Documente Academic
Documente Profesional
Documente Cultură
DANIELA POPESCUL
IASI, 2022
Introducere
1 transformarea informațiilor comunicate prin diverse canale într-o formă neinteligibilă pentru adversari, cu
ajutorul unor algoritmi din ce în ce mai specializați și al unor chei de criptare
2 ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016, p. 7
3 ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului, http://www.digi24.ro/stiri/sci-
tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-a-internetului-461286, publicat pe
26.11.2015, accesat pe 03.03.2017
Introducere
să locuim. Dacă pentru lumea fizică folosim soluții testate în timp, în lumea digitală averile și
amenințările au alte caracteristici. Averile informaționale sunt fragile, vulnerabile, deoarece
conținutul digital este independent de suportul său și de aceea greu de “închis”, delimitat,
protejat în mod fizic; informația virtuală poate fi mult mai ușor duplicată, distrusă sau
falsificată.4 În plus, în ciber-spațiu apar noi și noi pericole în fiecare an, cărora noi ca indivizi,
dar mai ales ca angajați în domeniul business, trebuie să învățăm să le facem față. Este important
ca organizațiile să conștientizeze riscurile asociate cu utilizarea tehnologiei și gestionarea
informațiilor și să abordeze pozitiv acest subiect prin instruirea angajaților în așa fel încât ei să
înțeleagă tipologia amenințărilor, riscurilor și vulnerabilităților specifice mediilor informatizate
și să aplice măsuri de securitate adecvate.5
4. Pentru a fi cetățeni mai buni ai lumilor off- și on-line.
A fi un bun cetățean înseamnă a dezvolta comportamente și competențe adecvate societății
contemporane. Astăzi, individul trebuie să se adapteze unei societăți globale, parțial digitale, în
care suntem dispersați geografic, cultural, politic, în care modelele sunt adesea distorsionate, iar
regulile necunoscute. Potrivit prof. Endicott Popovsky (Universitatea din Washington), copiii și
adolescenții cunosc tehnologia mai bine decât adulții și sunt mai înclinați către delictele
cibernetice (plagiat, piraterie, cyberbullying), au încredere exagerată în mediul online6 și acceptă
ușor riscurile pe care le consideră mici în raport cu facilitățile oferite de aplicații/rețea.7 De
aceea, educația în domeniul ciber-eticii și ciber-securității este mai necesară ca oricând.
5. Pentru a fi pregătiți pentru viitor.
Progresul tehnologic (miniaturizarea dispozitivelor, creșterea diversității și capacității canalelor
de comunicare etc.) și adoptarea continuă și ferventă a TIC (tehnologii informaționale și de
comunicații) în toate sectoarele economiei și în viața de zi cu zi sunt tendințele majore ale
momentului. Generația curentă a TIC este una caracterizată de efervescență: Internetul se extinde
încorporând obiecte diverse, altele decât cele prevăzute în mod tradițional cu putere de calcul, tot
mai multe dispozitive devin mobile și portabile, suntem înconjurați de rețele și senzori la
domiciliu, în mașină, la școală și la serviciu, iar platformele de tip Software-as-a-Service și
Cloud Computing fac ca programele informatice să intre în sfera de utilități care până nu demult
conținea doar apa și energia electrică. Granițele dintre spațiul fizic și ciberspațiu se șterg, în timp
ce dependența cetățenilor și organizațiilor de TIC crește. Odată cu multiplicarea amenințărilor și
vulnerabilităților, scade proporțional disponibilitatea serviciilor. Ca urmare, protecția
infrastructurilor critice devine prioritară. Pentru perioada următoare (2020-2030), unii autori8
previzionează că TIC vor fi încorporate în atomi, formând un nou regat attoscopic9, pe lângă cele
vegetale, minerale și animale.
4 Riguidel,
M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John
Wiley&Sons, UK, 2009, p. 171
5 Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii Facultăţii de
În acest context, vestea rea este că trebuie să învățăm să protejăm informațiile valoroase pentru
noi și pentru organizațiile în care lucrăm/vom lucra – , iar vestea bună este că nu trebuie
neapărat să fim experți în calculatoare pentru a ne putea proteja. Ca urmare, scopul acestui curs
este de a înarma viitorii economiști non-tehnici și pe fiecare dintre utilizatorii de calculatoare cu
informațiile de bază de care au nevoie pentru a fi în siguranță în mediul on-line.
Securitatea informațiilor trebuie privită mai degrabă ca un drum decât ca o destinație. Procesul
de asigurare a securității informațiilor nu este neapărat unul costisitor, însă cere atenție, implicare
și pliere pe necesitățile organizației, care trebuie înțelese și definite în mod corect.
Pașii din acest proces pe care îi prezentăm pe parcursul materialului de față sunt:
Succes!
Cuprins
3.1 Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea
demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției
_______________________________________________________________________________ 53
3.2 Ordinul 2634/2015 privind documentele financiar-contabile ___________________________ 54
3.3 Legea 455/2001 privind semnătura electronică ______________________________________ 56
3.4 Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date _____________________________ 59
3.5 Legislația privind dreptul de autor și drepturile conexe _______________________________ 62
3.6 Aplicație _____________________________________________________________________ 65
3.7 Cerințe proiect – partea a 3-a ____________________________________________________ 66
Rezumat ________________________________________________________________________ 66
Bibliografie ______________________________________________________________________ 66
Unitatea de studiu 4 Măsuri administrative de protecție a informațiilor ________________ 68
4.1 Standarde de securitate informațională ____________________________________________ 68
4.2 Politici de securitate informațională _______________________________________________ 70
4.3 Exemple de politici de securitate recomandate ______________________________________ 71
4.3.1 Politica de utilizare a poștei electronice (e-mail) ___________________________________________ 71
4.3.2 Politica “biroului curat” _______________________________________________________________ 73
4.4 Aplicație _____________________________________________________________________ 75
4.5 Cerințe proiect – partea a 4-a ____________________________________________________ 76
Rezumat ________________________________________________________________________ 76
Bibliografie ______________________________________________________________________ 76
Unitatea de studiu 5 Măsuri tehnice de securitate a informațiilor _____________________ 77
5.1 Identificare, autentificare, autorizare, acces ________________________________________ 77
5.2 Criptografia __________________________________________________________________ 80
5.3 Biometria ____________________________________________________________________ 82
5.4 Licențele de utilizare și actualizarea periodică a programelor utilizate ___________________ 86
5.5 Firewall - un străjer la poarta Internetului __________________________________________ 88
5.6 Protecția antivirus _____________________________________________________________ 89
5.7 Realizarea de copii de siguranță și restaurarea datelor – File History și System Restore ______ 93
5.8 Cerințe proiect – partea a 5-a ____________________________________________________ 94
Rezumat ________________________________________________________________________ 95
Bibliografie ______________________________________________________________________ 95
Unitatea de studiu 6 Securitatea informaților în Microsoft Word 2013 _________________ 96
6.1 Realizarea unui document Word pe bază de șablon __________________________________ 96
Cuprins
Este un lucru atât de trist că astăzi există atât de puțină informație inutilă.
Oscar Wilde
10
Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 61
US 1. Resurse informaționale. Securitate informațională
locurilor de stocare;
transportatorilor: echipamente și medii de comunicație (switch-uri, routere, cabluri,
fibră optică, aer etc.);
senzorilor: camere de luat vederi, scannere, OCR (Optical Character Recognition),
cititoare de coduri de bare etc.;
altor dispozitive: dispozitive periferice (imprimante, scannere, camere), dispozitive care
asigură un mediu de lucru adecvat - aer condiționat, încălzire centrală, UPS etc.
Identificați datele stocate, în utilizare și în tranzit pentru situația în care un utilizator solicită,
prin intermediul unui browser Web, încărcarea listei de produse a unui magazin online.
Importanța datelor derivă din faptul că ele stau la baza creării de informații și cunoștințe dintr-o
organizație. Securitatea lor este, însă, relativ ușor de asigurat cu mijloace tehnice, a căror
utilizare în timp a dus la perfecționarea și adoptarea pe scară largă. Recomandarea noastră este
aceea de a nu pierde din vedere informațiile și cunoștințele organizaționale, în al căror ciclu de
viață sunt implicați oamenii mai mult decât mașinile. Este esențial să nu uităm că securitatea
informațiilor este o problemă umană mai degrabă decât una tehnică, iar procesatorii și
depozitarii de informație asupra cărora trebuie să ne focalizăm atenția de cele mai multe ori sunt
oamenii, și nu echipamentele.
Din punct de vedere contabil, evaluatorii11 recunosc drept active necorporale informațiile:
de marketing: mărci; designul comercial (culoarea unică, forma sau designul
ambalajului); titluri de ziare; numele domeniilor de internet sau acorduri de
neconcurență;
legate de clienți sau de furnizori: contracte de publicitate, construcții, management,
servicii sau achiziții; acorduri de licență si redevență; contracte de prestări servicii;
registre de comenzi; drepturi de utilizare, cum sunt dreptul de a fora si a exploata
zăcămintele din subsol, dreptul de a utiliza apa dintr-o sursă de apă, drepturile de survol,
drepturile de exploatare forestieră si dreptul de aterizare sau decolare pe un aeroport;
contractele de franciză; relațiile cu clienții sau listele de clienți;
legate de tehnologii: drepturi de a utiliza tehnologia (brevetată sau nebrevetată), bazele
de date, formulele, proiectele, programele informatice, procesele sau rețetele;
de natură artistică: piese de teatru, cărți, filme si muzică.
Vor exista implicații legale, pierderi de imagine sau financiare, dacă informația nu va
putea fi livrată atunci când este nevoie de ea?
Eficiența operațională va fi afectată dacă informația nu va putea fi accesată cu
ușurință?
Există riscuri asociate informației, ca de exemplu riscul de a o pierde, de a fi eronată sau
aflată de persoane neautorizate? Care vor fi consecințele absenței, lipsei de acuratețe sau
divulgării informației către persoane neautorizate?
Unitățile de informație identificate au un conținut specific, ale cărui sens și utilitate sunt
înțelese? Acest conținut variază sau nu în funcție de contextul în care este folosită
informația?
Informația are un ciclu de viață care poate fi identificat și administrat? Componentele
unității de informație au fost create pentru a servi aceluiași scop? Ele vor fi distruse în
același mod, în conformitate cu aceleași reguli?
Imaginați-vă că lucrați într-un birou de contabilitate din anii 1960, fără nici un fel de
tehnologie digitală13.
Răspundeți la aceleași întrebări luând ca reper un birou de contabilitate din anii 2020.
informația are o utilizare specifică și limitată în timp, care depinde de autor (valabil pentru
planuri de afaceri, previziuni, scrisori către clienți etc.). Uneori, informația rezultă dintr-un efort
al unui grup/departament, sau este transportată și utilizată, indiferent de origine, de mai multe
persoane din organizație (cazul sistemelor Customer Relationship Management, Enterprise
Resource Planning). Aici se încadrează mai ales informațiile contabile și financiare. În acest caz,
cel mai practic este ca organizația să nominalizeze ca responsabil de aceste informații
persoana/departamentul care le folosește cel mai mult, sau care are cel mai mare control asupra
lor. De exemplu, controlorul/auditorul financiar poate fi responsabil de informațiile din sistemul
contabil, iar managerul de vânzări de cele din CRM.
În definiții extinse, celor trei caracteristici care formează triada C.I.A. li se adaugă trăsături ca
validarea prin auditare, autenticitatea, ne-repudierea și respectarea dreptului indivizilor la viața
privată.
Auditul reprezintă examinarea efectuată de un profesionist asupra modului în
care se desfășoară o activitate, prin raportare la criteriile de calitate specifice
acestei activități.15 În centrul auditului stau informațiile referitoare la procese și
fenomene economice. Un sistem sigur trebuie să păstreze „urme” ale tuturor
transformărilor informaționale, în așa fel încât să poată fi cu ușurință auditat.
15
Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura Universităţii
Alexandru Ioan Cuza din Iași, 2013, p. 9
US 1. Resurse informaționale. Securitate informațională
Completați enunțurile de mai jos cu una dintre componentele triadei C.I.A. (Confidențialitate,
Integritate sau Accesibilitate):
Pentru a calcula salariile pe luna în curs, directorul unei firme mici are nevoie de pontajele
angajaților. Orice întârziere în accesarea informațiilor despre pontaje duce la întârzieri în
calculul salariilor și poate provoca nemulțumiri ale personalului. De aceea,
_________________________ pontajelor este foarte importantă.
Pentru o clinică privată de psihiatrie, lista clienților care au apelat la serviciile sale este o
resursă informațională valoroasă. Divulgarea ei către persoane neautorizate ar putea provoca
clinicii prejudicii majore, de imagine și financiare. Prin măsurile luate, listei trebuie să i se
garanteze _____________________________ .
Sumele pe care abonații unei companii de telefonie mobilă i le datorează acesteia sunt o
informație importantă pentru companie, mai ales din perspectiva ___________________. O
eroare nesemnalată sau necorectată, atunci când vine vorba de valori monetare, poate produce
prejudicii părților implicate.
legal, organizatoric sau din punct de vedere al reputație organizaționale). Informațiile din această
categorie au o natură extrem de sensibilă și cer verificări specifice, individuale, înaintea
accesului la ele. Numărul indivizilor care pot avea acces la ele trebuie să fie foarte mic, iar
utilizarea lor se face respectând reguli foarte stricte. Cerințele de protecție ale informațiilor strict
secrete le depășesc pe cele ale informațiilor confidențiale.
