protectia si securitatea informatiilor financiar-contabile

suport de curs

1

Cuprins CAPITOLUL 1 NECESITATEA ASIGURARII SECURITATII DATELOR ..............................3

1.1. Momente de referinta care evidentiaza nevoia de securitate a datelor in sistemele informatice ...................................................................................................................................3 1.2. Studiul privind evoluia pierderilor datorate atacurilor n cadrul organizaiilor i principalele surse de atac .............................................................................................................8 1.3. Obiective n asigurarea securitii datelor.............................................................................8 1.4. Vulnerabilitatea datelor i msuri de contracarare................................................................9 1.5. Aspecte generale privind asigurarea securitii datelor n sistemele informatice economice....................................................................................................................................................14 1.6. Tehnologii de securizare a datelor i administrarea acestora..............................................21

CAPITOLUL 2 SECURITATEA SISTEMELOR INFORMAIONALE...................................23 2.1 Mecanismul de protecie al unui sistem informatic .............................................................23 2.2 Securitatea fizic a sistemelor informatice ..........................................................................33 2.3 Rolul personalului n securitatea sistemelor informatice.....................................................39 Bibliografie ................................................................................................................................42

2

CAPITOLUL 1 NECESITATEA ASIGURARII SECURITATII DATELOR

1.1. Momente de referinta care evidentiaza nevoia de securitate a datelor in sistemele informatice

O data precisa care sa ateste primul furt electronic de informatie nu exista. Se poate spune ca o prima etapa in furtul electronic a inceput o data cu aparitia piratilor telefonici (phreaking). Acestia, folosind mijloace tehnice destul de simplu de realizat, ocoleau sistemele de securitate ale companiilor telefonice si puteau sa vorbeasca pe gratis de la orice telefon public. Dispozitivul portabil folosit era o cutiuta care continea un generator de semnale digitale (tonuri) modificate care simula introducerea monedelor in aparat. De-a lungul timpului s-au produs mai multe tipuri de astfel de ,,cutiute". Chiar si termenul de phreaking a fost modificat in boxing. Fenomenul a luat o asa amploare in unele state incat simpla detinere a unui astfel de dispozitiv putea duce la urmarirea, retinerea si arestarea posesorului.

Activitatea de phreaking/boxing a primit un sprijin substantial din partea detinatorilor de calculatoare. Acestia creau programe necesare cercetrii liniilor telefonice. Unul dintre aceste programe este BlueBEEP.

Prima operatiune de furt in domeniul telefoniei, si cea mai mediatizata la acea vreme, este consemnata in anul 1971, cand John Draper a reusit sa foloseasca gratuit liniile telefonice ale companiei AT&T folosindu-se de un banal fluier care se livra ca jucarie in cutiile de cereale Captain Crunch. Acest fluier genera un semnal cu frecventa de 2.600 MHz care reusea sa pacaleasca liniile telefonice.

Daca la cercetarea liniilor telefonice cu ajutorul calculatorului echipat cu un modem, in vederea descoperirii de noi tonuri sau conexiuni, se descoperea in retea un alt modem, atunci optiunile erau multiple. Aceasta poate fi considerata ca fiind inceputul celei de-a doua etape in activitatea de furt a informatiei. Phreaker-ul se conecteaza prin intermediul unei conexiuni telefonice (dial-up) la un modem care este atasat la un calculator mainframe. Daca mainframe-ul este conectat la Internet printr-un alt modem, o conexiune Ethernet sau alta modalitate, phreaker-ul va avea acces la Internetul nesecurizat inca prin realizarea unei punti (bridge) in mainframe.

Aceasta era situatia la inceputul anilor '80. Situatia avea insa sa se schimbe. Consider ca doua sunt datele care au marcat o cotitura in securitatea sistemelor de calcul si nu numai: 2 noiembrie 1988 si 11 septembrie 2001.

Etapa a treia aparine actualitatii. Orice cracker se poate conecta la Internet foarte usor, folosind de la rudimentara conexiune dial-up si pana la serviciul GPR, de pe telefonul mobil.

La inceputul anilor '80, informata era foarte des transportata pe discul flexibil. Din aceasta cauza, primele atacuri, concretizate de aciunea virusilor, au avut ca purtatoare tocmai aceste suporturi de memorie magnetica.

Primul virus, desi nu exista inca titulatura de virus, a aparut in anul 1981 si infecta discurile flexibile de pe calculatoarele Apple II. Virusul purta denumirea de Elk Cloner si nu facea nici un fel de pagube - afisa doar scurte mesaje pe ecran.

2 Cracker - Persoane care patrund deliberat, trecand peste sistemele de securitate, in sistemele de calcul. 3 General Packet Radio Service - Pachet general de servicii radio.

Definitia de virus informatic a fost data mai tarziu, in anul 1983, de care

programatorul Le Adleman, care a facut un experiment pe un calculator VAX 11/750

3

demonstrand functionarea unui virus. Data de 2 noiembrie 19884 avea sa constituie un moment de cotitura in ceea ce

priveste pozitia referitoare la asigurarea securitatii calculatoarelor. La acea data, un vierme (virus - dup unii), lansat in Internet, infecteaza un numar de 60.000 de calculatoare de pe intreg teritoriul Statelor Unite. Acesta se imprastia cu repeziciune de la calculatoarele din Cambridge, Massachusetts si Berkeley, California, la calculatoarele din Princeton, apoi la NASA5 Ames Research Center din Silicon Valley, California, la Universitatea din Pittsburgh, la Los Alamos National Laboratory si la alte universitati, baze militare si institute de cercetare. Viermele se multiplica in retea de la calculator la calculator. O data instalat, se multiplica, lanseaza in executie noi procese care incetinesc considerabil sistemul si reduc dramatic spatiul de pe disc. Daca se incerca stoparea proceselor, atunci apareau altele care se multiplicau rapid. Intr-un final, calculatorul avea de rezolvat atat de multe procese incat se oprea. Viermele colecta date despre utilizatorii si calculatoarele pe care le infecta si exploata o serie de brese de securitate din sistemul de operare UNIX, printre care sendmail debug si fingered daemon bug, care dezvaluie date referitoare la persoanele conectate la o anume masina, precum si parolele acestora. Cu toate acestea, viermele nu distrugea nimic. Comunitatea expertilor in UNIX se mobilizeaza pentru a tine sub control viermele si pentru a-l distruge. Specialistii de la CSRG6 din Universitatea Berkeley, California, dezvolta in mai putin de 12 ore un program menit sa stopeze imprastierea virusului. In aceeasi zi, specialistii de la Universitatea Purdue dezvoltau si ei un program similar. Programele au fost distribuite gratuit si viermele a fost stopat. Panica a fost asa de mare incat unele sisteme au fost deconectate de la retea si in acest fel nu au beneficiat de programele distribuite pentru stopare, ulterior distribuite.

Atacul a fost vazut ca ceva apocaliptic, desi nu erau raportate distrugeri de date. Cineva patrunsese pentru prima data in foarte multe calculatoare. Viermele a primit repede denumirea de Viermele Gigant (Giant Worm).

Costurile necesare stoparii viermelui si testSrii sistemelor infectate au fost estimate intre 1.000.000 si 100.000.000 dolari.

Destul de repede a fost prins si vinovatul. Acesta era Robert T. Morris, student la Universitatea Cornell. Tanarul a declarat ca programul produs de el era un experiment si ca nu se astepta sa produca asemenea neajunsuri si sa se raspandeasca asa rapid. Cand si-a dat seama de consecinte, inainte de a fi descoperit, Morris, cu ajutorul unui prieten, a trimis prin retea instructiuni care sa ajute la stopare.

Pe 23 ianuarie 1990, Robert T. Morris a fost condamnat de un juriu din Syracuse, New York, in conformitate cu 1986 Computer Fraud and Abuse Act, la cinci ani de inchisoare, o amenda de 250.000 dolari, precum si la restituirea daunelor. Era prima persoana condamnata intr-un astfel de proces. Ulterior, in luna mai 1990, pedeapsa a fost comutata la trei ani cu suspendare, o amenda de 10.000 dolari, efectuarea a 400 de ore in folosul comunitatii, precum si la o plata lunara. 4 3 noiembrie 1988, dupa alte surse. 5 NASA - National Aeronautics and Space Administration - Administratia Nationala Aeronautica si Spatiala. 6 CSRG - Computer Systems Research Group - Grupul de cercetare in sisteme computerizate. 7 DARPA-Defense Advanced Research Projects Agency - Agenda de cercetare proiecte avansate pentru aparare. 8 CERT- Computer Emergency Response Team - Echipa de raspuns in cazuri de urgenta.

4

Aparitia viermelui lui Morris a schimbat foarte multe din atitudinile referitoare la

securitatea in Internet. Impactul a fost asa de mare incat a creat o industrie ca va fi finantata cu miliarde de dolari, dedicata cercetrii in domeniul securitatii calculatoarelor. S-au creat foarte multe organizatii care vor fi gata sa acorde asistenta in cazul unui eveniment similar. Una dintre ele a fost infiintata de DARPA7 si purta denumirea de CERT8, de la Institutul de Inginerie Software al Universitii Carnegie Mellon. Aceasta dispunea de un numr de 100 de experi n securitatea calculatoarelor, putea fi apelat de oriunde de pe teritoriul Statelor Unite i era menit s rezolve situaiile de criz care puteau s apar. Departamentul de Energie al Statelor Unite i-a creat propriul centru care s rspund cerinelor de securitate n domeniu.

Firmele productoare de software i-au angajat specialiti care s identifice eventualele goluri de securitate (bug), asistnd cumprtorii n cazul unor atacuri. Un foarte mare numr de universiti, institute de cercetare i alte agenii, din interiorul Statelor Unite sau din afar, i-au stabilit organisme de rspuns n astfel de cazuri.

Lumea se schimbase. Publicul era mai avertizat i mai contient de ce se poate ntmpla. Publicaiile au nceput s trateze serios problema viruilor i a altor pericole care se pot rspndi n sistemele informatice, cu precdere pe Internet.

Cliff Stoll, angajat la Lawrence Berkeley Laboratory, pe parcursul anului 1988, a atacat un numr de 450 de calculatoare din Germania de Vest, reuind s penetreze 30 dintre ele. n acest fel a putut avea acces la informaii strict secrete, cu caracter militar, despre armele nucleare, biologice i chimice. Acuzat iniial de acces neautorizat, dup ce s-a constatat c a vndut secrete KGB9-ului, acuzaia a fost schimbat n spionaj.

n anul 1990, un student australian, autointitulat Phoenix, a fost nvinuit c a cauzat oprirea pentru 24 de ore a calculatoarelor de la NASA n Norfolk, Virginia. De asemenea, a alterat informaiile de la Lawrence Livemore National Laboratory din California.

n anul 1988, la mai multe agenii de transport aerian se descoper c cineva a reuit s penetreze sistemul i s tipreasc rezervri ilegale de bilete de avion. Pentru prima dat s-a pus problema dac nu cumva organizaiile teroriste au fcut acest lucru pentru a avea acces la listele de pasageri. ntrebarea a fost repus apoi cnd membri ai familiei regale din Kuweit au fost luai ostatici la bordul unui avion. Aceeai ntrebare a fost pus i dup atentatele de la 11 septembrie 2001, cnd avea s se modifice dramatic securitatea n aeroporturi, n sistemele informatice n general.

n luna aprilie 1986, un intruder, cunoscut sub numele de Captain Midnight, reuete s mreasc neautorizat puterea de transmisie a unui canal HBO10 transmind propriul mesaj ctre milioane de telespectatori. Aceast aciune a adus n actualitate posibila folosire n scopuri teroriste a acestor aciuni. Evenimentul consemnat sub denumirea de Constitution Loss" se poate constitui ca fiind cea mai grav eroare uman i de implementare a securitii. n anul 1991, nainte de votul final al Constituiei din Columbia, un utilizator care 9 KGB - Komiter Gosudarstvennoi Bezopasnosti - Comitetul pentru securitatea statului. 10 HBO - Home Box Office. 11 Air Force - Forele Aeriene ale Statelor Unite.

