Analiza Si Modelarea Riscului

ANALIZA RISCULUI ÎN SISTEMELE INFORMATICE ŞI
DE COMUNICAŢII
Bucureşti
2 0 -
- 2005
CUPRINS
CAPITOLUL 1 ________________________________________________________________ 3
PROBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEA INFORMATICĂ
– SOCIETATEA CUNOAŞTERII ________________________________________________ 3
1.1. INTRODUCERE ____________________________________________________________3
1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE ÎN
SOCIETATEA INFORMAŢIONALĂ – SOCIETATEA CUNOAŞTERII _____________________3
1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELOR
INFORMATICE ŞI DE COMUNICAŢII ________________________________________________8
CAPITOLUL2 _______________________________________________________________ 12
RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR INFORMATICE ________ 12
2.1. INTRODUCERE ______________________________________________________________12
2.2. RISCUL DE ATAC ELECTRONIC ______________________________________________12
2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI ______________________________14
2.4. ANALIZA DE RISC ___________________________________________________________15
2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI _________________________________17
A. Ameninţările fundamentale __________________________________________________________ 18
B. Ameninţări care facilitează __________________________________________________________ 19
C. Ameninţări indirecte ________________________________________________________________ 22
CAPITOLUL 3 _______________________________________________________________ 24
METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU SISTEMELE IT) 24
CAPITOLUL 4 _______________________________________________________________ 27
MODELAREA ŞI ANALIZA RISCULUI _________________________________________ 27
4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI __________________________27
4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR _____29
4.3. MODELAREA DECIZIEI ______________________________________________________30
4.4. DESCRIEREA MODELULUI RISCULUI SECURITĂŢII CALCULATOARELOR ______33
4.5. TEHNICILE DE ANALIZĂ______________________________________________________37
REFERINŢE BIBLIOGRAFICE ________________________________________________ 40
ANEXA 1 ___________________________________________________________________ 42
MODELE ŞI METODE PENTRU ANALIZA INFRASTRUCTURII DE INFORMAŢII
CRITICE ____________________________________________________________________ 42
EXEMPLU DE MODELARE MATEMATICA A RISCURILOR INCIDENTELOR DE
SECURITATE CORELATE CU OPTIMIZAREA COSTURILOR ASOCIATE _________ 59
CAPITOLUL 1
PROBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEA
INFORMATICĂ – SOCIETATEA CUNOAŞTERII
1.1. INTRODUCERE
Societatea românească se află în mijlocul unor profunde transformări politice,

economice, sociale şi culturale. Acest ansamblu de transformări afectează viaţa
fiecăruia dintre noi.
Societatea Informatică – Societatea Cunoaşterii va depinde cu siguranţă de
performanţele infrastructurilor critice ale economiei româneşti ex. sistemele de
producere, transport şi distribuţie ale energiei, sistemele de telecomunicaţie, bănci,
sistemele de transport aerian, naval, pe cale ferată şi pe cale rutieră, care vor putea fi tot
mai mult accesate din interiorul graniţelor naţionale, dar şi din afara acestora.
Societatea informatică – societatea cunoaşterii redefineşte problematica şi
doctrina de apărare naţională; aspectele economice nu vor fi cele doar strict legate de
business şi / sau de afaceri. Securitatea infrastructurilor critice ale societăţii româneşti
vor trebui asigurate la un înalt nivel de complexitate, înţelegere şi acţiune.
“Cunoaşterea”, ca atare, va deveni o “armă” de apărare împotriva riscurilor, ale
noilor vulnerabilităţi ce vor apare cu siguranţă în societatea deceniilor viitoare. Prin
vulnerabilitate se înţelege identificarea unui ansamblu de evenimente externe sistemelor
tehnice care pun în pericol existenţa infrastructurilor tehnice, ale sistemelor informatice,
cu precădere, şi reprezintă elemente de iniţiere în cadrul analizelor de risc specializate,
cu luarea în considerare a probabilităţilor apariţiei elementelor de hazard şi consecinţele
negative ale propagării dezastrelor. Ceea ce se numesc astăzi tot mai des pericole
cibernetice (cyberthreats) vor deveni mai prezente în etapele noi de tranziţie către o
societate informatică – societate a cunoaşterii.
La sfârşitul anilor ’80, un diplomat român în una din ţările nordice declară cu
mândrie patriotică: “scoate din priză calculatoarele din societatea occidentală şi aceasta
va fi pierdută. Noi (românii) nu avem nevoie de o societate informatică, pentru a fi
aşadar vulnerabili”.
În etapa nouă politică, economică şi culturală în care se află România, este
evident că lucrurile s-au inversat. Un diplomat român astăzi va afirma cu siguranţă că
“fără a fi cuplată la Internet, fără o cultură informatică minimă, societatea românească,
întreaga ei structură economico-politică şi culturală nu va mai fi nicidecum şi nicicând
compatibilă cu noile structuri euro-atlantice”.
1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE

ÎN SOCIETATEA INFORMAŢIONALĂ – SOCIETATEA CUNOAŞTERII
Cunoaşterea, şi managementul acesteia, au devenit resursa principală a

societăţilor moderne actuale. Firme de mare reputaţie internaţională, înainte cu câţiva
ani erau producătoare de echipamente energetice de mare performanţă ca de exemplu
firma elveţiano-suedeză ABB, sau firma Sultzer. Astăzi ele se declară knowledge
management companies (companii care procesează, coordonează şi conduc o micro
economie bazată pe cunoştinţe).
Schimbările aşteptate în viitor, de la o societate bazată eminamente pe resurse
materiale la o societate a utilizării resurselor inteligente care se profilează deja astăzi,
conduce la integrarea pe scară largă a prelucrării şi managementul cunoştinţelor şi a
informaţiei. Aceasta este o schimbare structurală în condiţiile de globalizare, acces la
Internet, etc.
În terminologia adoptată recent, infrastructurile critice sunt definite prin:
 Structurile informatice şi de comunicaţie;
 Băncile şi sistemul financiar ale unei ţări;
 Sistemele de energie, incluzând cele de producere şi transport ale electricităţii,
ale petrolului şi ale gazului natural;
 Structuri de distribuţie fizică ale resurselor ex.: sistemele de transport feroviare,
rutiere, navale, aeriene;
 Serviciile vitale suport ale activităţilor umane (sanitare, apărarea civilă, poliţia,
armata).
Vulnerabilitatea acestor sectoare, în condiţiile accentuării introducerii în
managementul societăţii, a informaticii şi cunoaşterii (information and knowledge)
trebuie re-evaluată şi considerată în toată amplitudinea ei.
Avantajul României este acela că va proiecta şi realiza aceste infrastructuri suport
ale prelucrării şi managementul informaţiilor în condiţii în care deja alte societăţi
(societatea occidentală) se confruntă deja cu definirea şi managementul riscurilor
specifice; aceasta are loc pe măsura asimilării de noi structuri tehnice care implică o
complexitate generalizată a tehnologiei, reţelelor, sistemelor tehnologice suport.
Căderea, pentru numai o oră, a sistemului de calculatoare ale bursei din New
York - SUA, a creat în iunie 2001 panică şi confuzie mondială.
România, ca viitor partener în structurile economice globale şi euro – atlantice, va
trebui cu precădere să-şi definească o strategie suport de identificare a vulnerabilităţilor
şi minimizarea riscurilor infrastructurilor ei critice.
În perspectiva accentuării, în România, a introducerii şi promovării elementelor
societăţii informatice - societatea cunoaşterii, o serie de aspecte noi trebuie identificate
şi controlate:
 Crescânda dependenţă faţă de infrastructurile critice ale societăţii: în perspectivă,
dependenţa fiecăruia dintre noi va fi tot mai mare faţă de sistemele de producere,
distribuţie şi transport ale energiei electrice, sistemele de comunicaţie şi a
sistemelor de calculatoare;
 Va avea loc o creştere a vulnerabilităţii sistemelor infrastructurilor critice în
etapele de trecere accentuată în România la societatea informatică – societatea
cunoaşterii;
 Se vor diversifica posibilităţile de provocare a unor daune clasice (ex.: riscurile
tehnologice provocate de sisteme active (centrale nuclearo-electrice, chimice)
sau de sisteme tehnice aşa numite pasive (ex. baraje ale centralelor
hidroelectrice);
 Vor apare noi pericole de tip şi natură cibernetică: extinderea reţelelor de
calculatoare, accesul la un computer personal (PC) şi o conexiune telefonică
clasică poate provoca intenţionat daune însemnate;
 Complexitatea sistemelor tehnice şi a interdependenţelor acestora, precum şi
posibila / probabila interacţiune cu catastrofele naturale vor reprezenta noi
elemente de vulnerabilitate pentru infrastructurile critice ale societăţii.
Spectrul pericolelor se va extinde şi poate, în principiu, să includă:

 Evenimente naturale şi accidente tehnice ce pot provoca daune materiale,
ecologice şi umane importante;
 Erori umane şi omisiuni, care prin suportul fizic al societăţii informatice –
societatea cunoaşterii, poate induce efecte transversale negative în numeroasele
componente ale infrastructurilor critice. O eroare umană provocată în sistemul de
distribuţie a energiei electrice, induce nealimentarea cu energie a sistemului de
transport feroviar privind transportul substanţelor periculoase. Hackerii, cei care
din numeroase motive personale sau sociale, aflaţi pe teritoriul României sau în
afara acesteia, pot provoca intenţionat discontinuităţi grave ale funcţionării
infrastructurii informatice ale viitoarei societăţi informatice - societate a cunoaşterii;
 Activităţi criminale;
 Spionaj industrial;
 Terorism;
 Război informatic.
Ceea ce reprezintă astăzi vulnerabilitate şi risc pentru societăţile occidentale
avansate, ele vor reprezenta elemente de input negativ şi stres pentru societatea
românească, ca societate informatică – societate a cunoştinţelor. Bunăoară, trebuie
depuse de la început eforturi pentru cunoaşterea, localizarea şi minimizarea încă de la
început a efectelor potenţial negative ce pot apare în societatea informatică – societate
a cunoaşterii, infrastructurile critice ale societăţii. În etapa actuală de proiectare a
structurilor societăţii informatice – societate a cunoaşterii, trebuie accentuate
următoarele aspecte:
 Crearea unei culturi de securitate (safety culture) la nivelul publicului, specialiştilor,
managerilor şi politicienilor. Noi legi trebuie adoptate şi promovate pe măsură ce
societatea informatică – societate a cunoaşterii demarează ca un proces continuu
şi ireversibil;
 Asigurarea unor infrastructuri manageriale corespunzătoare, diseminate la toate
nivelurile şi adaptate gradual la necesităţile societăţii;
 Elaborarea unui sistem de legi specifice protecţiei infrastructurilor critice, în
consens cu legislaţia internaţională şi Europeană;
 Elaborarea unui program de cercetare ştiinţifică şi dezvoltare care să asigure
progresul în cunoaşterea şi managementul complexităţii şi interacţiunilor în cadrul
infrastructurilor critice ale societăţii informatice – societatea cunoaşterii.
Necesitatea creării unui program de conştientizare şi de educaţie pentru a face
faţă cerinţelor generate de promovarea societăţii informatice – societatea cunoaşterii
este un alt aspect ce trebuie considerat cu atenţie. În acest sens, este de remarcat
faptul că promovarea societăţii informatice – societatea cunoaşterii presupune un amplu
program de educare, de înţelegere a dimensiunilor promovării procesului de a naviga
continuu spre realizarea acestor deziderate ale societăţii informatice – societate a
cunoaşterii.
Industria privată sau cea cu participare publică are sarcina de a coopera şi de a
schimba informaţii în vederea asigurării funcţionalităţii, în condiţii de maximă securitate a
infrastructurilor critice.
În orice societate, dar cu precădere în societatea informatică - societate a
cunoaşterii, infrastructurile critice pot fi caracterizate ca acelea care asigură “linia vieţii”
(lifelines infrastructures), de care societatea contemporană este astăzi pe deplin
dependentă.
În societatea informatică – societatea cunoaşterii nu mai există frontiere, în
sensul clasic al acestei accepţiuni. Infrastructurile critice, linii ale vieţii, sunt expuse la noi
tipuri de vulnerabilitate – vulnerabilităţi cibernetice – şi noi pericole, pericole cibernetice.
Modul de abordare al vulnerabilităţilor şi riscurilor societăţii informatice – societate
a cunoaşterii, trebuie să adopte noile dimensiuni cibernetice specifice acestora. Acestea
sunt deja concluzii pe care şi le-au asumat şi recentele studii cu rezonanţă în SUA şi
Europa Occidentală. Se menţionează în aceste studii că “ceea ce este extrem de
important este de a recunoaşte că atât deţinătorii cât şi cei ce operează infrastructurile
informatice sunt astăzi în prima linie în ceea ce priveşte efortul pentru asigurarea
securităţii acestora. Aceştia sunt, în primul rând, cei mai vulnerabili la atacurile
cibernetice. Şi această vulnerabilitate are influenţe negative asupra securităţii naţionale,
competitivitatea economică globală şi a bunăstării la nivel naţional.”
Societatea informatică - societatea cunoaşterii implică adoptarea şi negocierea
unei noi geografii informatice, în care graniţele sunt irelevante şi distanţele geografice
fără sens, unde inamicul potenţial poate “demola” sistemele vitale ale societăţii fără nici
un act de prezenţă sau agresiune aşa numită militară.
Pe măsură ce vom face eforturi pentru a atinge scopurile şi avantajele societăţii
informatice - societatea cunoaşterii, în paralel trebuie să avem în vedere că trebuie
proiectate structuri şi reţele de conducere în societatea informatică – societatea
cunoaşterii, capabile să răspundă noii geografii a vulnerabilităţii şi riscurilor
infrastructurilor critice din România.
Înainte de a atinge stadiile societăţii informatice – societăţii cunoaşterii, România
va trebui să gospodărească inteligent şi eficace ansamblul infrastructurilor critice
existente, cu vârsta lor tehnologică, gradul lor de întreţinere. Aceasta nu este o iluzie
sau o simplă ipoteză de lucru, ci un deziderat extrem de serios şi din perspectiva în care
forma de proprietate a acestora suferă profunde schimbări. Apoi integrarea dinamică a
infrastructurilor existente cu cele specifice societăţii informatice – societatea cunoaşterii
va presupune recunoaşterea şi managementul unor vulnerabilităţi specifice.
Analizele de risc şi vulnerabilitate pentru aceste categorii de sisteme, evoluţia lor
în etape de tranziţie, ţinând cont de gradul de educaţie şi pregătire pentru
managementul sistemelor complexe, vor avea un rol extrem de important în deceniul
viitor.
O concluzie posibilă în etapa de demarare a dezideratelor societăţii informatice –
societatea cunoaşterii este aceea că analiza de vulnerabilitate şi risc trebuie considerate
cu precădere. Se afirma recent că “…a aştepta apariţia dezastrelor este o strategie
periculoasă. Acum este timpul pentru a acţiona în vederea protejării viitorului nostru”.
În noua geografie a riscurilor generate de existenţa infrastructurilor critice în
cadrul societăţii informatice – societatea cunoaşterii este necesar să învăţăm să gândim
diferit asupra operabilităţii conceptelor de vulnerabilitate, siguranţă, securitate şi risc.
Referitor la definirea direcţiilor de construcţie şi coordonare a eforturilor societale
pentru societatea informatică – societatea cunoaşterii, o serie de aspecte se vor
evidenţia în continuare:
 Se impune cu necesitate schimbul reciproc de informaţii, date şi cunoştinţe
referitor la vulnerabilitatea diferitelor sisteme de infrastructuri critice, între Guvern
şi sectoarele implicate, transversal între sectoare distincte în cadrul conceptului
de infrastructuri critice, în condiţiile societăţii informatice – societatea cunoaşterii
 Este necesar să se construiască în cadrul societăţii informatice – societatea
cunoaşterii, un sistem de responsabilităţi care să garanteze cooperarea între
diferitele grupuri active în funcţionarea infrastructurilor critice
 Protecţia infrastructurilor impune construirea de capabilităţi integrate în cadrul
diverselor instituţii în structura generală a societăţii în România
 Este necesară realizarea unei culturi de securitate (safety culture)
corespunzătoare
 Sistemul de legi ale societăţii informatice – societatea cunoaşterii trebuie să ia în
considerare potenţialul de impact al pericolelor cibernetice şi reglementate în mod
corespunzător
 Se impune iniţierea şi coordonarea adecvată a unor activităţi de cercetare
ştiinţifică care să adreseze problematica vulnerabilităţii şi securităţii
infrastructurilor critice în cadrul conceptului de societate informatică – societatea
cunoaşterii.
În legătură cu realizarea unor studii practice care să adreseze problematica
vulnerabilităţii şi riscului infrastructurilor critice se impune, ca în condiţiile României, să
se:
 Promoveze construirea unor bănci de date care să colecteze şi prelucreze date
specifice infrastructurilor critice.
 Construirea de bănci de cunoştinţe care să înglobeze cea mai bună practică (best
practice) privind proiectarea şi funcţionarea infrastructurilor critice în lume şi în
România, în special.
 Promovarea unor programe de învăţământ la nivel universitar şi postuniversitar
pentru a face faţă nevoilor specifice analizei vulnerabilităţii şi riscului
infrastructurilor critice ale societăţii informatice – societatea cunoaşterii din
România.
 Instituirea în cadrul structurii Academiei Române a unui grup de lucru, comisie
sau task force, pentru o activitate de cercetare interdisciplinară pe problematica
vulnerabilităţii şi riscului sistemelor complexe, în special al infrastructurilor critice
şi impactul lor la nivel naţional.
 Se va impune cu siguranţă adoptarea unei terminologii unitare în acest domeniu
 Realizarea unui parteneriat la nivel naţional între domeniul public şi cel privat care
să asigure un nivel acceptabil al securităţii infrastructurilor critice în cadrul
societăţii informatice – societatea cunoaşterii, fără să afecteze operabilitatea
funcţiilor vitale ale economiei naţionale din România.
 Promovarea în toate etapele ciclului de viaţă al infrastructurilor critice ale
societăţii informatice – societatea cunoaşterii a studiilor şi analizei de risc,
promovând cea mai bună practică (best practice) şi adoptarea unor criterii de risc
cu largă acceptabilitate socială (ex. principiul ALARA –As Low As Reasonable
Acceptable).
 Coordonarea în cadrul sistemului de legi din România a introducerii unor
prevederi care să conducă la descurajarea atacurilor critice asupra
infrastructurilor critice, dar şi includerea de elemente legislative care să
încurajeze soluţii de tip risc-beneficiu privind proiectarea, realizarea şi
funcţionarea operativă a infrastructurilor critice, în condiţiile creşterii complexităţii
şi a dependenţelor acestora.
 Promovarea, susţinerea şi realizarea în practică a unui ansamblu de măsuri
specifice creării unei conştientizări a acţiunilor în caz de urgenţă (emergency
awareness) care împreună cu cele ale culturii de securitate (safety culture) să
depăşească momentele posibile de criză în funcţionarea infrastructurilor critice
ale societăţii informatice – societatea cunoaşterii.
 Realizarea unor schimburi de informaţii şi experienţă internaţională prin crearea şi
de societăţi / fundaţii în România care să disemineze cea mai bună practică
privind asigurarea continuităţii operabilităţii infrastructurilor critice (ex. Fundaţia
Infosurance în Elveţia).
Reţelele de calculatoare sunt în general structuri deschise la care se pot conecta
un număr mare şi variat de componente. Complexitatea arhitecturală şi distribuţia
topologică a reţelelor conduce la o lărgire necontrolată a cercului utilizatorilor cu acces
nemijlocit la resursele reţelei (fişiere, baze de date, dispozitive periferice, etc.) Putem
vorbi despre o vulnerabilitate a reţelelor care se manifestă pe două planuri:
 posibilitatea modificării sau distrugerii informaţiilor (atac la integritatea fizică);
 posibilitatea folosirii neautorizate a informaţiilor.
1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELOR

INFORMATICE ŞI DE COMUNICAŢII
Se înţelege că această stare de fapt nu poate fi tolerată, proiectarea sistemelor

distribuite trebuind să satisfacă unele cerinţe fundamentale de fiabilitate, protecţie şi
securitate. Pe măsură ce reţelele de calculatoare se extind ca număr de resurse
conectate şi ca extindere geografică, nevoia de restricţionare şi control al accesului
creşte.
Sub aspect fizic, resursele unei reţele trebuie protejate într-o manieră adecvată,
astfel:
 restricţionarea accesului la sălile cu echipamente;
 protejarea la furt şi distrugere a echipamentelor de comunicaţie (routere, switch-
uri, calculatoare, etc.);
 protejarea căilor fizice de comunicaţie prin îngroparea în paturi speciale şi
plasarea în locuri greu accesibile
Atacurile de tip fizic asupra reţelelor sunt improbabile şi relativ uşor de descoperit.
Mai mult, beneficiile atacatorilor sunt minime, având în vedere că de o bună perioadă de
timp, valoarea echipamentului este net inferioară informaţiei vehiculată de acesta.
Sub aspect logic, controlul resurselor se face prin asigurarea identităţii
participantului la schimbul de date, denumită generic autentificare. De regulă
autentificarea se realizează prin ceea ce utilizatorul ştie (parolă), prin ce utilizatorul are
(smart card, cheie), sau prin ce utilizatorul este (identificare biometrică, scanare de
retină, amprente)
Literatura din domeniul ştiinţei calculatoarelor în general şi cea referitoare la
securitatea informaţiei în special are un jargon specific. Dată fiind lipsa unui organism
lingvistic specializat care să definească precis modalitatea de folosire a termenilor,
autorii de texte de specialitate folosesc termenii în moduri deseori contradictorii. În acest
capitol ne-am propus prezentarea celor mai importante noţiuni pentru a întrerupe tradiţia
nefericită amintită.
Termenul informaţie este definit astfel: „cunoştinţe comunicate sau recepţionate
cu privire la un fapt particular sau circumstanţă”, în general şi „date care pot fi codificate
pentru prelucrarea de către un calculator sau un dispozitiv similar”, în ştiinţa
calculatoarelor.
Având în vedere definiţia anterioară, termenul de tehnologia informaţiei (IT –
information technology) se referă la orice tehnologie care are legătură cu informaţia. În
particular, IT se referă la stocarea, procesarea şi transmiterea datelor care codifică
informaţia. Similar, termenul de securitate IT se referă la chestiuni legate de securitatea
informaţiilor, în speţă securitatea sistemelor şi a comunicaţiei dintre acestea.
Scopul securităţii calculatoarelor este de a preveni accesul neautorizat la
sistemele de calcul şi de a proteja informaţiile stocate de distrugeri intenţionate,
modificare sau deconspirare.
Scopul securităţii comunicaţiilor este de a proteja datele vehiculate într-o reţea de
calculatoare sau într-un sistem distribuit. Ca sinonim se foloseşte uneori termenul de
securitatea reţelei.
Termenul de reţea de calculatoare se referă la o colecţie de sisteme autonome
conectate. Două sisteme se numesc conectate dacă sunt capabile să schimbe date între
ele printr-o metodă oarecare (reţea, cablu serial / paralel, etc.). În plus, sistemele se
numesc autonome dacă între ele nu se poate stabili o relaţie clară master / slave. Spre
exemplu, un sistem cu o unitate de control şi mai multe unităţi slave nu reprezintă o
reţea.
În literatură există o confuzie considerabilă referitoare la ce diferenţiază un sistem
distribuit de o reţea de calculatoare. Lamport spune că un sistem distribuit este o
colecţie de procese separate spaţial şi care comunică între ele prin schimb de mesaje.
Tot în viziunea lui Lamport, în cazul unui sistem distribuit întârzierea introdusă de
comunicaţia cu mesaje nu este neglijabilă în raport cu evenimentele din cadrul unui
proces.
În 1988, Tanenbaum arăta distincţia cheie dintre o reţea de calculatoare şi un
sistem distribuit. În principiu, în cazul unui sistem distribuit existenţa sistemelor
distribuite autonome este transparentă pentru utilizator. În principiu, utilizatorul poate
rula un proces iar sistemul de operare poate alege cel mai potrivit procesor pe care să
ruleze, iar rezultatele să le direcţioneze la locul potrivit. Cu alte cuvinte, utilizatorul nu
trebuie să fie conştient de faptul că în scenariu sunt mai multe procesoare, ci sistemul
distribuit arată ca un procesor virtual unic. De remarcat că în acest caz, diferenţa între o
reţea de calculatoare şi un sistem distribuit rezidă în software în general şi în sistemul de
operare în special, hardware-ul jucând un rol mai puţin important.
Joint Technical Committee 1 (JTC1) care aparţine de ISO şi IEC, foloseşte
termenul de partener pentru a se referi la o persoană sau entitate înregistrată şi
autentificabilă de către o reţea de calculatoare sau sistem distribuit. Utilizatorii, host-urile
şi procesele sunt considerate parteneri.
Un utilizator este responsabil pentru acţiunile sale în cadrul unei reţele.
Un host este o entitate adresabilă în cadrul unei reţele sau unui sistem
distribuit. Adresarea se face prin nume sau adresă.
Un proces este o instanţiere a unui program care rulează pe un host anume.
Modelul client / server se foloseşte în mod curent pentru a distinge un proces
client de un proces server.
Un proces client cere şi în cele din urmă obţine un serviciu de reţea, pe când
o Un proces server produce serviciul. În accepţiunea de faţă serviciul se referă la o
funcţionalitate abstractă, iar serverul este în mod tipic un fir de execuţie care se
specializează în această funcţionalitate.
Modelul client / server este potrivit pentru proiectarea sistemelor distribuite şi a
aplicaţiilor corespunzătoare. În forma cea mai simplă, un serviciu este deservit de un
sistem unic. Adeseori însă, solicitarea serviciului poate fi atât de mare încât un sistem nu
mai face faţă.
Mai mult, se pune uneori problema disponibilităţii continue a unui serviciu (server
web, supraveghere procese vitale, etc.) în condiţiile în care hardware-ul este susceptibil
de defectare după un număr de ore. În aceste cazuri serviciul poate fi replicat, adică
implementat de un sistem distribuit care în acest fel prezintă atât o capacitate de
deservire mai mare cât şi o toleranţă la defecte mai mare. Studiul şi dezvoltarea
tehnicilor de replicare securizată a serviciilor a devenit un domeniu vast de cercetare.
ISO foloseşte termenul standard pentru un document convenit care conţine
specificaţii tehnice sau alte criterii precise utilizate consistent ca reguli sau definiţii de
caracteristici pentru a asigura că materialele, produsele, procesele şi serviciile sunt
potrivite pentru scopul propus. În consecinţă, un standard de sistem deschis specifică un
sistem deschis care permite fabricanţilor să construiască produse conforme.
În general, termenul de vulnerabilitate se referă la o slăbiciune care poate fi
exploatată pentru a viola un sistem sau informaţiile pe care acesta le conţine. Termenul
de ameninţare se referă la o circumstanţă, condiţie sau eveniment care are potenţialul
de a viola securitatea sau de a cauza stricăciuni sistemului.
Reţelele de calculatoare sunt sisteme distribuite susceptibile la o varietate de
ameninţări proferate fie de intruşi fie de utilizatori legitimi, de obicei mai periculoşi decât
cei din exterior pentru că au acces la informaţii nedivulgate în mod normal celor din
afară. În cadrul reţelelor de calculatoare şi a sistemelor distribuite se disting mai multe
tipuri de compromitere a bunei funcţionări, astfel:
 Compromiterea host-ului ca urmare a subminării sale directe. Rezultatele
subminării pot fi de la o simplă modificare a stării proceselor până la controlul
total asupra host-ului.
 Compromiterea comunicării ca urmare a subminării liniei de comunicaţie din
sistem.
Securitatea căilor de comunicaţie este foarte importantă deoarece reprezintă un
punct foarte vulnerabil în lanţul de comunicaţie. Putem distinge două tipuri de
compromitere a comunicaţiei şi anume prin atac pasiv şi prin atac activ.
Atacul pasiv ameninţă confidenţialitatea datelor transmise, situaţie ilustrată în
figura 1. Datele de la transmiţător (stânga) sunt observate de un intrus (mijloc).
Fezabilitatea unui astfel de atac depinde de tipul de mediu prin care are loc
comunicarea. Astfel, liniile de comunicaţie mobile sunt relativ uşor de ascultat, pe când
liniile fizice necesită acces fizic. Conductorii optici sunt şi ei susceptibili la ascultare, dar
cu un efort tehnologic substanţial. Este interesant de remarcat că atacul pasiv nu se
realizează exclusiv la nivelul căilor de comunicaţie hardware. Pe piaţă se găsesc
pachete software pentru monitorizarea traficului în reţea în special în scop de
management. Aceleaşi pachete se pot folosi pentru capturarea parolelor necriptate din
reţea.
Atacul activ ameninţă integritatea şi / sau disponibilitatea datelor, situaţie ilustrată
în figura 2. În acest caz, intrusul poate observa şi controla fluxul de informaţii, putându-l
modifica, extinde, şterge şi re-trimite informaţii. În plus, intrusul poate inunda receptorul
cu informaţii false pentru a cauza o întrerupere a comunicaţiei, situaţie denumită uzual
Denial of Service. Adesea, atacul poate să fie atât activ cât şi pasiv. Spre exemplu, prin
atac pasiv se obţin parolele de acces la un anumit serviciu, apoi prin atac activ se face
autentificarea.
Este deci clar că autentificarea prin parole nu este suficientă.

CAPITOLUL2
RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR
INFORMATICE
2.1. INTRODUCERE
În mai puţin de o generaţie, introducerea calculatoarelor în virtual fiecare

dimensiune a societăţii, a schimbat semnificativ modul în care oamenii şi organizaţiile
obţin sau diseminează informaţii sau desfăşoară afaceri, permiţând o mai mare eficienţă,
un control operaţional sporit şi un acces eficient la informaţii. Alături de multe beneficii,
însă, calculatoarele şi interconectarea acestora prezintă şi aspecte negative, cum ar fi
apariţia unor noi tipuri de infracţiuni prin intermediul noilor tehnologii (spre exemplu,
frauda şi falsul).
Proliferarea calculatoarelor, din ce în ce mai puternice şi disponibile la preţuri din
ce în ce mai mici, precum şi dramatica expansiune a interconectivităţii (inter alia), au dat
potenţialilor atacatori posibilitatea de a realiza atacuri rapide şi fără constrângeri
geografice, adesea cu consecinţe serioase pentru victime şi cu probabilitate mică de
detectare sau incriminare. Deoarece atacurile electronice asupra sistemelor informatice
pot produce o serie de consecinţe negative – financiare, operaţionale, legale sau
strategice -, la nivel individual, de organizaţie sau chiar naţional, riscul de atac electronic
trebuie bine înţeles, pentru a fi atenuat sau chiar eliminat.
În această secţiune ne propunem să discutăm: riscul de atac electronic asupra
sistemelor informatice, cine sunt potenţialii atacatori şi care sunt motivaţiile acestora,
care sunt tipurile de ameninţări, vulnerabilităţi şi expuneri, precum şi modalităţi de
abordare a analizei de risc.
2.2. RISCUL DE ATAC ELECTRONIC
Sistemele informatice sunt esenţiale pentru buna desfăşurare a majorităţii

activităţilor moderne; prin urmare, securitatea acestora trebuie să fie o preocupare
importantă pentru organizaţii. O serie de factori pot fi consideraţi drept factori care au
crescut riscul de atac electronic la adresa sistemelor informatice:
 dificultăţile de securizare inerente (Landwehr, 2001; Loscocco şi colab.,
1998);
 globalizarea crescândă;
 insuficienta conştientizare şi educare a utilizatorilor sistemelor informatice
(Siponen, 2000) şi atitudinile sau practicile care nu respectă procedurile de
folosire (Schneier, 2000);
 disponibilitatea de informaţii privind penetrarea fără autorizare a sistemelor
informatice;
 reglementări legislative neclare şi anumite dificultăţi jurisdicţionale.
Posibilitatea ca sistemele informatice ale unei organizaţii să fie insuficient

protejate împotriva anumitor atacuri sau pierderi este numită de Straub şi Welke (1998)
„risc de sistem”. Adams şi Thompson (2002) consideră că riscul este ceva subiectiv,
care se referă la un viitor care există doar în imaginaţie. Conform lui Turban (1996),
„riscul” este definit ca posibilitatea ca o ameninţare să se materializeze.
Riscul este, în contextul sistemelor informatice, suma ameninţărilor

(evenimentelor care pot cauza daune), vulnerabilităţilor şi valoarea informaţiilor expuse:
Risc = Ameninţări + Vulnerabilităţi + Valoarea informaţiilor
Înainte de a determina ameninţările, vulnerabilităţile şi a atenua riscurile, trebuie

determinat ce se încearcă a se proteja – după cum argumentează Berryman(2002),
trebuie făcut un inventar complet al sistemului informatic.
Informaţiile stocate electronic au o anumită valoare. Un incident care va afecta
negativ informaţiile stocate electronic va afecta şi individul sau organizaţia care depinde
sau foloseşte respectivele informaţii. Informaţiile sunt evaluate în acord cu posibilul
impact al unui incident care va afecta negativ informaţiile. Ameninţările, vulnerabilităţile
şi posibilul impact trebuie combinate pentru a obţine o măsură a riscului la care sunt
expuse informaţiile.
O reprezentare grafică sugestivă a conceptelor privind securitatea sistemelor
informatice şi relaţiile dintre acestea este propusă în standardul Common Criteria for
Information Technology Security Evaluation (adaptată în Figura 1):
Un model al efectivităţii securităţii unui sistem informatice computerizat este

propus de Kankanhalli şi colaboratorii. (2003). Conform acestui model, angajamentul
managerilor de vârf, dimensiunea organizaţiei, eforturile de prevenire sunt considerate
printre cei mai importanţi factori.
Pentru a evalua potenţialul atacurilor posibile (importanţa şi impactul potenţial al
unui incident de securitate), este necesar să fie înţelese expertiza, motivaţia şi intenţia
potenţialilor atacatori. Un atacator care selectează sistemul victimă în funcţie de
insecurităţile pe care acesta le prezintă este diferit de un atacator care selectează
pentru atac un sistem anume, pentru a comite anumite fapte. Pentru a putea selecta şi
implementa contramăsuri adecvate riscurilor asociate cu sistemele informatice este
necesar ca ameninţările la adresa acestora să fie bine înţelese. În următoarea secţiune
sunt discutate categoriile de atacatori potenţiali, motivaţia acestora şi ameninţările puse
la adresa sistemelor informatice .
2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI
Persoanele din interiorul unei organizaţii şi accidentele şi dezastrele naturale

reprezintă principalele surse de riscuri la adresa sistemelor informatice. Persoanele din
exterior reprezintă, de asemenea, o sursă importantă de risc, deoarece sunt, în unele
cazuri, mai motivaţi şi mai dificil de depistat şi investigat decât persoanele din interiorul
organizaţiilor.
Conform lui Ozier (1999), organizaţiile trebuie să cuprindă în mod explicit
următoarele elemente în orice analiză a riscurilor:
 agenţii ameninţărilor;
 motivaţia atacatorilor;
 capabilităţile atacatorilor;
 ameninţările la adresa informaţiilor;
 frecvenţa ameninţărilor;
 impactul ameninţărilor;
 probabilitatea atacurilor;
 vulnerabilităţile propriilor sisteme;
 controalele disponibile, implementabile.
Pornind de la A Preliminary Classification Scheme for Information System

Threats (Cohen şi colab., 1998), considerăm că următorii „actori” pot cauza probleme de
securitate sistemelor informatice :
 Angajaţii: Aceştia sunt investiţi cu încredere şi au acces la sistemul
informatice, ceea ce le permite cunoaşterea slăbiciunilor sistemelor,
efectuarea de operaţiuni care pot fi în detrimentul organizaţiilor, precum şi
ştergerea evidenţelor digitale(Vasiu şi Vasiu, 2004);
 Personalul de întreţinere a sistemului: Aceştia au adesea acces la sistemul
informatice, ceea ce le permite efectuarea de diverse operaţiuni;
 Furnizori Clienţi : Motivele lor economice nu sunt, în unele cazuri, aliniate cu
cele ale organizaţiei şi în unele situaţii, pot efectua anumite acţiuni care pot
reprezenta riscuri de securitate;
 Competitori: Alţi indivizi sau organizaţii care vor avea de câştigat de pe urma
pierderilor organizaţiei cauzate de atacuri asupra sistemului informatice;
 Crackeri: Mercenari informatici Infractori profesionişti: Persoane care
penetrează ilegal sistemele informatice şi cauzează daune intenţionat,
motivaţiile fiind divers;
 Experţi în spionaj: Persoane care sunt specializate în obţinerea de informaţii
de care vor beneficia alte organizaţii. Aceste persoane au un nivel înalt de
cunoştinţe tehnice, sunt bine plătiţi şi adesea acţiunile lor trec nedetectate;
 Accidente, dezastre naturale: Acestea pot cauza pierderea de informaţii
importante sau indisponibilitatea acestora.
Atacatorii sistemelor informatice pot fi clasificaţi după mai multe criterii. În funcţie
de motivaţie, distingem patru categorii principale (Vasiu şi Vasiu, 2001):
 Motivaţie socială: Atacatorii din această categorie încearcă să obţină un
sentiment de superioritate sau de control, de acceptare de către alţi atacatori
sau de integrare într-un anumit grup;
 Motivaţie tehnică: Atacatorii din această categorie încearcă să „învingă”
sistemul, ca un fel de provocare intelectuală;
 Motivaţie politică: Atacatorii din această categorie încearcă să obţină atenţie
politică, pentru a promova o anumită cauză;
 Motivaţie financiară: Atacatorii din această categorie încearcă să obţină un
câştig personal (spre exemplu, spioni, mercenari informatici, diverse
organizaţii sau chiar persoane care se ocupă cu distribuirea de informaţii
confidenţiale etc.).
2.4. ANALIZA DE RISC
Analiza de risc este larg folosită de organizaţii (Blakley şi colab., 2002), chiar
dacă există autori (spre exemplu, Jacobson (1996)) care consideră că analiza de risc
subiectivă, inconsistentă sau chiar inutilă.
Conform lui Wilsher şi Kurth (1996), organizaţiile trebuie să abordeze problema
riscului în patru etape:
 Identificarea şi evaluarea informaţiilor importante;
 Identificarea şi evaluarea ameninţărilor;
 Evaluarea vulnerabilităţilor;
 Evaluarea riscului.
Următoarele întrebări fundamentale trebuie să-şi găsească răspunsul în cadrul
unei analize de risc (Ozier, 1999):
- Ce evenimente nedorite se pot petrece?
- Dacă se materializează, care va fi impactul?
- Cât de des se poate petrece evenimentul nedorit?
- Cât de certă este informaţia care defineşte primele trei elemente?
Berryman (2002) argumentează că organizaţiile trebuie să identifice ameninţările,

vulnerabilităţile şi apoi să cuantifice impactul potenţialelor vulnerabilităţi. Pentru fiecare
vulnerabilitate, trebuie considerată probabilitatea ca aceasta să fie exploatată precum şi
daunele care ar rezulta dacă aceasta este exploatată. Contramăsurile pentru atenuarea
riscurilor trebuie identificate, iar costurile acestora trebuie determinate. Costurile propuse
de atenuare a riscurilor trebuie opuse costurilor pentru organizaţie dacă vulerabilitatea
este exploatată, astfel încât managerii să poată decide ce riscuri să prevină, limiteze sau
să accepte.
Există mai multe abordări ale analizei de risc, cu toate acestea putem vorbi
despre două categorii importante: cantitative şi calitative.
Analiza de risc cantitativă abordează probabilitatea producerii unui eveniment şi
pierderile probabile care s-ar produce. Acest tip de analiză de risc foloseşte „pierderea
anuală estimată„ (Blakley şi colab., 2002) sau „costul anual estimat”. Valoarea pentru un
anumit eveniment este calculată prin multiplicarea pierderilor potenţiale cu probabilitatea
petrecerii evenimentului nedorit. Această abordare face posibilă ierarhizarea
evenimentelor în ordinea riscului, ceea ce permite luarea unor decizii bazate pe această
ierarhizare.
O asemenea abordare prezintă, însă probleme legate de nefiabilitatea şi
inexactitatea datelor. Probabilitatea producerii unui eveniment poate fi estimată precis
doar rareori; adiţional, controalele şi contramăsurile abordează un număr de evenimente
potenţiale. Cu toate aceste minusuri, un număr important de organizaţii au adoptat cu
succes analiza de risc cantitativă.
Analiza de risc calitativă, în care se foloseşte doar valoarea pierderii potenţiale
estimate, este cel mai larg folosită în acest domeniu. Cele mai multe metodologii pentru
analiza de risc calitativă folosesc un număr de elemente corelate:
 Ameninţări: Acestea sunt prezente pentru fiecare sistem şi reprezintă ceea
ce s-ar putea întâmpla cu un sistem sau ceea ce ar putea ataca un sistem.
Ameninţările sunt foarte variate şi obiectivul atacatorului constă în obţinerea
de beneficii pentru sine sau pentru alţii sau în prejudicierea deţinătorului
sistemului informatic. Astfel:
1. Un posibil pericol la adresa sistemului (Kabay, 1996);
2. Circumstanţă care are potenţialul de a cauza o pierdere organizaţiei
(Pfleeger, 1997; Castano şi colab., 1995; Neumann, 1995);
3. Circumstanţă sau eveniment care poate cauza violarea securităţii
sistemului (Summers, 1997).
 Vulnerabilităţi: Acestea se datorează inconsistenţelor sau erorilor de