Tabelul nr. 1. 1 Clasificarea informațiilor din perspectiva pierderilor provocate în cazul divulgării. Exemple
Sursa: prelucrare după King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001, pp. 43-44
o orarul;
informații despre discipline:
o orarul; programa analitică; cerințe proiect;
o subiectele la examen;
regulamentele universității.
Deși inventarul preliminar prezentat mai sus aduce unele clarificări în procesul de identificare a
averilor informaționale, unul dintre neajunsurile sale este, însă, faptul că tratează informațiile
într-un mod mai degrabă abstract, iar acest lucru nu ajută organizația în luarea de măsuri de
securitate concrete.
De exemplu, dacă discutăm despre subiectele la examen, putem conveni cu ușurință că ele trebuie
păstrate secrete înainte de data examenului. Pentru aceasta, vor trebui supuse securizării:
- procesatorii, adică profesorii care creează subiectele, dar și aplicația software în care ele sunt
editate (care poate fi Microsoft Word, Moodle sau un editor specializat de teste grilă);
- calculatorul pe care ele sunt stocate, stick-ul pe care sunt copiate pentru situația în care
documentul original ar fi afectat, foile de hârtie pe care sunt imprimate în vederea multiplicării,
imprimanta la care sunt listate;
- imaginile captate de camerele de luat vederi din camera în care se face multiplicarea;
- rețeaua prin care circulă fișierul cu subiectele (dacă, de exemplu, este partajat prin e-mail sau
printr-un serviciu de transfer de fișiere de către mai mulți profesori care lucrează împreună la
elaborarea lor) etc.
Reluați exemplul de mai sus (cel cu subiectele de la examen) pentru informații cu care
lucrați la locul de muncă sau pe care le folosiți într-un alt context. Identificați procesatorii,
suporții, transportatorii și senzorii asociați respectivelor informații.
US 1. Resurse informaționale. Securitate informațională
Figura nr. 1. 7 Clasificarea resurselor informaționale din perspectiva confidențialității, integrității și accesibilității
Decizia de clasificare pentru resursa informațională “subiectele la examen” (înainte de susținerea
examenului) a fost luată pe baza următoarelor considerente:
subiectele trebuie să fie strict secrete, deoarece divulgarea lor către persoane neautorizate ar
afecta corectitudinea evaluării studenților;
nivelul de integritate aferent subiectelor trebuie să fie ridicat – ele trebuie să reflecte în mod
corect și cât mai complet materia predată, să nu conțină întrebări sau probleme cu greșeli sau
neadaptate la suportul de studiu, iar împerecherea dintre întrebări și răspunsuri nu trebuie să
fie greșită (în baremul de corectare);
accesibilitatea subiectelor pentru utilizatorii autorizați (profesorul titular și colaboratorii
acestuia) trebuie să fie de asemenea înaltă, în sensul că ei trebuie să le aibă la dispoziție în
timp util în raport cu data și ora susținerii examenului, pentru a nu provoca disfuncționalități
ale activității de evaluare.
Întocmiți asemenea justificări și pentru informații cu care lucrați la locul de muncă sau pe
care le folosiți într-un alt context.
US 1. Resurse informaționale. Securitate informațională
! În proiect, nu precizați denumirea organizației la care faceți analiza sau orice alt
detaliu care să permită identificarea acesteia! Penalizare: 5 puncte din 10.
Rezumat
Unitatea de studiu 1 a tratat:
conceptele de resursă informațională (orice informație care are valoare pentru
organizație) și avere informațională (o resursă informațională cu valoare mare pentru
organizație), atât din perspectivă abstractă, cât și pragmatică (bazată pe identificarea
procesatorilor, suporților, transportatorilor și senzorilor asociați informației);
Bibliografie
1. ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului,
http://www.digi24.ro/stiri/sci-tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-
a-internetului-461286, publicat pe 26.11.2015, accesat pe 03.03.2017
2. Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
3. Chersan, I. C., Auditul financiar de la normele naționale la standardele internaționale, Editura
Universității Alexandru Ioan Cuza din Iași, 2013
4. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
5. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
7. Haeckel, S., ABI WhitePaper. The Development & Application of Organizational Knowledge, la
http://www.senseandrespond.com/downloads/Knowledge_Dev_ABI_Whitepaper_1997.pdf
8. King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001
9. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicații pentru studenții Facultății
de Inginerie, Universitatea din Bacău
10. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress, Iași,
2014
11. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View,
John Wiley&Sons, UK, 2009
12. The UK National Archives, What is an Information Asset?, la http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014
13. University of London, Information Security: Context and Introduction, la
https://www.coursera.org/learn/information-security-data/home/welcome
Unitatea de studiu 2
Amenințări care vizează resursele informaționale ale
organizațiilor
Riscul este consecința interacțiunii între resursele informaționale și amenințări sau potențialul
unei anumite amenințări de a exploata vulnerabilitățile unei resurse informaționale și de a-i
provoca prejudicii.
Siemens) sau Duqu, atacurile cibernetice globale cauzate de bătăliile între autorii de viruși sunt la
ordinea zilei, frigiderele expediază spam, hacker-ii atacă institutele de cercetări spațiale, iar
Wikileaks publică documente naționale și internaționale până nu demult strict-secrete.
Conștienți că pericolele de mai sus pot părea îndepărtate și improbabile pentru un antreprenor
sau un angajat român implicat în afaceri dintre cele mai non-hollywood-iene, aducem în atenție
un inventar succint al amenințărilor posibile într-o organizație contemporană, împărțite în trei
mari categorii16:
factori naturali și condiții de mediu care afectează informațiile;
incidente de diverse tipuri (erori umane, defecțiuni tehnice, probleme ale software-
ului);
atacuri informatice și non-informatice.
16
Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
17
***, Arhiva școlii din Moisei a fost inundată, 1.08.2008, la http://www.informatia-zilei.ro/sm, accesat la
13.03.2014
18 Nedelcu, C., Inundaţii în Arhiva Judecătoriei, 27.07.2010, la http://www.ziaruldeiasi.ro/local/inundatii-in-
inundate/
US2. Amenințări care vizează resursele informaționale
Figura nr. 2. 2 Hărți de hazard și risc la inundații (sus în ansamblu, jos în detaliu)
Sursa: http://gis2.rowater.ro:8989/flood/
Figura nr. 2. 3 Limite ale conținutului de particule și gaze din aer pentru camera serverului IBM System x3100 M4
Type 2582, preluate din standardul ASHRAE
Sursa: http://content.etilize.com/user-manual/1022694445.pdf
... există o organizație tehnică non-profit, specializată în tehnologii de răcire, numită
„American Society of Heating, Refrigerating and Air-Conditioning Engineers”, sau
ASHRAE, cu site-ul la: http://www.ashrae.org/, al cărei comitet tehnic nr. 9.9
US2. Amenințări care vizează resursele informaționale
În 2016, principalul centru de date al ING Bank din București a fost grav afectat în timpul unui test
de rutină de stingere a incendiilor. Centrul a fost deconectat timp de aproximativ 10 ore după ce un
zgomot extrem de puternic a fost emis în timpul exercițiului, ceea ce a determinat zeci de hard disc-
uri ale băncii să fie grav compromise. Site-ul băncii a fost de asemenea offline și mai multe
tranzacții financiare au fost afectate în weekend. Deteriorarea a fost cauzată de un sunet puternic,
de peste 130 de decibeli, care a fost emis la eliberarea de gaz inert în timpul testului.20
20
Ashok, I., A Loud Noise Shut Down ING Bank's Main Data Centre in Bucharest for 10 Hours, Intenrational
Business Times, la https://www.ibtimes.co.uk/loud-noise-shut-down-ing-banks-main-data-centre-bucharest-
10-hours-1580799, publicat pe 14.09.2016, accesat pe 3.02.2020
21 Prelucrare după Oprea, D., Op. cit.
22 ***, Pierderea laptopului, de 100 de ori mai scumpă decât valoarea sa, 29.04.2009, la
http://www.ziare.com/internet-si-tehnologie/internet/pierderea-laptopului-de-100-de-ori-mai-scumpa-decat-
valoarea-sa-734799, accesat la 16.08.2012
US2. Amenințări care vizează resursele informaționale
23
Oprea, D., Op. cit.
24 ENISA 2016, Op. cit.
25
ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018, p. 71
US2. Amenințări care vizează resursele informaționale
- parolele slabe sau folosirea acelorași parole pentru aplicații diferite (56%),
- dispozitivele TIC neblocate (44%),
- practica de a împărtăși parolele cu colegii (44%) și
- folosirea rețelelor WiFi nesecurizate (32%).
De asemenea, studiul a arătat că principalul motiv care face organizațiile vulnerabile este alocarea
de privilegii exagerate angajaților.
Din punct de vedere hardware, cazul Galaxy Note 726 a fost capul de afiș în 2016, cu peste 100 de
cazuri de explozii ale bateriei înregistrate, dintre care unele cu efecte foarte serioase: intoxicații la
plămâni ale utilizatorilor, mașini în flăcări – ne putem imagina ușor și dispariția datelor din
memoria phabletei.
Pe 26 martie 2016, o actualizare a software-ului a fost cauza probabilă a distrugerii telescopului
japonez cu raze X Hitomi, lansat pe orbita Pământului. Valoarea aparaturii distruse a fost de 286
milioane de dolari.27
26
Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-sua/, 13.09.2016,
accesat la 12.03.2017
27 Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat pe 2.05.2016,
la https://hackaday.com/2016/05/02/software-update-destroys-286-million-japanese-satellite/#comments,
accesat la 3.02.2020
28 Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 2
29 Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John
31
Marinos, L., ENISA Threat Landscape 2013 - Overview of Current and Emerging Cyber-Threats, 11
December 2013, la https://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats, accesat la 8
octombrie 2014, p. 2
32 Calder, A., Op. cit., p. 3
US2. Amenințări care vizează resursele informaționale
La celălalt capăt al spectrului de periculozitate, găsim virușii care au scopul de a ataca sistemele
industriale.
Stuxnet33, prima „super-armă cibernetică” din lume, a fost construit cu scopul de a ataca centrala
nucleară iraniană de la Busehr, de a prelua controlul circuitelor din interiorul acesteia și de a cauza
pagube materiale. Stuxnet este un atac informatic care se răspândește pe calculatoare pe care este
instalat sistemul de operare Windows, a fost descoperit în luna iunie a anului 2011 de o firmă din
Belarus numită Virus Blok Ada și este primul virus de calculator care are rolul de a spiona și de a
reprograma sistemele industriale. El a fost scris pentru a ataca sistemele de control și achiziție a
datelor folosite pentru controlul și supravegherea proceselor industriale. Stuxnet are capacitatea de
a reprograma controlerele programabile (super computere care gestionează procesele automate
dintr-o fabrică) și de a ascunde modificările efectuate. El funcționează astfel:
1. virusul pătrunde în calculatoarele cu sistemul de operare Windows prin stick USB. Fiind în
posesia unui certificat digital contrafăcut, păcălește mecanismele de auto-detectare instalate în
sistem;
2. se transmite apoi din calculator în calculator prin metoda peer-to-peer;
3. se comportă diferit în funcție de tipul de computer pe care l-a infectat - dacă nu este un computer
care coordonează procese industriale, desfășoară doar activități de multiplicare pentru a răspândi
infecția;
4. dacă ajunge pe un calculator industrial, caută conexiuni la dispozitivele digitale de coordonare a
proceselor industriale. Sunt vizate dispozitive care controlează un sistem centrifug de mare viteză,
folosit pentru îmbogățirea combustibilului nuclear;
33
***, Stuxnet – virusul care ar putea declanșa cel de-al treilea Război Mondial, la http://stiri.acasa.ro/auto-
tehno-190/it-c-191/stuxnet-virusul-care-ar-putea-declansa-cel-de-al-treilea-razboi-mondial-144970.html,
26.11.2010, accesat la 2.09.2012, Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-cibernetic-foarte-
sofisticat-si-unic-in-lume/, 27.01.2011, accesat la 5.09.2012, Kushner, D., The Real Story of Stuxnet, 2013,
IEEE Spectrum, http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet, accesat la 21.05.2014
US2. Amenințări care vizează resursele informaționale
34
Conform datelor de pe site-ul radio-ului “Vocea Rusiei”, http://romanian.ruvr.ru/2012_11_26/95981330/,
accesat 6.12.2013
35 Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-things-devices/,
accesat la 21.05.2014
US2. Amenințări care vizează resursele informaționale
Ransomware înseamnă software cu intenții rele răspândit prin fișierele atașate la e-mail-urile
deschise de utilizatorii inocenți pe calculatoarele de la locul de muncă sau de la domiciliu sau
prin reclamele de pe site-uri infectate. Acest tip de atac are următorul modus operandi: în primă
fază, o aplicație de tip troian contactează un server de comandă și control de unde descarcă
fișierele necesare operării. După activare, ransomware blochează accesul utilizatorilor la
sistemul informatic respectiv până când aceștia plătesc o răscumpărare (ransom în engleză) către
o terță entitate.