5

trebuia s fac ultimele modificri la versiunea online face o greeal care are ca efect pierderea datelor. Neexistnd o copie de siguran (backup), datele au fost refcute, dup o munc laborioas, folosind ciornele membrilor comitetului de redactare a noii Constituii columbiene.

n ianuarie 1988, la Universitatea Ebraic din Ierusalim se descoper c sute de calculatoare sunt infectate cu un virus. Acesta se activa la fiecare zi de 13 a lunii, i care era i vineri, ncetinea procesul de prelucrare i tergea datele pe data de 13 mai. Virusul a mai fost denumit i Columbus Day sau Datacrime.

Un puti de 14 ani din Kansas reuete n anul 1989, folosind un calculator Apple, s penetreze sistemul de poziionare a sateliilor aparinnd Air Force11. Reuete s vorbeasc internaional neautorizat i s acceseze fiiere confideniale. Cnd a fost prins, a declarat c voia s atrag atenia asupra sa pentru a fi angajat n funcie de consultant de securitate a calculatoarelor.

Virus Flamble poate fi inclus ntr-o categorie aparte de virui. El acioneaz i asupra echipamentului hardware prin creterea frecvenei de scanare orizontal a fasciculului de electroni al monitorului peste limitele suportate admise. Ca efect, monitorul ia foc. Acest virus a afectat n anul 1988 o companie de consultan din San Jose, California. Din aceeai categorie de virui fac parte i cei care nchid i deschid cu o frecven mare tvia de la CD-ROM atunci cnd calculatorul este lsat pornit noaptea. Rezultatul este distrugerea cititorului de discuri.

n anul 1988, un cercettor care lucra pentru o comisie care investiga afacerile cu Iranul descoper pe un calculator utilizat de Oliver North date secrete sustrase referitoare la NSC12. Acestea fuseser transferate i apoi terse de pe un calculator, considerat sigur, care aparinea Casei Albe. Evenimentul dovedea, dac mai era nevoie, ct de nesigure erau sistemele.

Un manager al unei firme a reuit n anul 1984, manipulnd un calculator, s transfere fonduri de 25.000.000 dolari ncercnd s pcleasc auditul.

n luna martie 1999, virusul Melissa reuete s blocheze serviciile de pot electronic din ntreaga lume. Pagubele se estimeaz la 80 milioane dolari. Vinovatul este gsit n persoana lui David Smith, programator, care dduse numele virusului dup cel al unei dansatoare topless. Condamnat fiind, acesta execut mai muli ani de detenie n nchisorile statale i federale din Statele Unite.

Love Letter Worm reuete s infecteze, ntr-o singur zi din anul 2000, 45 de milioane de calculatoare.

n luna februarie 2000, activitatea multor site-uri de e-commerce, printre care Yahoo!, E-Bay i E-Trade, a fost afectat de un nou atac de tip DoS13, denumit Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia client-server pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost gsit, dup luni de cutri, n persoana unui tnr hacker.

n luna octombrie a aceluiai an, firma Microsoft a raportat c un hacker a reuit s aib acces la o poriune din reeaua LAN proprie.

Pagina de web a Departamentului de Stat al Statelor Unite a fost atacat n luna octombrie 2002 i umplut cu obsceniti. Din aceast cauz, funcionarea acesteia a trebuit s fie ntrerupt.

Dup atacul din insula Bali din luna octombrie 2002, cnd Australia a impus presiuni asupra grupurilor teroriste din Indonezia, presupuse responsabile de atac, peste 200 de site-uri australiene au fost atacate de hackeri din Indonezia.

nsi structura Internet a fost atacat n luna octombrie 2002. 13 servere de root

6

au fost afectare de DDoS i o mulime de utilizatori s-au vzut n imposibilitatea de a efectua conexiuni.

O conferin mpotriva furtului de informaii din calculatoare a fost sabotat n luna mai 2003. Hackerii au reuit s sustrag aproximativ 1000 de nume i adrese de e-mail ale persoanelor participante la acea conferin.

Cazurile de virui, de fraudri cu ajutorul calculatoarelor i de vandalism/terorism online au crescut dramatic n ultimii ani. S-a trecut de la infectarea sistemelor de calcul clasice la infectarea sistemelor mobile de tip PDA14, precum i a telefoanelor mobile care folosesc tehnologia digital.

Noile tehnologii informatice sunt folosite fie pentru a iniia un atac ajutndu-se de acestea, fie ele nsele devin inta atacului. O parte dintre tehnologii, sub presiunea pieei, sunt lansate pe pia fr ca acestea s fie suficient testate i din aceast cauz unele prezint goluri de securitate. Iar aceste goluri de securitate sunt descoperite n primul rnd de persoane ruvoitoare crora le face o plcere deosebit s raporteze aceste noi descoperiri" i s le posteze mai nti pe site-urile de warez15, de unde pot fi folosite i de ctre alii.

Cel mai greu lucru este acela de a dovedi intenia unei fraude n acest domeniu. Trebuie dovedit c o penetrare a sistemelor de informaii a fost fcut deliberat. Acest lucru este foarte greu, deoarece n majoritatea cazurilor cei care svresc asemenea acte au grij s tearg urmele trecerii lor. Cu toate greutile ivite n asemenea cazuri, lumea juridic este de acord c acest fel de fapte trebuie pedepsite. Colaborarea dintre victimele unor atacuri de acest fel i reprezentanii legii este deficitar. Un incident raportat va permite luarea de msuri ca acesta s nu se mai repete i s se ntmple i altor organizaii.

Dei zilnic auzim de atacuri asupra sistemelor de calcul, marea majoritate a acestora nu sunt raportate. Unele rapoarte estimeaz c aproximativ 90% dintre atacuri nu sunt raportate n afara organizaiilor care au fost atacate, i numai o parte din cele raportate sunt finalizate prin pedepse.

De fapt, de teama pierderii clienilor, unele firme (de regul bncile i marile corporaii) prefer s cad la o nelegere cu intruderii/atacatorii n schimbul pstrrii a unei pri din banii sustrai i al pstrrii tcerii. Un ajutor de programator de la o banc comercial elveian a sustras 8.000.000 de lire sterline dintr-un cont al respectivei bnci.

Descoperit fiind, n nelegere cu conducerea bncii c nu va fi deferit justiiei, respectivul a promis c nu va spune nimnui despre intruziune i va putea pstra i 1.000.000 de lire sterline.

Cum trebuie ns aplicat legea? Toate aceste aciuni care se concretizeaz n atacuri asupra securitii nu au i un revers? Patrie Leahy, senator democrat de Vermont, la o interpelare pe aceast problem, spunea: Trebuie s-i pedepsim pe cei care ncalc legea. Dar nu putem s frnm curiozitatea unui puti de 13 ani care, experimentnd astzi, poate dezvolta mine o tehnologie informaional sau a telecomunicaiilor care s duc Statele Unite n secolul XXI ca lider n domeniu. Ei reprezint ansa noastr ca s rmnem o naiune competitiv tehnologic".

7

1.2. Studiul privind evoluia pierderilor datorate atacurilor n cadrul organizaiilor i principalele surse de atac

Computer Security Institute (CSI)16 realizeaz n fiecare an studii n cooperare cu

birourile din San Francisco ale Federal Bureau of Investigation (FBI)17 pentru a determina impactul diferitelor tipuri de atacuri asupra mediului de afaceri. Aceste studii sunt folosite pentru ca la nivel de firm s se concentreze eforturile spre contracararea celor mai frecvente atacuri.

Persoanele chestionate fac parte din mediul de afaceri i IT&C din cadrul corporaiilor de pe teritoriul Statelor Unite, al ageniilor guvernamentale, instituiilor financiare i al universitilor. Primele studii au fost fcute n anul 1999. Studiile se bazeaz pe un numr de 530 de persoane chestionate din diferite domenii de activitate; nalta tehnologie - 17%, financiar - 15%, manufacturier - 11%, medical - 8%, federal - 7%, guvernamental - 5%, educaie - 5%, telecomunicaii - 4%, servicii - 4%, vnzri - 3% etc.

1.3. Obiective n asigurarea securitii datelor

Securitatea calculatoarelor i propune s protejeze att calculatorul, ct i elementele asociate - cldirile, imprimantele, modemurile, cablurile, precum i suporturile de memorie, att mpotriva accesurilor neautorizate, ct i altor ameninri care pot s apar.

Securitatea calculatoarelor poate fi definit ca fiind ansamblul de msuri necesare asigurrii secretului informaiei mpotriva accesului neautorizat. n principal se urmrete asigurarea securitii informaiei stocate sau transmise. Din aceast cauz, securitatea calculatoarelor este deseori numit securitatea informatei sau securitatea datelor.

Asigurarea securitii datelor presupune realizarea a patru obiective: confidenialitatea; integritatea; disponibilitatea; nerepudierea. Confidenialitatea, uneori numit secretizare, i propune s interzic accesul

neautorizat al persoanelor la informaia care nu le este destinat. Confidenialitatea reprezint elul suprem al securitii calculatoarelor. Majoritatea eforturilor se concentreaz n acest scop. Pentru asigurarea confidenialitii trebuie tiut care sunt informaiile care trebuie protejate i cine trebuie sau cine nu trebuie s aib acces la ele. Aceasta presupune s existe mecanisme de protecie a informaiilor care sunt stocate n calculatoare i care sunt transferate n reea ntre calculatoare. Persoana nsrcinat cu securitatea, sau echipa care are aceste sarcini, trebuie s prevad aplicaiile care se vor folosi pentru acest scop. n Internet, confidenialitatea capt noi dimensiuni sub forma unor msuri de control al confidenialitii. rile dezvoltate, Statele Unite, Canada, Australia, Japonia etc, au reglementat prin lege controlul confidenialitii. Companiile din aceste ri au reguli stricte n aceast privin.

