Protectia Si Securitatea Sistemelor Informationale ID 2022 Sem2

UNIVERSITATEA ALEXANDRU IOAN CUZA din IAȘI
FACULTATEA DE ECONOMIE ȘI ADMINISTRAREA AFACERILOR

DEPARTAMENTUL PENTRU ÎNVAȚĂMÂNT LA DISTANȚĂ ȘI
ÎNVĂȚĂMÂNT CU FRECVENȚĂ REDUSĂ
DANIELA POPESCUL
PROTECȚIA ȘI SECURITATEA SISTEMELOR

INFORMAȚIONALE
Material de studiu pentru învățământul la distanță/ învățământul cu frecvență
redusă
IASI, 2022
Introducere
În opinia noastră, studiul protecției și securității sistemelor informaționale la o facultate de

economie și administrarea afacerilor este necesar din cel puțin următoarele motive:
1. Specialiștii militari și informaticienii, care se ocupau în mod tradițional de problemele de
securitate informatică, nu mai sunt de ajuns. Este necesară contribuția fiecărui utilizator
de dispozitive de calcul conectate la Internet în vederea protejării datelor, informațiilor și
cunoștințelor personale și de serviciu.
Securitatea informațiilor a fost, pentru foarte multă vreme, sinonimă cu criptografia1 și a
interesat mai ales specialiștii din domeniul militar. După 1960, evoluția calculatoarelor
electronice ca instrumente de prelucrare a datelor pentru a obține informații a cerut și protecția
acestora, sarcină care a fost preluată, de regulă, de ingineri cu bune cunoștințe hardware. Astăzi,
în principal ca urmare a creșterii numărului de utilizatori ai dispozitivelor de calcul și a gradului
de conectare dintre aceștia/acestea, subiectul securității informaționale a devenit foarte complex,
încorporând aspecte legate de afaceri, finanțe, legislație, iar cunoștințele specialiștilor militari,
ale administratorilor de rețea și ale altor experți din zona informaticii nu mai sunt suficiente,
deoarece ei tind să ignore aspecte care țin de factorul uman, de procesele organizaționale și de
reglementările legislative. Toți utilizatorii finali trebuie să dețină un bagaj suficient de cunoștințe
de ciber-securitate.
2. Autorii de malware învață și ei, formând comunități din ce în ce mai puternice.
Potrivit raportului European Union Agency for Network and Information Security (ENISA) 2, în
2016, hackerii au dezvoltat propriile lor comunități de învățare, găzduite de Dark Web. Adrian
Liviu Arsene, specialist Bitdefender intervievat de Digi24, descrie partea întunecată a World
Wide Web ca pe o piață ilegală uriașă pe care se tranzacționează “produse medicamentoase
contrafăcute, substanțe ilegale, arme, servicii de criminalitate informatică și chiar fizică”3,
folosind crypto-moneda Bitcoin, care le oferă participanților la tranzacție avantajul anonimității.
În acest mediu obscur, hackerii schimbă informații despre vulnerabilități ale sistemelor
informatice, malware (cod rău intenționat) sau cele mai bune practici de rămâne nedescoperiți,
crescând curba de învățare a comunității din care fac parte. Ca urmare, nivelul de complexitate al
atacurilor informatice crește în mod constant.
3. Pentru că, deși știm ce să facem ca să ne protejăm casele, mașinile sau banii, de multe ori
pericolele din lumea virtuală ne iau prin surprindere.
Ca indivizi, am învățat de-a lungul timpului să ne protejăm bunurile fizice, banii, sănătatea sau
integritatea corporală. Știm cum să avem grijă de casele, birourile și mașinile noastre, ce
precauții să ne luăm atunci când mergem la plimbare, la cumpărături, în ce cartiere e sigur sau nu
1 transformarea informațiilor comunicate prin diverse canale într-o formă neinteligibilă pentru adversari, cu
ajutorul unor algoritmi din ce în ce mai specializați și al unor chei de criptare
2 ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016, p. 7
3 ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului, http://www.digi24.ro/stiri/sci-
tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-a-internetului-461286, publicat pe
26.11.2015, accesat pe 03.03.2017
Introducere
să locuim. Dacă pentru lumea fizică folosim soluții testate în timp, în lumea digitală averile și
amenințările au alte caracteristici. Averile informaționale sunt fragile, vulnerabile, deoarece
conținutul digital este independent de suportul său și de aceea greu de “închis”, delimitat,
protejat în mod fizic; informația virtuală poate fi mult mai ușor duplicată, distrusă sau
falsificată.4 În plus, în ciber-spațiu apar noi și noi pericole în fiecare an, cărora noi ca indivizi,
dar mai ales ca angajați în domeniul business, trebuie să învățăm să le facem față. Este important
ca organizațiile să conștientizeze riscurile asociate cu utilizarea tehnologiei și gestionarea
informațiilor și să abordeze pozitiv acest subiect prin instruirea angajaților în așa fel încât ei să
înțeleagă tipologia amenințărilor, riscurilor și vulnerabilităților specifice mediilor informatizate
și să aplice măsuri de securitate adecvate.5
4. Pentru a fi cetățeni mai buni ai lumilor off- și on-line.
A fi un bun cetățean înseamnă a dezvolta comportamente și competențe adecvate societății
contemporane. Astăzi, individul trebuie să se adapteze unei societăți globale, parțial digitale, în
care suntem dispersați geografic, cultural, politic, în care modelele sunt adesea distorsionate, iar
regulile necunoscute. Potrivit prof. Endicott Popovsky (Universitatea din Washington), copiii și
adolescenții cunosc tehnologia mai bine decât adulții și sunt mai înclinați către delictele
cibernetice (plagiat, piraterie, cyberbullying), au încredere exagerată în mediul online6 și acceptă
ușor riscurile pe care le consideră mici în raport cu facilitățile oferite de aplicații/rețea.7 De
aceea, educația în domeniul ciber-eticii și ciber-securității este mai necesară ca oricând.
5. Pentru a fi pregătiți pentru viitor.
Progresul tehnologic (miniaturizarea dispozitivelor, creșterea diversității și capacității canalelor
de comunicare etc.) și adoptarea continuă și ferventă a TIC (tehnologii informaționale și de
comunicații) în toate sectoarele economiei și în viața de zi cu zi sunt tendințele majore ale
momentului. Generația curentă a TIC este una caracterizată de efervescență: Internetul se extinde
încorporând obiecte diverse, altele decât cele prevăzute în mod tradițional cu putere de calcul, tot
mai multe dispozitive devin mobile și portabile, suntem înconjurați de rețele și senzori la
domiciliu, în mașină, la școală și la serviciu, iar platformele de tip Software-as-a-Service și
Cloud Computing fac ca programele informatice să intre în sfera de utilități care până nu demult
conținea doar apa și energia electrică. Granițele dintre spațiul fizic și ciberspațiu se șterg, în timp
ce dependența cetățenilor și organizațiilor de TIC crește. Odată cu multiplicarea amenințărilor și
vulnerabilităților, scade proporțional disponibilitatea serviciilor. Ca urmare, protecția
infrastructurilor critice devine prioritară. Pentru perioada următoare (2020-2030), unii autori8
previzionează că TIC vor fi încorporate în atomi, formând un nou regat attoscopic9, pe lângă cele
vegetale, minerale și animale.
4 Riguidel,
M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John
Wiley&Sons, UK, 2009, p. 171
5 Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii Facultăţii de
Inginerie, Universitatea din Bacău, p. 5

6 Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015

7 Riguidel, M., Op. cit., p. 171
8 Idem, p. 173
9 1 attometru=10-18 metri
Introducere
În acest context, vestea rea este că trebuie să învățăm să protejăm informațiile valoroase pentru
noi și pentru organizațiile în care lucrăm/vom lucra – , iar vestea bună este că nu trebuie
neapărat să fim experți în calculatoare pentru a ne putea proteja. Ca urmare, scopul acestui curs
este de a înarma viitorii economiști non-tehnici și pe fiecare dintre utilizatorii de calculatoare cu
informațiile de bază de care au nevoie pentru a fi în siguranță în mediul on-line.
Securitatea informațiilor trebuie privită mai degrabă ca un drum decât ca o destinație. Procesul
de asigurare a securității informațiilor nu este neapărat unul costisitor, însă cere atenție, implicare
și pliere pe necesitățile organizației, care trebuie înțelese și definite în mod corect.
Pașii din acest proces pe care îi prezentăm pe parcursul materialului de față sunt:
 identificarea resurselor informaționale valoroase ale organizațiilor, sintetizate într-un

inventar care va fi destinat securizării prin asigurarea confidențialității, integrității și
accesibilității;
 clasificarea resurselor informaționale din perspectiva necesității de a li se asigura
confidențialitatea, integritatea și accesibilitatea, pas necesar pentru a pregăti operațiunile
de autorizare și control al accesului;
 trecerea în revistă a amenințărilor și pericolelor la care au fost sau pot fi expuse averile
informaționale. Aceste amenințări și pericole pot proveni, într-un mod absolut
nespectaculos, din erori umane sau întreruperi de energie electrică, dar și din atacuri ale
hacker-ilor, demne de filme de Hollywood/Netflix;
 descrierea câtorva aspecte legislative relevante pentru securitatea informațională;
 descrierea măsurilor de securitate administrative și tehnice minim necesare pentru
protejarea averilor informaționale ale unei organizații;
 folosirea unor facilități mai puțin cunoscute ale Microsoft Word 2013, cum sunt
filigranarea, aplicarea de parole și criptarea, urmărirea modificărilor în documente etc.;
 utilizarea operațiunilor de validare a datelor și de protecție la nivel de foaie și registru de
calcul în Microsoft Excel 2013.
Succes!
Cuprins
FIŞA DISCIPLINEI ______________________________________________________________ 2

Introducere __________________________________________________________________ 6
Cuprins _____________________________________________________________________ 9
Unitatea de studiu 1 Resurse informaționale. Securitate informațională ________________ 12
1.1 Resurse și averi informaționale ___________________________________________________ 12
1.2 Responsabili cu resursele informaționale ___________________________________________ 17
1.3 Securitate informațională _______________________________________________________ 18
1.4 Clasificarea resurselor informaționale _____________________________________________ 20
1.5 Aplicație - inventarul și clasificarea informațiilor importante ale unei organizații ___________ 22
1.6 Cerințe proiect – partea 1 _______________________________________________________ 25
Rezumat ________________________________________________________________________ 25
Bibliografie ______________________________________________________________________ 26
Unitatea de studiu 2 Amenințări care vizează resursele informaționale ale organizațiilor __ 27
2.1 Categorii de amenințări de securitate informațională întâlnite în organizațiile contemporane 27
2.2 Factori naturali și condiții improprii de mediu _______________________________________ 29
2.3 Erori care pot provoca incidente de securitate informațională __________________________ 31
2.4 Atacuri informatice și non-informatice _____________________________________________ 33
2.4.1 Viruși, viermi și cai troieni _____________________________________________________________ 34
2.4.2 Scareware și ransomware _____________________________________________________________ 36
2.4.3 Rootkit-uri __________________________________________________________________________ 38
2.4.4 Atacuri de tip backdoor și botnet _______________________________________________________ 39
2.4.5 Spyware ___________________________________________________________________________ 40
2.4.6 DDoS (Distributed Denial of Services) ____________________________________________________ 41
2.4.7 Spam ______________________________________________________________________________ 42
2.4.8 Phishing și pharming _________________________________________________________________ 43
2.4.9 Furt de identitate ____________________________________________________________________ 45
2.4.10 Alte atacuri informatice ______________________________________________________________ 46
2.5 Aplicație – vulnerabilități și amenințări într-o organizație contemporană _________________ 49
2.6 Cerințe proiect – partea a 2-a ____________________________________________________ 50
Rezumat ________________________________________________________________________ 50
Bibliografie ______________________________________________________________________ 51
Unitatea de studiu 3 Aspecte juridice privind securitatea informațională _______________ 53
Cuprins
3.1 Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea
demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției
_______________________________________________________________________________ 53
3.2 Ordinul 2634/2015 privind documentele financiar-contabile ___________________________ 54
3.3 Legea 455/2001 privind semnătura electronică ______________________________________ 56
3.4 Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date _____________________________ 59
3.5 Legislația privind dreptul de autor și drepturile conexe _______________________________ 62
3.6 Aplicație _____________________________________________________________________ 65
Rezumat ________________________________________________________________________ 66
Bibliografie ______________________________________________________________________ 66
Unitatea de studiu 4 Măsuri administrative de protecție a informațiilor ________________ 68
4.1 Standarde de securitate informațională ____________________________________________ 68
4.2 Politici de securitate informațională _______________________________________________ 70
4.3 Exemple de politici de securitate recomandate ______________________________________ 71
4.3.1 Politica de utilizare a poștei electronice (e-mail) ___________________________________________ 71
4.3.2 Politica “biroului curat” _______________________________________________________________ 73
4.4 Aplicație _____________________________________________________________________ 75
Rezumat ________________________________________________________________________ 76
Bibliografie ______________________________________________________________________ 76
Unitatea de studiu 5 Măsuri tehnice de securitate a informațiilor _____________________ 77
5.1 Identificare, autentificare, autorizare, acces ________________________________________ 77
5.2 Criptografia __________________________________________________________________ 80
5.3 Biometria ____________________________________________________________________ 82
5.4 Licențele de utilizare și actualizarea periodică a programelor utilizate ___________________ 86
5.5 Firewall - un străjer la poarta Internetului __________________________________________ 88
5.6 Protecția antivirus _____________________________________________________________ 89
5.7 Realizarea de copii de siguranță și restaurarea datelor – File History și System Restore ______ 93
Rezumat ________________________________________________________________________ 95
Bibliografie ______________________________________________________________________ 95
Unitatea de studiu 6 Securitatea informaților în Microsoft Word 2013 _________________ 96
6.1 Realizarea unui document Word pe bază de șablon __________________________________ 96
Cuprins
6.2 Filigranarea documentului_______________________________________________________ 99

6.3 Introducerea datelor despre autor în document ____________________________________ 101
6.4 Criptarea și parolarea documentului _____________________________________________ 102
6.5 Transformarea documentului în format read-only __________________________________ 103
6.6 Tracked Changes _____________________________________________________________ 104
6.7 Comentarii __________________________________________________________________ 105
Rezumat _______________________________________________________________________ 106
Bibliografie _____________________________________________________________________ 107
Unitatea de studiu 7 Securitatea informaților în Microsoft Excel 2013 _________________ 108
7.1 Verificarea datelor dintr-o zonă de căsuțe în Microsoft Excel 2013 _____________________ 108
7.2 Extragerea datelor din tabel cu funcția VLOOKUP ___________________________________ 110
7.3 Operațiuni pregătitoare la nivelul foii de calcul, înainte de aplicarea opțiunii de protecție __ 116
7.3.1 Ascunderea formulelor de calcul folosite pentru extragerea datelor din tabelul note și afișarea
mesajului pentru angajați _________________________________________________________________ 116
7.3.2 Ascunderea liniilor pe care apar informații confidențiale ___________________________________ 117
7.3.3 Blocarea căsuțelor la editare __________________________________________________________ 117
7.4 Aplicarea opțiunii de protecție cu parolă __________________________________________ 119
7.5 Parolarea și criptarea registrelor de lucru Excel 2013 ________________________________ 121
Rezumat _______________________________________________________________________ 123
Bibliografie _____________________________________________________________________ 123
Bibliografie finală ___________________________________________________________ 124
Exemple de întrebări ________________________________________________________ 128
Unitatea de studiu 1
Resurse informaționale. Securitate informațională
Parcurgerea atentă a unității de studiu 1 vă asigură:

 cunoașterea unor concepte esențiale din zona securității informaționale –
resursă și avere informațională, confidențialitate, integritate, accesibilitate;
 dobândirea capacității de a realiza un inventar și o clasificare a resurselor
informaționale ale unei organizații din perspectiva necesității de a li se asigura
confidențialitatea, integritatea și accesibilitatea.
Unitatea de studiu tratează:
 conceptele de resursă și avere informațională, securitate, confidențialitate,
integritate, accesibilitate;
 responsabilitățile utilizatorilor în legătură cu resursele informaționale;
 clasificarea resurselor informaționale în funcție de nevoia de a li se asigura
confidențialitatea, integritatea și accesibilitatea.
Timpul de lucru necesar:
  pentru parcurgerea unității: 3 h;
 pentru rezolvarea temelor individuale: 1 h.
Este un lucru atât de trist că astăzi există atât de puțină informație inutilă.
Oscar Wilde
1.1 Resurse și averi informaționale

Succesul unei organizații contemporane, indiferent de obiectul de activitate și de dimensiunile
sale, depinde de înțelegerea rolului pe care informațiile îl joacă în viața sa și de administrarea
corespunzătoare a acestor informații.
Primul pas în asigurarea securității este identificarea resurselor/averilor informaționale,
deoarece, dacă nu se știe ce trebuie protejat și care sunt prioritățile, întregul efort de dobândire a
securității își pierde sensul. Deoarece un inventar complet al averilor informaționale din
organizație este dificil de realizat, se consideră că un început bun este identificarea a 80% dintre
averi.10 
Orice informație care are valoare pentru organizație, indiferent de forma în care apare și de
caracteristicile sale, este o resursă informațională a acesteia.
Valoarea informației poate fi apreciată prin:
 câștigul pe care deținerea/nedivulgarea ei către utilizatori neautorizați îl poate aduce
organizației;
 prejudiciul pe care îl poate cauza pierderea, alterarea sau divulgarea ei;
 nivelul de încredere a terților în organizație, oferit de existența informației în forma ei
corectă și completă.
10
Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 61
US 1. Resurse informaționale. Securitate informațională
Figura nr. 1. 1 Valoarea informației

Putem considera drept resurse informaționale datele din baze de date și alte fișiere, alte date
stocate pe diverși suporți: hârtie, microfilme, CD, DVD, stick-uri USB etc., în toate formele
posibile - text, grafică, video, voce, e-mail, informațiile care se obțin prin prelucrarea acestor
date, dar și cunoștințele dintr-o organizație, care fac posibilă derularea proceselor economice din
cadrul ei. Acestora li se alătură produsele digitale (software – jocuri, programe de contabilitate,
aplicații mobile etc.), alte active imateriale cum ar fi imaginea organizației, cota de piață,
principalele procese de afaceri, dar și banii digitali.
Figura nr. 1. 2 Perspective asupra resurselor informaționale

Când vine vorba de protecția acestor elemente mai degrabă abstracte, devine necesară o abordare
pragmatică, în care resursele informaționale să fie privite din punctul de vedere al:
 procesatorilor: echipamente hardware cum ar fi calculatoarele (servere, stații de lucru,
laptop-uri etc.) dotate cu software care prelucrează datele, dar și oameni implicați în
procese similare de obținere, transfer și utilizare a datelor și informațiilor: angajați,
parteneri, clienți, furnizori etc.;
 locurilor de stocare;
 transportatorilor: echipamente și medii de comunicație (switch-uri, routere, cabluri,
fibră optică, aer etc.);
 senzorilor: camere de luat vederi, scannere, OCR (Optical Character Recognition),
cititoare de coduri de bare etc.;
 altor dispozitive: dispozitive periferice (imprimante, scannere, camere), dispozitive care
asigură un mediu de lucru adecvat - aer condiționat, încălzire centrală, UPS etc.
Figura nr. 1. 3 Resurse informaționale – o abordare pragmatică

Această perspectivă concretă servește la identificarea într-un mod foarte palpabil a elementelor
asociate resurselor informaționale care vor trebui protejate la nivelul organizației.
Pentru datele, informațiile și cunoștințele importante dintr-o organizație, este util să analizăm
și faza din ciclul de viață în care se află acestea (creare, prelucrare, stocare, transmitere sau
distrugere). Literatura de specialitate acordă atenție în principal datelor, introducând conceptele
de:
 data at rest - date care se “odihnesc” pe hard discuri, pe unități de stocare portabile, în
memoriile telefoanelor, pe DVD-uri, CD-uri etc.,
 data in use - date aflate în curs de prelucrare în memoria de “serviciu” a calculatorului,
RAM - documente Word sau registre Excel din sesiunea curentă de lucru, apăsări ale
tastelor, aplicații care rulează;
 data in transit (motion) – date care circulă sub formă de e-mail-uri, mesagerie instant,
nume de utilizator și parole folosite pentru logare, live streaming, date descărcate pe
diverse canale (aer, cablu, relee de telefonie mobilă).
Identificați datele stocate, în utilizare și în tranzit pentru situația în care un utilizator solicită,
prin intermediul unui browser Web, încărcarea listei de produse a unui magazin online.
Importanța datelor derivă din faptul că ele stau la baza creării de informații și cunoștințe dintr-o
organizație. Securitatea lor este, însă, relativ ușor de asigurat cu mijloace tehnice, a căror
utilizare în timp a dus la perfecționarea și adoptarea pe scară largă. Recomandarea noastră este
aceea de a nu pierde din vedere informațiile și cunoștințele organizaționale, în al căror ciclu de
viață sunt implicați oamenii mai mult decât mașinile. Este esențial să nu uităm că securitatea
informațiilor este o problemă umană mai degrabă decât una tehnică, iar procesatorii și
depozitarii de informație asupra cărora trebuie să ne focalizăm atenția de cele mai multe ori sunt
oamenii, și nu echipamentele.
Figura nr. 1. 4 Resurse informaționale – date, informații, cunoștințe

Sursa: Haeckel, S., ABI WhitePaper. The Development & Application of Organizational Knowledge, la
http://www.senseandrespond.com/downloads/Knowledge_Dev_ABI_Whitepaper_1997.pdf
Din punct de vedere contabil, evaluatorii11 recunosc drept active necorporale informațiile:
 de marketing: mărci; designul comercial (culoarea unică, forma sau designul
ambalajului); titluri de ziare; numele domeniilor de internet sau acorduri de
neconcurență;
 legate de clienți sau de furnizori: contracte de publicitate, construcții, management,
servicii sau achiziții; acorduri de licență si redevență; contracte de prestări servicii;
registre de comenzi; drepturi de utilizare, cum sunt dreptul de a fora si a exploata
zăcămintele din subsol, dreptul de a utiliza apa dintr-o sursă de apă, drepturile de survol,
drepturile de exploatare forestieră si dreptul de aterizare sau decolare pe un aeroport;
contractele de franciză; relațiile cu clienții sau listele de clienți;
 legate de tehnologii: drepturi de a utiliza tehnologia (brevetată sau nebrevetată), bazele
de date, formulele, proiectele, programele informatice, procesele sau rețetele;
 de natură artistică: piese de teatru, cărți, filme si muzică.
Figura nr. 1. 5 Resurse informaționale – aspecte de luat în calcul în identificare și analiză

Pentru a încadra informațiile în categoria resurselor informaționale cu adevărat valoroase
(numite și averi informaționale), următoarele întrebări se pot dovedi folositoare12:
 Cât este de utilă pentru organizație informația analizată?
 În caz de dispariție, cât de costisitoare va fi refacerea ei?
11
Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,
http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-tipuri-de-
active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
12 The UK National Archives, What is an information asset?, la http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014

 Vor exista implicații legale, pierderi de imagine sau financiare, dacă informația nu va
putea fi livrată atunci când este nevoie de ea?
 Eficiența operațională va fi afectată dacă informația nu va putea fi accesată cu
ușurință?
 Există riscuri asociate informației, ca de exemplu riscul de a o pierde, de a fi eronată sau
aflată de persoane neautorizate? Care vor fi consecințele absenței, lipsei de acuratețe sau
divulgării informației către persoane neautorizate?
 Unitățile de informație identificate au un conținut specific, ale cărui sens și utilitate sunt
înțelese? Acest conținut variază sau nu în funcție de contextul în care este folosită
informația?
 Informația are un ciclu de viață care poate fi identificat și administrat? Componentele
unității de informație au fost create pentru a servi aceluiași scop? Ele vor fi distruse în
același mod, în conformitate cu aceleași reguli?
Imaginați-vă că lucrați într-un birou de contabilitate din anii 1960, fără nici un fel de
tehnologie digitală13.
Sub ce forme se găsesc resursele informaționale în acest mediu?

 Cum li se asigură securitatea?
Răspundeți la aceleași întrebări luând ca reper un birou de contabilitate din anii 2020.
1.2 Responsabili cu resursele informaționale

După identificarea resurselor/averilor informaționale, fiecare dintre acestea va fi dată în sarcina
unui responsabil.14 Numele persoanei respective trebuie să apară pe lista resurselor/averilor
informaționale, listă care trebuie actualizată permanent, în așa fel încât să reflecte schimbările de
personal și cele care apar în atribuțiile acestuia. Responsabilul nu are și drepturi de proprietate
asupra informației respective. El va răspunde de aplicarea tuturor regulilor de securitate relevante
resurselor informaționale cu care lucrează. Aceste responsabilități trebuie să-i fie comunicate cât
se poate de clar fiecărui responsabil, trebuie să fie scrise în contractele de oferire a accesului la
resurse și în politica de utilizare adecvată a acestora.
În ce privește calculatoarele, laptop-urile, telefoanele mobile pe care informațiile sunt stocate,
responsabilă va fi persoana care le-a primit sau care le folosește în mod curent. Deși managerul
IT este responsabil, de regulă, de resursele de calcul și de software, utilizatorii trebuie să
răspundă și ei în egală măsură de datele, informațiile și software-ul de pe laptop, telefon sau
orice alt dispozitiv pe care l-au primit de la organizație. Pentru toate programele instalate pe
aceste echipamente trebuie să poată fi demonstrată originea lor legală.
Dacă pentru bunurile fizice este relativ ușor să fie stabiliți responsabilii, în cazul averilor
informaționale este mult mai dificilă stabilirea responsabilității asupra lor. În ce privește
informația nouă, o regulă simplă este ca autorul ei să fie responsabil de ea - mai ales dacă
13 University of London, Information Security: Context and Introduction, la
https://www.coursera.org/learn/information-security-data/home/welcome
14 Calder, A., Op. cit., p. 65
informația are o utilizare specifică și limitată în timp, care depinde de autor (valabil pentru
planuri de afaceri, previziuni, scrisori către clienți etc.). Uneori, informația rezultă dintr-un efort
al unui grup/departament, sau este transportată și utilizată, indiferent de origine, de mai multe
persoane din organizație (cazul sistemelor Customer Relationship Management, Enterprise
Resource Planning). Aici se încadrează mai ales informațiile contabile și financiare. În acest caz,
cel mai practic este ca organizația să nominalizeze ca responsabil de aceste informații
persoana/departamentul care le folosește cel mai mult, sau care are cel mai mare control asupra
lor. De exemplu, controlorul/auditorul financiar poate fi responsabil de informațiile din sistemul
contabil, iar managerul de vânzări de cele din CRM.
1.3 Securitate informațională

Securitatea resurselor informaționale este proprietatea acestora de a nu fi afectate de
amenințări/pericole, ceea ce presupune minimizarea amenințărilor și vulnerabilităților
asociate lor.
Securitatea informațională este un obiect de studiu interdisciplinar, care conține elemente de
legislație, management, resurse umane, etică și management al riscurilor.
Resursele informaționale pot fi importante pentru organizație din perspectiva păstrării
caracterului lor secret, a garantării corectitudinii, completitudinii și/sau a disponibilității lor.
În mod tradițional, securitatea informațiilor înseamnă asigurarea confidențialității, integrității
și accesibilității informațiilor organizațiilor.
Confidențialitatea este caracterul secret, privat al informației. Asigurarea acestei

componente a securității înseamnă că informația este vizibilă doar celor care au
dreptul să o acceseze, dar nu și “băieților răi”.
Integritatea este caracterul complet și corect al informației. Trăsătura de

integritate garantează că informația se păstrează în forma ei originală, că nu a fost
modificată decât de persoanele/procesele/programele autorizate în acest sens și că
ea este consistentă, validă și caracterizată de acuratețe.
Accesibilitatea presupune că informația este disponibilă utilizatorilor autorizați să
o acceseze, fără impedimente, la momentul la care ei au nevoie de ea – de
exemplu, pentru execuția sarcinilor de serviciu ale angajaților sau informarea
corectă a terților (clienți, furnizori, instituții ale statului etc.)
Importanța celor trei caracteristici variază în funcție de domeniul și obiectul de activitate al
organizației, ca și în funcție de specificul resursei/averii informaționale.
De exemplu, pentru rețeta de fabricație, procesul tehnologic de obținere a principalului produs al
firmei, codurile de acces, adaosurile comerciale practicate pe fiecare articol vândut etc. este foarte
importantă asigurarea caracterului confidențial, în timp ce pentru bazele de date care reflectă
evidența contabilă sau permit gestiunea studenților (în cazul unei facultăți) primordială este
caracteristica de integritate. Pentru un proprietar al unui magazin Web, dar și pentru clienții
acestuia, accesibilitatea sau disponibilitatea informațiilor despre produse este vitală.
În definiții extinse, celor trei caracteristici care formează triada C.I.A. li se adaugă trăsături ca
validarea prin auditare, autenticitatea, ne-repudierea și respectarea dreptului indivizilor la viața
privată.
Auditul reprezintă examinarea efectuată de un profesionist asupra modului în
care se desfășoară o activitate, prin raportare la criteriile de calitate specifice
acestei activități.15 În centrul auditului stau informațiile referitoare la procese și
fenomene economice. Un sistem sigur trebuie să păstreze „urme” ale tuturor
transformărilor informaționale, în așa fel încât să poată fi cu ușurință auditat.
Autenticitatea, caracterul autentic, este proprietatea care asigură că identitatea unei

resurse informaționale este cu adevărat cea pretinsă.
Ne-repudierea presupune existența unei dovezi că informația a fost transmisă de

o entitate care poate fi identificată, în așa fel încât expedierea ei să nu poată fi
negată în fața unei terțe părți.
Caracterul privat al datelor/informațiilor personale este o condiție a asigurării
dreptului fiecărui individ la viața privată (privacy = dreptul cuiva de a își păstra datele,
problemele și relațiile personale secrete).
Figura nr. 1. 6 Componentele securității informaționale