proiectare, implementare, operare sau întreţinere a programelor (Bishop,
1999). Acestea fac un sistem mai susceptibil de a fi atacat cu succes şi au fost
definite după cum urmează (inter alia):
1. Un punct unde sistemul este susceptibil de a fi atacat (Kabay, 1996);
2. slăbiciune în sistemul de securitate care poate fi exploatată pentru a
cauza un prejudiciu sau o pierdere (Pfleeger, 1997);
3. anumită slăbiciune a unui sistem care permite violarea securităţii sale
(Summers, 1997).
 Controale: Acestea reprezintă contramăsuri pentru vulnerabilităţi şi trebuie să

fie proporţionale cu criticitatea sistemului informatic şi probabilitatea producerii
unui eveniment nedorit. Următoarele categorii de controale pot fi identificate:
1. Controale disuasive, care reduc probabilitatea unui atac deliberat;
2. Controale preventive, care protejează împotriva vulnerabilităţilor
(acestea fac imposibile atacurile);
3. Controale corective, care reduc efectele unui atac;
4. Controalele detective, care permit descoperirea atacurilor şi
declanşarea de controale preventive sau corective;
5. Controale recuperative, care permit restaurarea sistemului după un
atac.
2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI
Ameninţările trebuie bine înţelese pentru selectarea de măsuri şi controale de

securitate adecvate (Panko, 2004). Castano şi colab. (1995) clasifică ameninţările în
funcţie de modul de producere: non-frauduloase (accidentale) şi frauduloase
(intenţionate).
O altă clasificare posibilă grupează ameninţările la adresa sistemelor informatice
în:
 Ameninţări naturale: acestea sunt numite în industria asigurărilor ca forţă
majoră (spre exemplu, incendiu, furtună, trăznet, cutremur, inundaţie) (D”Arcy,
2001);
 Ameninţări accidentale: spre exemplu, proceduri executate incorect, căderi
de electricitate, ruperea unui cablu, căderea unui disc etc;
 Ameninţări intenţionate: spre exemplu, sabotaj, acces neautorizat, folosirea
sau ştergerea neautorizată de informaţii sau medii de stocare, plantarea de
cai troieni informatici sau infectarea cu viruşi informatici etc.
Buffam (2000) clasifică ameninţările la adresa sistemelor informatice:
 Ameninţări fundamentale;
 Ameninţări care facilitează;
 Ameninţări indirecte.
În general, atacatorul unui sistem informatic va ajunge într-o poziţie unde va
reprezenta o ameninţare fundamentală prin folosirea unei ameninţări care facilitează
sau printr-o ameninţare indirectă.
A. Ameninţările fundamentale
Ameninţările fundamentale reprezintă ceea ce un atacator vrea să facă. Aceste
ameninţări sunt categorizate de Buffam (2000) în divulgarea de informaţii, alterarea de
informaţii, repudierea, refuzul serviciului şi folosirea neligitimă şi sunt discutate în
subsecţiunile următoare.
A.1. Divulgarea de informaţii

Informaţii importante, care ar trebui să rămână confidenţiale, sunt accesate şi
divulgate de către persoane neautorizate (sau de persoane angajate de persoane
neautorizate) sau care îşi depăşesc atribuţiile. Deoarece unele informaţii au o valoare
foarte mare, valoare care se diminuează considerabil sau se pierde prin încălcarea
confidenţialităţii, acest tip de atac poate avea consecinţe nefaste pentru organizaţii.
A.2. Alterarea de informaţii

Informaţiile sunt introduse în sistem fără autorizare, modificate sau suprascrise de
către persoane neautorizate (sau de persoane plătite de persoane neautorizate) sau
care îşi depăşesc atribuţiile. Deoarece unele decizii sau acţiuni depind decisiv de
informaţiile obţinute, acest tip de atac prezintă un pericol deosebit pentru organizaţii.
A.3.. Repudierea
Repudierea reprezintă capacitatea sau acţiunea unei persoane de a nega
identitatea transmiţătorului, conţinutul sau data efectuării unei comunicaţii sau
transmiterii unui mesaj electronic. Deoarece unele mesaje sau comunicaţii electronice
au o importanţă mare, este important ca organizaţiile să asigure non-repudierea
acestora.
A.4. Refuzul serviciului (denial of service)

Atacurile de acest tip consumă resursele unui sistem informatice computerizat,
resurse destinate servirii utilizatorilor legitimi. Există două sub-categorii principale de
atacuri în această categorie: atacuri logice şi atacuri de „inundare” (flooding attacks).
A.5. Atacuri Denial-of-Service distribuite (DDoS)

Reprezintă un tip de atac în care sunt folosite zeci sau chiar mii de calculatoare
compromise pentru a automatiza transmiterea de date care vor „inunda” sistemele vizate.
Calculatoarele compromise sunt controlate de la distanţă prin plantarea, cel mai adesea,
de cai troieni informatici, ceea ce produce un grup de calculatoare „zombi” (care vor
acţiona precum cei din legendele voodoo). Aceste atacuri sunt periculoase deoarece
sunt foarte dificil de contracarat.
A.6. Folosirea neligitimă
Informaţiile sunt folosite de către persoane neautorizate sau în scopuri
neautorizate. Deoarece unele informaţii (spre exemplu, rezultatele unor cercetări sau
detaliile unor clienţi) pot avea o valoare semnificativă, această secţiune prezintă un
pericol important pentru organizaţii.
B. Ameninţări care facilitează

Dacă sunt prezente măsuri de securitate, atacatorii nu vor putea, în general, să
treacă direct la ameninţările fundamentale, deci vor executa ameninţări care facilitează,
pentru „poziţionare”. Acest tip de ameninţări reprezintă ameninţări care permit accesul la
ameninţările fundamentale. Ameninţările care facilitează pot fi clasificate după cum
urmează: mascarada, programele maliţioase, eludarea măsurilor de securitate, violarea
autorizării (Buffam, 2000) şi sunt discutate în subsecţiunile următoare.
B.1. Mascarada (masquerade)

Autentificarea identităţii unui utilizator se bazează pe una sau mai multe dintre
următoarele (Frisch, 1995):
- Ceva ce utilizatorul cunoaşte (spre exemplu, o parolă secretă);
- O caracteristică fiziologică sau învăţată a utilizatorului (spre exemplu, impresiune
digitală, geometria palmei, schemă retinală, ritmul tastării sau sunetul vocii);
- Ceva ce utilizatorul posedă (spre exemplu, un card magnetic sau un chip).
Mascarada este procesul prin care un intrus asumă identitatea unui utilizator
autorizat – oricine care se află în posesia caracteristicilor de identificare poate fi
autentificat ca un alt utilizator (autorizat).
Playback este un alt fel de mascaradă, în care răspunsurile sau iniţierile unei
tranzacţii de către un utilizator sau calculator sunt înregistrate discret şi re-luate, ca şi
cum ar veni de la utilizator. Inserarea de numere secvenţiale criptate în mesaje sau de
ştampile dată timp poate contracara acest tip de mascaradă.
În atacurile cunoscute ca parodia IP (IP spoofing), atacatorii pretind a folosi un
calculator de încredere (după adresa IP), exploatează aparenţa existenţei unei
comunicaţii între calculatoare care sunt folosite pentru atac pentru a obţine acces la
informaţii senzitive sau pentru a rula programe privilegiate.
B.2. Programe maliţioase (malware)

Codul maliţios (malicious code - malware) este clasificat, de regulă, în funcţie de
metoda de penetrare a unui sistem informatic, de propagare şi de obiectiv, în
următoarele categorii: cal troian informatic, virus informatic, back door, vierme informatic
şi spyware.
B.2.1. Cai troieni informatici

Acest tip de program maliţios va afişa o anumită legitimitate, va „poza” ca ceva
util sau autentic pentru a contamina un sistem informatice computerizat. Numit după
vechiul mit în care războinicii greci au invadat Troia prin păcălirea troienilor cu o „ofertă
de pace” (calul troian de lemn, care a permis războinicilor să intre în cetate şi să o
cucerească), caii troieni informatici pot avea funcţionalităţi ascunse utilizatorilor, care pot
duce la inserarea sau alterarea de date, la formatarea discurilor, la interceptarea
parolelor, la oprirea anumitor procese, la blocarea perifericelor ş.a., în unele cazuri auto-
distrugându-se după realizarea acţiunilor maliţioase.
O clasificare a cailor troieni informatici este propusă de Bontchev (1998): cal
troian informatic regular, lansatori (droppers), injectori (injectors) şi germeni (germs):
 Lansatori: Un cal troian informatic special prin aceea că instalează viruşi pe
sistemul atacat;
 Injectori: Un cal troian informatic similar unui lansator cu diferenţa că acest tip
instalează cod distructiv în memoria unui sistem informatic, nu pe disc;
 Germeni: Program produs prin asamblarea sau compilarea codului sursă (sau
a rezultatului unei dezasamblări sau decompilări) a unui virus sau a unui
program infectat. Germenii mai sunt numiţi şi prima generaţie de viruşi (first
generation viruses).
B.2.2. Bombă logică informatică (Logic bomb)

O bombă logică informatică este un set de instrucţiuni într-un program sau un
program de sine stătător care determină condiţiile sau starea în care o acţiune care
facilitează accesarea neautorizată a unui sistem informatic, distrugerea de date sau alte
acţiuni neautorizate sunt declanşate. Acest tip de program distructiv este folosit sau
preferat de o anumită categorie de atacatori, care pot controla astfel când să fie
declanşată acţiunea neautorizată. Bombele logice sunt adesea introduse într-un sistem
informatic prin intermediul unui cal troian.
B.2.3. Virus informatic

Viruşii informatici au capacitatea de ataşare la programe – gazdă, de auto-
replicare şi de realizare de acţiuni neautorizate (payload), adesea distructive. Deoarece
efectele unei infecţii cu viruşi informatici pot fi foarte semnificative, în unele state (spre
exemplu, California), infectarea sistemelor se pedepseşte cu închisoare sau amendă.
Viruşii informatici pot fi clasificaţi după mai multe criterii: mediu de răspândire,
sistem de operare, capacităţi distructive, durata efectului, sfera de operare,
vulnerabilitatea exploatată, mobilitate, modularitate etc. Amor (2000) clasifică nivelul
daunelor produse de viruşi după cum urmează:
 Nivel 1: spre exemplu, afişarea de mesaje pe ecran, care nu cauzează daune
semnificative;
 Nivel 2: afişează mesaje pe ecran şi previne executare unor programe, dar
daunele nu sunt permanente;
 Nivel 3: distrugere de informaţii pentru programul infectat, fără a altera alte
informaţii;
 Nivel 4: distrugerea tuturor informaţiilor, prevenirea operării calculatoarelor etc.
B.2.4. Back Door

Mecanismele de securitate ale sistemelor informatice sunt implementate pentru a
preveni accesul neautorizat sau inserarea neautorizată de date sau programe. Back
door este un mecanism care permite încălcarea restricţiilor de acces sau scriere pe
discuri, ceea ce permite violarea confidenţialităţii informaţiilor, modificarea neautorizată a
informaţiilor, plantarea de cai troieni informatici etc.
B.2.5. Vierme informatic

Viermii informatici sunt adesea confundaţi cu viruşii informatici. Chiar dacă
activitatea maliţioasă programată poate fi similară (spre exemplu, ştergerea sau
modificarea informaţiilor), există o diferenţă importantă: viermii informatici nu au nevoie
de un program gazdă pentru a se reproduce sau lansa în execuţie (Vasiu şi Vasiu,
2004a). Viermii informatici pot fi folosiţi pentru o varietate de acţiuni distructive.
Viermii informatici pot circula prin reţelele informatice pentru a ataca sau
contamina alte sisteme. Acest tip de program a fost inventat, cu titlu de experiment, de
John Socha şi Jon Hupp de la Xerox, în Palo Alto, California, în anul 1980, cu speranţa
că asemenea programe pot prelua o serie de sarcini administrative necesare într-o reţea
de calculatoare (unul dintre viermii lor căuta calculatoarele nefuncţionale şi încerca
rezolvarea problemei). În mâinile unor persoane rău-voitoare, însă, viermii informatici pot
cauza probleme semnificative (Vasiu şi Vasiu, 2001).
B.2.6. Spyware
Spyware este un program plasat pe un sistem informatic, fără acordul (informat)
al utilizatorilor, pentru a obţine informaţii despre sistem, pentru a captura ceea ce
tastează utilizatorii, informaţiile obţinute fiind transmise, după obţinere, către cel sau cei
care controlează programul, urmând a fi folosite pentru atacarea sistemului informatic.
B.3. Eludarea măsurilor de securitate

Măsurile de securitate instalate pe sistemele informatice, în unele cazuri pot
funcţiona incorect sau incomplet sau se pot chiar bloca, ceea ce duce la posibilitatea
accesării neautorizate a unui sistem informatic.
B.4. Violarea autorizării
Această ameninţare este asociată cu persoane care au un cont autorizat, dar
care realizează acţiuni neautorizate (spre exemplu, inserarea de informaţii false sau
ştergerea de informaţii vitale). Acest tip de atac este o ameninţare asociată cu angajaţii
unei organizaţii (insiders).
C. Ameninţări indirecte
După cum argumentează Buffam (2000), acest tip de ameninţări derivă din
caracteristicile de bază ale Internet-ului şi ale infrastructurii informaţiei. Următoarele sub-
categorii pot fi detectate în cadrul acestei secţiuni: interceptarea, scavenging, indiscreţia
şi eroarea administrativă.
C.1. Interceptarea
Programele care permit „adulmecarea” parolelor (password sniffers, keyloggers)
monitorizează şi înregistrează numele de utilizator şi parolele asociate. După obţinerea
acestor informaţii, atacatorii se pot transforma într-un un “utilizator autorizat” şi pot
accesa informaţii confidenţiale, altera informaţiile sau lansa diferite programe sau
comenzi care pot produce daune.
C.2. Scavenging
Această acţiune constă în folosirea de utilitare pentru reconstituirea informaţiilor
de pe medii magnetice, după ce acestea au fost şterse sau suprascrise. O altă formă a
acestei acţiuni constă în căutarea de informaţii care ar putea fi utile în coşuri de gunoi
sau alte locuri unde sunt aruncate informaţii imprimate pe hârtie (dumpster diving).
C.3. Indiscreţia
În această categorie sunt incluse acţiunile care duc la deconspirarea parolelor
sau tehnicilor de autentificare folosite, părăsirea calculatorului fără încheierea unei
sesiuni de lucru sau social engineering – naivitate vis-a-vis de încercările de obţinere a
parolelor prin tehnici de genul „Am nevoie de parola lui X pentru a efectua operaţiuni de
configurare” sau „Sunt Y, am uitat parola”.
C.4. Eroarea administrativă

Erorile de administrare ale unui sistem informatic computerizat (spre exemplu,
configurare greşită, păstrarea unui cont de utilizator pe un sistem după concedierea
deţinătorului contului, setarea greşită a autorizărilor etc.) pot crea posibilitatea
declanşării de acţiuni neautorizate sau obţinerea de acces neautorizat.
D. Vulnerabilităţi şi expuneri
Prin „vulnerabilitate” se înţelege orice fapt care prezintă o problemă din punct de
vedere al securităţii sistemului informatice într-un anumit context. Vulnerabilităţile sunt
portiţele prin care se manifestă ameninţările. Common Vulnerabilities and Exposures
dezvoltată de Mitre urmăreşte standardizarea vulnerabilităţilor cunoscute.
O „vulnerabilitate universală” este definită ca o “stare” într-un sistem informatic
care fie:
 Permite unui atacator să execute comenzi impersonând un utilizator autorizat;
 Permite unui atacator să acceseze informaţii contrar procedurilor de acces;
 Permite unui atacator să conducă un atac de refuz al serviciului (denial of
service).
Stoneburner şi colab. (2001) prezintă următoarele reguli de bază pentru
atenuarea riscurilor asociate cu ameninţări intenţionate. Aceste reguli sunt aplicabile, cu
excepţia celei de a treia, şi pentru atenuarea riscurilor naturale sau accidentale:
 Când o vulnerabilitate există, trebuie redusă posibilitate ca respectiva
vulnerabilitate să fie exploatată;
 Când o vulnerabilitate poate fi exploatată, trebuie implementată o protecţie pe
mai multe nivele şi controale administrative care pot minimiza riscul sau
preveni exploatarea vulnerabilităţii;
 Când costul unui atacator este mai mic decât câştigurile potenţiale trebuie
aplicată o protecţie care descreşte motivaţia atacatorului prin creşterea
costului său;
 Când pierderea potenţială este prea mare, trebuie aplicate protecţii tehnice şi
non-tehnice care să reducă potenţialul de pierdere.
O „expunere” este o stare într-un sistem informatic, care nu este o vulnerabilitate
universală, dar care fie:
 Permite unui atacator să realizeze activităţi pentru colectarea de informaţii
despre sistem;
 Permite unui atacator să îşi ascundă activităţile (nelegitime);
 Include o funcţionalitate care poate fi uşor compromisă;
 Este un punct de intrare pe care un atacator îl poate folosi pentru accesarea
sistemului sau a informaţiilor;
 Este considerată o problemă din punct de vedere al politicilor (procedurilor) de
folosire ale sistemului informatic.
Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna
funcţionare a sistemelor informatice, problema securităţii acestor sisteme devine din ce
în ce mai importantă (Kankanhalli şi colab., 2003).
Stoneburner şi colab. (2001) sugerează bazarea programelor de atenuarea riscului
asociat cu sistemele informatice pe următoarele:
 Angajarea activă a managerilor de vârf din cadrul organizaţiilor;
 Suportul şi participarea întregului personal;
 Competenţa echipei însărcinate cu analiza şi atenuarea riscurilor;
 Cooperarea utilizatorilor, care trebuie să respecte procedurile de folosire şi
regulile de securitate;
 evaluare continuă a riscurilor.
Riscul de atac electronic variază în funcţie de tipul de organizaţie, potenţialul
pentru vulnerabilităţi, diverşi catalizatori, inhibitori şi amplificatori. Cu toate că riscul de
atac electronic asupra sistemelor informatice nu poate fi total eliminat, o abordare
sistemică şi un set de procese pentru atenuarea riscurilor care consideră vulnerabilităţile
specifice fiecărei situaţii (Austin şi Darby, 2003) pot reduce semnificativ impactul unor
atacuri sau chiar elimina anumite clase de atacuri.
CAPITOLUL 3
METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU
SISTEMELE IT)
A. Zona de aplicabilitate
Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de
securitate pentru sistemele informaţionale electronice şi la conceperea de politici şi
planuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea se
poate face pentru orice nivel de complexitate sau pentru orice dimensiune
corespunzătoare a unui sistem.
B. Obiective
Ca element de decizie pentru zona securităţii, metodologiile evaluării riscului vor
să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitate
specifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru a
furniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generală
care include un număr de etape intermediare. Definiţiile standard ne arată care
elemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă dată
de ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactul
rezultat al evenimentului nefavorabil.
C. Procesul de lucru
Metodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi
poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice.
Oricum, în scopul identificării tuturor sub-elementelor necesare, trebuie luaţi în
considerare cel puţin cinci paşi. Figura 3 prezintă nouă paşi posibili ai unei analize a
riscului.
Caracterizarea Identificarea Identificarea Analiza

sistemului ameniţărilor vulnerabilităţilor controlului
Pas 1 Pas 2 Pas 3 Pas 4
Recomandările Stabilirea Determinarea Impactul analizei Determinarea

controlului contramasurilor riscului defecţiunilor probabilităţilor de
prioritare apariţie
Pas 9 Pas 8 Pas 7 Pas 6 Pas 5
Fig.3. Etapele în metodologia de stabilire a riscului