Integritatea, uneori numit acuratee, i propune ca datele stocate n calculator s nu poat fi alterate sau s nu poat fi modificate dect de persoane autorizate. Prin alterarea datelor se nelege att modificarea voit maliioas, ct i distrugerea acestora. inerea ascuns a datelor fa de cei care nu trebuie s aib acces la ele este cel mai sigur

8

mod de a menine datele integre. Dar, de asemenea, nu putem ti dac persoanele care au acces la ele nu au uneori intenii ruvoitoare, acionnd n sensul modificrii neautorizate, ele avnd acces, dar neavnd drept de modificare. Integritatea trebuie s stabileasc cine" i ce" are drept de acces i de modificare. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei aciuni ruvoitoare, ci i ca urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. n acest caz se impune s existe un plan de recuperare i refacere a datelor. Pentru aceasta, trebuie s existe o copie de siguran (backup).

Disponibilitatea i propune ca datele stocate n calculatoare s poat s fie accesate de persoanele autorizate. Utilizatorii trebuie s aib acces doar la datele care le sunt destinate. Se pot distinge aici dou categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem i utilizatorii generali, excepie fcnd sistemele de operare care echipeaz calculatoarele desktop. Sistemul de operare Windows 95/98/Me, n toate versiunile sale, este cunoscut ca un sistem de operare nesigur, deoarece nu face distincie ntre administratorii de sistem i utilizatori generali. Acest sistem de operare are foarte multe goluri de securitate, cu toate configurrile la maxim n domeniu. Orice utilizator general va putea s schimbe configurrile de securitate ale calculatorului mergnd pn acolo nct s le anuleze. n acest fel, calculatorul respectiv este vulnerabil. Ideal ar fi ca fiecare utilizator s aib drepturi de acces numai la informaiile specifice postului su. n Internet, problema disponibilitii capt o form mai extins. O mare problem a asigurrii disponibilitii o reprezint atacurile de tip DoS20. Aceste atacuri fac practic ca datele stocate pe calculatorul respectiv s nu mai fie disponibile. Atacatorii realizeaz aceasta prin dou metode. Prima presupune ca atacatorul s atace direct calculatorul, sau un periferic ce realizeaz comunicarea, i s-1 scoat din uz. A dou metod, numit i flooding21, presupune ca atacatorul s trimit foarte multe mesaje sau cereri ctre calculatorul-int. Acesta nu va putea s trateze toate cererile i ca efect procesele vor fi paralizate.

Nerepudierea, termen recent aprut n literatura de specialitate, i propune s confirme destinatarului unui mesaj electronic faptul c acest mesaj este scris i trimis de persoana care pretinde c l-a trimis. n acest fel se asigur ncrederea prilor. Expeditorul nu poate s nege c nu a trimis el mesajul. Nerepudierea st la baza semnturilor digitale, asigurnd autenticitatea acestora, n noua pia a comerului electronic (E-Commerce22).

Iniial, termenul de nerepudiere nu era inclus printre obiectivele necesare asigurrii securitii calculatoarelor.

1.4. Vulnerabilitatea datelor i msuri de contracarare

Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete procedurile de

sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de sistemele de securitate i a avea acces neautorizat la informaii. Orice calculator este vulnerabil la atacuri. Politica i produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului s aib puine anse de reuit.

Principalele vulnerabiliti n sistemele de calcul sunt: fizice; naturale; hardware; software;

9

medii de stocare; radiaii; comunicaii; umane. Cldirile n care se afl dispuse sistemele de calcul sunt vulnerabile la atacurile

clasice. Un intruder poate, folosind metode clasice, s ptrund n incinta firmei, acolo unde se afl sistemele de calcul i s fure informaie. Pentru a se prentmpina aceasta trebuie ca perimetrele respective s fie securizate fizic, iar accesul n anumite zone s se fac pe baz de identificare fizic. ncperile n care se afl calculatoarele pot fi ncuiate chiar cu cheie sau accesul s se fac dup o identificare cu ajutorul unei cartele la purttor sau printr-o identificare biometric - semntur, amprente, recunoatere voce etc. Aceste msuri formeaz prima barier n calea intruderilor.

Dezastrele naturale, cutremure, inundaii, furtuni, fulgere, cderile de tensiune i supratensiunile pot duce la distrugerea informaiei din sistemele de calcul. Uneori chiar are loc distrugerea fizic a ntregului sistem de calcul.

Componentele hardware trebuie s fie de bun calitate, pentru a nu crea probleme n timpul funcionrii sistemelor de calcul. O memorie intern care altereaz datele n timpul unei operaii de prelucrare sau de transfer, atunci cnd este folosit ca memorie-tampon, va crea mari neajunsuri.

Funcionarea defectuoas a programelor poate, de asemenea, crea neajunsuri. Sistemele de operare nesigure, care au goluri de securitate, vor permite accesul uor la informaie. Dac ambele componente hardware i software sunt sigure, atunci sistemul va funciona sigur. -> Am constatat c mediile de stocare constituie una dintre marile probleme. Acestea pot fi uor sustrase sau distruse. Datele pot fi uor copiate pe nc utilizatele discuri flexibile de 1,44 MB. De asemenea, acestea pot fi foarte uor sustrase folosind mai noul suport de memorie de tip Pen Drive, de mrimea i forma unui stilou, care poate stoca pn la 1 GB de informaie i care poate fi conectat extrem de uor la un port liber USB23 al calculatorului. Distrugerea informaiei este de asemenea uoar. O comand FDISK poate fi lansat n cteva momente i distruge toat informaia de pe discul dur. De aceea se impune s se fac cel puin o salvare de siguran. Salvarea de siguran backup se poate face i pe suporturi de acum clasice, disc flexibil sau CD-ROM. Numai c aici apare posibilitatea ca aceste suporturi s fie sustrase i apoi citite fr probleme pe alte calculatoare. De asemenea, aceste suporturi sunt uor deteriorabile fizic. Pentru a avea o salvare sigur se folosesc casete speciale, iar informaia este criptata. Se merge pn acolo nct se fac dou copii de siguran, una este pstrat infirm, iar alta este depus la banc.

Toate echipamentele electrice i electronice emit radiaii. Aceste radiaii pot fi uor interceptate, ele fiind purttoare de informaie. Nivelul de radiaii este riguros reglementat de legi i este impus productorilor de tehnic de calcul. Comunicaiile n reea, folosind modemuri sau alte modaliti de conectare, sunt vulnerabile. Oricine se poate ataa la linia de comunicaie i poate intercepta, altera i devia traficul.

Cea mai mare vulnerabilitate este ns dat de personalul care administreaz i utilizeaz sistemele de calcul. Dac administratorul de sistem nu are experien sau, mai grav, dac decide s comit delicte, atunci securitatea informaiei din firm este grav compromis. Utilizatorii generali pot de asemenea s creeze vulnerabiliti prin introducerea n zone restricionate a altor utilizatori, prin divulgarea voit a parolelor individuale, prin tergerea sau modificarea voit sau accidental a

10

informaiei. Toate aceste vulnerabiliti vor fi exploatate de persoane ruvoitoare. Referitor

la scara vulnerabilitilor putem s distingem trei mari categorii: vulnerabiliti care permit DoS (refuzul serviciului); vulnerabiliti care permit utilizatorilor locali s-i mreasc privilegiile

limitate, fr autorizare; vulnerabiliti care permit utilizatorilor externi s acceseze reeaua n

mod neautorizat. O alt clasificare poate fi fcut dup gradul de pericol pe care-l reprezint

vulnerabilitatea pentru sistemul supus atacului [SECU99] (tabelul 2). Tabelul 2. Gradele de vulnerabilitate i consecinele acestora.

Grad de vulnerabilitate

Mod de atac Consecine

A Scripturi CGI cu opiuni prestabilite

Permite accesul necondiionat al utilizatorilor ru intenionai.

B Vulnerabilitate criptare RSH Fiiere de parole fr shadow

Permite utilizatorilor locali/generali s-i mreasc privilegiile i s obin control asupra sistemului.

C Trimitere de pachete flood Permite utilizatorilor din interior sau exterior s altereze procesele de prelucrare.

Vulnerabilitile care permit refuzul serviciului fac parte din categoria C i

exploateaz golurile din sistemul de operare, mai precis golurile la nivelul funciilor de reea. Aceste goluri sunt detectate uneori la timp i acoperite de ctre productor prin programe - patch-uri. Acest tip de atac permite ca unul sau mai muli indivizi s exploateze o particularitate a protocolului IP (Internet Protocol) prin care s interzic altor utilizatori accesul autorizat la informaie. Atacul, cu pachete TCP SYN, presupune trimiterea ctre calculatorul-int a unui numr foarte mare de cereri de conexiune, ducnd n final la paralizarea procesului. n acest fel, dac inta este un server, accesul la acesta e blocat i serviciile asigurate de acesta sunt refuzate. Un atac asemntor poate fi declanat i asupra unui utilizator. Acest lucru este posibil datorit modului de proiectare a arhitecturii WWW24.

Vulnerabilitile care permit utilizatorilor locali s-i mreasc privilegiile ocup o poziie medie, B, pe scara consecinelor. Un utilizator local, adic un utilizator care are un cont i o parol pe un anume calculator, va putea, n UNIX, s-i creasc privilegiile de acces folosind aplicaia sendmail. Atunci cnd este lansat programul, se face o verificare s se testeze dac utilizatorul este root, numai acesta avnd drept de a configura i trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat n aa fel nct s se ocoleasc verificarea. Astfel, un utilizator local era drepturi de acces ca root. O alt posibilitate o reprezint exploatarea zonelor de memorie tampon (buffer-e).

Vulnerabilitile care permit utilizatorilor externi s acceseze reeaua n mod neautorizat fac parte din clasa A, pe scara consecinelor. Aceste atacuri sunt cele mai periculoase i mai distructive. Multe atacuri se bazeaz pe o slab administrare a sistemului sau pe configurarea greit a acestuia. Un exemplu de configurare greit este un script demonstrativ care este lsat pe disc, dei se recomand tergerea acestuia.

Cea mai cunoscut vulnerabilitate este coninut de un fiier cu denumirea test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta coninea o eroare care permitea intruilor din exterior s citeasc coninutul directorului CGI. i aceasta din

11

cauza a dou ghilimele () nepuse. Platformele Novell, cu servere HTTP, erau vulnerabile din acuza unui script cu

numele convert.bas. Scriptul era scris n Basic i permitea utilizatorilor de la distan s citeasc orice fiier sistem.

O alt vulnerabilitate este ntlnit la serverele IIS25 (versiunea 1.0) de la Microsoft i permite oricrui utilizator de la distan s execute comenzi arbitrare.

Vulnerabilitile din clasa A pot fi ntlnite i la urmtoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger.

Exist i programe care pot s prezinte vulnerabiliti asociate a dou clase. Am concluzionat c ameninrile la adresa securitii se pot clasifica n trei categorii:

naturale i fizice; accidentale; intenionate. Ameninrile naturale i fizice vin din partea fenomenelor naturale sau a altor

elemente fizice care interacioneaz cu calculatoarele. Se pot enuna aici cutremurele, inundaiile, furtunile, fulgerele, cderile de tensiune i supratensiunile etc. Se poate aciona n sensul minimizrii efectelor ameninrilor sau chiar al eliminrii acestora. Se pot instala dispozitive de avertizare n caz de dezastre naturale sau dispozitive care s elimine efectul acestora.

