532 Teoria şi practica administrării publice

SECURITATEA SISTEMEOR INFORMATICE ÎN

CADRUL UNEI ORGANIZAŢII
Oleg CHIRILENCO,
masterand,
Academia de Administrare Publică

SUMMARY
In recent years, the information society is becoming more dependent on information and commu-
nication technology and is extremely vulnerable to cyber-attacks which may affect its functioning.
The attackers are more professional than before and today cyber-attacks are sponsored from non-
state actors but also include state actors. Cyber-attacks can be used as a means of political and eco-
nomic pressure and as an instrument of influence alongside the traditional means of military force.
Therefore, during last few years, it has significantly increased the necessity of complex and effec-
tive approaches to the process of ensuring national cyber space security, including protection of na-
tional critical infrastructure, personal data, information qualified as state secret, combating cyber-
crime, by developing and implementing concepts, regulations, techniques, procedures and policies
inside all relevant institutions, including private and public sectors.
Keywords: anti-spyware software - is a type of program designed to prevent and detect
unwanted spyware program installations and to remove those programs if installed; critical in-
frastructure - a term used by governments to describe assets that are essential for the functio-
ning of a society and economy; cyber attack – offensive or defensive operation that is reasonable
expected to cause injury or death to persons or damage or destruction to objects; cyber-security
- refers to the safeguards and actions that can be used to protect the cyber domain from those
threats that are may harm networks and information infrastructure; Information classification -
defines categories of information; malware- software designed to undermine the security of a
system; security awareness training - provides employees on clear directions on security policies
and practices; security Policy - provide the framework for security actions, should be driven from
the top with executive sign-off.

Elemente generale privind securitatea sistemelor informatice. Securitatea sistemelor in-

formatice devine problema principală cu care se confruntă toate organizaţiile. Infracţiunile sem-
nalate atât din cadrul instituţiilor statului cât şi din domeniul privat sunt în continuă creştere.
De aceea, astăzi mediile de afaceri dependente de tehnologia informaţiei cer ca angajaţii să cu-
noască importanţa protejării resurselor companiei. Şi totuşi, când se vorbește despre securitatea
sistemelor informatice, în multe organizaţii există un decalaj intre conştientizarea nevoilor de se-
curitate şi respectarea măsurilor de securitate. Acest fapt se explică prin înseşi concepţiile greşite
asupra procesului de asigurare a securităţii informaţionale, care pot rezulta în implementarea
unor soluţii ineficiente.
Securitatea sistemului informațional trebuie să fie o responsabilitate asumată de către struc-
turile de conducere ale oricărei organizații din mediul privat sau public. Ele vor asigura o direcţie
clară pentru îndeplinirea obiectivelor stabilite prin politica de securitate, având în vedere urmă-
toarele elemente: aprobarea politicii de securitate şi stabilirea de responsabilităţi, monitorizarea
schimbărilor semnificative de expunere a sistemului informatic la ameninţări majore, revizui-
rea și monitorizarea incidentelor de securitate, justificarea și aprobarea măsurilor de sporire a
securității informațiilor.
Materiale ale Conferinţei ştiinţifico-practice internaţionale 533

