SISTEME INFORMAȚIONALE

Vulnerabilități și amenințări privind

sistemele informaționale
 SISTEME INFORMAȚIONALE

AGENDA
INTRODUCERE

1. CARACTERISTICI ALE INFORMAȚIEI

2. MODEL DE ANALIZĂ

3. PRINCIPALELE VULNERABILITĂȚI ÎN
SISTEMELE INFORMAȚIONALE

4. PRINCIPALELE AMENINȚĂRI ÎN SISTEMELE

INFORMAȚIONALE

5. CONCLUZII
 SISTEME INFORMAȚIONALE

BIBLIOGRAFIE

1. Constantin Alexandrescu, Gheorghe Boaru, Gelu Alexandrescu,

Sisteme informaționale pentru management, Editura Universității
Naționale de Apărare “Carol I”, București 2012.
2. Ion Roceanu, Iulian Buga, Informația – repere conceptuale și
coordonate de securitate, Editura Universității Naționale de
Apărare “Carol I”, București 2003.
3. Hotărârea Guvernului nr. 585/2002 pentru aprobarea standardelor
naționale de protecție a informațiilor clasificate în România.
 SISTEME INFORMAȚIONALE

INTRODUCERE

Fiecare organizație trebuie să ia toate măsurile pentru asigurarea

informațiilor necesare și organizarea sistemelor informaționale care să permită
îndeplinirea obiectivelor acesteia, furnizând utilizatorilor informații veridice,
relevante, oportune și cât mai complete.
Ca în orice domeniu de activitate și în cel privind sistemele
informaționale există anumite vunerabilități, adică părți slabe sau slăbiciuni ale
sistemului, infrastructurii, mediului de control sau proiectării rețelelor.
Vunerabilitățile informaționale constituie o comonentă a
vulerabilităților de securitate a sistemelor/subsistemelor, generată de stări de
fapt, procese sau fenomene din activitatea internă a unei organizații, care
diminuează capacitatea de reacție la riscurile existente ori potențiale de orice
natură, inclusiv informațională sau care favorizează apariția și dezvoltarea
acestora, cu consecințe privind îndeplinirea obiectivelor stabilite.
 SISTEME INFORMAȚIONALE

Caracteristici ale informației

Informația este Informația poate Informația

culeasă, Informația fi integrată, poate fi
transmisă, circulă rapid în divizată,
accesată,
prelucrată cu mediul elmg., multiplicată,
falsificată,
modificată sau
precădere în fibră optică sau
adăugată sau distrusă de la
format cablu
ștearsă distanță
electronic

Informația este
stocată în Interconectivitate, Informația are
compatibilitate,
cantități foarte caracter
interoperabilitate
mari și nonlinear și nu
și posibilități de
structurată acces în rețelele se diminuează
corespunzător informaționale prin utilizare
în baze de date
 SISTEME INFORMAȚIONALE

MODEL DE ANALIZĂ
Un model de analiză a raportutilor între amenințări, riscuri și vulnerabilități poate fi considerat
următorul, plecând de la următoarele definiții:

Amenințarea reprezintă orice potențial eveniment sau acțiune ce poate cauza una sau mai multe
disfuncționalități: divulgări neautorizate de informații, distrugere, modificare sau ștergere de informații,
modificarea drepturilor de acces, întreruperea schimbului de informații.
Riscul definește un indicator care reprezintă probabilitatea și ritmul de apariție a unui eveniment
sau acțiune care dacă se produce, cauzează deteriorarea informației în sine sau a suportului material care susține
informația.
Vulnerabilitatea se referă la incapacitatea sau capacitatea sistemului de a face față amenințărilor de
orice fel.
Există o relație direct proporțională între vulnerabilitate și risc în raport cu amenințările.
Astfel, dacă vom considera că:
A={a1, a2,…. an}, reprezintă mulțimea tuturor amenințărilor ce vizează informația;
Pai , este probabilitatea de a avea loc evenimentul de tip amenințare;
V={va1, va2,…. van}, reprezintă mulțimea vulnerabilirăților raportate la fiecare
amenințare;
Gvaj unde j=1-n este gradul de vulnerabilitate al sistemului pentru fiecare amenințare
Atunci,
Rk= Pai / Gvaj

unde Rk reprezintă riscul raportat la fiecare amenințare și vulnerabilitate în parte.