Pasul 1: Caracterizarea sistemului
Definiţia scopului efortului şi limitele sistemului evaluat. Aceasta include
identificarea tuturor resurselor, bunurilor şi informaţiilor ce constituie sistemul.
Pasul 2: Identificarea ameninţărilor

Determinarea (1), natura ameninţărilor interne şi externe, (2) sursa lor şi (3)
probabilitatea ca ele să se manifeste. Probabilitatea unei ameninţări este o măsură a
probabilităţii ca o ameninţare să se concretizeze.
Pasul 3: Identificarea vulnerabilităţii

Pasul următor este acela de a stabili o listă a vulnerabilităţilor unui sistem care
pot fi exploatate de o potenţială sursă de ameninţare. Sunt câteva abordări sofisticate în
Analiza vulnerabilităţii.
Pasul 4: Analiza controalelor care au fost implementate sau care se doresc a fi

implementate de către organizaţie, pentru a minimiza sau elimina probabilitatea ca o
ameninţare să exploateze o vulnerabilitate a sistemului.
Pasul 5: Determinarea probabilităţii

În determinarea probabilităţii unei ameninţări, trebuie să se ia în considerare
sursele de ameninţare(2), vulnerabilităţile posibile(3) şi controalele existente(4).
Pasul 6: Analiza impactului sau pagubelor

Gradul de afectare a unui bun este cel mai bine determinat de către proprietar
sau manager care poate cunoaşte valoarea actuală a bunului. Impactul nefavorabil al
unui eveniment de securitate poate fi descris în termeni de pierdere sau degradare a
unuia sau mai multor Obiective de Securitate. Alte categorii pot fi aplicate dacă analiza
riscului este făcută pentru mai multe sisteme abstracte.
Pasul 7: Determinarea riscului

Stabilirea nivelului de risc al sistemului. Determinarea riscului poate fi exprimată
ca o funcţie a probabilităţii ca o sursă de ameninţare dată să încerce să exploateze o
vulnerabilitate dată (pasul 5) şi mărimea impactului face ca o sursă de ameninţare să
exploateze cu succes o vulnerabilitate (pasul 6). Pentru a măsura acest risc rezultat,
este nevoie de o scală a riscului şi un nivel al riscului.
Pasul 8: Evaluarea priorităţii contramăsurilor.

Evaluarea contra-măsurilor exprimă diferenţa între riscul impus (de dorit ca nivelul
de risc să fie stabilit de autoritatea în domeniu) şi riscul rezultat (pasul 7) şi este utilizată
pentru a furniza un ghid în ceea ce priveşte importanţa care trebuie acordată
contramăsurilor de securitate. Din nou, valorile şi categoriile aplicate pot varia puţin.
Tabelul 1 este un exemplu de tabel de evaluare a riscului.
Pasul 9. Recomandările de control

Prevederea de controale care pot diminua sau chiar elimina riscurile identificate.
Scopul controalelor recomandate este acela de a reduce nivelul de risc al sistemelor şi
datelor lor la un nivel acceptabil.
echipamentului
echipamentelo
Riscul rezultat
Riscul asumat
Probabilitatea
contramăsuri
Ameninţările
Identificarea
ameninţării
Coloana 3
Coloana 1
Coloana 2
Coloana 4
Coloana 5
Coloana 6
Coloana 7
Prioritate
Defecţini
asupra
r
Rând 1 Căderi Medium Grav Critic Absent 4
Comerţ accidentale de
electronic prin tensiune ori
intermediul echipamente
paginilor web defecte
Rând 2 Pierderea Înalt Minor Medium Scăzut 1
Acurateţea confidenţialităţii şi
informaţiilor încrederii datorită
publicate pe pirateriei pe web
web
Rând 3 Pierderea Foarte Serios Medium Scăzut 1
Securitatea dispozitivelor sau scăzut
accesului la a cheilor
resursele necesare
interne ale accesului la
reţelei prin canalele
personal securizate
autorizat din
cadrul reţelelor
externe
Tabelul 1. Tabel cu riscurile asumate
CAPITOLUL 4
MODELAREA ŞI ANALIZA RISCULUI
4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI
În anul 1979, Biroul Naţional de Standarde a publicat Standardul Federal de

Procesare a Informaţiilor (FIPS) 65, Ghidul pentru Analiza Riscului Procesării Automate
a Datelor. Documentul stabileşte standardul de evaluare a riscului pentru centre mari de
procesare a datelor şi propune de asemenea o nouă unitate de măsură pentru riscurile
referitoare la calculatoare: Estimarea Pierderilor Anuale (ALE).
n
ALE   I (Oi )  Fi
i 1
unde:
O1 ,..., On   setul ameninţărilor sistemului
I (Oi )  impactul ameninţării i în dolari
Fi  frecvenţa ameninţării i
Deşi ALE nu a fost niciodată un standard, mulţi l-au tratat drept o parte esenţială
a activităţii de realizare a unui model pentru managementul riscului. Abordarea metrică
constă în combinarea celor două componente ale riscului într-un singur număr. Din
păcate, această îmbinare a cantităţilor are dezavantajul că va fi imposibil de distins între
frecvenţele înalte, evenimentele cu impact slab şi frecvenţele joase, evenimentele de
mare impact. În multe situaţii, forma poate fi tolerată, însă mai târziu poate fi catastrofal.
La mijlocul anilor 80, Biroul Naţional de Standarde (acum parte a Institutului
Naţional de Standarde şi Tehnologie - NIST ) şi Centrul Naţional pentru Securitatea
Calculatoarelor (Informaţională) – NCST au făcut cercetări în domeniul modelării
managementului riscului securităţii calculatoarelor (informaţionale). Folosindu-se grupuri
de lucru formate din experţi în domeniul riscului securităţii calculatoarelor, organizaţiile
au contribuit la apariţia unui nou şi dorit domeniu de cercetare. Metodologiile şi
pachetele software de serie (comerciale) rezultate în urma acestui efort, au constituit
prima generaţie de modele de management pentru riscul securităţii calculatoarelor. Din
păcate, la sfârşitul decadei, activitatea cercetătorilor a luat sfârşit. Oricum, munca
acestora a atras atenţia şi a pus bazele evaluării riscului securităţii calculatoarelor. Astfel,
când experţi în securitate, precum Donn Parker, au criticat practica asupra evaluării
riscului, ei au avut o metodologie specifică şi corectă în minte, ce poate fi bine înţeleasă
din lucrările grupurilor NIST/NCSC.
La finalul activităţii grupurilor de lucru, a fost stabilit un cadru de lucru general
pentru managementul riscului securităţii calculatoarelor. Deşi nu a fost niciodată
formalizat ca un standard NIST, acesta reprezintă un rezumat util.
Cadrul de lucru are câteva elemente de bază:

 Cerinţe: R  R1 ,..., R j 
 Bunuri: A   A1 ,..., Ak 
 Preocupări de securitate : C  C1 ,..., C s 
 Ameninţări: T  T1 ,..., Tm 
 
Măsuri de protecţie: S  S1 ,..., S p 
 
Vulnerabilităţi: V  V1 ,..., Vq 
 Rezultate: O  O1 ,..., Or 
Cadrul de lucru include de asemenea şi trei cantităţi asociate:
 Valorile bunurilor: Aval  A1val ,..., Akval 
 
Eficacitatea protecţiei: S eff  S1eff ,..., S peff 
 Gravitatea rezultatului: Osev  O1sev ,..., Orsev 
Un cadru de lucru necesar pentru o evaluare a mai multor cantităţi este un proces
iterativ, aşa cum este prezentat în Fig. 1. La început, este necesară identificarea
cerinţelor de securitate, a bunurilor luate în considerare, a preocupărilor privind
securitatea, ameninţările posibile, vulnerabilităţile şi a măsurilor de protecţie întreprinse.
Apoi, urmează o serie de analize.
Analiza ameninţărilor implică o examinare a ameninţărilor posibile pentru fiecare
bun în parte. Ameninţările pot fi: erori umane, catastrofe naturale, erori neintenţionate,
etc. Analiza vulnerabilităţilor se referă la slăbiciunile în securitate care pot facilita
succesul unui atac asupra bunurilor. Deşi multe acorduri au la bază cadrul de lucru,
rămâne controversată discuţia asupra vulnerabilităţilor care pot reprezenta fie absenţa
unor măsuri de protecţie specifice, fie nişte variabile independente.
Analiza scenariului necesită o evaluare detaliată a bunurilor, preocupărilor privind
securitatea, ameninţărilor şi vulnerabilităţilor, în vederea generării tuturor scenariilor
posibile prin care poate fi compromisă securitatea. Aceste scenarii sunt apoi folosite în
faza de estimare a riscului pentru a evalua rezultatele corespunzătoare şi de a
determina mărimea riscului.
Un test de acceptanţă compară riscul măsurat pentru nişte bunuri date cu cerinţe
stabilite. Sunt luate apoi decizii pentru selecţia măsurilor de protecţie, în vederea
sincronizării între nivelele riscurilor măsurate şi cerute. Întregul proces este apoi repetat
sub un nou regim cu măsuri de protecţie, rezultând noi măsuri de estimare a riscului
pentru fiecare bun. Aceste măsurări ale riscului împreună cu estimările costurilor pentru
protecţie sunt folosite apoi pentru a genera analiza cost-profit pentru fiecare măsură de
protecţie.
Acest cadru general este destul de generic în specificaţiile sale şi în consecinţă,
într-o potenţială aplicaţie. Metodologia poate fi adaptată fie la estimarea riscului
cantitativ, fie a celui calitativ. Analiza scenariului şi activitatea ulterioară de măsurare a
riscului sunt specifice unei estimări calitative. Într-o estimare a riscului cantitativă, cele
două pot fi automat calculate, pe baza valorilor bunurilor, frecvenţei exploatării
vulnerabilităţii şi a probabilităţii unui atac reuşit.
Câteva aplicaţii software, care au fost comercializate la sfârşitul anilor 80 şi
începutul anilor 90, au implementat scheme similare cadrului general. O parte din
aplicaţii, cum ar fi Risk, BDSS, CRAMM şi Buddy System sunt încă disponibile şi astăzi
în diferite stadii de dezvoltare comercială. În ciuda eforturilor celor implicaţi, cadrul
general şi alte aproximări ce au la bază ALE nu au câştigat acceptarea generală, iar
când a fost făcută prima consolidare de către NIST şi NCST, marea parte a activităţii de
modelare a riscului s-a terminat cu ea.
După anii 90 au mai fost doar eforturi sporadice de cercetare a modelelor
riscurilor în securitatea calculatoarelor, incluzând proiectele făcute de companiile
industriale mari pentru evaluarea riscului intern, activitatea în domeniul calculatoarelor
făcută la Laboratoarele Naţionale Sandia şi eforturi variate făcute de consultanţi,
academicieni independenţi specialişti în securitate. Descrieri detaliate ale activităţilor
individuale nu sunt în general destinate publicării. Cea mai mare parte din activitatea din
domeniul calculatoarelor este disponibilă prin mijloace electronice (descărcarea
fişierelor). Câteva publicaţii în domeniu s-au orientat către aceste probleme, dar nu au
adus îmbunătăţiri sau au rezolvat alte provocări fundamentale ale cadrului general.
Modelarea şi simularea pot, la un moment dat, să capete dimensiuni mistice.
Modelele bune sunt capabile să prezică fiabilitatea unui sistem, iar prezicerea viitorului
merită întotdeauna o reverenţă (respect). Din păcate, această reverenţă se transformă
într-o atribuire de mai mare semnificaţie şi capabilitate decât cea garantată (permisă). În
cele din urmă, modelele sunt doar reflecţii ale gândurilor şi observaţiilor umane. Ele nu
rezolvă problemele de la sine şi necesită informaţii de intrare de calitate pentru a se
realiza aşa-zisa prezicere magică. Modelarea, în absenţa unui suport de date adecvat,
nu este de folos nimănui.
Această dependenţă de calitatea datelor a fost, în general, subapreciată sau
ignorată total de cei care s-au ocupat în trecut cu modelele riscului securităţii
informaţionale. Modelele riscului ALE se bazează pe milioane de scenarii, evaluări care
pot şi vor fi realizate. Generaţia ulterioară de aproximări, deşi recunoaşte lipsa unor date
de calitate, nu propune sau încurajează politici care să încerce să rezolve această
problemă, ci preferă să ocolească întregul subiect.
Fără îndoială, modelarea riscului reprezintă un efort important. Aparenta lipsă de
date eficiente, relevante, nu reprezintă o scuză pentru ne-realizarea unui management
al riscului securităţii informaţionale pentru o instituţie. Deciziile referitoare la alocările
resurselor de securitate trebuie obligatoriu făcute. Oricum, datoria (scopul) unui model al
riscului este acela de a informa decizia resurselor prin furnizarea celor mai bune estimări
posibile ale expunerii la risc, eficienţei opţiunii politice şi ale analizei cost-beneficiu.
În ziua de azi, modelele riscului sunt preocupate de întrebarea zadarnică ce se
referă la posibilitatea acoperirii tuturor evenimentelor posibile. De aici, controversele
referitoare la vulnerabilităţi, probabilităţi, frecvenţe, valori şi alte detalii au împiedicat, iar
în multe cazuri, au schimbat complet direcţia eforturilor de luare a deciziilor de
management al riscurilor. În acest capitol, este propus un cadru de lucru analitic de
decizie pentru managementul riscului care ridica multe probleme în trecut, prin devierea
atenţiei de la detaliile interacţiunilor privind securitatea calculatoarelor şi orientarea ei
către decizia managementului riscului.
4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR
Consiliul Naţional de Cercetare al SUA, recunoscând probleme similare şi în alte

arii unde managementul riscului este o problemă de politică publică, recomandă o nouă
orientare pentru ceea ce este numit caracterizare a riscului în Understanding Risk:
Informing Decizion in Democratic Society. Conform raportului, caracterizarea riscului,
sau concluzia unei analize tehnice rezultă din luarea unei decizii, care trebuie să fie o
activitate de conducere a deciziilor, îndreptate către informarea în legătură cu
posibilităţile şi rezolvarea problemelor. Caracterizarea riscului, raportul în sine, trebuie
să apară în urma unui proces deliberativ-analitic, al cărui succes depinde de analiza
sistematică care trebuie să corespundă problemei, să răspundă nevoilor părţilor
interesate şi implicate, şi care tratează problema deciziei într-o măsură comprehensivă.
Succesul depinde de dezbaterile care formulează problema deciziei, orientarea analizei
către o mai bună înţelegere din partea participanţilor asupra deciziei, căutarea motivaţiei
pentru căutările şi incertitudinile analitice şi îmbunătăţirea abilităţilor părţilor interesate şi
implicate efectiv în procesul de decizie a riscului.
Deşi raportul Consiliului Naţional de Cercetare se concentrează în special pe
procesul de politică publică, lecţiile lui nu sunt mai puţin instructive pentru companiile
private sau instituţiile statului. Privind caracterizarea riscului ca o activitate de conducere
a deciziei, este recunoscut faptul că anumite politici trebuie, în mod inevitabil luate, chiar
dacă aceste politici nu realizează nimic. Implicit, în această decizie se fac evaluări ale
variabilelor cheie şi determinări pentru valorile de schimb, rolul corespunzător modelării
riscului fiind acela de a explicita evaluările şi determinările pentru cei care iau decizii.
Acest proces permite celor care iau decizii să înţeleagă mai bine ramificaţiile alegerilor
lor, să cântărească propriile convingeri într-un cadru de lucru, şi să ia cunoştinţă de
prevederile principale pe care se vor baza deciziile lor.
Analiza de conducere a deciziilor pentru probleme complexe care implică
incertitudini, date incomplete şi investiţii mari, nu sunt necunoscute pentru industria
privată. Literatura pentru afaceri este suprasaturată cu cărţi, articole care descriu
modalitatea în care companiile îşi pot conduce cercetările, tranzacţiile de produse, etc.
În acest sens, abordarea riscului din punct de vedere al afacerilor a avut o
contribuţie importantă, prin recunoaşterea şi accentuarea rolului riscului securităţii
calculatoarelor (informaţionale) printre alte riscuri operaţionale. În acest capitol, va fi
prezentat un cadru de lucru al analizei deciziei cantitative pentru evaluarea şi
conducerea riscurilor securităţii calculatoarelor drept un proces candidat de modelare
analitică de conducere a deciziei.
4.3. MODELAREA DECIZIEI
Aplicarea teoriei deciziei statistice la problemele de management îşi are originile

în lucrările lui Raiffa şi Schlaifer din anul 1961 şi Howard, din 1966. Termenul ”analiza
deciziei” a fost inventat de Howard, pentru a se referi la procedura formală pentru
analiza problemelor de decizie din articolele sau cercetările sale. În esenţă, analiza
deciziei reprezintă abordarea unui model simplificator care împarte problemele de
decizie în părţi constituente: deciziile care trebuie luate, incertitudinile care îngreunează
luarea deciziilor şi alegerile folosite pentru evaluarea rezultatelor.
Analiza deciziei oferă câteva avantaje cheie care pot fi recomandate şi în cazul
problemei managementului riscului securităţii calculatoarelor. Pentru început, aşa cum
reiese din nume, este nevoie de o tehnică de modelare pentru conducerea deciziei. Apoi,
încorporarea teoriei probabilităţii furnizează instrumente pentru captura, clarificarea,
conducerea incertitudinilor şi a implicaţiilor acestora. În cel de-al treilea rând, şi poate cel
mai important, analiza deciziei utilizează diagramele de influenţă ca un limbaj grafic
pentru încapsularea şi comunicarea cunoştinţelor unui colectiv dintr-o organizaţie,
aceasta facilitând construcţii de comun acord, în consens.
Diagrama de influenţă, prin aplicarea de relaţii între variabilele cheie, poate fi un
instrument puternic atât pentru comunicarea, cât şi pentru analiza factorilor principali
care influenţează luarea deciziei. Diagramele se compun din noduri, ce reprezintă
variabilele, săgeţi reprezentând influenţa între variabile. Prin convenţie, forma nodului
dictează tipul de variabilă pe care o reprezintă şi tipul de influenţă reprezentat de
săgeţile care pleacă sau vin în el. Vezi Fig. 4 pentru descrierea diferitelor tipuri de noduri.
Figura 4. Construirea blocurilor pentru diagramele de influenţă
Nod de decizie Nodurile decizionale deţin diferite alternative decizionale

luate în considerare.
Nod determinist Nodurile deterministe sunt folosite pentru valorile de

intrare deterministe precum şi calculele intermediare.
Nodurile de alegere sunt utilizate pentru a reprezenta

Nod de alegere
valorile de intrare probabilistice.
Nodurile index conţin listele care descriu dimensiunile

Nod index variate ale variabilelor din analiză.
Nodurile obiectiv reprezintă rezultatele semnificative din

