Documente Academic
Documente Profesional
Documente Cultură
DE COMUNICAŢII
Bucureşti
2 0 -
- 2005
CUPRINS
CAPITOLUL 1 ________________________________________________________________ 3
PROBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEA INFORMATICĂ
– SOCIETATEA CUNOAŞTERII ________________________________________________ 3
1.1. INTRODUCERE ____________________________________________________________3
1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE ÎN
SOCIETATEA INFORMAŢIONALĂ – SOCIETATEA CUNOAŞTERII _____________________3
1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELOR
INFORMATICE ŞI DE COMUNICAŢII ________________________________________________8
CAPITOLUL2 _______________________________________________________________ 12
RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR INFORMATICE ________ 12
2.1. INTRODUCERE ______________________________________________________________12
2.2. RISCUL DE ATAC ELECTRONIC ______________________________________________12
2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI ______________________________14
2.4. ANALIZA DE RISC ___________________________________________________________15
2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI _________________________________17
A. Ameninţările fundamentale __________________________________________________________ 18
B. Ameninţări care facilitează __________________________________________________________ 19
C. Ameninţări indirecte ________________________________________________________________ 22
CAPITOLUL 3 _______________________________________________________________ 24
METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU SISTEMELE IT) 24
CAPITOLUL 4 _______________________________________________________________ 27
MODELAREA ŞI ANALIZA RISCULUI _________________________________________ 27
4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI __________________________27
4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR _____29
4.3. MODELAREA DECIZIEI ______________________________________________________30
4.4. DESCRIEREA MODELULUI RISCULUI SECURITĂŢII CALCULATOARELOR ______33
4.5. TEHNICILE DE ANALIZĂ______________________________________________________37
REFERINŢE BIBLIOGRAFICE ________________________________________________ 40
ANEXA 1 ___________________________________________________________________ 42
MODELE ŞI METODE PENTRU ANALIZA INFRASTRUCTURII DE INFORMAŢII
CRITICE ____________________________________________________________________ 42
EXEMPLU DE MODELARE MATEMATICA A RISCURILOR INCIDENTELOR DE
SECURITATE CORELATE CU OPTIMIZAREA COSTURILOR ASOCIATE _________ 59
CAPITOLUL 1
PROBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEA
INFORMATICĂ – SOCIETATEA CUNOAŞTERII
1.1. INTRODUCERE
2.1. INTRODUCERE
Analiza de risc este larg folosită de organizaţii (Blakley şi colab., 2002), chiar
dacă există autori (spre exemplu, Jacobson (1996)) care consideră că analiza de risc
subiectivă, inconsistentă sau chiar inutilă.
Conform lui Wilsher şi Kurth (1996), organizaţiile trebuie să abordeze problema
riscului în patru etape:
Identificarea şi evaluarea informaţiilor importante;
Identificarea şi evaluarea ameninţărilor;
Evaluarea vulnerabilităţilor;
Evaluarea riscului.
Următoarele întrebări fundamentale trebuie să-şi găsească răspunsul în cadrul
unei analize de risc (Ozier, 1999):
- Ce evenimente nedorite se pot petrece?
- Dacă se materializează, care va fi impactul?
- Cât de des se poate petrece evenimentul nedorit?
- Cât de certă este informaţia care defineşte primele trei elemente?
A. Ameninţările fundamentale
Ameninţările fundamentale reprezintă ceea ce un atacator vrea să facă. Aceste
ameninţări sunt categorizate de Buffam (2000) în divulgarea de informaţii, alterarea de
informaţii, repudierea, refuzul serviciului şi folosirea neligitimă şi sunt discutate în
subsecţiunile următoare.
A.3.. Repudierea
Repudierea reprezintă capacitatea sau acţiunea unei persoane de a nega
identitatea transmiţătorului, conţinutul sau data efectuării unei comunicaţii sau
transmiterii unui mesaj electronic. Deoarece unele mesaje sau comunicaţii electronice
au o importanţă mare, este important ca organizaţiile să asigure non-repudierea
acestora.
B.2.6. Spyware
Spyware este un program plasat pe un sistem informatic, fără acordul (informat)
al utilizatorilor, pentru a obţine informaţii despre sistem, pentru a captura ceea ce
tastează utilizatorii, informaţiile obţinute fiind transmise, după obţinere, către cel sau cei
care controlează programul, urmând a fi folosite pentru atacarea sistemului informatic.
C. Ameninţări indirecte
După cum argumentează Buffam (2000), acest tip de ameninţări derivă din
caracteristicile de bază ale Internet-ului şi ale infrastructurii informaţiei. Următoarele sub-
categorii pot fi detectate în cadrul acestei secţiuni: interceptarea, scavenging, indiscreţia
şi eroarea administrativă.
C.1. Interceptarea
Programele care permit „adulmecarea” parolelor (password sniffers, keyloggers)
monitorizează şi înregistrează numele de utilizator şi parolele asociate. După obţinerea
acestor informaţii, atacatorii se pot transforma într-un un “utilizator autorizat” şi pot
accesa informaţii confidenţiale, altera informaţiile sau lansa diferite programe sau
comenzi care pot produce daune.
C.2. Scavenging
Această acţiune constă în folosirea de utilitare pentru reconstituirea informaţiilor
de pe medii magnetice, după ce acestea au fost şterse sau suprascrise. O altă formă a
acestei acţiuni constă în căutarea de informaţii care ar putea fi utile în coşuri de gunoi
sau alte locuri unde sunt aruncate informaţii imprimate pe hârtie (dumpster diving).