Având în vedere că nu putem influența în nici un fel amenințările, implicit nici probabilitatea de
apariție, singura modalitate de reducere a riscurilor este pârghia de acțiune asupra vulnerabilității, respectiv
gradului de vulnerabilitate.
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI
Principalele vulerabilități ale infrastructurii informaționale ar putea fi
următoarele:

1. Posibilități de interceptare a informațiilor din rețelele de comunicații și

informatică atât de utilizatori, cât și de către răuvoitori/programe
malicioase;
2. Volumul foarte mare de informații produse, vehiculate și prelucrate în
sistemele informaționale pentru management, care pot fi supuse cercetării și
atacului adversarilor potențiali, distruse, falsificate sau sustrase;
3. Sofisticarea infrastructurii informaționale, ceea ce determină îngreunarea
managemenului acesteia, imposibilitatea detectării accesului fraudulos la
informații și favorizarea atacurilor cibernetice;
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI

4. Folosirea acelorași benzi de frecvențe, modulații, regimuri de lucru la

echipamentele bazate pe propagarea undelor electromagnetice, atât în
rețelele de comunicații proprii, cât și în cele ale adversarilor potențiali;
5. Utilizarea de echipamente tehnice, componente software și baze de date
cu structuri și exploatare standardizate în toate rețelele de calculatoare
ale organizațiilor;
6. Dependența infrastructurii sistemelor informaționale pentru
management ale organizațiilor de infrastructura informațională
comercială a țării;
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI

7. Posibilitatea încorporării din timp, în echipamentele de calcul și de

comunicații, de către firmele funizoare de aparatură, a unor module software
malițioase, care pot fi activate de către adversari la momente hotărâtoare de
aceștia, creând dezordine și haos în rețelele informaționale și cele decizionale;
8. Prin conectarea la Internet și chiar Intranet, organizațiile/utilizatorii devin
vulnerabili la pătrunderi neautorizate (cu rea intenție sau din neatenție);
9. Existența unor rețele informaționale cu număr mare de noduri și cu o largă
interconectivitate, greu de sincronizat și gestionat, ceea ce permite penetrarea
acestora, accesul neautorizat, capturarea fizică a unor echipamente sau a unor
noduri în totalitate, interceptarea sau întreruperea unor fluxuri de informații
importante;
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI
10. Digitalizarea exhaustivă a structurilor informaționale, care are un impact
contradictoriu: pe de o parte omogenizează, sincronizează și sporește gradul de
compatibilitate și interoperabilitate a rețelelor informaționale, iar pe de altă parte
determină stăpânirea cu greutate a complexității și a nivelului deosebit de ridicat
de tehnicitate al acestora, oferind condiții pentru atacul cibernetic de la distanță
sau din interior;
11. Nerespectarea cerințelor și standardelor acceptate la nivelul organizației privind
compatibilitatea și interoperabilitatea sistemelor informaționale, mai ales în ceea
ce privește schimbul de informații, accesul la baza de date, criptatea automată a
comunicărilor, caracteristicile canalelor pentru legătură;
12. Folosirea de către advesar a unor mijloace care să bruieze mijloacele proprii,
afectând principalele sisteme de comunicații;
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI
13. Interceptarea comunicărilor transmise prin diferite mijloace de comunicare,
decriptarea acestora (dacă este cazul) și utilizarea informațiilor obținute
împotriva acțiunilor noastre;
14. Mijloacele tehnice actuale ale sistemelor informaționale pentru management
nu au asigurată protecția temeinică împotriva atacurilor fizice,
electromagnetice și cibernetice, acestea putând fi distruse, deteriorate sau
folosite;
15. Neutralizarea legăturilor radio, mai ales la distanțe mari, bazată pe
propagarea undelor electromagnetice prin ionosferă, prin schimbarea
caracteristicilor electrice ale acesteia, ceea ce determină atenuarea,
modificarea aleatoare a direcției de propagare și reflectarea numai parțială a
undelor electromagnetice;
 SISTEME INFORMAȚIONALE