Ameninrile cu caracter neintenionat vin din partea oamenilor. Acetia pot produce ameninri i dezastre asupra calculatoarelor din cauza neglijenelor n manipularea diferitelor componente, insuficientei pregtiri profesionale, citirii insuficiente a documentailor etc. Din cauza neateniei, un utilizator poate distruge la transport un suport de memorie, poate s suprascrie datele ntr-o baz de date sau s tearg datele pe care el le consider inutile pentru c nu nelege la ce folosesc. Un administrator de sistem poate s modifice nivelul de securitate al unui utilizator sau poate s schimbe sau s anuleze parola la anumite informaii vitale.

Ameninrile intenionate sunt i cele mai frecvente. Aceste ameninri pot fi categorisite n:

interne; externe.

Ameninrile interne vin din partea propriilor angajai. Acetia au acces mai uor la informaie, avnd de trecut mai puine bariere i tiind i o parte din politica de securitate a firmei. Ameninrile externe vin din partea mai multor categorii, i anume:

agenii de spionaj strine; teroriti i organizaii teroriste; criminali; raiders ; hackeri i crackeri. Ageniile de spionaj strine au tot interesul s intre n posesia de informaii

referitoare la noile tehnologii. Firmele productoare de nalt tehnologie sunt inta atacurilor care vin din partea acestora. Se impune ca aceste firme s foloseasc tehnologii i programe de criptare foarte sofisticate pentru a proteja informaiile.

Organizaiile teroriste urmresc cu precdere bncile de unde pot extrage fonduri necesare finanrii aciunilor teroriste, companiile aeriene pentru a putea deturna avioane i a lua ostatici i ulterior a cere rscumprri sau a negocia alte cerine, organizaii guvernamentale de unde se pot informa asupra aciunilor poliiilor, ale forelor guvernamentale sau internaionale asupra lor.

12

Criminalii din aceast categorie sunt cei care, beneficiind de cunotine n domeniul informaticii, folosesc antajul pentru a stoarce bani sub ameninarea distrugerii informaiei din sistemele-int.

Firmele i nregistreaz n fiecare zi diferite informaii pe suporturi de memorie. Acestea pot fi inta unor atacuri din partea unor firme competitoare, n mod direct, sau de ctre o alt persoan care le poate vinde la concuren.

Cracherii penetreaz sistemele de calcul de multe ori nu pentru ctiguri financiare sau politice, ci pentru satisfacerea orgoliului propriu n lupta cu noile sisteme de securitate. Exist printre acetia i persoane care produc uneori dezastre n sistemele de calcul.

Majoritatea mecanismelor de securitate se construiesc pentru a descuraja atacurile care vin din afar. Studiile arat c peste 80% din atacuri vin din interiorul firmei. Un angajat tocmai concediat sau nemulumit va putea s sustrag sau s distrug datele la care are acces. Un angajat de bun-credin va putea fi antajat de cineva din afara firmei pentru a sustrage sau distruge informaia.

Pentru a se prentmpina aceasta se pot lua diferite msuri (contramsuri) concretizate n metode de protecie a calculatoarelor.

O parte din aceste msuri sunt reglementate prin legi i norme. Firmele productoare de echipamente de tehnic de calcul nu trebuie s fabrice echipamente care s emit radiaii electromagnetice peste o anumit limit. Echipamentele care vor fi vndute organizaiilor guvernamentale vor trebui s aib implementate tehnologii de securitate. Sistemele de operare cu care sunt nzestrate aceste calculatoare vor trebui s satisfac cerinele specificate n Orange Book27", care prevede standarde pentru acestea. Ageniile guvernamentale folosesc software de criptare foarte performant. Echipamentele folosite trebuie s satisfac cerinele enunate n TEMPEST28.

Legea impune ca informaiile clasificate ca fiind secrete i cele care sunt clasificate ca senzitive 9 s fie protejate. Se includ aici informaii care dac ar fi sustrase ar putea duce la disfuncionarea economiei. Aceste informaii se regsesc la ministerele economiei, ministerele de finane, agenii de informaii, ambasade.

O categorie aparte o reprezint domeniul militar. Aici regulile de acces la informaii sunt strict reglementate. Departamentul de Aprare (DoD), ageniile de informaii, partenerii comerciali din domeniu folosesc produse de securitate performante. Se pot enumera aici algoritmi de criptare practic imbatabili, sisteme de operare sigure i dedicate, echipamente conform cu TEMPEST.

Securitatea cere foarte muli bani i msuri laborioase. n cadrul ageniilor guverna-mentale i al armatei problemele se rezolv uor, existnd att fondurile necesare, ct i structuri care s permit o implementare sau reimplementare rapid de msuri. Firmele care au ca scop maximizarea profitului nu vor dori poate s aloce foarte muli bani n asigurarea securitii. n acest caz se poate s se ajung la pierderi greu de recuperat. n unele cazuri, firmele nu accept msuri de securitate foarte stricte pentru c s-ar limita anumite drepturi ale personalului i s-ar limita libertatea de micare.

Securitatea nu este o destinaie. Securitatea, ca obiectiv, poate fi considerat c este o stare. Niciodat securitatea nu este perfect, indiferent de ce msuri se iau. ntotdeauna va exista o porti negndit prin care sistemul s fie atacat. Din cauza unui numr mare de factori, securitatea nu va fi niciodat perfect. Atunci cnd se investete n securitate se pune i ntrebarea Ct investesc financiar n securitate?". Asigurarea unei securiti ridicate presupune costuri uneori foarte mari, care poate nu pot fi suportate. i dac tot nu

13

se poate asigura o securitate perfect, atunci ct trebuie s investesc? Investiiile n securitate, la nivel de firm, trebuie fcute innd cont de nevoile financiare ale firmei i de nivelul de protecie dorit. Cheltuielile cu securitatea pot afecta pozitiv sau negativ afacerile.

Pentru c securitatea este relativ, aceasta poate fi atins numai prin definirea obiectivelor, ca ulterior s fie reevaluat. Aceste obiective vor forma politica de securitate la nivel de firm.

1.5. Aspecte generale privind asigurarea securitii datelor n sistemele informatice economice

Securitatea informaiilor, n orice domeniu de activitate, trebuie s fie o activitate

continu pentru a se putea face fa noilor ameninri la adresa securitii n general i a datelor n particular.

Data, conform Dicionarului Explicativ al Limbii Romne (DEX), reprezint fiecare dintre numerele, mrimile, relaiile etc. care servesc pentru rezolvarea unei probleme sau care sunt obinute n urma unei cercetri i urmeaz s fie supuse unei prelucrri". O dat va fi forma de cuantificare a informaiei.

Sistemul informaional poate fi definit ca un ansamblu tehnico-organizatoric de proceduri de constatare, consemnare, culegere, verificare, transmitere, stocare i prelucrare a datelor, n scopul satisfacerii cerinelor informaionale necesare conducerii n procesul fundamentrii i elaborrii deciziilor. Obiectivul sistemului informaional este acela de satisfacere a cerinelor informaionale necesare conducerii n procesul de elaborare a deciziilor [LUSA03].

Sistemul informaional economic este un ansamblu de resurse umane i de capital, investite ntr-o unitate economic, n vederea colectrii i prelucrrii datelor necesare producerii informaiilor, care vor fi folosite la toate nivelurile decizionale ale conducerii i controlului activitii organizaiei. Sistemul informaional economic nu trebuie tratat numai prin prisma calculatorului, deoarece i unitile care nu dispun de calculatoare beneficiaz de serviciile unui astfel de sistem. Se poate concluziona c sistemul informaional economic este sistemul informaional pentru conducere.

Sistemul informatic reprezint un ansamblu de elemente intercorelate funcional, n scopul automatizrii obinerii informaiilor necesare conducerii n procesul de fundamentare i elaborare a deciziilor [LUSA95].

Hardware-ul sistemului informatic este construit din totalitatea mijloacelor tehnice de culegere, transmitere, stocare i prelucrare automat a datelor.

Software-ul sistemului cuprinde totalitatea programelor pentru funcionarea sistemului informatic, n concordan cu funciunile i obiectivele ce i-au fost stabilite. Se au n vedere att programele de baz (software-ul de baz), ct i programele aplicative (software-ul aplicativ).

Comunicaiile se refer la totalitatea echipamentelor i tehnologiilor de comunicaie a datelor ntre sisteme.

Baza tiinifico-metodologic este constituit din modele matematice ale proceselor i fenomenelor economice, metodologii, metode i tehnici de realizare a sistemelor informatice.

Baza informaional cuprinde datele supuse prelucrrii, fluxurile informaionale, sistemele i nomenclatoarele de coduri.

Utilizatorii reprezint personalul de specialitate necesar funcionrii sistemului

14

informatic. Personalul de specialitate include informaticieni cu studii superioare i pregtire medie, analiti, programatori, ingineri de sistem, analiti-programatori ajutori, operatori etc.

Cadrul organizatoric este cel specificat n regulamentul de organizare i funcionare al unitii n care funcioneaz sistemul informatic.

Realizarea unui sistem informatic reclam aciuni conjugate de asigurare a tuturor elementelor de mai sus, neglijarea chiar i numai a unuia dintre acestea putnd aduce prejudicii ntregii aciuni. Se observ c la nivelul unui sistem informatic economic datele sunt prezente ca un element supus prelucrrii la componenta Baza informaional. De aici se poate trage concluzia greit c pentru a se asigura securitatea datelor ntr-un sistem informatic economic este suficient s ne concentrm numai asupra acestei componente. Aceast concluzie eronat nu ine cont de interaciunea dintre componentele sistemului informatic economic. Evident c trebuie concentrate eforturile la aceast component, dar nu trebuie neglijai nici ceilali factori.

Interaciunile componentelor unui sistem informatic economic cu datele din acest sistem pot avea repercusiuni asupra securitii acestora. Nu este necesar s fie un atac direct asupra datelor pentru a se putea spune c s-a atentat la securitatea datelor. Atacul asupra sistemului informatic nsui, asupra componentelor acestuia, reprezint un atac asupra datelor.

Securitatea datelor n sistemele informatice economice poate fi definit ca fiind ansamblul de msuri luate la nivelul agentului economic necesare asigurrii secretului informaiei mpotriva accesului neautorizat.

n funcie de mrimea firmei, unele dintre aceste componente i pot schimba ordinea.

n majoritatea cazurilor ns, angajaii sunt o potenial surs de atentat la securitate, acest lucru fiind evideniat i de studiul anterior CSI/FBI (paragraful 1.2). Conform acestor studii, 77% dintre cei chestionai au indicat angajaii ca surs de atac actual i potenial. Nu orice angajat este ns o potenial surs de atentat la securitatea datelor din firm. Unii angajai produc adevrate dezastre fr s fie contieni de acest lucru. Alii o fac cu bun tiin. O aciune nevinovat, posibil i datorit golurilor de securitate existente n firm, poate produce pagube majore. Care ns dintre angajai este un potenial pericol? Acest lucru poate fi evideniat fcnd o analiz a riscului de securitate pe postul respectiv (paragraful 5.4). Se poate face o categorisire a angajailor, din punct de vedere al cunotinelor n folosirea calculatorului, n trei categorii: nalte, medii i sczute.