Atunci când se dorește identificarea resurselor informaționale valoroase ale
! organizației, atenția nu trebuie să se îndrepte exclusiv către nevoia de asigurare a

confidențialității – nu uitați, integritatea și accesibilitatea sunt trăsături măcar la fel de
semnificative ale informației!
15
Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura Universităţii
Alexandru Ioan Cuza din Iași, 2013, p. 9
Completați enunțurile de mai jos cu una dintre componentele triadei C.I.A. (Confidențialitate,
Integritate sau Accesibilitate):
 Pentru a calcula salariile pe luna în curs, directorul unei firme mici are nevoie de pontajele
angajaților. Orice întârziere în accesarea informațiilor despre pontaje duce la întârzieri în
calculul salariilor și poate provoca nemulțumiri ale personalului. De aceea,
_________________________ pontajelor este foarte importantă.
 Pentru o clinică privată de psihiatrie, lista clienților care au apelat la serviciile sale este o
resursă informațională valoroasă. Divulgarea ei către persoane neautorizate ar putea provoca
clinicii prejudicii majore, de imagine și financiare. Prin măsurile luate, listei trebuie să i se
garanteze _____________________________ .
 Sumele pe care abonații unei companii de telefonie mobilă i le datorează acesteia sunt o
informație importantă pentru companie, mai ales din perspectiva ___________________. O
eroare nesemnalată sau necorectată, atunci când vine vorba de valori monetare, poate produce
prejudicii părților implicate.
1.4 Clasificarea resurselor informaționale

Clasificarea resurselor informaționale (denumite în continuare, pe scurt, informații) presupune
încadrarea lor în categorii, în funcție de importanța pe care o au pentru organizație și de
gravitatea problemelor care vor apărea dacă informațiile vor fi divulgate, alterate sau distruse
fără autorizație.
Din perspectiva necesității de a li se asigura confidențialitatea, adică a păstrării caracterului lor
secret, informațiile pot fi clasificate, așa cum se prezintă în tabelul nr. 1.1, în:
 informații publice;
 informații interne;
 informații confidențiale;
 informații strict secrete (cu acces limitat).
Informațiile publice sunt acele informații care pot fi comunicate fără nici o implicație negativă
pentru organizație – din contră, pentru multe dintre ele, difuzarea poate aduce câștiguri
importante. Pierderea lor în urma unui atac este un pericol care poate fi acceptat. Diseminarea lor
către public se face prin canale autorizate, cum ar fi relatările din presă sau pagina Web a
organizației.
Informațiile interne sunt informațiile care nu au fost expres autorizate pentru dezvăluirea
publică. Accesul la aceste informații trebuie prevenit dar, dacă ele devin publice, consecințele nu
sunt critice. Accesul intern este selectiv, iar integritatea lor nu este vitală. Pentru o mai bună
manipulare, calificativul “intern” este acordat ținându-se cont de cel mai sensibil material, iar
datele și informațiile trebuie să aibă nivelul de clasificare și implicit de protecție pe care îl cere
formatul lor de stocare (electronic sau pe hârtie).
Informațiile confidențiale sunt informațiile a căror compromitere/aflare de către persoane
neautorizate poate avea un impact negativ asupra organizației, angajaților și/sau partenerilor
acesteia. Dacă aceste date/informații sunt accesate de persoane neautorizate, poate fi influențată
eficiența operațională a organizației, pot apărea pierderi financiare importante, poate fi asigurat
un avantaj unui competitor sau poate scădea încrederea consumatorilor.
Informațiile strict secrete sau cu acces limitat sunt toate informațiile a căror
compromitere/aflare de către persoane neautorizate va avea un impact negativ sever (financiar,
legal, organizatoric sau din punct de vedere al reputație organizaționale). Informațiile din această
categorie au o natură extrem de sensibilă și cer verificări specifice, individuale, înaintea
accesului la ele. Numărul indivizilor care pot avea acces la ele trebuie să fie foarte mic, iar
utilizarea lor se face respectând reguli foarte stricte. Cerințele de protecție ale informațiilor strict
secrete le depășesc pe cele ale informațiilor confidențiale.
Tabelul nr. 1. 1 Clasificarea informațiilor din perspectiva pierderilor provocate în cazul divulgării. Exemple
Sursa: prelucrare după King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001, pp. 43-44
Informații publice  materialele de marketing și alte materiale publicitare

 articole de ziar și revistă privind organizația
 datele de contact ale organizației
 prețurile de vânzare finale
 descrierea comercială a produselor
 bilanțul contabil, contul de profit și pierdere
 manualele de utilizare ale echipamentelor și aplicațiilor procurate
din comerț
 fișele posturilor scoase la concurs
Informații interne  informații din domeniul resurselor umane (numele și prenumele
angajaților, postul ocupat, agenda telefonică internă a organizației,
birourile ocupate de angajați, programul acestora, salariul minim de
încadrare pe un post)
 regulamentele de organizare și funcționare internă
 materialele de instruire a angajaților din organizație
 politicile și standardele de securitate
 planurile de recuperare în urma dezastrelor și de reluare a
activității
 sistemele de e-mail ale organizației
 brevetele de invenție
 datele folosite în procesele de cercetare și dezvoltare, dar obținute
din surse publice
Informații  rapoarte financiare ale organizației (de exemplu, cele privind
confidențiale costurile)
 rapoartele de audit intern
 datele privind costurile de achiziție a materiilor prime și
materialelor
 datele privind costurile de producție
 salariile angajaților
 vulnerabilitățile măsurilor de securitate informațională
 planurile clădirilor
 datoriile față de furnizori
 balanțele de verificare
 contractele de achiziție și informațiile legate de licitații
 planurile de afaceri pe termen scurt
 codul sursă al software-ului propriu al organizației
Informații strict  informații din etapa premergătoare realizării produsului (informații
secrete (cu acces despre produsele noi, schițe sau reclame încă nedifuzate)
limitat)  planuri de afaceri strategice, pe termen lung

 rapoarte ale unor expuneri semnificative la risc
 rapoarte care arată instabilitatea financiară
 parolele și codurile de acces
 poziționarea seifurilor organizației
 configurația firewall-urilor
Din punctul de vedere al integrității, adică al necesității de a li se păstra caracterul corect și

complet, informațiile se pot încadra în următoarele clase:
 informații (cu nevoie) de integritate joasă;
 informații (cu nevoie) de integritate medie;
 informații (cu nevoie) de integritate înaltă.
Integritatea trebuie analizată mai degrabă la nivelul conglomeratelor de date/informații, cum ar fi
bazele de date sau situațiile centralizatoare.
O clasificare similară poate fi făcută și din perspectiva nevoii de a asigura accesibilitatea
informației, adică disponibilitatea sa, la momentul oportun, pentru utilizatorii autorizați:
 informații (cu cerințe) de accesibilitate joasă;
 informații (cu cerințe) de accesibilitate medie;
 informații (cu cerințe) de accesibilitate înaltă.
1.5 Aplicație - inventarul și clasificarea informațiilor importante ale unei

organizații
De exemplu, în cazul unei universități putem regăsi ca resurse informaționale
Aplicație următoarele:
 informații despre studenți:
o date de identificare ale studenților: matricol, nume și prenume, locul nașterii, data
nașterii;
o date financiare: numărul de cont, date despre instituția financiar-bancară, situația plății
taxelor;
o istoric academic: diploma de bacalaureat, foaia matricolă, situația școlară – note,
rezultate evaluări;
o date de contact ale studenților: adresă, e-mail, număr de telefon;
o date de acces în rețea: nume de cont, parola;
o date administrative: repartizarea pe specializări și grupe, lista cazărilor, situația
burselor, orarul;
 informații despre cadrele didactice:
o date de contact ale cadrelor didactice: adresă, e-mail, număr de telefon;
o date privind performanțele academice: post ocupat, listă de lucrări, participări la
conferințe etc.;
o date de acces în rețea: nume de cont, parola;
o orarul;
 informații despre discipline:
o orarul; programa analitică; cerințe proiect;
o subiectele la examen;
 regulamentele universității.
Deși inventarul preliminar prezentat mai sus aduce unele clarificări în procesul de identificare a
averilor informaționale, unul dintre neajunsurile sale este, însă, faptul că tratează informațiile
într-un mod mai degrabă abstract, iar acest lucru nu ajută organizația în luarea de măsuri de
securitate concrete.
De exemplu, dacă discutăm despre subiectele la examen, putem conveni cu ușurință că ele trebuie
păstrate secrete înainte de data examenului. Pentru aceasta, vor trebui supuse securizării:
- procesatorii, adică profesorii care creează subiectele, dar și aplicația software în care ele sunt
editate (care poate fi Microsoft Word, Moodle sau un editor specializat de teste grilă);
- calculatorul pe care ele sunt stocate, stick-ul pe care sunt copiate pentru situația în care
documentul original ar fi afectat, foile de hârtie pe care sunt imprimate în vederea multiplicării,
imprimanta la care sunt listate;
- echipamentele care asigură multiplicarea (copiatoare) și distrugerea copiilor nefolosite (tocătoare

de hârtie);
- imaginile captate de camerele de luat vederi din camera în care se face multiplicarea;
- rețeaua prin care circulă fișierul cu subiectele (dacă, de exemplu, este partajat prin e-mail sau
printr-un serviciu de transfer de fișiere de către mai mulți profesori care lucrează împreună la
elaborarea lor) etc.
Reluați exemplul de mai sus (cel cu subiectele de la examen) pentru informații cu care
lucrați la locul de muncă sau pe care le folosiți într-un alt context. Identificați procesatorii,
suporții, transportatorii și senzorii asociați respectivelor informații.

Aplicație Clasificarea informațiilor identificate mai sus din perspectiva nevoii de

confidențialitate, integritate și accesibilitate poate arăta ca în figura nr. 1.7.
Figura nr. 1. 7 Clasificarea resurselor informaționale din perspectiva confidențialității, integrității și accesibilității
Decizia de clasificare pentru resursa informațională “subiectele la examen” (înainte de susținerea
examenului) a fost luată pe baza următoarelor considerente:
 subiectele trebuie să fie strict secrete, deoarece divulgarea lor către persoane neautorizate ar
afecta corectitudinea evaluării studenților;
 nivelul de integritate aferent subiectelor trebuie să fie ridicat – ele trebuie să reflecte în mod
corect și cât mai complet materia predată, să nu conțină întrebări sau probleme cu greșeli sau
neadaptate la suportul de studiu, iar împerecherea dintre întrebări și răspunsuri nu trebuie să
fie greșită (în baremul de corectare);
 accesibilitatea subiectelor pentru utilizatorii autorizați (profesorul titular și colaboratorii
acestuia) trebuie să fie de asemenea înaltă, în sensul că ei trebuie să le aibă la dispoziție în
timp util în raport cu data și ora susținerii examenului, pentru a nu provoca disfuncționalități
ale activității de evaluare.
Întocmiți asemenea justificări și pentru informații cu care lucrați la locul de muncă sau pe
care le folosiți într-un alt context.

1.6 Cerințe proiect – partea 1

Proiect - partea 1. Resurse informaționale și clasificarea lor
! În proiect, nu precizați denumirea organizației la care faceți analiza sau orice alt
detaliu care să permită identificarea acesteia! Penalizare: 5 puncte din 10.
1.1 Identificați, într-o organizație pe care o cunoașteți, o resursă informațională

importantă a acesteia, adică o avere informațională. Precizați motivele pentru care ea
este importantă, folosind ca reper întrebările de la finalul paragrafului 1.1 din
suportul de curs.
1.2-1.5 Precizați, pentru averea informațională de la 1.1:

 procesatorii (echipamentele și oamenii care o prelucrează);
 suporții (locurile) de stocare;
 eventualii senzori care îi pot fi asociați;
 transportatorii.
1.6 Cine este responsabilul cu averea informațională identificată la 1.1?
1.7-1.9 Clasificați averea informațională din punctul de vedere al cerințelor de

confidențialitate, integritate și accesibilitate.
1.10 Motivați încadrarea pentru una dintre caracteristicile de mai sus

(confidențialitate, integritate, accesibilitate).
Rezumat
Unitatea de studiu 1 a tratat:
 conceptele de resursă informațională (orice informație care are valoare pentru
organizație) și avere informațională (o resursă informațională cu valoare mare pentru
organizație), atât din perspectivă abstractă, cât și pragmatică (bazată pe identificarea
procesatorilor, suporților, transportatorilor și senzorilor asociați informației);
  importanța diferită, în funcție de context, a asigurării confidențialității (caracterului

secret), integrității (caracterului corect și complet) și accesibilității (disponibilității pentru
cei autorizați) informației;
 pașii realizării unui inventar al resurselor informaționale importante pentru
organizație;;
 clasificarea resurselor informaționale ale organizațiilor din punctul de vedere al
confidențialității, integrității și accesibilității acestora.
Bibliografie
1. ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului,
http://www.digi24.ro/stiri/sci-tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-
a-internetului-461286, publicat pe 26.11.2015, accesat pe 03.03.2017
2. Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
3. Chersan, I. C., Auditul financiar de la normele naționale la standardele internaționale, Editura
Universității Alexandru Ioan Cuza din Iași, 2013
4. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
5. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
 6. Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,

http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-
tipuri-de-active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
 7. Haeckel, S., ABI WhitePaper. The Development & Application of Organizational Knowledge, la
8. King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001
9. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicații pentru studenții Facultății
de Inginerie, Universitatea din Bacău
10. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress, Iași,
2014
11. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View,
John Wiley&Sons, UK, 2009
12. The UK National Archives, What is an Information Asset?, la http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014
13. University of London, Information Security: Context and Introduction, la
Amenințări care vizează resursele informaționale ale
organizațiilor
Prin această unitate de studiu, dorim să vă convingem că există o gamă largă de

amenințări care vizează resursele informaționale ale unei organizații, iar ea se extinde
simultan cu dezvoltarea tot mai rapidă a tehnologiilor informaționale și de comunicații
(TIC). După ce veți parcurge materialul:
 veți cunoaște amenințările care „pândesc” organizațiile contemporane;
 veți avea o atitudine mai precaută față de acestea.
 categoriile de amenințări întâlnite în organizațiile contemporane;
 factorii naturali și condițiile improprii de mediu;
 erorile umane, software și defecțiunile hardware;
 atacurile informatice și non-informatice.
Lipsa de încredere și precauția sunt părinții securității.

Benjamin Franklin
2.1 Categorii de amenințări de securitate informațională întâlnite în

organizațiile contemporane
O amenințare (sau pericol) este o acțiune/situație care periclitează securitatea resurselor
informaționale ale unei organizații, o cauză potențială a unui incident de securitate.
Un incident de securitate informațională este o întâmplare cu consecințe neplăcute care
afectează datele, informațiile, cunoștințele organizației sau măsurile de protecție instituite.
Vulnerabilitatea este o slăbiciune a resursei informaționale sau a măsurilor de securitate care o
protejează. Vulnerabilitatea face posibil incidentul de securitate - un mod nedorit de exploatare a
resursei informaționale de către o amenințare specifică.
Tabelul nr. 2. 1 Surse de vulnerabilitate
Sursa: Trcek, D., Managing Information Systems Security and Privacy, Springer, Berlin, Heidelberg, 2006, p. 23
 sensibilitatea la condițiile de mediu
 dependența de piese de schimb și consumabile
Hardware
 întreținerea ineficientă
 lipsa procedurilor de scoatere corectă din uz
 specificații de programare proaste
 proceduri de testare insuficiente sau nepotrivite
Software  complexitate ridicată a produselor
 lipsa de mecanisme de control al accesului
 proceduri de autentificare și autorizare inadecvate
US2. Amenințări care vizează resursele informaționale
 instalare necontrolată de produse software neautorizate de către

departamentul IT
 lipsa documentației
 absența back-up-urilor regulate
 lipsa de proceduri de scoatere corectă din uz
 medii neprotejate
De comunicații  un management inadecvat al cablurilor și rețelei
 lipsa serviciilor de securitate
Asociate
 probleme ale serviciilor de utilități
infrastructurii
 stocare inadecvată
 lipsa personalului potrivit
Asociate  absența programelor de training în domeniul securității
documentelor informaționale
 lipsa conștientizării importanței securității
 personal nesupravegheat
 protecție fizică inadecvată/absentă
 protecție electromagnetică inadecvată/absentă
Asociate mediului
 localizare eronată a clădirilor și camerelor (cu acces fizic facil sau
expuse la vibrații, praf, umiditate)
Riscul este consecința interacțiunii între resursele informaționale și amenințări sau potențialul
unei anumite amenințări de a exploata vulnerabilitățile unei resurse informaționale și de a-i
provoca prejudicii.
Figura nr. 2. 1 Peisajul amenințărilor

Prin peisajul amenințărilor înțelegem o colecție de amenințări identificate, de tendințe
observate și de agenți implicați în acțiuni care prejudiciază resursele informaționale.
Insecuritatea organizațiilor contemporane este generată astăzi de cauze multiple și variate. Trăim
vremuri de scenariu science-fiction, în care se realizează super-arme informatice ca Stuxnet (pe
scurt, un vierme informatic programat să infecteze echipamentele și software-ul industrial de tip
Siemens) sau Duqu, atacurile cibernetice globale cauzate de bătăliile între autorii de viruși sunt la
ordinea zilei, frigiderele expediază spam, hacker-ii atacă institutele de cercetări spațiale, iar
Wikileaks publică documente naționale și internaționale până nu demult strict-secrete.
Conștienți că pericolele de mai sus pot părea îndepărtate și improbabile pentru un antreprenor
sau un angajat român implicat în afaceri dintre cele mai non-hollywood-iene, aducem în atenție
un inventar succint al amenințărilor posibile într-o organizație contemporană, împărțite în trei
mari categorii16:
 factori naturali și condiții de mediu care afectează informațiile;
 incidente de diverse tipuri (erori umane, defecțiuni tehnice, probleme ale software-
ului);
 atacuri informatice și non-informatice.
2.2 Factori naturali și condiții improprii de mediu

Resursele informaționale pot fi afectate de schimbări bruște în natură, provocate de dezlănțuirea
unor fenomene ca incendiile, inundațiile, cutremurele, furtunile, înghețurile etc. Aceste dezastre
sunt greu de prevăzut și pot afecta echipamentele informatice, suporturile pe care sunt stocate
datele, liniile de comunicații etc.
În ceea ce privește condițiile improprii de mediu, umiditatea excesivă, temperaturile prea ridicate
sau prea scăzute, praful din organizație pot duce, de asemenea, la defecțiuni ale echipamentelor
informatice și ale suporturilor de stocare.
Inundațiile frecvente din România provoacă pierderi și din punct de vedere informațional, cum
ar fi deteriorarea arhivelor sau defecțiuni ireversibile ale echipamentelor hardware. Chiar dacă nu
sunt suficient de mediatizate, nefiind foarte spectaculoase pentru publicul larg, pierderile există
și sunt costisitoare.
Ziarul Informația zilei din Maramureș anunța, pe 1 august 2008, că „arhiva școlii din Moisei a fost
inundată”.17 Potrivit Ziarului de Iași, „în Arhiva Judecătoriei din municipiu au loc inundații de fiecare
dată când plouă sau cad ninsori mai abundente”.18 Obligația instituțiilor ale căror arhive sunt inundate este
de a anunța Arhivele Naționale în termen de 24 ore. Recomandări tehnice privind recuperarea și salvarea
arhivei inundate19 au fost publicate de Arhivele Naționale din România la data de 3 iulie 2013.
... Administrația Națională „Apele Române” publică, pe site-ul său
http://www.rowater.ro/, în secțiunea Directiva Inundații, hărți de hazard și risc la
inundații, care pot fi consultate atunci când se ia decizia de amplasare a unui centru
de date sau a unei arhive? O asemenea hartă, în ansamblu și în detaliu, este
prezentată în figura nr. 2.2.
r
16
Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
17
***, Arhiva școlii din Moisei a fost inundată, 1.08.2008, la http://www.informatia-zilei.ro/sm, accesat la
13.03.2014
18 Nedelcu, C., Inundaţii în Arhiva Judecătoriei, 27.07.2010, la http://www.ziaruldeiasi.ro/local/inundatii-in-
arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014

19 http://arhivelenationale.ro/site/2017/07/31/recomandari-tehnice-privind-recuperarea-si-salvarea-arhivei-
inundate/
Nerespectarea limitelor optime de temperatură și umiditate prescrise de producători și/sau

organizațiile de profil în camera serverelor/camerele cu calculatoare poate duce la defectarea
acestora.
Deschiderea unui șantier, sursă importantă de praf, lângă sediul organizației este de asemenea
periculoasă pentru echipamentele informatice (hard disc, unități de inscripționare CD-uri/DVD-
uri etc.). Calculatoarele electronice pot fi afectate și de alte particule sau gaze care, în combinație
cu umiditatea sau temperatura aerului, pot produce defecțiuni.
Figura nr. 2. 2 Hărți de hazard și risc la inundații (sus în ansamblu, jos în detaliu)
Sursa: http://gis2.rowater.ro:8989/flood/
Figura nr. 2. 3 Limite ale conținutului de particule și gaze din aer pentru camera serverului IBM System x3100 M4
Type 2582, preluate din standardul ASHRAE
Sursa: http://content.etilize.com/user-manual/1022694445.pdf
... există o organizație tehnică non-profit, specializată în tehnologii de răcire, numită
„American Society of Heating, Refrigerating and Air-Conditioning Engineers”, sau
ASHRAE, cu site-ul la: http://www.ashrae.org/, al cărei comitet tehnic nr. 9.9
elaborează standarde și recomandări legate de mediul de lucru al calculatoarelor? Sfaturile acestor

profesioniști sunt preluate, așa cum se poate observa în figura nr. 2.3, de producătorii de
echipamente de calcul și prezentate utilizatorilor în cartea tehnică a dispozitivelor.
În 2016, principalul centru de date al ING Bank din București a fost grav afectat în timpul unui test
de rutină de stingere a incendiilor. Centrul a fost deconectat timp de aproximativ 10 ore după ce un
zgomot extrem de puternic a fost emis în timpul exercițiului, ceea ce a determinat zeci de hard disc-
uri ale băncii să fie grav compromise. Site-ul băncii a fost de asemenea offline și mai multe
tranzacții financiare au fost afectate în weekend. Deteriorarea a fost cauzată de un sunet puternic,
de peste 130 de decibeli, care a fost emis la eliberarea de gaz inert în timpul testului.20
2.3 Erori care pot provoca incidente de securitate informațională

Erorile din zona securității informaționale pot fi clasificate în21:
 Erori umane - greșelile angajaților care lucrează în sistemul informatic sunt frecvente, pot fi
foarte periculoase pentru organizație și constau, de exemplu, în:
o pierderea laptop-urilor sau a suporturilor pe care se aflau informații importante.
Pierderea laptop-ului cu datele organizației se poate dovedi a fi de 100 de ori mai scumpă
decât valoarea sa22, chiar o „mică Apocalipsă” pentru unii angajați sau proprietari de
firme;
o uitarea sau divulgarea neintenționată a elementelor de acces la sistemul informatic al
firmei. Folosirea unor parole neinspirate (date personale ca numărul de la mașină sau
numele animalului de casă, cuvântul „contabil” pentru contul de acces în aplicația
informatică de contabilitate a firmei, combinații frecvente de taste de genul „qwerty” sau
„123456”, parole implicite neschimbate la timp) poate face accesarea sistemului foarte
facilă pentru persoane rău-intenționate;
o ștergeri de date;
o introducerea de date eronate, gravă mai ales în cazul în care se lucrează cu o aplicație
informatică de tip ERP (Enterprise Resource Planning), caz în care eroarea se propagă
automat la toate departamentele organizației. De exemplu, preluarea unei cantități
comandate de către un client mai mare decât cea reală poate avea ca efecte facturarea
unei sume prea mari de către Departamentul Vânzări și nemulțumirea din partea
clientului, achiziția unor stocuri inutile de materii prime și materiale la Departamentul de
Achiziții și obținerea unui surplus de produse, prin consum de resurse de timp și de
muncă, la Departamentul Producție;
20
Ashok, I., A Loud Noise Shut Down ING Bank's Main Data Centre in Bucharest for 10 Hours, Intenrational
Business Times, la https://www.ibtimes.co.uk/loud-noise-shut-down-ing-banks-main-data-centre-bucharest-
10-hours-1580799, publicat pe 14.09.2016, accesat pe 3.02.2020
21 Prelucrare după Oprea, D., Op. cit.
22 ***, Pierderea laptopului, de 100 de ori mai scumpă decât valoarea sa, 29.04.2009, la
http://www.ziare.com/internet-si-tehnologie/internet/pierderea-laptopului-de-100-de-ori-mai-scumpa-decat-
valoarea-sa-734799, accesat la 16.08.2012
o ne-actualizarea la timp a aplicațiilor informatice. De exemplu, neactualizarea la timp a

aplicației antivirus poate face ca aceasta să nu reacționeze la apariția unui nou pericol
informatic, iar acesta să realizeze efectul distructiv pentru care a fost programat etc.
Cauzele erorilor sunt diverse: necunoașterea modului de lucru al calculatoarelor, entuziasmul
excesiv, oboseala, indiferența în executarea sarcinilor de lucru etc.23
 Defecțiuni ale echipamentelor informatice - câteva exemple sunt:
o CD-uri, DVD-uri zgâriate, de pe care datele nu mai pot fi citite,
o hard disk-uri arse,
o USB stick-uri distruse.
Dintre defecțiunile echipamentelor informatice, cele mai periculoase sunt cele care afectează
hard discul. Ele pot surveni din motive diverse (supratensiuni în sistemul de alimentare cu
energie electrică, praf, viruși sau viermi). Deși există programe variate de recuperare a datelor,
condiția ca acestea să poată fi rulate este funcționarea mecanismului de rotire a hard discului.
Dacă acesta este ars, datele nu vor mai putea fi citite. De asemenea, USB stick-urile sau
memoriile flash devin ... perisabile în condițiile folosirii frecvente.
 Erori ale sistemului de operare sau ale aplicațiilor informatice. Programele utilizate
astăzi de organizații au dimensiuni impresionante, fapt pentru care apar frecvent erori în
funcționarea lor. Folosirea programelor fără licență face ca îmbunătățirile aduse acestora de
realizatori să nu fie disponibile pentru utilizatori, iar organizația să fie expusă la infestarea cu
malware (malicious software – software cu intenții maligne). Cu toții suntem familiarizați cu
mesaje de eroare care apar frecvent în aplicațiile utilizate, în special ca urmare a
complexității lor. Erorile aparent banale, de genul neactualizării la timp a sistemului de
operare sunt la fel de periculoase ca și erorile fatale – de aceea, sistemele nu trebuie lăsate să
funcționeze cu așa-numitele „defecte acceptabile”, al căror impact se acumulează în timp și
este greu de prevăzut/cuantificat.
Potrivit raportului ENISA24, în 2016 cele mai frecvente erori au fost:
- greșeli în ciclul de prelucrare a datelor,
- folosirea de hardware neaprobat și
- folosirea de software nelicențiat.
Pierderile de date au fost provocate în proporție de 40% de pierderea dispozitivelor (laptopuri,
tablete, USB-uri, telefoane mobile, print-uri, CD/uri, DVD/uri etc.), de 100 de ori mai frecvente
decât furtul. Mai grav este că datele de pe 70% din aceste dispozitive nu erau criptate, fiind
disponibile în clar celor care au găsit dispozitivele.
În 2018, potrivit unui studiu realizat de experți în cibersecuritate citat în raportul ENISA25, erorile
umane care au dus la apariția de incidente de securitate au fost:
- răspunsul la mesajele de tip phishing (67%),
23
Oprea, D., Op. cit.
24 ENISA 2016, Op. cit.
25
ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
- parolele slabe sau folosirea acelorași parole pentru aplicații diferite (56%),
- dispozitivele TIC neblocate (44%),
- practica de a împărtăși parolele cu colegii (44%) și
- folosirea rețelelor WiFi nesecurizate (32%).
De asemenea, studiul a arătat că principalul motiv care face organizațiile vulnerabile este alocarea
de privilegii exagerate angajaților.
Din punct de vedere hardware, cazul Galaxy Note 726 a fost capul de afiș în 2016, cu peste 100 de
cazuri de explozii ale bateriei înregistrate, dintre care unele cu efecte foarte serioase: intoxicații la
plămâni ale utilizatorilor, mașini în flăcări – ne putem imagina ușor și dispariția datelor din
memoria phabletei.
Pe 26 martie 2016, o actualizare a software-ului a fost cauza probabilă a distrugerii telescopului
japonez cu raze X Hitomi, lansat pe orbita Pământului. Valoarea aparaturii distruse a fost de 286
milioane de dolari.27
2.4 Atacuri informatice și non-informatice

În lumea digitală, amenințările pot proveni28 de la:
 infractori (hoți, membri ai grupărilor de crimă organizată);
 rău-făcători (hackeri, vandali, teroriști, ciber-luptători, foști și actuali angajați);
 spioni (comerciali sau guvernamentali);
 spamm-eri, tocilari;
 incompetenți/ persoane care nu au știință despre pericolele pe care le pot cauza (personal,
contractori, clienți și alți terți).
Atacurile informatice pot fi29:
 reale: infracțiuni cibernetice (fraude bancare cu cărți de credit, furt de parole pentru
șantaj, deblocarea consolelor video, furt de identitate, spionaj industrial);
 simbolice: imaginea țintei este murdărită (prin site-uri Web contrafăcute, date plasate pe
server etc.);
 imaginare: gen Y2K, agresorii creează frică irațională
sau30:
26
Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-sua/, 13.09.2016,
accesat la 12.03.2017
27 Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat pe 2.05.2016,
la https://hackaday.com/2016/05/02/software-update-destroys-286-million-japanese-satellite/#comments,
28 Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 2
29 Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John
Wiley&Sons, UK, 2009, p. 165

30 Idem, p. 166.
 curente: malware, furt de identitate, spoofing, phishing, pharming, Denial of Services –

cu impact minor, deoarece, până la urmă, un virus informatic nu a omorât niciodată pe
nimeni, iar costul distrugerilor provocate este adesea exagerat;
 viitoare: furtul de putere de calcul, atacuri asupra flotelor de mașini, avioanelor și
stimulatoarelor cardiace controlate de calculator etc.
Printre tendințele31 care pot fi identificate în peisajul actual al atacurilor informatice menționăm:
 cursa dintre atacatori și atacați continuă în permanență;
 reînnoirea (metamorfoza) atacurilor are loc o dată la 3 ani;
 atacatorii cresc continuu complexitatea atacurilor și instrumentelor folosite;
 multe state-națiuni au atins maturitatea în ciberspațiu și au capacitatea de a ataca în acest
mediu atât ținte private cât și guvernamentale;
 modele de atacuri și instrumente care vizau acum câțiva ani PC-urile au migrat astăzi
către eco-sistemul mobil;
 s-au deschis noi teatre de luptă digitale: Big Data, Internetul Obiectelor.
Amenințările digitale au caracteristici diferite32 în comparație cu cele din lumea fizică. Câteva
dintre aceste particularități sunt:
 automatizarea: calculatoarele automatizează sarcinile obișnuite de lucru, dar și activitățile
distructive/ilegale (exemple: spam, Distributed Denial of Services);
 datele sunt stocate în mediile digitale în cantități mult mai mari decât în cele tradiționale,
pot fi mult mai rapid interogate, mutate, copiate (spam-ul, furtul de identitate,
supravegherea devin mult mai ușoare);
 acțiunile la distanță: în ciberspațiu, băieții răi sunt doar la un click distanță, infractorul
care încearcă să fure informații sau bani poate fi în Cecenia, China sau pe o insulă din
Pacific, dar va fi la fel de eficient și rapid ca infractorul de vis-a-vis, în schimb mult mai
greu de descoperit și probabil cu mult mai mult succes financiar;
 propagarea: în World Wide Web, ideile, competențele și instrumentele digitale circulă cu
foarte mare viteză (comunități de hackeri, botnets).
2.4.1 Viruși, viermi și cai troieni