Există trei variante cunoscute de ransomware:
1. cele care cer utilizatorilor să trimită un SMS cu un anumit cod la un număr de telefon cu
suprataxă. Pe baza codului trimis, se primește un altul, care îi permite utilizatorului să
deblocheze calculatorul. Răscumpărarea constă în taxarea suplimentară la trimiterea
SMS-ului;
2. cele care blochează ecranul calculatorului cu o imagine ce pare a veni din partea unei
autorități guvernamentale cu atribuții în combaterea pirateriei online. Utilizatorul este
anunțat că trebuie să plătească o amendă substanțială pentru faptul că a piratat conținut
online. Acesta este instruit să trimită o anumită sumă de bani printr-un serviciu de
transfer de bani. Secvența de deblocare se obține prin trimiterea pe o anumită adresă de e-
mail a codului de transfer pentru suma respectivă de bani;
În România, la sfârșitul anului 2012, a circulat un virus denumit Poliția Română, mascat sub forma
unei scrisori de la Poliție, care avertiza asupra faptului că PC-ul destinatarului a fost blocat „din
cauza ciberactivității nesancționate“. O revenire a lui s-a înregistrat în luna ianuarie a anului 2014,
când virusul s-a folosit de vulnerabilitățile din Java pentru a infecta calculatoarele. Partea
inteligentă a acestui virus este faptul că a fost tradus în mai multe limbi și poate fi mascat ușor,
chiar dacă este controlat de pe un singur server din afara țării. Utilizatorii atacați au declarat că nu
răscumpărarea a fost problema, ci faptul că dacă nu se intervenea rapid virusul prelua controlul
asupra calculatorului. Cu toate acestea, la nivel global s-au pierdut 1,5 milioane de dolari din
răscumpărări în trimestrul 3 al lui 2012, potrivit datelor firmei Symantec . 36
36
Andriescu, V., Pericolul din adâncuri: virușii anului 2013, la http://adevarul.ro/tech/gadget/pericolul-adancuri-
US2. Amenințări care vizează resursele informaționale
3. cele care utilizează funcțiile criptografice incluse în sistemul de operare pentru a cripta
fișierele utilizatorului (documente, fotografii etc.). Cheia de decriptare, care asigură
accesul la date, poate fi obținută prin plata unei răscumpărări prin metode similare celor
din varianta precedentă.
CryptoLocker, prezentat în figura nr. 2.6, pretinde 300 de USD, în Bitcoin sau printr-un voucher pre-
plătit, pentru decriptarea fișierelor personale ale utilizatorului.
Tot recompense financiare vizează și troianul Beta Bot. El este un malware bancar, rafinat pentru a
viza comerțul electronic și protejat împotriva măsurilor de securitate obișnuite. Beta Bot a atacat
instituții financiare mari, site-uri de tip rețea de socializare, platforme de plată, comercianți cu
amănuntul on-line, platforme de jocuri, furnizori de webmail și FTP. Modalitatea de infectare este
un click pe o reclamă-capcană.
După infectare, utilizatorii vor fi în imposibilitatea de a ajunge la orice antivirus întrucât în
momentul când încearcă aceasta, vor fi redirecționați către o adresă IP impusă de atacator. Troianul
transmite datele furate într-o bază de date MySQL, descarcă alte fișiere malware și controlează de la
distanță PC-ul infectat, înșelând utilizatorii prin tranzacții bancare false37.
2.4.3 Rootkit-uri
Termenul rootkit face referire la programul utilizat pentru modificarea sau simularea funcțiilor
de bază ale unui sistem de operare, dând posibilitatea unui atacator să acceseze un sistem
38
***, Rootkits – prezentare, mod de funcţionare, detecţie, la http://www.techtorials.ro/2010/04/09/rootkits-
prezentare-mod-de-functionare-detectie/, 4.09.2013
39 ***, Rootkit Levels Are Down, But That Won't Last for Long, 26.06.2014, la http://www.infosecurity-
asupra unor ținte civile sau guvernamentale.40 Botnets transmit spam, malware, reclame
frauduloase etc. Sunt făcute de comunități puternice și inteligente de hacker-i, care schimbă între
ele codurile-sursă.
În 2012, botnet-ul Flashback a reușit să infecteze aproximativ 600.000 de calculatoare Apple. În
2015, aproape 100.000 de site-uri care utilizează platforma Wordpress au fost încorporate într-o
rețea botnet care lansează atacuri de tip DDoS, iar pentru compromiterea site-urilor atacatorii au
utilizat o vulnerabilitate a securității din codul platformei pe care aceasta funcționează.41
Necrus, o rețea doborâtă în 2015, a fost re-pusă în funcțiune în 2016, generând cantități foarte
importante de spam. Tendința anului 2016 a fost apariția botnet-urilor IoT, mai ales pentru atacuri
DDoS. Și botnet-urile, ca și malware, sunt îndreptate spre câștiguri monetare.42
2.4.5 Spyware
Programele software de tip spyware sunt folosite pentru a colecta și trimite informații din
calculatorul victimei către o bază de date sau către calculatorul infractorului. Informația colectată
poate fi folosită în mod fraudulos pe Internet, cel mai des pentru achiziționarea de produse sau
servicii.
Programele spion sunt instalate în calculator fără știrea utilizatorului, cu scopuri ca: determinarea
preferințelor comerciale ale celui spionat (prin analiza cookie-urilor stocate în calculator în urma
vizitei pe diverse site-uri) și „țintirea” lui ulterioară cu reclame adecvate profilului său de
cumpărător, modificarea rezultatelor afișate de motoare de căutare ca Google sau Bing, pentru a
aduce între primele pagini afișate de acestea site-uri care vând produse scumpe, folosirea puterii
procesorului pentru execuția unor sarcini de lucru ale atacatorului. Simptomul principal al
infectării cu spyware este încetinirea vitezei de lucru a calculatorului.
Un grup de activiști online (“hacktiviști”), au susținut în 2011 că au interceptat un troian care era
utilizat de guvernul german pentru a spiona suspecții în diverse cazuri. Aplicația controlează partea
hardware a computerului și poate activa microfonul sau camera video atunci când autoritățile au
nevoie. Hackerii spun că aplicația permite însă și plantarea de dovezi false de la distanță pe orice
computer. FinFisher, un spyware vândut de Gamma Group (din Marea Britanie), poate executa fără
niciun avertisment controlul de la distanță al unui calculator, copierea fișierelor, interceptarea
apelurilor Skype și a fiecărei apăsări de tastă făcută de utilizator. Primul atac al acestui spyware a
fost descoperit în februarie 2011, în Egipt, iar în decembrie WikiLeaks a publicat un video de
atenționare despre cum poliția ar putea planta FinFisher pe un calculator țintă. 43
Potrivit site-ului cert.ro, cercetătorii au surprins multiple aplicații pentru camera dispozitivelor
Android spionând utilizatorii. Conform raportului44, echipa CyberNews a identificat în jur de 30 de
40
***, Ce înseamnă Botnet?, la http://despretot.info/2012/10/ce-inseamna-botnet/, 13.10.2012, accesat la
12.06.2013
41
Centrul Naţional De Răspuns La Incidente De Securitate Cibernetică, Ameninţări generice la adresa securităţii
cibernetice, la http://www.cert-ro.eu/files/doc/826_20140311080332027933600_X.pdf, accesat la 5.04.2014, p. 9
42
ENISA 2016, Op. cit., p.34
43
Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma, http://www.bloomberg.com-
/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma.html, 25.06.2012, accesat la
12.06.2013
44
Hashim, A., Popular Android Camera Apps Found Spying On Users, publicat pe 21.01.2020 la:
https://latesthackingnews.com/2020/01/21/popular-android-camera-apps-found-spying-on-users/, accesat la
3.02.2020
US2. Amenințări care vizează resursele informaționale
aplicații, descărcate de milioane de ori. În urma investigațiilor s-a descoperit că aceste aplicații
solicitau permisiuni de acces la date cu caracter sensibil precum acces la contacte, localizare GPS,
localizare prin intermediul celulei de telefonie mobile, cât și permisiuni de citire și scriere de fișiere,
toate acestea în plus pe lângă permisiunile standard de acces la microfonul și camera acestuia. 45
45
Meyer, B, These Camera Apps with Billions of Downloads Might be Stealing your Data and Infecting You
with Malware, publicat pe 15.01.2020 la https://cybernews.com/security/popular-camera-apps-steal-data-
infect-malware/, accesat la 3.02.2020
46 Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016, p. 32
US2. Amenințări care vizează resursele informaționale
blocarea conexiunii dintre utilizatorul bine intenționat și calculatorul atacat, astfel încât
acesta să nu mai poată comunica.
Cel mai mare atac DDoS al anului 2011 a avut loc în Asia. El a durat aproape opt zile și a inclus patru
valuri succesive de flood (inundare cu pachete de date), între 5 și 12 noiembrie. La atac au
participat 250.000 de computere infectate cu malware, multe dintre ele aflate în China. În
momentul culminant, acestea au realizat 15.000 de conexiuni pe secundă la platforma de e-
commerce a firmei atacate, traficul atingând un nivel de 45 Gbps.47
Conform raportului ENISA Threat Landscape din 2013, principalele motivări ale atacurilor de tip
DOS sunt vandalismul și înșelăciunea.48 Destinațiile sunt foarte variate: site-ul guvernului georgian,
iranian, serverul Departamentului de Finanțe al guvernului irlandez, serverele de jocuri Counter-
Strike, rețelele de socializare Facebook, Twitter, Livejournal, Google în 6 august 200949.
În 2016, DDoS a fost unul dintre canalele principale folosite pentru a lansa atacuri în mod repetat.
73% din organizații au suferit un atac DDoS.50 Cele mai vizate sectoare au fost industria jocurilor,
software și tehnologie, retail, turism, finanțe.51 Cel mai mare atac DDoS al anului 2016 a implicat
inclusiv camere de supraveghere52. Sub comanda unui troian care a orchestrat acest atac, o rețea
uriașă de dispozitive IoT (în număr de 150000 camere de supraveghere și aparate DVR – Digital
Video Recording) și routere a focalizat mai mult de 1TB de date către un site francez de Web
hosting, ovh.com. Ulterior, același mecanism a fost folosit pentru a indisponibiliza o serie de alte
site-uri, printre care Twitter și Spotify.53 Există îngrijorări potrivit cărora un atac de o magnitudine
atât de mare ar putea deveni o amenințare serioasă pentru întregul Internet.54
2.4.7 Spam
Termenul spam desemnează mesaje electronice nesolicitate, trimise în masă și în mod automat
către un număr mare de utilizatori, fără ca aceștia să aibă posibilitatea de a se opune primirii lor.
Conținutul mesajelor de tip spam se referă adesea la produse și servicii mai mult sau mai puțin
dubioase.
Mesajele de tip spam se disting prin caracterul agresiv, repetat și prin privarea dreptului la
opțiune. Deși nu sunt atacuri informatice per se, mesajele spam pot conține malware. Mesajele
spam se folosesc și pentru colectarea de adrese de e-mail, de obicei vândute către alți furnizori de
spam.55
Un atac inedit de tip spam s-a produs între 23 decembrie 2013 și 6 ianuarie 2014. Au fost trimise
peste 750.000 de mail-uri de tip spam și peste 100.000 de dispozitive inteligente au fost afectate,
47
http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-2011/
48
ENISA (European Union Agency for Network and Information Security), ENISA Threat Landscape 2013,
http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape-
2013-overview-of-current-and-emerging-cyber-threats, decembrie 2013, accesat la 31.05. 2014
49 http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
50 https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
51 https://content.akamai.com/PG6852-q2-2016-soti-security.html
52 http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-biggest-
ddos-attack-ever-1329480
53 https://www.rt.com/news/363642-websites-outage-ddos-attack/
54 ENISA 2016, Op. cit., p. 32
55 Centrul Naţional De Răspuns La Incidente De Securitate Cibernetică, Ameninţări generice la adresa
printre care router-e, televizoare și ... un frigider. Mai mult de 25% din mesajele spam, au fost
expediate de pe dispozitive inteligente, altele decât calculatoare sau smartphone-uri56.
Într-un alt atac, posesorii de ID-uri Apple au fost înștiințați că au câștigat un App Store Gift Card în
valoare de 200$ și că trebuie să acceseze link-ul atașat de mail pentru a descărca fișierul cu codul
acelui Gift Card57. În realitate, fișierul era infestat cu malware și viza furtul datelor personale și
financiare ale utilizatorilor.
56
http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/, accesat la 18 iunie 2014
57http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-pentru-a-infecta-
05.04.2014
US2. Amenințări care vizează resursele informaționale
La începutul anului 2011, presa scria că 2% dintre români au pierdut bani în urma atacurilor de tip
phishing.59 Apoi, atacurile în forma clasică au scăzut în intensitate, mai ales ca urmare a introducerii
de metode de dublă autentificare de către instituțiile bancare, dar au proliferat înșelăciunile
similare făcute prin telefon (unde relația care se stabilește cu victima este mult mai personală).
În luna martie a anului 2014, rețeaua de socializare LinkedIn a fost ținta unui atac de tip phishing.