Angajaii care au cunotine nalte n folosirea calculatorului sunt i cei care pot exploata anumite goluri de securitate din firm. Acetia posed cunotine nalte n domeniul tehnicii de calcul i vor ncerca s gseasc anumite vulnerabiliti pe care s le foloseasc. Unii nu o fac pentru a obine un profit, ci pur i simplu din curiozitate sau de distracie. Angajaii din aceast categorie nu pot s motiveze c au fcut acest lucru involuntar atunci cnd sunt prini atentnd la securitatea datelor firmei.

Angajaii care au cunotine medii n folosirea calculatoarelor sunt poate categoria care necesit cea mai mic atenie. Acetia nu posed cunotine ridicate pentru a iniia un atac i nu sunt nici slab pregtii pentru a crea involuntar disfuncionaliti.

Angajaii care au cunotine sczute n folosirea calculatoarelor sunt cei care, de

15

regul, produc situaii nedorite la nivelul firmei. Aceast categorie este ntlnit la punctele de vnzare ale firmei, la sucursale, la centre de distribuie etc. Treaba lor este doar s opereze n calculator datele firmei. Dar dac apar situaii de excepie pe care acetia nu tiu cum s le trateze? De exemplu, din cauza nenelegerii unei opiuni din meniul program i a neblocrii acesteia prin regulile de acces, se pot terge date. Este cazul opiunii iniializare" de la pachetul de programe Ciel, care dac nu este blocat opiunea pentru acest tip de utilizator, are ca efect iniializarea datelor prin aducerea acestora la zero. Alte situaii ntlnite, la firmele mici, sunt acelea n care programele fcute de neprofesioniti n FoxPro au ca opiune de ieire din program Ieire n Fox". De aici utilizatorul nu tie ce s fac. Sau poate s dea o comand greit care s produc dezastre. Am ntlnit situaii cnd utilizatorul nu tia ce comand s tasteze i a introdus comanda Zap" cu referire la serviciul de telefonie Zapp, din fereastra de comenzi. Rezultatele au fost dezastruoase.

O reflectare a impactului asupra securitii datelor i pierderilor cauzate de pregtirea angajatului n folosirea calculatorului este dat n tabelul urmtor (tabelul 3).

Tabelul 3. Impactul asupra securitii datelor i pierderilor cauzate de pregtirea angajatului n folosirea calculatorului.

Aciuni asupra securitii datelor

Pierderi cauzate Tip firm

Pregtire / cunotine angajai Voite Nevoite Mari Mici

Mare nalt X X nalt X X Medie X X X X

Medie

Sczut X X X Medii X X X X Mic Sczute X X X

n urma studiilor efectuate la mai multe firme de mrimi diferite, am concluzionat urmtoarele:

Firmele mari i permit s angajeze personal cu nalte cunotine n domeniul folosirii calculatoarelor. Acest lucru are un efect pozitiv asupra productivitii crescute, dar poate avea i repercusiuni asupra securitii. Un angajat foarte bine pregtit reprezint un potenial pericol dac i propune s atenteze la securitatea firmei.

Firmele mici nu-i pot permite, din motive financiare, s angajeze personal cu cunotine nalte n folosirea calculatoarelor. Aceste persoane, n contextul unor msuri de securitate insuficient luate de firm din motive financiare, pot s produc pierderi de la cele mai nensemnate pn la cele mai mari. Majoritatea pierderilor din aceast categorie o reprezint pierderea datelor prin tergerea accidental a acestora.

Pierderile cauzate au semnificaie diferit pentru diferite tipuri de firme. O pierdere mare pentru o firm mic poate s aib echivalentul unei pierderi minore pentru o firm mare. Pierderile financiare sunt suportate diferit, n funcie de mrimea acestora.

Aciunile maliioase din partea angajailor sunt lipsite de orice ans de reuit dac firma are o politic de securitate clar i bine implementat. Implementarea unor msuri de securitate la zi" este greu de realizat chiar i pentru cel mai bine pregtit dintre angajaii

16

firmei. Sa nu uitm c totui firma va angaja un operator, i nu un specialist n securitate pe un post de vnzri, de exemplu.

Cadrul organizatoric specificat n regulamentul de funcionare al firmei trebuie s prevad expres msurile care s asigure securitatea datelor firmei. Msurile permisive vor facilita abuzuri. Aceste msuri organizatorice sunt bine definite i implementate la nivelul firmelor din categoriile mari i medii. n cadrul firmelor mici, aceste msuri sunt uneori inexistente sau sunt aplicate aleatoriu.

Componenta hardware n cadrul firmei trebuie s fie de bun calitate. Achiziionarea de calculatoare fabricate de firme consacrate reprezint un obiectiv greu de realizat pentru multe firme mici sau medii. Achiziionarea unei componente hardware de bun calitate presupune cheltuieli ridicate pe care firmele mici nu i le pot permite. De achiziionarea unui dispozitiv firewall hardare la aceste firme nici nu poate fi vorba. Blocarea frecvent n funcionare a unor echipamente neperformante vor avea efect att asupra derulrii afacerilor firmei, ct i asupra securitii datelor. Funcionarea defectuoas a componentei hardware ar putea duce la pierderi irecuperabile de date i implicit la stagnarea tranzaciilor firmei.

Acelai lucru se poate spune i despre sistemele de operare i programele folosite n cadrul firmei. Se tie c multe firme folosesc sisteme de operare i programe aplicative piratate. Rata pirateriei n Romnia era la sfritul anului 2003 de 76%, n cretere fa de anul 2002. n multe cazuri, n cadrul firmelor mici, toate programele sunt cumprate de pe piaa neagr sau sunt instalate ilegal de ctre distribuitorul de calculatoare. Unii manageri sau patroni de firme motiveaz c nu au avut cunotin despre faptul c trebuiau s dea bani i pe software. Unora, destul de puini, li separe chiar ,jtormal" s nu dea bani pe software. Orice program care nu este achiziionat n mod legal nu va beneficia de suport tehnic i asisten pentru actualizare i pentru umplerea golurilor de securitate. Instalarea pe calculatoarele firmei a sistemelor de operare nesigure, precum i a programelor aplicative improvizate va avea repercusiuni asupra funcionrii normale a calculatoarelor, precum i asupra securitii datelor. Firmele mici, din lips de specialiti, instaleaz ca sistem de operare Windows 9x care este mai uor i mai rapid de configurat, dar mai nesigur, sau instaleaz Windows XP care este configurat pe opiunile de securitate standard (minime). Majoritatea programelor aplicative sunt fcute la repezeal, uneori de persoane care au cunotine minime sau deloc legate de securitatea datelor.

Sistemele de comunicaie ntre calculatoare, precum i sistemele de comunicaie cu exteriorul mresc considerabil posibilitatea de atentat asupra securitii datelor. Un calculator neconectat la reeaua intern a firmei sau la Internet va fi mult mai sigur dect unul conectat. Dar i posibilitile de lucru ale acestuia vor fi mult mai reduse, aspect care se va reflecta n productivitate. Dac, spre exemplu, avem o staie de lucru care lucreaz local cu datele corespunztoare locului de munc respectiv i se produce o defeciune a discului dur, atunci toate datele vor fi pierdute, iar postul de lucru respectiv va fi blocat pn se nlocuiete echipamentul i se refac datele locale. Refacerea datelor este aproape imposibil dac nu exist o copie de siguran nelocal.

Dac n schimb datele erau salvate nelocal, folosind reeaua firmei, atunci nu trebuia nlocuit dect echipamentul. Firmele mici fac frecvent aceast greeal, neavnd un specialist sau neapelnd la unul, s lege calculatoarele ntre ele i s considere c au o reea. De punerea problemelor de securitate nici nu poate fi vorba. Conectarea calculatoarelor din firm la reeaua Internet poate avea efecte benefice, pentru unele compartimente din firm, dar poate avea i efecte secundare care se reflect n principal

17

n productivitate. Angajatul va folosi conexiunea nu numai pentru activiti care in de atributele de serviciu, ci i pentru activiti personale care-i consum din timp.

Un studiu efectuat n anul 1999 de ctre Net-Partners Internet Solutions arta c, la nivelul Statelor Unite, angajatorii au avut pierderi de productivitate cifrate la 500.000.000 USD din cauz c aproximativ 13.500.000 de angajai au citit sau descrcat la serviciu raportul Starr30. S amintim aici c o alt categorie de aciuni, care au ca efect pierderi de productivitate, o reprezint mesajele de pot electronic nesolicitate, aa-numitele spam-uri31. Conform Yankee Group (www.yankeegroup.com), mesajele spam creeaz anual pierderi de productivitate cifrate la 4 miliarde de dolari.

Baza tiinifico-metodologic care este constituit pe lng modelele matematice ale proceselor i fenomenelor economice i metodologii de aplicare ale acestora, i de metode i tehnici de realizare a sistemelor informatice trebuie s fie serios documentat pentru a se asigura o securitate sporit a firmei. Documentarea la un nivel nalt este asigurat la nivelul firmelor mari, care-i permit financiar acest lucru, au un personal nsrcinat cu aa ceva sau angajeaz o firm specializat. n cadrul firmelor mici, acest lucru este rar realizat.

Baza informaional, care cuprinde printre altele i datele supuse prelucrrii, trebuie s fie protejat. Nu oricine trebuie s aib acces la date. Pentru aceasta, datele vor primi diferite clasificri i se va indica cine i cum are acces la ele. Nu toate datele trebuie s fie fcute publice. Dar nu este suficient acest lucru. Trebuie avut n vedere ca anumite date s nu poat fi extrase din datele publice. La nivelul firmelor mari i medii, acest lucru este fcut de ctre personal specializat. De regul, acesta este cel care proiecteaz programele de aplicaii la nivelul firmei sau programele de aplicaii comerciale. Firmele mici nu fac ns acest lucru, mulumindu-se s asigure printr-o banal parol accesul la anumite fiiere.

Pentru a se asigura securitatea calculatoarelor trebuie anumite abiliti. Firmele organizeaz, de regul, activiti de pregtire a personalului n domeniul tehnicii de calcul n sine i destul de puin se insist pe securitate. Activitatea de pregtire n domeniul securitii este limitat numai la nivelul de faciliti oferite de produsele hardware i software utilizate.

Firmele mici, care au nevoie ca sistemele lor de calcul s fie sigure, folosesc pentru aceasta personal care nu are pregtire specific domeniului i care mai are i alte atribuii de baz. Aceasta reprezint o greeal, dar, din motive financiare, firma nu poate angaja o persoan pentru acest scop. n multe cazuri se opteaz pentru un consultant n aceast problem. Este important ns s se separe pe ct posibil politica i msurile de securitate, pe de o parte, i msurile de aplicare ale acesteia, pe de alt parte. Altfel, departamentul de IT&C va fi nsrcinat cu toate atribuiile legate de configurare, instalare, ntreinere a echipamentelor de tehnic de calcul, politic de securitate, unele dintre atribuiuni fiind de competena altor departamente.