PRINCIPALELE VULNERABILITĂȚI

16. Suprimarea accesului la Internet a sistemelor informaționale pentru izolarea

acestora și împiedicarea folosirii surselor de informații deschise;
17. Utilizarea Internetului pentru acțiuni teroriste, de dezinformare și atac
cibernetic asupra infrastructurilor informaționale (spațiul cibernetic);
18. Proiectarea necorespunzătoare a infrastructurii, cu redundanță
informațională redusă, centralizată excesiv și cu posibilități scăzute de
replicare a informațiilor existente în bazele de date;
19. Măsuri insuficinete de asigurare a securității comunicațiilor și a
calculatoarelor.
 SISTEME INFORMAȚIONALE

CONCLUZII PRIVIND VULNERABILITĂȚILE ÎN

SISTEMELE INFORMAȚIONALE

Există numeroase vulnerabilități, dar dintre acestea esențiale sunt

cele care privesc:
 neorganizarea optimă a sistemelor informaționale pentru management;
 alegerea necorespunzătoare a echipamentelor tehnice utilizate și a
produselor software comerciale achiziționate;
 realizarea programelor de aplicații și a bazelor de date, precum și a
software-ul pentru criptarea automantă a informațiilor în sistemele
informaționale.
 SISTEME INFORMAȚIONALE

PRINCIPALELE AMENINȚĂRI
Amenințări interne asupra sistemelor informaționale:

1. Lipsa de preocupare pentru dobândirea superiorității informaționale asupra

organizațiilor concurente, potențial ostile;
2. Neconcordanța între cerințele de informații pentru luarea deciziilor și
conducerea acțiunilor cu posibilități reale de dobândire a acestora;
3. Proiectarea, organizarea sau funcționarea necorespunzătoare a sistemelor
informaționale;
4. Dotarea sistemelor informaționale cu mijloace de culegere a datelor,
comunicații și calculatoare neperformante, greu de exploatat și de asigurat
protecția, utilizarea incorectă a acestora;
 SISTEME INFORMAȚIONALE

PRINCIPALELE AMENINȚĂRI

5. Organizarea necorespunzătoare a bazelor de date, existența unor produse

software neperformante sau cu erori intenționate privind gestiunea,
prelucrarea și afișarea informațiilor, lipsa de preocupare privind utilizarea
inteligenței artificiale pentru realizarea activităților informațioanle și a celor
de mangement;

6. Slaba pregătire profesională și experiența redusă a personalului implicat în

exploatarea și asigurarea funcționării neîntrerupte a sistemelor
informaționale;
 SISTEME INFORMAȚIONALE

PRINCIPALELE AMENINȚĂRI

7. Clasificarea necorespunzătoare a categoriilor de informații și date,

certificarea eronată a dreptului de acces la acestea;

8. Lipsa de loialitate a unor persoane care exploatează echipamentele tehnice;

9. Securitatea redusă a datelor și a informațiilor pe timpul transmiterii,

memorării, prelucrării și afișării acestora, accesul neautorizat al unor
persoane străine / neautorizate.
 SISTEME INFORMAȚIONALE

PRINCIPALELE AMENINȚĂRI

Amenințări externe asupra sistemelor informaționale pentru

management:
1. Atacul fizic împotriva surselor de date și a mijloacelor de transmitere,
prelucrare și afișare a informațiilor;
2. Atacul electronic asupra mijloacelor de culegere, transmitere și prelucrare a
informațiilor;
3. Atacul cibernetic împotriva sistemelor informaționale pentru management
ale organizațiilor economice, financiar-bancare, infrastructuri critice;
4. Atacul fizic și electronic asupra elementelor decizionale ale organizației.
 SISTEME INFORMAȚIONALE

CONCLUZII

Vulnerabilitățile și amenințările detaliate impun în mod necesar,

adoptatrea unor măsuri corespunzătoare de mangement și securitate a
sistemelor informaționale, care au în vedere componente precum:
managementul organizării și funcționării, managementul informației,
managementul sistemului de comunicații, managementul sistemului
informatic.
SISTEME INFORMAȚIONALE

ÎNTREBĂRI