C.3. Indiscreţia
În această categorie sunt incluse acţiunile care duc la deconspirarea parolelor
sau tehnicilor de autentificare folosite, părăsirea calculatorului fără încheierea unei
sesiuni de lucru sau social engineering – naivitate vis-a-vis de încercările de obţinere a
parolelor prin tehnici de genul „Am nevoie de parola lui X pentru a efectua operaţiuni de
configurare” sau „Sunt Y, am uitat parola”.
D. Vulnerabilităţi şi expuneri
Prin „vulnerabilitate” se înţelege orice fapt care prezintă o problemă din punct de
vedere al securităţii sistemului informatice într-un anumit context. Vulnerabilităţile sunt
portiţele prin care se manifestă ameninţările. Common Vulnerabilities and Exposures
dezvoltată de Mitre urmăreşte standardizarea vulnerabilităţilor cunoscute.
O „vulnerabilitate universală” este definită ca o “stare” într-un sistem informatic
care fie:
Permite unui atacator să execute comenzi impersonând un utilizator autorizat;
Permite unui atacator să acceseze informaţii contrar procedurilor de acces;
Permite unui atacator să conducă un atac de refuz al serviciului (denial of
service).
Stoneburner şi colab. (2001) prezintă următoarele reguli de bază pentru
atenuarea riscurilor asociate cu ameninţări intenţionate. Aceste reguli sunt aplicabile, cu
excepţia celei de a treia, şi pentru atenuarea riscurilor naturale sau accidentale:
Când o vulnerabilitate există, trebuie redusă posibilitate ca respectiva
vulnerabilitate să fie exploatată;
Când o vulnerabilitate poate fi exploatată, trebuie implementată o protecţie pe
mai multe nivele şi controale administrative care pot minimiza riscul sau
preveni exploatarea vulnerabilităţii;
Când costul unui atacator este mai mic decât câştigurile potenţiale trebuie
aplicată o protecţie care descreşte motivaţia atacatorului prin creşterea
costului său;
Când pierderea potenţială este prea mare, trebuie aplicate protecţii tehnice şi
non-tehnice care să reducă potenţialul de pierdere.
O „expunere” este o stare într-un sistem informatic, care nu este o vulnerabilitate
universală, dar care fie:
Permite unui atacator să realizeze activităţi pentru colectarea de informaţii
despre sistem;
Permite unui atacator să îşi ascundă activităţile (nelegitime);
Include o funcţionalitate care poate fi uşor compromisă;
Este un punct de intrare pe care un atacator îl poate folosi pentru accesarea
sistemului sau a informaţiilor;
Este considerată o problemă din punct de vedere al politicilor (procedurilor) de
folosire ale sistemului informatic.
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna
funcţionare a sistemelor informatice, problema securităţii acestor sisteme devine din ce
în ce mai importantă (Kankanhalli şi colab., 2003).
Stoneburner şi colab. (2001) sugerează bazarea programelor de atenuarea riscului
asociat cu sistemele informatice pe următoarele:
Angajarea activă a managerilor de vârf din cadrul organizaţiilor;
Suportul şi participarea întregului personal;
Competenţa echipei însărcinate cu analiza şi atenuarea riscurilor;
Cooperarea utilizatorilor, care trebuie să respecte procedurile de folosire şi
regulile de securitate;
evaluare continuă a riscurilor.
Riscul de atac electronic variază în funcţie de tipul de organizaţie, potenţialul
pentru vulnerabilităţi, diverşi catalizatori, inhibitori şi amplificatori. Cu toate că riscul de
atac electronic asupra sistemelor informatice nu poate fi total eliminat, o abordare
sistemică şi un set de procese pentru atenuarea riscurilor care consideră vulnerabilităţile
specifice fiecărei situaţii (Austin şi Darby, 2003) pot reduce semnificativ impactul unor
atacuri sau chiar elimina anumite clase de atacuri.
CAPITOLUL 3
METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU
SISTEMELE IT)
A. Zona de aplicabilitate
Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de
securitate pentru sistemele informaţionale electronice şi la conceperea de politici şi
planuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea se
poate face pentru orice nivel de complexitate sau pentru orice dimensiune
corespunzătoare a unui sistem.
B. Obiective
Ca element de decizie pentru zona securităţii, metodologiile evaluării riscului vor
să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitate
specifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru a
furniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generală
care include un număr de etape intermediare. Definiţiile standard ne arată care
elemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă dată
de ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactul
rezultat al evenimentului nefavorabil.
C. Procesul de lucru
Metodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi
poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice.
Oricum, în scopul identificării tuturor sub-elementelor necesare, trebuie luaţi în
considerare cel puţin cinci paşi. Figura 3 prezintă nouă paşi posibili ai unei analize a
riscului.
