Professional Documents
Culture Documents
SUMMARY
In recent years, the information society is becoming more dependent on information and commu-
nication technology and is extremely vulnerable to cyber-attacks which may affect its functioning.
The attackers are more professional than before and today cyber-attacks are sponsored from non-
state actors but also include state actors. Cyber-attacks can be used as a means of political and eco-
nomic pressure and as an instrument of influence alongside the traditional means of military force.
Therefore, during last few years, it has significantly increased the necessity of complex and effec-
tive approaches to the process of ensuring national cyber space security, including protection of na-
tional critical infrastructure, personal data, information qualified as state secret, combating cyber-
crime, by developing and implementing concepts, regulations, techniques, procedures and policies
inside all relevant institutions, including private and public sectors.
Keywords: anti-spyware software - is a type of program designed to prevent and detect
unwanted spyware program installations and to remove those programs if installed; critical in-
frastructure - a term used by governments to describe assets that are essential for the functio-
ning of a society and economy; cyber attack – offensive or defensive operation that is reasonable
expected to cause injury or death to persons or damage or destruction to objects; cyber-security
- refers to the safeguards and actions that can be used to protect the cyber domain from those
threats that are may harm networks and information infrastructure; Information classification -
defines categories of information; malware- software designed to undermine the security of a
system; security awareness training - provides employees on clear directions on security policies
and practices; security Policy - provide the framework for security actions, should be driven from
the top with executive sign-off.
Informațiile critice sau sensibile trebuie să fie păstrate în locuri sigure, protejate într-un pe-
rimetru de securitate adecvat, cu bariere de securitate corespunzătoare și controale de acces.
Acestea vor fi protejate fizic împotriva accesului neautorizat, deteriorare şi interferenţe. Protec-
ţia oferită va fi proporţională cu riscurile identificate.
Echipamentele de comunicații și informatică trebuie să fie protejate fizic împotriva amenin-
ţărilor de securitate şi de pericolele de mediu. Pentru o funcţionare în condiţii sigure, sistemul
informatic trebuie utilizat într-un mediu sigur, instalat şi administrat conform metodelor ce asi-
gură un nivel corespunzător de securitate.
Securitatea personalului face referire la modul de selecţie şi instruire a personalului autori-
zat care are acces şi operează sisteme informatice.
O primă metodă de atac cu scopul de a se infiltra în rețeaua unei organizații o reprezintă utili-
zarea eronată a privilegiilor de administrare, de aceea este foarte important modul de gestionare
a conturilor de utilizator cu privilegii extinse pe staţiile de lucru.
Unele organizații nu identifică și separă datele sensibile de cele mai puțin sensibile sau dis-
ponibile public în rețelele interne. În multe medii, utilizatorii interni au acces la toate sau la
majoritatea informațiilor din rețea. Odată ce atacatorul a penetrat o astfel de rețea, pot găsi și
transmite în exterior informații importante, fără eforturi considerabile.
Este vital ca fiecare organizație în parte să înțeleagă care sunt informațiile sale critice și sensi-
bile, unde sunt situate și cine are nevoie să le acceseze. Pentru a ajunge la nivelurile de clasificare,
se va elabora schema de clasificare a informațiilor la nivelul întregii organizații. Deci informațiile
vor fi clasificare, cel puțin, pe două niveluri: informații publice (neclasificate) și private (clasifi-
cate).
Sistemul trebuie să fie capabil să detecteze toate încercările de acces fără privilegii corespun-
zătoare și să aibă capabilități de alertare.
Atacatorii descoperă frecvent și exploatează conturi de utilizator legitime dar nefolosite pen-
tru a simula utilizatorii legitimi, făcând, astfel, dificilă depistarea atacului de către sistemul de
securitate al rețelei. Sunt des întâlnite cazurile în care conturile de utilizator ale angajaților care
nu mai sunt parte componentă a organizației rămân active. Mai mult, actualii angajați răuvoitori
sau foști angajați au accesat conturile vechi și mult după expirarea contractului, utilizând acce-
sul la sistemele organizației și la datele sensibile în scopuri neautorizate.
Fiecare organizație care se crede pregătită să identifice și să reacționeze eficient în fața
atacurilor este datoare în fața angajaților să observe deficiențele în cunoștințe și expertiză și să
susțină acoperirea acestora prin exercițiu și instruire. Strâns legată de politici și conștientizare
este și activitatea de instruire a personalului.
Configurațiile implicite sunt adesea orientate pentru a ușura exploatarea, utilizarea siste-
melor informaționale, nefiind însă securizate și lăsând servicii inutile exploatabile. Prin tehnici
de atac se încearcă exploatarea atât a serviciilor accesibile prin rețea, cât și a aplicațiilor clienților.
Măsurile de protecție împotriva acestor tehnici de atac includ achiziția de componente
pentru sisteme și rețea cu configurații de securitate deja implementate, instalarea sistemelor
preconfigurate pentru securitate, actualizarea configurațiilor periodic și urmărirea acestora în
cadrul unui sistem de management al configurațiilor.