Informațiile critice sau sensibile trebuie să fie păstrate în locuri sigure, protejate într-un pe-
rimetru de securitate adecvat, cu bariere de securitate corespunzătoare și controale de acces.
Acestea vor fi protejate fizic împotriva accesului neautorizat, deteriorare şi interferenţe. Protec-
ţia oferită va fi proporţională cu riscurile identificate.
Echipamentele de comunicații și informatică trebuie să fie protejate fizic împotriva amenin-
ţărilor de securitate şi de pericolele de mediu. Pentru o funcţionare în condiţii sigure, sistemul
informatic trebuie utilizat într-un mediu sigur, instalat şi administrat conform metodelor ce asi-
gură un nivel corespunzător de securitate.
Securitatea personalului face referire la modul de selecţie şi instruire a personalului autori-
zat care are acces şi operează sisteme informatice.
O primă metodă de atac cu scopul de a se infiltra în rețeaua unei organizații o reprezintă utili-
zarea eronată a privilegiilor de administrare, de aceea este foarte important modul de gestionare
a conturilor de utilizator cu privilegii extinse pe staţiile de lucru.
Unele organizații nu identifică și separă datele sensibile de cele mai puțin sensibile sau dis-
ponibile public în rețelele interne. În multe medii, utilizatorii interni au acces la toate sau la
majoritatea informațiilor din rețea. Odată ce atacatorul a penetrat o astfel de rețea, pot găsi și
transmite în exterior informații importante, fără eforturi considerabile.
Este vital ca fiecare organizație în parte să înțeleagă care sunt informațiile sale critice și sensi-
bile, unde sunt situate și cine are nevoie să le acceseze. Pentru a ajunge la nivelurile de clasificare,
se va elabora schema de clasificare a informațiilor la nivelul întregii organizații. Deci informațiile
vor fi clasificare, cel puțin, pe două niveluri: informații publice (neclasificate) și private (clasifi-
cate).
Sistemul trebuie să fie capabil să detecteze toate încercările de acces fără privilegii corespun-
zătoare și să aibă capabilități de alertare.
Atacatorii descoperă frecvent și exploatează conturi de utilizator legitime dar nefolosite pen-
tru a simula utilizatorii legitimi, făcând, astfel, dificilă depistarea atacului de către sistemul de
securitate al rețelei. Sunt des întâlnite cazurile în care conturile de utilizator ale angajaților care
nu mai sunt parte componentă a organizației rămân active. Mai mult, actualii angajați răuvoitori
sau foști angajați au accesat conturile vechi și mult după expirarea contractului, utilizând acce-
sul la sistemele organizației și la datele sensibile în scopuri neautorizate.
Fiecare organizație care se crede pregătită să identifice și să reacționeze eficient în fața
atacurilor este datoare în fața angajaților să observe deficiențele în cunoștințe și expertiză și să
susțină acoperirea acestora prin exercițiu și instruire. Strâns legată de politici și conștientizare
este și activitatea de instruire a personalului.
Configurațiile implicite sunt adesea orientate pentru a ușura exploatarea, utilizarea siste-
melor informaționale, nefiind însă securizate și lăsând servicii inutile exploatabile. Prin tehnici
de atac se încearcă exploatarea atât a serviciilor accesibile prin rețea, cât și a aplicațiilor clienților.
Măsurile de protecție împotriva acestor tehnici de atac includ achiziția de componente
pentru sisteme și rețea cu configurații de securitate deja implementate, instalarea sistemelor
preconfigurate pentru securitate, actualizarea configurațiilor periodic și urmărirea acestora în
cadrul unui sistem de management al configurațiilor.
Atacatorii profită de o practică des întâlnită în configurarea nivelului de securitate pe anumite
echipamente de rețea: utilizatorii solicită excepții temporare din considerente specifice, de bu-
siness, aceste excepții sunt aplicate, dar nu și îndepărtate imediat ce necesitatea de business
dispare. În unele situații și mai grave, riscul de securitate al unei astfel de excepții nu este nici
analizat corespunzător, nici evaluat din punctul de vedere al necesității.
Soft-ul malițios constituie un aspect periculos al amenințărilor din mediul Internet, care
534 Teoria şi practica administrării publice