echipamentelo
Riscul rezultat
Riscul asumat
Probabilitatea
contramăsuri
Ameninţările
Identificarea
ameninţării
Coloana 3
Coloana 1
Coloana 2
Coloana 4
Coloana 5
Coloana 6
Coloana 7
Prioritate
Defecţini
asupra
r
Rând 1 Căderi Medium Grav Critic Absent 4
Comerţ accidentale de
electronic prin tensiune ori
intermediul echipamente
paginilor web defecte
Rând 2 Pierderea Înalt Minor Medium Scăzut 1
Acurateţea confidenţialităţii şi
informaţiilor încrederii datorită
publicate pe pirateriei pe web
web
Rând 3 Pierderea Foarte Serios Medium Scăzut 1
Securitatea dispozitivelor sau scăzut
accesului la a cheilor
resursele necesare
interne ale accesului la
reţelei prin canalele
personal securizate
autorizat din
cadrul reţelelor
externe
Tabelul 1. Tabel cu riscurile asumate
CAPITOLUL 4
MODELAREA ŞI ANALIZA RISCULUI
4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI
n
ALE I (Oi ) Fi
i 1
unde:
O1 ,..., On setul ameninţărilor sistemului
I (Oi ) impactul ameninţării i în dolari
Fi frecvenţa ameninţării i
Deşi ALE nu a fost niciodată un standard, mulţi l-au tratat drept o parte esenţială
a activităţii de realizare a unui model pentru managementul riscului. Abordarea metrică
constă în combinarea celor două componente ale riscului într-un singur număr. Din
păcate, această îmbinare a cantităţilor are dezavantajul că va fi imposibil de distins între
frecvenţele înalte, evenimentele cu impact slab şi frecvenţele joase, evenimentele de
mare impact. În multe situaţii, forma poate fi tolerată, însă mai târziu poate fi catastrofal.
La mijlocul anilor 80, Biroul Naţional de Standarde (acum parte a Institutului
Naţional de Standarde şi Tehnologie - NIST ) şi Centrul Naţional pentru Securitatea
Calculatoarelor (Informaţională) – NCST au făcut cercetări în domeniul modelării
managementului riscului securităţii calculatoarelor (informaţionale). Folosindu-se grupuri
de lucru formate din experţi în domeniul riscului securităţii calculatoarelor, organizaţiile
au contribuit la apariţia unui nou şi dorit domeniu de cercetare. Metodologiile şi
pachetele software de serie (comerciale) rezultate în urma acestui efort, au constituit
prima generaţie de modele de management pentru riscul securităţii calculatoarelor. Din
păcate, la sfârşitul decadei, activitatea cercetătorilor a luat sfârşit. Oricum, munca
acestora a atras atenţia şi a pus bazele evaluării riscului securităţii calculatoarelor. Astfel,
când experţi în securitate, precum Donn Parker, au criticat practica asupra evaluării
riscului, ei au avut o metodologie specifică şi corectă în minte, ce poate fi bine înţeleasă
din lucrările grupurilor NIST/NCSC.
La finalul activităţii grupurilor de lucru, a fost stabilit un cadru de lucru general
pentru managementul riscului securităţii calculatoarelor. Deşi nu a fost niciodată
formalizat ca un standard NIST, acesta reprezintă un rezumat util.
Cadrul de lucru are câteva elemente de bază:
Cerinţe: R R1 ,..., R j
Bunuri: A A1 ,..., Ak
Preocupări de securitate : C C1 ,..., C s
Ameninţări: T T1 ,..., Tm
Măsuri de protecţie: S S1 ,..., S p
Vulnerabilităţi: V V1 ,..., Vq
Rezultate: O O1 ,..., Or
Cadrul de lucru include de asemenea şi trei cantităţi asociate:
Valorile bunurilor: Aval A1val ,..., Akval
Eficacitatea protecţiei: S eff S1eff ,..., S peff
Gravitatea rezultatului: Osev O1sev ,..., Orsev
Un cadru de lucru necesar pentru o evaluare a mai multor cantităţi este un proces
iterativ, aşa cum este prezentat în Fig. 1. La început, este necesară identificarea
cerinţelor de securitate, a bunurilor luate în considerare, a preocupărilor privind
securitatea, ameninţările posibile, vulnerabilităţile şi a măsurilor de protecţie întreprinse.
Apoi, urmează o serie de analize.
Analiza ameninţărilor implică o examinare a ameninţărilor posibile pentru fiecare
bun în parte. Ameninţările pot fi: erori umane, catastrofe naturale, erori neintenţionate,
etc. Analiza vulnerabilităţilor se referă la slăbiciunile în securitate care pot facilita
succesul unui atac asupra bunurilor. Deşi multe acorduri au la bază cadrul de lucru,
rămâne controversată discuţia asupra vulnerabilităţilor care pot reprezenta fie absenţa
unor măsuri de protecţie specifice, fie nişte variabile independente.
Analiza scenariului necesită o evaluare detaliată a bunurilor, preocupărilor privind
securitatea, ameninţărilor şi vulnerabilităţilor, în vederea generării tuturor scenariilor
posibile prin care poate fi compromisă securitatea. Aceste scenarii sunt apoi folosite în
faza de estimare a riscului pentru a evalua rezultatele corespunzătoare şi de a
determina mărimea riscului.
Un test de acceptanţă compară riscul măsurat pentru nişte bunuri date cu cerinţe
stabilite. Sunt luate apoi decizii pentru selecţia măsurilor de protecţie, în vederea
sincronizării între nivelele riscurilor măsurate şi cerute. Întregul proces este apoi repetat
sub un nou regim cu măsuri de protecţie, rezultând noi măsuri de estimare a riscului
pentru fiecare bun. Aceste măsurări ale riscului împreună cu estimările costurilor pentru
protecţie sunt folosite apoi pentru a genera analiza cost-profit pentru fiecare măsură de
protecţie.
