul reţelele proprii la Internet. Cu toate acestea, Internetul nu
a fost proiectat cu măsuri de securitate, ci din contră, a fost dezvoltat astfel încât să ofere
acces la informaţii şi să faciliteze schimbul de informaţii. Aceasta a reprezentat baza
succesului său. Internetul a devenit o reţea globală de reţele de o neegalată bogăţie şi
diversitate. Investiţiile în securitate adesea sunt eficiente doar dacă mulţi oameni
procedează în acelaşi mod. De aceea, cooperarea pentru a crea soluţii de securitate este
necesară. Dar cooperarea funcţionează numai dacă participă o masă critică de jucători,
ceea ce e dificil de obţinut. Interoperabilitatea între produse şi servicii va permite
concurenţa între soluţiile de securitate. Sunt însă costuri substanţiale de coordonare
implicate pe măsură ce se vor generaliza soluţiile globale, iar unii jucători sunt tentaţi să
impună o soluţie aflată în posesia lor pe piaţă. Cum o mulţime de produse şi servicii încă
folosesc soluţii proprii, nu este nici un avantaj în a folosi standarde sigure, care nu oferă
securitate suplimentară, decât dacă toţi ceilalţi le oferă.
- În primul rând, prevederile legale la nivelul UE trebuie aplicate efectiv, aceasta cerând o
înţelegere comună a problemelor de securitate şi a măsurilor specifice ce seimpun.
Cadrul legal va trebui să evolueze în viitor, de exemplu, în legătură cu criminalitatea
cibernetică, semnătura electronică etc.
- În al doilea rând, anumite imperfecţiuni ale pieţei au condus la concluzia că forţele de
pe piaţă nu „pompează“ suficiente investiţii în tehnologiile sau practicile de securitate.
Măsurile politice pot revigora piaţa şi, în acelaşi timp, pot îmbunătăţi funcţionalitatea
cadrului legal.
- În sfârşit, serviciile din domeniul comunicaţiilor şi informaţiei sunt oferite fără a se
graniţe. Aşadar, o politică europeană este necesară în scopul de aasigura piaţa internă
pentru asemenea servicii, de a beneficia de pe urma soluţiilor comune şi de a face
posibilă o acţiune eficientă la nivel global. Măsurile politice propuse cu privire la
securitatea reţelelor şi a informaţiilor trebuie privite nu numai în contextul legislaţiei deja
existente pentru telecomunicaţii şi protecţia datelor, ci şi în legătură cu politica mai
recentă, legată de infracţiuni cibernetice. O politică în privinţa securităţii reţelelor şi
informaţiei va constitui veriga lipsă în acest cadru politic.
Acţiuni propuse:
- Statele membre ar trebui să lanseze o campanie publică de educare şi informare, iar
măsurile care se iau trebuie permanent actualizate. Aceasta ar trebui să includă o
campanie mass-media şi acţiuni ce vizează un public larg. O campanie de informare bine
plănuită şi eficientă nu este ieftină. Un conţinut al acesteia care să descrie riscurile fără a
alarma oamenii şi fără a încuraja potenţialii hackeri, necesită o planificare atentă.
Comisia Europeană va facilita un schimb de experienţă în ceea ce priveşte cele mai bune
practici şi va asigura un nivel de coordonare a diferitelor campanii naţionale de informare
la nivel UE, în particular în ceea ce priveşte corpul de informaţie care trebuie difuzat. Un
element al acestei campanii ar fi un portal pentru pagini web, atât la nivel naţional cât şi
European. Legarea acestor portaluri cu site-uri web de încredere ale partenerilor
internaţionali ar trebui, de asemenea, luată în considerare.
- Statele membre ar trebui să promoveze utilizarea celor mai bune practici în securitate,
bazate pe măsuri deja existente, cum ar fi ISO/IEC 17799 (cod de practici pentru
managementul securităţii informaţiei www.iso.ch). Companiile de mărimi mici şi medii
ar trebui avute în vedere în primul rând. Comisia va susţine statele membre în eforturile
lor.
- Sistemele de educaţie din statele membre ar trebui să dea mai multă atenţie cursurilor
dedicate securităţii informatice. Dezvoltarea de programe educaţionale la toate nivelurile,
de exemplu, cursuri despre riscurile de securitate ale reţelelor deschise şi soluţii eficiente
ar trebui încurajate să devină parte a educaţiei despre calculatoare şi informatică din şcoli.