Virușii informatici sunt programe de mici dimensiuni care provoacă o gamă foarte largă de
efecte, în marea lor majoritate negative, și care au proprietatea de autocopiere. Virușii pot viza
atât partea software cât și cea hardware a calculatoarelor electronice, iar reproducerea lor are loc,
de regulă, fără știrea utilizatorului. Fiecare program afectat se comportă la rândul lui ca un virus,
infecția crescând astfel în proporție geometrică.
31
Marinos, L., ENISA Threat Landscape 2013 - Overview of Current and Emerging Cyber-Threats, 11
December 2013, la https://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats, accesat la 8
octombrie 2014, p. 2
32 Calder, A., Op. cit., p. 3
Viermii informatici sunt programe cu capacitatea de a se auto transmite în rețelele de

calculatoare, fără intervenția utilizatorului. Spre deosebire de viruși, ei nu se atașează unor
fișiere. Chiar dacă viermele nu este programat să desfășoare o anumită acțiune negativă, însăși
răspândirea sa are ca efect îngreunarea lucrului în rețea, prin consumul de lărgime de bandă.
Un cal troian este un program rău-voitor “deghizat” într-un dar pentru utilizator (într-un
software legitim). Programele de tip troian nu sunt viruși, însă pe un computer infectat pot lucra
„mână în mână” cu aceștia.
Peisajul amenințărilor informatice rezultat din acțiunea concertată și combinată a virușilor,
viermilor și cailor troieni este unul foarte vast și cu detalii de o varietate infinită.
În unele cazuri, virușii și viermii pot fi foarte … mondeni: Sober.P a trimis în 2005 mesaje false
legate de momentul deschiderii caselor de bilete la Campionatul Mondial de fotbal, infectând mii de
calculatoare din 40 de țări, în ciuda dezmințirilor rapide ale FIFA; alți „colegi” ai săi au atacat Mp3
player-e și console de jocuri Sony. În anul 2016, mesajele spam care au transportat malware au avut
ca subiecte principale campionatul de fotbal Euro 2016 și Jocurile olimpice din Brazilia și au
încercat să ademenească utilizatorii în loterii pentru bilete.
La celălalt capăt al spectrului de periculozitate, găsim virușii care au scopul de a ataca sistemele
industriale.
Stuxnet33, prima „super-armă cibernetică” din lume, a fost construit cu scopul de a ataca centrala
nucleară iraniană de la Busehr, de a prelua controlul circuitelor din interiorul acesteia și de a cauza
pagube materiale. Stuxnet este un atac informatic care se răspândește pe calculatoare pe care este
instalat sistemul de operare Windows, a fost descoperit în luna iunie a anului 2011 de o firmă din
Belarus numită Virus Blok Ada și este primul virus de calculator care are rolul de a spiona și de a
reprograma sistemele industriale. El a fost scris pentru a ataca sistemele de control și achiziție a
datelor folosite pentru controlul și supravegherea proceselor industriale. Stuxnet are capacitatea de
a reprograma controlerele programabile (super computere care gestionează procesele automate
dintr-o fabrică) și de a ascunde modificările efectuate. El funcționează astfel:
1. virusul pătrunde în calculatoarele cu sistemul de operare Windows prin stick USB. Fiind în
posesia unui certificat digital contrafăcut, păcălește mecanismele de auto-detectare instalate în
sistem;
2. se transmite apoi din calculator în calculator prin metoda peer-to-peer;
3. se comportă diferit în funcție de tipul de computer pe care l-a infectat - dacă nu este un computer
care coordonează procese industriale, desfășoară doar activități de multiplicare pentru a răspândi
infecția;
4. dacă ajunge pe un calculator industrial, caută conexiuni la dispozitivele digitale de coordonare a
proceselor industriale. Sunt vizate dispozitive care controlează un sistem centrifug de mare viteză,
folosit pentru îmbogățirea combustibilului nuclear;
33
***, Stuxnet – virusul care ar putea declanșa cel de-al treilea Război Mondial, la http://stiri.acasa.ro/auto-
tehno-190/it-c-191/stuxnet-virusul-care-ar-putea-declansa-cel-de-al-treilea-razboi-mondial-144970.html,
26.11.2010, accesat la 2.09.2012, Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-cibernetic-foarte-
sofisticat-si-unic-in-lume/, 27.01.2011, accesat la 5.09.2012, Kushner, D., The Real Story of Stuxnet, 2013,
IEEE Spectrum, http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet, accesat la 21.05.2014
5. reprogramează aceste dispozitive de control, exploatând o vulnerabilitate de tip „zero day”,

nedepistată de realizatorii sistemului de operare și le monitorizează activitatea, spionând
activitatea centrifugii. Cu informațiile dobândite, o face să se învârtă până ce se strică;
6. ascunde infectarea și reprogramarea dispozitivelor, astfel încât operatorul să nu detecteze
modificarea comportamentului dispozitivului.
Deși nu se cunoaște cu certitudine cine stă în spatele acestui vierme informatic, presa
internațională și experți în IT au propus unele ipoteze. Experți ai firmei de securitate informatică
Lumension au afirmat că Stuxnet este "cel mai rafinat cod viral descoperit vreodată, dedicat
afectării infrastructurii critice". Symantec crede că grupul de programatori care a dezvoltat Stuxnet
trebuie să fi fost unul bine finanțat, alcătuit din 5-10 persoane care au avut nevoie de aproximativ 6
luni pentru a scrie codul.
Stuxnet a deschis drumul pentru atacuri similare:
- Duqu, creat pentru atacuri asupra infrastructurii critice, precum centralele electrice, rafinăriile
petroliere și conductele de petrol;
- W32.Narilam, creat cu scopul de a deteriora datele și de a ataca sistemele care răspund de
comenzi, contabilitate și management în Iran34;
- Linux.Darlloz Worm, capabil să infecteze routere-le utilizatorilor casnici de Internet, camerele
video și alte dispozitive conectate la Internet.35
2.4.2 Scareware și ransomware

Scareware sunt escrocherii informatice prin care utilizatorii sunt speriați că folosesc un
dispozitiv virusat. Mesajele încearcă să convingă oamenii să cumpere soluții antivirus false, iar
aceștia vor plăti pentru instrumente de dezinfecție complet inutile.
Figura nr. 2. 4 Mesaje ale unor antiviruși falși

Sursa: http://sites.wccnet.edu/its-training/watch-out-for-fake-virus-alerts/
34
Conform datelor de pe site-ul radio-ului “Vocea Rusiei”, http://romanian.ruvr.ru/2012_11_26/95981330/,
accesat 6.12.2013
35 Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-things-devices/,
Ransomware înseamnă software cu intenții rele răspândit prin fișierele atașate la e-mail-urile
deschise de utilizatorii inocenți pe calculatoarele de la locul de muncă sau de la domiciliu sau
prin reclamele de pe site-uri infectate. Acest tip de atac are următorul modus operandi: în primă
fază, o aplicație de tip troian contactează un server de comandă și control de unde descarcă
fișierele necesare operării. După activare, ransomware blochează accesul utilizatorilor la
sistemul informatic respectiv până când aceștia plătesc o răscumpărare (ransom în engleză) către
o terță entitate.
Există trei variante cunoscute de ransomware:
1. cele care cer utilizatorilor să trimită un SMS cu un anumit cod la un număr de telefon cu
suprataxă. Pe baza codului trimis, se primește un altul, care îi permite utilizatorului să
deblocheze calculatorul. Răscumpărarea constă în taxarea suplimentară la trimiterea
SMS-ului;
2. cele care blochează ecranul calculatorului cu o imagine ce pare a veni din partea unei
autorități guvernamentale cu atribuții în combaterea pirateriei online. Utilizatorul este
anunțat că trebuie să plătească o amendă substanțială pentru faptul că a piratat conținut
online. Acesta este instruit să trimită o anumită sumă de bani printr-un serviciu de
transfer de bani. Secvența de deblocare se obține prin trimiterea pe o anumită adresă de e-
mail a codului de transfer pentru suma respectivă de bani;
Figura nr. 2. 5 Mesajul virusului “Poliția Română”

Sursa: www.pcassist.ro
În România, la sfârșitul anului 2012, a circulat un virus denumit Poliția Română, mascat sub forma
unei scrisori de la Poliție, care avertiza asupra faptului că PC-ul destinatarului a fost blocat „din
cauza ciberactivității nesancționate“. O revenire a lui s-a înregistrat în luna ianuarie a anului 2014,
când virusul s-a folosit de vulnerabilitățile din Java pentru a infecta calculatoarele. Partea
inteligentă a acestui virus este faptul că a fost tradus în mai multe limbi și poate fi mascat ușor,
chiar dacă este controlat de pe un singur server din afara țării. Utilizatorii atacați au declarat că nu
răscumpărarea a fost problema, ci faptul că dacă nu se intervenea rapid virusul prelua controlul
asupra calculatorului. Cu toate acestea, la nivel global s-au pierdut 1,5 milioane de dolari din
răscumpărări în trimestrul 3 al lui 2012, potrivit datelor firmei Symantec . 36
36
Andriescu, V., Pericolul din adâncuri: virușii anului 2013, la http://adevarul.ro/tech/gadget/pericolul-adancuri-
3. cele care utilizează funcțiile criptografice incluse în sistemul de operare pentru a cripta
fișierele utilizatorului (documente, fotografii etc.). Cheia de decriptare, care asigură
accesul la date, poate fi obținută prin plata unei răscumpărări prin metode similare celor
din varianta precedentă.
CryptoLocker, prezentat în figura nr. 2.6, pretinde 300 de USD, în Bitcoin sau printr-un voucher pre-
plătit, pentru decriptarea fișierelor personale ale utilizatorului.
Figura nr. 2. 6 Mesajul CryptoLocker

Sursa: http://www.pcworld.com/article/2084002/how-to-rescue-your-pc-from-ransomware.
html
Tot recompense financiare vizează și troianul Beta Bot. El este un malware bancar, rafinat pentru a
viza comerțul electronic și protejat împotriva măsurilor de securitate obișnuite. Beta Bot a atacat
instituții financiare mari, site-uri de tip rețea de socializare, platforme de plată, comercianți cu
amănuntul on-line, platforme de jocuri, furnizori de webmail și FTP. Modalitatea de infectare este
un click pe o reclamă-capcană.
După infectare, utilizatorii vor fi în imposibilitatea de a ajunge la orice antivirus întrucât în
momentul când încearcă aceasta, vor fi redirecționați către o adresă IP impusă de atacator. Troianul
transmite datele furate într-o bază de date MySQL, descarcă alte fișiere malware și controlează de la
distanță PC-ul infectat, înșelând utilizatorii prin tranzacții bancare false37.
2.4.3 Rootkit-uri
Termenul rootkit face referire la programul utilizat pentru modificarea sau simularea funcțiilor
de bază ale unui sistem de operare, dând posibilitatea unui atacator să acceseze un sistem
virusii-anului-2013-1_5129078e00f5182b8595d62d/index.html, 23.02.2013, accesat la 6.12.2013

37
Kaspersky Lab, What is Beta Bot?, la http://usa.kaspersky.com/internet-security-center/definitions/beta-
bot#.U9ImQ-N_uYA, accesat 23.06.2014, Brook, C., New Beta Bot trojan skilled at attacking banks,
ecommerce platforms, la 30,.05.2013, la http://threatpost.com/new-beta-bot-trojan-skilled-at-attacking-banks-
ecommerce-platforms/, accesat la 12.06.2013
informatic de la distanță, fără ca utilizatorul să fie conștient de acest fapt. Rootkit-urile nu

încearcă să se auto-distribuie, deoarece, de regulă, autorul lor vizează câștigarea drepturilor
totale asupra unui calculator anume. Rootkit-urile, în marea majoritate, pun la dispoziția
atacatorului un backdoor prin care acesta poate intra în sistem oricând dorește și poate efectua
orice operațiuni asupra datelor. Rootkit-urile sunt rareori distructive ele însele, pentru ca scopul
lor este de a câștiga și menține controlul asupra unui sistem pentru a-i folosi capacitatea de
procesare în interesul atacatorului sau pentru a accesa informații importante cum ar fi parole,
PIN, numere ale cărților de credit etc.38 Rootkit-urile permit virușilor și altor tipuri de malware
să se „ascundă la vedere”, prin deghizarea acestora ca fișiere necesare funcționării calculatorului,
astfel fiind omise de software-ul antivirus.
Folosite inițial la începutul anilor 1990, când vizau sistemele de operare UNIX, astăzi rootkit-
urile pot infecta multe alte sisteme de operare, inclusiv Windows. Deoarece rootkit-urile sunt
activate înainte ca sistemul de operare să intre în secvența de „boot”, ele sunt foarte dificil de
detectat și, prin urmare, oferă o modalitate puternică pentru atacatori de a accesa și utiliza
calculatorul vizat fără ca utilizatorul să observe. Din același motiv, ele sunt greu de eliminat.
În prezent, rootkit-urile sunt folosite tot mai mult ca o formă de acoperire pentru a ascunde
activitatea unui troian. O greșeală exploatată de către atacatori este accesarea calculatorului de
către utilizatori de pe un cont cu drepturi de administrator, ceea ce face ca rootkit-urile să fie
instalate cu ușurință de către cibercriminali, care primesc în acest fel drepturi asupra tuturor
operațiunilor importante de gestiune a calculatorului.
După un vârf al atacurilor cu rootkit înregistrate în 2011, numărul acestora a scăzut, în special ca
urmare a folosirii pe scară tot mai largă a microprocesoarelor pe 64 de biți. Astăzi, atacatorii par a fi
găsit modalități de a trece peste certificarea digitală și alte măsuri de securitate implementate în
noile sisteme de operare.
Un exemplu de rootkit este Uroburos, un atac sofisticat dezvoltat de serviciile de spionaj rusești,
care a trecut neobservat vreme de 3 ani. Scopul său este de a se infiltra în rețele mari folosind
conexiuni peer-to-peer, furând date chiar de pe calculatoarele care nu sunt conectate la Internet, pe
care este probabil să fie stocate informațiile cele mai importante ale victimelor.39
2.4.4 Atacuri de tip backdoor și botnet

Instalarea programelor numite backdoors pe un calculator îl transformă pe acesta într-un
calculator zombie, pasibil a fi controlat de la distanță de autorul atacului. Rețelele de
calculatoare compromise se numesc botnets și sunt folosite în general pentru transmiterea de
spam. Scripturile rău-intenționate sunt injectate în site-uri legitime (prin SQL injection), găzduite
pe site-uri ale atacatorilor (URL-urile lor fiind distribuite prin spam) sau încorporate în reclame
Web. Ele atacă browser-ele Web sau plug-in-urile vulnerabile. Atacurile sunt lansate de regulă
prin scripturi rulate de client – JavaScript, VBScript (drive-by downloads).
Prin intermediul botnet-urilor, atacatorii pot controla milioane de calculatoare răspândite pe
întregul Glob. Rețelele astfel formate pot fi utilizate pentru efectuarea de atacuri informatice
38
***, Rootkits – prezentare, mod de funcţionare, detecţie, la http://www.techtorials.ro/2010/04/09/rootkits-
prezentare-mod-de-functionare-detectie/, 4.09.2013
39 ***, Rootkit Levels Are Down, But That Won't Last for Long, 26.06.2014, la http://www.infosecurity-
magazine.com/view/39045/rootkit-levels-are-down-but-that-wont-last-for-long/, accesat la 30.06.2014

asupra unor ținte civile sau guvernamentale.40 Botnets transmit spam, malware, reclame
frauduloase etc. Sunt făcute de comunități puternice și inteligente de hacker-i, care schimbă între
ele codurile-sursă.
În 2012, botnet-ul Flashback a reușit să infecteze aproximativ 600.000 de calculatoare Apple. În
2015, aproape 100.000 de site-uri care utilizează platforma Wordpress au fost încorporate într-o
rețea botnet care lansează atacuri de tip DDoS, iar pentru compromiterea site-urilor atacatorii au
utilizat o vulnerabilitate a securității din codul platformei pe care aceasta funcționează.41
Necrus, o rețea doborâtă în 2015, a fost re-pusă în funcțiune în 2016, generând cantități foarte
importante de spam. Tendința anului 2016 a fost apariția botnet-urilor IoT, mai ales pentru atacuri
DDoS. Și botnet-urile, ca și malware, sunt îndreptate spre câștiguri monetare.42
2.4.5 Spyware
Programele software de tip spyware sunt folosite pentru a colecta și trimite informații din
calculatorul victimei către o bază de date sau către calculatorul infractorului. Informația colectată
poate fi folosită în mod fraudulos pe Internet, cel mai des pentru achiziționarea de produse sau
servicii.
Programele spion sunt instalate în calculator fără știrea utilizatorului, cu scopuri ca: determinarea
preferințelor comerciale ale celui spionat (prin analiza cookie-urilor stocate în calculator în urma
vizitei pe diverse site-uri) și „țintirea” lui ulterioară cu reclame adecvate profilului său de
cumpărător, modificarea rezultatelor afișate de motoare de căutare ca Google sau Bing, pentru a
aduce între primele pagini afișate de acestea site-uri care vând produse scumpe, folosirea puterii
procesorului pentru execuția unor sarcini de lucru ale atacatorului. Simptomul principal al
infectării cu spyware este încetinirea vitezei de lucru a calculatorului.
Un grup de activiști online (“hacktiviști”), au susținut în 2011 că au interceptat un troian care era
utilizat de guvernul german pentru a spiona suspecții în diverse cazuri. Aplicația controlează partea
hardware a computerului și poate activa microfonul sau camera video atunci când autoritățile au
nevoie. Hackerii spun că aplicația permite însă și plantarea de dovezi false de la distanță pe orice
computer. FinFisher, un spyware vândut de Gamma Group (din Marea Britanie), poate executa fără
niciun avertisment controlul de la distanță al unui calculator, copierea fișierelor, interceptarea
apelurilor Skype și a fiecărei apăsări de tastă făcută de utilizator. Primul atac al acestui spyware a
fost descoperit în februarie 2011, în Egipt, iar în decembrie WikiLeaks a publicat un video de
atenționare despre cum poliția ar putea planta FinFisher pe un calculator țintă. 43
Potrivit site-ului cert.ro, cercetătorii au surprins multiple aplicații pentru camera dispozitivelor
Android spionând utilizatorii. Conform raportului44, echipa CyberNews a identificat în jur de 30 de
40
***, Ce înseamnă Botnet?, la http://despretot.info/2012/10/ce-inseamna-botnet/, 13.10.2012, accesat la
12.06.2013
41
Centrul Naţional De Răspuns La Incidente De Securitate Cibernetică, Ameninţări generice la adresa securităţii
cibernetice, la http://www.cert-ro.eu/files/doc/826_20140311080332027933600_X.pdf, accesat la 5.04.2014, p. 9
42
ENISA 2016, Op. cit., p.34
43
Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma, http://www.bloomberg.com-
/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma.html, 25.06.2012, accesat la
12.06.2013
44
Hashim, A., Popular Android Camera Apps Found Spying On Users, publicat pe 21.01.2020 la:
https://latesthackingnews.com/2020/01/21/popular-android-camera-apps-found-spying-on-users/, accesat la
3.02.2020
aplicații, descărcate de milioane de ori. În urma investigațiilor s-a descoperit că aceste aplicații
solicitau permisiuni de acces la date cu caracter sensibil precum acces la contacte, localizare GPS,
localizare prin intermediul celulei de telefonie mobile, cât și permisiuni de citire și scriere de fișiere,
toate acestea în plus pe lângă permisiunile standard de acces la microfonul și camera acestuia. 45
2.4.6 DDoS (Distributed Denial of Services)

DoS este prescurtarea expresiei din engleză „Denial of Service”, în traducere reprezentând
refuzul, blocarea serviciului. Acest atac este efectul eforturilor intense ale unei persoane de a
împiedica un site Web sau servicii de Internet să funcționeze în parametri normali. Atunci când
atacul se face în mod concertat din mai multe puncte, de către mai mulți atacatori care s-au
înțeles în prealabil asupra țintei și momentului, el se numește DDoS – Distributed Denial of
Services. În atac pot fi implicate și calculatoarele unor utilizatori inofensivi, care nu au știință
despre acest fapt.
În cele mai multe cazuri, atacurile DDoS sunt paravane (smokescreens) pentru alte tipuri de
atacuri, cum ar fi infectarea cu viruși, activarea malware, compromiterea rețelei, furtul datelor
clienților.46
Figura nr. 2. 7Atac DDoS

Sursa: prelucrare după tigr.net
Metoda tradițională de atac se referă la transmiterea unui număr foarte mare de solicitări
nelegitime serverului, solicitări care îi consumă resursele hardware sau software și îl fac
indisponibil. Atacurile de tip DOS pot avea ca efect:
 provocarea re-pornirii forțate a calculatorului;
 consumarea intensă a resurselor disponibile ale unui server;
45
Meyer, B, These Camera Apps with Billions of Downloads Might be Stealing your Data and Infecting You
with Malware, publicat pe 15.01.2020 la https://cybernews.com/security/popular-camera-apps-steal-data-
infect-malware/, accesat la 3.02.2020
46 Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
 blocarea conexiunii dintre utilizatorul bine intenționat și calculatorul atacat, astfel încât
acesta să nu mai poată comunica.
Cel mai mare atac DDoS al anului 2011 a avut loc în Asia. El a durat aproape opt zile și a inclus patru
valuri succesive de flood (inundare cu pachete de date), între 5 și 12 noiembrie. La atac au
participat 250.000 de computere infectate cu malware, multe dintre ele aflate în China. În
momentul culminant, acestea au realizat 15.000 de conexiuni pe secundă la platforma de e-
commerce a firmei atacate, traficul atingând un nivel de 45 Gbps.47
Conform raportului ENISA Threat Landscape din 2013, principalele motivări ale atacurilor de tip
DOS sunt vandalismul și înșelăciunea.48 Destinațiile sunt foarte variate: site-ul guvernului georgian,
iranian, serverul Departamentului de Finanțe al guvernului irlandez, serverele de jocuri Counter-
Strike, rețelele de socializare Facebook, Twitter, Livejournal, Google în 6 august 200949.
În 2016, DDoS a fost unul dintre canalele principale folosite pentru a lansa atacuri în mod repetat.
73% din organizații au suferit un atac DDoS.50 Cele mai vizate sectoare au fost industria jocurilor,
software și tehnologie, retail, turism, finanțe.51 Cel mai mare atac DDoS al anului 2016 a implicat
inclusiv camere de supraveghere52. Sub comanda unui troian care a orchestrat acest atac, o rețea
uriașă de dispozitive IoT (în număr de 150000 camere de supraveghere și aparate DVR – Digital
Video Recording) și routere a focalizat mai mult de 1TB de date către un site francez de Web
hosting, ovh.com. Ulterior, același mecanism a fost folosit pentru a indisponibiliza o serie de alte
site-uri, printre care Twitter și Spotify.53 Există îngrijorări potrivit cărora un atac de o magnitudine
atât de mare ar putea deveni o amenințare serioasă pentru întregul Internet.54
2.4.7 Spam
Termenul spam desemnează mesaje electronice nesolicitate, trimise în masă și în mod automat
către un număr mare de utilizatori, fără ca aceștia să aibă posibilitatea de a se opune primirii lor.
Conținutul mesajelor de tip spam se referă adesea la produse și servicii mai mult sau mai puțin
dubioase.
Mesajele de tip spam se disting prin caracterul agresiv, repetat și prin privarea dreptului la
opțiune. Deși nu sunt atacuri informatice per se, mesajele spam pot conține malware. Mesajele
spam se folosesc și pentru colectarea de adrese de e-mail, de obicei vândute către alți furnizori de
spam.55
Un atac inedit de tip spam s-a produs între 23 decembrie 2013 și 6 ianuarie 2014. Au fost trimise
peste 750.000 de mail-uri de tip spam și peste 100.000 de dispozitive inteligente au fost afectate,
47
http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-2011/
48
ENISA (European Union Agency for Network and Information Security), ENISA Threat Landscape 2013,
http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape-
2013-overview-of-current-and-emerging-cyber-threats, decembrie 2013, accesat la 31.05. 2014
49 http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
50 https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
51 https://content.akamai.com/PG6852-q2-2016-soti-security.html
52 http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-biggest-
ddos-attack-ever-1329480
53 https://www.rt.com/news/363642-websites-outage-ddos-attack/
54 ENISA 2016, Op. cit., p. 32
55 Centrul Naţional De Răspuns La Incidente De Securitate Cibernetică, Ameninţări generice la adresa
securităţii cibernetice, pag. 11, http://www.cert-ro.eu/articol.php?idarticol=826, accesat la 31.05.2014

printre care router-e, televizoare și ... un frigider. Mai mult de 25% din mesajele spam, au fost
expediate de pe dispozitive inteligente, altele decât calculatoare sau smartphone-uri56.
Într-un alt atac, posesorii de ID-uri Apple au fost înștiințați că au câștigat un App Store Gift Card în
valoare de 200$ și că trebuie să acceseze link-ul atașat de mail pentru a descărca fișierul cu codul
acelui Gift Card57. În realitate, fișierul era infestat cu malware și viza furtul datelor personale și
financiare ale utilizatorilor.
2.4.8 Phishing și pharming

Datorită progreselor în tehnologie, tipurile de tranzacții care pot fi finalizate acum online sunt
foarte numeroase. Creșterea volumului de tranzacții online a fost însoțită și de o creștere a
criminalității în acest sens, și astfel accesul fraudulos la informațiile cu caracter personal pe
Internet este din ce în ce mai sofisticat. Două forme de atacuri în acest sens se evidențiază în
mod special, și anume phishing-ul și pharming-ul.
Phishing-ul, denumit și înșelăciune electronică, reprezintă o formă de activitate infracțională
care constă în obținerea unor date confidențiale, cum ar fi date de acces pentru aplicații de tip
bancar, aplicații de comerț electronic, informații referitoare la carduri de credit, prin folosirea
unor tehnici de manipulare a identității unei persoane sau a unei organizații58.
Phishing-ul este un atac bazat pe clonarea unui site care, de regulă, aparține unei instituții
financiare și publicarea sa pe Web cu un URL foarte asemănător cu cel al site-ului original (de
exemplu, www.bancp0st.ro ca substitut al www.bancpost.ro – sesizați folosirea cifrei zero în
locul literei „o”). Utilizatorii sunt apoi atrași către site prin mesaje de poștă electronică scrise cu
un limbaj propriu instituțiilor financiare, prin care li se comunică necesitatea confirmării datelor
de acces la site (nume de utilizator și parolă) sau a contului bancar. În mesaj se găsește un link
care direcționează utilizatorul către pagina de Web clonată, unde i se cere introducerea într-un
formular a datelor sale personale sau financiare. Acestea vor fi capturate apoi de către atacator și
folosite potrivit intereselor acestuia.
Potrivit wikipedia.ro, atacatorii folosesc diverse tehnici pentru a-și determina victimele să-și
dezvăluie date confidențiale. Un exemplu constă în trimiterea de către atacator a unui mesaj
electronic, în care utilizatorul este sfătuit să-și dea datele confidențiale pentru a câștiga diferite
premii sau este informat că acestea sunt necesare din cauza unor erori tehnice care au dus la
pierderea datelor originale. Mesajele pretind a fi din partea unor instituții financiare, servicii de
plată online, rețele de socializare, furnizori de servicii de internet, organizații non-profit, servicii
de coletărie etc. De obicei în mesajul momeală este introdus un link care trimite către o clonă a
site-ului Web al organizației reale.
56
http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/, accesat la 18 iunie 2014
57http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-pentru-a-infecta-
posesorii-de-apple-id-uri/, 9.08.2013, accesat la 17.06.2014

58 http://ro.wikipedia.org/wiki/%C3%8En%C8%99el%C4%83ciune_electronic%C4%83, accesat la
05.04.2014
Figura nr. 2. 8 Phishing – frauda “Mesaj de la șef”

Sursa: cert.ro, https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018
Figura nr. 2. 9 Phishing – frauda cu facturi

Sursa: cert.ro, https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018
Specialiștii cert.ro avertizează că atacatorii folosesc de multe ori elemente de inginerie socială și
manipulare psihologică. Cererea provine de la un oficial cu care cel vizat nu intră în mod normal
în legătură directă, este neobișnuită, ieșită din tiparele procedurilor interne. Destinatarului i se
induce ideea unei presupuse urgențe, este flatat, i se promit recompense și i se solicită păstrarea
confidențialității.
La începutul anului 2011, presa scria că 2% dintre români au pierdut bani în urma atacurilor de tip
phishing.59 Apoi, atacurile în forma clasică au scăzut în intensitate, mai ales ca urmare a introducerii
de metode de dublă autentificare de către instituțiile bancare, dar au proliferat înșelăciunile
similare făcute prin telefon (unde relația care se stabilește cu victima este mult mai personală).
În luna martie a anului 2014, rețeaua de socializare LinkedIn a fost ținta unui atac de tip phishing.
Acest tip de atac s-a desfășurat printr-o campanie de e-mail trimis în masă, folosind ca temă ziua de
Sfântul Patrick. Mesajul promitea utilizatorilor accesul la un cont premium gratuit. Dacă aceștia
apăsau pe link-ul care trimitea la activarea contului, datele le erau capturate de atacatori, care
foloseau o pagină Web foarte asemănătoare cu cea originală LinkedIn.60
În 2016, s-a înregistrat o diversificare a metodelor de a ținti victimele și o creștere a calității
atacurilor. Profilurile victimelor au fost construite folosind informații din Social Media privind
comportamentul și locul de muncă. Combinația phishing + ransomware a cunoscut o creștere de
800% în primul semestru din 2016 comparativ cu ultimul trimestru din 2015. În medie, circa 30%
dintre mesajele phishing au fost deschise de destinatari. 12% dintre cei vizați au dat click pe link-ul
din mesaj, infectându-și sistemul. Numărul brandurilor atacate a fost de aproximativ 400, iar pentru
fiecare brand s-au folosit circa 350-400 URL-uri false. Cele mai menționate companii în atacurile de
tip phishing au fost Microsoft, Facebook și Yahoo.61
Pharming este un tip de atac ce are la bază tehnici folosite în cadrul phishing-ului, dar este mai
sofisticat. Pharmer-ii trimit, de asemenea, e-mail-uri cu conținut rău-intenționat. Diferența constă
în faptul că utilizatorul poate fi înșelat de către pharmer fără a deschide un atașament e-mail sau
a activa un hyperlink. Mesajul e-mail primit, odată deschis, determină instalarea unui program
software pe calculatorul utilizatorului. Ulterior, în cazul în care consumatorul încearcă să viziteze
un site oficial vizat de atacator, programul software redirecționează browser-ul la versiunea falsă
a site-ului respectiv. În acest fel, pharmer-ul captează informațiile financiare pe care utilizatorul
le introduce în site-ul contrafăcut.
Pharming-ul este mai sofisticat și necesită cunoștințe avansate, cu care atacatorii schimbă pe
server-ele DNS legătura dintre URL-ul site-ului atacat și site-ul original, nemaiavând nevoie de
înșelătoria descrisă anterior.
2.4.9 Furt de identitate