Acest cadru general este destul de generic în specificaţiile sale şi în consecinţă,
într-o potenţială aplicaţie. Metodologia poate fi adaptată fie la estimarea riscului
cantitativ, fie a celui calitativ. Analiza scenariului şi activitatea ulterioară de măsurare a
riscului sunt specifice unei estimări calitative. Într-o estimare a riscului cantitativă, cele
două pot fi automat calculate, pe baza valorilor bunurilor, frecvenţei exploatării
vulnerabilităţii şi a probabilităţii unui atac reuşit.
Câteva aplicaţii software, care au fost comercializate la sfârşitul anilor 80 şi
începutul anilor 90, au implementat scheme similare cadrului general. O parte din
aplicaţii, cum ar fi Risk, BDSS, CRAMM şi Buddy System sunt încă disponibile şi astăzi
în diferite stadii de dezvoltare comercială. În ciuda eforturilor celor implicaţi, cadrul
general şi alte aproximări ce au la bază ALE nu au câştigat acceptarea generală, iar
când a fost făcută prima consolidare de către NIST şi NCST, marea parte a activităţii de
modelare a riscului s-a terminat cu ea.
După anii 90 au mai fost doar eforturi sporadice de cercetare a modelelor
riscurilor în securitatea calculatoarelor, incluzând proiectele făcute de companiile
industriale mari pentru evaluarea riscului intern, activitatea în domeniul calculatoarelor
făcută la Laboratoarele Naţionale Sandia şi eforturi variate făcute de consultanţi,
academicieni independenţi specialişti în securitate. Descrieri detaliate ale activităţilor
individuale nu sunt în general destinate publicării. Cea mai mare parte din activitatea din
domeniul calculatoarelor este disponibilă prin mijloace electronice (descărcarea
fişierelor). Câteva publicaţii în domeniu s-au orientat către aceste probleme, dar nu au
adus îmbunătăţiri sau au rezolvat alte provocări fundamentale ale cadrului general.
Modelarea şi simularea pot, la un moment dat, să capete dimensiuni mistice.
Modelele bune sunt capabile să prezică fiabilitatea unui sistem, iar prezicerea viitorului
merită întotdeauna o reverenţă (respect). Din păcate, această reverenţă se transformă
într-o atribuire de mai mare semnificaţie şi capabilitate decât cea garantată (permisă). În
cele din urmă, modelele sunt doar reflecţii ale gândurilor şi observaţiilor umane. Ele nu
rezolvă problemele de la sine şi necesită informaţii de intrare de calitate pentru a se
realiza aşa-zisa prezicere magică. Modelarea, în absenţa unui suport de date adecvat,
nu este de folos nimănui.
Această dependenţă de calitatea datelor a fost, în general, subapreciată sau
ignorată total de cei care s-au ocupat în trecut cu modelele riscului securităţii
informaţionale. Modelele riscului ALE se bazează pe milioane de scenarii, evaluări care
pot şi vor fi realizate. Generaţia ulterioară de aproximări, deşi recunoaşte lipsa unor date
de calitate, nu propune sau încurajează politici care să încerce să rezolve această
problemă, ci preferă să ocolească întregul subiect.
Fără îndoială, modelarea riscului reprezintă un efort important. Aparenta lipsă de
date eficiente, relevante, nu reprezintă o scuză pentru ne-realizarea unui management
al riscului securităţii informaţionale pentru o instituţie. Deciziile referitoare la alocările
resurselor de securitate trebuie obligatoriu făcute. Oricum, datoria (scopul) unui model al
riscului este acela de a informa decizia resurselor prin furnizarea celor mai bune estimări
posibile ale expunerii la risc, eficienţei opţiunii politice şi ale analizei cost-beneficiu.
În ziua de azi, modelele riscului sunt preocupate de întrebarea zadarnică ce se
referă la posibilitatea acoperirii tuturor evenimentelor posibile. De aici, controversele
referitoare la vulnerabilităţi, probabilităţi, frecvenţe, valori şi alte detalii au împiedicat, iar
în multe cazuri, au schimbat complet direcţia eforturilor de luare a deciziilor de
management al riscurilor. În acest capitol, este propus un cadru de lucru analitic de
decizie pentru managementul riscului care ridica multe probleme în trecut, prin devierea
atenţiei de la detaliile interacţiunilor privind securitatea calculatoarelor şi orientarea ei
către decizia managementului riscului.
Costul Costuri
măsurilor suplimentare
de protecţie
Selectorul
măsurilor de Pierderile Beneficiu
protecţie anuale net
aşteptate
Profiturile Profit
suplimentare suplimentar
date de măsurile
de protecţie
Costul Cost
măsurilor de suplimentar
protecţie
Selectorul
măsurilor de Modulul Beneficiu
protecţie pierderilor net
anuale
Profituri Profit
suplimentare suplimentar
date de
măsurile de
protecţie
i 1 j 1
Conceptul de eficienţă a măsurilor de protecţie este necesară pentru a măsura
costurile şi beneficiile diferitelor politici de securitate. Măsura eficienţei corespunzătoare
primei generaţii de metodologii se manifestă în evaluări multiple realizate sub diferite
prevederi de politică.
În Fig.6, eficienţa este modelată explicit sub forma unor factori de reducere
fracţională în frecvenţă şi consecinţe ale evenimentelor grave, Ef şi respective, Ed .