Comisia Europeana sprijină dezvoltarea de noi module pentru programa şcolară în cadrul
programului său de cercetare.
Cooperarea la nivel mondial se realizează prin CERT/CC, care este în parte finanţat de guvernul
SUA, iar CERT-urile din Europa depind de politica de publicare a informaţiilor de către
CERT/CC. Ca rezultat al acestei complexităţi, coordonarea europeană a fost până în prezent
limitată. Cooperarea este esenţială în asigurarea avertizării din timp pe cuprinsul UE prin
schimbul instantaneu de informaţii la primul semn de atac într-o singură ţară. Aşadar, cooperarea
cu sistemul CERT din interiorul UE ar trebui întărită în regim de urgenţă. O primă acţiune vizând
întărirea cooperării public/private prin dependenţa de infrastructura de informare (inclusiv
dezvoltarea sistemelor de avertizare de urgenţă) şi îmbunătăţirea colaborării între CERT-uri a fost
stabilită în cadrul planului de acţiune eEurope.
Acţiuni propuse:
-Statele membre ar trebui să-şi reorganizeze propriile sisteme CERT, având în vedere
îmbunătăţirea echipamentului şi a competenţei CERT-urilor existente. În sprijinul
eforturilor naţionale, Comisia Europeana va dezvolta o propunere concretă de întărire a
cooperării în cadrul UE. Aceasta va include proiecte de propuneri în cadrul programului
TEN Telecom pentru asigurarea navigării eficiente pe reţea şi stabilirea de măsuri
companion în cadrul programului IST pentru facilitarea schimbului de informaţii.
- Odată cu stabilirea reţelei CERT la nivel UE, aceasta ar trebui conectată cu instituţii
similare din toata lumea, de exemplu, sistemul de raportare a incidentelor propus de G8.
- Comisia propune colaborarea cu statele membre pentru a se organiza cât mai bine
colectarea de date la nivel european, analiza şi proiectarea răspunsurilor anticipative la
riscuri existente şi posibile.
4. Dezvoltarea suportului tehnologic. Investiţiile în securitatea reţelelor şi a informaţiei sunt
actualmente sub optim. Acesta este cazul atât în ceea ce priveşte suportul tehnologic, cât şi
cercetarea pentru descoperirea de noi soluţii. În contextul în care noile tehnologii în mod
inevitabil aduc cu ele şi riscuri noi, cercetarea continuă este vitală. Securitatea în domeniul
reţelelor şi al informaţiei este deja inclusă în Information Technologies (IST) Programme of the
EU’s 6th Framework Research Programme, reprezentând o investiţie de 3,6 miliarde de euro de-
a lungul a patru ani.
Cercetarea la nivel tehnic în criptografie este într-un stadiu avansat la nivel european. Algoritmul
Belgian numit Rijndael a câştigat concursul Advanced Encryption Standard, organizat de
institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode europene pentru
Semnătură, Integritate şi Criptare) al IST a lansat o competiţie la nivel extins în domeniul
algoritmilor de criptare îndeplinind cerinţele noilor aplicaţii multimedia, comerţului mobil şi
smartcard-urilor.
Acţiuni propuse:
- Comisia propune includerea securităţii în al şaselea program cadru. Pentru ca această
adăugire să fie optimă, ar trebui legată de o mai largă strategie pentru îmbunătăţirea
securităţii reţelelor şi a informaţiei. Cercetarea din cadrul acestui program ar trebui să
aibă în vedere provocările cheie de securitate şi va focaliza pe mecanisme de securitate de
bază şi pe interoperabilitatea acestora, procese de securitate dinamice, criptografie
avansată, tehnologii de îmbunătăţire a facilităţilor de confidenţialitate, tehnologii de
operare cu obiecte digitale, tehnologii de încredere pentru suportul afacerilor şi funcţii
organizaţionale în sistemele dinamice şi de telefonie mobilă.
- Statele membre ar trebui să promoveze activ folosirea produselor criptografice puternice
şi plug-able. Soluţii de securitate bazate pe criptarea plug-in trebuie să fie disponibile ca o
alternativă la acelea „fixate“ în sistemele de operare.
Acţiuni propuse:
- Organizaţiile de standardizare europene sunt invitate să accelereze lucrul la produse şi
servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate forme noi de
„deliverabile“ şi proceduri pentru a accelera lucrul şi a întări cooperarea cu reprezentanţii
consumatorilor şi angajamentul actorilor pieţei. „Pluggable“ înseamnă că un produs
software de criptare poate fi cu uşurinţă instalat şi făcut complet operaţional în cadrul
sistemelor de operare.