Nod obiectiv
analiză und esunt făcute evaluări.
Nodul Nodurile funcţie sunt generate când sunt definite funcţiile

funcţie particulare ale utilizatorului pentru a facilita calculele.
Nod modul Nodurile modul sunt folosite pentru a crea diagrame de

influenţă ierarhice.
Nod alias Nodurile alias, în cazul nodurilor de decizie, sunt folosite

pentru a clarifica influenţa într-o diagramă unde nodul
original este localizat într-un modul diferit.
Săgeata de influenţă este utilizată pentru a ilustra grafic

drumul parcurs de informaţie prin model şi dependenţa
informaţiei de variabilele modelului.
Săgeţile sunt utilizate pentru a arăta relaţiile între variabile în modelul de decizie
şi deci, drumul informaţiei prin model. De exemplu, o săgeată orientată către un anumit
nod sau un nod obiectiv indică faptul că nodul destinaţie este funcţie de nodul de origine
(iniţial). O săgeată într-un nod oarecare denotă o dependenţă probabilistică, aceasta
însemnând că distribuţia probabilităţii nodului ales este condiţionată de valorile nodului
de origine. O săgeată care intră într-un nod de decizie reprezintă influenţa
informaţională, indicând faptul că valoarea nodului de origine va fi cunoscută la
momentul deciziei şi poate astfel afecta decizia.
Construcţia unei diagrame de influenţă pentru decizie sau diagrama deciziei este
ea în sine o lecţie de valoare şi un exerciţiu consistent. Primul pas este acela de a defini
decizia şi toate alternativele de acţiune care pot fi luate în luarea deciziei. Variabila este
de obicei reprezentată printr-un nod de decizie rectangular, plasat pe partea dreaptă a
diagramei. O dată ce decizia este exprimată, valorile şi obiectivele trebuie codificate şi
trebuie stabilite sistemele de măsurare. În mod ideal, sistemele de măsurare pot fi
furnizate, aceasta conducând la definirea unui singur nod obiectiv, plasat pe partea
dreaptă a diagramei. Apoi, lucrând de la dreapta la stânga, de la nodurile obiectiv la cele
de decizie, trebuie inserate noduri întâmplătoare sau deterministe care să reprezinte
incertitudinile, datele de intrare disponibile şi calculele intermediare. Un exemplu de
diagramă a deciziilor pentru managementul securităţii riscului în domeniul
calculatoarelor este dat în Fig. 5.
Fig. 5. Exemplu de diagramă decizională
Costul Costuri
măsurilor suplimentare
de protecţie
Selectorul
măsurilor de Pierderile Beneficiu
protecţie anuale net
aşteptate
Profiturile Profit
suplimentare suplimentar
date de măsurile
de protecţie
Indexul Măsuri de Eveni-

politicii protecţie mente
grave
În Fig.5, prima decizie care trebuie luată este aceea de selectare a măsurilor de
protecţie, de securitate. Apoi, după compararea tuturor măsurilor de protecţie din punct
de vedere al unei baze individuale, acest model permite utilizatorului să grupeze
măsurile de protecţie împreună, sau politicile, pentru a face comparaţii între ele. Aceste
denumiri de politici se află în variabila index pentru politici. Deoarece nodurile index
influenţează aproape orice alt nod din diagramă, săgeţile care pleacă din ele, de cele
mai multe ori, scad transparenţa diagramei. Nodul obiectiv Net Benefit din partea
dreaptă conţine politica pentru calcularea raportului cost–beneficiu. Acest raport
(schimb) depinde de trei factori: costurile (măsurilor de protecţie) implementării
suplimentare, profiturile suplimentare aşteptate din noile oportunităţi şi pierderile anuale
aşteptate. Aşa cum indică săgeţile care pornesc din nodul de decizie, aceşti factori vor
varia în funcţie de măsurile de protecţie selectate pentru fiecare politică. Cele trei noduri
index din partea de sus a diagramei conţine listele care descriu dimensiunile analizei.
De ex., indexul pentru politici, aşa cum a fost menţionat mai devreme, conţine
denumirile politicilor luate în considerare; nodul indexului măsurilor de protecţie prezintă
măsurile de protecţie care pot fi selectate; nodul index evenimente rele conţine
compromisurile de securitate evaluate.
La fel ca orice efort de modelare, trebuie să existe o balanţă între fidelitatea şi
maleabilitatea modelului. Aşa cum a fost pusă în practica profesională, analiza deciziei
tinde să încline această balanţă în favoarea maleabilităţii modelului. Printr-un proces
iterativ de perfecţionare progresivă, modelele deciziei devin mult mai complexe decât
analiza modelului, disponibilitatea datelor, iar importanţa datelor indică nevoia de şi
capacitatea de a furniza detalii importante. Oricare dintre variabilele prezentate în Fig. 5
poate fi înlocuită cu un modul, reprezentând o întreagă diagramă de influenţă compusă
din alte, mai elementare cantităţi. Vezi Fig. 6 cu un exemplu în care pierderile aşteptate
anual au fost transformate.
Cu astfel de diagrame de influenţă ierarhice, pot fi modelate sisteme complexe,
foarte mari, fără a pierde beneficiile referitoare la eleganţă şi comunicare ale
diagramelor de influenţă. Aşa cum arată diagramele, pierderile anuale aşteptate depind
de frecvenţa anuală aşteptată de producere a evenimentelor rele, sau a compromisurilor
de securitate şi pe consecinţele aşteptate ale acestor evenimente rele. Aceste calcule
intermediare sunt funcţie de factorul de reducere deterministă, estimarea probabilistică a
unei valori iniţiale şi măsurile de protecţie selectate pentru fiecare politică.
4.4. DESCRIEREA MODELULUI RISCULUI SECURITĂŢII CALCULATOARELOR
Fig. 6, în plus de furnizarea unei ilustrări elementare a diagramelor de decizie

ierarhică, prezintă şi un sumar concis şi corect al principalelor cantităţi care trebuie luate
în considerare, fie implicit sau explicit, ori de câte ori este făcută o decizie pentru
managementul riscului securităţii. O explorare mai atentă a acestei diagrame serveşte
unui scop dual: demonstrarea procesului de construcţie a modelului şi elucidarea
variabilelor fundamentale. Pentru o mai bună facilitate şi claritate matematică, vor fi
utilizaţi următorii identificatori de variabile:
Bi = evenimentul grav i ,unde i = {1, 2, 3, . . ., n} (de ex., furtul de date)
Sj = Măsura de protecţie j unde j = {1, 2, 3, . . ., m} (de ex., programe de
avertizare, firewalls, software de criptare)
Pk = Polica k, unde k = {0,1, 2, 3, . . ., l} (de ex., status quo, modificări
incrementale, îmbunătăţiri majore) (prin convenţie, k=0 reprezintă status quo)
R(Sj) = noi profituri disponibile prin adoptarea măsurilor de protecţie Sj
Ik(Sj) = Funcţie binară ce indică dacă măsura de protecţie Sj este inclusă în
politica Pk
F0(Bi) = Estimarea iniţială a frecvenţei de apariţie a evenimentelor grave Bi
D0(Bi) = Estimarea iniţială a consecinţelor sau efectelor produse de apariţia
evenimentelor grave Bi
Ef(Bi,Sj) = Reducerea fracţională în frecvenţă a apariţiei evenimentelor grave Bi,
ca urmare a implementării măsurilor de protecţie Sj
Ed(Bi,Sj) = Reducerea fracţională în consecinţele rezultate din evenimentele grave
Bi , ca urmare a implementării măsurilor de protecţie Sj
C(Sj) = Costul implementării măsurilor de protecţie Sj
ALEk = Pierderile anuale aşteptate în cazul politicii Pk
Figura 6. Diagramele decizionale ale managementului riscului securităţii calculatoarelor
Costul Cost
măsurilor de suplimentar
protecţie
Selectorul
măsurilor de Modulul Beneficiu
protecţie pierderilor net
anuale
Profituri Profit
suplimentare suplimentar
date de
măsurile de
protecţie
Index de Măsuri de Eveni-

politică protecţie mente
grave
Începând cu decizia, Selectorul Măsurilor de Securitate este în esenţă o matrice cu zero

şi unu, indicând dacă o măsură de protecţie particulară este inclusă într-o politică sau nu.
Astfel, problema deciziei constă în compararea politicilor alternative, măsurilor de
protecţie, pentru a determina care politică este mai bună.
Criteriul pentru această determinare este uneori numit funcţie utilă şi reprezintă
preferinţele unui individ sau ale unui grup responsabil de luarea unei decizii. Funcţia
utilă pentru diagrama din Fig. 6 este capturată în nodul obiectiv Net Benefit, care are
ecuaţia:
NetBenefitk  Benefitk  AddedCostk  Added Pr ofitk ...k  1,2,..., l
Notă: Deoarece decizia este văzută ca o alegere făcută între politicile concurente,
calcularea pentru net benefit trebuie făcută pentru fiecare politică Pk.
Coeficienţii sau alte operaţii funcţionale pot fi introduse într-o funcţie utilă pentru a
exprima toleranţa riscului, timp-valoare a banilor sau alte preferinţe. Astfel, valorile utile
de cele mai multe ori nu au nici un înţeles, fiind utile doar într-un cadru de lucru
comparativ. Pentru această analiză, cadrul de lucru a fost menţinut simplu, omiţându-se
aceşti factori adiţionali, prin asumarea neutralităţii riscului şi menţinând bani reali pentru
unităţi.
Calcularea beneficiilor politicii de securitate poate deveni foarte rapid un exerciţiu
complex şi controversat. Când oamenii au început să ia în considerare concepte
intangibile, cum ar fi reputaţia, încrederea, au realizat şi valoarea securităţii dincolo de
salvările calculate care rezultă din evitarea breşelor de securitate.
Oricum, greutatea dată acestor atribute poate varia semnificativ şi să depindă de
preferinţele individuale sau de grup. Deoarece cu primul ciclu în analiza deciziei trebuie
să fie uşor de lucrat, valorile intangibile sunt lăsate pentru iteraţiile ulterioare. Astfel,
diferenţele în cazul pierderilor anuale aşteptate pentru diferite politici, relative la status
quo (k 0), furnizează o estimare largă a beneficiilor aşteptate şi de aici, a evaluărilor
suplimentare ale securităţii.
Benefitk  ALE 0  ALE k ...k  1,2,..., l
Aşa cum s-a discutat în capitolul anterior, ALE este rezultatul frecvenţei cu care
au loc anual incidente, respectiv pierderi corespunzătoare acestora. Valorile actuale
pentru aceste cantităţi constituente vor fi analizate mai atent în capitolul următor.
Pierderile, în general, includ toate costurile adiţionale cre decurg în mod direct din
producerea unui incident. De ex., plăţile legale care decurg din prevederile legale,
penalităţile date în urma dezvăluirii de informaţii, pierderile rezultate în urma întârzierii
relizării unui produs, pierderile datorate afectării reputaţiei pot fi toate incluse în
pierderile totale estimate pentru un incident.
Deoarece premiile pentru asigurări depind de ALE, ALE poate deveni un sistem
de măsurare standard. Un alt avantaj reiese din natura riguroasă şi aditivă a calculelor.
Spre deosebire de valorile intangibile subiective şi de cele mai multe ori, controversate,
ALE dă pierderile şi salvările reale sub diferite politici de securitate. Astfel, deciziile de
conducere bazate pe ALE pot fi justificate din punct de vedere al costurilor, chiar dacă
nu sunt luate în calcul toate riscurile posibile, deoarece riscurile considerate vor garanta
acţiunile întreprinse. Obstacolul principal în utilizarea ALE ca o măsură exclusivă a
riscului este, aşa cum am menţionat şi mai devreme, lipsa de abilitate în diferenţierea
evenimentelor cu consecinţe scăzute, frecvenţe înalte de evenimentele cu consecinţe
grave, frecvenţe scăzute. Pentru multe companii, primul caz poate fi dirijat printr-un cost
incremental, în timp ce al doilea caz poate fi dezastruos. Aceasta, dacă analiza include
un tip de eveniment recent, analistul ar trebui să prefaţeze căutările evaluărilor de
securitate cu o explicaţie asupra dezavantajelor sistemului de măsurare ALE. Ecuaţia
pentru variabila Pierderi anuale aşteptate este dată în continuare:
n  
 
ALE k    F0 Bi   D0 Bi    1  E f Bi , S j   I k S j   1  E d Bi , S j   I k S j  
m
i 1  j 1 
Conceptul de eficienţă a măsurilor de protecţie este necesară pentru a măsura
costurile şi beneficiile diferitelor politici de securitate. Măsura eficienţei corespunzătoare
primei generaţii de metodologii se manifestă în evaluări multiple realizate sub diferite
prevederi de politică.
În Fig.6, eficienţa este modelată explicit sub forma unor factori de reducere
fracţională în frecvenţă şi consecinţe ale evenimentelor grave, Ef şi respective, Ed .
Aceşti factori de reducere sunt relativi la status quo. De ex., dacă Ef(Bi,Sj) = 0.4 pentru i,
j, atunci implementarea măsurilor de securitate Sj va reduce frecvenţa de producere a
evenimentelor grave Bi la 60 la sută din valoarea iniţială. Când sunt implementate
câteva măsuri de protecţie, factorii de reducere sunt aplicaţi cu succes. De ex., dacă
două măsuri de protecţie, care au factorii de reducere Ef(Bi,S1) = 0.4 şi Ef(Bi,S2) = 0.2,
care au fost implementaţi, atunci frecvenţa anuală de producere a evenimentelor grave
Bi vor fi reduse cu 48 la sută din valoarea status quo.
În ultimii ani, una din cele mai importante propoziţii despre valoarea securităţii,
este aceea conform căreia securitatea este văzută la baza creării de noi oportunităţi de
afaceri. Internetul folosit pentru creşterea vânzărilor, extinderea capacităţilor de
comunicare au condus la nevoia unei mai buni securităţi a calculatoarelor.
Pe baza raportului cost-beneficiu, aceste noi oportunităţi pot fi mai mult decât
justificate pentru costurile suplimentare necesare securităţii. Capturarea acestor efecte
în modelul riscului nu este un lucru facil. Modelarea unei afaceri este un lucru destul de
completat. În prima iteraţie a modelului riscului securităţii, este suficientă o simplă
estimare a profiturilor viitoare, într-un interval de nesiguranţă corespunzător. Dacă
analiza ulterioară arată că noile câştiguri sunt de bază pentru decizie, atunci poate fi
încorporat în iteraţiile ulterioare mai mult de un model. Ecuaţia de bază pentru Profiturile
Suplimentare este dată în cele ce urmează:
Addedprofit   RS j   I k S j ...k  1,2,3,..., l
m
j 1
La variabilele cheie, costul este probabil cel mai rapid cuantificabil. În costurile
pentru măsurile de protecţie sunt incluse iniţial investiţiile în echipamente şi software,
salariile angajaţilor, costuri de întreţinere, etc. Însă, nu toate costurile pot fi estimate uşor.
Măsurile suplimentare de securitate pentru calculatoare pot afecta moralul
angajaţilor, consuma resursele calculatoarelor sau reţelelor şi împiedica bunul mers al
proiectelor, toate acestea conducând la o scădere a productivităţii. La fel ca şi în cazul
Beneficiilor şi Profiturilor Suplimentare, costurile dificil de măsurat trebuie lăsate
iteraţiilor ulterioare din ciclul analizei. Dacă decizia trebuie să se orienteze pe costuri,
atunci trebuie luaţi în considerare alţi factori. Ecuaţia pentru Costurile Suplimentare este
dată în continuare, precum şi ecuaţia completă pentru Beneficiul Net (Net Benefit).
AddedCostk   C S j   I k S j 
m
j 1
   
 
NetBenefitk    F0 Bi   D0 Bi 1   1  E f Bi , S j   I k S j   1  Ed Bi , S j   I k S j    
n m
i 1   j 1  
  C S j   I k S j   R S j   I k S j 
m
j 1
4.5. TEHNICILE DE ANALIZĂ
O dată ce diagrama de influenţă şi evaluările corespunzătoare sunt complet

satisfăcătoare, urmează faza de analiză. Cât timp procesul de realizare a diagramelor
are la bază cunoştinţe instituţionale şi încurajează concurenţa de opinii, faza de analiză
rezolvă dedesubturile cunoştinţelor şi direcţionează eforturile de modelare viitoare.
Setul de instrumente analitice pentru analiza modelului deciziei include o analiză
sensibilă de categorie nominală, o analiză sensibilă parametrizată, o analiză stohastică
şi valoarea calculelor informaţiei.
Analiza sensibilă de categorie nominală dezvoltată ca o tehnică de filtrare pentru
identificarea variabilelor cheie care au mare influenţă asupra deciziei. Evaluările sunt
făcute pe baza unor nivele mai mari sau mai mici pentru toate incertitudinile, de obicei
corespunzând unor procente de 10 şi 90 la sută. Funcţia obiectiv este apoi calculată
pentru fiecare nivel mai mare sau mai scăzut, individual, pentru o variabilă dată,
împreună cu toate celelalte variabile menţinute la valorile lor nominale sau la
valorile ”ghicite cel mai bine”. În general, aceste variabile găsite pentru a afecta în mare
măsură funcţia obiectiv vor reapare în discuţie în analizele ulterioare şi într-o
caracterizare mai detaliată în alte iteraţii ale procesului de modelare.
Analiza sensibilă parametrizată, aşa cum reiese chiar din nume, parametrizează
o variabilă dată şi examinează modul în care decizia optimă se schimbă într-o serie de
valori. De interes sunt punctele transversale, unde cea mai bună decizie se schimbă
dintr-o alternativă a deciziei în alta. Această analiză sensibilă ne dă măsura robusteţii
alternativei alese.
Dacă cea mai bună alternativă de decizie se schimbă, cu mici variaţii, într-o
variabilă particulară, atunci acea variabilă trebuie luată în considerare într-o modelare şi
strângere de informaţii mai detaliate.
După ce analiza sensibilă a identificat variabilele importante, analiza stohastică
examinează rolul incertitudinii în luarea unei decizii. Regulile dominantei stohastice se
referă la tehnici pentru alternative de decizie treptate bazate pe distribuţiile lor
probabilistice complete şi pe principalele preferinţe în luarea deciziilor. Dominantele
stohastice de primul, al doilea şi al treilea nivel sunt criterii de succes, judecând din
punct de vedere al superiorităţii alternativelor de decizie. Următorul set de ecuaţii
furnizează regulile pentru dominanta stohastică.
Fiind date:
A1[X] = P[X<=x], pentru Alternativa 1 :
A2[X] = P[X<=x], pentru Alternativa 2 :
U = Funcţia utilă
Dominanta stohastică de primul nivel:
A2[X] domină A1[X], dacă şi numai dacă A2[X] <= A1[X] , pt. orice X
cu inegalitate strictă pentru cel puţin o valoare a lui X.
Presupunem că : U nu este descrescătoare, astfel U’>= 0.
Dominanta stohastică de ordin doi:

A2[X] domină A1[X], dacă şi numai dacă:
X X
 A2t dt   A1t dt...X

a a
cu o inegalitate strictă pentru cel puţin un X0 aparţinând intervalului [a,b].
Presupunem că: U nu este descrescătoare, U’>0 şi U exprimă creşterea riscului,

U’’<=0.
Dominanta stohastică de ordin trei:

A2[X] domină A1[X], dacă şi numai dacă:
X z X z
(1)  A2t dtdz   A1t dtdz...X
a a a a
b b
(2)  A2X dX   A1X dX
a a
cu strictă inegalitate pentru cel puţin un X în prima condiţie sau strictă inegalitate
în condiţia 2.
Dominanta stohastică este probabil mai uşor de înţeles, dacă se urmăresc

graficele (diagramele) distribuţiei probabilităţii cumulative corespunzătoare alternativelor
de decizie concurente, din Fig. 7.
În primul grafic, dominanta stohastică de nivel unu (FSD) poate fi obţinută prin
inspectare, deoarece curba distribuţiei dominante corespunzătoare Alternativei 2 este
complet la dreapta curbei pentru Alternativa 1.
O modalitate de a înţelege acest rezultat este aceea de a considera că pentru
orice valoare utilă, probabilitatea de a obţine acea valoare sau una mai mare este
întotdeauna mai mare cu Alternativa 2.
De aici, presupunerea referitoare la FSD conform căreia funcţia utilă nu este
descrescătoare.
Dacă respectivele curbe de distribuţie se intersectează, atunci FSD nu ar exista.
În acest caz, se poate privi la dominanta stohastică de nivel doi, comparând aria
(suprafaţa) dintre curbe. Aşa cum este arătat în al doilea grafic din Fig. 7, alternativa 2
are dominantă stohastică de nivel doi peste Alternativa 1, deoarece zona doi este mai
mare ca zona unu. Presupunerile pentru SSD: funcţia utilă nu este descrescătoare şi
arată aversiunea riscului. Interpretarea intuitivă a SSD este că o persoană care ia decizii
va prefera alternativele de risc mai redus, cu variaţii mici, în locul celor cu mare risc, cu
variaţii mari. Al treilea grafic din Fig. 7 arată un exemplu de dominantă stohastică de
nivel trei (TSD).
Am putea fi tentaţi să gândim că SSD există aici deoarece suma ariilor I şi III este
evident mai mare decât aria II. Oricum, aria II este mai mare decât aria I şi , deoarece
definiţia SSD solicită ca inegalitatea să fie păstrată pentru toate X, SSD nu este
prezentă.
În mod grafic, TSD necesită ca suma ariilor I şi III să fie mai mare ca suprafaţa II,
iar aria II să nu fie de trei ori mai mare ca aria I. Presupunerile pentru SSD: funcţia utilă
nu este descrescătoare, arată aversiunea riscului şi demonstrează caracterul oblic
pozitiv. O interpretare intuitivă a TSD este aceea că, pentru alternative date cu variaţii şi
mijloace egale, o persoană cu drept de decizie va prefera alternativa cu un risc inferior,
mai scăzut, aşa cum este manifestat în caracterul oblic-pozitiv.
În absenţa oricărei dominante stohastice, un mai mare efort de modelare şi

culegere de informaţii poate ajuta la micşorarea incertitudinii asupra variabilelor cheie şi
poate duce la o mai bună înţelegere asupra dominantei. Analiza pentru valoarea
informaţiei este ajutătoare în scopul determinării resurselor care trebuie cheltuite pentru
informaţii suplimentare. În general, idea conform căreia informaţia are o valoare este
indiscutabilă. Stabilirea unui număr precis acelei valori este departe de a fi contestată. În
contextul deciziei, acest proces devine dintr-o dată mai corect. În funcţie de măsura în
care descoperirea de informaţii adiţionale despre incertitudine poate schimba o decizie,
acestă informaţie are valoare. Cunoaşterea unei variabile cu certitudine schimbă
utilitatea aşteptată a fiecărei alternative de politică. Din diferenţa între utilitatea deciziei
cu noua informaţie şi utilitatea deciziei fără noua informaţie, se poate deduce valoarea
pentru acea informaţie nouă.
REFERINŢE BIBLIOGRAFICE
1. Adams, J. and Thompson, M. (2002). “Taking account of societal concerns

about risk: framing the problem”, Health and Safety Executive, Research
Report 035
2. Amor, D. (2001). The E-Business (R)evolution: Living and Working in an
Interconnected World (2nd Edition), Prentice Hall
3. Austin, R. and Darby , C. (2003). The myth of secure computing. Harvard
Business Review, 81(6):120-126
4. Berrryman, P. (2002). Risk Assessment: The Basics
5. Bishop, M. (1999). Vulnerabilities Analysis, in Proceedings of the Second
RAID Conference
6. Blakley, B., McDermott, E. and Geer, D. (2002). Information security is
information risk management, in Proceedings of NSPW, Cloudcroft, New
Mexico, USA
7. Bontchev, V.V. (1998). Methodology of Computer Anti-Virus Research,
PhD thesis. University of Hamburg, Germany
8. Buffam, W.J. (2000). The Fundamentals of Internet Security, Unisys
9. Castano, F., Phillips, C., Swiler, L.P., Gaylor, T., Leary, P., Rupley, F., Isler,
R. and Dart, E. (1998). A Preliminary Classification Scheme for Information
System Threats, Attacks, and Defenses: A Cause and Effect Model and
Some Analysis Based on That Model, Sandia National Laboratories
10. D’Arcy, S.P. (2001). Enterprise Risk Management. Journal of Risk
Management of Korea, 12 (1)
11. Frisch, E. (1995). Essential System Administration, Second Edition.
O’Reilly & Associates, Inc., CA, USA
12. Jacobson R.V. (1996). CORA Cost-of-Risk Analysis, in Proceedings of
IFIP ”96 WG11.2. Samos, Greece
13. Kabay, M.E. (1996). Enterprise Security: Protecting Information Assets.
McGraw-Hill
14. Kankanhalli, A., Teo, H.-H., Tan, B. C. Y. And Wei, K.-K. (2003). An
integrative study of information system security effectiveness. International
Journal of Information Management 23: 139-154
15. Landwehr, C. E. (2001). Computer security. International Journal of
Information Security, 1:3 – 13
16. Loscocco, P. A. , Smalley, S.D. , Muckelbauer, P. A., Taylor, R. C. , Turner,
S. J. and Farrell, J.F. (1998). The Inevitability of Failure: The Flawed
Assumption of Security in Modern Computing Environment. In Proceedings
of the 21 st Natioanl System Security Conference
17. Neumann, P. G. (1995). Computer related risks. ACM Press
18. Ozier, W. (1999). A Frameworkfor an Automated Risk Assessment Tool,
The Institute of Internal Auditors
19. Panko, R. R. (2004). Corporate computer and network security. New
Jersey: Prentice Hall
20. Pfleeger, C. P. (1997). Security in Computing. Addison Wesley
21. Schneier, B. (2000). Secrets and Lies: Digital Security in a Networked
World. Wiley: New York
22. Siponen, M. T. (2000). A conceptual foundation for organizational
information security awareness. Information Management and Computer
Security, 8/1: 31-41
23. Stallman, R.M. (1984). Letterto ACM Forum. Communication of the ACM,
27 (1), January: 8-9
24. Stoneburner, G., Goguen, A. and Feringa, A. (2001). Risk Management
Guide for Information Technology System, National Institute of
Standardsand Technology
25. Straub, D. W. and Welke, R. J. (1998). Coping with system risk: security
planning models for management decision making. MIS Quarterly, 22,4 :
441-64
26. Summers, R. C. (1997). Secure Computing: Threats and Safeguards.
McGraw-Hill
27. Vasiu, L. and Vasiu, I. (2004). Dissecting Computer Fraud: From
Definitional Issues to a Taxonomy, in Proceedings of the 37 th Hawaii
International Conference on System Sciences, Hawaii, USA, IEEE
Computer
28. Vasiu, L. and Vasiu, I. (2004a). A Taxonomy of Malware Use in the
Perpetration of Computer – related Fraud. In U.E. Gattiker (Ed.), EICAR
2004 Conference CD-rom: Best Paper Proceedings. Copenhagen:EICAR
e.V.
29. Vasiu, I. si Vasiu, L. (2001). Totul despre hackeri. Editura Nemira,
Bucuresti
30. Wilsher, R. G and Kurth, H. (1996). Security assurance in information
systems. In Sokratis K. Katsikas si Dimitris Gritzalis (Eds.) (1996).
Information Systems Security: Facing the information society of the 21st
century, Chapman and Hall
31. Critical Foundations. Protecting America’s Infrastructures. The Report of
the President’s Commission on Critical Infrastrucutre Protection,
Washington DC, October 1997
32. Infosurance, Zürich, 2001.
33. Critical Information Infrastructure Protection, ETH,2002.
34. A Risk-Management Approach to Computer Security, Kevin J. Soo Hoo,
2000.
35. Analiză de risc şi de vulnerabilitate pentru infrastructurile critice ale
societăţii informatice – societate a cunoaşterii, Adrian V. Gheorghe,2002.
36. Stadiul actual al dezvoltării sistemelor de securitate pentru reţele de
calculatoare de înaltă siguranţă, Referat nr. 1, ing. Valer BOCAN, prof. dr.
ing. Vladimir CREŢU, Timişoara, 2002.
ANEXA 1
MODELE ŞI METODE PENTRU ANALIZA INFRASTRUCTURII

DE INFORMAŢII CRITICE
INTRODUCERE
Sectoarele (zonele) cheie ale societăţii moderne, inclusiv cele vitale pentru
securitatea naţională şi pentru funcţionarea esenţială a economiei, industriei depind de
un spectru de interdependenţă ridicată între software-ul de nivel naţional şi internaţional
şi sistemele de control, pentru operarea continuă, fără întreruperi.
Această infrastructură de informaţii stă la baza multor elemente ale infrastructurii
critice (CI) şi de aici, rezultă şi denumirea infrastructură de informaţii critice (CII). CII face
un continuu schimb între noi tipuri de interacţiune cu societăţile, fiind evidentă folosirea
tot mai mare a sistemelor deschise pentru monitorizarea şi controlul operaţiilor CI,
precum şi convergenţa mass-mediei, a tehnologiei informaţiei şi a comunicaţiilor către
informaţii şi comunicaţii integrate (ICT).
Creşterea valorii informaţiei şi disponibilitatea mijloacelor electronice pentru
prelucrarea unui volum din ce în ce mai mare de informaţii, nu fac din informaţii şi
sistemele de informaţii doar bunuri fără preţ, ci şi importante ţinte. Deşi oportunităţile
ICT sunt bine ştiute şi exploatate, consecinţele legăturii CI cu CII nu sunt suficient
înţelese. Sistemele de informaţii sunt expuse defecţiunilor, sunt ţinte atractive pentru
atacuri răuvoitoare şi sunt susceptibile la efectele distructive în cascadă. Aceste noi
tipuri de riscuri şi vulnerabilităţi au devenit o problemă de securitate majoră la nivel
mondial.
Ca subiect de cercetare, un număr de aspecte (probleme) indică o nevoie urgentă de
a asigura o protecţie continuă a CII. Aceste aspecte de referă la:
- legăturile în CI;
- consecinţele interdependenţelor între diferitele subsisteme ale CI;
- posibile efecte distructive în cascadă ale defecţiunilor;
- noi situaţii de urgenţă cu apariţia unor noi vulnerabilităţi insuficient înţelese.
În ultimii ani, multe ţări au făcut paşi către o mai bună înţelegere a vulnerabilităţilor şi
ameninţărilor ce afectează CII şi au întocmit planuri cu soluţii posibile pentru protecţia
acestor bunuri critice (protecţia infrastructurii de informaţii critice, CIIP). Toate aceste
eforturi de protecţie la nivel naţional, reprezintă subiectul care va fi dezbătut în
continuare.
Este de dorit (dar foarte greu de obţinut) să se facă o distincţie între cei doi termeni
CIP (protecţia infrastructurii critice) şi CIIP (protecţia infrastructurii de informaţii critice)
În publicaţiile oficiale, cei doi termeni sunt folosiţi inconsistent. De cele mai multe ori
rămâne neclar dacă articolele de specialitate se referă la CIP sau CIIP, din moment ce
ambele concepte sunt în mod frecvent schimbate într-o manieră ne-sistematică.
Mai curând, folosirea în paralel a celor doi termeni reflectă stadiul discuţiilor politice
din ţările care au abordat aceste probleme.
Oricum, există cel puţin o caracteristică pentru a face distincţia între cele două
concepte. În timp ce CIP cuprinde toate sectoarele critice ale infrastructurii unei ţări, CIIP
este doar un subset al unui efort de protecţie detaliată, care se orientează către
infrastructura informaţiilor critice.
Scopul pe care îl urmărim este acela de a furniza o privire de ansamblu asupra
practicilor de protecţie ale CII ţări cum ar fi: Austria, Canada, Germania, Olanda, Suedia,
Norvegia, Elveţia şi Statele Unite. Analiza pe care o efectuăm se ghidează după două
întrebări:
- Ce prevederi naţionale referitoare la protecţia infrastructurii de informaţii critice
există?
- Ce metode şi modele sunt folosite în ţările respective pentru a analiza şi evalua
diferite aspecte ale infrastructurii de informaţii critice?
MODELE PENTRU ANALIZA CII
INTRODUCERE
Acest capitol se referă la modele şi metodele utilizate pentru analiza CII pentru un
nivel generic. Sunt abordate următoarele modele:
1. Tehnologie IT – modele de securitate;

2. Metodologia de analiză a riscului;
3. Modelul analizei riscului de infrastructură;
4. Modelele de bază Leontief ale riscului;
5. Modele pe zone şi nivele;
6. Analiza pe zone;
7. Analiza tehnologiei şi procesului;
8. Analiza Interdependenţei Dimensionale.
Pentru fiecare analiză şi aproximare, sunt luate în considerare trei elemente:

Zona aplicaţie: la ce nivel de analiză sau la ce componentă a analizei CII poate fi
aplicată aproximarea respectivă (ex., nivelul sistemelor tehnice, componenta de
infrastructură, infrastructura, zona de infrastructură, sistemul infrastructurii complexe,
critice).
Obiectivul: Care este obiectivul declarat al aproximării?
Procesul de lucru: Ce paşi, etape include aproximarea? (Dacă nu este
disponibilă o descriere a procesului, această etapă este omisă)
TEHNOLOGIA IT – MODELE DE SECURITATE
Aria de aplicabilitate
Tehnologia IT – modele de securitate care să asigure securitatea la nivelul
sistemelor tehnice.
Obiective
Predominant, această categorie de modele acoperă măsurile aplicate local cu
precădere în domeniul afacerilor, agenţiilor sau militar în contextul unei organizaţii.
Modelele au la bază idea conform căreia o protecţie suficientă la nivelul
sistemului tehnic elimină ameninţările pentru sistemul infrastructurilor critice. Manualele
de protecţie tehnică recomandă măsuri de securitate pentru anumite sisteme IT.
Scopul acestor recomandări este acela de a se asigura un nivel de securitate
pentru sistemele IT, cât mai convenabil şi adecvat pentru satisfacerea cerinţelor de
protecţie, de la cele normale, la cele mai ridicate nivele de protecţie. Alte recomandări
furnizează modele pentru proiectare, dezvoltare sau implementarea de sisteme IT
sigure, care să ia în considerare cel puţin patru obiective de securitate.
Institutul Naţional de Standarde şi Tehnologie (NIST) furnizează un număr de
ghiduri şi recomandări pentru securitatea tehnologiei informaţiei. Modelele tehnice
propuse furnizează o descriere a elementelor de bază tehnice care subliniază
tehnologia securităţii informaţiei şi intenţionează să fie modele care trebuie să fie luate
în considerare la proiectarea şi dezvoltarea capabilităţilor securităţii tehnice.
Manualul pentru protecţia de bază în IT conţine prevederi de securitate standard,
prevederi referitoare la implementare şi elemente ajutătoare pentru numeroase
configuraţii IT corespunzătoare acestor tipuri de sisteme. Aceste prevederi urmăresc să
aducă soluţii rapide pentru problemele de securitate comune, de a ajuta la creşterea
nivelului de securitate pentru sistemele IT şi de a simplifica apariţia politicilor de
securitate IT.
METODOLOGIA DE ANALIZĂ A RISCULUI (PENTRU SISTEMELE IT)
Zona de aplicabilitate
Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de
securitate pentru sistemele informaţionale electronice şi la conceperea de politici şi
planuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea se
poate face pentru orice nivel de complexitate sau pentru orice dimensiune
corespunzătoare a unui sistem.
Obiective
Ca element de decizie pentru zona securităţii, metodologiile evaluării riscului vor
să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitate
specifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru a
furniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generală
care include un număr de etape intermediare. Definiţiile standard ne arată care
elemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă dată
de ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactul
rezultat al evenimentului nefavorabil.
Procesul de lucru
Metodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi
poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice.
Oricum, în scopul identificării tuturor sub-elementelor necesare, trebuie luaţi în
considerare cel puţin cinci paşi. Figura 1 prezintă nouă paşi posibili ai unei analize a
riscului.
Caracterizarea Identificarea Identificarea Analiza
sistemului ameniţărilor vulnerabilităţilor controlului
Pas 1 Pas 2 Pas 3 Pas 4
Recomandările Stabilirea Determinarea Impactul analizei Determinarea

controlului contramasurilor riscului defecţiunilor probabilităţilor de
prioritare apariţie
Pas 9 Pas 8 Pas 7 Pas 6 Pas 5
Fig.1. Etapele în metodologia de stabilire a riscului
Pasul 1: Caracterizarea sistemului

Definiţia scopului efortului şi limitele sistemului evaluat. Aceasta include
identificarea tuturor resurselor, bunurilor şi informaţiilor ce constituie sistemul.
Pasul 2: Identificarea ameninţărilor

Determinarea (1), natura ameninţărilor interne şi externe, (2) sursa lor şi (3)
probabilitatea ca ele să se manifeste. Probabilitatea unei ameninţări este o măsură a
probabilităţii ca o ameninţare să se concretizeze.
Pasul 3: Identificarea vulnerabilităţii

Pasul următor este acela de a stabili o listă a vulnerabilităţilor unui sistem care
pot fi exploatate de o potenţială sursă de ameninţare. Sunt câteva abordări sofisticate în
Analiza vulnerabilităţii.
Pasul 4: Analiza controalelor care au fost implementate sau care se doresc a fi

implementate de către organizaţie, pentru a minimiza sau elimina probabilitatea ca o
ameninţare să exploateze o vulnerabilitate a sistemului.
Pasul 5: Determinarea probabilităţii

În determinarea probabilităţii unei ameninţări, trebuie să se ia în considerare
sursele de ameninţare(2), vulnerabilităţile posibile(3) şi controalele existente(4).
Pasul 6: Analiza impactului sau pagubelor

Gradul de afectare a unui bun este cel mai bine determinat de către proprietar
sau manager care poate cunoaşte valoarea actuală a bunului. Impactul nefavorabil al
unui eveniment de securitate poate fi descris în termeni de pierdere sau degradare a
unuia sau mai multor Obiective de Securitate. Alte categorii pot fi aplicate dacă analiza
riscului este făcută pentru mai multe sisteme abstracte.
Pasul 7: Determinarea riscului

Stabilirea nivelului de risc al sistemului. Determinarea riscului poate fi exprimată
ca o funcţie a probabilităţii ca o sursă de ameninţare dată să încerce să exploateze o
vulnerabilitate dată (pasul 5) şi mărimea impactului face ca o sursă de ameninţare să
exploateze cu succes o vulnerabilitate (pasul 6). Pentru a măsura acest risc rezultat,
este nevoie de o scală a riscului şi un nivel al riscului.
Pasul 8: Evaluarea priorităţii contramăsurilor.