Acest tip de atac s-a desfășurat printr-o campanie de e-mail trimis în masă, folosind ca temă ziua de
Sfântul Patrick. Mesajul promitea utilizatorilor accesul la un cont premium gratuit. Dacă aceștia
apăsau pe link-ul care trimitea la activarea contului, datele le erau capturate de atacatori, care
foloseau o pagină Web foarte asemănătoare cu cea originală LinkedIn.60
În 2016, s-a înregistrat o diversificare a metodelor de a ținti victimele și o creștere a calității
atacurilor. Profilurile victimelor au fost construite folosind informații din Social Media privind
comportamentul și locul de muncă. Combinația phishing + ransomware a cunoscut o creștere de
800% în primul semestru din 2016 comparativ cu ultimul trimestru din 2015. În medie, circa 30%
dintre mesajele phishing au fost deschise de destinatari. 12% dintre cei vizați au dat click pe link-ul
din mesaj, infectându-și sistemul. Numărul brandurilor atacate a fost de aproximativ 400, iar pentru
fiecare brand s-au folosit circa 350-400 URL-uri false. Cele mai menționate companii în atacurile de
tip phishing au fost Microsoft, Facebook și Yahoo.61
Pharming este un tip de atac ce are la bază tehnici folosite în cadrul phishing-ului, dar este mai
sofisticat. Pharmer-ii trimit, de asemenea, e-mail-uri cu conținut rău-intenționat. Diferența constă
în faptul că utilizatorul poate fi înșelat de către pharmer fără a deschide un atașament e-mail sau
a activa un hyperlink. Mesajul e-mail primit, odată deschis, determină instalarea unui program
software pe calculatorul utilizatorului. Ulterior, în cazul în care consumatorul încearcă să viziteze
un site oficial vizat de atacator, programul software redirecționează browser-ul la versiunea falsă
a site-ului respectiv. În acest fel, pharmer-ul captează informațiile financiare pe care utilizatorul
le introduce în site-ul contrafăcut.
Pharming-ul este mai sofisticat și necesită cunoștințe avansate, cu care atacatorii schimbă pe
server-ele DNS legătura dintre URL-ul site-ului atacat și site-ul original, nemaiavând nevoie de
înșelătoria descrisă anterior.
59
http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-pierdut-bani-in-urma-
atacurilor-de-tip-phishing-1073932
60 http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-phishing
61 ENISA 2016, Op. cit., pp. 38-39
US2. Amenințări care vizează resursele informaționale
sisteme. Victor Faur a fost condamnat la 16 luni de închisoare cu suspendare și la plata unor
despăgubiri în valoare de 238.000 de dolari.64
Un alt hacker român care a reușit să atace serverele NASA, ale Armatei Statelor Unite și
Pentagonului este Cernăianu Manole Răzvan, cunoscut în mediul cibernetic ca TinKode. Astfel, el a
obținut informații confidențiale pe care ulterior le-a postat pe blogul său făcându-le publice.
Totodată acesta a conceput o aplicație pe care o vindea pentru suma de 150 de dolari, împreună cu
alte coduri de acces și date ce permiteau accesul la respectivele sisteme informatice. TinKode a
susținut că nu a avut un scop distructiv, ci a urmărit prin acțiunile sale descoperirea breșelor de
securitate, tocmai pentru a ajuta organizațiile, acest lucru fiind un hobby pentru el. În urma acestui
hobby, TinKode s-a ales cu 3 luni de arest, 2 ani de închisoare cu suspendare și cu plata unei amenzi
de 123.950 de dolari.65
Printre acțiunile minore ale hacker-ilor se numără trimiterea de e-mail-uri în numele organizației,
modificarea unor informații de pe site-ul organizațiilor sau lăsarea pe servere a unor mesaje prin
care să informeze că au fost „în vizită”. Hacker-ii ce urmăresc câștigul financiar nu se limitează
doar la aceste intervenții, ci ajung la infracțiuni ca furtul unei idei de produs, al banilor din cont
sau al unor baze de date valoroase.
Rețineți că, în ciuda caracterului extrem de spectaculos al atacurilor prezentate anterior, în 2016,
60% din totalul incidentelor de securitate au fot provocate de angajați.66 Identificarea
breșelor făcute de insider-i și protecția împotriva lor sunt foarte dificile, în principal pentru că
majoritatea incidentelor sunt descoperite după luni sau chiar ani.
64
Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-Hacker-97660.shtml,
accesat la 25.03.2014
65 Veress, R., Abia eliberat din închisoare, hackerul român care a spart reţelele NASA și Pentagonului și-a
Incidența acestor amenințări în raport cu resursele informaționale ale unei organizații poate fi
analizată într-o matrice similară celei din figura nr. 2.12, în care pe linii se află resursele
informaționale, iar pe coloane amenințările. În căsuțele care rezultă din intersecția liniilor și
coloanelor, se va introduce numărul de cazuri în care un anumit pericol poate fi atașat unei
resurse informaționale particulare. Acolo unde acest număr este mai mare decât pragul acceptat
în organizație, se vor întocmi rapoarte de analiză suplimentare.
! În proiect, nu precizați denumirea organizației la care faceți analiza sau orice alt
detaliu care să permită identificarea acesteia! Penalizare: 5 puncte din 10.
Rezumat
Unitatea de studiu 2 a tratat categoriile de amenințări la care pot fi expuse resursele
informaționale ale unei organizații. Au fost descrise, însoțite de numeroase exemple:
dezastrele naturale și condițiile improprii de mediu;
erorile umane, hardware și software;
viruși, viermii și caii troieni;
rootkit-urile;
US2. Amenințări care vizează resursele informaționale
Bibliografie
1. ***, Arhiva școlii din Moisei a fost inundată, 1.08.2008, la http://www.informatia-zilei.ro/sm,
accesat la 13.03.2014
2. ***, Ce înseamnă Botnet?, la http://despretot.info/2012/10/ce-inseamna-botnet/
3. ***, Pierderea laptopului, de 100 de ori mai scumpă decât valoarea sa, 29.04.2009, la
http://www.ziare.com/internet-si-tehnologie/internet/pierderea-laptopului-de-100-de-ori-mai-
scumpa-decat-valoarea-sa-734799
4. ***, Ransomware. Definiție, la http://despretot.info/2013/03/ransomware-definitie/,
01.03.2013
5. ***, Rootkit Levels Are Down, But That Won't Last for Long, 26.06.2014, la
http://www.infosecurity-magazine.com/view/39045/rootkit-levels-are-down-but-that-wont-
last-for-long/
6. ***, Rootkits – prezentare, mod de funcționare, detecție, la
http://www.techtorials.ro/2010/04/09/rootkits-prezentare-mod-de-functionare-detectie/,
4.09.2013
7. ***, Stuxnet – virusul care ar putea declanșa cel de-al treilea Război Mondial, la
http://stiri.acasa.ro/auto-tehno-190/it-c-191/stuxnet-virusul-care-ar-putea-declansa-cel-de-al-
treilea-razboi-mondial-144970.html
8. Andriescu, V., Pericolul din adâncuri: virușii anului 2013, la
http://adevarul.ro/tech/gadget/pericolul-adancuri-virusii-anului-2013-
1_5129078e00f5182b8595d62d/index.html, 23.02.2013
9. Ashok, I., A Loud Noise Shut Down ING Bank's Main Data Centre in Bucharest for 10
Hours, Intenrational Business Times, la https://www.ibtimes.co.uk/loud-noise-shut-down-
ing-banks-main-data-centre-bucharest-10-hours-1580799, publicat pe 14.09.2016
10. Brook, C., New Beta Bot trojan skilled at attacking banks, ecommerce platforms, la
30,.05.2013, la http://threatpost.com/new-beta-bot-trojan-skilled-at-attacking-banks-
ecommerce-platforms/
11. Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
12. Centrul Național De Răspuns La Incidente De Securitate Cibernetică, Amenințări generice la
adresa securității cibernetice, pag. 11, http://www.cert-ro.eu/articol.php?idarticol=826
13. Centrul Național De Răspuns La Incidente De Securitate Cibernetică, Amenințări generice la
adresa securității cibernetice, la http://www.cert-
ro.eu/files/doc/826_20140311080332027933600_X.pdf
14. cert.ro, Centrul Național De Răspuns La Incidente De Securitate Cibernetică,
https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018
15. Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-
Hacker-97660.shtml
16. Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-
cibernetic-foarte-sofisticat-si-unic-in-lume/, 27.01.2011
17. ENISA (European Union Agency for Network and Information Security), ENISA Threat
Landscape 2013, http://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats,
decembrie 2013
18. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
19. ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018
US2. Amenințări care vizează resursele informaționale
20. Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-
things-devices/
21. http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-
2011/ Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
http://www.bloomberg.com-/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-
spyware-of-gamma.html
22. http://ro.wikipedia.org/wiki/%C3%8En%C8%99el%C4%83ciune_electronic%C4%83
23. http://romanian.ruvr.ru/2012_11_26/95981330/
24. http://romaniateiubesc.stirileprotv.ro/emisiuni/2013/sezonul-1/hackerville-romanesc-iii-
iceman-hackerul-roman-care-a-spart-25-de-servere-ale-nasa-are-doar-9-clase-cum-a-devenit-
romania-patria-hotilor-virtuali.html
25. http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
26. http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/
27. http://www.furtdeidentitate.ro/furtul-de-identitate/semne-de-avertizare/
http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-
phishing http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-
pierdut-bani-in-urma-atacurilor-de-tip-phishing-1073932
28. http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-
pentru-a-infecta-posesorii-de-apple-id-uri/, 9.08.2013
29. http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-
biggest-ddos-attack-ever-1329480
30. https://content.akamai.com/PG6852-q2-2016-soti-security.html
31. https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
32. https://www.rt.com/news/363642-websites-outage-ddos-attack/
33. Kaspersky Lab, What is Beta Bot?, la http://usa.kaspersky.com/internet-security-
center/definitions/beta-bot#.U9ImQ-N_uYA, accesat 23.06.2014
34. Kushner, D., The Real Story of Stuxnet, 2013, IEEE Spectrum,
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
35. Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat
pe 2.05.2016, la https://hackaday.com/2016/05/02/software-update-destroys-286-million-
japanese-satellite/#comments
36. Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, la
http://www.ziaruldeiasi.ro/local/inundatii-in-arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014
37. Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
38. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress,
Iași, 2014
39. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific
View, John Wiley&Sons, UK, 2009
40. Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
http://www.bloomberg.com-/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-
spyware-of-gamma.html, 25.06.2012
41. Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-
sua/, 13.09.2016
42. Trcek, D., Managing Information Systems Security and Privacy, Springer, Berlin, Heidelberg,
2006
43. Veress, R., Abia eliberat din închisoare, hackerul român care a spart rețelele NASA și
Pentagonului și-a făcut cont pe rețelele de specialitate, 2012, la adresa
http://jurnalul.ro/stiri/observator/tinkode-eliberare-inchisoare-cont-hacker-nasa-pentagon-
625444.html#
Unitatea de studiu 3
Aspecte juridice privind securitatea informațională
Privacy is dead, and Social Media holds the smoking gun. (Intimitatea a murit, împușcată de Social Media)
Pete Cashmore, director executiv Mashable
67
https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
US3. Aspecte juridice privind securitatea informațională
sold; editarea a două sau a mai multor documente de același tip, cu același număr și conținut
diferit de informații în cadrul aceluiași exercițiu financiar;
p) să permită suprimarea unui cont care nu are înregistrări pe parcursul a cel puțin 2 ani (exerciții
financiare), în mod automat sau manual;
q) să prevadă în documentația produsului informatic modul de organizare și tipul sistemului de
prelucrare: monopost sau multipost; monosocietate sau multisocietate; rețea de calculatoare;
portabilitatea fișierelor de date;
r) să precizeze tipul de organizare pentru culegerea datelor: preluări pe loturi cu control ulterior;
preluări în timp real cu efectuarea controlului imediat; combinarea celor două tipuri;
s) să permită culegerea unui număr nelimitat de înregistrări pentru operațiunile contabile;
t) să posede documentația tehnică de utilizare a programelor informatice necesară exploatării
optime a acestora;
u) să respecte reglementările în vigoare cu privire la securitatea datelor și fiabilitatea sistemului
informatic de prelucrare automată a datelor.
Arhivele pe suport magnetic trebuie actualizate periodic pentru a asigura accesibilitatea datelor.
Sortați criteriile a-u de la punctul 58 din Ordinul nr. 2634/2015 privind documentele
financiar-contabile68 în funcție de trăsătura de securitate informațională pe care o
asigură respectarea lor.
…
68
https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
US3. Aspecte juridice privind securitatea informațională
documentului, semnarea contractelor prin click, în urma lecturii unei serii de condiții ale
vânzătorului ce intră în vigoare odată cu apăsarea butonului de acceptare a contractului etc.69
69
Airinei, D. și colab, Op. cit., p. 251
US3. Aspecte juridice privind securitatea informațională
d) datele de creare a semnăturii să poată fi protejate în mod efectiv de către semnatar împotriva
utilizării acestora de către persoane neautorizate;
e) să nu modifice datele în formă electronică, care trebuie să fie semnate, și nici să nu împiedice
ca acestea sa fie prezentate semnatarului înainte de finalizarea procesului de semnare.