Atribuiile referitoare la securitatea calculatoarelor n cadrul firmelor sunt redate n tabelul 4 [PRBY02].

Tabelul 4. Atribuiile referitoare la securitatea calculatoarelor n cadrul firmelor. Atribuii Pregtire Ofier de securitate Comunicare, negociere, conducere i bugetManager cu securitatea Negociere, legtura cu conducerea tehnicOperator de securitate Operator tehnic de sistem, analizeaz i cerceteaz informaia Administrator Abiliti administrative, legtura cu personalulTehnician reea Implementeaz i ntreine tehnologiaAdministrator de sistem Implementeaz i ntreine tehnologia

18

Auditor intern Analiz detaliat a activitii i tehnologieiAnalist juridic Analiz aprofundat a aspectelor juridiceProprietar de resurse Analizeaz valoarea informaiei, analizeaz riscurile care pot s apar

n mediul de afaceri i volumul de investiii necesar asigurrii unei bune securiti necesare dezvoltrii afacerii.

O persoan va putea ndeplini mai multe atribuii dac este necesar s aib aceeai pregtire.

Un principiu fundamental n organizarea securitii este acela al separrii puterilor. Acesta presupune ca personalul care se ocup cu stabilirea regulilor s fie separat de cel care se ocup cu implementarea acestora. Se poate observa c nu toate atribuiile presupun abiliti n domeniul IT&C; din aceast cauz nu se impune nglobarea acestora n departamentele respective. Unele atribuii sunt chiar foarte clar delimitate de IT&C.

n cadrul compartimentului IT&C, este important ca atribuiile asociate cu politica de securitate (ofier sau manager) s fie distincte de cele care au ca obiectiv implementarea msurilor de restricionare (reele i conducere). Operatorul de securitate i analistul juridic sunt cele mai recente atribuii adugate la cele existente.

Organizarea activitilor de asigurare a securitii la nivelul firmelor mari, al organizaiilor, poate fi fcut, conform atribuiilor stabilite mai sus, n dou mari moduri:

innd cont de reglementrile guvernamentale n domeniu; dup propria structur. Organizaiile de interes naional au reglementate prin diferite legi activitatea de

asigurare a securitii. Personalul care se ocup, n acest caz, de securitatea informaiei formeaz un departament aparte, paralel, fa de departamentul de IT&C i are atribuii stricte. CSO32 este cel care se ocup cu asigurarea securitii, n general, i raportarea ctre conducere a eventualelor nereguli. n unele cazuri exist i CISO33, care va raporta ctre CIO34, n paralel cu - i la acelai nivel - conducerea IT&C.

Celelalte organizaii nu au acest tip de personal, ele organizndu-i singure activitatea. Aici vom ntlni tehnicieni nsrcinai cu asigurarea securitii.

Managerul general al unei firme este cel care are rolul cel mai important, i cel mai critic, n securitatea calculatoarelor. El este de fapt proprietarul de resurse. Orict de pregtit ar fi personalul IT&C angajat, nu va nelege pe deplin ct de important este informaia financiar a firmei, stocat n sistemele de calcul, pentru c nu va putea s neleag pe deplin afacerea, nefiind pus n postura de manager de firm. Numai un om de afaceri poate s tie ct de importante sunt anumite date pentru derularea afacerilor, dar mai ales ct de importante pot fi dac acestea ajung la persoane neavizate. Persoanele implicate n activitatea de securitate (CSO) sau persoanele angajate n activitatea de prelucrare a informaiei (IT&C) pot s-1 consilieze pe manager cu informaii i sfaturi n asigurarea securitii. Decizia final i aparine ns managerului de firm. Pentru aceasta trebuie fcut o analiz de riscuri. Asigurarea securitii nu poate fi ns implementat la fel n toate firmele, aceasta datorit mrimii acestora i specificului activitii. n funcie de mrimea lor, firmele se pot clasifica n trei mari categorii: mari, medii i mici [PRBY02]:

O firm mare este acea firm care are peste 1.000 de servere, un venit anual de peste un miliard de dolari i mai mult de 2.000 de angajai. O firm mare se caracterizeaz prin existena mai multor site-uri, precum i printr-un management special. Nevoia de securitate a unei firme mari este cu mult mai mare dect securitatea curent i necesit abordri mult mai complexe.

O firm medie este acea firm care are peste 100 de servere, un venit anual de peste 100 milioane de dolari i peste 500 de angajai. Aceasta poate avea cteva site-uri.

19

O firm mic este acea firm care are sub 100 de servere, un venit anual sub 100 milioane de dolari i sub 100 de angajai.

Aceasta este situaia n rile dezvoltate din punct de vedere economic. n ara noastr, aceast ierarhizare sufer o decrementare a numrului de servere i de angajai.

n finalul studiului referitor la aspectele generale privind asigurarea securitii datelor n sistemele informatice economice am concluzionat c:

1. Asigurarea securitii datelor n cadrul firmelor este strns legat de posibilitile financiare ale firmei n a investi n asigurarea securitii. Firmele mari i medii, care au i ctiguri pe msur, fac investiii n securitate. Firmele mici nu fac astfel de investiii dect foarte rar i insuficient pentru a se asigura o securitate minim.

2. Asigurarea securitii datelor n cadrul firmelor depinde n mare msur de ct de contient este conducerea firmei de faptul c trebuie asigurat o minim securitate. Conducerea firmelor mari este asigurat de ctre un consiliu de administraie (board), unde decizia de a se investi n securitate este luat de un grup de oameni care tiu ce nseamn riscurile. Organizaiile de interes naional au reglementate prin diferite legi activitatea de asigurare a securitii, acest lucru fiind impus. La firmele mici i medii, managerul general este cel care are rolul cel mai important, i cel mai critic, n securitatea datelor. Acesta va trebui s fie contient c trebuie asigurat securitatea datelor i s dispun alocarea de resurse financiare ndeplinirii acestui deziderat. Unii manageri din aceast categorie vd asigurarea securitii datelor ca un fel de gaur neagr, unde banii se duc i nu aduc nici un beneficiu. Un rol important n contientizarea asigurrii securitii datelor l au, n acest caz, consultanii pe probleme de securitate sau membrii echipei IT&C (dac exist) din firm.

3. n cadrul firmelor mari exist personal specializat cu asigurarea securitii datelor. Acesta va implementa politica de securitate a firmei i va testa periodic calculatoarele din firm pentru descoperirea golurilor de securitate. Firmele de mrime medie nsrcineaz personalul IT&C cu asigurarea securitii datelor. Acesta, pe lng sarcinile curente, le are i pe cele de asigurare a datelor din cadrul firmei. Investiiile n perfecionarea personalului n domeniul securitii sunt minime. Firmele mici nu au personal specializat n asigurarea securitii datelor. Dac exist personal IT&C, atunci acesta este nsrcinat i cu asigurarea securitii.

4. n cazurile n care firma, indiferent de mrime, nu are personal specializat cu studiul, implementarea i gestionarea msurilor de securitate, se poate face apel la firme specializate care s implementeze i s gestioneze serviciile de securitate. Se poate opta i pentru soluia mixt n care studiul i implementarea s se fac de ctre o firm specializat, iar gestionarea acestora s se fac de ctre beneficiar, urmnd ca periodic s se fac testri de ctre firma specializat.

5. Programele aplicative la nivelul firmelor mari i medii sunt elaborate lundu-se n considerare i securitatea datelor. Firmele mici folosesc ori programe piratate, ori aplicaii create de nespecialiti care nu numai c nu au elemente de securitate ncorporate, dar, n anumite cazuri, funcioneaz i defectuos, alternd datele.

6. Personalul angajat al unei firme nu are ntotdeauna pregtirea necesar utilizrii calculatorului. Firmele mari i permit s angajeze personal cu calificare nalt, n timp ce firmele mici nu-i pot permite acest lucru. Firmele mari fac eforturi pentru pregtirea angajailor, n timp ce firmele mici fac eforturi reduse sau deloc n ceea ce privete pregtirea personalului.

20

1.6. Tehnologii de securizare a datelor i administrarea acestora Tehnologiile de restricie sunt menite s limiteze accesul la informaie. Din aceast

categorie fac parte: controlul accesului; identificarea i autentificarea; firewall-urile; reelele virtuale private; infrastructura cu chei publice (PKI35); Secure Sockets Layer (SSL); Single Sign On (SSO) - Semntur doar o dat. Controlul accesului este un termen folosit pentru a defini un set de tehnologii de

securitate care sunt proiectate pentru restricionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul i avea acces la datele stocate. Termenul de control al accesului (acces control) definete un set de mecanisme de control implementate n sistemele de operare de ctre productori pentru restricionarea accesului. De aceast facilitate beneficiaz sistemele de operare Windows, UNIX, Linux etc.

Identificarea i autentificarea, folosindu-se de conturi i parole, permit doar accesul utilizatorilor avizai la informaie. Identificarea i autentificarea poate fi fcut i cu ajutorul cartelelor electronice (smart crd) sau prin metode biometrice. Acestea presupun identificarea dup amprent, voce, irisul ochiului etc.

Firewall-ul reprezint un filtru hardware sau software care stopeaz un anumit trafic prestabilit din reea i permite trecerea altuia. Firewall-ul se interpune ntre reeaua intern i Internet i filtreaz pachetele care trec. De asemenea, firewall-ul poate fi folosit i n interiorul propriei reele pentru a separa subretele cu nivele diferite de securitate.

VPN36-urile permit comunicarea sigur ntre dou calculatoare aflate ntr-o reea. O conexiune VPN se poate realiza att n reeaua local, ct i n Internet. VPN folosete tehnologii de criptare avansat a informaiei care face ca aceasta s nu poat s fie modificat sau sustras fr ca acest lucru s fie detectat.

Infrastructura cu chei publice (PKI) i propune s asigure securitatea n sisteme deschise, cum ar fi Internetul, i s asigure ncrederea ntre dou persoane care nu s-au cunoscut niciodat. ntr-o structur PKI complet, fiecare utilizator va fi complet identificat printr-o metod garantat, iar fiecare mesaj pe care-l trimite sau aplicaie pe care o lanseaz este transparent i complet asociat cu utilizatorul.

Secure Socket Layer (SSL) reprezint un protocol Web securizat care permite criptarea i autentificarea comunicaiilor Web utiliznd PKI pentru autentificarea serverelor i a clienilor. Lucreaz foarte bine cu servere WWW. Este implementat n mai multe versiuni. Versiunea SSL2 este cea mai rspndit, iar versiunea SSL3 e cea mai sigur, dar este mai greu de implementat.