Evaluarea contra-măsurilor exprimă diferenţa între riscul impus (de dorit ca nivelul
de risc să fie stabilit de autoritatea în domeniu) şi riscul rezultat (pasul 7) şi este utilizată
pentru a furniza un ghid în ceea ce priveşte importanţa care trebuie acordată
contramăsurilor de securitate. Din nou, valorile şi categoriile aplicate pot varia puţin.
Tabelul 1 este un exemplu de tabel de evaluare a riscului.
Pasul 9. Recomandările de control

Prevederea de controale care pot diminua sau chiar elimina riscurile identificate.
Scopul controalelor recomandate este acela de a reduce nivelul de risc al sistemelor şi
datelor lor la un nivel acceptabil.
echipamentului
echipamentelo
Riscul rezultat
Riscul asumat
Probabilitatea
contramăsuri
Ameninţările
Identificarea
Co-loana 3
ameninţării
Coloana 1
Coloana 2
Coloana 4
Coloana 5
Coloana 6
Coloana 7
Prioritate
Defecţini
asupra
Rând 1 Căderi Medium Grav Critic Absent 4

Comerţ accidentale de
electronic prin tensiune ori
intermediul echipamente
paginilor web defecte
Rând 2 Pierderea Înalt Minor Medium Scăzut 1
Acurateţea confidenţialităţii şi
informaţiilor încrederii datorită
publicate pe pirateriei pe web
web
Rând 3 Pierderea Foarte Serios Medium Scăzut 1
Securitatea dispozitivelor sau scăzut
accesului la a cheilor
resursele necesare
interne ale accesului la
reţelei prin canalele
personal securizate
autorizat din
cadrul reţelelor
externe
Tabelul 1. Tabel cu riscurile asumate
MODELUL ANALIZEI RISCULUI UNEI INFRASTRUCTURI (IRAM)
Zona de aplicabilitate
IRAM este modelul analizei riscului unei infrastructuri probabile şi furnizează o
metodă analitică pentru cuantificarea (determinarea cantitativă) a riscului şi un proces
sistematic pentru conducerea modelării, evaluării riscului şi managementul
componentelor unei infrastructuri specifice sau al unor sectoare întregi dintr-o
infrastructură (de exemplu militară).
Obiective
IRAM este o abordare complexă a modelului de interconectare şi
interdependenţă a unui sistem cu infrastructură. Se pune accent pe aspectele de
modelare şi evaluare şi furnizează metode de calculare a măsurilor critice şi relevante
ale eficacităţii necesare pentru alocarea câtorva resurse pentru îmbunătăţirea securităţii
sistemului.
Datorită modelării văzute ca un risc extrem, IRAM furnizează activităţi ale
sistemului sub limita normalului, drept activităţi neobişnuite.
Procesul de lucru
Procesul IRAM constă în patru faze, arătate în Fig. 2.
Faza I Faza II Faza III Faza IV
Identificare Model Echipamente Conducere
- Descompunere - Descoperirea - Calcul - Generare

folosind MHI scenariilor de - Pierderi aşteptate alternativă şi
- Identificarea şi ameninţări - Pierderi foarte crescătoare
- Ordinea mari - Analiza
rata importanţei
vulnerabilităţilor - Infrastructură schimbării
- Construirea sigură conducerii
- Identificarea şi modelului de
- Creştere
rata risc
ameninţărilor
- Valorile
componentelor
importante
Fig.2. Cele patru faze ale modelului analizei riscului de infrastructură
Faza I: Identificarea ameninţărilor şi vulnerabilităţilor
Identificarea riscurilor unei infrastructuri se poate realiza prin structurarea sistemului(Fig.
3) Structurarea este realizată prin folosirea Modelului Holografic Ierarhic (MHI), astfel
încât infrastructura este împărţită în:
Infrastructura
Temporar Politic
Economic Ameninţări
Componente Structură Funcţiuni Stare Vulnerabilităţi
Static Superior Expunere

Dinamic Lateral Acces
Flux Subsistem
Fig.3. Descompunerea unui sistem generic
- Componente: structurale (statice), de operare (dinamice) şi componente

fluctuante ale infrastructurii.
- Structura ierarhică: se referă la relaţia între componentele aflate în diferite
ierarhii, cum ar fi super-sistemele, sistemele laterale, şi subsistemele.
- Funcţie: descrie (în fraze cu verbe de mişcare). În termeni de acţiune pe fiecare
componentă, element sau parte componentă a unui subsistem.
- Stare: stări variate (inutil, ocupat, etc.) ale unui sistem la un anumit moment de
timp.
- Vulnerabilitate: identificată pentru orice sistem şi referită în termeni ai expunerii,
accesului şi ameninţării.
Faza I culminează cu un număr de vulnerabilităţi pentru evaluarea următoare: O

dată ce sistemul a fost analizat şi au fost identificate vulnerabilităţile şi ameninţările,
rezultatele sunt ordonate într-un sistem. Apoi, sunt definite sursele de risc. Această
decizie poate fi bazată pe rezultatele cercetării, studii sau alte resurse.
Faza II: Modelul riscului

Primul pas în Faza II este dezvoltarea scenariilor pentru modele. Scopul
modelului riscului este acela de a furniza informaţii în urma consecinţelor unui scenariu
executat împotriva unui sistem aflat în studiu. Faza II se termină prin construirea unui
model probabilistic de evaluare a riscurilor asociate cu un scenariu dat.
Ca şi în Faza I, scenariul este clasificat, iar experţii decid care scenariu va servi
drept iniţiator de evenimente pentru modelul riscului.
Faza III: Pierderile evaluării

Faza III este faza evaluării, unde securitatea infrastructurii, însemnând pierderi
preconizate şi pierderi majore care sunt calculate folosind metoda partiţionării pe
obiective multiple a riscului (PartitionedMulti-objective Risk Method (PMRM)). Aceasta
nu permite doar să fie observată mărimea pagubelor aşteptate, dar ajută la înţelegerea
probabilităţii scăzute a evenimentelor de mare impact. Este şi un instrument util pentru a
demonstra securitatea sistemului.
Faza IV: Conducerea (managementul)

Faza IV este faza de management, în care sunt generate alternativele şi
reevaluat modelul riscului pentru a anticipa performanţa infrastructurii. Culminează cu o
fază de analiză pe obiective multiple (Multi-Objective Trade-off Analysis), care
furnizează informaţii pentru a determina nivelul riscului acceptat.
MODELUL LEONTIEF – MODELUL RISCULUI ÎN INFRASTRUCTURILE

COMPLEXE INTERCONECTATE
Domeniul de aplicaţie
Prin abordarea intrărilor-ieşirilor dinamice din sistemele cu infrastructură
complexă se acordă o atenţie deosebită interdependenţelor şi efectelor la schimbarea
componentelor.
Obiective
Scopul acestui model constă în îmbunătăţirea înţelegerii operativităţii
infrastructurilor critice în toate condiţiile posibile pentru a putea prevedea efectul
înlocuirii unui segment cu altul. Acest lucru se realizează atât prin explorarea izolată a
fiecărei infrastructuri cât şi prin analizarea structurilor interconectate între ele.
Modelul original al intrărilor-ieşirilor constituie un cadru pentru studierea
dezechilibrelor unei economii. Modelul lui Leontief presupune că intrările de bunuri cât
şi de resurse necesare pentru producerea oricăror bunuri sunt proporţionale cu ieşirile
de bunuri. În plus, ieşirile oricăror bunuri sunt folosite fie ca intrări pentru producţie, fie
pentru satisfacerea cererii de consum.
Modelul adaptat consideră un sistem format din infrastructuri interconectate
complexe în care ieşirile reprezintă riscul neoperativităţii lor, neoperativitate care poate fi
declanşată de apariţia a uneia sau a mai multor erori. Întreruperi datorate complexităţii
sistemelor, accidentelor, dezastrelor naturale sau actelor teroriste. Intrările în sistem pot
eşua datorită accidentelor, dezastrelor naturale sau actelor teroriste. (Fig. 4)
Intrare x
Intrare 1 Ieşire 1
Intrare 2 Ieşire 2
Infrastructura
Ieşire n
Intrare n
Fig.4. Relaţiile de intrare-ieşire
Sistemul este într-o condiţie perfectă atunci când toate componentele

funcţionează perfect (ireproşabil). În acest caz, sistemul este într-o stare de echilibru.
Metoda de lucru
Unitatea folosită de modelul intrărilor-ieşirilor (Leontief) spre exemplu pentru
economie o reprezintă dolarul. Modelul cu infrastructură adaptată foloseşte unităţi de
risc al neoperativităţii, unde riscul de neoperativitate este măsurat ca probabilitate şi
grad (procente) al neoperativităţii sistemului.
La aplicarea modelului pentru orice sistem cu infrastructură specifică, o primă
sarcină o reprezintă definirea, pentru fiecare infrastructură, a neoperativităţii şi a
riscurilor asociate în aşa fel încât să descrie modul de comportare al infrastructurii cât
mai precis posibil.
În primul rând, trebuie definită neoperativitatea pentru fiecare dintre subsisteme,
în aşa fel încât să cuprindă esenţa şi caracteristicile tuturor subsistemelor
corespunzătoare obiectivelor problemei pe care o reprezintă. Neoperativitatea unei
infrastructuri poate fi definită folosind diferite criterii, de exemplu: factori geografici,
funcţionali, temporali sau politici. Fiecare poate justifica elaborarea unui model diferit de
tip Leontief, model cu dimensiuni specifice.
După definirea clară a neoperativităţii, următorul pas constă în determinarea
matricii de echilibru a lui Leontif. Problema alocării resurselor este introdusă în modelul
economic de Leontief ca singur obiectiv, avînd la bază modelul programării liniare, în
care produsul naţional brut este maximizat ţinînd cont de constrângerile impuse de
limitele resurselor. În modelul lui Leontief cu infrastructură liniară pot fi analizate multiple
obiective. Un exemplu constă în minimizarea neoperativităţii pentru mai mult de o
infrastructură. Următoarele întrebări sunt: cum putem obţine echilibrul sau cum ar
reacţiona sistemul la o perturbare iniţială. Aceasta este totodată şi întrebarea legată de
evoluţia în timp a infrastructurii.
MODELE SECTORIALE ŞI ZONALE
Modelele sectoriale şi zonale analizează părţi din infrastructura sistemelor sau
toate elementele critice din cadrul unei infrastructuri şi relaţiile dintre acestea şi adesea
sunt folosite ca ilustrare a interdependenţelor dintre elemente.
Obiective
Aceste modele sunt folosite în principal pentru ilustrarea modului de organizare al
infrastructurilor critice sau sunt utilizate ca bază pentru paşii suplimentari necesari
determinării interdependenţelor. Aceste utilizări diferă de la ţară la ţară.
Modelele sectoriale simple nu scalează în mod diferit sectoarele după importanţa
lor, dar pot fi arătate interdependenţele dintre sectoare.
Modelul canadian analizează responsabilităţile sectoriale la nivel internaţional,
federal, provincial, municipal şi la nivelul sectorului privat. Aceste zone de
responsabilitate sunt constituite pe trei niveluri: (1) nivelul operaţiilor, (2) nivelul
aplicaţiilor tehnice şi nivelul de control. Întregul sistem, al rândul său se bazează pe
două nivele de bază.
Modelul german este centrat pe infrastructurile informaţiilor şi a tehnologiei
comunicaţiilor şi organizează segmentele analizate în ordinea importanţei lor. A baza
piramidei se situează sursele de putere iar în vârf valoarea adăugată a serviciilor care
depinde de disponibilitatea şi integritatea nivelelor inferioare. Aceasta indică o
dependenţă verticală, plus nivelul informaţiilor orizontale şi informaţiile referitoare la
servicii leagă împreună un public diferit şi actori privaţi, individuali şi societatea ca un tot.
ANALIZA SECTORIALĂ
Analiza sectorială contribuie la înţelegerea funcţionării sectoarelor singulare prin
sublinierea diferitelor aspecte importante ale fiecărui sector.
Obiective
Sunt mai multe aspecte care pot fi analizate la sectoarele individuale. Cercetătorii
germani au dezvoltat patru modele cu diferite puncte de vedere pentru ordonarea şi
clarificarea rolului diferiţilor participanţi (actori) precum şi diversitatea, interdependenţele
şi vulnerabilităţile existente. Pentru înţelegerea sectorului investigat, alte cercetări
(Australia) iau în considerare în principal mediul economic şi trăsăturile esenţiale ale
informaţiilor industriale cum ar fi tendinţele, punctele limită şi vulnerabile, impactul
mediului exterior şi rolul forţelor competitive (concurenţa). Ca metode de lucru sunt
folosite PEST, cercetările lui Porter şi cercetările SWOT.
Analiza PEST (Politic, Economic, Social, Tehnologic)

O analiză PEST este de obicei efectuată pentru obţinerea şi înţelegerea modului
în care mediul macro afectează afacerile sau sectoarele analizate (factori politici,
economici, sociali şi tehnologici). Conceptul analizei PEST constă în analiza factorilor
externi care influenţează mediul de afaceri. Tabelul 2 conţine un exemplu de analiză
PEST.
Politic Economic Social Tehnologic

Vedere - Globale - Dezvoltare - Populaţie - Introducerea
generală - Private economică - Educaţie de PC-uri
- Inflaţie - Suport pentru
- Şomaj structura de
chei şi
sistemele
tehnologice
- Acces la
INTERNET
Drivere - Ministere - Importanţa - Creşterea - Noutăţi
specifice - Organizaţii industriei calităţii vieţii tehnologice
fiecărui sector - R&D - Comunitatea
globală
- Schimb de
cunoştinţe
Tabelul 2. Model de analiză PEST.
Cecetările lui Porter

Analizele lui Porter iau în calcul forţele competitive dintr-o industrie sau sector
particular. Un criteriu important în această analiză o are intensitatea rivalităţilor;
competitorii, embargourile, ameninţarea apariţiei de înlocuitori, sursele auxiliare şi
puterea de cumpărare. Fig.5 conţine un model Porter cu 5 forţe analizate.
Intrări posibile
Ameninţări
Putere de tranzacţie
Furnizori Concurenţi Cumpărători

industriali
Putere de tranzacţie
Ameninţări
Înlocuitori
Fig.5. Modelul celor cinci forţe al lui Michael Porter’s

SWOT (Forţe, Slăbiciuni, Oportunităţi, Ameninţări)
O astfel de analiză, care pune accentul pe forţe, slăbiciuni, oportunităţi şi
ameninţări este de obicei desfăşurată la nivel micro sau la nivelul unei afaceri dar poate
fi dezvoltată şi la nivel sectorial. Tabelul 3 conţine o foaie de calcul tipică pentru o
analiză SWOT.
Analizele de mediu
Oportunităţi Ameninţări
(1) Oportunităţi 1 (1) Ameninţări 1
(2) Oportunităţi 2 (2) Ameninţări 2
(n) Oportunităţi n (n) Ameninţări n
Tărie SO Strategii ST Strategii
(1) Tărie 1 Exemple: Exemple:
(2) Tărie 2 S101: Strategie specifică S1S3T2: Strategie specifică
Situaţii (n) Tărie n S1SnO1: Strategie specifică ...
analizate ...
Slăbiciune WO Strategii WT Strategii
(1) Slăbiciune 1 Exemple: Exemple:
(2) Slăbiciune 2 W10102: Strategie W2T2: Strategie specifică
(n) Slăbiciune n specifică ...
...
Tabelul 3. Foaie de lucru tipică SWOT.
ANALIZA PROCESELOR ŞI TEHNOLOGIEI
Analiza proceselor şi a tehnologiei contribuie la identificarea dependenţelor
critice din infrastructurile sectoarelor în infrastructura informaţională.
Obiective
Această analiză evaluează diferite paliere ale unui sector prin examinarea
dependenţelor din informaţii şi tehnologia comunicaţiilor dintr-un sector critic şi apoi
traversează mai multe sectoare prin evidenţierea funcţiilor esenţiale, a componentelor
de bază şi a interdependenţelor acestora.
Modul de lucru
Analiza constă dintr-un proces din şase paşi. (Fig.6)
Paşii 1-4 sunt realizaţi pentru fiecare sector definit ca sector critic. După ce
funcţiile de bază şi procesele esenţiale au fost identificate pentru fiecare sector, paşii 5
şi 6 contribuie la definirea dependenţelor din alte sectoare şi la evaluarea modului de
realizare a dependenţelor.
Pasul 1: Identificarea funcţiilor esenţiale ale unui sector

Pentru identificarea funcţiilor de bază, este necesară o înţelegere a şirului de
valori şi funcţii dintr-un sector.
Pasul 2: Identificarea necesare pentru executarea funcţiilor
Informaţiile necesare pot fi împărţite în două grupuri funcţionale: (1) Informaţii de
management al unei afaceri: definim tipul de informaţii de care trebuie să dispunem tot
timpul pentru asigurarea funcţionării sectorului, (2) Managementul sistemului şi al
serviciilor: definim disponibilitatea sistemelor, performanţele etc. şi definim funcţiile IT
necesare.
Pasul 3: Identificarea componentelor ICT de bază
Acest pas caută să identifice “punctele singulare de eşec” şi componentele
importante din infrastructura individuală a unui sector.
Pasul 4: Stabileşte interdependenţele dintre componentele ICT de bază
Se definesc dependenţele dintre componentele de bază ale unei infrastructuri,
dependenţe care pot să conducă, în cascadă, la întreruperi şi erori.
Pasul 5: Stabileşte dependenţele din partea altor sectoare
Gradul de dependenţă poate fi determinat prin identificarea nodurilor şi legăturilor
dintre sectoare. Următoarele întrebări trebuie să primească un răspuns:
 Ce dependenţe există între funcţiile diferitelor sectoare?
 Ce dependenţe există între componentele infrastructurii diferitelor sectoare?
Pasul 6: Stabilirea gradului de dependenţă
Pentru înţelegerea corectă a interdependenţelor, definim gradul de dependenţă
dintre sectoare pentru fiecare interfaţă ţinând cont de următoarele criterii:
 Tipul de dependenţă: există o dependenţă funcţională sau directă?
 Impactul dependenţei: ce se întâmplă dacă funcţiile sunt parţial disponibile?
 Timpul de transfer: cât timp trebuie să treacă până când impactul devine vizibil?
 Redundanţa: ce tip de redundanţe există între diferitele sectoare?
ANALIZA INTERDEPENDENŢELOR DIMENSIONALE
Această analiză se raportează la şase dimensiuni ale interdependenţelor
infrastructurii.
Obiective
Analiza dimensională a interdependenţelor este o descriere aproximativă pentru
identificarea uşoară, înţelegerea şi analiza acestora. Ea furnizează baza pentru
înţelegerea unui set de interdependente ortogonale în sistemul metric. Vizează un
număr mare de factori şi condiţii de sistem reprezentaţi şi descrişi în termenii celor şase
Pas 1 Pas 2 Pas 3 Pas 4 Pas 5 Pas 6

Funcţii Informaţiile Compo- Interdepen- Dependenţe Gradul de
primare dorite pentru nentele ICT denţa între de alte dependenţă
executia primare compo-nentele sectoare
funcţiilor ICT primare
Într-un singur sector Între sectoare

Fig.6. Paşi în analiza procesului şi tehnologiei
dimensiuni. (Fig. 7)
Dimensiunile includ următorii factori care afectează operaţiile asupra
suprastructurii: factori tehnici, economici, de afaceri, social/politici, legali, politica publică,
sănătate şi securitate. Cele şase “dimensiuni” care pot fi remarcate:
 Mediul înconjurător , Cuplare / Răspuns;
 Caracteristicile infrastructurii;
 Tipuri de interdependenţe;
 Starea operaţiilor;
 Tipuri de întreruperi.
Interdependenţa dimensiunilor
Mediu: Tip de Caracte- Tipuri de Starea Tip de

- Afaceri compor- ristica interdepen- operaţiilor: defecţiuni:
- Economic tament: infrastruc- dente: - Normal - Cauze
- Legislativ - Adaptiv turii: - Fizice - Reparare comune
- Securitate - Inflexibil - Organi- - Virtuale - Restaurare - În cascadă
publică - Liniar zational - Logice - Întrerupte - În creştere
- Securitate - Complex - Operati- - Geografice - Solicitate
- Sănătate - Slab onal
- Tehnic - Rezistent - Temporal
- Social - Spaţial
- Politic
Fig.7. Interdependenţa dimensiunilor
Prin mediul înconjurător înţelegem tot ceea ce influenţează funcţionarea normală

a sistemului, operaţiile de urgenţă executate în cazuri de întreruperi sau în perioade de
solicitare maximă, şi operaţiile de reparaţii şi revenire a sistemului. Rangul de cuplare al
infrastructurilor influenţează modul lor caracteristic de operare. Unele legături sunt mai
lejere şi relativ mai flexibile, în timp ce altele sunt stricte, fără flexibilitate faţă de sistem,
cu un răspuns strict care pot să exacerbeze probleme apărute propagându-le chiar de la
o infrastructură la alta. Aceste legături pot fi fizice, cibernetice, referitoare la locaţii
geografice sau logice. Infrastructurile interdependente au de asemenea o arie spaţială
mare, caracteristici temporale, operaţionale şi organizaţionale care pot să afecteze
capacitatea lor de adaptare la schimbarea condiţiilor din sistem.
În final, interdependenţele şi topologiile infrastructurilor rezultate pot crea
ingenioase interacţiuni şi mecanisme de răspuns care adesea conduc la răspunsuri
neaşteptate în timpul unor întreruperi (disfuncţionalităţi).
CONCLUZII
În general, un număr mare de metode şi modele sunt disponibile pentru analiza

informaţiilor critice al infrastructurii. Oricum, fiecare cercetare sau element metodologic
poate fi aplicat doar anumitor aspecte ale unei probleme, ceea ce înseamnă că nu este
suficientă o singură metodă pentru a putea acoperi aria de presiuni efectuate asupra
CIIP. Acest lucru necesită o combinare a diferitelor elemente metodologice ceea ce au
făcut toate ţările studiate.
Aplicaţiile şi gradul de complexitate ale metodelor şi modelelor diferă mult. Unele
se bazează pe sistemele tehnice sau pe reţele, altele pe elemente singulare sau
componente din cadrul infrastructurii sistemului, sau pe analiza unei infrastructuri
sectoriale, în timp ce marea majoritate încearcă să se raporteze la complexitatea
infrastructurii critice a întregului sistem. Această diversitate face foarte dificilă
comparaţia metodelor.
Eforturile Naţionale pentru analiza CII