Necesitatea obținerii unui certificat digital și, implicit, a dreptului de semnătură electronică, a
devenit din ce în ce mai mare în rândul firmelor din România, mai ales în contextul în care
Ministerul Finanțelor a introdus, începând cu data de 1 iulie 2011, obligativitatea depunerii
declarațiilor fiscale online, iar prima condiție pentru a realiza acest lucru este constituită de
necesitatea deținerii unui certificat de autenticitate.
Pașii obținerii și folosirii semnăturii electronice70 sunt:
1. persoana care va semna electronic se adresează unuia dintre cei 5 furnizori de servicii de
certificare autorizați (în ianuarie 2020 aceștia erau CERTSIGN, DIGISIGN, TRANS SPED,
Alfatrust Certification, Centrul de Calcul, UM 0296 București71);
2. se completează un formular, se probează identitatea, se plătește serviciul;
3. se primește un dispozitiv securizat și o aplicație, care pot fi folosite, cunoscând codul PIN 72 de
acces, pentru a atașa unor documente electronice (în Word, PDF, email, etc.) semnătura digitală,
creată cu ajutorul dispozitivului;
4. destinatarul mesajului poate să verifice, în mod gratuit, pe Internet dacă semnătura digitală
atașată documentului este validă sau nu.
Pachetele oferite de furnizori sunt similare și conțin:
certificatul digital calificat (care poate fi emis persoanelor fizice sau angajaților autorizați
ai persoanelor juridice, pe baza probei identității persoanei respective și semnării unui
contract cu autoritatea de certificare). În timp ce certificatul digital propriu-zis este
constituit dintr-o suită de atribute și informații referitoare la persoana pe care o identifică,
prin certificat calificat sau certificat de semnătură electronică calificată se înțelege acel
certificat emis în conformitate cu reglementările directivei UE/99/93 și ale legii 455/2001
privind semnătura electronică. Principala diferență între un certificat simplu și un
certificat calificat este aceea că unui certificat calificat nu i se poate exporta în nici un fel
cheia privată asociată. În plus, Autoritatea de Certificare este aceea care își asumă
răspunderea pentru corespondența dintre certificatul digital și persoana căreia îi aparține;
un produs software de semnare a documentelor, indiferent de tip;
un dispozitiv securizat pentru crearea semnăturii electronice;
instrucțiuni de utilizare.
70
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D., Pavaloaia,
D., Tehnologii informationale aplicate în organizații, Editura Universităţii „Alexandru Ioan Cuza”, Iaşi, 2014,
p. 252
71Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de certificare
Asigurarea dreptului fiecărei persoane de a controla felul în care îi este construită identitatea este
o parte foarte importantă a eticii cibernetice, iar asigurarea securității datelor cu caracter personal
este o condiție a respectării vieții private a individului, care se asigură prin combinația dintre
legislație și tehnologie.
Respectarea dreptului fiecăruia dintre noi la viața privată este importantă din cel puțin
următoarele motive73 74:
limitează puterea guvernelor și companiilor private asupra indivizilor, facilitând
autonomia și controlul asupra propriilor vieți;
le permite indivizilor să își administreze reputația, să mențină granițele sociale adecvate;
garantează încrederea în terți cum ar fi prestatorii de servicii medicale, guvernele,
comercianții;
asigură libertatea de expresie și gândire, a activităților sociale și politice ale indivizilor.
Potrivit Regulamentului75, “evoluțiile tehnologice rapide și globalizarea au generat noi provocări
pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului de date cu
caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăților private, cât
și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul
activităților lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informații
cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și ar trebui
să faciliteze în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii
Europene și transferul către țări terțe și organizații internaționale, asigurând, totodată, un nivel
ridicat de protecție a datelor cu caracter personal.”
Datele cu caracter personal înseamnă orice date privind o persoană fizică identificată sau
identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane
constituie și ele date cu caracter personal.76
O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în
special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare,
date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Exemple de date cu caracter personal, potrivit site-ului Comisiei Europene77:
- nume și prenume;
- adresă de domiciliu;
- adresă de e-mail, cum ar fi prenume.nume@societate.com;
- numărul unui act de identitate;
73
Solove, Daniel J., 10 Reasons Why Privacy Matters, Privacy + Security Blog - News, Developments, and
Insights, 20.01.2014, la https://www.teachprivacy.com/10-reasons-privacy-matters/, accesat 06.11.2019
74 Wladawsky-Berger, I., Digital Identity: The Key to Privacy and Security in the Digital World, MIT Blogs,
- date privind localizarea (de exemplu, funcția de date privind locația disponibilă pe un telefon
mobil);
- adresă de protocol de internet (IP);
- un identificator de modul cookie;
- identificatorul de publicitate al telefonului;
- date deținute de către un spital sau un medic, care ar putea fi un simbol ce identifică în mod unic o
persoană.
Ca regulă generală, datele cu caracter personal ar trebui să nu fie prelucrate, astfel încât să se
asigure un nivel ridicat de protecție a dreptului la viață privată. Prelucrarea datelor cu caracter
personal trebuie să rămână, prin natura sa, mai degrabă excepțională. Scopul legislației în
domeniu este acela de a evita prelucrările pe scară largă a datelor cu caracter personal, prin
mijloace automate, digitale, pentru alte scopuri decât cele legitime.
Prelucrarea este legală doar dacă se înregistrează una dintre următoarele situații:
1. persoana vizată și-a dat consimțământul pentru unul sau mai multe scopuri specifice;
2. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
3. prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului;
4. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
5. prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
6. prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în
special atunci când persoana vizată este un copil.
Consimțământul este orice manifestare de voință liberă, specifică, informată și lipsită de
ambiguitate a persoanei vizate, prin care aceasta acceptă, printr-o declarație sau acțiune fără
echivoc, prelucrarea datelor sale. Operatorul trebuie să facă dovada existentei consimțământului.
Citiți informațiile care politica de confidențialitate sau de utilizare a modulelor cookie
către care sunteți trimis(ă) la deschiderea unei publicații online, prin banner-e similar
celor de mai jos.
Selectați cele mai interesante aspecte sesizate în urma acestei lecturi.
US3. Aspecte juridice privind securitatea informațională
În cazul consimțământului dat prin declarație scrisă, aceasta trebuie să aibă o formă care o
diferențiază de alte aspecte, să fie ușor accesibilă și redactată într-un limbaj simplu și clar.
Persoana vizată are dreptul de a-și retrage oricând consimțământul, cu efecte pentru viitor.
Regulamentul prevede că datele cu caracter personal trebuie prelucrate într-un mod care asigură
securitatea lor adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și
împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare.
78***, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe, publicată în Monitorul Oficial 430 din
2010, http://www.legi-internet.ro/legislatie-itc/drept-de-autor/legea-dreptului-de-autor/legea-81996-privind-
dreptul-de-autor-si-drepturile-conexe.html
US3. Aspecte juridice privind securitatea informațională
f) operele fotografice, precum și orice alte opere exprimate printr-un procedeu analog fotografiei;
g) operele de artă plastică;
h) operele de arhitectură, inclusiv planșele, machetele și lucrările grafice ce formează proiectele
de arhitectură;
i) lucrările plastice, hărțile și desenele din domeniul topografiei, geografiei și științei în general.
Utilizarea de scurte citate dintr-o operă este permisă, potrivit legii, doar cu menționarea
sursei și a numelui autorului, dacă acesta apare pe lucrarea utilizată.
Orice sursă pe care o cităm trebuie să conțină cel puțin următoarele elemente: autorul,
titlul cărții/articolului/publicației, locul publicației, editorul, data publicației, pagina.
Pentru publicațiile scrise, aceste aspecte sunt ușor de identificat în coperțile interioare
! ale volumului. Pentru paginile Web, informațiile sunt uneori afișate pe aceeași pagină,
dar alteori nu – în acest al doilea caz, ele trebuie căutate pe site sau chiar în proprietățile
paginii, accesate cu click dreapta pe pagina și opțiunea View Page Info... Se recomandă,
ca regulă generală, să folosim o sursă de fiecare dată când menționăm informații pe care
nu le cunoșteam atunci când am început documentarea. De asemenea, e mai bine ca
atunci când nu suntem siguri în privința necesității includerii unei surse, să o cităm.79
Exemple de citări complete:
Carte:
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D.,
Pavaloaia, D., Tehnologii informaționale aplicate în organizații, Editura Universității „Alexandru Ioan
Cuza”, Iași, 2014
Articol științific:
Herkema, S., A complex adaptive perspective on learning within innovation projects, in “The Learning
Organization”, Volume 10, No 6, 2003, pp. 340-346
Articol Web:
Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, Ziarul de Iași, disponibil la
http://www.ziaruldeiasi.ro/local/inundatii-in-arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014
79
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D., Pavaloaia,
D., Op. cit., p. 243
US3. Aspecte juridice privind securitatea informațională
Legea nr. 8/1996 privind dreptul de autor și drepturile conexe are un capitol distinct privind
programele de calculator, unde sunt reglementate aspectele legate de protecția programelor,
stabilind categoriile ce intră sub incidența legii, respectiv programele de aplicație și sistemele de
operare, exprimate în orice fel de limbaj, fie în cod-sursă sau cod-obiect, materialul de concepție
pregătitor, precum și manualele.
Autorii programelor beneficiază de drepturile generale ale oricărui autor de opere, cu
accentuare asupra dreptului exclusiv de a realiza și autoriza reproducerea, traducerea, difuzarea
originalului sau copiilor unui program. O atenție specială trebuie acordată articolului 74, care
spune că, în lipsa unei clauze contrare, drepturile patrimoniale de autor asupra programelor
pentru calculator, create de unul sau de mai mulți angajați în exercitarea atribuțiilor de serviciu
ori după instrucțiunile celui care angajează, aparțin angajatorului.
Pirateria, sau copierea ilegală a produselor software, este o problemă foarte serioasă a societății
informaționale – se estimează că aproximativ 50% dintre produsele software folosite astăzi la
nivel mondial sunt piratate. În România, industria de software pierde anual peste 100 de milioane
de dolari și 3.000 de locuri de muncă din cauza pirateriei80, în condițiile în care circa 63% din
utilizatorii de PC-uri folosesc cel puțin un program fără licență, susțin reprezentanții
Inspectoratului General al Poliției Române (IGPR) și cei ai Business Software Alliance (BSA).
Deoarece pirateria este o faptă de natură penală, ea atrage răspunderea penală, cu tot ce
înseamnă acest lucru, inclusiv dosar penal, condamnare și cazier. Pedepsele sunt pe măsura
infracțiunii și se aplică în mod diferențiat, în funcție de gravitatea infracțiunii și persoana
incriminată.81
80
Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-software-10118394,
26.09.2012, accesat la 16.09.2013
81 Matache, L., Ce rişti dacă foloseşti software piratat, la http://www.economica.net/ce-risti-daca-folosesti-
3.6 Aplicație
Un bun “punct de informare despre legislația și practica judiciară privind anumite aspecte
legate de Internet”, care “prezintă noutăți, legi și jurisprudența din România și străinătate
din domeniul dreptului TIC” este legi-internet.ro (disponibil la adresa https://www.legi-
internet.ro/). 82
Imaginați un caz de încălcare a uneia dintre legile prezentate mai sus sau disponibile la
adresa menționată. Imaginați un proces pe marginea respectivului caz, prezentând succint
argumentele apărării și acuzării.
82
https://www.legi-internet.ro/
US3. Aspecte juridice privind securitatea informațională
Rezumat
Unitatea de studiu 3 a tratat aspecte privind securitatea informațiilor selectate din:
Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea
demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și
sancționarea corupției;
Ordinul 2634/2015 privind documentele financiar-contabile;
Bibliografie
1. ***, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe, publicată în Monitorul Oficial
430 din 2010, http://www.legi-internet.ro/legislatie-itc/drept-de-autor/legea-dreptului-de-autor/legea-
81996-privind-dreptul-de-autor-si-drepturile-conexe.html
2. Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D.,
Pavaloaia, D., Tehnologii informaționale aplicate în organizații, Editura Universității „Alexandru Ioan
Cuza”, Iași
3. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro
4. https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EL
5. https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
6. https://www.legi-internet.ro/
7. Matache, L., Ce riști dacă folosești software piratat, la http://www.economica.net/ce-risti-daca-
folosesti-software-piratat_13381.html, 31.01.2013, accesat la 2.09.2013
8. Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de
certificare
9. Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-software-
10118394, 26.09.2012, accesat la 16.09.2013
10. pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-
US3. Aspecte juridice privind securitatea informațională
Securitatea este întotdeauna percepută ca excesivă - până în ziua în care devine insuficientă.
Robbie Sinclair
83
iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-27001-
information-security.html, accesat la 10.02.2020
84 International Standardization Organisation
85 International Electrotechnical Commission
US4. Măsuri administrative de protecție a informațiilor
86https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-managementul-securitatii-
informatiilor/
87www.iso.org,
www.asro.ro
US4. Măsuri administrative de protecție a informațiilor
Informații suplimentare privind seria de standarde ISO/IEC 27000, dar și alte standarde
din diverse domenii puteți obține de la https://www.asro.ro/gdpr-si-sr-en-iso-iec-
270012018/.