Aceşti factori de reducere sunt relativi la status quo. De ex., dacă Ef(Bi,Sj) = 0.4 pentru i,
j, atunci implementarea măsurilor de securitate Sj va reduce frecvenţa de producere a
evenimentelor grave Bi la 60 la sută din valoarea iniţială. Când sunt implementate
câteva măsuri de protecţie, factorii de reducere sunt aplicaţi cu succes. De ex., dacă
două măsuri de protecţie, care au factorii de reducere Ef(Bi,S1) = 0.4 şi Ef(Bi,S2) = 0.2,
care au fost implementaţi, atunci frecvenţa anuală de producere a evenimentelor grave
Bi vor fi reduse cu 48 la sută din valoarea status quo.
În ultimii ani, una din cele mai importante propoziţii despre valoarea securităţii,
este aceea conform căreia securitatea este văzută la baza creării de noi oportunităţi de
afaceri. Internetul folosit pentru creşterea vânzărilor, extinderea capacităţilor de
comunicare au condus la nevoia unei mai buni securităţi a calculatoarelor.
Pe baza raportului cost-beneficiu, aceste noi oportunităţi pot fi mai mult decât
justificate pentru costurile suplimentare necesare securităţii. Capturarea acestor efecte
în modelul riscului nu este un lucru facil. Modelarea unei afaceri este un lucru destul de
completat. În prima iteraţie a modelului riscului securităţii, este suficientă o simplă
estimare a profiturilor viitoare, într-un interval de nesiguranţă corespunzător. Dacă
analiza ulterioară arată că noile câştiguri sunt de bază pentru decizie, atunci poate fi
încorporat în iteraţiile ulterioare mai mult de un model. Ecuaţia de bază pentru Profiturile
Suplimentare este dată în cele ce urmează:
Addedprofit RS j I k S j ...k 1,2,3,..., l
m
j 1
La variabilele cheie, costul este probabil cel mai rapid cuantificabil. În costurile
pentru măsurile de protecţie sunt incluse iniţial investiţiile în echipamente şi software,
salariile angajaţilor, costuri de întreţinere, etc. Însă, nu toate costurile pot fi estimate uşor.
Măsurile suplimentare de securitate pentru calculatoare pot afecta moralul
angajaţilor, consuma resursele calculatoarelor sau reţelelor şi împiedica bunul mers al
proiectelor, toate acestea conducând la o scădere a productivităţii. La fel ca şi în cazul
Beneficiilor şi Profiturilor Suplimentare, costurile dificil de măsurat trebuie lăsate
iteraţiilor ulterioare din ciclul analizei. Dacă decizia trebuie să se orienteze pe costuri,
atunci trebuie luaţi în considerare alţi factori. Ecuaţia pentru Costurile Suplimentare este
dată în continuare, precum şi ecuaţia completă pentru Beneficiul Net (Net Benefit).
AddedCostk C S j I k S j
m
j 1
NetBenefitk F0 Bi D0 Bi 1 1 E f Bi , S j I k S j 1 Ed Bi , S j I k S j
n m
i 1 j 1
C S j I k S j R S j I k S j
m
j 1
INTRODUCERE
Sectoarele (zonele) cheie ale societăţii moderne, inclusiv cele vitale pentru
securitatea naţională şi pentru funcţionarea esenţială a economiei, industriei depind de
un spectru de interdependenţă ridicată între software-ul de nivel naţional şi internaţional
şi sistemele de control, pentru operarea continuă, fără întreruperi.
Această infrastructură de informaţii stă la baza multor elemente ale infrastructurii
critice (CI) şi de aici, rezultă şi denumirea infrastructură de informaţii critice (CII). CII face
un continuu schimb între noi tipuri de interacţiune cu societăţile, fiind evidentă folosirea
tot mai mare a sistemelor deschise pentru monitorizarea şi controlul operaţiilor CI,
precum şi convergenţa mass-mediei, a tehnologiei informaţiei şi a comunicaţiilor către
informaţii şi comunicaţii integrate (ICT).
Creşterea valorii informaţiei şi disponibilitatea mijloacelor electronice pentru
prelucrarea unui volum din ce în ce mai mare de informaţii, nu fac din informaţii şi
sistemele de informaţii doar bunuri fără preţ, ci şi importante ţinte. Deşi oportunităţile
ICT sunt bine ştiute şi exploatate, consecinţele legăturii CI cu CII nu sunt suficient
înţelese. Sistemele de informaţii sunt expuse defecţiunilor, sunt ţinte atractive pentru
atacuri răuvoitoare şi sunt susceptibile la efectele distructive în cascadă. Aceste noi
tipuri de riscuri şi vulnerabilităţi au devenit o problemă de securitate majoră la nivel
mondial.
Ca subiect de cercetare, un număr de aspecte (probleme) indică o nevoie urgentă de
a asigura o protecţie continuă a CII. Aceste aspecte de referă la:
- legăturile în CI;
- consecinţele interdependenţelor între diferitele subsisteme ale CI;
- posibile efecte distructive în cascadă ale defecţiunilor;
- noi situaţii de urgenţă cu apariţia unor noi vulnerabilităţi insuficient înţelese.
În ultimii ani, multe ţări au făcut paşi către o mai bună înţelegere a vulnerabilităţilor şi
ameninţărilor ce afectează CII şi au întocmit planuri cu soluţii posibile pentru protecţia
acestor bunuri critice (protecţia infrastructurii de informaţii critice, CIIP). Toate aceste
eforturi de protecţie la nivel naţional, reprezintă subiectul care va fi dezbătut în
continuare.