Furtul de identitate este activitatea ilegală prin care infractorul fură date personale, ca de
exemplu nume, codul numeric personal, data nașterii, numărul cardului de credit și le folosește în
mod fraudulos, vizând anumite beneficii, cel mai adesea bani.
Furtul de identitate poate fi împărțit în mai multe categorii, în funcție de scopul acestuia, și
anume:
 furtul de identitate comercial sau de afaceri, efectuat pentru obținerea unor credite sau
pentru a închiria sau a vinde un apartament;
 furtul de identitate penal, atunci când suspecții de crimă sau infracțiuni penale pretind a fi
altcineva pentru a scăpa de pedeapsă;
59
http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-pierdut-bani-in-urma-
atacurilor-de-tip-phishing-1073932
60 http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-phishing
61 ENISA 2016, Op. cit., pp. 38-39
 furtul de identitate medical, pentru avantaje ca medicamente sau îngrijiri de specialitate

gratuite;
 furtul de identitate financiar, de pe urma căruia se câștigă acces la servicii bancare;
 clonarea de identitate, atunci când cineva își însușește complet identitatea altei persoane
în viața de zi cu zi.
Câteva semne care ar putea da de înțeles utilizatorilor că sunt victima unui furt de identitate sunt:
 primirea din senin a unui SMS, telefon sau e-mail în care se cere confirmarea anumitor
detalii referitoare la contul bancar;
 solicitarea la telefon, de către interlocutori necunoscuți, a anumitor date cu caracter
personal;
 lipsa unor sume din contul bancar, fără a avea o explicație;
 imposibilitatea de a efectua anumite tranzacții, cum ar fi un împrumut.
În anul 2007, a avut loc un atac în care serverele guvernului chilian au fost sparte și au fost furate
datele de identitate, numele, adresele și numerele de telefon a 6 milioane de oameni, pentru ca mai
apoi să fie făcute publice pe diferite forumuri. Un alt incident, ce a dus la peste 1.800 de cazuri de
fraudă a fost atacul online asupra lanțului de supermarketuri Hannaford Bros, ce a fost concretizat
prin pierderea PIN-urilor a 4,2 milioane de clienți.62
2.4.10 Alte atacuri informatice

Potrivit Titlului III al Legii 161 din 19/04/2003 privind unele măsuri pentru asigurarea
transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri,
prevenirea și sancționarea corupției, care se referă la Prevenirea și combaterea criminalității
informatice, atacurile care reprezintă infracțiuni informatice sunt:
 accesul, fără drept, la un sistem informatic,
 interceptarea, fără drept, a unei transmisii de date informatice,
 transferul neautorizat de date dintr-un sistem informatic,
 perturbarea gravă, fără drept, a funcționării unui sistem informatic, prin introducerea,
transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin
restricționarea accesului la aceste date.
Organizațiile pot fi și ținta unor atacuri ca:
 vânzarea de informații clasificate către concurență (secrete comerciale, rețete de
fabricație);
 spionaj industrial sau reverse engineering (proiectare inversată);
 vandalism;
 șantaj din partea ziariștilor etc.
2.6 Atacatori ai sistemelor informaționale – hacker-i și insider-i
62
http://www.furtdeidentitate.ro/furtul-de-identitate/semne-de-avertizare/
În domeniul tehnologiilor informaționale și de comunicații, termenul de hacker a fost folosit de-a

lungul timpului cu mai multe înțelesuri. Sensul inițial a fost cel de inginer pasionat de
calculatoare, în special partea lor hardware, capabil să le înțeleagă în detaliu funcționarea, care
contribuia la dezvoltarea acestora. După ce o parte dintre acești specialiști au fost implicați în
activități ilegale, presa a început să folosească termenul hacker într-un sens peiorativ, desemnând
persoanele care pătrund fără drept în sistemele informatice, căutând și exploatând
vulnerabilitățile pe care le pot prezenta acestea. Băieții rămași buni, interesați de dezvoltarea
informaticii, au cerut ca doar ei să fie denumiți în continuare hacker-i, iar pentru atacatori să se
folosească termenul cracker.
O alternativă la împărțirea prezentată este următoarea clasificare:
 hacker-ii cu „pălării negre”, care se infiltrează ilegal în calculatoarele altor persoane și
sustrag informații confidențiale;
 hacker-ii cu „pălării albe” sau hacker-ii etici, care pătrund în sistemele informatice, nu
tocmai legal, pentru a demonstra existența unor vulnerabilități și a atrage atenția asupra
acestora.
Atacurile hacker-ilor români au făcut subiectul a numeroase știri, atât din presa națională, cât și din
cea internațională. Dintre cei mai cunoscuți hackeri români îi putem aminti pe Liviu Mihai Concioiu,
Victor Faur, Cernăianu Manole Răzvan, cunoscut în mediul cibernetic ca TinKode, Robert Butyka,
Guccifer (pe numele său real Marcel Lazăr Lehel) sau grupări precum Anonymous România.
În primăvara anului 2009, Liviu Mihai Concioiu a intrat în legătură cu un angajat al serviciului de
asistență IT al site-ului comercial eBay prin intermediul chat-ului pretinzând că este unul din
angajații companiei ce dorește să acceseze site-ul, dar a uitat parola și user-ul. Acesta a reușit după
câteva minute de conversație să obțină parola de acces de la informaticianul de la eBay, astfel
accesând site-ul și furând datele a 22.000 de angajați ai companiei. Hackerul nu s-a oprit doar la
furtul datelor, mergând mai departe și trimițându-le angajaților un e-mail ce aparent venea din
partea directorului, prin care îi anunța că au fost concediați, iar cei care doreau o scrisoare de
recomandare din partea companiei erau rugați să dea click pe link-ul inserat în e-mail. Link-ul
ducea către o pagină falsă a companiei, controlată de Concioiu, unde erau solicitate date personale.
El a reușit astfel să fure datele a trei milioane de utilizatori ai cunoscutului site comercial, înșelând
mai mulți clienți prin vânzarea de mărfuri fictive. Prejudiciul aferent acestui atac a fost estimat la 3
milioane de dolari.63
Victor Faur a reușit să spargă serverele Agenției de Cercetări Spațiale a Statelor Unite ale Americii
(National Aeronautics and Space Administration, NASA) și să pătrundă în sistemele de securitate ale
Marinei Americane. Atacurile au avut loc în perioada 2005–2006 și au compromis 150 de servere
NASA, aducând grave prejudicii de peste 1,5 milioane de dolari. Faur a folosit numele de utilizator și
parolele personalului autorizat și legăturile securizate ale serverelor din rețea, fiind ajutat de către
un alt hacker român ce i-a pus la dispoziție conturile folosite pentru accesarea serverelor. Ca
urmare a acestor atacuri, sistemele electronice au necesitat reparații capitale, iar inginerii
americani au fost nevoiți să comunice manual cu navele din spațiu. Hacker-ul a vrut să demonstreze
vulnerabilitatea computerelor la atacurile informaționale și a menționat că nu a vrut să obțină
câștiguri materiale. Acesta a mai susținut ca a atacat acele servere deoarece grupul căruia aparținea
organiza competiții pentru a demonstra care hacker este cel mai bun și poate accesa cele mai sigure
63Informaţii prezentate în emisiunea “România, te iubesc!”, accesate pe 25.03.2014 la adresa

http://romaniateiubesc.stirileprotv.ro/emisiuni/2013/sezonul-1/hackerville-romanesc-iii-iceman-hackerul-
roman-care-a-spart-25-de-servere-ale-nasa-are-doar-9-clase-cum-a-devenit-romania-patria-hotilor-virtuali.html
sisteme. Victor Faur a fost condamnat la 16 luni de închisoare cu suspendare și la plata unor
despăgubiri în valoare de 238.000 de dolari.64
Un alt hacker român care a reușit să atace serverele NASA, ale Armatei Statelor Unite și
Pentagonului este Cernăianu Manole Răzvan, cunoscut în mediul cibernetic ca TinKode. Astfel, el a
obținut informații confidențiale pe care ulterior le-a postat pe blogul său făcându-le publice.
Totodată acesta a conceput o aplicație pe care o vindea pentru suma de 150 de dolari, împreună cu
alte coduri de acces și date ce permiteau accesul la respectivele sisteme informatice. TinKode a
susținut că nu a avut un scop distructiv, ci a urmărit prin acțiunile sale descoperirea breșelor de
securitate, tocmai pentru a ajuta organizațiile, acest lucru fiind un hobby pentru el. În urma acestui
hobby, TinKode s-a ales cu 3 luni de arest, 2 ani de închisoare cu suspendare și cu plata unei amenzi
de 123.950 de dolari.65
Printre acțiunile minore ale hacker-ilor se numără trimiterea de e-mail-uri în numele organizației,
modificarea unor informații de pe site-ul organizațiilor sau lăsarea pe servere a unor mesaje prin
care să informeze că au fost „în vizită”. Hacker-ii ce urmăresc câștigul financiar nu se limitează
doar la aceste intervenții, ci ajung la infracțiuni ca furtul unei idei de produs, al banilor din cont
sau al unor baze de date valoroase.
Rețineți că, în ciuda caracterului extrem de spectaculos al atacurilor prezentate anterior, în 2016,
60% din totalul incidentelor de securitate au fot provocate de angajați.66 Identificarea
breșelor făcute de insider-i și protecția împotriva lor sunt foarte dificile, în principal pentru că
majoritatea incidentelor sunt descoperite după luni sau chiar ani.
Figura nr. 2. 10 Date și informații vulnerabile la amenințările insider-ilor (2018)

Sursa: ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
64
Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-Hacker-97660.shtml,
65 Veress, R., Abia eliberat din închisoare, hackerul român care a spart reţelele NASA și Pentagonului și-a
făcut cont pe reţelele de specialitate, 2012, la adresa http://jurnalul.ro/stiri/observator/tinkode-eliberare-

inchisoare-cont-hacker-nasa-pentagon-625444.html#, accesat la 25.03.2014
66 ENISA 2016, Op. cit.
Figura nr. 2. 11 Resurse informaționale expuse la amenințările insider-ilor (2018)

Sursa: ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
2.5 Aplicație – vulnerabilități și amenințări într-o organizație

contemporană
O listă de amenințări care pot fi întâlnite de-a lungul timpului în organizație
Aplicație poate arăta astfel:
 inundații provocate de starea proastă a instalațiilor de asigurare a apei curente;
 supratensiuni în rețeaua de alimentare cu energie electrică;
 întreruperi în furnizarea energiei electrice;
 temperaturi prea ridicate;
 temperaturi prea scăzute;
 umiditate excesivă;
 defecțiuni hardware;
 erori umane;
 erori software;
 viruși informatici;
 viermi informatici;
 rootkit-uri;
 spyware;
 DDoS;
 phishing, pharming;
 accesarea fără drept a sistemului informatic;
 copierea neautorizată de date;
 vandalism.
Incidența acestor amenințări în raport cu resursele informaționale ale unei organizații poate fi
analizată într-o matrice similară celei din figura nr. 2.12, în care pe linii se află resursele
informaționale, iar pe coloane amenințările. În căsuțele care rezultă din intersecția liniilor și
coloanelor, se va introduce numărul de cazuri în care un anumit pericol poate fi atașat unei
resurse informaționale particulare. Acolo unde acest număr este mai mare decât pragul acceptat
în organizație, se vor întocmi rapoarte de analiză suplimentare.
Figura nr. 2. 12 Matricea Resurse informaționale/Amenințări
2.6 Cerințe proiect – partea a 2-a

Proiect - partea a 2-a. Vulnerabilități/amenințări de securitate informațională
2.1 Identificați, într-o organizație pe care o cunoașteți, o sursă de vulnerabilitate.

Descrieți efectele pe care exploatarea acestei vulnerabilități le-ar putea provoca
asupra resurselor informaționale ale organizației. Folosiți ca reper tabelul 2.1 din
suportul de curs.
2.2 Identificați, într-o organizație pe care o cunoașteți, o amenințare

produsă/potențială. Descrieți efectele pe care amenințarea le-a generat sau le-ar
putea genera asupra resurselor informaționale ale organizației. Folosiți ca reper
subcapitolele 2.2-2.4 din suportul de curs.
Rezumat
Unitatea de studiu 2 a tratat categoriile de amenințări la care pot fi expuse resursele
informaționale ale unei organizații. Au fost descrise, însoțite de numeroase exemple:

 dezastrele naturale și condițiile improprii de mediu;
 erorile umane, hardware și software;
 viruși, viermii și caii troieni;
 rootkit-urile;
 vulnerabilitățile backdoor și rețelele botnet;

 atacurile spyware, DDoS, phishing și pharming;
 furtul de identitate și alte atacuri care i-au făcut celebri pe hacker-ii din România.
Bibliografie
1. ***, Arhiva școlii din Moisei a fost inundată, 1.08.2008, la http://www.informatia-zilei.ro/sm,
2. ***, Ce înseamnă Botnet?, la http://despretot.info/2012/10/ce-inseamna-botnet/
3. ***, Pierderea laptopului, de 100 de ori mai scumpă decât valoarea sa, 29.04.2009, la
http://www.ziare.com/internet-si-tehnologie/internet/pierderea-laptopului-de-100-de-ori-mai-
scumpa-decat-valoarea-sa-734799
4. ***, Ransomware. Definiție, la http://despretot.info/2013/03/ransomware-definitie/,
01.03.2013
5. ***, Rootkit Levels Are Down, But That Won't Last for Long, 26.06.2014, la
http://www.infosecurity-magazine.com/view/39045/rootkit-levels-are-down-but-that-wont-
last-for-long/
6. ***, Rootkits – prezentare, mod de funcționare, detecție, la
http://www.techtorials.ro/2010/04/09/rootkits-prezentare-mod-de-functionare-detectie/,
4.09.2013
7. ***, Stuxnet – virusul care ar putea declanșa cel de-al treilea Război Mondial, la
http://stiri.acasa.ro/auto-tehno-190/it-c-191/stuxnet-virusul-care-ar-putea-declansa-cel-de-al-
treilea-razboi-mondial-144970.html
8. Andriescu, V., Pericolul din adâncuri: virușii anului 2013, la
http://adevarul.ro/tech/gadget/pericolul-adancuri-virusii-anului-2013-
1_5129078e00f5182b8595d62d/index.html, 23.02.2013
9. Ashok, I., A Loud Noise Shut Down ING Bank's Main Data Centre in Bucharest for 10

Hours, Intenrational Business Times, la https://www.ibtimes.co.uk/loud-noise-shut-down-
ing-banks-main-data-centre-bucharest-10-hours-1580799, publicat pe 14.09.2016
10. Brook, C., New Beta Bot trojan skilled at attacking banks, ecommerce platforms, la

30,.05.2013, la http://threatpost.com/new-beta-bot-trojan-skilled-at-attacking-banks-
ecommerce-platforms/
12. Centrul Național De Răspuns La Incidente De Securitate Cibernetică, Amenințări generice la
adresa securității cibernetice, pag. 11, http://www.cert-ro.eu/articol.php?idarticol=826
adresa securității cibernetice, la http://www.cert-
ro.eu/files/doc/826_20140311080332027933600_X.pdf
14. cert.ro, Centrul Național De Răspuns La Incidente De Securitate Cibernetică,
https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018
15. Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-
Hacker-97660.shtml
16. Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-
cibernetic-foarte-sofisticat-si-unic-in-lume/, 27.01.2011
17. ENISA (European Union Agency for Network and Information Security), ENISA Threat
Landscape 2013, http://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats,
decembrie 2013
19. ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
20. Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-
things-devices/
21. http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-
2011/ Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
http://www.bloomberg.com-/news/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-
spyware-of-gamma.html
22. http://ro.wikipedia.org/wiki/%C3%8En%C8%99el%C4%83ciune_electronic%C4%83
23. http://romanian.ruvr.ru/2012_11_26/95981330/
24. http://romaniateiubesc.stirileprotv.ro/emisiuni/2013/sezonul-1/hackerville-romanesc-iii-
iceman-hackerul-roman-care-a-spart-25-de-servere-ale-nasa-are-doar-9-clase-cum-a-devenit-
romania-patria-hotilor-virtuali.html
25. http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
26. http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/
27. http://www.furtdeidentitate.ro/furtul-de-identitate/semne-de-avertizare/
http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-
phishing http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-
pierdut-bani-in-urma-atacurilor-de-tip-phishing-1073932
28. http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-
pentru-a-infecta-posesorii-de-apple-id-uri/, 9.08.2013
29. http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-
biggest-ddos-attack-ever-1329480
30. https://content.akamai.com/PG6852-q2-2016-soti-security.html
31. https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
32. https://www.rt.com/news/363642-websites-outage-ddos-attack/
33. Kaspersky Lab, What is Beta Bot?, la http://usa.kaspersky.com/internet-security-
center/definitions/beta-bot#.U9ImQ-N_uYA, accesat 23.06.2014
34. Kushner, D., The Real Story of Stuxnet, 2013, IEEE Spectrum,
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
35. Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat
pe 2.05.2016, la https://hackaday.com/2016/05/02/software-update-destroys-286-million-
japanese-satellite/#comments
36. Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, la
http://www.ziaruldeiasi.ro/local/inundatii-in-arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014
37. Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
38. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress,
Iași, 2014
39. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific
View, John Wiley&Sons, UK, 2009
40. Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
spyware-of-gamma.html, 25.06.2012
41. Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-
sua/, 13.09.2016
42. Trcek, D., Managing Information Systems Security and Privacy, Springer, Berlin, Heidelberg,
2006
43. Veress, R., Abia eliberat din închisoare, hackerul român care a spart rețelele NASA și
Pentagonului și-a făcut cont pe rețelele de specialitate, 2012, la adresa
http://jurnalul.ro/stiri/observator/tinkode-eliberare-inchisoare-cont-hacker-nasa-pentagon-
625444.html#
Aspecte juridice privind securitatea informațională
Obiectivul unității de studiu 3 este cunoașterea principalelor reglementări juridice

privind protecția și securitatea informațiilor existente în România.
Unitatea de studiu tratează, selectiv, legislația românească privind securitatea
informațională și ghidează studentul către resurse webografice utile pentru informarea
privind aspectele legislative relevante în domeniu.
O parte importantă a procesului de asigurare a securității informaționale dintr-o
organizație constă în identificarea tuturor prevederilor legale pe care aceasta trebuie să
le îndeplinească și aducerea lor la cunoștința angajaților, în așa fel încât respectarea
lor să fie garantată. Pe lângă legislația specifică sectorului de activitate al organizației,
considerăm necesară cunoașterea cel puțin a reglementărilor legale cu privire la:
 criminalitatea informatică;
 documentele electronice;
 viața privată (protecția datelor cu caracter personal);
 dreptul de autor.
Privacy is dead, and Social Media holds the smoking gun. (Intimitatea a murit, împușcată de Social Media)
Pete Cashmore, director executiv Mashable
3.1 Legea 161/2003 privind unele măsuri pentru asigurarea

transparenței în exercitarea demnităților publice, a funcțiilor publice și
în mediul de afaceri, prevenirea și sancționarea corupției
Legea face parte din pachetul legislativ anticorupție aprobat de Guvern în anul 2003. Una din
componentele importante pe linia securității sistemelor informaționale o constituie Titlul III al
legii cu privire la prevenirea și combaterea criminalității informatice, care descrie măsuri
specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul
sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor
personale.
Potrivit legii, autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu
furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile
desfășoară următoarele activități:
 promovează politici, practici, măsuri, proceduri și standarde minime de securitate a
sistemelor informatice;
 organizează campanii de informare privind criminalitatea informatică și riscurile la care
sunt expuși utilizatorii sistemelor informatice.
US3. Aspecte juridice privind securitatea informațională
De asemenea, Ministerul Justiției, Ministerul de Interne, Ministerul Comunicațiilor și

Tehnologiilor Informației, Serviciul Român de Informații și Serviciul de Informații Externe au ca
responsabilități:
 organizarea și actualizarea continuă a bazei de date privind criminalitatea informatică;
 efectuarea de studii periodice în scopul identificării cauzelor care determină și a
condițiilor ce favorizează criminalitatea informatică;
 desfășurarea de programe speciale de pregătire și perfecționare a personalului cu
atribuții în prevenirea și combaterea criminalității informatice.
În condițiile legii, sunt considerate infracțiuni împotriva confidențialității și integrității
datelor și sistemelor informatice următoarele fapte:
 accesul, fără drept, la un sistem informatic;
 interceptarea neautorizată a unei transmisii de date care nu este publică și care este
destinată unui sistem informatic, provine dintr-un astfel de sistem sau se efectuează în
cadrul unui astfel de sistem informatic;
 interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem
informatic ce conține date care nu sunt publice;
 modificarea, ștergerea sau deteriorarea datelor sau restricționarea accesului la aceste
date, fără a avea autorizarea necesară;
 transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare;
 perturbarea gravă, fără autorizare, a funcționării unui sistem informatic prin
introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor sau prin
restricționarea accesului la aceste date;
 producerea, vinderea, importarea, distribuirea sau punerea la dispoziție, sub orice altă
formă, fără autorizare, a unui dispozitiv sau program informatic conceput sau adaptat în
scopul săvârșirii de infracțiuni prezentate la punctele anterioare;
 producerea, vinderea, importarea, distribuirea sau punerea la dispoziție, sub orice altă
formă, în mod neautorizat, a unei parole, cod de acces sau alte asemenea date care
permit accesul total sau parțial la un sistem informatic, cu scopul săvârșirii de infracțiuni
prezentate la punctele anterioare;
 tentativa producerii uneia din infracțiunile anterioare.
În ceea ce privește infracțiunile informatice, legea face referire la următoarele fapte:
 introducerea, modificarea sau ștergerea fără autorizare a datelor ori restricționarea
accesului la aceste date, rezultând date necorespunzătoare adevărului, cu scopul
producerii unei consecințe juridice;
 cauzarea unui prejudiciu patrimonial unei persoane prin introducerea, modificarea sau
ștergerea de date, prin restricționarea accesului la aceste date sau prin împiedicarea în
orice mod a funcționării unui sistem informatic cu scopul obținerii unui beneficiu
material pentru sine sau pentru altul;
 tentativa uneia din infracțiunile informatice precedente.
3.2 Ordinul 2634/2015 privind documentele financiar-contabile

Potrivit Ordinului nr. 2634/2015 privind documentele financiar-contabile67, sistemul informatic
de prelucrare automată a datelor la nivelul fiecărei entități trebuie să asigure prelucrarea datelor
67
https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
înregistrate în contabilitate în conformitate cu reglementările contabile aplicabile, controlul și

păstrarea acestora pe suporturi tehnice. Programele informatice utilizate în activitatea financiar-
contabilă trebuie să asigure listarea în orice moment a documentelor financiar-contabile solicitate
de organele de control.
Ordinul precizează că sistemele informatice de prelucrare automată a datelor în domeniul
financiar-contabil trebuie să răspundă la următoarele criterii considerate minimale:
a) să asigure concordanța strictă a rezultatului prelucrărilor informatice cu prevederile actelor
normative care le reglementează;
b) să precizeze tipul de suport care asigură prelucrarea datelor în condiții de siguranță;
c) fiecare dată înregistrată în contabilitate trebuie să se regăsească în conținutul unui document,
la care să poată avea acces atât beneficiarii, cât și organele de control;
d) să asigure listele operațiunilor efectuate în contabilitate pe bază de documente justificative,
care să fie numerotate în ordine cronologică, interzicându-se inserări, intercalări, precum și orice
eliminări sau adăugări ulterioare;
e) să asigure reluarea automată în calcul a soldurilor conturilor obținute anterior;
f) să asigure conservarea datelor pe o perioadă de timp care să respecte prevederile legii
contabilității;
g) să precizeze procedurile și suportul magnetic extern de arhivare a produselor-program, a
datelor introduse, a situațiilor financiare sau a altor documente, cu posibilitatea de reintegrare în
sistem a datelor arhivate;
h) să nu permită inserări, modificări sau eliminări de date pentru o perioadă închisă;
i) să asigure următoarele elemente constitutive ale înregistrărilor contabile: data efectuării
înregistrării contabile a operațiunii, jurnalul de origine în care se regăsesc înregistrările contabile,
numărul documentului justificativ sau contabil (atribuit de emitent);
j) să asigure confidențialitatea și protecția informațiilor și a programelor prin parole, cod de
identificare pentru accesul la informații, copii de siguranță pentru programe și informații;
k) să asigure listări clare, inteligibile și complete, care să conțină următoarele elemente de
identificare, în antet sau pe fiecare pagină, după caz: tipul documentului sau al situației;
denumirea entității; perioada la care se referă informația; datarea listărilor; paginarea
cronologică; precizarea programului informatic și a versiunii utilizate;
l) să asigure listarea ansamblului de situații financiare și documente de sinteză necesare
conducerii operative a entității;
m) să asigure respectarea conținutului de informații prevăzut pentru documente;
n) să permită, în orice moment, reconstituirea conținutului conturilor, listelor și informațiilor
supuse verificării; toate soldurile conturilor trebuie să fie rezultatul unei liste de înregistrări și al
unui sold anterior al acelui cont; fiecare înregistrare trebuie să aibă la bază elemente de
identificare a datelor supuse prelucrării;
o) să nu permită: deschiderea a două conturi cu același simbol; modificarea simbolului de cont în
cazul în care au fost înregistrate date în acel cont; suprimarea unui cont în cursul exercițiului
financiar curent sau aferent exercițiului financiar precedent, dacă acesta conține înregistrări sau
sold; editarea a două sau a mai multor documente de același tip, cu același număr și conținut
diferit de informații în cadrul aceluiași exercițiu financiar;
p) să permită suprimarea unui cont care nu are înregistrări pe parcursul a cel puțin 2 ani (exerciții
financiare), în mod automat sau manual;
q) să prevadă în documentația produsului informatic modul de organizare și tipul sistemului de
prelucrare: monopost sau multipost; monosocietate sau multisocietate; rețea de calculatoare;
portabilitatea fișierelor de date;
r) să precizeze tipul de organizare pentru culegerea datelor: preluări pe loturi cu control ulterior;
preluări în timp real cu efectuarea controlului imediat; combinarea celor două tipuri;
s) să permită culegerea unui număr nelimitat de înregistrări pentru operațiunile contabile;
t) să posede documentația tehnică de utilizare a programelor informatice necesară exploatării
optime a acestora;
u) să respecte reglementările în vigoare cu privire la securitatea datelor și fiabilitatea sistemului
informatic de prelucrare automată a datelor.
Arhivele pe suport magnetic trebuie actualizate periodic pentru a asigura accesibilitatea datelor.
Sortați criteriile a-u de la punctul 58 din Ordinul nr. 2634/2015 privind documentele
financiar-contabile68 în funcție de trăsătura de securitate informațională pe care o
asigură respectarea lor.
Confidențialitate Integritate Accesibilitate

a a a
j d m
… j n
k …
 …
3.3 Legea 455/2001 privind semnătura electronică

Potrivit legislației naționale, semnătura electronică este reprezentată de date în format
electronic, atașate la, sau logic asociate cu, alte date în format electronic și utilizate ca metodă de
autentificare.
Printre cele mai comune forme de semnare electronică se numără: semnăturile olografe prelevate
cu ajutorul unui dispozitiv special, numele complet al semnatarului scris de la tastatură la
sfârșitul unui document electronic, semnăturile fizice scanate și adăugate la sfârșitul
68
https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
documentului, semnarea contractelor prin click, în urma lecturii unei serii de condiții ale
vânzătorului ce intră în vigoare odată cu apăsarea butonului de acceptare a contractului etc.69
Figura nr. 3. 1 Semnături electronice

