Prevenirea Si Combaterea Vulnerabilitatilor In Sistemele Informatice Si de Comunicatii

Drept

Prevenirea Si Combaterea Vulnerabilitatilor In Sistemele Informatice Si de Comunicatii

Byadmin ianuarie 1, 2024

CUPRINS

INTRODUCERE

CAPITOLUL 1 VULNERABILITĂȚI, RISCURI ȘI AMENINȚĂRI ALE SISTEMELOR INFORMATICE ȘI DE COMUNICAȚII

1.1. Atacuri ce vizează exploatarea vulnerabilităților serviciilor sau aplicațiilor

1.2. Atacuri de tip „phishing”

1.3. Software nociv (malware)

1.4. Interceptarea comunicațiilor (passive wiretapping)

1.5. Atacuri de tip „Distributed Denial-of-Service” (DDoS)

CAPITOLUL 2 DIRECȚII DE ACȚIUNE ÎN PREVENIREA ȘI COMBATEREA VULNERABILITĂȚILOR

2.1. Managementul riscului

2.2. Recomandări pentru securizarea calculatoarelor și rețelelor personale

2.2.1. Securitatea computerelor personale

2.2.2. Securitatea rețelelor personale

2.2.3. Comportamentul pe Internet

2.3. Activitatea structurilor militare cu atribuții în domeniul securității sistemelor informatice și de comunicații

CONCLUZII

Anexa nr. 1 Concepte, definiții și termeni privind comunicațiile în mediul virtual

Anexa nr. 2 Metodologia de evaluare a riscului

BIBLIOGRAFIE

INTRODUCERE

Dezvoltarea rapidă a tehnologiilor moderne de informații și comunicații – condiție sine qua non a edificării societății informaționale – a avut un impact major asupra ansamblului social, marcând adevărate mutații în filozofia de funcționare a economicului, politicului și culturalului, dar și asupra vieții de zi cu zi a individului. Practic, în prezent, accesul facil la tehnologia informației și comunicațiilor reprezintă una dintre premisele bunei funcționări a societății moderne.

Spațiul cibernetic se caracterizează prin lipsa frontierelor, dinamism și anonimat, generând deopotrivă oportunități de dezvoltare a societății informaționale bazate pe cunoaștere, dar și riscuri la adresa funcționării acesteia (la nivel individual, statal și chiar cu manifestare transfrontalieră).

Alături de beneficiile incontestabile pe care informatizarea le induce la nivelul societății moderne, aceasta introduce și vulnerabilități, astfel că asigurarea securității spațiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor implicați, mai ales la nivel instituțional, unde se concentrează responsabilitatea elaborării și aplicării de politici coerente în domeniu.

România urmărește atât dezvoltarea unui mediu informațional dinamic bazat pe interoperabilitate și servicii specifice societății informaționale, cât și asigurarea respectării drepturilor și libertăților fundamentale ale cetățenilor și a intereselor de securitate națională, într-un cadru legal adecvat. Din această perspectivă se resimte necesitatea dezvoltării culturii de securitate cibernetică a utilizatorilor sistemelor informatice și de comunicații, adesea insuficient informați în legătură cu potențialele riscuri, dar și cu soluțiile de contracarare a acestora. Cunoașterea pe scară largă a riscurilor și amenințărilor derivate din activitățile desfășurate în spațiul cibernetic, precum și a modului de prevenire și contracarare a acestora necesită o comunicare și cooperare eficientă între actorii specifici în acest domeniu.

Statul român își asumă rolul de coordonator al activităților desfășurate la nivel național pentru asigurarea securității cibernetice, în concordanță cu demersurile inițiate la nivelul UE și NATO. Problematica securității cibernetice a devenit prioritară pentru aceste organisme, care derulează demersurile necesare dezvoltării mecanismelor de apărare cibernetică.