Este de dorit (dar foarte greu de obţinut) să se facă o distincţie între cei doi termeni
CIP (protecţia infrastructurii critice) şi CIIP (protecţia infrastructurii de informaţii critice)
În publicaţiile oficiale, cei doi termeni sunt folosiţi inconsistent. De cele mai multe ori
rămâne neclar dacă articolele de specialitate se referă la CIP sau CIIP, din moment ce
ambele concepte sunt în mod frecvent schimbate într-o manieră ne-sistematică.
Mai curând, folosirea în paralel a celor doi termeni reflectă stadiul discuţiilor politice
din ţările care au abordat aceste probleme.
Oricum, există cel puţin o caracteristică pentru a face distincţia între cele două
concepte. În timp ce CIP cuprinde toate sectoarele critice ale infrastructurii unei ţări, CIIP
este doar un subset al unui efort de protecţie detaliată, care se orientează către
infrastructura informaţiilor critice.
Scopul pe care îl urmărim este acela de a furniza o privire de ansamblu asupra
practicilor de protecţie ale CII ţări cum ar fi: Austria, Canada, Germania, Olanda, Suedia,
Norvegia, Elveţia şi Statele Unite. Analiza pe care o efectuăm se ghidează după două
întrebări:
- Ce prevederi naţionale referitoare la protecţia infrastructurii de informaţii critice
există?
- Ce metode şi modele sunt folosite în ţările respective pentru a analiza şi evalua
diferite aspecte ale infrastructurii de informaţii critice?
INTRODUCERE
Acest capitol se referă la modele şi metodele utilizate pentru analiza CII pentru un
nivel generic. Sunt abordate următoarele modele:
Aria de aplicabilitate
Tehnologia IT – modele de securitate care să asigure securitatea la nivelul
sistemelor tehnice.
Obiective
Predominant, această categorie de modele acoperă măsurile aplicate local cu
precădere în domeniul afacerilor, agenţiilor sau militar în contextul unei organizaţii.
Modelele au la bază idea conform căreia o protecţie suficientă la nivelul
sistemului tehnic elimină ameninţările pentru sistemul infrastructurilor critice. Manualele
de protecţie tehnică recomandă măsuri de securitate pentru anumite sisteme IT.
Scopul acestor recomandări este acela de a se asigura un nivel de securitate
pentru sistemele IT, cât mai convenabil şi adecvat pentru satisfacerea cerinţelor de
protecţie, de la cele normale, la cele mai ridicate nivele de protecţie. Alte recomandări
furnizează modele pentru proiectare, dezvoltare sau implementarea de sisteme IT
sigure, care să ia în considerare cel puţin patru obiective de securitate.
Institutul Naţional de Standarde şi Tehnologie (NIST) furnizează un număr de
ghiduri şi recomandări pentru securitatea tehnologiei informaţiei. Modelele tehnice
propuse furnizează o descriere a elementelor de bază tehnice care subliniază
tehnologia securităţii informaţiei şi intenţionează să fie modele care trebuie să fie luate
în considerare la proiectarea şi dezvoltarea capabilităţilor securităţii tehnice.
Manualul pentru protecţia de bază în IT conţine prevederi de securitate standard,
prevederi referitoare la implementare şi elemente ajutătoare pentru numeroase
configuraţii IT corespunzătoare acestor tipuri de sisteme. Aceste prevederi urmăresc să
aducă soluţii rapide pentru problemele de securitate comune, de a ajuta la creşterea
nivelului de securitate pentru sistemele IT şi de a simplifica apariţia politicilor de
securitate IT.
Zona de aplicabilitate
Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de
securitate pentru sistemele informaţionale electronice şi la conceperea de politici şi
planuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea se
poate face pentru orice nivel de complexitate sau pentru orice dimensiune
corespunzătoare a unui sistem.
Obiective
Ca element de decizie pentru zona securităţii, metodologiile evaluării riscului vor
să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitate
specifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru a
furniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generală
care include un număr de etape intermediare. Definiţiile standard ne arată care
elemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă dată
de ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactul
rezultat al evenimentului nefavorabil.
Procesul de lucru
Metodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi
poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice.
Oricum, în scopul identificării tuturor sub-elementelor necesare, trebuie luaţi în
considerare cel puţin cinci paşi. Figura 1 prezintă nouă paşi posibili ai unei analize a
riscului.
Caracterizarea Identificarea Identificarea Analiza
sistemului ameniţărilor vulnerabilităţilor controlului
echipamentelo
Riscul rezultat
Riscul asumat
Probabilitatea
contramăsuri
Ameninţările
Identificarea
Co-loana 3
ameninţării
Coloana 1
Coloana 2
Coloana 4
Coloana 5
Coloana 6
Coloana 7
Prioritate
Defecţini
asupra
Zona de aplicabilitate
IRAM este modelul analizei riscului unei infrastructuri probabile şi furnizează o
metodă analitică pentru cuantificarea (determinarea cantitativă) a riscului şi un proces
sistematic pentru conducerea modelării, evaluării riscului şi managementul
componentelor unei infrastructuri specifice sau al unor sectoare întregi dintr-o
infrastructură (de exemplu militară).
Obiective
IRAM este o abordare complexă a modelului de interconectare şi
interdependenţă a unui sistem cu infrastructură. Se pune accent pe aspectele de
modelare şi evaluare şi furnizează metode de calculare a măsurilor critice şi relevante
ale eficacităţii necesare pentru alocarea câtorva resurse pentru îmbunătăţirea securităţii
sistemului.
Datorită modelării văzute ca un risc extrem, IRAM furnizează activităţi ale
sistemului sub limita normalului, drept activităţi neobişnuite.