Legislația separă semnăturile electronice prezentate mai sus de semnătura electronică extinsă sau
semnătura digitală.
Astfel, semnătura electronică extinsă reprezintă acea semnătură electronică care îndeplinește
cumulativ următoarele condiții:
a) este legată în mod unic de semnatar;
b) asigură identificarea semnatarului;
c) este creată prin mijloace controlate exclusiv de semnatar;
d) este legată de datele în formă electronică, la care se raportează în așa fel încât orice modificare
ulterioară a acestora este identificabilă.
Semnatarul reprezintă o persoană care deține un dispozitiv de creare a semnăturii electronice și
care acționează folosindu-l fie în nume propriu, fie ca reprezentant al unui terț. Dispozitivul este
un program software și/sau o componentă hardware configurate special cu rolul creării de
semnături electronice extinse. Pentru a fi considerat securizat, dispozitivul trebuie să
îndeplinească, în mod cumulativ, următoarele condiții:
a) datele de creare a semnăturii, utilizate pentru generarea acesteia, să poată apărea numai o
singură dată si confidențialitatea acestora să poată fi asigurată;
b) datele de creare a semnăturii, utilizate pentru generarea acesteia, să nu poată fi deduse;
c) semnătura să fie protejată împotriva falsificării prin mijloacele tehnice disponibile la
momentul generării acesteia;
69
Airinei, D. și colab, Op. cit., p. 251
d) datele de creare a semnăturii să poată fi protejate în mod efectiv de către semnatar împotriva
utilizării acestora de către persoane neautorizate;
e) să nu modifice datele în formă electronică, care trebuie să fie semnate, și nici să nu împiedice
ca acestea sa fie prezentate semnatarului înainte de finalizarea procesului de semnare.
Necesitatea obținerii unui certificat digital și, implicit, a dreptului de semnătură electronică, a
devenit din ce în ce mai mare în rândul firmelor din România, mai ales în contextul în care
Ministerul Finanțelor a introdus, începând cu data de 1 iulie 2011, obligativitatea depunerii
declarațiilor fiscale online, iar prima condiție pentru a realiza acest lucru este constituită de
necesitatea deținerii unui certificat de autenticitate.
Pașii obținerii și folosirii semnăturii electronice70 sunt:
1. persoana care va semna electronic se adresează unuia dintre cei 5 furnizori de servicii de
certificare autorizați (în ianuarie 2020 aceștia erau CERTSIGN, DIGISIGN, TRANS SPED,
Alfatrust Certification, Centrul de Calcul, UM 0296 București71);
2. se completează un formular, se probează identitatea, se plătește serviciul;
3. se primește un dispozitiv securizat și o aplicație, care pot fi folosite, cunoscând codul PIN 72 de
acces, pentru a atașa unor documente electronice (în Word, PDF, email, etc.) semnătura digitală,
creată cu ajutorul dispozitivului;
4. destinatarul mesajului poate să verifice, în mod gratuit, pe Internet dacă semnătura digitală
atașată documentului este validă sau nu.
Pachetele oferite de furnizori sunt similare și conțin:
 certificatul digital calificat (care poate fi emis persoanelor fizice sau angajaților autorizați
ai persoanelor juridice, pe baza probei identității persoanei respective și semnării unui
contract cu autoritatea de certificare). În timp ce certificatul digital propriu-zis este
constituit dintr-o suită de atribute și informații referitoare la persoana pe care o identifică,
prin certificat calificat sau certificat de semnătură electronică calificată se înțelege acel
certificat emis în conformitate cu reglementările directivei UE/99/93 și ale legii 455/2001
privind semnătura electronică. Principala diferență între un certificat simplu și un
certificat calificat este aceea că unui certificat calificat nu i se poate exporta în nici un fel
cheia privată asociată. În plus, Autoritatea de Certificare este aceea care își asumă
răspunderea pentru corespondența dintre certificatul digital și persoana căreia îi aparține;
 un produs software de semnare a documentelor, indiferent de tip;
 un dispozitiv securizat pentru crearea semnăturii electronice;
 instrucțiuni de utilizare.
70
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D., Pavaloaia,
D., Tehnologii informationale aplicate în organizații, Editura Universităţii „Alexandru Ioan Cuza”, Iaşi, 2014,
p. 252
71Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de certificare
pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-content/uploads/2020/01/Registru-

furnizori-.pdf, accesat la 31.01.2020
72 Personal Identification Number
Figura nr. 3. 2 Ecran al aplicației DigiSigner (sursa: softpedia.com)
Figura nr. 3. 3 DSCS e-Token pro Aladdin (sursa: okazii.ro)

Prețurile practicate de furnizori pentru certificatele de semnătură electronică sunt în jur de 50 €
pentru un an de certificare, reduse la reînnoire.
3.4 Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce

privește prelucrarea datelor cu caracter personal și libera circulație a
acestor date
Caracterul privat al datelor/informațiilor personale este o condiție a asigurării dreptului
fiecărui individ la viața privată (privacy). Protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal este un drept fundamental recunoscut de Uniunea
Europeană.
Asigurarea dreptului fiecărei persoane de a controla felul în care îi este construită identitatea este
o parte foarte importantă a eticii cibernetice, iar asigurarea securității datelor cu caracter personal
este o condiție a respectării vieții private a individului, care se asigură prin combinația dintre
legislație și tehnologie.
Respectarea dreptului fiecăruia dintre noi la viața privată este importantă din cel puțin
următoarele motive73 74:
 limitează puterea guvernelor și companiilor private asupra indivizilor, facilitând
autonomia și controlul asupra propriilor vieți;
 le permite indivizilor să își administreze reputația, să mențină granițele sociale adecvate;
 garantează încrederea în terți cum ar fi prestatorii de servicii medicale, guvernele,
comercianții;
 asigură libertatea de expresie și gândire, a activităților sociale și politice ale indivizilor.
Potrivit Regulamentului75, “evoluțiile tehnologice rapide și globalizarea au generat noi provocări
pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului de date cu
caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăților private, cât
și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul
activităților lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informații
cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și ar trebui
să faciliteze în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii
Europene și transferul către țări terțe și organizații internaționale, asigurând, totodată, un nivel
ridicat de protecție a datelor cu caracter personal.”
Datele cu caracter personal înseamnă orice date privind o persoană fizică identificată sau
identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane
constituie și ele date cu caracter personal.76
O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în
special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare,
date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Exemple de date cu caracter personal, potrivit site-ului Comisiei Europene77:
- nume și prenume;
- adresă de domiciliu;
- adresă de e-mail, cum ar fi prenume.nume@societate.com;
- numărul unui act de identitate;
73
Solove, Daniel J., 10 Reasons Why Privacy Matters, Privacy + Security Blog - News, Developments, and
Insights, 20.01.2014, la https://www.teachprivacy.com/10-reasons-privacy-matters/, accesat 06.11.2019
74 Wladawsky-Berger, I., Digital Identity: The Key to Privacy and Security in the Digital World, MIT Blogs,
7.09.2016, la http://ide.mit.edu/news-blog/blog/digital-identity-key-privacy-and-security-digital-world, accesat

pe 2.07.2018
75 https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EL
76 https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro
77 Idem
- date privind localizarea (de exemplu, funcția de date privind locația disponibilă pe un telefon
mobil);
- adresă de protocol de internet (IP);
- un identificator de modul cookie;
- identificatorul de publicitate al telefonului;
- date deținute de către un spital sau un medic, care ar putea fi un simbol ce identifică în mod unic o
persoană.
Ca regulă generală, datele cu caracter personal ar trebui să nu fie prelucrate, astfel încât să se
asigure un nivel ridicat de protecție a dreptului la viață privată. Prelucrarea datelor cu caracter
personal trebuie să rămână, prin natura sa, mai degrabă excepțională. Scopul legislației în
domeniu este acela de a evita prelucrările pe scară largă a datelor cu caracter personal, prin
mijloace automate, digitale, pentru alte scopuri decât cele legitime.
Prelucrarea este legală doar dacă se înregistrează una dintre următoarele situații:
1. persoana vizată și-a dat consimțământul pentru unul sau mai multe scopuri specifice;
2. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
3. prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului;
4. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
5. prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
6. prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în
special atunci când persoana vizată este un copil.
Consimțământul este orice manifestare de voință liberă, specifică, informată și lipsită de
ambiguitate a persoanei vizate, prin care aceasta acceptă, printr-o declarație sau acțiune fără
echivoc, prelucrarea datelor sale. Operatorul trebuie să facă dovada existentei consimțământului.
Citiți informațiile care politica de confidențialitate sau de utilizare a modulelor cookie
către care sunteți trimis(ă) la deschiderea unei publicații online, prin banner-e similar
celor de mai jos.

Selectați cele mai interesante aspecte sesizate în urma acestei lecturi.
În cazul consimțământului dat prin declarație scrisă, aceasta trebuie să aibă o formă care o
diferențiază de alte aspecte, să fie ușor accesibilă și redactată într-un limbaj simplu și clar.
Persoana vizată are dreptul de a-și retrage oricând consimțământul, cu efecte pentru viitor.
Regulamentul prevede că datele cu caracter personal trebuie prelucrate într-un mod care asigură
securitatea lor adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și
împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare.
3.5 Legislația privind dreptul de autor și drepturile conexe

În România prima lege care a reglementat drepturile de autor și drepturile conexe a fost Legea
nr. 8/1996 privind dreptul de autor și drepturile conexe, completată ulterior cu Legea nr. 329 din
14 iulie 2006 privind aprobarea Ordonanței de Urgență 123 din 1 septembrie 2005 pentru
modificarea și completarea Legii nr. 8/1996 privind dreptul de autor și drepturile conexe.
Potrivit legii78, constituie obiect al dreptului de autor operele originale de creație intelectuală în
domeniul literar, artistic sau științific, oricare ar fi modalitatea de creație, modul sau forma
concretă de exprimare și independent de valoarea și destinația lor, cum sunt:
a) scrierile literare și publicistice, conferințele, predicile, pledoariile, prelegerile și orice alte
opere scrise sau orale, precum și programele pentru calculator;
b) operele științifice, scrise sau orale, cum ar fi: comunicările, studiile, cursurile universitare,
manualele școlare, proiectele și documentațiile științifice;
c) compozițiile muzicale cu sau fără text;
d) operele dramatice, dramatico-muzicale, operele coregrafice și pantomimele;
e) operele cinematografice, precum și orice alte opere audiovizuale;
78***, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe, publicată în Monitorul Oficial 430 din
2010, http://www.legi-internet.ro/legislatie-itc/drept-de-autor/legea-dreptului-de-autor/legea-81996-privind-
dreptul-de-autor-si-drepturile-conexe.html
f) operele fotografice, precum și orice alte opere exprimate printr-un procedeu analog fotografiei;
g) operele de artă plastică;
h) operele de arhitectură, inclusiv planșele, machetele și lucrările grafice ce formează proiectele
de arhitectură;
i) lucrările plastice, hărțile și desenele din domeniul topografiei, geografiei și științei în general.
Utilizarea de scurte citate dintr-o operă este permisă, potrivit legii, doar cu menționarea
sursei și a numelui autorului, dacă acesta apare pe lucrarea utilizată.
Orice sursă pe care o cităm trebuie să conțină cel puțin următoarele elemente: autorul,
titlul cărții/articolului/publicației, locul publicației, editorul, data publicației, pagina.
Pentru publicațiile scrise, aceste aspecte sunt ușor de identificat în coperțile interioare
! ale volumului. Pentru paginile Web, informațiile sunt uneori afișate pe aceeași pagină,
dar alteori nu – în acest al doilea caz, ele trebuie căutate pe site sau chiar în proprietățile
paginii, accesate cu click dreapta pe pagina și opțiunea View Page Info... Se recomandă,
ca regulă generală, să folosim o sursă de fiecare dată când menționăm informații pe care
nu le cunoșteam atunci când am început documentarea. De asemenea, e mai bine ca
atunci când nu suntem siguri în privința necesității includerii unei surse, să o cităm.79
Exemple de citări complete:
Carte:
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D.,
Pavaloaia, D., Tehnologii informaționale aplicate în organizații, Editura Universității „Alexandru Ioan
Cuza”, Iași, 2014
Articol științific:
Herkema, S., A complex adaptive perspective on learning within innovation projects, in “The Learning
Organization”, Volume 10, No 6, 2003, pp. 340-346
Articol Web:
Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, Ziarul de Iași, disponibil la
În România, media a impus sintagma „generația copy/paste”. Realizați, cu precizarea

surselor bibliografice, un portret-robot al unui membru al acestei generații.

79
Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D., Pavaloaia,
D., Op. cit., p. 243
Legea nr. 8/1996 privind dreptul de autor și drepturile conexe are un capitol distinct privind
programele de calculator, unde sunt reglementate aspectele legate de protecția programelor,
stabilind categoriile ce intră sub incidența legii, respectiv programele de aplicație și sistemele de
operare, exprimate în orice fel de limbaj, fie în cod-sursă sau cod-obiect, materialul de concepție
pregătitor, precum și manualele.
Autorii programelor beneficiază de drepturile generale ale oricărui autor de opere, cu
accentuare asupra dreptului exclusiv de a realiza și autoriza reproducerea, traducerea, difuzarea
originalului sau copiilor unui program. O atenție specială trebuie acordată articolului 74, care
spune că, în lipsa unei clauze contrare, drepturile patrimoniale de autor asupra programelor
pentru calculator, create de unul sau de mai mulți angajați în exercitarea atribuțiilor de serviciu
ori după instrucțiunile celui care angajează, aparțin angajatorului.
Pirateria, sau copierea ilegală a produselor software, este o problemă foarte serioasă a societății
informaționale – se estimează că aproximativ 50% dintre produsele software folosite astăzi la
nivel mondial sunt piratate. În România, industria de software pierde anual peste 100 de milioane
de dolari și 3.000 de locuri de muncă din cauza pirateriei80, în condițiile în care circa 63% din
utilizatorii de PC-uri folosesc cel puțin un program fără licență, susțin reprezentanții
Inspectoratului General al Poliției Române (IGPR) și cei ai Business Software Alliance (BSA).
Ce măsuri credeți că ar fi necesare pentru diminuarea pirateriei în România?
Deoarece pirateria este o faptă de natură penală, ea atrage răspunderea penală, cu tot ce
înseamnă acest lucru, inclusiv dosar penal, condamnare și cazier. Pedepsele sunt pe măsura
infracțiunii și se aplică în mod diferențiat, în funcție de gravitatea infracțiunii și persoana
incriminată.81
80
Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-software-10118394,
26.09.2012, accesat la 16.09.2013
81 Matache, L., Ce rişti dacă foloseşti software piratat, la http://www.economica.net/ce-risti-daca-folosesti-
software-piratat_13381.html, 31.01.2013, accesat la 2.09.2013

3.6 Aplicație
Un bun “punct de informare despre legislația și practica judiciară privind anumite aspecte
 legate de Internet”, care “prezintă noutăți, legi și jurisprudența din România și străinătate
din domeniul dreptului TIC” este legi-internet.ro (disponibil la adresa https://www.legi-
internet.ro/). 82
Imaginați un caz de încălcare a uneia dintre legile prezentate mai sus sau disponibile la
adresa menționată. Imaginați un proces pe marginea respectivului caz, prezentând succint
argumentele apărării și acuzării.
82
https://www.legi-internet.ro/
Proiect - partea a 3-a. Cunoașterea legislației relevante în domeniul securității

informaționale
3.1-3.2 Propuneți, pentru o organizație pe care o cunoașteți, două modalități eficiente

prin care legislația relevantă în domeniul de activitate al organizației/în domeniul
securității informaționale să fie adusă la cunoștința angajaților.
Rezumat
Unitatea de studiu 3 a tratat aspecte privind securitatea informațiilor selectate din:
 Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea
demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și
sancționarea corupției;
 Ordinul 2634/2015 privind documentele financiar-contabile;
  Legea 455/2001 privind semnătura electronică;

 Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date;
 Legea nr. 8/1996 privind dreptul de autor și drepturile conexe;
 Legea nr. 329 din 14 iulie 2006 privind aprobarea Ordonanței de Urgență 123 din 1
septembrie 2005 pentru modificarea și completarea Legii nr. 8/1996 privind dreptul de
autor și drepturile conexe.
Bibliografie
1. ***, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe, publicată în Monitorul Oficial
430 din 2010, http://www.legi-internet.ro/legislatie-itc/drept-de-autor/legea-dreptului-de-autor/legea-
81996-privind-dreptul-de-autor-si-drepturile-conexe.html
2. Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D.,
Pavaloaia, D., Tehnologii informaționale aplicate în organizații, Editura Universității „Alexandru Ioan
Cuza”, Iași

3. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro
4. https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EL
5. https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf

6. https://www.legi-internet.ro/
7. Matache, L., Ce riști dacă folosești software piratat, la http://www.economica.net/ce-risti-daca-
folosesti-software-piratat_13381.html, 31.01.2013, accesat la 2.09.2013
8. Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de
certificare
9. Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-software-
10118394, 26.09.2012, accesat la 16.09.2013
10. pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-
content/uploads/2020/01/Registru-furnizori-.pdf, accesat la 31.01.2020

11. Solove, Daniel J., 10 Reasons Why Privacy Matters, Privacy + Security Blog - News, Developments,
and Insights, 20.01.2014, la https://www.teachprivacy.com/10-reasons-privacy-matters/, accesat
06.11.2019
12. Wladawsky-Berger, I., Digital Identity: The Key to Privacy and Security in the Digital World, MIT
Blogs, 7.09.2016, la http://ide.mit.edu/news-blog/blog/digital-identity-key-privacy-and-security-
digital-world, accesat pe 2.07.2018
Măsuri administrative de protecție a informațiilor
După ce veți parcurge unitatea de studiu 4:

 veți cunoaște principalele standarde de securitate informațională;
 veți deține cunoștințele necesare pentru a realiza politici de securitate pentru
diverse zone ale unei organizații.
Managementul securității se referă la modul de folosire a tehnologiilor de securitate
într-o organizație, în așa fel încât resursele informaționale să fie protejate și să li se
asigure caracteristicile de securitate considerate relevante de către organizație, cu
garantarea cel puțin a confidențialității, integrității și accesibilității. Din zona
managementului securității informaționale, prezentăm în unitatea de față:
 principalele standarde de securitate informațională;
 câteva exemple de politici de securitate informațională.
Securitatea este întotdeauna percepută ca excesivă - până în ziua în care devine insuficientă.
Robbie Sinclair
4.1 Standarde de securitate informațională

Un standard de securitate informațională este o documentație publicată de un organism
internațional recunoscut în acest sens, care conține sugestii legate de documentele necesare,
auditurile interne, modalitățile de îmbunătățire continuă a proceselor și acțiunile preventive și
corective necesare pentru ca într-o organizație să fie implementat un sistem de management al
securității informaționale (SMSI), fără a oferi însă o rețetă exactă, pas cu pas, de creare a
acestuia.
Cel mai cunoscut set de standarde de securitate informațională la nivel mondial83 este familia
denumită generic ISO84/IEC85 27000, care are rolul de a ajuta organizațiile să păstreze siguranța
informațiilor la un nivel suficient pentru a beneficia de încredere din partea terților.
Implementarea seriilor de standarde în activitățile unei organizații nu este obligatorie, ci
recomandată, fiind capabilă să contribuie la securizarea datelor și informațiilor legate de
proprietatea intelectuală, a informațiilor angajaților, informațiilor financiare sau a altor informații
furnizate de terți.
Certificarea unui sistem de management al securității informațiilor presupune verificarea sa în
raport cu standardul ISO/IEC 27001, unul dintre cele mai cunoscute standarde din serie.
Verificarea respectării cerințelor standardului presupune analiza activităților personalului, a
83
iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-27001-
information-security.html, accesat la 10.02.2020
84 International Standardization Organisation
85 International Electrotechnical Commission
US4. Măsuri administrative de protecție a informațiilor
proceselor și sistemelor informatice, iar implementarea sistemului de management pentru

securitatea informației și certificarea ISO 27001 demonstrează “angajamentul pentru protecția
datelor procesate, continuitatea activităților afacerii și respectarea legislației naționale și
internaționale în domeniu.”86
Potrivit ISO, organizația internațională de standardizare (www.iso.org) și ASRO, organismul
național de standardizare din România (www.asro.ro), principalele standarde87 în vigoare din
domeniul securității informaționale sunt:
 ISO/IEC 27000:2018 Tehnologia informației - Tehnici de securitate - Sisteme de
management al securității informațiilor (SMSI) - oferă o imagine generală a sistemelor de
management al securității informațiilor. De asemenea, oferă termeni și definiții utilizate
în mod obișnuit în familia de standarde pentru securitatea informațiilor. Acest document
se aplică organizațiilor de toate tipurile și dimensiunile (de exemplu, societăți comerciale,
agenții guvernamentale, organizații non-profit);
 SR ISO/IEC 27001:2018 Tehnologia informației - Tehnici de securitate - Sisteme de
management al securității informației - Cerințe conține cerințele în vederea stabilirii,
implementării, întreținerii și îmbunătățirii continue a unui SMSI în cadrul companiei și,
totodată, cerințele pentru evaluarea și tratarea riscurilor de securitate a informației potrivit
nevoilor companiei. Cerințele specificate în standard sunt destinate aplicării în cadrul
companiilor din orice domeniu și de orice dimensiune;
 EN ISO/IEC 27002:2018 Tehnologia informației - Tehnici de securitate - Cod de bună
practică pentru managementul securității informației furnizează linii directoare pentru
standardele de securitate a informației și practicile de management al securității
informației dintr-o organizație, inclusiv alegerea, implementarea și managementul
mijloacelor de control, cu luarea în considerare a mediului(iilor) de risc de securitate a
informației;
 ISO/IEC 27010:2015 Tehnologia informației - Tehnici de securitate - Gestionarea
securității informațiilor pentru comunicațiile intersectoriale și inter-organizaționale -
acest document oferă îndrumări în plus față de cele furnizate în familia de standarde
ISO/IEC 27000, asigurând cadrul pentru implementarea SMSI în cadrul comunităților de
schimb de informații. Acest standard internațional oferă controale și recomandări
specifice legate de inițierea, implementarea, menținerea și îmbunătățirea securității
informațiilor în comunicațiile inter-organizaționale și intersectoriale. Documentul
prezintă linii directoare și principii generale privind modul în care pot fi îndeplinite
cerințele specificate, utilizând metode tehnice de comunicare. Standardul se aplică tuturor
formelor de schimb și de partajare a informațiilor sensibile, atât publice, cât și private, la
nivel național și internațional, în cadrul aceleiași industrii sau al aceluiași sector al pieței,
dar și pentru comunicațiile între sectoare. Acesta este conceput pentru a sprijini crearea
de încredere în schimbul de informații sensibile, încurajând astfel creșterea internațională
a comunităților de schimb de informații;
86https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-managementul-securitatii-
informatiilor/
87www.iso.org,
www.asro.ro
 ISO/IEC 20000-1 Tehnologia informației – Managementul serviciilor88 cuprinde

cerințele sistemului de management al serviciilor TIC. Acest sistem poate fi utilizat de un
furnizor de servicii TIC (intern sau extern) pentru a se asigura că serviciile furnizate
clienților (interni sau externi) sunt la nivelul de calitate, control si siguranță stabilit si
aprobat. Cele mai multe afaceri se bazează pe tehnologia informației, fiind unul dintre
elementele de bază din cadrul activității lor. Multe procese operaționale cheie se bazează
pe TIC, iar modificările din cadrul acestor procese necesită si modificarea sistemelor TIC
– fie că vorbim de hardware, software, de comunicații sau servicii suport89.

Informații suplimentare privind seria de standarde ISO/IEC 27000, dar și alte standarde
din diverse domenii puteți obține de la https://www.asro.ro/gdpr-si-sr-en-iso-iec-
270012018/.
4.2 Politici de securitate informațională

O politică de securitate este un document care conține un set de reguli care se referă, punctual,
la o anumită zonă dintr-o organizație în care este importantă asigurarea securității
informaționale.
De exemplu, politica utilizării adecvate a resurselor informatice conține regulile care trebuie
urmate de către angajați în folosirea calculatoarelor, imprimantelor și altor echipamente din
organizație.
Regulile și recomandările din politicile de securitate vor fi definite în funcție de obiectul de
activitate și dimensiunea organizației, iar politicile vor fi complementare, încercând să acopere și
să prevină toate amenințările care pot afecta resursele informaționale. Într-o organizație se pot
întâlni, de exemplu:
 politica de utilizare a resurselor informaționale ale organizației;
 politica “biroului curat”;
 planul de recuperare în caz de dezastru;
 politica de lucru cu semnăturile digitale;
 politica de criptare a datelor;
 ghidul de construcție a parolelor și politica de protecție a parolelor;
 politica privind planul de răspuns la incidentele de securitate;
 politica accesului de la distanță la resursele informatice ale organizației;
 politica de acces în spațiile cu regim special ale organizației;
 politica de conectare la rețeaua wireless;
 politica de utilizare a Internetului de către angajați etc.
88 https://www.iso.org/standard/70636.html
89
Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la https://www.lr.org/ro-ro/iso-
20000/, accesat la 31.01.2020
Politicile de securitate trebuie să fie redactate folosind un limbaj accesibil celor cărora li se
adresează și, pentru a fi eficiente, trebuie să fie aduse la cunoștința acestora într-un mod efectiv.
De regulă, o politică de securitate va conține:
 scopul pentru care se redactează politica;
 responsabilii cu aplicarea sa;
 cui i se adresează documentul (audiența);
 secțiune de definiții, pentru a clarifica toți termenii tehnici folosiți și a se asigura astfel
înțelegerea lor de către angajați;
 regulile propriu-zise;
 reguli pentru situațiile de excepție;
 măsurile disciplinare care se aplică în cazul nerespectării politicii;
 documente relaționate.
4.3 Exemple de politici de securitate recomandate

Prezentăm în continuare două exemple de politici de securitate preluate de pe site-ul SANS
Institute90.
4.3.1 Politica de utilizare a poștei electronice (e-mail)

Politica de utilizare a poștei electronice (e-mail) în organizația <<denumirea organizației>>
Ultima actualizare la: <<data actualizării>>
Scop
Scopul acestei politici de securitate este de a asigura utilizarea adecvată a sistemului de poștă
electronică (e-mail) în organizația <<denumirea organizației>>, prin conștientizarea de către
utilizatorii poștei electronice a ceea ce înseamnă utilizare adecvată și neadecvată a e-mail-ului.
Politica scoate în evidență cerințele minimale de folosire corectă a e-mail-ului în rețeaua
organizației <<denumirea organizației>>.
Aplicare (destinatari)
Politica se referă la utilizarea corectă a e-mail-ului în organizația <<denumirea organizației>> și se
aplică tuturor angajaților, afiliaților vânzătorilor și agenților care operează în numele organizației
noastre.
Reguli
1. Utilizarea e-mail-ului se face în concordanță cu politicile și procedurile organizației noastre,
respectând conduita etică, regulile de securitate și siguranță la locul de muncă, concordanța
cu legislația relevantă în vigoare și practicile de afaceri adecvate.
2. Contul de e-mail al organizației va fi folosit în scopurile acesteia; folosirea sa în scop
personal este permisă în limite rezonabile, dar utilizarea în scopurile altei organizații este
strict interzisă.
90
https://www.sans.org/security-resources/policies; modelele de politici de pe acest site sunt puse la dispoziția
comunității Internet pentru utilizare gratuită, fără a fi necesară nici o aprobare prealabilă
3. Toate datele organizației <<denumirea organizației>> conținute în mesajele de poștă

electronică sau în fișierele atașate acestora trebuie securizate conform Procedurii de
protecție a datelor.
4. Mesajele de poștă electronică vor fi păstrate doar dacă sunt relevante pentru reflectarea în
evidențele noastre a operațiunilor de afaceri descrise. E-mailul identificat ca document
justificativ va fi păstrat în conformitate cu Regulamentul de păstrare și arhivare a
documentelor justificative.
5. Sistemul de e-mail al <<denumirea organizației>> nu trebuie utilizat pentru crearea sau
distribuirea de mesaje ofensatoare sau jignitoare sau comentarii nepotrivite despre rasă,
etnie, gen, dizabilități, vârstă, orientare sexuală, pornografie, credințe și practici religioase,
orientare politică sau origine națională. Angajații care primesc un mesaj cu asemenea
conținut de la orice angajat al <<denumirea organizației>> trebuie să raporteze imediat
problema superiorului lor ierarhic.
6. Utilizatorilor li se interzice să distribuie automat e-mail-urile primite în contul organizației
către un sistem de e-mail terț (menționat mai jos, la punctul 10). Mesajele transmise
individual de către utilizator către un alt cont de e–mail al său nu trebuie să conțină
informații confidențiale ale <<denumirea organizației>> sau informații sub incidența
punctului 8.
7. Utilizatorilor le este interzis să folosească sisteme de e-mail și servere de stocare terțe, cum
ar fi Google, Yahoo și MSN Hotmail etc. pentru corespondența în interesul <<denumirea
organizației>>, pentru a crea sau stoca detalii despre tranzacții economice ale <<denumirea
organizației>> sau pentru a stoca sau păstra e-mailuri în numele <<denumirea
organizației>>. Aceste comunicări și tranzacții trebuie realizate prin canale adecvate din
<<denumirea organizației>>.
8. Folosirea unei cantități rezonabile de resurse ale <<denumirea organizației>> pentru e-
mailuri personale este acceptabilă, cu condiția salvării acestora într-un dosar separat.
Participarea la trimiterea de scrisori în lanț sau trimiterea de glume de pe un cont de e-mail
al <<denumirea organizației>> este interzisă.
9. Angajaților <<denumirea organizației>> nu li se oferă garanția respectării caracterului
privat al datelor și mesajelor pe care le stochează, trimit sau primesc folosind sistemul de e-
mail al organizației.
10. <<Denumirea organizației>> poate monitoriza mesajele e-mail fără notificare prealabilă.
Responsabili cu respectarea politicii
Echipa de securitate informațională a <<denumirea organizației>> va verifica respectarea acestei
politici prin diferite metode, inclusiv, dar fără a se limita la: controale inopinate, monitorizare video,
log-uri, audituri interne și externe.
Excepții
Orice excepție de la politica de securitate prezentată trebuie să fie aprobată în prealabil de către
echipa de securitate informațională a <<denumirea organizației>>.
Nerespectarea politicii
Un angajat care încalcă această politică poate fi supus unor măsuri disciplinare, care pot include și
rezilierea contractului de muncă.
Standarde, politici și proceduri asociate
 Procedura de protecție a datelor

 Regulamentul de păstrare și arhivare a documentelor justificative
Termeni și definiții
Niciunul
Versiuni anterioare, revizuiri
Data actualizării Responsabil Revizuirea
<< data actualizării>> <<autorul politicii>> Actualizată și convertită în
format electronic
… … …
4.3.2 Politica “biroului curat”

Politica “biroului curat” în organizația <<denumirea organizației>>
Ultima actualizare la: <<data actualizării>>
Descriere
Politica “biroului curat” este un instrument important care să contribuie la îndepărtarea/blocarea
accesului la materialele sensibile/confidențiale din spațiul de lucru al utilizatorului final, atunci
când ele nu sunt utilizate sau când angajatul părăsește stația de lucru. Este un instrument util în
reducerea riscului încălcărilor măsurilor de securitate la locul de muncă, care contribuie la
conștientizarea angajaților cu privire la importanța protejării informațiilor sensibile.
Scop
Scopul acestei politici de securitate este de a preciza condițiile minime pentru menținerea unui
„birou curat” în organizația <<denumirea organizației>>, astfel încât accesul persoanelor
neautorizate la informații clasificate drept sensibile/confidențiale să fie restricționat. Această
politică este elaborată pentru a se asigura conformitatea cu standardul ISO 27001 și Regulamentul
679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și libera circulație a acestor date.
Aplicare
Politica se aplică tuturor angajaților și afiliaților organizației noastre.
Reguli
1. Angajații sunt obligați să se asigure că toate informațiile sensibile/confidențiale, pe suport
de hârtie sau în formă electronică, sunt stocate în mod securizat la sfârșitul programului de
lucru sau în situația absenței de la birou pentru o perioadă prelungită.
2. Stațiile de lucru trebuie blocate la părăsirea spațiului de lucru, chiar și pentru o perioadă
scurtă de timp.
3. Stațiile de lucru trebuie să fie închise la sfârșitul programului de muncă.
4. Orice informație clasificată trebuie îndepărtată de pe birou și încuiată într-un dulap la
părăsirea spațiului de lucru și la sfârșitul programului de muncă.
5. Dulapurile cu dosare și documente care conțin informații clasificate trebuie ținute încuiate
atunci când nu sunt utilizate sau nu pot fi supravegheate.
6. Cheile dulapurilor de la punctele 4, 5, 13 nu trebuie lăsate nesupravegheate.
7. Laptopurile trebuie să fie blocate cu un cablu de blocare sau închise într-un sertar atunci
când nu sunt utilizate sau nu pot fi supravegheate.
8. Parolele nu trebuie scrise pe bilețele postate pe sau sub un computer, ecranul sau tastatura
acestuia sau în orice alt loc accesibil persoanelor neautorizate.
9. Documentele care conțin informații clasificate trebuie îndepărtate imediat după listare
din/de pe imprimantă, după scanare din scanner, după trimitere din fax.
10. Documentele care conțin informații clasificate și nu mai sunt necesare trebuie tocate la
tocătoarele speciale de hârtie sau distruse conform procedurilor organizației.
11. Tablele/panourile care conțin informații sensibile trebuie șterse.
12. Dispozitivele de calcul portabile, cum ar fi laptop-urile, tabletele, telefoanele mobile, trebuie
blocate dacă nu sunt folosite.
13. Dispozitivele de stocare (CD-uri, DVD-uri, hard discuri externe, USB stick-uri, carduri de
memorie etc.) pe care sunt salvate informații clasificate trebuie încuiate în dulap.
Respectarea politicii
Echipa de securitate informațională a <<denumirea organizației>> va verifica respectarea acestei
politici prin diferite metode, inclusiv, dar fără a se limita la: controale inopinate, monitorizare video,
log-uri, audituri interne și externe.
Excepții
Orice excepție de la politica de securitate prezentată trebuie să fie aprobată în prealabil de către
echipa de securitate informațională a <<denumirea organizației>>.
Nerespectarea politicii
Un angajat care încalcă această politică poate fi supus unor măsuri disciplinare, care pot include și
rezilierea contractului de muncă.
Niciunul.
Standarde, politici și proceduri asociate
 ISO 27001
 Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date
Termeni și definiții
Niciunul
Versiuni anterioare, revizuiri
Data actualizării Responsabil Revizuirea
<< data actualizării>> <<autorul politicii>> Actualizată și convertită în
format electronic
… … …
4.4 Aplicație
Faceți un inventar al parolelor pe care le folosiți în prezent. Enumerați greșelile pe care le faceți în
legătură cu parolele și, dacă sunt necesare, propuneți câteva îmbunătățiri ale modului de utilizare a
parolelor dvs.
Comentați următorul citat:

Multe dintre organizațiile pe care le cunosc sunt fortărețe impresionante. Limbajul pe care-l folosesc e unul puternic
defensiv și apare oriunde e vorba de practicile CYA[1], de secrete păzite cu strictețe și de fișierele personale încuiate în
seifuri, de activități referite drept „campanii”, „războaie”, “hărțuieli”, ca și în sintagmele împrumutate din sport, care
descriu orice lucru în termeni de apărare sau atac. Multe organizații simt că trebuie să se apere chiar de proprii
angajați cu reguli, ghiduri, cititoare de cartele pentru pontaj, politici și proceduri în care apar specificate, exhaustiv,
toate situațiile comportamentale posibile. Una dintre organizațiile în care am lucrat își întâmpină noii angajați cu o
listă de 27 de abateri pentru care pot fi concediați imediat și fără drept de apel – în plus, îi asigură și că pot fi dați
afară la fel de ușor și pentru alte delicte, nespecificate. Multe firme au ierarhii rigide, care împiedică oamenii să
vorbească nestingheriți între departamente, iar în marile companii există protocoale care definesc cine poate fi consultat,
sfătuit sau criticat. Iar ca stare de spirit generală, ne temem de ce s-ar putea întâmpla dacă lăsăm aceste elemente
organizaționale să se recombine, reconfigureze, discute sincer unele cu altele. Suntem profund speriați de o destrămare a
lucrurilor.
Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
Second Edition, Berrett-Koehler Publishers, San Francisco, 1999 – pp. 19-20
[1] Cover Your A** – într-o traducere adaptată, “Acoperă-te cu hârtii!”