Incidentele de securitate cibernetică și atacurile cibernetice majore cu care s-au confruntat în ultimii ani unele state și organizații internaționale au determinat conștientizarea, la nivel internațional, a necesității adoptării unor strategii și politici în domeniul securității cibernetice. Astfel, există în prezent strategii naționale de securitate cibernetică, precum cele ale Estoniei, Statelor Unite ale Americii, Marii Britanii, Germaniei și Franței, care fundamentează necesitatea demersurilor pentru dezvoltarea capabilităților proprii de contracarare a atacurilor cibernetice și stabilesc cadrul de acțiune și cooperare între diverse entități guvernamentale și nonguvernamentale pentru limitarea consecințelor. Conform acestor strategii, eforturile națiunilor vizează implementarea unor măsuri de securitate care să conducă la creșterea nivelului de protecție a infrastructurilor cibernetice, în special a celor care susțin infrastructurile critice naționale.

Evoluția rapidă a naturii amenințărilor cibernetice a necesitat adoptarea, și de către Organizația Nord-Atlantică, a unui nou concept și a unei noi politici în domeniul apărării cibernetice. În acest sens, NATO și-a redefinit rolul și perimetrul de acțiune în domeniu și a elaborat un plan de acțiune pentru dezvoltarea unor capabilități necesare protejării infrastructurilor cibernetice proprii, precum și a unor mecanisme de consultare a statelor membre și de asigurare a asistenței în cazul unor atacuri cibernetice majore.

La nivelul UE sunt întreprinse demersuri în privința adoptării unei strategii europene pentru securitatea cibernetică, care să armonizeze eforturile statelor membre în abordarea provocărilor de securitate din spațiul cibernetic și protecția infrastructurilor informatice critice.

Totodată, la nivelul UE, s-a conturat necesitatea adoptării unei politici privind lupta împotriva criminalității informatice. Inițiativele subsecvente au pornit de la constatarea creșterii numărului de infracțiuni informatice, a tot mai amplei implicări a grupurilor de criminalitate organizată în criminalitatea informatică, precum și a necesității unei coordonări a eforturilor europene în direcția combaterii acestor acte. Având în vedere că atacurile cibernetice pe scară largă, bine coordonate și direcționate către infrastructurile cibernetice critice ale statelor membre, constituie o preocupare crescândă a UE, întreprinderea de acțiuni pentru combaterea tuturor formelor de criminalitate informatică, atât la nivel european, cât și la nivel național, a devenit o necesitate stringentă.

Creșterea capacității de luptă împotriva criminalității informatice la nivel național, european și internațional implică, printre altele:

– creșterea gradului de cooperare și coordonare între unitățile responsabile cu combaterea criminalității informatice, alte autorități și experți din cadrul Uniunii Europene;

– dezvoltarea unui cadru de reglementare coerent, la nivelul UE, privind lupta împotriva criminalității informatice, în coordonare cu statele membre, precum și cu autoritățile europene și internaționale cu relevanță în domeniu;

– creșterea nivelului de conștientizare a costurilor și pericolelor pe care le implică criminalitatea informatică.

În acest context, România recunoaște existența unor astfel de amenințări și susține o abordare comună, integrată și coordonată, atât la nivelul NATO, cât și la nivelul UE, pentru a putea oferi un răspuns oportun la atacurile cibernetice.

VULNERABILITĂȚI, RISCURI ȘI AMENINȚĂRI ALE SISTEMELOR INFORMATICE ȘI DE COMUNICAȚII

Amenințările specifice spațiului cibernetic se caracterizează prin asimetrie, dinamică accentuată și caracter global, ceea ce le face dificil de identificat și de contracarat prin măsuri proporționale cu impactul materializării riscurilor.

România se confruntă, în prezent, cu amenințări provenite din spațiul cibernetic, la adresa infrastructurilor critice, având în vedere interdependența din ce în ce mai ridicată între infrastructuri cibernetice și infrastructuri precum cele din sectoarele financiar-bancar, transport, energie și apărare națională. Globalitatea spațiului cibernetic este de natură să amplifice riscurile la adresa acestora, afectând deopotrivă cetățenii, mediul de afaceri și cel guvernamental.

În general, infrastructurile cibernetice pot fi afectate de amenințări de natură tehnică (ex: deficiențe sau defecțiuni tehnice), umană (ex: erori de operare, acțiuni voluntare) ori naturale (ex: fenomene meteo extreme, catastrofe naturale).