vizează utilizatorii finali și organizațiile prin intermediul navigării, atașamentelor e-mail, dispo-
zitivelor mobile etc. Codul malițios poate să interacționeze cu conținutul sistemului, să cap-
tureze date sensibile și să se răspândească la alte sisteme. Malware-ul modern urmărește să
evite detectarea bazată pe semnături și cea comportamentală și poate dezactiva instrumentele
antivirus care rulează pe sistemul-țintă. Soft-ul antivirus și antispyware, denumite colectiv ca
instrumente antimalware, ajută la apărarea împotriva acestor amenințări prin încercarea de a
detecta și bloca executarea acestora.
Pentru creșterea nivelului de siguranță pentru sistemele protejate, cât și pentru sistemele
care nu sunt acoperite de soluțiile de management ale organizațiilor, se folosesc tehnologiile
de control al accesului în rețea prin intermediul cărora sunt testate echipamentele din punct de
vedere al conformității cu politicile de securitate înainte de a permite accesul în rețea.
În absența unor măsuri eficiente de securitate implementate pentru rețelele fără fir, se pot
iniția atacuri care vizează în principal furtul de date importante pentru orice tip de organizație.
Deoarece rețelele fără fir nu necesită conexiuni fizice directe, echipamentele wireless (fără fir)
oferă atacatorilor posibilitate pentru obținerea accesului în mediul-țintă. Tehnicile de atac dez-
voltate pot fi inițiate din exterior, evitându-se perimetrele de securitate ale organizațiilor.
Măsurile de securitate, chiar bine implementate la nivelul sistemelor informatice, pot fi igno-
rate în rețele concepute deficitar. Fără o arhitectură de rețea bine planificată și implementată în
mod corespunzător, atacatorii pot ocoli măsurile de securitate, pătrunzând în rețea, obținând
acces către sistemele-țintă.
Atacurile pot fi lansate și prin intermediul serviciilor de rețea accesibile de la distanță care sunt
vulnerabile în fața exploatărilor. Exemple comune includ servere web configurate neadecvat,
servere de e-mail, servicii de fișiere și imprimare, servere DNS instalate în mod prestabilit pe o
varietate de echipamente, de multe ori fără a se ține cont de nevoia de business pentru servici-
ile oferite.
Tehnicile de atac lansate de grupurile criminale uzează de punctele slabe din configurarea
sau arhitectura perimetrului, a sistemelor de rețea și a echipamentelor client pentru a obține
acces inițial în interiorul organizației. Odată obținut accesul, atacatorii vor pătrunde în interiorul
rețelei în vederea furtului de informații ori de a stabili o bază pentru atacuri ulterioare împotri-
va sistemelor-gazdă interne. Asigurarea unui mediu de securitate adecvat începe chiar de la
accesul fizic în clădirile/spațiile/locațiile care trebuie protejate. Pentru eficientizarea sistemelor
de pază și apărare împotriva pătrunderii neautorizate, măsurile de securitate fizică ar trebui
cuprinse într-un Plan de securitate fizică.
Vulnerabilităţi şi ameninţări asociate sistemelor informatice. Orice sistem informatic,
oricât de performant ar fi, prezintă inevitabil vulnerabilităţi de tip: hardware, software, ale me-
diului de stocare, ale mediului de comunicaţie; umane și fizice.
Ameninţările reprezintă orice pericol potenţial la care este expus un sistem constând în: acces
neautorizat, alterări sau distrugerea datelor, software-ului, resurselor hard sau de comunicaţie
etc. Ameninţările exprimă frecvența producerii unor evenimente adverse potenţiale, în timp ce
riscurile exprimă probabilitatea producerii ameninţărilor. Principalele surse de ameninţare sunt:
ameninţările naturale (inundaţiile, cutremurele de pământ, alunecările de teren, avalanşele) și
ameninţările umane (evenimente care sunt provocate/cauzate de fiinţe umane).
Politica de securitate. Obiectivul politicii de securitate este să ofere managementului insti-
tuţiei sprijinul necesar asigurării securităţii informaţiilor din cadrul organizaţiei.
Conducerea oricărei instituţii trebuie să ofere suportul necesar prin elaborarea unui docu-
ment intitulat Politica de Securitate, document care trebuie adus la cunoştinţă tuturor angaja-
ţilor.
Materiale ale Conferinţei ştiinţifico-practice internaţionale 535

Fără un astfel de document există riscul ca rolurile şi responsabilităţile la asigurarea secu-