88 https://www.iso.org/standard/70636.html
89
Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la https://www.lr.org/ro-ro/iso-
20000/, accesat la 31.01.2020
US4. Măsuri administrative de protecție a informațiilor
Politicile de securitate trebuie să fie redactate folosind un limbaj accesibil celor cărora li se
adresează și, pentru a fi eficiente, trebuie să fie aduse la cunoștința acestora într-un mod efectiv.
De regulă, o politică de securitate va conține:
scopul pentru care se redactează politica;
responsabilii cu aplicarea sa;
cui i se adresează documentul (audiența);
secțiune de definiții, pentru a clarifica toți termenii tehnici folosiți și a se asigura astfel
înțelegerea lor de către angajați;
regulile propriu-zise;
reguli pentru situațiile de excepție;
măsurile disciplinare care se aplică în cazul nerespectării politicii;
documente relaționate.
90
https://www.sans.org/security-resources/policies; modelele de politici de pe acest site sunt puse la dispoziția
comunității Internet pentru utilizare gratuită, fără a fi necesară nici o aprobare prealabilă
US4. Măsuri administrative de protecție a informațiilor
5. Dulapurile cu dosare și documente care conțin informații clasificate trebuie ținute încuiate
atunci când nu sunt utilizate sau nu pot fi supravegheate.
6. Cheile dulapurilor de la punctele 4, 5, 13 nu trebuie lăsate nesupravegheate.
7. Laptopurile trebuie să fie blocate cu un cablu de blocare sau închise într-un sertar atunci
când nu sunt utilizate sau nu pot fi supravegheate.
8. Parolele nu trebuie scrise pe bilețele postate pe sau sub un computer, ecranul sau tastatura
acestuia sau în orice alt loc accesibil persoanelor neautorizate.
9. Documentele care conțin informații clasificate trebuie îndepărtate imediat după listare
din/de pe imprimantă, după scanare din scanner, după trimitere din fax.
10. Documentele care conțin informații clasificate și nu mai sunt necesare trebuie tocate la
tocătoarele speciale de hârtie sau distruse conform procedurilor organizației.
11. Tablele/panourile care conțin informații sensibile trebuie șterse.
12. Dispozitivele de calcul portabile, cum ar fi laptop-urile, tabletele, telefoanele mobile, trebuie
blocate dacă nu sunt folosite.
13. Dispozitivele de stocare (CD-uri, DVD-uri, hard discuri externe, USB stick-uri, carduri de
memorie etc.) pe care sunt salvate informații clasificate trebuie încuiate în dulap.
Respectarea politicii
Echipa de securitate informațională a <<denumirea organizației>> va verifica respectarea acestei
politici prin diferite metode, inclusiv, dar fără a se limita la: controale inopinate, monitorizare video,
log-uri, audituri interne și externe.
Excepții
Orice excepție de la politica de securitate prezentată trebuie să fie aprobată în prealabil de către
echipa de securitate informațională a <<denumirea organizației>>.
Nerespectarea politicii
Un angajat care încalcă această politică poate fi supus unor măsuri disciplinare, care pot include și
rezilierea contractului de muncă.
Niciunul.
Standarde, politici și proceduri asociate
ISO 27001
Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date
Termeni și definiții
Niciunul
Versiuni anterioare, revizuiri
Data actualizării Responsabil Revizuirea
<< data actualizării>> <<autorul politicii>> Actualizată și convertită în
format electronic
… … …
US4. Măsuri administrative de protecție a informațiilor
4.4 Aplicație
Faceți un inventar al parolelor pe care le folosiți în prezent. Enumerați greșelile pe care le faceți în
legătură cu parolele și, dacă sunt necesare, propuneți câteva îmbunătățiri ale modului de utilizare a
parolelor dvs.
US4. Măsuri administrative de protecție a informațiilor
4.1 Întocmiți, pentru o organizație cunoscută de dvs., un set cât mai complet de
recomandări ale unei politici de securitate pe care o considerați necesară. Puteți
folosi un alt model de la adresa https://www.sans.org/security-resources/policies/.
! În proiect, nu precizați denumirea organizației la care faceți analiza sau orice alt
detaliu care să permită identificarea acesteia! Penalizare: 5 puncte din 10.
Rezumat
Unitatea de studiu 4 a prezentat:
Bibliografie
1. http://dcd.uaic.ro/?page_id=76
2. https://www.iso.org/standard/68427.html
3. https://www.iso.org/standard/70636.html
4. https://www.sans.org/security-resources/policies
5.
6.
https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-
managementul-securitatii-informatiilor/
iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-
7.
8.
27001-information-security.html, accesat la 10.02.2020
Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la
https://www.lr.org/ro-ro/iso-20000/, accesat la 31.01.2020
Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
Second Edition, Berrett-Koehler Publishers, San Francisco, 1999
9. www.asro.ro
Unitatea de studiu 5
Măsuri tehnice de securitate a informațiilor
Încrederea în tehnologie este un lucru bun. Controlul ei este însă unul și mai bun.
Stephane Nappo, Global Chief Information Security Officer 2018
91
Martin, K., Everyday Cryptography. Fundamental Principles and Applications, Second Edition, Oxford
University Press, 2017, p. 4
US 5. Măsuri tehnice de securitate a informațiilor
este ușor de copiat, ușor de modificat, procesele de copiere și modificare neautorizată se pot face
fără urme, iar paternitatea informațiilor poate fi greu de probat. De aceea, măsurile tradiționale
de securitate fizică, deși rămân importante, nu sunt suficiente.
Cu suportul măsurilor administrative prezentate mai sus, măsurile tehnice implementate într-o
organizație trebui să asigure identificarea și autentificarea utilizatorilor autorizați, urmată de
autorizarea accesului acestora la resurse.
Identificarea este determinarea identității unei persoane sau a unui obiect pe baza unei
caracteristici unice pentru persoana/obiectul identificat.
Prin autentificare, identitatea persoanei/obiectului este probată, validată pe baza unui element
știut, deținut sau propriu (fizic asociat) persoanei/obiectului sau contextului în care se află
acesta/aceasta.
De exemplu, în momentul în care dorim să extragem bani dintr-un bancomat, la introducerea
cardului bancar se citesc mai întâi datele noastre de identificare, iar autentificarea are loc după
aceea, prin tastarea PIN. După autorizare avem posibilitatea vizualizării disponibilităților, retragerii
de fonduri, plății facturilor etc., iar toate activitățile pe care le facem sunt înregistrate în scopul
auditării în sistemul informatic al băncii. În comunicația dintre bancomat și acest sistem informatic,
datele sensibile transmise (numărul de cont, PIN etc.) vor fi criptate, pentru a se împiedica folosirea
lor de eventualii intruși.
După ce literatura de specialitate a pledat pentru necesitatea autentificării prin combinarea a cel
puțin două elemente de naturi diferite – un cod sau o parolă, un obiect, o caracteristică
biometrică, poziția geografică a unui echipament deținut de persoană, iar principiul autentificării
în doi pași (two factor authentication) a fost adoptat pe scară largă în practică, astăzi se discută
tot mai mult despre utilizarea unei triade a autentificării în locul autentificării cu doi factori.
Identificarea și autentificarea stau la baza autorizării, adică a obținerii de către utilizator a
dreptului de a executa o anumită operațiune.
Controlul accesului într-o organizație/într-un sistem are drept scop limitarea acțiunilor pe care
un utilizator autorizat le poate efectua în respectivul perimetru/sistem, prevenind astfel încălcarea
securității informaționale. Prin controlul accesului se mediază fiecare încercare a unui utilizator
legitim de a accesa o resursă informațională din sistem și se determină activitățile permise
acestuia.
Aplicația de
mesagerie instant
preferată
US 5. Măsuri tehnice de securitate a informațiilor
Contul de e-mail
personal
Aplicația de Internet
Banking
92
Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
93 Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii Facultăţii de
5.2 Criptografia
După ce a migrat dinspre folosirea militară în domeniul bancar, criptografia a devenit astăzi
inima majorității soluțiilor tehnice de protecție a informației. Utilizăm criptografia zilnic, fără să
realizăm neapărat acest lucru – de exemplu, atunci când facem plăți online sau conversăm pe
WhatsApp.
US 5. Măsuri tehnice de securitate a informațiilor
Soluțiile criptografice au o paletă foarte largă de utilizare și pot acoperi toate trăsăturile de
securitate din triada C.I.A.
Criptarea, adică procesul de transformare a unui text clar într-un text neinteligibil de către un
eventual interceptor neautorizat, utilizând o serie de pași cunoscuți sub numele de algoritm
criptografic și o cheie de criptare, asigură confidențialitatea mesajului. Semnătura digitală, care
este implementată tehnic tot pe baza criptării, garantează autentificarea originii datelor semnate
și non repudierea lor. Pentru garantarea integrității datelor se utilizează funcțiile hash, Message
Authentication Codes (MACs).
Deoarece păstrarea secretă a algoritmilor de criptare s-a dovedit dificilă de-a lungul timpului, s-a
trecut la utilizarea cheilor criptografice.
Cheile de criptare, sunt, de regulă, șiruri aleatoare de caractere, impredictibile și unice, folosite
pentru criptarea și decriptarea mesajelor.
Atunci când la criptare și decriptare se folosește aceeași cheie, care trebuie păstrată secretă
pentru un proces de criptare eficient, vorbim despre criptografia simetrică.
Criptarea asimetrică (numită și criptare cu cheie publică) criptează datele folosind o cheie
care este disponibilă oricui, dar pentru decriptarea acestora este nevoie de o altă cheie, privată
(secretă). Cheia privată este legată de cheia publică, dar este foarte important ca ea să nu poată fi
dedusă din aceasta.
5.3 Biometria
Prin biometrie înțelegem capacitatea unui sistem automatizat de a recunoaște un individ uman în
urma analizei unei trăsături fizice sau comportamentale a acestuia.
Imaginea trăsăturii anatomice sau probele considerate suficiente pentru a determina o secvență
particulară de comportament sunt colectate și stocate în format electronic fie într-o bază de date a
unei organizații, fie local, pe dispozitivul mobil sau laptop-ul unui individ. Acestea sunt asociate
identității persoanei (nume, alte date de identificare de pe documentele de identitate). Ulterior,
identitatea este probată prin prelevarea unei noi imagini/probe și compararea cu cea stocată
inițial. La obținerea unui grad suficient de similitudine, sistemul biometric va permite
operațiunea pe care o condiționează – accesul, plata unei sume de bani etc. Dacă potrivirea este
insuficientă, operațiunea va fi refuzată.
Trăsăturile fizice94 folosite în biometrie sunt:
modelul irisului și al retinei (de fapt, structura vaselor de sânge care alimentează ochiul
uman);
forma feței;
amprenta sau forma tridimensională a degetelor/mâinii;
modelul venelor din deget sau palmă;
forma urechii;
94
***, Types of Biometrics, https://www.biometricsinstitute.org/types-of-biometrics, accesat la 02.05.2019
US 5. Măsuri tehnice de securitate a informațiilor
secvențele ADN.
Compania Apple promovează tehnologia care stă la baza funcției Face ID95 din produsele sale drept
“combinația de hardware și software cea mai avansată pe care a creat-o vreodată”. Camera
TrueDepth capturează date faciale precise prin proiectarea și analizarea a peste 30.000 de puncte
invizibile, pentru a crea o hartă de profunzime a feței utilizatorului. În același timp, camera creează
și o imagine cu infraroșii a feței. O parte a motorului neuronal al chip-urilor bionice folosite
transformă harta de profunzime și imaginea în infraroșu într-o reprezentare matematică și
compară acea reprezentare cu datele faciale înscrise.
Un pas mai departe este făcut de compania Sthaler, care propune soluția de plată Fingopay96, sub
sloganul “all you need is you”. Prin scanarea degetului utilizatorului cu tehnologia Hitachi VeinID, se
realizează o imagine tridimensională a venelor din interiorul degetului, care au avantajul de a fi
invizibile și astfel mai dificil de replicat comparativ cu amprenta “clasică”.
95
https://support.apple.com/ro-ro/HT208108
96
https://fingopay.com/
97
Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-management-system/,
accesat la 4.02.2020
US 5. Măsuri tehnice de securitate a informațiilor
101
Apostoiu, R. A., Necesitatea adaptării legislației românești la sistemele biometrice, 8.04.2019, la
https://www.rfidshop.ro/blog/necesitatea-adaptarii-legislatiei-romanesti-la-sistemele-biometrice-b370.html,
accesat la 5.01.2020
102 DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-timisoara-a-fost-
amendata-466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
103 https://www.dataprotection.ro/
US 5. Măsuri tehnice de securitate a informațiilor
104
Oprea, D., Protecţia și securitatea informaţiilor, Editura Polirom, Iaşi, 2007, p. 345
105
http://windows.microsoft.com/ro-ro/windows/windows-update
US 5. Măsuri tehnice de securitate a informațiilor
! Utilizarea sistemului de operare fără licență nu permite actualizarea periodică prin patch-
uri și transformă, implicit, sistemul în unul vulnerabil!
Citiți Acordul de Licențiere pentru Utilizatorul final al aplicației NEXUS ERP, disponibil la
https://www.suport.nexuserp.ro/index.php?id=1309. Extrageți trei prevederi pe care le
considerați importante.