Amenințările la adresa spațiului cibernetic se pot clasifica în mai multe moduri, dar cele mai frecvent utilizate sunt cele bazate pe factorii motivaționali și impactul asupra societății. În acest sens, pot fi avute în vedere criminalitatea informatică, terorismul cibernetic și războiul cibernetic, având ca sursă atât actori statali, cât și actori nonstatali.

Amenințările din spațiul cibernetic se materializează – prin exploatarea vulnerabilităților de natură umană, tehnică și procedurală – cel mai adesea în:

atacurile cibernetice împotriva infrastructurilor care susțin funcții de utilitate publică ori servicii ale societății informaționale a căror întrerupere/afectare ar putea constitui un pericol la adresa securității naționale;

accesarea neautorizată a infrastructurilor cibernetice;

modificarea, ștergerea sau deteriorarea neautorizată de date informatice ori restricționarea ilegală a accesului la aceste date;

spionajul cibernetic;

cauzarea unui prejudiciu patrimonial, hărțuirea și șantajul persoanelor fizice și juridice, de drept public și privat.

Principalii actori care generează amenințări în spațiul cibernetic sunt:

persoane sau grupări de criminalitate organizată care exploatează vulnerabilitățile spațiului cibernetic în scopul obținerii de avantaje patrimoniale sau nepatrimoniale;

teroriști sau extremiști care utilizează spațiul cibernetic pentru desfășurarea și coordonarea unor atacuri teroriste, activități de comunicare, propagandă, recrutare și instruire, colectare de fonduri etc., în scopuri teroriste;

state sau actori nonstatali care inițiază sau derulează operațiuni în spațiul cibernetic, în scopul culegerii de informații din domeniile guvernamental, militar, economic ori al materializării altor amenințări la adresa securității naționale.

Fără un sistem de securitate implementat și funcțional, sistemele informatice, de comunicații și datele prelucrate, stocate sau trasportate de acestea pot fi oricând supuse atacurilor cibernetice. Unele atacuri sunt pasive – informațiile sunt monitorizate sau copiate, iar alte atacuri sunt active – fluxul de informații este modificat cu intenția de a corupe sau distruge datele sau chiar sistemul sau rețeaua în sine.

Sistemele informatice și de comunicații, rețelele formate de acestea și informațiile pe care le dețin sunt vulnerabile la numeroase tipuri de atacuri dacă nu sunt apărate de un plan de securitate informatică eficient.

Atacuri ce vizează exploatarea vulnerabilităților serviciilor sau aplicațiilor

Acest gen de atacuri vizează serviciile și aplicațiile ale căror versiuni sunt cunoscute a avea vulnerabilități sau sunt necorespunzător configurate.

De regulă, este precedat de scanarea porturilor mașinilor țintă, pentru a determina versiunile sistemelor de operare și a serviciilor rulate. Rezultatul acestor atacuri poate consta în acces neautorizat la date sau la resurse, execuție neautorizată de cod, indisponibilitate a serviciilor sau aplicațiilor.

Pentru prevenirea și eliminarea efectelor sunt necesare să se elaboreze și să se implementeze politici de securitate care să reglementeze și să automatizeze procesele de update pentru produsele software folosite în cadrul organizației, multe din aceste actualizări vizând remedierea unor vulnerabilități, o mentenanță riguroasă a hardware-ului, în sensul unei corecte configurări din punct de vedere a securității și a actualizării firmware-ului de fiecare dată când apar noi versiuni, teste periodice de penetrare și audituri de securitate, folosirea unui software de analiză a evenimentelor de securitate și a comportamentelor anormale din rețea, ce sunt extrase din jurnalele aplicațiilor sistemelor și echipamentelor din rețea, precum și implementarea de măsuri de protecție a datelor prin proceduri de back-up, replicare și disaster-recovery care să asigure disponibilitatea datelor în orice condiții.