rităţii informaţionale să fie înţelese greşit. Absența unui astfel de document şi neaducerea la
cunoştinţa angajaţilor a politicii de securitate a organizației induce de cele mai multe ori o stare
de superficialitate în tratarea acestor aspecte. Prin politica de securitate a organizaţiei se va ga-
ranta continuitatea de business organizației şi se va asigura protecţia informaţiilor critice.
Aspecte ale securităţii. Soluționarea problemelor privind securitatea constă în implemen-
tarea unui sistem de securitate. Introducerea mecanismelor de protecţie nu garantează elimi-
narea completă a riscurilor, dar poate să-i reducă la un nivel acceptabil. Un mediu de afacere
securizat trebuie să trateze următoarele aspecte:
- identificarea - procese şi proceduri necesare pentru stabilirea unei identităţi unice pentru
un utilizator sau o entitate. Identificarea permite înregistrarea tuturor operaţiunilor şi previne
accesul neautorizat;
- autentificarea - procedura pentru verificarea identităţii entităţii care solicita acces la un sis-
tem, procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utiliza-
toare;
- controlul accesului - determină ce anume poate face o anumită entitate autentificată în
sistem;
- securitatea informaţiilor stabileşte nivelul de securitate necesar pentru o anumită resursă
informaţională, de exemplu, secrete comerciale sau orice alt tip de informaţie care necesită pro-
tecţia împotriva accesului neautorizat;
- securitatea personalului - un privilegiu acordat unui utilizator de a realiza anumite operaţii
care au legătură cu securitatea sistemului său de a putea utiliza comenzi sau a realiza funcţii
care, în mod obişnuit, sunt interzise altor categorii de utilizatori. Privilegiile trebuie controlate
foarte strict, iar acţiunile celor care au aceste privilegii trebuie monitorizate permanent. Respon-
sabilitatea este strâns legată de măsurile de securitate impuse utilizatorilor sistemului, care vor
fi răspunzători pentru acţiunile întreprinse după conectarea la sistem;
- securitatea comunicaţiilor - măsurile necesare care trebuie aplicate echipamentelor şi legă-
turilor de comunicaţii pentru a asigura protecţia informaţiei;
- auditul de securitate – analiza înregistrărilor activităţilor executate, pentru a determina
dacă sistemul de protecţie este în concordanţă cu politicile şi procedurile de securitate. Scopul
unui audit este de a identifica vulnerabilitățile legate de securitate sau de eşecurile care pot fi
corectate sau controlate;
- managementul configuraţiei şi documentarea privind securitatea - procedurile şi controa-
lele care trebuie să fie implementate pentru a se gestiona toate intervenţiile şi modificările asu-
pra sistemului; este vitală pentru menţinerea unui anumit sistem de securitate operaţional şi
eficient.
În paralel cu politica proprie de securitate, fiecare organizaţie stabileşte, pentru sistemele
informatice şi de comunicaţii, cerinţele de securitate specifice, având în vedere toate aspectele
securităţii.
Concluzii. Nu există o organizaţie protejată în proporţie de 100%. Organizaţiile nu trebuie să
lucreze doar cu partenerii lor de afaceri pentru a înţelege şi îmbunătăţi politicile de securitate;
ele trebuie să implice factorii de legiferare, autorităţile de reglementare şi agenţiile de resort,
să fie dispuse să facă schimb de informaţii sensibile pentru a răspunde la provocarea globală
privind securitatea sistemelor informatice.
Asigurarea securităţii informatice nu este o provocare numai pur tehnologică, ci este, în ace-
laşi timp, o chestiune dependentă de comportamentul uman şi de cunoştinţele cu privire la
ameninţări şi remedii.
536 Teoria şi practica administrării publice

În materie de securitate nu trebuie să fim optimişti. Trebuie să presupunem că adversarii

deţin mijloace performante, experienţă şi cunoștințe temeinice asupra domeniului, sunt moti-
vați. Obiectivitatea este, de asemenea, esenţială. Întotdeauna, sistemul de securitate dezvoltat
va fi în strânsă legătură cu natura şi valoarea bunurilor cărora le asigură protecţia.

Bibliografie
1. CANAVAN, John E.; Fundamentals of Network Security; ARTECH HOUSE, 2001.
2. CANTARAGIU, Ştefan, GHERASIM, Zenovic, TUŢĂ, Dan, Managementul iniţiativelor destina-
te e-Defence, în „Revista ACTTM”, anul III, nr. 4/2000.
3. ISO/IEC 27001 - Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al
securităţii informaţiei. Cerinţe.
4. LEIDIGH, Christopher; Fundamental Principles of Network Security, American Power Con-
version, 2005.