US 5. Măsuri tehnice de securitate a informațiilor
106
Feinstein, K., Anti Spam/Viruși/Pop-up/Spyware, Editura Rosetti Educațional, București, 2006, p. 90
107
Oprea, D., Op. cit., p. 324
US 5. Măsuri tehnice de securitate a informațiilor
programarea unor scanări periodice ale sistemului, cel puțin o dată pe săptămână.
Scanarea va aduce cu sine o încetinire a calculatorului. Din această cauză este bine ca
acest proces să se desfășoare atunci când nu se folosește PC-ul;
cum, cel mai probabil, compania care a produs software-ul antivirus deține un newsletter,
este recomandat să ne înregistrăm pentru a primi ultimele informații în domeniu în căsuța
de poștă electronică.
În Windows 8 și versiunile ulterioare, compania Microsoft înlocuiește produsul antivirus folosit
anterior, Microsoft Security Essential, cu Windows Defender, apreciat de specialiști drept “un
anti-virus decent, care protejează împotriva majorității amenințărilor malware”.109
Lansarea Windows Defender se face din ecranul Start, butonul termenul de căutare
Windows Defender Windows Defender.
În imaginea din figura nr. 5.6, se observă că starea calculatorului este Protejat. Culorile folosite
de Microsoft pentru a afișa mesajul sunt verde și alb. În situația în care există probleme (dacă
definițiile de viruși nu sunt la zi, protecția în timp real este dezactivată sau un virus a fost
detectat), culorile vor fi mai puțin liniștitoare. Dacă riscul este potențial, mesajele vor fi afișate
cu galben-portocaliu. Dacă sistemul se află într-o stare de risc ce necesită atenție imediată,
fereastra va fi colorată în roșu – de exemplu, dacă Windows Defender a fost dezactivat sau un
virus a fost detectat (vezi figura nr. 5.7).
109Neagu, C., Cum folosești antivirusul Windows Defender în Windows 8 & Windows 8.1, 19.12.2013, la
http://www.7tutoriale.ro/prezentare-windows-8-cum-folosesti-antivirusul-windows-defender, accesat la
01.03.2014
US 5. Măsuri tehnice de securitate a informațiilor
! Folosirea unui program antivirus care nu-și actualizează baza de date cu semnături de
viruși este mai periculoasă decât nefolosirea unuia.
110
http://windows.microsoft.com/ro-ro/windows-8/set-drive-file-history
US 5. Măsuri tehnice de securitate a informațiilor
Cum cele mai mari probleme cu sistemul de operare sunt cauzate de regiștrii, drivere ale
dispozitivelor și fișierele DLL, este recomandată crearea unui “punct de restaurare” care să
conțină copiile acestor elemente și ale altora esențiale pentru funcționarea Windows, făcute la un
moment în care sistemul funcționează optim. Punctul de restaurare poate fi folosit la nevoie
pentru revenirea la o stare inițială a sistemului de operare (operațiune cunoscută sub numele de
System Restore).
5.1 Întocmiți, pentru o organizație cunoscută de dvs., un set cât mai complet de
măsuri tehnice de securitate pe care le considerați necesare.
! În proiect, nu precizați denumirea organizației la care faceți analiza sau orice alt
detaliu care să permită identificarea acesteia! Penalizare: 5 puncte din 10.
US 5. Măsuri tehnice de securitate a informațiilor
Rezumat
Unitatea de studiu 5 a prezentat:
conceptele de identificare, autentificare, autorizare, acces;
utilizarea criptografiei și biometriei în scopul asigurării confidențialității, integrității și
accesibilității resurselor informaționale.
Ne-am focalizat apoi pe câteva măsuri de … igienă elementară TIC, care trebuie aplicate de
fiecare dintre utilizatorii unui calculator, pentru a păstra confidențialitatea, integritatea și
accesibilitatea datelor și informațiilor cu care lucrează:
actualizarea periodică a sistemului de operare;
utilizarea unui firewall și a unui program anti-malware;
realizarea periodică de copii de siguranță.
Bibliografie
1. ***, Types of Biometrics, https://www.biometricsinstitute.org/types-of-biometrics, accesat la
02.05.2019
2. Apostoiu, R. A., Necesitatea adaptării legislației românești la sistemele biometrice, 8.04.2019, la
https://www.rfidshop.ro/blog/necesitatea-adaptarii-legislatiei-romanesti-la-sistemele-biometrice-
b370.html, accesat la 5.01.2020
3. DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-
timisoara-a-fost-amendata-
466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
4. https://fingopay.com/
5. https://support.apple.com/ro-ro/HT208108
6. https://www.apple.com/ro/apple-pay/
7. https://www.dataprotection.ro/
8. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress, Iași,
2014
9. Ross, A., Gartner Predicts Increase in Biometric Authentication and SaaS-Delivered IAM,
06.02.2019, https://www.information-age.com/gartner-biometric-authentication-123478879/
10. Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-
management-system/, accesat la 4.02.2020
11. Urzică, A., Datele biometrice, între avantajele tehnologiei și preocupările pentru securitatea
persoanei, Capital, 13.02.2017, la https://www.capital.ro/datele-biometrice-intre-avantajele-
tehnologiei-si-preocuparile.html, accesat la 5.01.2020
Unitatea de studiu 6
Securitatea informaților în Microsoft Word 2013
Prin această unitate de studiu, dorim să vă convingem că și într-o aplicație simplă cum
este Microsoft Word este necesar și posibil să luăm măsuri de securitate a
informațiilor.
După ce veți parcurge materialul, veți ști:
să folosiți un șablon Word;
cum se aplică filigrane digitale în Microsoft Word;
cum se completează datele despre autor și alte date despre document în
proprietățile acestuia;
să realizați criptarea și parolarea documentelor;
să transformați documentul în format read-only;
să folosiți facilitatea Tracked Changes;
să introduceți comentarii și
veți avea o atitudine mai avizată față de măsurile de securitate informațională posibil a
fi implementate cu ajutorul aplicației Microsoft Word 2013.
Unitatea de studiu prezintă cum se realizează următoarele operațiuni în editorul de
texte Microsoft Word 2013:
utilizarea șabloanelor;
aplicarea de filigrane digitale în Microsoft Word;
completarea datelor despre autor și a altor date despre document în
proprietățile acestuia;
criptarea și parolarea documentelor;
transformarea unui document în format read-only;
folosirea facilității Tracked Changes;
introducerea de comentarii.
Timpul de lucru necesar:
pentru parcurgerea unității: 2 h;
pentru rezolvarea temelor individuale: 2 h.
Succesul în software se asigură prin dezvoltarea de aplicații care să asigure progresul. Așa că, indiferent
dacă vorbim de Microsoft Office sau Windows, secretul este să încorporăm idei noi și să surprindem piața.
Ingineria de calitate se întâlnește aici cu o bună cunoaștere a lumii afacerilor.
Bill Gates
Studenta deschide aplicația Microsoft Word 2013 și alege, dintre numeroasele opțiuni puse la
dispoziția ei de către Microsoft, șablonul Student Report – vezi figura nr. 6.1.
În primă fază, schimbă imaginea cu fluturele de pe coperta referatului cu una adecvată temei
sale, după cum se observă în figura nr. 6.2. Pașii necesari pentru a schimba imaginea sunt:
apelarea meniului contextual al imaginii inițiale cu click dreapta pe ea;
Figura nr. 6. 1 Șablonul Student report din galeria de șabloane Microsoft Word 2013
După acest prim pas, studenta realizează referatul, formatându-l cu elemente specifice șablonului
ales.
Ce alte șabloane interesante descoperiți navigând prin galeria de șabloane Microsoft
Word 2013? Care dintre ele au legătură cu securitatea informațiilor?
Identificați trei avantaje și trei dezavantaje ale lucrului cu șabloane în Microsoft Word
2013.
Deoarece studenta lucrează la realizarea raportului pe calculatorul din camera de cămin, pus și la
dispoziția colegilor de cameră, ea consideră că este necesar să își ia următoarele măsuri de
securitate:
filigranarea documentului;
introducerea datelor autorului în document;
criptarea și parolarea documentului pe parcursul absenței din camera de cămin;
transpunerea documentului în format read-only și parolarea sa;
urmărirea modificărilor care apar în document cu opțiunea Tracked changes;
restricționarea operațiunilor posibile în document, cu excepția comentariilor.
Figura nr. 6. 4 Butonul Watermark de pe panglica Design, vizibil dacă documentul este vizualizat în modul Print
Layout
Fereastra care se deschide are aspectul prezentat în figura nr. 6.5. În partea de sus a ferestrei apar
câteva filigrane implicite (din categoria Confidential), care pot fi introduse în document cu click
stânga pe ele.
Dacă utilizatorul dorește realizarea unui filigran personalizat, va folosi opțiunea Custom
watermark... din figura nr. 6.5. Fereastra care se deschide are aspectul din figura nr. 6.6 - se
observă că numele referatului este completat în zona Text, după ce a fost aleasă opțiunea Text
watermark.
! Parola este case-sensitive (are importanță dacă este scrisă cu minuscule sau majuscule) și,
odată uitată, nu mai poate fi recuperată!
US 6. Securitatea informațiilor în Microsoft Word 2013
Figura nr. 6. 13 Parolarea documentului în așa fel încât conținutul său să nu poată fi modificat
US 6. Securitatea informațiilor în Microsoft Word 2013
Care este motivul pentru care nu folosim, pentru a obține același efect, opțiunea de
salvare în format PDF?
Caracterele
șterse sunt
scrise cu roșu Caracterele
și tăiate cu o adăugate sunt
scrise cu roșu
linie
și subliniate
accepta sau refuza modificarea făcută de un alt utilizator apelând meniul contextual al
modificării (click dreapta pe textul introdus sau șters) și selectând una dintre opțiunile Accept
Deletion sau Reject Deletion (pentru ștergere) – vezi figura nr. 6.16, respectiv Accept Insertion
sau Reject Insertion (pentru adăugarea de text) - vezi figura nr. 6.17.
6.7 Comentarii
La acest punct, să presupunem (oarecum hazardat) că studenta care a
Aplicație elaborat referatul restricționează accesul profesorului de la disciplina
Protecția și securitatea sistemelor informaționale la conținutul documentului,
nepermițându-i decât introducerea de comentarii acolo unde acesta crede că este cazul.
Se apelează succesiunea de opțiuni File Info Protect document Restrict Editing.
Ca rezultat, în partea dreaptă a paginii apare panoul de sarcini omonim (vezi figura nr. 6.12).
La secțiunea 2. Editing restrictions din acest panou se bifează Allow only this type of editing in
the document și se alege din lista ascunsă opțiunea Comments (Comentarii). Se apasă butonul
. Ca rezultat, apare fereastra din figura nr. 6.13, în care utilizatorului i
US 6. Securitatea informațiilor în Microsoft Word 2013
se solicită introducerea repetată a unei parole. La apăsarea butonului OK, parola devine activă,
iar conținutul documentului nu mai poate fi modificat. Singura intervenție posibilă este
adăugarea de comentarii din zona Review, cu opțiunea New Comment - vezi figura nr. 6.18.
Rezumat
Unitatea de studiu a tratat:
utilizarea unui șablon Word;
aplicarea filigranelor digitale (watermarks) în Microsoft Word;
adăugarea de comentarii.
Apreciem că, prin măsurile descrise mai sus, se asigură atât originalitatea, cât și
confidențialitatea și integritatea documentului.
Bibliografie
1. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura
Tehnopress, Iași, 2014
Unitatea de studiu 7
Securitatea informaților în Microsoft Excel 2013
Winston Churchill
4. toate căsuțele din foaia de calcul, mai puțin A5, în care trebuie introdusă de către angajat
marca pentru a-și afla nota, vor fi blocate la editare;
5. foaia de calcul va fi protejată de o parolă, pentru ca integritatea notelor să fie garantată.
cu zona F8:F167 selectată în continuare, din panglica Data, secțiunea Data Tools, alegem
butonul Data Validation, opțiunea Circle Invalid Data. Ca rezultat, valorile din afara
US 7. Securitatea infomațiilor în Microsoft Excel 2013
intervalului admis (0-10) vor fi marcate cu un oval roșu, așa cum se poate vedea în figura
nr. 7.3;
corectăm valorile. Precizăm că încercuirea dispare dacă datele sunt corectate conform
criteriilor de validitate sau prin folosirea sub-opțiunii Clear Validation Circles din
panglica Data, de la opțiunea Data Validation.
Figura nr. 7. 4 Zona de afișare a notei și datelor de identificare pentru fiecare angajat, în funcție de marcă
Construirea unei reguli de introducere a mărcii în A5, în așa fel încât utilizatorul să nu
poată introduce decât o valoare din intervalul 1501-1660. Din panglica Data, secțiunea
Data Tools, alegem butonul Data Validation, opțiunea Data Validation… și construim
regula de validare din figura nr. 7.5;
US 7. Securitatea infomațiilor în Microsoft Excel 2013
Figura nr. 7. 5 Construirea unei reguli de validare pentru datele care urmează să fie introduse de un utilizator
Ca rezultat, în căsuța A5 se va afișa tooltip-ul din figura 7.6. Dacă utilizatorul va introduce o
valoare din intervalul 1501-1660, aceasta va fi acceptată. Altfel, se va afișa mesajul de eroare
introdus în tab-ul Error alert până la introducerea unei valori corecte;
sortarea tabelului cu notele din zona A8:F167 în ordinea crescătoare a mărcii (din
coloana A). Sortarea se face prin poziționarea în orice căsuță din tabel și apelarea de pe
panglica Data, grupul de opțiuni Sort & Filter, a opțiunii Sort, urmată de completarea în
fereastra Sort a datelor din figura nr. 7.7;
Figura nr. 7. 7 Sortarea datelor din tabelul cu note în ordinea crescătoare a mărcii
US 7. Securitatea infomațiilor în Microsoft Excel 2013
atribuirea unui nume zonei de căsuțe din care vor fi extrase datele, A8:F167. Se
selectează zona, iar din panglica Formulas, grupul de opțiuni Defined Names se alege
opțiunea Define Name. După cum se observă și în figura nr. 7.8, numele atribuit zonei
selectate, în fereastra New Name, este note. Se confirmă numele prin apăsarea butonului
OK.