Atacuri de tip „phishing”

Phishing-ul este comportamentul infracțional prin care se încearcă obținerea de informații (și, uneori, în mod indirect, de bani), cum ar fi nume de utilizator, parole, detalii despre carautomatizeze procesele de update pentru produsele software folosite în cadrul organizației, multe din aceste actualizări vizând remedierea unor vulnerabilități, o mentenanță riguroasă a hardware-ului, în sensul unei corecte configurări din punct de vedere a securității și a actualizării firmware-ului de fiecare dată când apar noi versiuni, teste periodice de penetrare și audituri de securitate, folosirea unui software de analiză a evenimentelor de securitate și a comportamentelor anormale din rețea, ce sunt extrase din jurnalele aplicațiilor sistemelor și echipamentelor din rețea, precum și implementarea de măsuri de protecție a datelor prin proceduri de back-up, replicare și disaster-recovery care să asigure disponibilitatea datelor în orice condiții.

Atacuri de tip „phishing”

Phishing-ul este comportamentul infracțional prin care se încearcă obținerea de informații (și, uneori, în mod indirect, de bani), cum ar fi nume de utilizator, parole, detalii despre carduri de credit prin falsificarea unei entități legitime într-o comunicare electronică. Mesajul transmis victimei simulează că ar proveni de la site-uri bancare, de licitații, procesatori de plăți online sau administratorii IT și este utilizat pentru a atrage publicul neavizat. Phishing-ul este de obicei efectuat prin e-mail spoofing sau mesaje instant și de multe ori direcționează utilizatorii să introducă detalii confidențiale pe un site fals al cărui aspect este aproape identic cu cel legitim. Mai nou a apărut conceptul de spearphishing. Acesta este similar cu phishing-ul, diferența majoră constând în faptul că atacul vizează ținte clar identificate și este combinat cu elemente de inginerie socială, în scopul de a induce ideea că mesajul provine de la o persoană cunoscută în cadrul organizației vizate.

Problema acestui tip de înșelăciune este că utilizatorii nu sunt capabili să identifice dacă site-ul este original sau fals. Privind atent URL-ul și certificat-ul SSL îți poți da seama ușor de fals în cele mai multe cazuri, dar nu toți utilizatorii au timp și nici aptitudini tehnice pentru a analiza și a lua hotărârea corectă.

O metodă eficientă este de a personaliza pagina de conectare pentru fiecare utilizator. Conectarea se poate face în două etape. În primul rând utilizatorul introduce doar user-ul și nu parola. Odată ce user-ul este regăsit, serverul returnează o pagină în care utilizatorul vede o imagine pe care el a ales-o, la momentul înregistrării. În cazul în care imaginea este potrivită el furnizează parola și totul este în regulă. Dacă imaginea nu este corectă clientul nu furnizează parola. Atacatorul nu poate ști ce imagine va trebui arătată utilizatorului. Metoda nu este 100% infailibilă dar îngreunează misiunea atacatorului.

Autentificarea dintr-o singură încercare constă în transmiterea parolei însoțită de un cod furnizat de un token care este valabil doar o perioadă foarte scurtă de timp, de regulă 60 de secunde. Această metodă îngreunează misiunea atacatorului dacă nu folosește datele furnizate în cele 60 de secunde.

O metodă puțin diferită este reconfirmarea accesului cu un cod trimis prin alt sistem (SMS), dar acest lucru induce o serie de dificultăți, de costuri și de limitare a accesului.

În cazul parolelor separate pentru acces și tranzacționare userul va trebui să utilizeze o parolă pentru acces și alta pentru tranzacțiile efectuate.

Phishing-ul începe cu un e-mail. Cum vor diferenția utilizatorii un mail de phishing față de unul de la un centru autorizat? Dacă putem personaliza email-urile autorizate să includă unele detalii la care atacatorii nu vor avea acces, există o șansă ca userii să identifice e-mail-urile de phishing care nu au oricare dintre aceste detalii. Unele detalii care ar putea fi incluse în comunicările prin e-mail sunt numele complet al clientului și ultimele 4 cifre ale numărului contul său.