- Comisia va continua să sprijine, mai ales prin programele IST şi IDA folosirea
semnăturii electronice, implementarea de solutii PKI interoperabile şi prietenoase pentru
utilizator şi dezvoltarea pe mai departe a IPv6 şi IPSec (ca în Planul de Acţiune eEurope).
- Statele membre sunt invitate să promoveze folosirea procedurilor de certificare şi
acreditare pe baza standardelor europene şi internaţionale general acceptate, favorizând
recunoaşterea mutuală de certificate. Comisia va evalua nevoia unei iniţiative legale
asupra recunoaşterii mutuale de certificate.
- Actorii de pe piaţa europeană sunt încurajaţi să participe mai activ în activităţi de
standardizare europene (CEN, Cenelec, ETSI) şi internaţionale (Internet Engineering
Task Force (IETF) , World Wide Web Consortium (W3C)).
- Statele membre ar trebui să-şi revadă toate standardele de securitate relevante. Ar putea
fi organizate competiţii împreună cu Comisia pentru metode europene de criptare şi
soluţii de securitate, cu scopul de a stimula standarde acceptate pe plan internaţional.
6.Cadrul juridic. Există mai multe texte legale care influenţează securitatea reţelelor de
comunicaţii şi a sistemelor informatice. Datorită convergenţei reţelelor, problemele de securitate
aduc laolaltă reguli şi tradiţii legale din sectoare variate. Acestea includ telecomunicaţiile
(încorporând toate reţelele de comunicaţie), industria calculatoarelor, Internetul care a
funcţionat mai ales în baza unei abordări „hands off“ (de neintervenţie) şi comerţul electronic
care este din ce în ce mai mult subiectul unei legislaţii specifice. În legătură cu securitatea,
prevederile privind daunele terţilor, infracţionalitatea cibernetică, semnătura electronică, regulile
privind protejarea şi exportul datelor sunt relevante.
Protejarea intimităţii este un obiectiv politic cheie în Uniunea Europeană. A fost recunoscut ca
drept de bază prin articolul 8 al Convenţiei Europene asupra drepturilor omului. Articolele 7 şi 8
ale Cartei Drepturilor Fundamentale ale UE de asemenea stipulează dreptul la respect pentru
viaţa de familie şi privată, cămin, comunicaţie şi date personale. Articolul 5 al Directivei de
Protejare a Datelor în Telecomunicaţii obligă statele membre să asigure confidenţialitatea în
reţelele publice de telecomunicaţii. În plus, la articolul 4 al aceleiaşi Directive se cere
furnizorilor de servicii publice şi reţele să ia măsuri tehnice şi organizatorice pentru a asigura
securitatea serviciilor oferite. Aceste prevederi au implicaţii asupra necesităţilor de securitate ale
reţelelor şi sistemelor informatice folosite de acele persoane sau organizaţii, de exemplu
furnizorii de comerţ electronic. Natura pan-Europeană a acestor servicii şi mai marea competiţie
transfrontalieră duc la o creştere tot mai mare de specificaţii asupra mijloacelor de folosit pentru
a fi în acord cu aceste prevederi.
Programul cadru pentru servicii în telecomunicaţii al UE conţine mai multe prevederi cu privire
la securitatea operaţiilor pe reţea (însemnând disponibilitatea reţelelor în caz de urgenţă) şi
integritatea reţelelor (însemnând asigurarea operaţiilor normale în reţelele interconectate).
Comisia a propus un nou cadru de reguli pentru serviciile de comunicaţii electronice în iulie
2000. Propunerile Comisiei reafirmau în esenţă – deşi cu modificări –prevederile existente în ce
priveşte securitatea şi integritatea reţelelor.
Acţiuni propuse:
-Înţelegerea comună a implicaţiilor legislative ale securităţii în comunicarea electronică
este necesară. Pentru acest scop, Comisia va crea un inventar de măsuri naţionale care au
fost deja luate şi sunt în concordanţă cu legi comunitare relevante.
- Statele membre şi Comisia ar trebui să sprijine în continuare libera circulaţie a
produselor şi serviciilor criptografice, prin o mai mare armonizare al procedurilor
administrative de export şi o mai mare relaxare a controalelor la exporturi.
- Comisia va propune o măsură legislativă în cadrul Titlului VI al tratatului UE pentru
echivalarea legilor penale legate de atacuri împotriva sistemelor de calculatoare,
incluzând hacking-ul şi atacurile de refuz al serviciilor.