Procesul de lucru
Procesul IRAM constă în patru faze, arătate în Fig. 2.
Infrastructura
Temporar Politic
Economic Ameninţări
Domeniul de aplicaţie
Prin abordarea intrărilor-ieşirilor dinamice din sistemele cu infrastructură
complexă se acordă o atenţie deosebită interdependenţelor şi efectelor la schimbarea
componentelor.
Obiective
Scopul acestui model constă în îmbunătăţirea înţelegerii operativităţii
infrastructurilor critice în toate condiţiile posibile pentru a putea prevedea efectul
înlocuirii unui segment cu altul. Acest lucru se realizează atât prin explorarea izolată a
fiecărei infrastructuri cât şi prin analizarea structurilor interconectate între ele.
Modelul original al intrărilor-ieşirilor constituie un cadru pentru studierea
dezechilibrelor unei economii. Modelul lui Leontief presupune că intrările de bunuri cât
şi de resurse necesare pentru producerea oricăror bunuri sunt proporţionale cu ieşirile
de bunuri. În plus, ieşirile oricăror bunuri sunt folosite fie ca intrări pentru producţie, fie
pentru satisfacerea cererii de consum.
Modelul adaptat consideră un sistem format din infrastructuri interconectate
complexe în care ieşirile reprezintă riscul neoperativităţii lor, neoperativitate care poate fi
declanşată de apariţia a uneia sau a mai multor erori. Întreruperi datorate complexităţii
sistemelor, accidentelor, dezastrelor naturale sau actelor teroriste. Intrările în sistem pot
eşua datorită accidentelor, dezastrelor naturale sau actelor teroriste. (Fig. 4)
Intrare x
Intrare 1 Ieşire 1
Intrare 2 Ieşire 2
Infrastructura
Ieşire n
Intrare n
Metoda de lucru
Unitatea folosită de modelul intrărilor-ieşirilor (Leontief) spre exemplu pentru
economie o reprezintă dolarul. Modelul cu infrastructură adaptată foloseşte unităţi de
risc al neoperativităţii, unde riscul de neoperativitate este măsurat ca probabilitate şi
grad (procente) al neoperativităţii sistemului.
La aplicarea modelului pentru orice sistem cu infrastructură specifică, o primă
sarcină o reprezintă definirea, pentru fiecare infrastructură, a neoperativităţii şi a
riscurilor asociate în aşa fel încât să descrie modul de comportare al infrastructurii cât
mai precis posibil.
În primul rând, trebuie definită neoperativitatea pentru fiecare dintre subsisteme,
în aşa fel încât să cuprindă esenţa şi caracteristicile tuturor subsistemelor
corespunzătoare obiectivelor problemei pe care o reprezintă. Neoperativitatea unei
infrastructuri poate fi definită folosind diferite criterii, de exemplu: factori geografici,
funcţionali, temporali sau politici. Fiecare poate justifica elaborarea unui model diferit de
tip Leontief, model cu dimensiuni specifice.
După definirea clară a neoperativităţii, următorul pas constă în determinarea
matricii de echilibru a lui Leontif. Problema alocării resurselor este introdusă în modelul
economic de Leontief ca singur obiectiv, avînd la bază modelul programării liniare, în
care produsul naţional brut este maximizat ţinînd cont de constrângerile impuse de
limitele resurselor. În modelul lui Leontief cu infrastructură liniară pot fi analizate multiple
obiective. Un exemplu constă în minimizarea neoperativităţii pentru mai mult de o
infrastructură. Următoarele întrebări sunt: cum putem obţine echilibrul sau cum ar
reacţiona sistemul la o perturbare iniţială. Aceasta este totodată şi întrebarea legată de
evoluţia în timp a infrastructurii.
MODELE SECTORIALE ŞI ZONALE
Domeniul de aplicaţie
Modelele sectoriale şi zonale analizează părţi din infrastructura sistemelor sau
toate elementele critice din cadrul unei infrastructuri şi relaţiile dintre acestea şi adesea
sunt folosite ca ilustrare a interdependenţelor dintre elemente.
Obiective
Aceste modele sunt folosite în principal pentru ilustrarea modului de organizare al
infrastructurilor critice sau sunt utilizate ca bază pentru paşii suplimentari necesari
determinării interdependenţelor. Aceste utilizări diferă de la ţară la ţară.
Modelele sectoriale simple nu scalează în mod diferit sectoarele după importanţa
lor, dar pot fi arătate interdependenţele dintre sectoare.
Modelul canadian analizează responsabilităţile sectoriale la nivel internaţional,
federal, provincial, municipal şi la nivelul sectorului privat. Aceste zone de
responsabilitate sunt constituite pe trei niveluri: (1) nivelul operaţiilor, (2) nivelul
aplicaţiilor tehnice şi nivelul de control. Întregul sistem, al rândul său se bazează pe
două nivele de bază.
Modelul german este centrat pe infrastructurile informaţiilor şi a tehnologiei
comunicaţiilor şi organizează segmentele analizate în ordinea importanţei lor. A baza
piramidei se situează sursele de putere iar în vârf valoarea adăugată a serviciilor care
depinde de disponibilitatea şi integritatea nivelelor inferioare. Aceasta indică o
dependenţă verticală, plus nivelul informaţiilor orizontale şi informaţiile referitoare la
servicii leagă împreună un public diferit şi actori privaţi, individuali şi societatea ca un tot.