Poate cel mai bun mecanism de protectie, dar cel mai greu de pus în aplicare este educarea utilizatorilor despre cum să detecteze un e-mail/site de phishing și cum poate accesa site-ul web original în siguranță. Dacă aceasta s-ar putea realiza, o mulțime de atacuri de tip phishing nu ar reuși. Metoda variază în funcție de tipul de activitate și de canalele disponibile pentru a ajunge la utilizator.

Mai dificil de contracarat este atacul de tip phishing dacă făptuitorul acționează de pe teritoriul altor țări, în acest caz autoritățile române au posibilitatea de a colabora cu instituții internaționale sau cu cele din țările în care atacatorii acționează.

Software nociv (malware)

„Malware” este un termen general folosit pentru a se referi la o varietate de forme de software conceput în scopul de a aduna informații confidențiale sau de a obține acces neautorizat la resurse informatice. Aici putem include virușii, viermii, troienii etc.

Împotriva acestuia se poate lupta prin elaborarea și implementarea de politici de securitate care să reglementeze și să automatizeze procesele de update pentru produsele software folosite în cadrul organizației, implementarea unei politici privind actualizarea produselor anti-virus și anti-malware, folosind mecanisme automatizate, limitarea drepturilor utilizatorilor, prevenind instalarea de software neautorizat sau încercările nelegitime de escaladare a drepturilor, filtrarea traficului web și e-mail.

Interceptarea comunicațiilor (passive wiretapping)

Acest tip de atac constă în interceptarea ilegală a comunicațiilor de voce sau de date vehiculate printr-o rețea de transmisii de voce sau de date.

Sistemele, rețelele, echipamentele și informațiile sensibile sau critice pentru o organizație ar trebui să fie protejate fizic într-un perimetru de securitate delimitat, cu bariere de securitate adecvate și mecanisme de control al accesului. Mecanisme speciale pot fi necesare pentru a proteja împotriva riscurilor sau accesului neautorizat și pentru a proteja instalațiile de suport, cum ar fi alimentarea cu energie electrică și infrastructura de cablare.

Protecția oferită trebuie să fie proporțională cu riscurile identificate. Totodată, pentru acele rețele de comunicații prin care sunt vehiculate informații sensibile, se pot aplica mecanisme de criptare și, în general, se recomandă folosirea unor versiuni criptate (secure) a protocoalelor de comunicații, acest lucru fiind posibil atât pentru comunicațiile voce, cât și date.

Atacuri de tip „Distributed Denial-of-Service” (DDoS)

În atacurile de tip „Distributed DoS” (DDoS), un atacator instalează un agent sau un demon pe numeroase computere. Atacatorul trimite o comandă pentru a lansa atacul unui computer master, care poate fi oricare dintre multele computere gazde. Masterul comunică cu agenții rezidenți în alte servere pentru a începe atacul. Atacurile DDoS sunt mai greu de combătut, deoarece blocarea unei singure adrese IP sau de rețea nu va opri atacul. Atacurile pot proveni de la sute sau chiar mii de sisteme individuale și, uneori, proprietarii computerelor nu sunt măcar conștienți de faptul că mașinile lor sunt parte a unui atac informatic.

Un atac DDoS se soldează cu supraîncărcarea aplicațiilor cu sute de cereri invalide sau, cel mai frecvent, cu transmiterea unui volum mare de trafic aparent legitim (de ordinul Gbps), care saturează banda de acces a clientului final, ducând la imposibilitatea accesării oricărui serviciu.

Organizația interesată în a se proteja împotriva atacurilor de tip „DDoS” poate opta pentru soluții informatice specializate care se bazează pe echipamente hardware performante, dotate cu interfețe de rețea specializate. Un astfel de serviciu are rolul de a monitoriza în permanență logurile și nivelul de trafic către adresele IP ale clientului, iar în cazul detectării unui atac traficul este redirecționat prin echipamente de curățare.

DIRECȚII DE ACȚIUNE ÎN PREVENIREA ȘI COMBATEREA VULNERABILITĂȚILOR

Managementul riscului

Fiecare organizație are de îndeplinit o misiune. În era digitală, unde organizațiile folosesc sistemele de automatizare a informației, managementul riscului joacă un rol critic în protejarea bunurilor informaționale și prin urmare și a misiunii pe care organizația o are de îndeplinit.