Ţări precum Australia şi Canada şi-au dezvoltat un proces complex din mai mulţi
paşi pentru protecţia infrastructurii, în conformitate cu propriile lor nevoi. Oricum,
cercetările efectuate pentru condiţii specifice în analiza CII sunt sărace şi majoritatea
elementelor metodologice derivă din analiza şi modelarea riscurilor.
În toate ţările au fost implicaţi cu precădere specialişti. De aici rezultă că
elementele cruciale le deţin specialiştii care adesea sunt în afara sferei de influenţă a
statului. De asemenea, instituţiile academice au rol minor în comparaţie cu experţii şi
consultanţii din domeniul CIIP.
 În Australia, un proces specific de apărare în mai mulţi paşi a fost dezvoltat
implicând un număr variat de experţi din industrie şi apărare.
 În Canada, un prim efort rezultat în structurarea profilelor infrastructurii, include
efectuarea de studii critice privind probabilitatea de apariţie a unui eşec. Pe această
bază, a fost dezvoltat un proces cuprinzător de protecţie a infrastructurii cu atenţie
deosebită pe identificarea interdependenţelor. Matricea dependenţelor şi algoritmii
sunt folosiţi pentru măsurarea şi modelarea efectelor de undă a dependenţelor
directe.
 În Olanda, doi consultanţi au tratat prin segmente infrastructura ICT şi Internet-ul.
Aceste studii dezvoltă un număr de modele prin care clarifică rolul participanţilor
implicaţi, la fel ca sporirea gradului de înţelegere a interdependenţelor.
 În Norvegia, programul guvernamental pentru protecţia societăţii foloseşte un model
multi-criterial pentru efectuarea analizei de tip cost-eficacitate, pentru studierea
vulnerabilităţilor în sistemele de telecomunicaţii şi sugerarea costurilor efective ale
măsurilor de reducere a acestor vulnerabilităţi.
 În Elveţia, analiza pas cu pas cu şapte elemente rămâne ipotetic el ne-având
implementări cantitative. Oricum, schiţa procesului şi analizei tehnologice a fost
realizat pentru diferite sectoare de reprezentanţele InfoSurance.
 În SUA, cercetările privind inderdependenţele afacerilor sunt în continuă dezvoltare.
Simulările pe calculator sunt dezvoltate de curând, pentru prognoza interacţiunilor
dintre elementele critice ale infrastructurii. Pe lângă Departamentul Energiei care
este foarte activ în acest domeniu, un apreciat proces privind vulnerabilitatea a fost
dezvoltat de CIAO pentru departamentele şi agenţiile federale civile.
Toate ţările sunt în stadii foarte diferite în dezvoltarea propriilor CII iar forţa de
muncă şi resursele alocate variază foarte mult. Multe ţări recunosc necesitatea pentru o
cercetare mai amănunţită şi o cuprinzătoare dezvoltare a modelelor şi metodelor de
analiză a diferitelor aspecte ale propriilor CII naţionale.
Modele pentru analiza CII

Toate obiectivele metodelor şi modelelor prezentate au rolul de a spori
securitatea sistemelor informaţionale. În plus, ele diferă foarte mult. În principal,
cercetările tehnice tind să asigure că obiectivele securităţii IT, şi anume disponibilitatea,
integritatea, confidenţialitatea şi accesibilitatea sunt permanent realizate.
Alte cercetări, cum ar fi modelele pe niveluri şi matricea interdependenţelor sunt
bine descrise şi servesc adesea la ilustrarea interdependenţelor. Metodologia analizei
riscurilor apare sub diferite forme, unele dezvoltate special pentru analiza CII (cum ar fi
IRAM, modelul riscurilor al lui Leontief). În general, analiza riscurilor are un grad mare de
aplicabilitate, de la identificarea riscurilor şi impunerea nivelului sistemelor tehnice până
la analiza unor infrastructuri complexe ale sistemelor.
Una din problemele presante dar mai puţin înţeleasă în CIIP sunt
interdependenţele. Analiza dimensională a interdependenţelor, de exemplu, care descrie
diferite tipuri şi caracteristici ale interdependenţelor reprezintă un punct de pornire
pentru viitoarele cercetări. Modelele sectoriale descriu adesea interdependenţele dintre
sectoare şi de asemenea pot să constituie baza pentru alte analize.
Matricile Dependenţelor şi Independenţelor pot servi ca unelte pentru
interdependenţele între diferite sectoare. Alte cercetări nu se referă la acest subiect: de
exemplu, modelele de securitate tehnică cu un anumit grad de protecţie pot preveni
ameninţările pentru sisteme mari şi complexe şi aici nu sunt implicate interdependenţele.
Metodologia de analiză a riscurilor în general de asemenea omite interdependenţele
directe. Oricum, modelul modificat al lui Leontief privind riscurile include
interdependenţele prin prognozarea efectelor schimbărilor unui element al infrastructurii
cu altul.
Tabelul următor prezintă o imagine finală a celor mai importante modele şi
metode discutate, aria lor de aplicaţie şi obiectivelor lor.
Modele pentru analiza CII
Model / Metodă Zona de aplicabilitate Obiectiv
Matricea de dependenţă/ Sistemul unei infrastructuri Vizualizarea puternicelor
interdependenţă complexe, care vizează în special interdependenţe între sectoare
interdependenţele
Analiza interdependenţei Sistemul unei infrastructuri Identificare, înţelegere şi analiza
dimensionale complexe, care vizează în special interdependenţelor
interdependenţele
Modelare holografică Sistemul unei infrastructuri Modelarea la scală mare, sisteme
ierarhică complexe complexe
Profile de infrastructură Infrastructură individuală Descriere detaliată asupra
diferitelor caracteristici ale
infrastructurii
Modelul de Analiză a Componenta infrastructurii sau Abordarea analizei riscului
Riscului Infrastructurii sectorul unei infrastructuri întregi special creat pentru analiza CIP
(IRAM)
Modelul Leontief al Sisteme cu infrastructură individuală Prevederea efectului unui aspect
riscurilor sau complexă, care vizează în al schimbării asupra altuia
special interdependenţele
Analiza procesului şi Sector (izolat) al unei infrastructuri Identificarea dependenţelor între
tehnologiei şi interdependenţele între sectoare diferite nivele ale sectorului şi
între diferite sectoare
Metodologia analizei De la nivelul sistemelor tehnice la Identificarea riscurilor, riscuri
riscului sistemele cu infrastructuri mai evaluate şi paşii pentru reducerea
complexe riscurilor la un nivel acceptabil
Tehnica scenariului De la nivelul sistemelor tehnice la Generarea de scenarii pentru a
sistemele cu infrastructuri mai determina strategiile
complexe
Analiza sectorului Sectorul unei infrastructuri Mai buna înţelegere a
individuale funcţionării sectoarelor
Model pentru sector sau Părţi ale sistemelor cu infrastructurăVizualizarea interdependenţelor
nivel complexă sau totalitatea între elementele unei
infrastructurilor critice ale unei ţări
infrastructuri
Modele de securitate IT Nivelul sistemelor tehnice Protecţia optimă a bunurilor IT,
tehnice locale, din natură
Evaluarea De la nivelul sistemelor tehnice la Fie partea analizei riscului
vulnerabilităţii sistemele cu infrastructură mai (expunerea la ameninţări), fie o
complexă combinaţie între analiza riscului
şi evaluarea managementului de
urgenţă
Schema profilului Sisteme cu infrastructură individuală Reprezentare vizuală a gradelor
vulnerabilităţii sau complexă, care vizează în de vulnerabilitate
special interdependenţele
ANEXA 2
EXEMPLU DE MODELARE MATEMATICA A RISCURILOR

INCIDENTELOR DE SECURITATE CORELATE CU OPTIMIZAREA
COSTURILOR ASOCIATE
1. DEFINIRE NOŢIUNI TEORETICE
Vom nota cu:

 : variabila aleatoare (v.a.) ce defineşte durata între două incidente de
securitate consecutive ce pot apare la un echipament (sau bunuri) informatic.
Vom considera că incidentul de securitate apare în mod întâmplător cu o anumită
funcţie de repartiţie discretă, cu valorile 0,1,2,3,...., ca multipli ai unui interval de timp T
fixat (ex. o zi, o săptămână, o lună etc.) şi cu probabilităţile p n .
Repartiţia pentru fiecare tip de incident de securitate se poate deduce cu
aproximaţie din baza de date care înregistrează aceste tipuri de evenimente.
Prin urmare, pentru cazul discret, vom defini următoarele relaţii:
P   n   n
 (1)
p n  0,  p n  1
n 1
Prin apariţia unui incident de securitate, asupra unui echipament informatic, este
posibil ca acesta să nu mai corespundă din punct de vedere tehnic scopului iniţial (ex.
afectarea hard-ului, a memoriilor calculatorului, afectarea hardisk-ului etc.). În această
situaţie spunem că echipamentul informatic devine nereparabil sau scos din uz şi trebuie
înlocuit. Pentru alte tipuri de incidente de securitate, ce acţionează asupra unui
echipament informatic, se pot lua anumite măsuri astfel încât echipamentul să revină în
starea iniţială (este cazul acţiunii anumitor viruşi informatici care pot fi detectaţi şi scoşi
din funcţionare). Incidentele din această clasă pot fi clasificate ca fiind minore şi majore.
Un echipament informatic (operabil din punct de vedere tehnic) care poate suferi
un incident îl putem descrie ca având o funcţie de repartiţie a incidentelor F t  , unde cu
t vom nota timpul. Această funcţie o putem reprezenta din punct de vedere matematic,
astfel:
F t   P  t ,t  0,  (2)
Funcţia F t  reprezintă probabilitatea ca echipamentul informatic să funcţioneze
cel mult t unităţi de timp după instalare (t poate fi considerat continuu sau discret). În
această situaţie, putem scrie:
F t    p n , n  N 
n t
n (3)
F t    pi , n  N 
i 0
Vom defini mărimea coeficient de securitate al unui echipament informatic S t  ca

fiind probabilitatea ca echipamentul să funcţioneze fără incidente de securitate în
intervalul de timp 0, t  . Atunci:
S t   1  F t  (4)
Pentru cazul discret, vom avea:
S t    p n , n  N 
n t
 (5)
S t   p i
i  n 1
Dacă F are o funcţie de probabilitate f, atunci rata incidentelor de securitate r la
momentul t este:
f t  f t 
r t    (6)
S t  1  F t 
Mărimea r t dt reprezintă probabilitatea ca un echipament la un moment t să aibă
un incident de securitate în intervalul de timp t , t  dt  .
Pentru cazul discret:
pn
rn  ,n N  (7)
S n  1
Se observă că:
p n  S n  1  S n  (8)
În această situaţie, se poate demonstra imediat că:
S n  1  S n
rn  (9)
S n  1
Urmare a relaţiilor de mai sus, putem scrie că:
n
S n    1  ri 
i 1
n
F n   1   1  ri  (10)
i 1
n
p n  rn 1  ri
i 1
Vom defini durata medie pentru viaţa unui echipament informatic fără incidente
de securitate, astfel:
a) în cazul continuu

E     tdF t 

2 (11)
D 2     t  E   dF t 
b) în cazul discret
 
E     npn   S n 
n 1 n 0
2 (12)

  
D 2     n 2 p n    S n 
n 1  n 1 
Vom presupune că duratele între două incidente de securitate sunt v.a.
independente şi identic repartizate. În această situaţie, momentul apariţiei celui de-al n-
lea incident este:
n
n  i (13)
i 1
Se observă că:
P1  n   P1  n   p n
k (14)
P n  k    P n 1  i P n  k  i , n  2, k  N 
i 0
Vom nota cu  t numărul de incidente în intervalul de timp 0, t  şi atunci:

max n :  n  t .....daca...1  t
t   (15)
 0.....daca.....1  t
Se notează cu p k  , k  0, n  1 probabilitatea ca numărul incidentelor în intervalul
de timp 0, n să fie egal cu k n . Atunci:
p n0   1  p n  S n 
n (16)
p nk    p nk11 pi
i 0
Rata apariţiei incidentelor de securitate se poate scrie şi sub altă formă, date fiind
proprietăţile derivatei logaritmului:
d ln S t 
r t    (17)
dt
şi atunci prin integrare:
S t   exp   r x dx ....cu...S 0  1
t
(18)
 0 
Prin derivare rezultă:
f t   r t   exp   r x dx 
t
(19)
 0 
De asemenea:
1. media v.a.  a duratei între două evenimente consecutive este:

E     S t dt (20)
0
2. iar dispersia v.a.  a duratei între două evenimente consecutive devine:

2
D 2    2   t  S t dt    S t dt 
 
(21)
0  0 
2. MODELUL MATEMATIC AL RISCURILOR ASOCIATE INCIDENTELOR DE

SECURITATE
În continuare vom a analiza modelul riscului prin prisma a 2 politici de securitate.

Măsurile de securitate se pot lua fie imediat la apariţia unui incident de securitate, fie
periodic după verificarea echipamentului la un interval de timp pe care îl vom nota cu  .
Acest interval de timp poate fi asociat momentului schimbării cheilor de criptare,
schimbării algoritmilor de criptare, testarea echipamentului împotriva viruşilor etc.
1. Politica A.
Vom studia cazul în care măsurile de securitate sunt luate periodic. În acest caz,
chiar dacă un incident de securitate poate apare, măsurile de securitate sunt luate la
momentele de timp prestabilite. Este situaţia în care incidentele de securitate sunt
descoperite la momente prestabilite de timp când se face testarea, din punct de vedere
al securităţii, a echipamentului.
Vom nota cu  perioada de timp maximă pentru care un echipament îl
considerăm sigur din punct de vedere al securităţii.
Durata între două măsuri de securitate consecutive o vom nota cu   şi o vom
definii ca fiind:
  min  ,  (22)
Pentru acest caz securitatea echipamentului este:
S t .... pentru...0  t  
S  Pmin ,   t    (23)
 0.... pentru...t  
Funcţia de repartiţie a intervalului măsurii de securitate este:
F t ... pentru...0  t  
F   (24)
 1... pentru...t  
Prin definiţie media şi dispersia duratei intervalului de securitate se poate scrie ca
fiind:

E     S t dt (25)
0
 2 
D 2    2   t  S t dt    S t dt  (26)
0  0 
În continuare vom determina costul optim prin implementarea politicii de securitate.
Vom nota cu:
- a: costul implicat de măsurile de securitate luate la apariţia unui incident (măsurile
sunt luate periodic);
- b: costul implicat de măsurile periodice de securitate.
Vom defini:
A(t) : numărul de incidente de securitate în intervalul 0, t  .
B(t) : numărul măsurilor periodice de securitate în intervalul 0, t  .
Costul mediu în intervalul de tip 0, t  este:
C1 t   a  E  At   b  E Bt  (27)
Costul mediu pe unitatea de timp se poate scrie:
C1 t  a  E  At   b  E Bt 
 (28)
t t
Prin aplicarea politicii de securitate se urmăreşte minimizarea costurilor necesare
implementării acesteia. Rezultă că:
C1    min C1  
~
(29)
Se demonstrează că:
a  F    b  S  
C1   
~

(30)
 S t dt
0
2. Politica B.
Vom studia cazul în care măsurile de securitate sunt luate periodic şi suplimentar
la apariţia unui incident de securitate.
Vom nota cu:
- a: costul implicat de măsurile de securitate luate imediat la apariţia unui incident;
- b: costul implicat de măsurile periodice de securitate.
Vom nota cu C2   costul mediu determinat de implementarea politicii de
securitate B în intervalul de timp 0,  .
De asemenea, vom nota cu:
- H   funcţia de reînnoire (având semnificaţia numărului mediu al măsurilor de
securitate luate în intervalul de timp 0, );
- h  densitatea de reînnoire asociată funcţiei de reînnoire a funcţiei H   .
Din teoria matematică a proceselor de reînnoire avem următorul rezultat:
a  H    b
C2    (31)

Vom pune condiţia de minimizare a costului măsurilor de securitate şi anume:
(C2  )  0 (32)
rezultă că:
  h   H   
b
(33)
a
Vom nota cu ~ soluţia ecuaţiei de mai sus şi o vom înlocui în relaţia prin care am
definit costul, rezultând următoarea relaţie:
C2 ~   a  h~  (34)
Interpretarea acestui rezultat ne conduce la următoarele observaţie:
1. minimizarea costurilor măsurilor de securitate prin aplicarea politicii B depinde în
cea mai mare măsură de costurile rezultate la apariţia incidentului de securitate.

Analiza Si Modelarea Riscului

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Analiza Si Modelarea Riscului

Încărcat de

Drepturi de autor:

Formate disponibile

ANALIZA RISCULUI ÎN SISTEMELE INFORMATICE ŞI

Societatea românească se află în mijlocul unor profunde transformări politice,

1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE

Cunoaşterea, şi managementul acesteia, au devenit resursa principală a

Spectrul pericolelor se va extinde şi poate, în principiu, să includă:

1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELOR

Se înţelege că această stare de fapt nu poate fi tolerată, proiectarea sistemelor

Este deci clar că autentificarea prin parole nu este suficientă.

În mai puţin de o generaţie, introducerea calculatoarelor în virtual fiecare

2.2. RISCUL DE ATAC ELECTRONIC

Sistemele informatice sunt esenţiale pentru buna desfăşurare a majorităţii

Posibilitatea ca sistemele informatice ale unei organizaţii să fie insuficient

Riscul este, în contextul sistemelor informatice, suma ameninţărilor

Risc = Ameninţări + Vulnerabilităţi + Valoarea informaţiilor

Înainte de a determina ameninţările, vulnerabilităţile şi a atenua riscurile, trebuie

Un model al efectivităţii securităţii unui sistem informatice computerizat este

2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI

Persoanele din interiorul unei organizaţii şi accidentele şi dezastrele naturale

Pornind de la A Preliminary Classification Scheme for Information System

2.4. ANALIZA DE RISC

Berryman (2002) argumentează că organizaţiile trebuie să identifice ameninţările,

 Vulnerabilităţi: Acestea se datorează inconsistenţelor sau erorilor de

 Controale: Acestea reprezintă contramăsuri pentru vulnerabilităţi şi trebuie să

2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI

Ameninţările trebuie bine înţelese pentru selectarea de măsuri şi controale de

A.1. Divulgarea de informaţii

A.2. Alterarea de informaţii

A.4. Refuzul serviciului (denial of service)

A.5. Atacuri Denial-of-Service distribuite (DDoS)

B. Ameninţări care facilitează

B.1. Mascarada (masquerade)

B.2. Programe maliţioase (malware)

B.2.1. Cai troieni informatici

B.2.2. Bombă logică informatică (Logic bomb)

B.2.3. Virus informatic

B.2.4. Back Door

B.2.5. Vierme informatic

B.3. Eludarea măsurilor de securitate

C.4. Eroarea administrativă

Caracterizarea Identificarea Identificarea Analiza

Pas 1 Pas 2 Pas 3 Pas 4

Recomandările Stabilirea Determinarea Impactul analizei Determinarea

Pas 9 Pas 8 Pas 7 Pas 6 Pas 5

Fig.3. Etapele în metodologia de stabilire a riscului

Pasul 2: Identificarea ameninţărilor

Pasul 3: Identificarea vulnerabilităţii

Pasul 4: Analiza controalelor care au fost implementate sau care se doresc a fi

Pasul 5: Determinarea probabilităţii

Pasul 6: Analiza impactului sau pagubelor

Pasul 7: Determinarea riscului

Pasul 8: Evaluarea priorităţii contramăsurilor.

Pasul 9. Recomandările de control

În anul 1979, Biroul Naţional de Standarde a publicat Standardul Federal de

4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR

Consiliul Naţional de Cercetare al SUA, recunoscând probleme similare şi în alte

4.3. MODELAREA DECIZIEI

Aplicarea teoriei deciziei statistice la problemele de management îşi are originile

Figura 4. Construirea blocurilor pentru diagramele de influenţă

Nod de decizie Nodurile decizionale deţin diferite alternative decizionale

Nod determinist Nodurile deterministe sunt folosite pentru valorile de

Nodurile de alegere sunt utilizate pentru a reprezenta

Nodurile index conţin listele care descriu dimensiunile

Nodurile obiectiv reprezintă rezultatele semnificative din