Figura nr. 7. 10 Argumentele funcției Vlookup pentru afișarea numelui și prenumelui angajatului
Figura nr. 7. 11 Argumentele funcției Vlookup pentru afișarea notei obținute de angajat
Dacă dorim să însoțim nota afișată de un mesaj în care să informăm angajații în legătură cu o
eventuală refacere a testului, vom utiliza funcția IF în condițiile de mai jos:
să presupunem că pragul de promovare stabilit împreună cu managerul firmei este dat de
nota 4. Pentru angajații care au obținut o notă cel puțin egală cu 4, vom afișa mesajul
“Felicitări, ați promovat testul!”, iar pentru restul a căror notă este sub valoarea 4, vom
afișa mesajul “Nu ați promovat. Testul se va reface pe data de 1 august 2019”.
Reprezentarea grafică a secvenței alternative menționate este vizibilă în figura nr. 7.12;
Abia după operațiunea de confirmare de la punctul 2, măsurile de protecție
intenționate devin active!
7.3.1 Ascunderea formulelor de calcul folosite pentru extragerea datelor din tabelul
note și afișarea mesajului pentru angajați
În multe situații din viața organizațiilor, informații confidențiale pot fi ascunse chiar în banalele
formule de calcul din Microsoft Excel (gândiți-vă la rata preferențială a dobânzii pentru anumiți
clienți ai băncilor, comisioane pe care acestea nu doresc să le comunice clienților etc.). Din
fericire pentru cei care au nevoie să-și protejeze asemenea „mici” secrete, formulele pot fi
ascunse la rândul lor.
Pentru problema formulată de noi, este necesară bifarea (activarea) proprietății Hidden pentru
zona de căsuțe care conține formulele prin care am extras numele și prenumele și am afișat
mesajul de felicitare sau refacere a testului (B5:D5). Succesiunea de opțiuni pentru a realiza
această sarcină este selecția intervalului de căsuțe B5:D5 click dreapta Format Cells...
Protection bifarea (activarea) proprietății Hidden (vezi figura nr. 7.16).
US 7. Securitatea infomațiilor în Microsoft Excel 2013
1.Click dreapta
3.
2. 4.
Figura nr. 7. 16 Activarea proprietății Hidden pentru căsuțele din zona B5:D5
1. Proprietățile Hidden și Locked sunt distincte. În cazul de față nu se va interveni în nici
un fel în modificarea proprietății Locked (căsuțele care conțin formulele vor fi și ele
1.Click dreapta
2.
1.Click dreapta
2.
3.
4.
Figura nr. 7. 18 Vizualizarea proprietății Locked a căsuțelor din foaia de calcul (implicit bifată)
Pentru problema formulată de noi, este necesară debifarea (dezactivarea) proprietății Locked
pentru căsuța A5, în ideea că dorim să-i lăsăm angajatului posibilitatea de a introduce marca
US 7. Securitatea infomațiilor în Microsoft Excel 2013
pentru a-și afla nota. Succesiunea de opțiuni pentru a realiza această sarcină este selecția căsuței
A5 click dreapta Format Cells... Protection debifarea (dezactivarea) proprietății
Locked (vezi figura nr. 7.19).
1.Click dreapta
2. 3.
4.
Din panglica Review, grupul de opțiuni Changes, se apasă butonul . Ca rezultat, va apărea
fereastra din figura 7.20.
Pentru o protecție suplimentară, activarea mecanismului general de protecție poate fi însoțită și
de asocierea unei parole. Nu se recomandă asocierea parolei decât în situația unor fișiere
finalizate, date în utilizare curentă, întrucât uitarea parolei poate conduce la imposibilitatea
finalizării modelului.
Dacă nu se introduce o parolă, deprotejarea foii de calcul se poate face de către utilizator
!
US 7. Securitatea infomațiilor în Microsoft Excel 2013
! nu poată selecta (prin apăsarea tastelor Ctrl + A, de exemplu), zonele blocate la editare
din foaia de calcul.
După introducerea parolei și apăsarea butonului OK, se solicită confirmarea acesteia. În fereastra
de dialog din figura 6.19, suntem avertizați că uitarea parolei duce la imposibilitatea deprotejării
foii de calcul și că parolele sunt case-sensitive.
format Hidden nu mai sunt vizibile, iar vizualizarea liniilor și coloanelor ascunse nu mai este
permisă.
Aceste efecte sunt prezentate în figurile de mai jos.
Figura 7.22 prezintă mesajul de avertizare care apare la încercarea de a scrie sau a șterge ceva
într-o căsuță blocată, iar timp ce figura 7.23 prezintă dezactivarea opțiunii Unhide pentru liniile
ascunse anterior aplicării mecanismului de protecție.
Figura nr. 7. 22 Mesaj de avertizare care apare la încercarea utilizatorului de a modifica orice căsuță în afară de A5
Dacă asupra fișierului trebuie aplicate modificări, vom solicita operațiunea de deprotejare, adică
Rezumat
Unitatea de studiu a tratat:
cum se blochează la editare căsuțele din Microsoft Excel;
cum se ascund informații confidențiale situate pe liniile și coloanele Microsoft
Excel, dar și în formulele de calcul;
verificarea, cu opțiunea Data Validation, a datelor introduse în foaia de calcul;
funcțiile IF și VLOOKUP;
parolarea unei foi de calcul și a unui registru Microsoft Excel.
Contribuția acestor elemente la asigurarea confidențialității, integrității și accesibilității
este prezentată în figura de mai jos.
Bibliografie
1. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura
Tehnopress, Iași, 2014
Bibliografie finală
21. Chersan, I. C., Auditul financiar de la normele naționale la standardele internaționale, Editura
Universității Alexandru Ioan Cuza din Iași, 2013
22. Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-Hacker-
97660.shtml
23. Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-cibernetic-
foarte-sofisticat-si-unic-in-lume/, 27.01.2011
24. DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-
timisoara-a-fost-amendata-
466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
25. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
26. ENISA (European Union Agency for Network and Information Security), ENISA Threat
Landscape 2013, http://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats,
decembrie 2013
27. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,
http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-
tipuri-de-active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
Haeckel, S., ABI WhitePaper. The Development & Application of Organizational Knowledge, la
http://www.senseandrespond.com/downloads/Knowledge_Dev_ABI_Whitepaper_1997.pdf
King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001
28. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
29. ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018
30. Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-
things-devices/
31. http://dcd.uaic.ro/?page_id=76
32. http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-2011/
Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
http://www.bloomberg.com-/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-
spyware-of-gamma.html
33. http://ro.wikipedia.org/wiki/%C3%8En%C8%99el%C4%83ciune_electronic%C4%83
34. http://romanian.ruvr.ru/2012_11_26/95981330/
35. http://romaniateiubesc.stirileprotv.ro/emisiuni/2013/sezonul-1/hackerville-romanesc-iii-iceman-
hackerul-roman-care-a-spart-25-de-servere-ale-nasa-are-doar-9-clase-cum-a-devenit-romania-
patria-hotilor-virtuali.html
36. http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
37. http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/
38. http://www.furtdeidentitate.ro/furtul-de-identitate/semne-de-avertizare/
http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-phishing
http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-pierdut-bani-in-
urma-atacurilor-de-tip-phishing-1073932
Bibliografie
39. http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-pentru-
a-infecta-posesorii-de-apple-id-uri/, 9.08.2013
40. http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-biggest-
ddos-attack-ever-1329480
41. https://content.akamai.com/PG6852-q2-2016-soti-security.html
42. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro
43. https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EL
44. https://fingopay.com/
45. https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
46. https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
47. https://support.apple.com/ro-ro/HT208108
48. https://www.apple.com/ro/apple-pay/
49. https://www.dataprotection.ro/
50. https://www.iso.org/standard/68427.html
51. https://www.iso.org/standard/70636.html
52. https://www.legi-internet.ro/
53. https://www.rt.com/news/363642-websites-outage-ddos-attack/
54. https://www.sans.org/security-resources/policies
55. https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-
managementul-securitatii-informatiilor/
56. iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-27001-
information-security.html, accesat la 10.02.2020
57. Kaspersky Lab, What is Beta Bot?, la http://usa.kaspersky.com/internet-security-
center/definitions/beta-bot#.U9ImQ-N_uYA, accesat 23.06.2014
58. Kushner, D., The Real Story of Stuxnet, 2013, IEEE Spectrum,
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
59. Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la
https://www.lr.org/ro-ro/iso-20000/, accesat la 31.01.2020
60. Matache, L., Ce riști dacă folosești software piratat, la http://www.economica.net/ce-risti-daca-
folosesti-software-piratat_13381.html, 31.01.2013, accesat la 2.09.2013
61. Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat pe
2.05.2016, la https://hackaday.com/2016/05/02/software-update-destroys-286-million-japanese-
satellite/#comments
62. Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de
certificare
63. Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, la
http://www.ziaruldeiasi.ro/local/inundatii-in-arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014
64. Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
65. Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-
software-10118394, 26.09.2012, accesat la 16.09.2013
66. pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-
content/uploads/2020/01/Registru-furnizori-.pdf, accesat la 31.01.2020
67. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicații pentru studenții Facultății
de Inginerie, Universitatea din Bacău
68. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress,
Iași, 2014
69. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific
View, John Wiley&Sons, UK, 2009
70. Ross, A., Gartner Predicts Increase in Biometric Authentication and SaaS-Delivered IAM,
06.02.2019, https://www.information-age.com/gartner-biometric-authentication-123478879/
Bibliografie
71. Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
http://www.bloomberg.com-/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-
spyware-of-gamma.html, 25.06.2012
72. Solove, Daniel J., 10 Reasons Why Privacy Matters, Privacy + Security Blog - News,
Developments, and Insights, 20.01.2014, la https://www.teachprivacy.com/10-reasons-privacy-
matters/, accesat 06.11.2019
73. Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-sua/,
13.09.2016
74. The UK National Archives, What is an Information Asset?, la
http://www.nationalarchives.gov.uk
75. Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-
management-system/, accesat la 4.02.2020
76. Trcek, D., Managing Information Systems Security and Privacy, Springer, Berlin, Heidelberg,
2006
77. University of London, Information Security: Context and Introduction, la
https://www.coursera.org/learn/information-security-data/home/welcome
78. Urzică, A., Datele biometrice, între avantajele tehnologiei și preocupările pentru securitatea
persoanei, Capital, 13.02.2017, la https://www.capital.ro/datele-biometrice-intre-avantajele-
tehnologiei-si-preocuparile.html, accesat la 5.01.2020
79. Veress, R., Abia eliberat din închisoare, hackerul român care a spart rețelele NASA și
Pentagonului și-a făcut cont pe rețelele de specialitate, 2012, la adresa
http://jurnalul.ro/stiri/observator/tinkode-eliberare-inchisoare-cont-hacker-nasa-pentagon-
625444.html#
80. Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
Second Edition, Berrett-Koehler Publishers, San Francisco, 1999
81. Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
Second Edition, Berrett-Koehler Publishers, San Francisco, 1999
82. Wladawsky-Berger, I., Digital Identity: The Key to Privacy and Security in the Digital World,
MIT Blogs, 7.09.2016, la http://ide.mit.edu/news-blog/blog/digital-identity-key-privacy-and-
security-digital-world, accesat pe 2.07.2018
83. www.asro.ro
Exemple de întrebări
a) mic
b) mare
8. Atacurile externe ale hacker-ilor cauzează pagube mai _________ decât atacurile interne,
care au ca autori angajaţii proprii.
a) mici
b) mari
9. La Olimpiada Internaţională de Matematică, membrii comisiei corectează copii ale lucrărilor
participanţilor. Prin această măsură se dorește să se asigure _____________ lucrărilor.
a) confidențialitate
b) integritatea
c) accesibilitatea
10. Dacă un atacator abil în computere reuşeşte să acceseze datele de identificare bancară ale
unei persoane, nimic nu-l va opri să golească conturile sau să comită infracţiuni, ascuns sub
identitatea virtuală a victimei sale. În ultimul timp a crescut incidenţa atacului numit
___________, care redirecţionează de obicei userii spre un site fals, care arată aproape identic
cu cel original, pentru ca aceştia să-și introducă acolo detalii personale. (Sursa: Pârlog, N.,
Capcanele Internetului, 05.11.2012, descopera.ro)
a) ransomware
b) rootkit
c) phishing
Răspunsuri:
1 2 3 4 5 6 7 8 9 10
b b, c b, c b a a a a b c