Semntur doar o dat (SSO) dorete s debaraseze utilizatorul de mulimea de conturi i parole care trebuie introduse de fiecare dat cnd acceseaz i reacceseaz programe. Pentru aceasta utilizatorul trebuie s se autentifice o singur dat. Dezideratul este greu de realizat datorit varietii de sisteme. Deocamdat acest lucru se poate realiza n cadrul firmelor care au acelai tip de sisteme. Web-ul folosete un subset SSO numit Web SSO, funcionarea fiind posibil datorit faptului ca serverele Web folosesc aceeai tehnologie. Pe lng tehnologiile de restricionare, securitatea sistemelor trebuie administrat,

21

monitorizat i ntreinut. Pentru aceasta trebuie efectuate urmtoarele operaii: administrarea; detectarea intruilor; scanarea vulnerabilitilor; controlul viruilor. Administrarea sistemelor de calcul presupune i controlul i ntreinerea modului

de acces la acestea de ctre utilizatori. Un utilizator care folosete o parol scurt sau care este uor de ghicit va face ca acel calculator s fie uor de penetrat. Atunci cnd un angajat este concediat sau pleac pur i simplu din alte motive de la firma respectiv, trebuie schimbate denumirile utilizatorului (user37) i parola. Uneori se face greeala ca numele de user s fie numele postului i nu un identificator al numelui angajatului. In urma concedierii angajatului se schimb doar parola, rmnnd numele de user, ceea ce face ca sistemul s fie mai vulnerabil, fostului angajat nermnndu-i dect s gseasc parola, dac acesta va dori s fac ru.

Denumirea user-ului i a parolei trebuie fcut cu foarte mare atenie i mare responsabilitate. Sarcina este de competena persoanei nsrcinate cu securitatea. Parolele vor conine att cifre, ct i litere, pentru a face ghicirea lor ct mai grea, i vor fi schimbate periodic. Divulgarea parolei altor persoane va fi sancionat administrativ.

Detectarea intruilor trebuie fcut permanent. Pentru aceasta exist programe care controleaz traficul i care in jurnale de acces (log). Verificarea se va face la nivelul fiecrui calculator din firm. Trebuie fcut aici distincie ntre ncercrile de intruziune din afar i cele din interior. De asemenea, trebuie separate ncercrile de acces neautorizat din reeaua intern de accesul neautorizat la un calculator lsat nesupravegheat de ctre utilizator.

Scanarea vulnerabilitii, care este de fapt o analiz a vulnerabilitii, presupune investigarea configuraiei la nivel intern pentru detectarea eventualelor guri de securitate. Acesta se face att la nivel hardware, ct i software. Un calculator care este pus n sistem dincolo de firewall va fi vulnerabil i va compromite afacerile firmei. Un calculator la care un utilizator i-a sporit drepturile i a reuit s partajeze (share) un folder sau fiier va fi vulnerabil chiar dac accesul la acesta din urm este protejat de o parol. Folosirea unui scanner de parole va avea ca efect aflarea parolei n cteva secunde, indiferent de lungimea acesteia.

Controlul viruilor se va face pentru a detecta i elimina programele maliioase din sistemele de calcul. Acestea se pot repede mprtia la toate calculatoarele din sistem i pot paraliza funcionarea acestora sau pot produce distrugeri ale informaiei. Se impune obligatoriu s fie instalate programe antivirus, actualizarea semnturilor de virui s se fac ct mai des, iar scanarea pentru detectarea viruilor s se fac de oricte ori este nevoie.

O posibilitate este ca programul antivirus s fie instalat pe un calculator central, actualizarea se va face periodic, iar scanarea staiilor de lucru se va face de aici. Aceast arhitectur nu ofer ns o protecie n timp real. Ce se ntmpl dac cineva introduce un disc flexibil care conine virui n staia de lucru? n acest caz se impune existena unui program antivirus care funcioneaz local sau eliminarea introducerii de programe n staia de lucru cu ajutorul suporturilor de memorie.

Majoritatea experilor recomand ca soluie minim de asigurare a securitii parcurgerea a trei pai. n primul rnd, trebuie s se fac o detectare a viruilor, apoi implementarea unei protecii firewall i n final detectarea intruilor.

22

CAPITOLUL 2 SECURITATEA SISTEMELOR

INFORMAIONALE

2.1 Mecanismul de protecie al unui sistem informatic Securitatea sistemelor informatice presupune1: recunoaterea de la nceput a vulnerabilitii i slbiciunii sistemelor informatice; identificarea i evaluarea elementelor patrimoniale care trebuie protejate, astfel nct s nu se omit nimic; specificarea tuturor atentatelor posibile asupra sistemelor informatice; evaluarea potenialelor pierderi sau riscuri generate de un anumit incident; proiectarea, implementarea i perfecionarea unor metode de protecie adecvate; existena unor planuri de reconstituire a datelor n cazul pierderii lor; controlul periodic al eficienei msurilor de asigurare a securitii sistemului informatic. Securitatea absolut nu poate fi atins i nici nu este ntotdeauna necesar. Este foarte important evaluarea pericolelor i riscurilor poteniale (numite i cerine de securitate2), care va fi urmat de stabilirea mijloacelor i msurilor de protecie i integrarea lor n mecanismul de protecie corespunztor. Ansamblul mijloacelor, metodelor i msurilor speciale destinate proteciei i securitii informaiei formeaz mecanismul de protecie (numit i mecanism de aprare). Un mecanism de protecie trebuie s ntruneasc urmtoarele caracteristici3: completitudine, adic asigurarea funcionrii normale a sistemului la orice eventual ameninare; corectitudine (oferirea anticipat a rspunsurilor la eventuale probleme care pot apare); simplitate i uurin n utilizare; asigurarea unui minim de erori sau alarme false; supravieuirea, respectiv perioada de funcionare, la un anumit nivel asigurat de protecie, n condiii optime de utilizare. n literatura de specialitate se apreciaz c mecanismul de protecie al sistemelor informatice presupune urmrirea realizrii mai multor categorii de msuri. O clasificare a acestora este destul de dificil, opiniile fiind mprite. Mijloacele i msurile incluse n mecanismul de protecie pot fi clasificate n: mijloace tehnice i programe speciale, acoperirea criptografic a informaiilor, mijloace fizice, msuri juridice i organizatorice4. O alt clasificare mparte msurile mecanismului de protecie n urmtoarele categorii5: securitatea fizic;

1Oprea D., Protecia i securitatea sistemelor informatice, note de curs, 1995 2vezi Patriciu V., Criptografia i securitatea reelelor de calculatoare, Editura Tehnic, Bucureti, 1994, p. 33 3Oprea D., op. cit. 4Angheloiu I., Securitatea i protecia informaiilor n sistemele electronice de calcul, Editura Militar, Bucureti,

1986, p. 15 5Oprea D., op. cit.

23

securitatea cu ajutorul personalului din sistem; securitatea liniilor de comunicaii; criptarea informaiilor importante; studierea tehnicilor specializate ale intruilor; securitatea sistemelor de prelucrare automat a datelor; suprimarea radiaiilor electromagnetice. n alt viziune6, securitatea unui sistem informatic nseamn: securitatea fizic; securitatea cu ajutorul personalului; securitatea (controlul) accesului; securitatea software-lui. Ali autori propun o mprire mai simplificat n msuri i tehnici pentru7: securitate fizic, care se refer la protecia sistemului informatic mpotriva accesului persoanelor neautorizate i protecia mpotriva dezastrelor; securitate procedural, un set de reguli care guverneaz buna funcionare a sistemului (selecia i pregtirea personalului, instituirea normelor de conduit n sistem, proceduri de auditare i control etc.); securitate tehnic (protecia echipamentelor, programelor, comunicaiilor i datelor). n rspunderea directorului compartimentului informatic (prelucrarea automat a datelor) este sarcina de realizare i implementare mecanismului de protecie, a msurilor de prevenire a pierderilor i distrugerilor i a normelor interne de comportament. Coordonatorul sistemului de securitate va crea o adevrat infrastructur de asigurare a securitii, cu distribuirea ctre subordonai a sarcinilor pe linia securitii. Pornind de la analiza i evaluarea ameninrilor poteniale pentru sistemul informatic, sunt ntocmite procedurile de realizare a securitii i contramsurile pentru pericolele poteniale. Urmrind ultima clasificare, vom trata securitatea fizic i rolul factorului uman n asigurarea securitii n subcapitole distincte i vom prezenta pe scurt celelalte categorii de msuri i tehnici ale mecanismului de protecie. Securitatea procedural vizeaz, n principal, urmtoarele aspecte: msuri organizatorice; auditatea sistemului informatic; msuri juridice; asigurarea; selecia i pregtirea personalului (vezi subcapitolul 2.3). Msurile organizatorice joac un rol dublu n mecanismul de protecie: pe de o parte acoper majoritatea canalelor de acces a informaiilor, iar pe de alt parte, asigur unirea tuturor mijloacelor ntr-un mecanism unic de protecie. Se pot include n aceast categorie: msuri realizabile prin proiectarea, construcia i echiparea centrelor de calcul astfel nct s fie minim influena posibilelor catastrofe naturale i posibilitatea ptrunderii neautorizate a persoanelor strine; alegerea i pregtirea corespunztoare a personalului din sistem; organizarea unui regim sigur de control fizic al accesului pe teritoriul sau n cldirile ce adpostesc sistemul; organizarea strict a modului de pstrare i folosire a documentelor i suporturilor de

6Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986, p. 549 7Gallegos F., ,a., Audit and Control of Information Systems, South-Western Publishing Co., Cincinnati, 1987, p.

487

24

date; organizarea lucrului pe schimburi, cu stabilirea clar a atribuiilor pe linia securitii, organizarea controlului muncii personalului, inerea jurnalelor de lucru, distrugerea hrtiilor aruncate etc. Auditarea sistemului informatic este o contramsur eficient mpotriva pericolelor care vizeaz sistemul, n special a fraudelor. Auditul informatic este procesul prin care persoane competente colecteaz i evalueaz probe pentru a-i forma o opinie asupra gradului de coresponden ntre cele observate i anumite criterii prestabilite. El const n aplicarea unei etichete de calitate unui obiect, n raport cu un sistem de referin, n scopul de a oferi un anumit nivel de ncredere n sistemul informatic8. Se include aici att auditarea intern, realizat periodic de ctre personalul de la compartimentul de specialitate, ct i apelarea la specialiti externi, independeni, care pot oferi concluziile lor autorizate n legtur cu securitatea/vulnerabilitatea sistemului (putem aprecia activitatea lor ca o consultan cu rol de evaluare. Se urmresc existena i modul de aplicare al msurilor de control al accesului fizic la suporturi i echipamente i al accesului la date, al celorlalte msuri legate de securitatea fizic, dar este posibil i identificarea punctelor tari i, mai ales a punctelor slabe ale sistemului. Auditarea intern este foarte eficient atunci cnd este realizat inopinat, putnd descoperi aspecte care, n cazul anunrii unui control, ar fi putut fi ascunse. Exist pe plan mondial mai multe organizaii ale specialitilor n auditarea sistemelor informatice9: Electronic Data Processing Auditors Association - asociaia mondial care are circa 10000 de membri, specialiti din ntreaga lume; Asociaia Francez de Audit Informatic; Federaia Internaional a Auditorilor i Experilor n Sisteme Informatice, care acord, dup susinerea unui examen complex, certificate de auditori i experi n sisteme informatice. i n ara noastr devine necesar evaluarea autorizat a sistemelor informatice i persoane competente exist. Rmne de vzut cnd i cum se va certifica primul auditor autorizat de sisteme informatice n Romnia. Msurile juridice se reflect n reglementrile juridice la nivel naional, n legile i actele normative existente pe acest domeniu. Astfel de legi trebuie s garanteze integritatea i confidenialitatea informaiilor, protecia programelor de aplicaii mpotriva copierilor ilegale i s prevad rspunderea civil i penal pentru nclcarea acestor prevederi; organizaiile i persoanele fizice sunt n drept s deschid aciune juridic dac s-a ncercat accesul neautorizat n sistem sau copierea ilegal a software-lui, pentru a obine compensarea pagubelor cauzate de infraciune. Legislaia cea mai complet este cea a Statelor Unite, unde amplificarea volumului de informaii cu caracter secret sau privat a determinat reacii negative mpotriva accesului neautorizat. Acesta este interzis prin lege, iar companiile au dreptul s urmreasc n justiie pe autorii fraudelor pe calculator. Legislaia din Europa de est nu prevede pedepse pentru infraciunile prin sau cu ajutorul calculatorului, iar dezvoltarea economic din ultimii ani i de perspectiv impune elaborarea urgent a unei jurisdicii adecvate. De asemenea, legile trebuie s reglementeze aspectele legate de criptografie. n rile occidentale, criptografia este considerat o arm, avnd un regim similar cu al