Proiect - partea a 4-a. Politică de securitate
4.1 Întocmiți, pentru o organizație cunoscută de dvs., un set cât mai complet de
recomandări ale unei politici de securitate pe care o considerați necesară. Puteți
folosi un alt model de la adresa https://www.sans.org/security-resources/policies/.
Rezumat
Unitatea de studiu 4 a prezentat:
  principalele standarde de securitate informațională din familia ISO/IEC 27000 și alte

standarde complementare;
 câteva exemple de politici de securitate informațională.
Bibliografie
1. http://dcd.uaic.ro/?page_id=76
2. https://www.iso.org/standard/68427.html
4. https://www.sans.org/security-resources/policies
 5.
6.
https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-
managementul-securitatii-informatiilor/
iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-
 7.
8.
27001-information-security.html, accesat la 10.02.2020
Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la
https://www.lr.org/ro-ro/iso-20000/, accesat la 31.01.2020
Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
Second Edition, Berrett-Koehler Publishers, San Francisco, 1999
9. www.asro.ro
Măsuri tehnice de securitate a informațiilor
Prin această unitate de studiu, dorim să vă convingem că există o gamă largă de

măsuri de protecție utile în securizarea resurselor informaționale ale unei organizații,
iar această gamă se extinde simultan cu dezvoltarea tot mai rapidă a tehnologiilor
informaționale și de comunicații. În urma parcurgerii unității de studiu:
 veți înțelege importanța proceselor de identificare, autentificare, autorizare și
acordare a accesului utilizatorilor la resursele informaționale ale unei
organizații;
 veți deveni familiari cu câteva metode moderne prin care se realizează
procesele de mai sus.
 conceptele de identificare, autentificare, autorizare, acces;
 utilizarea criptografiei și biometriei în scopul asigurării confidențialității,
integrității și accesibilității resurselor informaționale;
 măsuri software ca licențele, programele firewall și antivirus;
 modalități de realizare a copiilor de siguranță a datelor și programelor.
Încrederea în tehnologie este un lucru bun. Controlul ei este însă unul și mai bun.
Stephane Nappo, Global Chief Information Security Officer 2018
5.1 Identificare, autentificare, autorizare, acces

În paragraful 1.1 al acestui material adresam o întrebare legată de forma resurselor
informaționale și modalitățile de protecție asociate acestora într-un birou al anilor 1960, fără
calculatoare, telefoane sau conexiune la Internet. Probabil că ați identificat cu ușurință faptul că
informația era generată și transmisă fie verbal, fie în scris. În acest context, printre modalitățile
tradiționale de asigurare a confidențialității și integrității informației și de acordare a accesului la
aceasta regăsim șoptitul cu voce joasă la urechea interlocutorului, introducerea documentelor în
plicuri, fișete sau seifuri, semnarea hârtiilor, recunoașterea facială sau vocală a persoanelor
cunoscute, folosirea de recomandări verbale sau scrise pentru a “valida” persoanele necunoscute,
aprecierea oportunității divulgării unei informații în funcție de contextul fizic în care ne aflăm,
utilizarea serviciilor poștale autorizate pentru transferul documentelor pe hârtie etc. Deși
imperfecte, măsurile de securitate prezentate și-au dovedit eficiența o perioadă îndelungată de
timp.91
Într-un birou modern însă, o parte covârșitoare din informație este creată, stocată și transmisă
astăzi în format digital. Spre deosebire de informația în forma ei tradițională, informația digitală
91
Martin, K., Everyday Cryptography. Fundamental Principles and Applications, Second Edition, Oxford
University Press, 2017, p. 4
US 5. Măsuri tehnice de securitate a informațiilor
este ușor de copiat, ușor de modificat, procesele de copiere și modificare neautorizată se pot face
fără urme, iar paternitatea informațiilor poate fi greu de probat. De aceea, măsurile tradiționale
de securitate fizică, deși rămân importante, nu sunt suficiente.
Cu suportul măsurilor administrative prezentate mai sus, măsurile tehnice implementate într-o
organizație trebui să asigure identificarea și autentificarea utilizatorilor autorizați, urmată de
autorizarea accesului acestora la resurse.
Identificarea este determinarea identității unei persoane sau a unui obiect pe baza unei
caracteristici unice pentru persoana/obiectul identificat.
Prin autentificare, identitatea persoanei/obiectului este probată, validată pe baza unui element
știut, deținut sau propriu (fizic asociat) persoanei/obiectului sau contextului în care se află
acesta/aceasta.
De exemplu, în momentul în care dorim să extragem bani dintr-un bancomat, la introducerea
cardului bancar se citesc mai întâi datele noastre de identificare, iar autentificarea are loc după
aceea, prin tastarea PIN. După autorizare avem posibilitatea vizualizării disponibilităților, retragerii
de fonduri, plății facturilor etc., iar toate activitățile pe care le facem sunt înregistrate în scopul
auditării în sistemul informatic al băncii. În comunicația dintre bancomat și acest sistem informatic,
datele sensibile transmise (numărul de cont, PIN etc.) vor fi criptate, pentru a se împiedica folosirea
lor de eventualii intruși.
După ce literatura de specialitate a pledat pentru necesitatea autentificării prin combinarea a cel
puțin două elemente de naturi diferite – un cod sau o parolă, un obiect, o caracteristică
biometrică, poziția geografică a unui echipament deținut de persoană, iar principiul autentificării
în doi pași (two factor authentication) a fost adoptat pe scară largă în practică, astăzi se discută
tot mai mult despre utilizarea unei triade a autentificării în locul autentificării cu doi factori.
Identificarea și autentificarea stau la baza autorizării, adică a obținerii de către utilizator a
dreptului de a executa o anumită operațiune.
Controlul accesului într-o organizație/într-un sistem are drept scop limitarea acțiunilor pe care
un utilizator autorizat le poate efectua în respectivul perimetru/sistem, prevenind astfel încălcarea
securității informaționale. Prin controlul accesului se mediază fiecare încercare a unui utilizator
legitim de a accesa o resursă informațională din sistem și se determină activitățile permise
acestuia.
Prezentați modul în care sunteți identificați și vă autentificați pentru a fi autorizați să

accesați:
Mod de identificare Mod(uri) de autentificare
Rețeaua dvs. de
socializare preferată
 Aplicația de
mesagerie instant
preferată
Telefonul dvs. smart
Contul de e-mail
personal
Aplicația de Internet
Banking
Controalele trebuie create, integrate în organizație, monitorizate, actualizate și înlocuite, dacă

este cazul. Încrederea în măsurile de control al accesului depinde de92:
 felul în care ele au fost proiectate în raport cu necesitățile organizației pe care o
protejează;
 complementaritatea lor, în așa fel încât suma tuturor măsurilor de control să răspundă
tuturor scopurilor de securitate fizică și informațională ale organizației;
 corectitudinea și eficiența implementării și întreținerii lor.
Tipurile de metode de control al accesului în funcție de momentul implementării și de natura lor
sunt prezentate în figura nr. 5.1.
Un mecanism de control nu trebuie să coste organizația mai mult decât bunul ce trebuie
protejat.93
92
Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
93 Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii Facultăţii de
Inginerie, Universitatea din Bacău, p. 8

Figura nr. 5. 1 Tipuri de măsuri de control al accesului

Prelucrare după Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2017
Dați exemple de controale tehnice cu rol preventiv, detectiv și corectiv:
Preventiv Corectiv Detectiv
5.2 Criptografia
După ce a migrat dinspre folosirea militară în domeniul bancar, criptografia a devenit astăzi
inima majorității soluțiilor tehnice de protecție a informației. Utilizăm criptografia zilnic, fără să
realizăm neapărat acest lucru – de exemplu, atunci când facem plăți online sau conversăm pe
WhatsApp.
Soluțiile criptografice au o paletă foarte largă de utilizare și pot acoperi toate trăsăturile de
securitate din triada C.I.A.
Criptarea, adică procesul de transformare a unui text clar într-un text neinteligibil de către un
eventual interceptor neautorizat, utilizând o serie de pași cunoscuți sub numele de algoritm
criptografic și o cheie de criptare, asigură confidențialitatea mesajului. Semnătura digitală, care
este implementată tehnic tot pe baza criptării, garantează autentificarea originii datelor semnate
și non repudierea lor. Pentru garantarea integrității datelor se utilizează funcțiile hash, Message
Authentication Codes (MACs).
Deoarece păstrarea secretă a algoritmilor de criptare s-a dovedit dificilă de-a lungul timpului, s-a
trecut la utilizarea cheilor criptografice.
Cheile de criptare, sunt, de regulă, șiruri aleatoare de caractere, impredictibile și unice, folosite
pentru criptarea și decriptarea mesajelor.
Atunci când la criptare și decriptare se folosește aceeași cheie, care trebuie păstrată secretă
pentru un proces de criptare eficient, vorbim despre criptografia simetrică.
Criptarea asimetrică (numită și criptare cu cheie publică) criptează datele folosind o cheie
care este disponibilă oricui, dar pentru decriptarea acestora este nevoie de o altă cheie, privată
(secretă). Cheia privată este legată de cheia publică, dar este foarte important ca ea să nu poată fi
dedusă din aceasta.
În criptarea simetrică, este necesară În criptarea asimetrică, oricine poate

aceeași cheie pentru a cripta și cripta mesajul (folosind o cheie
decripta mesajul. Pentru a împiedica publică), dar este necesară o cheie
accesul persoanelor neautorizate la secretă pentru decripta mesajul.
mesaje, cheia trebuie păstrată Cheia secretă nu trebuie să poată fi
secretă! dedusă din cheia publică!
Figura nr. 5. 2 Criptarea simetrică și asimetrică
Criptografia simetrică este foarte potrivită pentru utilizarea în sisteme închise, cum ar fi
organizațiile militare sau financiare, deoarece în cadrul acestor organizații există relații de
încredere foarte solide, iar stabilirea cheilor simetrice poate fi facilitată și gestionată de
procedurile și politicile interne ale organizației. Datorită eficienței sale, criptarea simetrică este
utilizată de bănci sau operatorii de telefonie mobilă și în relația cu utilizatorii obișnuiți: cheia
secretă este fizic inscripționată în chip-ul cardului bancar sau în cartela SIM. De asemenea,
folosindu-se de avantajul proximității, routerul unei rețele wireless va stabili și transmite cheia de
criptare pentru tuturor dispozitivelor conectate la rețeaua Wi Fi pe care o gestionează.
În tranzacțiile online, partajarea cheilor simetrice ar fi profund ineficientă, motiv pentru care
mecanisme ca semnătura digitală sau protocoalele SSL TLS utilizează criptarea cu cheie publică.
Figura nr. 5. 3 Cheia publică a furnizorului Certsign

Sursa: Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de certificare
pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-content/uploads/2020/01/Registru-furnizori-
.pdf
5.3 Biometria
Prin biometrie înțelegem capacitatea unui sistem automatizat de a recunoaște un individ uman în
urma analizei unei trăsături fizice sau comportamentale a acestuia.
Imaginea trăsăturii anatomice sau probele considerate suficiente pentru a determina o secvență
particulară de comportament sunt colectate și stocate în format electronic fie într-o bază de date a
unei organizații, fie local, pe dispozitivul mobil sau laptop-ul unui individ. Acestea sunt asociate
identității persoanei (nume, alte date de identificare de pe documentele de identitate). Ulterior,
identitatea este probată prin prelevarea unei noi imagini/probe și compararea cu cea stocată
inițial. La obținerea unui grad suficient de similitudine, sistemul biometric va permite
operațiunea pe care o condiționează – accesul, plata unei sume de bani etc. Dacă potrivirea este
insuficientă, operațiunea va fi refuzată.
Trăsăturile fizice94 folosite în biometrie sunt:
 modelul irisului și al retinei (de fapt, structura vaselor de sânge care alimentează ochiul
uman);
 forma feței;
 amprenta sau forma tridimensională a degetelor/mâinii;
 modelul venelor din deget sau palmă;
 forma urechii;
94
***, Types of Biometrics, https://www.biometricsinstitute.org/types-of-biometrics, accesat la 02.05.2019
 secvențele ADN.
Compania Apple promovează tehnologia care stă la baza funcției Face ID95 din produsele sale drept
“combinația de hardware și software cea mai avansată pe care a creat-o vreodată”. Camera
TrueDepth capturează date faciale precise prin proiectarea și analizarea a peste 30.000 de puncte
invizibile, pentru a crea o hartă de profunzime a feței utilizatorului. În același timp, camera creează
și o imagine cu infraroșii a feței. O parte a motorului neuronal al chip-urilor bionice folosite
transformă harta de profunzime și imaginea în infraroșu într-o reprezentare matematică și
compară acea reprezentare cu datele faciale înscrise.
Un pas mai departe este făcut de compania Sthaler, care propune soluția de plată Fingopay96, sub
sloganul “all you need is you”. Prin scanarea degetului utilizatorului cu tehnologia Hitachi VeinID, se
realizează o imagine tridimensională a venelor din interiorul degetului, care au avantajul de a fi
invizibile și astfel mai dificil de replicat comparativ cu amprenta “clasică”.
Trăsăturile de comportament care pot fi analizate în biometrie sunt:

 stilul de mers;
 scrisul de mână, în special semnătura olografă;
 modul de a tasta.
Pot fi folosiți, de asemenea, și indicatori olfactivi (mirosul) sau auditivi (vocea).
Eficiența utilizării biometriei presupune ca trăsătura anatomică aleasă să fie:
 universală – să se regăsească la orice persoană;
 unică, irepetabilă;
 colectabilă în mod neintruziv și cu cât mai mare ușurință;
 permanentă – să nu își modifice aspectul în timp.
Avantajele97 biometriei constau în:
 precizia identificării;
 ușurința în utilizare (experiența utilizatorului este, în general, una pozitivă);
 rapiditatea identificării;
 siguranța (identificatorii biometrici nu pot fi furați, uitați, pierduți sau copiați cu
ușurință);
 posibilitatea ca indicatorii să poată fi utilizați în configurații diverse, pentru o mare
varietate de scopuri;
 deoarece caracteristica anatomică analizată poate fi asociată cu mare acuratețe identității
unei persoane (spre deosebire de conturile sau codurile de acces, de exemplu, care pot fi
95
https://support.apple.com/ro-ro/HT208108
96
https://fingopay.com/
97
Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-management-system/,
schimbate sau împrumutate altor utilizatori ai unui sistem), tehnologiile biometrice

permit crearea unor trasee de audit clare pentru tranzacțiile și activitățile în care este
implicată o persoană.
Există însă și o serie de dezavantaje:
 acuratețea probelor colectate poate fi afectată de factori externi (calitatea luminii, nivelul
de zgomot, murdăria etc.) sau de procese biologice (îmbătrânirea), răni etc.;
 riscul furtului de identitate nu este complet eliminat (de exemplu, se pot fabrica amprente
false din materiale artificiale)98;
 soluțiile pentru afaceri necesită echipamente tehnice performante, cu capacitate mare de
stocare, cerințe ridicate de fiabilitate, care sunt de regulă scumpe;
 nu pot fi folosite întotdeauna pentru autentificarea la distanță;
 probele colectate și stocate în format digital au un nivel de senzitivitate ridicat, deoarece
sunt intim legate de identitatea unei persoane, iar utilizarea lor cu rea intenție poate aduce
prejudicii vieții private a indivizilor.
Dispozitivele biometrice pot fi independente (achiziționate separat și folosite modular), ca de
exemplu un cititor de amprente cu conector USB, sau integrate, fără a putea fi detașate, în
telefoane, laptop-uri etc. Ele se folosesc mai ales pentru controlul accesului în spațiile fizice și
înregistrarea timpului de lucru și pentru autentificarea în cazul plăților (în special soluțiile în care
datele biometrice sunt stocate local). Până în 2022, Gartner prevede că 70% din organizațiile care
utilizează autentificarea biometrică pentru accesul angajaților vor folosi în acest scop aplicații de
smartphone. În 2018, procentul a fost mai mic de 5%.99
De exemplu, aplicația 24Pay, folosită pentru plata contravalorii transportului public în unele orașe
din România, cere amprentarea utilizatorului la achiziția de bilete cu valoarea peste o anumită
limită.
Potrivit site-ului Apple,100 folosirea aplicației Apple Pay de pe iPhone-ul sau Apple Watch este “la fel
de rapidă ca folosirea unui card de credit, debit sau prepaid”. Aplicația scanează fața sau amprenta
digitală a utilizatorului, autentificându-i astfel identitatea pentru a plăti contactless atât în locurile
fizice, cât și online. În mod similar funcționează și Samsung Pay sau Mastercard Selfie pay,
eliminând necesitatea ca utilizatorul să își amintească parole.
Prezentați și analizați controversa apărută la introducerea pașapoartelor biometrice în

România. Care este părerea dvs. în raport cu acest subiect?

98
Urzică, A., Datele biometrice, între avantajele tehnologiei și preocupările pentru securitatea persoanei,
Capital, 13.02.2017, la https://www.capital.ro/datele-biometrice-intre-avantajele-tehnologiei-si-
preocuparile.html, accesat la 5.01.2020
99 Ross, A., Gartner Predicts Increase in Biometric Authentication and SaaS-Delivered IAM, 06.02.2019,
https://www.information-age.com/gartner-biometric-authentication-123478879/, accesat la 5.01.2020

100 https://www.apple.com/ro/apple-pay/
În 2015, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter

Personal (ANSPDR) a amendat Primăria Timișoara cu 18.000 de lei pentru folosirea
unui sistem biometric de pontaj pentru „prelucrarea nelegală a datelor cu caracter
personal, întrucât a prelucrat date biometrice în mod excesiv față de scopul prelucrării
(pontarea timpului de lucru al angajaților), în condițiile în care puteau fi utilizate și alte
mijloace pentru atingerea acestui scop, mai puțin intruzive”.101 102 Mai recent, în 2020,
ANSPDR103 a sancționat o organizație cu o amendă în cuantum de 23.893 lei,
echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și
art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale
angajaților putând fi utilizate și alte mijloace pentru atingerea acestui scop, mai puțin
intruzive pentru viața privată a persoanelor vizate. Autoritatea a apreciat că datele
biometrice folosite în sistemul de control acces nu erau colectate în scopuri adecvate,
relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate
și a dispus măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a
datelor personale în activitatea de control acces, cu respectarea principiului “reducerii
la minimum a datelor”.
Care este opinia dvs. în legătură cu acest subiect?
101
Apostoiu, R. A., Necesitatea adaptării legislației românești la sistemele biometrice, 8.04.2019, la
https://www.rfidshop.ro/blog/necesitatea-adaptarii-legislatiei-romanesti-la-sistemele-biometrice-b370.html,
102 DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-timisoara-a-fost-
amendata-466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
103 https://www.dataprotection.ro/
5.4 Licențele de utilizare și actualizarea periodică a programelor

utilizate
Un sistem de operare este setul principal de programe care rulează un computer și pe care se
bazează toate celelalte programe pentru a putea funcționa.
Actualizările sistemului de operare sunt corecții ale incompatibilităților, erorilor și
vulnerabilităților de securitate descoperite de către creatorii sistemului de operare sau de către
comunitatea de utilizatori. Aceste remedii sunt create și distribuite în mod regulat tuturor
utilizatorilor care au o licență de utilizare validă pentru sistemul de operare pe care îl folosesc.
Licența de utilizare este un mecanism prin care sunt precizate drepturile celui ce folosește un
anumit program.
Principalele restricții în utilizarea programelor includ104:
 un număr limitat de copii autorizate ale programului;
 orice copie suplimentară realizată poate fi folosită numai în scopul asigurării unei copii
de siguranță a programului original;
 stabilirea unei perioade maxime de utilizare a programului;
 programul trebuie să fie folosit numai în scopurile proprii ale celui care l-a cumpărat;
 programul va fi folosit doar pe un singur procesor sau într-o anumită configurație
hardware sau software, sau poate rula doar pe un singur calculator la un moment dat;
 nu se permite realizarea de copii ale manualelor de utilizare sau ale altor documentații
asociate.
Potrivit site-ului producătorului Microsoft, Windows Update „este o modalitate simplă și gratuită
de a menține în siguranță calculatorul”105, care devine astfel capabil să ruleze fiabil. Prin
Windows Update, procedurile descoperite de Microsoft și destinate protecției sistemelor de
operare Windows împotriva programelor malițioase (malware) de genul virușilor, viermilor etc.
sunt instalate pe calculatorul utilizatorului. Aceste proceduri care sunt destinate acoperii breșelor
de securitate se numesc patch-uri (remedii) și sunt livrate de Microsoft de regulă în prima marți a
fiecărei luni (Patch Tuesday). Patch-uri dedicate sunt livrate și în regim de urgență, atunci când
se descoperă o nouă vulnerabilitate și se găsește soluția pentru aceasta. Prin Windows Update se
livrează și alte îmbunătățiri ale sistemului de operare, nu doar patch-uri pentru breșele de
securitate.
Dacă actualizarea automată este deja activată, Windows Update din Control Panel arată starea
actualizării. Dacă nu este încă activată, utilizatorul este ghidat pentru a o activa. După aceea, cele
mai recente îmbunătățiri de securitate și de performanță vor fi instalate rapid și fiabil pe
calculatorul său.
104
Oprea, D., Protecţia și securitatea informaţiilor, Editura Polirom, Iaşi, 2007, p. 345
105
http://windows.microsoft.com/ro-ro/windows/windows-update
Figura nr. 5. 4 Windows Update

După ce se activează actualizarea automată, majoritatea actualizărilor se vor descărca și se vor
instala fără ca intervenția utilizatorului să fie necesară. Uneori Windows Update va avea nevoie
de confirmări din partea utilizatorului în timpul unei instalări. În acest caz, va apărea o avertizare
în zona de notificare din extremitatea dreaptă a barei de activități. Este recomandat răspunsul la
avertizarea Windows Update. În caz contrar, este posibil ca de pe computer să lipsească o
descărcare importantă.
Recomandarea Microsoft este de a se utiliza actualizarea automată. Dacă utilizatorul nu dorește
acest lucru, i se recomandă să caute actualizări noi cel puțin odată pe săptămână. Dezactivarea
opțiunii de update automat este neinspirată și poate expune calculatorul la acțiunea celor mai noi
programe de tip malware.
! Utilizarea sistemului de operare fără licență nu permite actualizarea periodică prin patch-
uri și transformă, implicit, sistemul în unul vulnerabil!
Pentru programele de aplicații utilizate – de exemplu, pentru programele de contabilitate din

organizație, este important să se analizeze cu atenție acordurile de licență, în așa fel încât să se
cunoască exact drepturile și restricțiile de utilizare.

Citiți Acordul de Licențiere pentru Utilizatorul final al aplicației NEXUS ERP, disponibil la
https://www.suport.nexuserp.ro/index.php?id=1309. Extrageți trei prevederi pe care le
considerați importante.