Atacatorii profită de o practică des întâlnită în configurarea nivelului de securitate pe anumite
echipamente de rețea: utilizatorii solicită excepții temporare din considerente specifice, de bu-
siness, aceste excepții sunt aplicate, dar nu și îndepărtate imediat ce necesitatea de business
dispare. În unele situații și mai grave, riscul de securitate al unei astfel de excepții nu este nici
analizat corespunzător, nici evaluat din punctul de vedere al necesității.
Soft-ul malițios constituie un aspect periculos al amenințărilor din mediul Internet, care
534 Teoria şi practica administrării publice
vizează utilizatorii finali și organizațiile prin intermediul navigării, atașamentelor e-mail, dispo-
zitivelor mobile etc. Codul malițios poate să interacționeze cu conținutul sistemului, să cap-
tureze date sensibile și să se răspândească la alte sisteme. Malware-ul modern urmărește să
evite detectarea bazată pe semnături și cea comportamentală și poate dezactiva instrumentele
antivirus care rulează pe sistemul-țintă. Soft-ul antivirus și antispyware, denumite colectiv ca
instrumente antimalware, ajută la apărarea împotriva acestor amenințări prin încercarea de a
detecta și bloca executarea acestora.
Pentru creșterea nivelului de siguranță pentru sistemele protejate, cât și pentru sistemele
care nu sunt acoperite de soluțiile de management ale organizațiilor, se folosesc tehnologiile
de control al accesului în rețea prin intermediul cărora sunt testate echipamentele din punct de
vedere al conformității cu politicile de securitate înainte de a permite accesul în rețea.
În absența unor măsuri eficiente de securitate implementate pentru rețelele fără fir, se pot
iniția atacuri care vizează în principal furtul de date importante pentru orice tip de organizație.
Deoarece rețelele fără fir nu necesită conexiuni fizice directe, echipamentele wireless (fără fir)
oferă atacatorilor posibilitate pentru obținerea accesului în mediul-țintă. Tehnicile de atac dez-
voltate pot fi inițiate din exterior, evitându-se perimetrele de securitate ale organizațiilor.
Măsurile de securitate, chiar bine implementate la nivelul sistemelor informatice, pot fi igno-
rate în rețele concepute deficitar. Fără o arhitectură de rețea bine planificată și implementată în
mod corespunzător, atacatorii pot ocoli măsurile de securitate, pătrunzând în rețea, obținând
acces către sistemele-țintă.
Atacurile pot fi lansate și prin intermediul serviciilor de rețea accesibile de la distanță care sunt
vulnerabile în fața exploatărilor. Exemple comune includ servere web configurate neadecvat,
servere de e-mail, servicii de fișiere și imprimare, servere DNS instalate în mod prestabilit pe o
varietate de echipamente, de multe ori fără a se ține cont de nevoia de business pentru servici-
ile oferite.
Tehnicile de atac lansate de grupurile criminale uzează de punctele slabe din configurarea
sau arhitectura perimetrului, a sistemelor de rețea și a echipamentelor client pentru a obține
acces inițial în interiorul organizației. Odată obținut accesul, atacatorii vor pătrunde în interiorul
rețelei în vederea furtului de informații ori de a stabili o bază pentru atacuri ulterioare împotri-
va sistemelor-gazdă interne. Asigurarea unui mediu de securitate adecvat începe chiar de la
accesul fizic în clădirile/spațiile/locațiile care trebuie protejate. Pentru eficientizarea sistemelor
de pază și apărare împotriva pătrunderii neautorizate, măsurile de securitate fizică ar trebui
cuprinse într-un Plan de securitate fizică.
Vulnerabilităţi şi ameninţări asociate sistemelor informatice. Orice sistem informatic,
oricât de performant ar fi, prezintă inevitabil vulnerabilităţi de tip: hardware, software, ale me-
diului de stocare, ale mediului de comunicaţie; umane și fizice.
Ameninţările reprezintă orice pericol potenţial la care este expus un sistem constând în: acces
neautorizat, alterări sau distrugerea datelor, software-ului, resurselor hard sau de comunicaţie
etc. Ameninţările exprimă frecvența producerii unor evenimente adverse potenţiale, în timp ce
riscurile exprimă probabilitatea producerii ameninţărilor. Principalele surse de ameninţare sunt:
ameninţările naturale (inundaţiile, cutremurele de pământ, alunecările de teren, avalanşele) și
ameninţările umane (evenimente care sunt provocate/cauzate de fiinţe umane).
Politica de securitate. Obiectivul politicii de securitate este să ofere managementului insti-
tuţiei sprijinul necesar asigurării securităţii informaţiilor din cadrul organizaţiei.
Conducerea oricărei instituţii trebuie să ofere suportul necesar prin elaborarea unui docu-
ment intitulat Politica de Securitate, document care trebuie adus la cunoştinţă tuturor angaja-
ţilor.
Materiale ale Conferinţei ştiinţifico-practice internaţionale 535
Bibliografie
1. CANAVAN, John E.; Fundamentals of Network Security; ARTECH HOUSE, 2001.
2. CANTARAGIU, Ştefan, GHERASIM, Zenovic, TUŢĂ, Dan, Managementul iniţiativelor destina-
te e-Defence, în „Revista ACTTM”, anul III, nr. 4/2000.
3. ISO/IEC 27001 - Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al
securităţii informaţiei. Cerinţe.
4. LEIDIGH, Christopher; Fundamental Principles of Network Security, American Power Con-
version, 2005.