8Avram G., Auditul informatic, n PC World, nr. 6/1995, p. 48 9Avram G., op. cit., p. 49

25

muniiei10. Multe ri europene restricioneaz utilizarea, achiziia sau vnzarea algoritmilor criptografici. Spre exemplu, n Frana, folosirea criptrii peste legturile de comunicaii este strict interzis; exist ns posibilitatea ncheierii unor acorduri cu France Telecom, dar numai dup prezentarea surselor complete de folosire a algoritmilor. Cei care vnd sau cumpr produse criptografice trebuie s aib aprobarea Ministerului Aprrii, iar furnizorii trebuie s nregistreze numele tuturor clienilor i numrul copiilor vndute; importul sau exportul produse care suport criptri de date necesit autorizaii speciale. n legtur cu proveniena programelor, sunt frecvente cazurile n care un utilizator, pentru a economisi nite bani, apeleaz la copii pirat ale unui pachet de programe. Trebuie s se fac aici distincia ntre copierea unor programe pentru a avea copii de siguran i copierea programelor pentru a le vinde sau oferi unui prieten. Aceast diferen este menionat i de legea copyright-ului pentru software, lege adoptat n S.U.A. n 1980. Este deci legal copierea din motive de siguran i se pot face oricte copii, cu condiia ca acestea s rmn la utilizatorul autorizat. Pedepsele pe care le prevede legislaia american pentru copierea ilegal de soft sunt: despgubiri pentru productorul de software i confiscarea foloaselor realizate de pe urma copiilor ilicite. n cazul vnzrii este prevzut chiar pedeapsa cu nchisoarea. Fenomenul pirateriei software afecteaz n primul rnd productorii i distribuitorii de astfel de produse, dar i statul este afectat prin neperceperea taxelor aferente produselor vndute "la negru". Productorii de software au cheltuit sume mari pentru crearea unui pachet de programe i ateapt ctiguri pe msur, astfel nct atunci cnd cineva realizeaz ilegal o copie a programelor respective, productorul sufer o pierdere. Pornind de la aceast serioas problem, mai muli mari productori de software s-au constituit ntr-o asociaie, numit Business Software Alliance (BAS), al crei scop principal este tocmai combaterea pirateriei n domeniul software-lui, inclusiv prin modificri ale legislaiilor rilor respective11. n ara noastr, se impune cu necesitate adoptarea unui cadru legislativ corespunztor pentru desfurarea activitii ntreprinderilor n condiiile informatizrii. n momentul de fa, nu exist n plan legal rspunsuri corespunztoare la evoluia tehnologic, n sectorul copiei private, al reproducerii, comunicrii prin satelit i cablu, precum i n ceea ce privete programele de aplicaii i bazele de date (dreptul de proprietate individual i protecia lor). Exist un text legislativ propus spre adoptare Parlamentului n care, ar fi reglementate distinct, pentru prima oar n legislaia romneasc, att programele, ct i bazele de date. n cadrul securitii procedurale, o msur care poate fi adoptat i realizat de ctre conducerea ntreprinderii este asigurarea mpotriva unora dintre riscurile care pot aciona asupra sistemului informatic sau unor componente ale acestuia i care pot genera pierderi substaniale n caz de accidente, dezastre sau fraude. Asigurarea sistemelor informatice a nceput din anii '80 - prima societate care a realizat o astfel de asigurare este compania englez de asigurri Lloyds, n 1981. Exist n S.U.A. i Europa occidental mai multe companii de asigurare care ofer polie de asigurare a sistemelor electronice de calcul. Acestea includ: asigurri mpotriva incendiilor, dezastrelor naturale, vandalismului i furtului echipamentelor i programelor de aplicaii, asigurare mpotriva fraudelor comise de angajai, asigurare de rspundere pentru erori i omisiuni

10Patriciu V., op. cit., p. 59 11Moga A., Pirateria soft, n PC Report, nr. 38/1995, p. 54

26

n prelucrarea datelor etc. Suma unei astfel de asigurri trebuie s fie suficient de mare pentru a nlocui echipamentele i a acoperi celelalte cheltuieli legate de buna funcionare a sistemului afectat. Asigurarea acoper i costul refacerii datelor i programelor de aplicaii distruse, precum i pierderile suferite de ntreprindere (beneficiile nerealizate) ca urmare a nefuncionrii sistemului electronic de calcul sau a pierderii datelor. Dar, pentru o ntreprindere mic, costul unei asemenea asigurri este destul de mare - de exemplu, pentru o valoare asigurat de 10 milioane de dolari se pltete o prim anual de asigurare de 25000 dolari. Securitatea tehnic include mijloacele i msurile pentru protecia echipamentelor, a programelor i datelor i a comunicaiilor. Mijloacele tehnice pentru protecia echipamentelor se concretizeaz n diferite dispozitive capabile s ndeplineasc funcii de protecie, cum sunt: registre speciale pentru pstrarea elementelor de protecie (parole, coduri de identificare, nivelul de secretizare al informaiilor etc.) generatoare de coduri, destinate pentru generarea automat a codului de identificare a terminalului unui utilizator sau a altui dispozitiv la ncercarea acestuia de a adresa o surs de date; dispozitive pentru recunoaterea unor caractere individuale ale utilizatorilor (amprente, voce etc.); dispozitive de citire a codurilor; scheme pentru ntreruperea transmisiei informaiei n linie n scopul efecturii controlului periodic al adresei de trimitere a datelor; echipamente de cifrare i descifrare. Att pentru protecia echipamentelor, ct i a datelor i programelor de pot utiliza programe speciale de asigurare a proteciei, aceasta fiind metoda cea mai larg rspndit. Se pot identifica mai multe grupe de programe: programe pentru identificarea mijloacelor tehnice, a problemelor, a utilizatorilor i a fiierelor de informaii utilizate; programe pentru determinarea drepturilor echipamentelor i ale utilizatorilor; programe destinate controlului asupra funcionrii echipamentelor; programe pentru nregistrarea lucrului echipamentelor i utilizatorilor cnd se prelucreaz date secrete sau importante pentru organizaie; programe pentru tergerea informaiilor din memorie, dup utilizarea lor; programe pentru semnalizarea audio/video a aciunilor neautorizate; programe adiionale, cu diferite destinaii, cum ar fi controlul funcionrii mecanismului de protecie; programe pentru criptarea/decriptarea informaiilor. O categorie important o formeaz programele pentru controlul accesului, utilizate n sistemele care lucreaz cu fiiere de date foarte importante, mai ales dac se lucreaz n regim de multiprogramare sau cu faciliti de teleprelucrare. Accesul n sistem trebuie s parcurg trei etape: identificarea, care realizeaz recunoaterea indicativului (nume sau cod) atribuit persoanei; autentificarea, care verific dac persoana este ceea ce pretinde c este; autorizarea, care certific dreptul de acces al persoanei la o anumit resurs protejat. Referitor la autentificarea utilizatorilor, exist n prezent cteva soluii care mbuntesc soluia clasic de autentificare (ceva tiut de utilizator) - parola. Acestea se

27

ncadreaz n dou categorii, astfel12: ceva n posesia utilizatorului: cartelele magnetice, care lucreaz cu dou chei: indicativul utilizatorului - PIN (Personal Identification Number), utilizat pentru a crea o legtur ntre cartel i deintor, i o cheie actual care nu este cunoscut de ctre utilizator; ambele sunt verificate de ctre sistem; cartela inteligent, care este un dispozitiv activ, care conine propriul sistem de operare i memorie, putnd include i algoritmi de cifrare. Codul intern poate fi controlat intern de cartel, aceasta putndu-se bloca automat dup un anumit numr de ncercri nereuite. Unitile de citire permit att identificarea i autentificarea utilizatorului, ct i asigurarea controlului accesului, criptarea i semntura digital; calculatoarele speciale portabile (de buzunar), care au avantajul c nu necesit un cititor special ataat la terminal. Calculatorul de buzunar conine un algoritm de criptare. Pentru conectare, utilizatorul introduce indicativul i parola de la tastatur. Dup autentificare, sistemul de operare trimite la utilizator un numr aleator, acesta trebuind s calculeze, prin algoritmul de criptare, valoarea cifrat a acestui numr i s o introduc de la tastatur. Sistemul verific corectitudinea acestei valori prin recalcularea ei cu cheia personal a utilizatorului; identificarea fizic a utilizatorului prin: tehnicile de recunoatere biometrice, care se bazeaz pe trsturile distincte i particulare ale corpului uman: vocea, retina, amprentele. Schema utilizat este aceiai: utilizatorul i revendic identitatea, sistemul caut profilul asociat cu identitatea revendicat, solicit utilizatorului s foloseasc sistemul de recunoatere i, n final, compar profilul nregistrat cu cel detectat. Tehnicile curent utilizate n recunoaterea biometric sunt: amprenta, geometria minii, vocea, tiparul retinar, semntura olograf (viteza de scriere, presiunea peniei, ritmul de scriere n timp). Cteva probleme apar totui la folosirea acestor tehnici; acestea vizeaz posibilitatea de modificare temporar sau definitiv, ca urmare a unui accident sau a unei boli, a trsturilor biometrice, dar i preurile costisitoare ale echipamentelor necesare. Se consider c, pentru o autentificare corect a unui utilizator, este necesar utilizarea combinat a dou din metodele enumerate (de exemplu: cartel magnetic + parol, sistem de recunoatere a vocii + parol, cartel inteligent + sistem de recunoatere a amprentelor etc.). Securitatea comunicaiilor este foarte important n condiiile proliferrii, pe scar larg, a reelelor de calculatoare. Extinderea i complexitatea reelelor de calculatoare, n cadrul crora calculatoarele, dispersate geografic, sunt legate ntre ele prin linii de comunicaii, amplific la un nivel superior cerinele de protecie i securitate

protectia si securitatea informatiilor financiar-contabile

Documents