5.5 Firewall - un străjer la poarta Internetului

Pe orice calculator conectat la Internet este obligatorie prezența unui firewall activ. Rolul unei
asemenea aplicații este de a monitoriza traficul de date dintre calculatorul personal și Internet,
împiedicând accesul din exterior al cracker-ilor și programelor rău-intenționate, ca și eventualele
transmisii rău intenționate făcute de pe calculatorul personal de aplicații de tip cal troian/botnet
instalate fără știrea utilizatorului.
În Windows, firewall-ul încorporat este activ în mod implicit – fapt vizibil și în zona Systems
and Security a Control Panel (prin mesajul Windows Defender firewall state: on – „Firewall-ul
Windows Defender este pornit”). Dacă se dorește modificarea setărilor firewall-ului, se va apela
la succesiunea de opțiuni Start  butonul  termenul de căutare Windows Firewall 

Windows Firewall. În partea stângă a ferestrei care se deschide, prezentată în figura 5.5, sunt
afișate diverse opțiuni de configurare a firewall-ului.
Figura nr. 5. 5 Windows Firewall

5.6 Protecția antivirus

Un antivirus este un software specializat care previne infectarea calculatoarelor cu viruși și
viermi informatici, ca și cu alte tipuri de malware și elimină aceste pericole, dacă infectarea s-a
produs.
Antivirusul protejează calculatorul și informațiile stocate pe acesta de programele rău-
intenționate de pe Internet sau din rețeaua organizației, ca și de cele de pe suporturi externe de
memorie, cum ar fi CD-urile, DVD-urile, USB stick-urile etc.
Instalarea și întreținerea unui antivirus sunt imperios necesare, dar nu și suficiente pentru
protecția calculatorului. Comportamentul utilizatorului reprezintă un factor foarte important.
Câteva măsuri de apărare cu rol preventiv sunt:
 folosirea Internetului într-un mod responsabil, evitând vizitarea paginilor de proveniență
dubioasă;
 ignorarea e-mail-urilor primite de la expeditori necunoscuți, cu adrese de e-mail care nu
prezintă încredere;
 evitarea schimbului de programe și suporturi de memorie între utilizatori, care au fost
obținute din surse nesigure;
 introducerea în sistem DOAR a produselor software obținute de la surse cunoscute și
garantate;
 ridicarea de bariere fizice și logice acolo unde este posibil: folosirea comutatoarelor de
protejare la scriere a stick-urilor, a firewall-urilor ș.a.;
 stabilirea unor standarde de control la programare și respectarea lor în orice moment.
Potrivit lui Feinstein106, principalele funcții ale unui antivirus sunt: scanările în timp real,
scanările programate, scanări pe o partiție anume sau ale întregului sistem, scanarea mesajelor
din poșta electronică, verificarea scripturilor, verificarea arhivelor, monitorizarea activităților
suspecte, eliminarea amenințărilor identificate. Oprea107 descrie astfel funcțiile de scanare pe
care trebuie să le îndeplinească, în mod obligatoriu, un program antivirus:
 scanarea semnăturii (fiecare virus conține o secvență unică de cod binar, care poate fi
folosită pentru identificarea virusului, respectiv codul semnătură). Cu cât programul
antivirus conține o bază de date mai mare cu semnături de viruși, cu atât are șanse mai
mari să protejeze optim calculatorul. Pentru aceasta, antivirusul trebuie să își actualizeze
cu o frecvență cât mai mare baza de date, folosind conexiunea la Internet;
 scanarea euristică este o modalitate de scanare pentru depistarea virușilor noi și
necunoscuți – se caută manifestări asemănătoare virușilor, ca, de exemplu, încercarea
programelor de a scrie în Windows Registry;
 scanarea manuală - este bine ca o dată pe săptămână să fie scanate toate dosarele și
fișierele sistemului, prin alegerea opțiunii de scanare manuală din interfața programului;
106
Feinstein, K., Anti Spam/Viruși/Pop-up/Spyware, Editura Rosetti Educațional, București, 2006, p. 90
107
Oprea, D., Op. cit., p. 324
 scanarea în timp real sau monitorizarea dinamică a sistemului înseamnă că programul

antivirus este tot timpul activ, rulând în background pentru a depista orice fișier infestat
care ar putea fi copiat sau descărcat în sistem;
 scanarea mesajelor e-mail constituie o caracteristică esențială a unui program antivirus,
deoarece majoritatea virușilor și viermilor ajung în sistem ca mesaje atașate la e-mailuri;
 scanarea descărcărilor de fișiere ar trebui să verifice fiecare fișier copiat sau descărcat în
sistem, înainte ca acesta să ajungă pe discul calculatorului;
 scanarea scripturilor presupune verificarea sistemului împotriva virușilor de script, fie că
ei sunt creați în ActiveX, JavaScript sau în alt program;
 scanarea pentru macro-uri - prin care un bun program antivirus scanează nu numai
fișierele executabile sau scripturile, ci și fișierele cu documente sau tabele de calcul (din
Word, Excel ș.a) împotriva virușilor de macro.
Alte criterii importante în alegerea unui program antivirus, menționate de către același autor,
sunt:
 prețul inițial, care trebuie avut în vedere la cumpărarea unui program antivirus;
 costurile abonamentului de actualizare sunt cele care trebuie luate în calcul pentru
actualizarea bazei de date cu definițiile virușilor;
 verificarea competenței fiecărui program în acțiunea de detectare a diferitelor categorii
de viruși;
 verificarea certificării produsului de către organizații sau publicații recunoscute în
domeniu.
Pentru o utilizare corespunzătoare și eficientă a unui software antivirus, este necesară respectarea
câtorva reguli, după cum menționează Calder108:
 într-o rețea, pe fiecare unitate de calcul trebuie să fie instalat un antivirus;
 un antivirus gratis, descărcat de pe Internet, nu este o soluție viabilă de securitate pentru o
organizație (deoarece o protejează doar parțial de unele amenințări și, în plus, este posibil
chiar ca el însuși să fie un program malițios);
 nu este recomandată instalarea a două pachete antivirus pe aceeași unitate, deoarece 1)
două produse software de protecție nu sunt mai bune decât unul (ele având, în mare,
aceleași funcționalități, care nu se cumulează) și 2) pot apărea probleme de
compatibilitate, ceea ce duce la performanțe diminuate ale sistemului și creează alte
diverse neplăceri;
 odată instalat produsul software, trebuie alese cu atenție setările de bază. Una dintre
principalele configurări care trebuie efectuată este programarea actualizării automate.
Prin actualizare, un antivirus ia cunoștință despre cele mai noi pericole apărute în
Internet;
108
Calder, A., A business guide to information security, Editura Kogan Page, Londra, 2005, p. 31
 programarea unor scanări periodice ale sistemului, cel puțin o dată pe săptămână.
Scanarea va aduce cu sine o încetinire a calculatorului. Din această cauză este bine ca
acest proces să se desfășoare atunci când nu se folosește PC-ul;
 cum, cel mai probabil, compania care a produs software-ul antivirus deține un newsletter,
este recomandat să ne înregistrăm pentru a primi ultimele informații în domeniu în căsuța
de poștă electronică.
În Windows 8 și versiunile ulterioare, compania Microsoft înlocuiește produsul antivirus folosit
anterior, Microsoft Security Essential, cu Windows Defender, apreciat de specialiști drept “un
anti-virus decent, care protejează împotriva majorității amenințărilor malware”.109
Lansarea Windows Defender se face din ecranul Start, butonul  termenul de căutare
Windows Defender  Windows Defender.
Figura nr. 5. 6 Fereastra Windows Defender – sistem protejat

Sursa: http://www.7tutoriale.ro/prezentare-windows-8-cum-folosesti-antivirusul-windows-defender
În imaginea din figura nr. 5.6, se observă că starea calculatorului este Protejat. Culorile folosite
de Microsoft pentru a afișa mesajul sunt verde și alb. În situația în care există probleme (dacă
definițiile de viruși nu sunt la zi, protecția în timp real este dezactivată sau un virus a fost
detectat), culorile vor fi mai puțin liniștitoare. Dacă riscul este potențial, mesajele vor fi afișate
cu galben-portocaliu. Dacă sistemul se află într-o stare de risc ce necesită atenție imediată,
fereastra va fi colorată în roșu – de exemplu, dacă Windows Defender a fost dezactivat sau un
virus a fost detectat (vezi figura nr. 5.7).
109Neagu, C., Cum folosești antivirusul Windows Defender în Windows 8 & Windows 8.1, 19.12.2013, la
http://www.7tutoriale.ro/prezentare-windows-8-cum-folosesti-antivirusul-windows-defender, accesat la
01.03.2014
Figura nr. 5. 7 Fereastra Windows Defender – sistem în condiții de risc

Sursa: http://www.7tutoriale.ro/prezentare-windows-8-cum-folosesti-antivirusul-windows-defender
Pe lângă protecția oferită de Windows Defender, utilizatorul poate opta fie:
 pentru achiziționarea unui program antivirus. Licențele au prețuri variabile în funcție de
marcă, de tipul protecției asigurate – care variază de regulă de la o simplă protecție
antivirus până la protecția completă în Internet, față de amenințări ca phishing, spyware
etc., de modul folosirii produsului (acasă sau la firmă) și de numărul de stații pe care se
poate instala aplicația. Câteva exemple de produse antivirus sunt: Bitdefender, Norton
Antivirus, Nod32, Avast!;
 pentru utilizarea unui program antivirus cu licență gratuită. Facilitățile acestui tip de
program sunt mai puține în comparație cu cele oferite de programele antivirus plătite,
însă, combinate cu un comportament decent de navigare pe Internet și cu măsuri de
precauție la copierea de date de pe suporturi externe se pot dovedi suficiente și eficiente.
Exemple de produse antivirus gratuite sunt Avira, Avast! Free Antivirus.
Figura nr. 5. 8 Fereastra Status a programului gratuit avast! Free Antivirus

! Folosirea unui program antivirus care nu-și actualizează baza de date cu semnături de
viruși este mai periculoasă decât nefolosirea unuia.
5.7 Realizarea de copii de siguranță și restaurarea datelor – File History

și System Restore
Chiar cu toate metodele de protecție prezentate mai sus în uz, utilizatorul nu trebuie să uite să
realizeze periodic copii de siguranță a sistemului de operare și a datelor proprii. Acest lucru
poate fi făcut manual, utilizând un hard-disk extern, un USB Stick, DVD-uri sau unități de disc
din rețea. Realizarea manuală a copiilor de siguranță este însă migăloasă și, din neglijență sau
lene, apare riscul ca utilizatorul să nu fie destul de riguros în acest proces.
Propunerea pentru realizarea copiilor de siguranță ale fișierelor introdusă în Windows 8 se
numește File History. Potrivit site-ului producătorului Microsoft110, înainte de a putea începe să
utilizăm File History pentru a face backup fișierelor, trebuie să selectăm locul în care sunt
salvate fișierele de backup. Putem să selectăm o unitate externă conectată, cum ar fi o unitate
USB sau un hard disc extern, sau putem folosi o unitate dintr-o rețea. Sunt și alte opțiuni, dar
acestea două reprezintă cele mai bune variante pentru a contribui la protejarea fișierelor
împotriva unei căderi de sistem sau a altor probleme la PC. File History face backup doar
copiilor de fișiere aflate în folderele Libraries, Desktop, Contacts și Favorites. Dacă fișierele sau
folderele cărora dorim să le facem backup se află în altă parte, le putem adăuga într-unul dintre
aceste foldere.
110
http://windows.microsoft.com/ro-ro/windows-8/set-drive-file-history
Figura nr. 5. 9 Fereastra File History
Cum cele mai mari probleme cu sistemul de operare sunt cauzate de regiștrii, drivere ale
dispozitivelor și fișierele DLL, este recomandată crearea unui “punct de restaurare” care să
conțină copiile acestor elemente și ale altora esențiale pentru funcționarea Windows, făcute la un
moment în care sistemul funcționează optim. Punctul de restaurare poate fi folosit la nevoie
pentru revenirea la o stare inițială a sistemului de operare (operațiune cunoscută sub numele de
System Restore).
Dincolo de această modalitate, este recomandată și salvarea datelor importante în mod

! incremental, pe măsură ce sunt realizate, pe suporturi externe (prin copiere pe hard disc-uri
externe sau pe stick-uri UB, scrierea lor pe CD-uri sau DVD-uri etc.).
Proiect - partea a 5-a. Măsuri de securitate
5.1 Întocmiți, pentru o organizație cunoscută de dvs., un set cât mai complet de
măsuri tehnice de securitate pe care le considerați necesare.
Rezumat
Unitatea de studiu 5 a prezentat:
 conceptele de identificare, autentificare, autorizare, acces;
 utilizarea criptografiei și biometriei în scopul asigurării confidențialității, integrității și
accesibilității resurselor informaționale.
 Ne-am focalizat apoi pe câteva măsuri de … igienă elementară TIC, care trebuie aplicate de
fiecare dintre utilizatorii unui calculator, pentru a păstra confidențialitatea, integritatea și
accesibilitatea datelor și informațiilor cu care lucrează:
 actualizarea periodică a sistemului de operare;
 utilizarea unui firewall și a unui program anti-malware;
 realizarea periodică de copii de siguranță.
Bibliografie
1. ***, Types of Biometrics, https://www.biometricsinstitute.org/types-of-biometrics, accesat la
02.05.2019
2. Apostoiu, R. A., Necesitatea adaptării legislației românești la sistemele biometrice, 8.04.2019, la
https://www.rfidshop.ro/blog/necesitatea-adaptarii-legislatiei-romanesti-la-sistemele-biometrice-
b370.html, accesat la 5.01.2020
3. DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-
timisoara-a-fost-amendata-
466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
 4. https://fingopay.com/
5. https://support.apple.com/ro-ro/HT208108
6. https://www.apple.com/ro/apple-pay/
 7. https://www.dataprotection.ro/
8. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress, Iași,
2014
9. Ross, A., Gartner Predicts Increase in Biometric Authentication and SaaS-Delivered IAM,
06.02.2019, https://www.information-age.com/gartner-biometric-authentication-123478879/
10. Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-
management-system/, accesat la 4.02.2020
11. Urzică, A., Datele biometrice, între avantajele tehnologiei și preocupările pentru securitatea
persoanei, Capital, 13.02.2017, la https://www.capital.ro/datele-biometrice-intre-avantajele-
tehnologiei-si-preocuparile.html, accesat la 5.01.2020
Securitatea informaților în Microsoft Word 2013
Prin această unitate de studiu, dorim să vă convingem că și într-o aplicație simplă cum
este Microsoft Word este necesar și posibil să luăm măsuri de securitate a
informațiilor.
După ce veți parcurge materialul, veți ști:
 să folosiți un șablon Word;
 cum se aplică filigrane digitale în Microsoft Word;
 cum se completează datele despre autor și alte date despre document în
proprietățile acestuia;
 să realizați criptarea și parolarea documentelor;
 să transformați documentul în format read-only;
 să folosiți facilitatea Tracked Changes;
 să introduceți comentarii și
veți avea o atitudine mai avizată față de măsurile de securitate informațională posibil a
fi implementate cu ajutorul aplicației Microsoft Word 2013.
Unitatea de studiu prezintă cum se realizează următoarele operațiuni în editorul de
texte Microsoft Word 2013:
 utilizarea șabloanelor;
 aplicarea de filigrane digitale în Microsoft Word;
 completarea datelor despre autor și a altor date despre document în
 criptarea și parolarea documentelor;
 transformarea unui document în format read-only;
 folosirea facilității Tracked Changes;
 introducerea de comentarii.
Succesul în software se asigură prin dezvoltarea de aplicații care să asigure progresul. Așa că, indiferent
dacă vorbim de Microsoft Office sau Windows, secretul este să încorporăm idei noi și să surprindem piața.
Ingineria de calitate se întâlnește aici cu o bună cunoaștere a lumii afacerilor.
Bill Gates
6.1 Realizarea unui document Word pe bază de șablon

O studentă de la anul 2, specializarea Contabilitate și informatică de gestiune,
Aplicație elaborează un referat pentru disciplina Protecția și securitatea sistemelor
informaționale financiar-contabile, intitulat “Internetul obiectelor. Aspecte
etice.” Ea redactează referatul pe calculatorul său din camera de cămin, care este pus și la
dispoziția colegelor de cameră.
US 6. Securitatea informațiilor în Microsoft Word 2013
Studenta deschide aplicația Microsoft Word 2013 și alege, dintre numeroasele opțiuni puse la
dispoziția ei de către Microsoft, șablonul Student Report – vezi figura nr. 6.1.
În primă fază, schimbă imaginea cu fluturele de pe coperta referatului cu una adecvată temei
sale, după cum se observă în figura nr. 6.2. Pașii necesari pentru a schimba imaginea sunt:
 apelarea meniului contextual al imaginii inițiale cu click dreapta pe ea;
 selectarea opțiunii Change picture, urmată de apăsarea butonului Browse…, navigarea pe

hard discul calculatorului până la noua imagine, selectarea ei și apăsarea butonului OK.
Figura nr. 6. 1 Șablonul Student report din galeria de șabloane Microsoft Word 2013
Figura nr. 6. 2 Schimbarea imaginii de pe copertă cu una mai potrivită

După acest prim pas, studenta realizează referatul, formatându-l cu elemente specifice șablonului
ales.
Ce alte șabloane interesante descoperiți navigând prin galeria de șabloane Microsoft
Word 2013? Care dintre ele au legătură cu securitatea informațiilor?
Identificați trei avantaje și trei dezavantaje ale lucrului cu șabloane în Microsoft Word
2013.
Aspectul documentului redactat este vizibil în figura nr. 6.3.
Figura nr. 6. 3 O secvență din referatul redactat de studentă

Deoarece studenta lucrează la realizarea raportului pe calculatorul din camera de cămin, pus și la
dispoziția colegilor de cameră, ea consideră că este necesar să își ia următoarele măsuri de
securitate:
 filigranarea documentului;
 introducerea datelor autorului în document;
 criptarea și parolarea documentului pe parcursul absenței din camera de cămin;
 transpunerea documentului în format read-only și parolarea sa;
 urmărirea modificărilor care apar în document cu opțiunea Tracked changes;
 restricționarea operațiunilor posibile în document, cu excepția comentariilor.
6.2 Filigranarea documentului

Un watermark (filigran digital) este un text sau o imagine estompată care apare pe fundalul
paginilor documentului Word. Rolul său este de a preciza nivelul de clasificare a documentului
(Confidential, Secret), stadiul în care se află acesta (Draft, Final etc.), autenticitatea sa (Original)
etc. Utilizatorul poate folosi filigranele implicite din Microsoft Word sau poate introduce
filigrane proprii.
În exemplul nostru, studenta va introduce în document un filigran cu numele lucrării sale,
Internetul obiectelor – câteva aspecte etice. Introducerea filigranului se face după apăsarea
butonului Print Layout de pe panglica View, urmată de trecerea în panglica Design, grupul de
opțiuni Page Background, cu butonul Watermark.
Figura nr. 6. 4 Butonul Watermark de pe panglica Design, vizibil dacă documentul este vizualizat în modul Print
Layout
Figura nr. 6. 5 Fereastra Watermark

Fereastra care se deschide are aspectul prezentat în figura nr. 6.5. În partea de sus a ferestrei apar
câteva filigrane implicite (din categoria Confidential), care pot fi introduse în document cu click
stânga pe ele.
Dacă utilizatorul dorește realizarea unui filigran personalizat, va folosi opțiunea Custom
watermark... din figura nr. 6.5. Fereastra care se deschide are aspectul din figura nr. 6.6 - se
observă că numele referatului este completat în zona Text, după ce a fost aleasă opțiunea Text
watermark.
Figura nr. 6. 6 Crearea unui filigran personalizat

Filigranul introdus apare pe fiecare pagină a documentului și are aspectul din figura nr. 6.7.
Figura nr. 6. 7 Filigranul cu numele lucrării introdus în document

Îndepărtarea filigranului se face cu opțiunea Remove watermark (figura nr. 6.5).

1. Reluați exemplul nostru, adăugând în document o imagine ca filigran.
 2. Identificați pe Internet programe cu ajutorul cărora să introduceți filigrane în

imaginile dvs. digitale.
6.3 Introducerea datelor despre autor în document

Vizualizarea informațiilor privitoare la documentul curent se face cu succesiunea de opțiuni: File
Info Properties (vezi figura nr. 6.8). Dacă se dorește modificarea lor, se alege opțiunea
, vizibilă la deschiderea listei ascunse . Informațiile dorite

se introduc în zona vizibilă în figura nr. 6.9. Se pot completa: numele autorului documentului,
titlul documentului, subiectul pe care îl tratează, cuvintele cheie după care poate fi regăsit,
categoria din care face parte și nivelul de realizare (în lucru sau final), ca și diverse comentarii.
Figura nr. 6. 8 Opțiunea Properties
Figura nr. 6. 9 Zona de editare a informațiilor despre document
 Reluați exemplul nostru, schimbând statusul documentului în “Final”.

6.4 Criptarea și parolarea documentului

Criptarea documentului, însoțită de parolare, îi dă autoarei siguranța că documentul nu va putea
fi deschis de către alte persoane (colegii ei de cameră). Se asigură astfel confidențialitatea
documentului.
Criptarea informațiilor din documentul curent se face cu succesiunea de opțiuni: File Info
Protect document Encrypt with password (vezi figura nr. 6.10).
Figura nr. 6. 10 Opțiunea Encrypt with password

Ca rezultat, apare o fereastră în care utilizatorului i se cere introducerea unei parole (vezi figura
nr. 6.11). După tastarea parolei și apăsarea butonului OK, se solicită confirmarea acesteia, pentru
a preveni o eventuală introducere eronată.
Figura nr. 6. 11 Parolarea unui document pentru care se dorește criptarea
! Parola este case-sensitive (are importanță dacă este scrisă cu minuscule sau majuscule) și,
odată uitată, nu mai poate fi recuperată!
Renunțarea la parolă se face cu succesiunea de opțiuni: File Info Protect document

Encrypt with password (vezi figura nr. 6.10), neintroducerea nici unei parole și apăsarea
butonului OK.
6.5 Transformarea documentului în format read-only

Transpunerea documentului în format read-only (numai-citire), însoțită de parolare, îi dă autoarei
siguranța că documentul nu va putea fi modificat de către alte persoane (colegii ei de cameră). Se
asigură astfel integritatea documentului.
Se apelează succesiunea de opțiuni File Info Protect document Restrict Editing.
Ca rezultat, în partea dreaptă a paginii apare panoul de sarcini omonim (vezi figura nr. 6.12).
Figura nr. 6. 12 Opțiunea Restrict Editing și panoul de sarcini aferent

La secțiunea 2. Editing restrictions din acest panou se bifează Allow only this type of editing in
the document și se alege din lista ascunsă opțiunea No changes (Read only). Se apasă butonul
. Ca rezultat, apare fereastra din figura nr. 6.13, în care utilizatorului i
se solicită introducerea repetată a unei parole. La apăsarea butonului OK, parola devine activă,
iar conținutul documentului nu mai poate fi modificat.
Figura nr. 6. 13 Parolarea documentului în așa fel încât conținutul său să nu poată fi modificat
Revenirea documentului la starea inițială se face prin apăsarea butonului și

introducerea parolei în fereastra din figura nr. 6.14.
Figura nr. 6. 14 Deprotejarea documentului
Care este motivul pentru care nu folosim, pentru a obține același efect, opțiunea de
salvare în format PDF?
6.6 Tracked Changes

În acest scenariu, să ne imaginăm că studenta autoare o roagă pe o prietenă
Aplicație a sa să analizeze conținutul documentului Word, pentru a vedea dacă nu
există greșeli de formă sau de fond. Prietena ei va semnala erorile, urmând
ca autoarea să hotărască dacă acceptă sau nu modificările propuse de ea.
the document și se alege din lista ascunsă opțiunea Tracked changes (Modificări evidențiate). Se
apasă butonul . Ca rezultat, apare fereastra din figura nr. 5.13, în care
utilizatorului i se solicită introducerea repetată a unei parole. La apăsarea butonului OK, parola
devine activă, iar conținutul documentului poate fi modificat, dar orice intervenție este marcată
în partea dreaptă a paginii, așa ca în figura nr. 6.15. Caracterele introduse se scriu automat cu
culoarea roșie și sunt subliniate cu o linie, iar cele șterse nu dispar, ci se scriu cu roșu și sunt
tăiate pe mijloc cu o linie.
Caracterele
șterse sunt
scrise cu roșu Caracterele
și tăiate cu o adăugate sunt
scrise cu roșu
linie
și subliniate
Figura nr. 6. 15 Modificări evidențiate în documentul Word protejat

introducerea parolei în fereastra din figura nr. 6.14. După deparolare, proprietarul de drept poate
accepta sau refuza modificarea făcută de un alt utilizator apelând meniul contextual al
modificării (click dreapta pe textul introdus sau șters) și selectând una dintre opțiunile Accept
Deletion sau Reject Deletion (pentru ștergere) – vezi figura nr. 6.16, respectiv Accept Insertion
sau Reject Insertion (pentru adăugarea de text) - vezi figura nr. 6.17.
Figura nr. 6. 16 Acceptarea sau refuzul ștergerii
Figura nr. 6. 17 Acceptarea sau refuzul textului adăugat
6.7 Comentarii
La acest punct, să presupunem (oarecum hazardat) că studenta care a
Aplicație elaborat referatul restricționează accesul profesorului de la disciplina
Protecția și securitatea sistemelor informaționale la conținutul documentului,
nepermițându-i decât introducerea de comentarii acolo unde acesta crede că este cazul.
the document și se alege din lista ascunsă opțiunea Comments (Comentarii). Se apasă butonul
. Ca rezultat, apare fereastra din figura nr. 6.13, în care utilizatorului i
se solicită introducerea repetată a unei parole. La apăsarea butonului OK, parola devine activă,
iar conținutul documentului nu mai poate fi modificat. Singura intervenție posibilă este
adăugarea de comentarii din zona Review, cu opțiunea New Comment - vezi figura nr. 6.18.
Figura nr. 6. 18 Un comentariu adăugat în documentul protejat

introducerea parolei în fereastra din figura nr. 6.14. Proprietarul de drept are ca opțiuni, atunci
când apelează meniul contextual al comentariilor (click dreapta), răspunsul la comentariu (Reply
to Comment), ștergerea comentariului (Delete Comment) sau marcarea sa ca rezolvat (Mark
Comment Done) - vezi figura nr. 6.19.
Figura nr. 6. 19 Opțiuni aferente comentariului în meniul contextual al acestuia
Rezumat
Unitatea de studiu a tratat:
 utilizarea unui șablon Word;
 aplicarea filigranelor digitale (watermarks) în Microsoft Word;
  introducerea datelor despre autor și a altor date despre document în

 criptarea și parolarea documentelor;
 transformarea documentului în format read-only;
 facilitatea Tracked Changes;
 adăugarea de comentarii.
Apreciem că, prin măsurile descrise mai sus, se asigură atât originalitatea, cât și
confidențialitatea și integritatea documentului.
Bibliografie
 1. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura
Tehnopress, Iași, 2014
Securitatea informaților în Microsoft Excel 2013
Prin această unitate de studiu, dorim să vă furnizăm câteva măsuri elementare de

securitate a datelor din Microsoft Excel.
După ce veți parcurge materialul, veți ști:
 cum se blochează la editare căsuțele din Microsoft Excel;
 cum se ascund informații confidențiale situate pe liniile și coloanele Microsoft
Excel, dar și în formulele de calcul;
 să verificați, folosind opțiunea Data Validation, datele introduse în foaia de
calcul;
 să utilizați, în contexte adecvate, funcțiile IF, VLOOKUP;
 să parolați o foaie de calcul și un registru Microsoft Excel.
Unitatea de studiu prezintă cum se realizează următoarele operațiuni în editorul de
texte Microsoft Word 2013:
 verificarea (validarea) datelor dintr-o zonă de căsuțe în Microsoft Excel 2013;
 utilizarea funcțiilor IF și VLOOKUP;
 ascunderea datelor și formulelor de calcul;
 blocarea editării căsuțelor;
 protecția cu parolă a foilor de calcul.
No crime is so great as daring to excel.
Winston Churchill
7.1 Verificarea datelor dintr-o zonă de căsuțe în Microsoft Excel 2013

O firmă ieșeană își testează angajații în legătură cu cunoașterea măsurilor
Aplicație elementare de securitate a informațiilor. Pentru test, apelează la titularul
disciplinei Protecția și securitatea informațiilor de la Facultatea de Economie
și Administrarea Afacerilor a Universității “Alexandru Ioan Cuza” din Iași. După evaluarea
răspunsurilor, titularul disciplinei dorește să trimită notele din fișierul din figura nr. 7.1
angajaților firmei.
Cum în discuția cu managerul firmei s-a stabilit faptul că rezultatele la testare sunt
confidențiale, fișierul trebuie protejat conform restricțiilor de mai jos:
1. notele vor fi verificate, pentru a vedea dacă se încadrează în intervalul 0-10;
2. numele și nota fiecărui angajat vor fi extrase din tabelul A8:F167 pe o line de la începutul
situației. Criteriul de extragere a datelor de identificare și a notei va fi marca (numărul unic de
identificare a angajatului);
3. vor fi ascunse tabelul cu note și formulele de extragere a notei și a datelor de identificare, în
așa fel încât mecanismul de afișare a notelor să nu fie vizibil pentru cei testați;
US 7. Securitatea infomațiilor în Microsoft Excel 2013
4. toate căsuțele din foaia de calcul, mai puțin A5, în care trebuie introdusă de către angajat
marca pentru a-și afla nota, vor fi blocate la editare;
5. foaia de calcul va fi protejată de o parolă, pentru ca integritatea notelor să fie garantată.
Figura nr. 7. 1 O secvență din foaia de calcul cu notele angajaților

Notele obținute la testare sunt introduse în foaia de calcul în zona F8:F167. Valorile permise
pentru note sunt cele din intervalul 0-10. Pentru a vedea dacă nu apar, din greșeală, și alte valori
în această zonă procedăm după cum urmează:
 selectăm zona F8:F167;
 din panglica Data, secțiunea Data Tools, alegem butonul Data Validation, opțiunea Data
Validation… și construim regula de validare din figura nr. 7.2;
Figura nr. 7. 2 Regula de validare a notelor construită în fereastra Data Validation
 cu zona F8:F167 selectată în continuare, din panglica Data, secțiunea Data Tools, alegem
butonul Data Validation, opțiunea Circle Invalid Data. Ca rezultat, valorile din afara
intervalului admis (0-10) vor fi marcate cu un oval roșu, așa cum se poate vedea în figura
nr. 7.3;
Figura nr. 7. 3 Valorile care nu respectă regula de validare, încercuite cu roșu
 corectăm valorile. Precizăm că încercuirea dispare dacă datele sunt corectate conform
criteriilor de validitate sau prin folosirea sub-opțiunii Clear Validation Circles din
panglica Data, de la opțiunea Data Validation.
7.2 Extragerea datelor din tabel cu funcția VLOOKUP

Operațiunile pregătitoare extragerii datelor de identificare și notei fiecărui angajat din tabel sunt
următoarele:
 construirea unei zone de extragere a datelor, după modelul din figura nr. 7.4:
Figura nr. 7. 4 Zona de afișare a notei și datelor de identificare pentru fiecare angajat, în funcție de marcă
 Construirea unei reguli de introducere a mărcii în A5, în așa fel încât utilizatorul să nu
poată introduce decât o valoare din intervalul 1501-1660. Din panglica Data, secțiunea
Data Tools, alegem butonul Data Validation, opțiunea Data Validation… și construim
regula de validare din figura nr. 7.5;
Figura nr. 7. 5 Construirea unei reguli de validare pentru datele care urmează să fie introduse de un utilizator
Ca rezultat, în căsuța A5 se va afișa tooltip-ul din figura 7.6. Dacă utilizatorul va introduce o
valoare din intervalul 1501-1660, aceasta va fi acceptată. Altfel, se va afișa mesajul de eroare
introdus în tab-ul Error alert până la introducerea unei valori corecte;
Figura nr. 7. 6 Reguli de validare - tooltip și mesaj de eroare
 sortarea tabelului cu notele din zona A8:F167 în ordinea crescătoare a mărcii (din
coloana A). Sortarea se face prin poziționarea în orice căsuță din tabel și apelarea de pe
panglica Data, grupul de opțiuni Sort & Filter, a opțiunii Sort, urmată de completarea în
fereastra Sort a datelor din figura nr. 7.7;
Figura nr. 7. 7 Sortarea datelor din tabelul cu note în ordinea crescătoare a mărcii
 atribuirea unui nume zonei de căsuțe din care vor fi extrase datele, A8:F167. Se
selectează zona, iar din panglica Formulas, grupul de opțiuni Defined Names se alege
opțiunea Define Name. După cum se observă și în figura nr. 7.8, numele atribuit zonei
selectate, în fereastra New Name, este note. Se confirmă numele prin apăsarea butonului
OK.
Figura nr. 7. 8 Atribuirea numelui note zonei de căsuțe A8:F167
Pentru extragerea propriu-zisă a numelui angajatului se procedează astfel:
 introducem o marcă de test în căsuța A5 (de exemplu, 1506). Ne poziționăm în căsuța B5

și, de pe panglica Formulas, grupul de opțiuni Function Library, din lista de funcții care
se deschide la apăsarea butonului Lookup&Reference, alegem funcția VLOOKUP;
 fereastra cu argumentele funcției VLOOKUP se completează ca în figura nr. 7.10:

Lookup_value (elementul de căutare, cheia după care se caută numele și prenumele
angajatului în tabelul note) este marca introdusă de acesta în căsuța A5, Table_array
(tabelul cu întreaga situație în care facem căutarea) este tabelul denumit de noi note,
Col_index_num (numărul de ordine al coloanei din care dorim să extragem informația în
tabelul note) este 2 (deoarece numele și prenumele pe care dorim să îl afișăm ca rezultat
al căutării este situat pe a doua coloană a tabelului note), și, pentru că dorim o potrivire
exactă a mărcii introduse cu marca din tabel, la argumentul Range_lookup vom completa
valoarea False;
Figura nr. 7. 9 Selecția funcției Vlookup
Figura nr. 7. 10 Argumentele funcției Vlookup pentru afișarea numelui și prenumelui angajatului
 după apăsarea butonului OK, valoarea returnată de funcția VLOOKUP în căsuța B5 va fi

numele angajatului cu marca din căsuța A5, și anume TIMOFTIE D. VASILE.
Pentru a extrage nota obținută de angajat la evaluare ne vom poziționa în căsuța C5 și vom urma
aceiași pași. Argumentele funcției VLOOKUP în acest caz sunt prezentate în figura nr. 7.11.
Observați că singura diferență constă în numărul de ordine al coloanei de pe care se dorește

returnarea rezultatului (notele sunt pe a șasea coloană din tabelul note).
Figura nr. 7. 11 Argumentele funcției Vlookup pentru afișarea notei obținute de angajat
Dacă dorim să însoțim nota afișată de un mesaj în care să informăm angajații în legătură cu o
eventuală refacere a testului, vom utiliza funcția IF în condițiile de mai jos:
 să presupunem că pragul de promovare stabilit împreună cu managerul firmei este dat de
nota 4. Pentru angajații care au obținut o notă cel puțin egală cu 4, vom afișa mesajul
“Felicitări, ați promovat testul!”, iar pentru restul a căror notă este sub valoarea 4, vom
afișa mesajul “Nu ați promovat. Testul se va reface pe data de 1 august 2019”.
Reprezentarea grafică a secvenței alternative menționate este vizibilă în figura nr. 7.12;
Figura nr. 7. 12 Secvența alternativă IF – reprezentare grafică

 ne poziționăm în căsuța D5. De pe panglica Formulas, grupul de opțiuni Function

Library, din lista de funcții care se deschide la apăsarea butonului Logical, alegem
funcția IF – figura nr. 7.13;
Figura nr. 7. 13 Apelarea funcției IF
 fereastra cu argumentele funcției IF se completează ca în figura nr. 7.14: Logical_test

(condiția testată) este C5>=4, Value_if_true (mesajul care se afișează atunci când
condiția este îndeplinită) este Felicitări, ați promovat testul!, Value_if_false (mesajul care
se afișează atunci când condiția nu este îndeplinită) este Nu ați promovat. Testul se va
reface pe data de 1 august 2019. Pentru confirmare, se apasă butonul OK.
Figura nr. 7. 14 Argumentele funcției IF

Rezultatul folosirii funcțiilor VLOOKUP și IF, pentru angajatul cu marca 1506 și pentru un alt
angajat, cu marca 1550, este prezentat în figura nr. 7.15.
Figura nr. 7. 15 Rezultatele folosirii funcțiilor VLOOKUP și IF
7.3 Operațiuni pregătitoare la nivelul foii de calcul, înainte de aplicarea

opțiunii de protecție
Procesul de protejare a unei foi de calcul în Microsoft Excel cuprinde două etape:
1. mai întâi, se pregătesc căsuțele foii de calul în modul dorit de utilizator (în cazul nostru, se
ascund formulele de calcul și liniile tabelului cu note și se blochează la editare toată foaia de
calcul, cu excepția căsuței A5);
2. la final, se confirmă setările de la punctul 1 prin aplicarea protecției, cu sau fără parolă.