Acţiuni propuse:
- Statele membre ar trebui să încorporeze soluţii de securitate informatică eficiente şi
interoperabile, ca o cerinţă de bază în activităţile lor de e-guvernare şi e-procurement.
- Statele membre ar trebui să introducă semnătura electronică la oferirea serviciilor
publice on-line.
- În cadrul e-Comisiei, Comisia va lua o serie de măsuri pentru a întări cererea de
securitate în sistemele sale informatice şi de comunicaţie.
8. Cooperarea internaţională. Aşa cum comunicaţiile prin reţele trec cu uşurinţă graniţele în
fracţiuni de secundă, la fel se întâmplă şi cu problemele de securitate informatică asociate.
Reţeaua este atât de sigură ca şi cea mai slabă verigă a ei, iar Europa nu se poate izola de restul
reţelei globale. În consecinţă, problemele de securitate precizate mai sus cer cooperare
internaţională. Comisia Europeană deja contribuie la munca forurilor internaţionale,cum ar fi G8,
OECD, Naţiunile Unite. Sectorul privat tratează problemele de securitate în organizaţii cum ar fi
Global Business Dialogue (www.GBDe.org) sau Global Internet Project (www.GIP.org). Un
dialog continuu între aceste organizaţii va fi esenţial pentru securitatea globală. Comisia va întări
dialogul cu organizaţiile internaţionale şi cu partenerii săi în ceea ce priveşte securitatea reţelelor
şi, în particular, în ceea ce priveşte interdependenţa crescândă a reţelelor de calculatoare.
9. Securitatea informatică în planul eEurope 2005. Deoarece Societatea Informatizată devine tot
mai importantă atât pentru business cât şi pentru societate, asigurarea securităţii, atât pentru
infrastructura însăşi, cât şi pentru informaţiile care circulă pe ea, reprezintă un punct critic.
Pentru ca Internetul să fie un mediu de încredere al Societăţii Informatizate, trebuie să devină
disponibil, informaţia transmisă sau memorată să fie păstrată confidenţial, trebuie să ne putem
asigura cine este
autorul unei informaţii şi că aceasta nu a fost alterată. Problemele de securitate reduc încrederea
noastră în reţele şi în sistemele informatice şi, odată cu aceasta, reduc nivelul de utilizare a
Internetului, cu toate avantajele sale. Ca urmare, securitatea este elementul cheie al proiecţiilor
Comisiei UE privind Noua Generaţie de Internet şi reprezintă una dintre cele 6 priorităţi politice
ale Planului eEurope 2005.
Asigurarea securităţii informatice nu este numai o provocare pur tehnologică, ci este, în acelaşi
timp, o chestiune dependentă de comportamentul uman şi de cunoştinţele cu privire la ameninţări
şi remedii. UE a dezvoltat deja reguli pentru comunicaţii electronice sigure, aşa cum sunt de fapt
Directiva asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor pentru
comunicaţii electronice.
PRACTICUM
Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest
ansamblu de transformari afecteaza viata fiecaruia dintre noi. Societatea Informatica – Societatea Cunoasterii va
depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere,
transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale
ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara
acestora. Societatea informatica – societatea cunoasterii redefineste problematica si doctrina de aparare nationala;
aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri. Securitatea infrastructurilor
critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune.
“Cunoasterea”, ca atare, va deveni o “arma” de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu
siguranta in societatea deceniilor viitoare.
Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in
pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere
in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si
consecintele negative ale propagarii dezastrelor. Ceea ce se numeste astazi tot mai des pericole cibernetice
(cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica – societate a
cunoasterii.
La sfarsitul anilor ’80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: “scoate din priza
calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate
informatica, pentru a fi asadar vulnerabili”. In etapa noua politica, economica si culturala in care se afla Romania,
este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma “fara a fi
cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economico-
politica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice”. Este, asadar,
numai o chestiune de timp cand se fac afirmatii de un tip sau altul?
2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala – societatea cunoasterii
Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare
reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de
exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies
(companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte). Schimbarile asteptate in
viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se
profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a
informatiei. Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc.
In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine
politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii.
O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a
sistemului de transport feroviar privind transportul substantelor periculoase. Hackerii, cei care din numeroase
motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat
discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a
cunoasterii:
Activitati criminale
Spionaj industrial
Terorism
Razboi informatic.
Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente
de input negativ si stres pentru societatea romaneasca,ca societate informatica – societate a cunostintelor. Bunaoara,
trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor
potential negative ce pot apare in societatea infomatica – societate a cunoasterii, infrastructurile critice ale societatii.
In etapa actuala de proiectare a structurilor societatii informatice – societate a cunoasterii, trebuie accentuat pe
urmatoarele aspecte:
Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si
politicienilor. Noi legi trebuie adoptate si promovate pe masura ce societatea informatica – societate a
cunoasterii demareaza ca un process continuu si ireversibil;
Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate
gradual la necesitatile societale;
Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia
internationala si Europeana;
Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si
managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice –
societatea cunoasterii.
Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de
promovarea societatii informatice – societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie.
In acest sens, este de remarcat faptul ca promovarea societatii informatice – societatea cunoasterii
presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga
continuu spre realizarea acestor deziderate ale societatii informatice – societate a cunoasterii.
Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera
asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice. In orice societate, dar cu
precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care
asigura “linia vietii” (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta. In
societatea informatica – societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni.
Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate – vulnerabilitati cibernetice – si noi
pericole, pericole cibernetice.
Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice – societate a cunoasterii, trebuie sa adopte
noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care si le-au asumat si recentele studii
cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca “ceea ce este extrem de important
este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in
ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la
atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea
economica globala si a bunastarii la nivel national.” Societatea informatica- societatea cunoasterii implica adoptarea
si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde
inamicul potential poate “demola” sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita
militara.
Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii,
in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica –
societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor
critice din Romania. Inainte de a atinge stadiile societatii informatice – societatii cunoasterii, Romania va trebui sa
gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor
de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din
perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a
infrastructurilor existente cu cele specifice societatii informatice – societatea cunoasterii va presupune recunoasterea
si managementul unor vulnerabilitati specifice. Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme,
evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor
complexe, vor avea un rol extrem de important in deceniul viitor.
O concluzie posibila in etapa de demarare a dezideratelor societatii informatice – societatea cunoasterii este aceea ca
analiza de vulnerabilitate si risc trebuie considerate cu precadere. Se afirma recent ca “…a astepta aparitia
dezastrelor este o strategie periculoasa. Acum este timpul pentru a actiona in vedera protejarii viitorului nostru”. In
noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice – societatea
cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta,
securitate si risc.
Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica –
societatea cunoasterii, o serie de aspecte se vor evidentia in continuare:
Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea
deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare
distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice – societatea
cunoasterii
Este necesar sa se construiasca in cadrul societatii informatice – societatea cunoasterii, un sistem de
responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor
critice
Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in
structura generala a societatii in Romania
Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare
Sistemul de legi ale societatii informatice – societatea cunoasterii trebuie sa ia in considerare potentialul de
impact ale pericolelor cibernetice si reglementate in mod corespunzator
Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze
problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate
informatica – societatea cunoasterii.
In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor
critice se impune, ca in conditiile Romaniei, sa se:
Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor
critice
Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind
proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special
Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor
specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice – societatea
cunoasterii din Romania
Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o
activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in
special al infrastructurilor critice si impactul lor la nivel national
Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu
Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel
acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice – societatea cunoasterii, fara
sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania
Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice – societata
cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor
criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA –As Low As Reasonable Acceptable)
Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la
descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care
sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a
infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora
Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei
constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de
securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice
ale societatii informatice –societatea cunoaterii
Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in
Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii
infrastructurilor critice (ex. Fundatia Infosurance 1 in Elvetia).
4.Concluzii
In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si
realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice – societatea
a cunoasterii:
Remarca 1: Managementul riscurilor societatii informatice – societatea cunoasterii necesita, in general, un
parteneriat dedicat intre industrie, Guvern, societate
Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si
raspuns la crize privind disfunctionalitatea infrastructurilor critice
Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice –
societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea
adecvata a efectelor acestora la niveluri diferite ale societatii
Remarca 4: Adoptarea conceptelor “cash and carry security” sau “buy-in security” vor deveni instrumentale in
cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a
elementelor concrete ale societatii informatice – societatea cunoasterii.
Bibliografie
1. *** - Critical Foundations. Protecting America’s Infrastructures. The Report of the President’s Commission
on Critical Infrastrucutre Protection, Washington DC, October 1997
2. *** -
3. *** -
4. *** - Infosurance, Zürich, 2001
1
Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la
scara societatii elvetiene