ANALIZA SECTORIALĂ
Domeniul de aplicaţie
Analiza sectorială contribuie la înţelegerea funcţionării sectoarelor singulare prin
sublinierea diferitelor aspecte importante ale fiecărui sector.
Obiective
Sunt mai multe aspecte care pot fi analizate la sectoarele individuale. Cercetătorii
germani au dezvoltat patru modele cu diferite puncte de vedere pentru ordonarea şi
clarificarea rolului diferiţilor participanţi (actori) precum şi diversitatea, interdependenţele
şi vulnerabilităţile existente. Pentru înţelegerea sectorului investigat, alte cercetări
(Australia) iau în considerare în principal mediul economic şi trăsăturile esenţiale ale
informaţiilor industriale cum ar fi tendinţele, punctele limită şi vulnerabile, impactul
mediului exterior şi rolul forţelor competitive (concurenţa). Ca metode de lucru sunt
folosite PEST, cercetările lui Porter şi cercetările SWOT.
Intrări posibile
Ameninţări
Putere de tranzacţie
Înlocuitori
Analizele de mediu
Oportunităţi Ameninţări
(1) Oportunităţi 1 (1) Ameninţări 1
(2) Oportunităţi 2 (2) Ameninţări 2
(n) Oportunităţi n (n) Ameninţări n
Tărie SO Strategii ST Strategii
(1) Tărie 1 Exemple: Exemple:
(2) Tărie 2 S101: Strategie specifică S1S3T2: Strategie specifică
Situaţii (n) Tărie n S1SnO1: Strategie specifică ...
analizate ...
Slăbiciune WO Strategii WT Strategii
(1) Slăbiciune 1 Exemple: Exemple:
(2) Slăbiciune 2 W10102: Strategie W2T2: Strategie specifică
(n) Slăbiciune n specifică ...
...
Tabelul 3. Foaie de lucru tipică SWOT.
Domeniul de aplicaţie
Analiza proceselor şi a tehnologiei contribuie la identificarea dependenţelor
critice din infrastructurile sectoarelor în infrastructura informaţională.
Obiective
Această analiză evaluează diferite paliere ale unui sector prin examinarea
dependenţelor din informaţii şi tehnologia comunicaţiilor dintr-un sector critic şi apoi
traversează mai multe sectoare prin evidenţierea funcţiilor esenţiale, a componentelor
de bază şi a interdependenţelor acestora.
Modul de lucru
Analiza constă dintr-un proces din şase paşi. (Fig.6)
Paşii 1-4 sunt realizaţi pentru fiecare sector definit ca sector critic. După ce
funcţiile de bază şi procesele esenţiale au fost identificate pentru fiecare sector, paşii 5
şi 6 contribuie la definirea dependenţelor din alte sectoare şi la evaluarea modului de
realizare a dependenţelor.
Domeniul de aplicaţie
Această analiză se raportează la şase dimensiuni ale interdependenţelor
infrastructurii.
Obiective
Analiza dimensională a interdependenţelor este o descriere aproximativă pentru
identificarea uşoară, înţelegerea şi analiza acestora. Ea furnizează baza pentru
înţelegerea unui set de interdependente ortogonale în sistemul metric. Vizează un
număr mare de factori şi condiţii de sistem reprezentaţi şi descrişi în termenii celor şase
Interdependenţa dimensiunilor
i 0
S n 1 S n
rn (9)
S n 1
Urmare a relaţiilor de mai sus, putem scrie că:
n
S n 1 ri
i 1
n
F n 1 1 ri (10)
i 1
n
p n rn 1 ri
i 1
Vom defini durata medie pentru viaţa unui echipament informatic fără incidente
de securitate, astfel:
a) în cazul continuu
E tdF t
2 (11)
D 2 t E dF t
b) în cazul discret
E npn S n
n 1 n 0
2 (12)
D 2 n 2 p n S n
n 1 n 1
Vom presupune că duratele între două incidente de securitate sunt v.a.
independente şi identic repartizate. În această situaţie, momentul apariţiei celui de-al n-
lea incident este:
n
n i (13)
i 1
Se observă că:
P1 n P1 n p n
k (14)
P n k P n 1 i P n k i , n 2, k N
i 0
2. Politica B.
Vom studia cazul în care măsurile de securitate sunt luate periodic şi suplimentar
la apariţia unui incident de securitate.
Vom nota cu:
- a: costul implicat de măsurile de securitate luate imediat la apariţia unui incident;
- b: costul implicat de măsurile periodice de securitate.
Vom nota cu C2 costul mediu determinat de implementarea politicii de
securitate B în intervalul de timp 0, .
De asemenea, vom nota cu:
- H funcţia de reînnoire (având semnificaţia numărului mediu al măsurilor de
securitate luate în intervalul de timp 0, );
- h densitatea de reînnoire asociată funcţiei de reînnoire a funcţiei H .
Din teoria matematică a proceselor de reînnoire avem următorul rezultat:
a H b
C2 (31)
Vom pune condiţia de minimizare a costului măsurilor de securitate şi anume:
(C2 ) 0 (32)
rezultă că:
h H
b
(33)
a
Vom nota cu ~ soluţia ecuaţiei de mai sus şi o vom înlocui în relaţia prin care am
definit costul, rezultând următoarea relaţie:
C2 ~ a h~ (34)
Interpretarea acestui rezultat ne conduce la următoarele observaţie:
1. minimizarea costurilor măsurilor de securitate prin aplicarea politicii B depinde în
cea mai mare măsură de costurile rezultate la apariţia incidentului de securitate.