Abia după operațiunea de confirmare de la punctul 2, măsurile de protecție
intenționate devin active!
7.3.1 Ascunderea formulelor de calcul folosite pentru extragerea datelor din tabelul
note și afișarea mesajului pentru angajați
În multe situații din viața organizațiilor, informații confidențiale pot fi ascunse chiar în banalele
formule de calcul din Microsoft Excel (gândiți-vă la rata preferențială a dobânzii pentru anumiți
clienți ai băncilor, comisioane pe care acestea nu doresc să le comunice clienților etc.). Din
fericire pentru cei care au nevoie să-și protejeze asemenea „mici” secrete, formulele pot fi
ascunse la rândul lor.
Pentru problema formulată de noi, este necesară bifarea (activarea) proprietății Hidden pentru
zona de căsuțe care conține formulele prin care am extras numele și prenumele și am afișat
mesajul de felicitare sau refacere a testului (B5:D5). Succesiunea de opțiuni pentru a realiza
această sarcină este selecția intervalului de căsuțe B5:D5  click dreapta  Format Cells... 
Protection  bifarea (activarea) proprietății Hidden (vezi figura nr. 7.16).
1.Click dreapta
3.
2. 4.
Figura nr. 7. 16 Activarea proprietății Hidden pentru căsuțele din zona B5:D5
1. Proprietățile Hidden și Locked sunt distincte. În cazul de față nu se va interveni în nici
un fel în modificarea proprietății Locked (căsuțele care conțin formulele vor fi și ele
! blocate, în așa fel încât să li se asigure integritatea).

2. Activarea proprietății Hidden nu implică ascunderea conținutului căsuțelor din zona
B5:D5, ci doar ascunderea formulelor de calcul. Efectul, repetăm, va fi vizibil abia după
aplicarea protecției.
7.3.2 Ascunderea liniilor pe care apar informații confidențiale

Informațiile confidențiale conținute de foaia de calcul curentă sunt cele de pe liniile 7-167.
Ascunderea lor se face prin selectarea tuturor liniilor menționate, apelarea meniului contextual
cu click dreapta  Hide.
7.3.3 Blocarea căsuțelor la editare

Cadrul didactic dorește ca datele din întreaga foaie de calcul să fie blocate la editare, cu excepția
căsuței A5, care va fi lăsată liberă pentru a-i permite fiecărui angajat să introducă marca proprie
pentru a-și afla nota. Ca rezultat, angajații nu va putea modifica nici o altă căsuța în afară de A5.
În mod implicit, pentru orice căsuță a unei foi de calcul din Microsoft Excel, proprietatea Locked
este setată (figura nr. 7.17). Acest lucru este vizibil la apelarea meniului contextual pentru orice
căsuță sau zonă de căsuțe, cu click dreapta  Format Cells...  Protection  .
1.Click dreapta
2.
Figura nr. 7. 17 Ascunderea liniilor 7:167
1.Click dreapta
2.
3.
4.
Figura nr. 7. 18 Vizualizarea proprietății Locked a căsuțelor din foaia de calcul (implicit bifată)
Pentru problema formulată de noi, este necesară debifarea (dezactivarea) proprietății Locked
pentru căsuța A5, în ideea că dorim să-i lăsăm angajatului posibilitatea de a introduce marca
pentru a-și afla nota. Succesiunea de opțiuni pentru a realiza această sarcină este selecția căsuței
A5  click dreapta  Format Cells...  Protection  debifarea (dezactivarea) proprietății
Locked (vezi figura nr. 7.19).
1.Click dreapta
2. 3.
4.
Figura nr. 7. 19 Dezactivarea proprietății Locked a căsuțelor din zona D9:D23

Observați, în figurile 7.18 și 7.19, mesajul din fereastra Protection care spune că blocarea
căsuțelor sau ascunderea formulelor nu au efect până la confirmarea lor cu o opțiune de protecție.
7.4 Aplicarea opțiunii de protecție cu parolă
Din panglica Review, grupul de opțiuni Changes, se apasă butonul . Ca rezultat, va apărea
fereastra din figura 7.20.
Pentru o protecție suplimentară, activarea mecanismului general de protecție poate fi însoțită și
de asocierea unei parole. Nu se recomandă asocierea parolei decât în situația unor fișiere
finalizate, date în utilizare curentă, întrucât uitarea parolei poate conduce la imposibilitatea
finalizării modelului.
Dacă nu se introduce o parolă, deprotejarea foii de calcul se poate face de către utilizator
!
prin simpla succesiune de opțiuni Review  Changes  . Dacă a fost stabilită o

parolă, foaia nu va putea fi deprotejată decât de către cel care o cunoaște.
Figura nr. 7. 20 Introducerea unei parole în fereastra Protect Sheet

Observați că am debifat opțiunea Select locked cells, pentru ca un utilizator neavizat să
! nu poată selecta (prin apăsarea tastelor Ctrl + A, de exemplu), zonele blocate la editare
din foaia de calcul.
După introducerea parolei și apăsarea butonului OK, se solicită confirmarea acesteia. În fereastra
de dialog din figura 6.19, suntem avertizați că uitarea parolei duce la imposibilitatea deprotejării
foii de calcul și că parolele sunt case-sensitive.
Figura nr. 7. 21 Confirmarea parolei pentru protejarea foii de calcul

Acționarea butonului OK în fereastra din figura nr. 7.21 determină activarea mecanismului
general de protecție. Din acest moment, orice operațiune de modificare a conținutului căsuțelor
care are asociat parametrul de format Locked este imposibilă, iar utilizatorul este avertizat printr-
un mesaj de atenționare. De asemenea, formulele de calcul ascunse prin bifarea parametrului de
format Hidden nu mai sunt vizibile, iar vizualizarea liniilor și coloanelor ascunse nu mai este
permisă.
Aceste efecte sunt prezentate în figurile de mai jos.
Figura 7.22 prezintă mesajul de avertizare care apare la încercarea de a scrie sau a șterge ceva
într-o căsuță blocată, iar timp ce figura 7.23 prezintă dezactivarea opțiunii Unhide pentru liniile
ascunse anterior aplicării mecanismului de protecție.
Figura nr. 7. 22 Mesaj de avertizare care apare la încercarea utilizatorului de a modifica orice căsuță în afară de A5
Dacă asupra fișierului trebuie aplicate modificări, vom solicita operațiunea de deprotejare, adică
de dezactivare a mecanismului general de protecție (Review  Changes  ).

În situația folosirii unei parole, apare o casetă de dialog pentru precizarea parolei (vezi figura nr.
7.23).
Figura nr. 7. 23 Mesaj de introducere a parolei la operațiunea de deprotejare
7.5 Parolarea și criptarea registrelor de lucru Excel 2013

Dacă informațiile dintr-un registru Excel sunt considerate confidențiale, se
Aplicație poate recurge la parolarea și criptarea registrelor de lucru în care sunt
stocate acestea.
Pentru aceasta, se apelează, din meniul File, opțiunea Info, butonul Protect Workbook, opțiunea
Encrypt with Password – vezi figura nr. 7.24.
Figura nr. 7. 24 Opțiunea de criptare cu parolă a unui registru Excel
Figura nr. 7. 25 Introducerea parolei pentru criptarea registrului și confirmarea ei

După introducerea unei parole pentru criptarea registrului în fereastra Encrypt Document și
confirmarea ei în fereastra Confirm Password, registrul va fi criptat cu parolă. La încercarea de
a-l deschide, se va afișa mesajul din figura nr. 7.26.
Figura nr. 7. 26 Mesaj la încercarea de a deschide un registru Excel criptat cu parolă

Dacă utilizatorul nu are parola, deschiderea sa va fi imposibilă. Pentru deprotejarea registrului,

după introducerea parolei, se accesează din nou din meniul File, opțiunea Info, butonul Protect
Workbook, opțiunea Encrypt with Password și se șterge parola din fereastra Encrypt Document.
Rezumat
Unitatea de studiu a tratat:
 cum se blochează la editare căsuțele din Microsoft Excel;
 cum se ascund informații confidențiale situate pe liniile și coloanele Microsoft
Excel, dar și în formulele de calcul;
 verificarea, cu opțiunea Data Validation, a datelor introduse în foaia de calcul;
 funcțiile IF și VLOOKUP;
 parolarea unei foi de calcul și a unui registru Microsoft Excel.
Contribuția acestor elemente la asigurarea confidențialității, integrității și accesibilității
este prezentată în figura de mai jos.
Bibliografie
 1. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura
Tehnopress, Iași, 2014
Bibliografie finală
1. ***, Arhiva școlii din Moisei a fost inundată, 1.08.2008, la http://www.informatia-zilei.ro/sm,

2. ***, Ce înseamnă Botnet?, la http://despretot.info/2012/10/ce-inseamna-botnet/
3. ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului,
http://www.digi24.ro/stiri/sci-tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-
intunecata-a-internetului-461286, publicat pe 26.11.2015, accesat pe 03.03.2017
Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
4. ***, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe, publicată în Monitorul
Oficial 430 din 2010, http://www.legi-internet.ro/legislatie-itc/drept-de-autor/legea-dreptului-de-
autor/legea-81996-privind-dreptul-de-autor-si-drepturile-conexe.html
5. ***, Pierderea laptopului, de 100 de ori mai scumpă decât valoarea sa, 29.04.2009, la
http://www.ziare.com/internet-si-tehnologie/internet/pierderea-laptopului-de-100-de-ori-mai-
scumpa-decat-valoarea-sa-734799
6. ***, Ransomware. Definiție, la http://despretot.info/2013/03/ransomware-definitie/, 01.03.2013
7. ***, Rootkit Levels Are Down, But That Won't Last for Long, 26.06.2014, la
http://www.infosecurity-magazine.com/view/39045/rootkit-levels-are-down-but-that-wont-last-
for-long/
8. ***, Rootkits – prezentare, mod de funcționare, detecție, la
http://www.techtorials.ro/2010/04/09/rootkits-prezentare-mod-de-functionare-detectie/, 4.09.2013
9. ***, Stuxnet – virusul care ar putea declanșa cel de-al treilea Război Mondial, la
http://stiri.acasa.ro/auto-tehno-190/it-c-191/stuxnet-virusul-care-ar-putea-declansa-cel-de-al-
treilea-razboi-mondial-144970.html
10. ***, Types of Biometrics, https://www.biometricsinstitute.org/types-of-biometrics, accesat la
02.05.2019
11. /documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014
12. Airinei, D., Grama, A., Fotache, D., Georgescu, M., Munteanu, A., Dospinescu, O., Popescul, D.,
Pavaloaia, D., Tehnologii informaționale aplicate în organizații, Editura Universității „Alexandru
Ioan Cuza”, Iași
13. Andriescu, V., Pericolul din adâncuri: virușii anului 2013, la
http://adevarul.ro/tech/gadget/pericolul-adancuri-virusii-anului-2013-
1_5129078e00f5182b8595d62d/index.html, 23.02.2013
14. Apostoiu, R. A., Necesitatea adaptării legislației românești la sistemele biometrice, 8.04.2019, la
https://www.rfidshop.ro/blog/necesitatea-adaptarii-legislatiei-romanesti-la-sistemele-biometrice-
b370.html, accesat la 5.01.2020
15. Ashok, I., A Loud Noise Shut Down ING Bank's Main Data Centre in Bucharest for 10 Hours,
Intenrational Business Times, la https://www.ibtimes.co.uk/loud-noise-shut-down-ing-banks-
main-data-centre-bucharest-10-hours-1580799, publicat pe 14.09.2016
16. Brook, C., New Beta Bot trojan skilled at attacking banks, ecommerce platforms, la 30,.05.2013,
la http://threatpost.com/new-beta-bot-trojan-skilled-at-attacking-banks-ecommerce-platforms/
adresa securității cibernetice, pag. 11, http://www.cert-ro.eu/articol.php?idarticol=826
adresa securității cibernetice, la http://www.cert-
ro.eu/files/doc/826_20140311080332027933600_X.pdf
20. cert.ro, Centrul Național De Răspuns La Incidente De Securitate Cibernetică,
https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018
Bibliografie
21. Chersan, I. C., Auditul financiar de la normele naționale la standardele internaționale, Editura
Universității Alexandru Ioan Cuza din Iași, 2013
22. Constantin, L., No Prison Time for Romanian NASA and U.S Navy Hacker, 2008, la adresa
http://news.softpedia.com/news/No-Prison-Time-for-Romanian-NASA-and-U-S-Navy-Hacker-
97660.shtml
23. Cosmin, M. I., Stuxnet, un atac cibernetic foarte sofisticat si unic in lume, la
http://www.securitatea-informatiilor.ro/tipuri-de-atacuri-informatice/stuxnet-un-atac-cibernetic-
foarte-sofisticat-si-unic-in-lume/, 27.01.2011
24. DIGI24, Pontaj pe bază de amprentă. Primăria din Timișoara a fost amendată, 9.12.2015, la
https://www.digi24.ro/stiri/actualitate/evenimente/pontaj-pe-baza-de-amprenta-primaria-din-
timisoara-a-fost-amendata-
466032?fb_action_ids=1764895730395376&fb_action_types=og.comments, accesat la 5.01.2020
25. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
26. ENISA (European Union Agency for Network and Information Security), ENISA Threat
Landscape 2013, http://www.enisa.europa.eu/activities/risk-management/evolving-threat-
environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats,
decembrie 2013
Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,
http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-
tipuri-de-active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
Haeckel, S., ABI WhitePaper. The Development & Application of Organizational Knowledge, la
King, M. C., Dalton, E.C., Osmanlogu, T. E., Security Architecture (Design, Deployment &
Operations), McGraw-Hill, 2001
29. ENISA Threat Landscape Report 2018, 15 Top Cyber-Threats and Trends, January 2019,
30. Goodin, D., New Linux worm targets routers, cameras, “Internet of things” devices, 2013, la
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-
things-devices/
31. http://dcd.uaic.ro/?page_id=76
32. http://ithubs.ro/o-companie-asiatica-tinta-unuia-dintre-cele-mai-importante-de-tip-ddos-din-2011/
Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
spyware-of-gamma.html
33. http://ro.wikipedia.org/wiki/%C3%8En%C8%99el%C4%83ciune_electronic%C4%83
34. http://romanian.ruvr.ru/2012_11_26/95981330/
35. http://romaniateiubesc.stirileprotv.ro/emisiuni/2013/sezonul-1/hackerville-romanesc-iii-iceman-
hackerul-roman-care-a-spart-25-de-servere-ale-nasa-are-doar-9-clase-cum-a-devenit-romania-
patria-hotilor-virtuali.html
36. http://www.aut.upt.ro/~marius-simion.cristea/pdf/report1.pdf, accesat la 17.06.2014
37. http://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/
38. http://www.furtdeidentitate.ro/furtul-de-identitate/semne-de-avertizare/
http://help.linkedin.com/app/answers/detail/a_id/5342/~/possible-fraudulent-email-or-phishing
http://www.ziare.com/internet-si-tehnologie/antivirus/2-la-suta-din-romani-au-pierdut-bani-in-
urma-atacurilor-de-tip-phishing-1073932
Bibliografie
39. http://www.idevice.ro/2013/08/09/un-nou-atac-de-tip-spam-foloseste-mailuri-si-malware-pentru-
a-infecta-posesorii-de-apple-id-uri/, 9.08.2013
40. http://www.techradar.com/news/internet/here-s-how-security-cameras-drove-the-world-s-biggest-
ddos-attack-ever-1329480
41. https://content.akamai.com/PG6852-q2-2016-soti-security.html
42. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro
43. https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EL
44. https://fingopay.com/
45. https://hello.neustar.biz/2016_2h_ddos_report_security_lp.html
46. https://static.anaf.ro/static/10/Anaf/legislatie/OMFP_2634_2015.pdf
47. https://support.apple.com/ro-ro/HT208108
48. https://www.apple.com/ro/apple-pay/
49. https://www.dataprotection.ro/
52. https://www.legi-internet.ro/
53. https://www.rt.com/news/363642-websites-outage-ddos-attack/
54. https://www.sans.org/security-resources/policies
55. https://www.tuv-austria.ro/certificari/securitatea-informatiei-certificare-iso-27001-
managementul-securitatii-informatiilor/
56. iso.org, ISO/IEC 27001 Information Security Management, la https://www.iso.org/isoiec-27001-
information-security.html, accesat la 10.02.2020
57. Kaspersky Lab, What is Beta Bot?, la http://usa.kaspersky.com/internet-security-
center/definitions/beta-bot#.U9ImQ-N_uYA, accesat 23.06.2014
58. Kushner, D., The Real Story of Stuxnet, 2013, IEEE Spectrum,
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
59. Lloyd’s register, Certificarea ISO 20000 pentru managementul serviciilor IT, la
https://www.lr.org/ro-ro/iso-20000/, accesat la 31.01.2020
60. Matache, L., Ce riști dacă folosești software piratat, la http://www.economica.net/ce-risti-daca-
folosesti-software-piratat_13381.html, 31.01.2013, accesat la 2.09.2013
61. Merriam, R., Software Update Destroys $286 Million Japanese Satellite, Hackaday, publicat pe
2.05.2016, la https://hackaday.com/2016/05/02/software-update-destroys-286-million-japanese-
satellite/#comments
62. Ministerul Transporturilor, Infrastructurii și Comunicațiilor, Registrul furnizorilor de servicii de
certificare
63. Nedelcu, C., Inundații în Arhiva Judecătoriei, 27.07.2010, la
64. Oprea, D., Protecția și securitatea informațiilor, Editura Polirom, Iași, 2007
65. Pele, A., Cât pierde industria IT din România din cauza pirateriei software, la
http://www.gandul.info/financiar/cat-pierde-industria-it-din-romania-din-cauza-pirateriei-
software-10118394, 26.09.2012, accesat la 16.09.2013
66. pentru semnătura electronică, la https://www.comunicatii.gov.ro/wp-
content/uploads/2020/01/Registru-furnizori-.pdf, accesat la 31.01.2020
67. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicații pentru studenții Facultății
de Inginerie, Universitatea din Bacău
68. Popescul, D., Securitatea informațiilor – instrumente și metode de lucru, Editura Tehnopress,
Iași, 2014
69. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific
View, John Wiley&Sons, UK, 2009
70. Ross, A., Gartner Predicts Increase in Biometric Authentication and SaaS-Delivered IAM,
06.02.2019, https://www.information-age.com/gartner-biometric-authentication-123478879/
Bibliografie
71. Silver, V., Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma,
spyware-of-gamma.html, 25.06.2012
72. Solove, Daniel J., 10 Reasons Why Privacy Matters, Privacy + Security Blog - News,
Developments, and Insights, 20.01.2014, la https://www.teachprivacy.com/10-reasons-privacy-
matters/, accesat 06.11.2019
73. Stanciu, G., Scandalul Galaxy Note 7: Peste 70 de telefoane au explodat numai în SUA, la
https://playtech.ro/2016/scandalul-galaxy-note-7-peste-70-de-telefoane-au-explodat-numai-sua/,
13.09.2016
74. The UK National Archives, What is an Information Asset?, la
http://www.nationalarchives.gov.uk
75. Trader, J., The Advantages of a Biometric Identification Management System, 2014,
http://www.m2sys.com/blog/biometric-hardware/advantages-biometric-identification-
management-system/, accesat la 4.02.2020
76. Trcek, D., Managing Information Systems Security and Privacy, Springer, Berlin, Heidelberg,
2006
77. University of London, Information Security: Context and Introduction, la
78. Urzică, A., Datele biometrice, între avantajele tehnologiei și preocupările pentru securitatea
persoanei, Capital, 13.02.2017, la https://www.capital.ro/datele-biometrice-intre-avantajele-
tehnologiei-si-preocuparile.html, accesat la 5.01.2020
79. Veress, R., Abia eliberat din închisoare, hackerul român care a spart rețelele NASA și
Pentagonului și-a făcut cont pe rețelele de specialitate, 2012, la adresa
http://jurnalul.ro/stiri/observator/tinkode-eliberare-inchisoare-cont-hacker-nasa-pentagon-
625444.html#
80. Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
81. Wheatley, M. J., Leadership and the New Science – Discovering Order in a Chaotic World,
82. Wladawsky-Berger, I., Digital Identity: The Key to Privacy and Security in the Digital World,
MIT Blogs, 7.09.2016, la http://ide.mit.edu/news-blog/blog/digital-identity-key-privacy-and-
security-digital-world, accesat pe 2.07.2018
83. www.asro.ro
Exemple de întrebări
1. Este posibil ca o organizație să aibă un sistem informațional protejat 100%?

a) Da, dacă are suficienți bani pentru cumpărarea de soluții de securitate performante
b) Nu, nu este posibil ca o organizație să aibă un sistem informațional protejat 100%
c) Depinde. Dacă folosește sistemul de operare Linux, este posibil
2. Tocmai ați fost angajat/ă pe postul de contabil junior la o firmă de contabilitate prestigioasă.
Ați primit sarcina de a întocmi o raportare financiară pentru unul dintre cei mai mari clienți ai
companiei. În prezent, firma folosește foi de calcul Excel pentru a stoca și prelucra datele
relevante despre clienții săi. La primirea unui număr de 15 foi de calcul pentru clientul în cauză,
vă dați seama repede că nu veți putea finaliza proiectul în timpul alocat. Situația prezentată este
potențial periculoasă din perspectiva _________________________ datelor.
a) confidențialității
b) integrității
c) accesibilității
3. Prin utilizarea criptografiei în lumea digitală,
a) pot fi substituite integral mecanismele de securitate fizică aplicate informației în formă
tradițională (orală, scrisă pe hârtie)
b) se oferă soluții pentru a se asigura confidențialitatea, integritatea și non-repudierea informației
digitale
c) a devenit posibilă semnarea electronică a documentelor în format digital
4. Care dintre următoarele afirmații este adevărată?
a) autenticitatea unei informații oferă garanția integrității sale
b) integritatea unei informații oferă garanția autenticității sale
5. Un firewall:
a) filtrează pachetele de date transferate între calculatorul unui utilizator și Internet, pe baza unui
set de reguli
b) protejează calculatoarele dintr-o rețea de infecția cu malware
c) detectează activitățile suspecte dintr-o rețea de calculatoare
6. O imagine salvată în cardul de memorie a telefonului mobil reprezintă:
a) date stocate
b) date în mișcare (tranzit)
c) date în lucru
7. Site-urile care oferă doar informaţii pe Internet au un risc de pierderi financiare mai
__________ decât site-urile de comerţ electronic.
Exemple de întrebări
a) mic
b) mare
8. Atacurile externe ale hacker-ilor cauzează pagube mai _________ decât atacurile interne,
care au ca autori angajaţii proprii.
a) mici
b) mari
9. La Olimpiada Internaţională de Matematică, membrii comisiei corectează copii ale lucrărilor
participanţilor. Prin această măsură se dorește să se asigure _____________ lucrărilor.
a) confidențialitate
b) integritatea
c) accesibilitatea
10. Dacă un atacator abil în computere reuşeşte să acceseze datele de identificare bancară ale
unei persoane, nimic nu-l va opri să golească conturile sau să comită infracţiuni, ascuns sub
identitatea virtuală a victimei sale. În ultimul timp a crescut incidenţa atacului numit
___________, care redirecţionează de obicei userii spre un site fals, care arată aproape identic
cu cel original, pentru ca aceştia să-și introducă acolo detalii personale. (Sursa: Pârlog, N.,
Capcanele Internetului, 05.11.2012, descopera.ro)
a) ransomware
b) rootkit
c) phishing
Răspunsuri:
1 2 3 4 5 6 7 8 9 10
b b, c b, c b a a a a b c

Protectia Si Securitatea Sistemelor Informationale ID 2022 Sem2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Protectia Si Securitatea Sistemelor Informationale ID 2022 Sem2

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSITATEA ALEXANDRU IOAN CUZA din IAȘI

FACULTATEA DE ECONOMIE ȘI ADMINISTRAREA AFACERILOR

PROTECȚIA ȘI SECURITATEA SISTEMELOR

În opinia noastră, studiul protecției și securității sistemelor informaționale la o facultate de

Inginerie, Universitatea din Bacău, p. 5

https://www.coursera.org/course/inforiskman, accesat la 8.01.2015

 identificarea resurselor informaționale valoroase ale organizațiilor, sintetizate într-un

FIŞA DISCIPLINEI ______________________________________________________________ 2

6.2 Filigranarea documentului_______________________________________________________ 99

Parcurgerea atentă a unității de studiu 1 vă asigură:

1.1 Resurse și averi informaționale

Figura nr. 1. 1 Valoarea informației

Figura nr. 1. 2 Perspective asupra resurselor informaționale

Figura nr. 1. 3 Resurse informaționale – o abordare pragmatică

Figura nr. 1. 4 Resurse informaționale – date, informații, cunoștințe

Figura nr. 1. 5 Resurse informaționale – aspecte de luat în calcul în identificare și analiză

/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014

Sub ce forme se găsesc resursele informaționale în acest mediu?

1.2 Responsabili cu resursele informaționale

1.3 Securitate informațională

Confidențialitatea este caracterul secret, privat al informației. Asigurarea acestei

Integritatea este caracterul complet și corect al informației. Trăsătura de

Autenticitatea, caracterul autentic, este proprietatea care asigură că identitatea unei

Ne-repudierea presupune existența unei dovezi că informația a fost transmisă de

Figura nr. 1. 6 Componentele securității informaționale

! organizației, atenția nu trebuie să se îndrepte exclusiv către nevoia de asigurare a

1.4 Clasificarea resurselor informaționale

Informații publice  materialele de marketing și alte materiale publicitare

limitat)  planuri de afaceri strategice, pe termen lung

Din punctul de vedere al integrității, adică al necesității de a li se păstra caracterul corect și

1.5 Aplicație - inventarul și clasificarea informațiilor importante ale unei

- echipamentele care asigură multiplicarea (copiatoare) și distrugerea copiilor nefolosite (tocătoare

Aplicație Clasificarea informațiilor identificate mai sus din perspectiva nevoii de

1.6 Cerințe proiect – partea 1

1.1 Identificați, într-o organizație pe care o cunoașteți, o resursă informațională

1.2-1.5 Precizați, pentru averea informațională de la 1.1:

1.6 Cine este responsabilul cu averea informațională identificată la 1.1?

1.7-1.9 Clasificați averea informațională din punctul de vedere al cerințelor de

1.10 Motivați încadrarea pentru una dintre caracteristicile de mai sus

  importanța diferită, în funcție de context, a asigurării confidențialității (caracterului

confidențialității, integrității și accesibilității acestora.

 6. Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,

Prin această unitate de studiu, dorim să vă convingem că există o gamă largă de

Lipsa de încredere și precauția sunt părinții securității.

2.1 Categorii de amenințări de securitate informațională întâlnite în

 instalare necontrolată de produse software neautorizate de către

Figura nr. 2. 1 Peisajul amenințărilor

2.2 Factori naturali și condiții improprii de mediu

arhiva-judecatoriei~ni6i8r, accesat la 13.03.2014

Nerespectarea limitelor optime de temperatură și umiditate prescrise de producători și/sau

elaborează standarde și recomandări legate de mediul de lucru al calculatoarelor? Sfaturile acestor

2.3 Erori care pot provoca incidente de securitate informațională

o ne-actualizarea la timp a aplicațiilor informatice. De exemplu, neactualizarea la timp a

2.4 Atacuri informatice și non-informatice

Wiley&Sons, UK, 2009, p. 165

 curente: malware, furt de identitate, spoofing, phishing, pharming, Denial of Services –

2.4.1 Viruși, viermi și cai troieni

Viermii informatici sunt programe cu capacitatea de a se auto transmite în rețelele de

5. reprogramează aceste dispozitive de control, exploatând o vulnerabilitate de tip „zero day”,

2.4.2 Scareware și ransomware

Figura nr. 2. 4 Mesaje ale unor antiviruși falși

Figura nr. 2. 5 Mesajul virusului “Poliția Română”

Figura nr. 2. 6 Mesajul CryptoLocker