Un proces de management al riscului eficient este o componentă importantă a unui program de securitate IT de succes. Scopul principal al procesului de management al riscului pentru o organizație trebuie să fie acela de a proteja organizația și capacitatea acesteia de a-și îndeplini misiunea, și nu numai bunurile IT. Prin urmare, procesul de management al riscului nu trebuie privit numai ca un proces tehnic desfășurat de personalul IT care operează și administrează sistemul IT, ci ca o funcție de management esențială pentru organizație.

Analiza riscului se execută, de regula, de către o echipă al cărei număr de specialiști variază în funcție de dimensiunile organizației (oricum este recomandabil să nu fie mai mic de trei, sau cel puțin un reprezentant al fiecărei subdiviziuni ce utilizează activ resurse informaționale). Membrii echipei trebuie să fie selectați cu grijă, asigurându-se de competența lor în domeniul IT, dar și în ceea ce privește procesele de business ale organizației.

Rolurile cheie ale personalului implicat în procesul de management al riscului sunt:

conducerea de vârf a organizației – managementul de vârf este responsabil de inițierea procesului și coordonarea activităților. Deși implicarea lui poate să nu fie directă, suportul managementului este esențial;

directorul IT (Chief Information Officer) – responsabil de activitatea IT (atât la nivel de planificare, cât și de execuție), inclusiv de securitatea IT. Toate deciziile pe care acesta le ia ar trebui să fie corelate cu analiza riscului de securitate IT al organizației;

șeful structurii de securitate;

administratorul de securitate IT;

administratorul de sistem;

alte persoane din cadrul organizației cu responsabilități în domeniul IT;

personalul responsabil cu pregătirea IT în cadrul organizației;

deținătorii de informații și sisteme informatice.

Riscul reprezintă probabilitatea ca o amenințare să exploateze o vulnerabilitate, având ca rezultat un impact negativ asupra organizației.

Pentru a determina probabilitatea de apariție a unui eveniment advers, trebuie analizate amenințările asupra sistemului IT în corelație cu vulnerabilitățile potențiale și măsurile de securitate aplicate sistemului. Impactul se referă la mărimea pagubelor care pot fi produse atunci când o amenințare exploatează o vulnerabilitate.

Metodologia de evaluare a riscului cuprinde nouă pași principali, iar algoritmul de realizare este prezentat în Anexa nr. 2:

pasul 1 – identificarea și evaluarea sistemului informatic și de comunicații

La faza de identificare a resurselor informaționale urmează să se creeze un tablou de ansamblu al infrastructurii informaționale a organizației, persoana sau persoanele care efectuează analiza risculului trebuind să colecteze mai întâi date despre sistemul informatic. Cele mai utilizate tehnici de investigare pentru colectarea acestor informații sunt: chestionarele, interviurile, documentația sistemului, utilizarea unor instrumente de scanare automată a sistemului informatic. Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a limitelor sistemului informatic analizat.

pasul 2 – identificarea amenințărilor

Un element esențial în cadrul acestei etape îl reprezintă determinarea probabilității de realizare a unei amenințări. Fie că vorbim de hacking, criminalitate informatică, terorism, spionaj industrial sau persoane din interior (slab pregătiți, neglijenți, neonești), motivația și existența resurselor necesare pentru atacarea unu sistem informatic fac ca oamenii să fie unele din cele mai periculoase surse de amenințări. În urma analizei de la pasul 2 va rezulta o listă cu sursele amenințărilor care pot exploata vulnerabilitățile sistemului.

pasul 3 – identificarea vulnerabilităților

Scopul acestui pas este de a dezvolta o listă a vulnerabilităților sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de amenințare potențiale. De asemenea, se recomandă și întocmirea și punerea în aplicare a unor planuri de testare, în urma cărora se pot verifica eficacitatea măsurilor de securitate aplicate în sistemele informatice, având ca rezultat întocmirea unei liste cu cerințele de securitate care să conțină principalele standarde de securitate ce vor fi folosite în evaluarea sistematică și identificarea vulnerabilităților sistemului informatic. Acest proces ajută la identificarea slăbiciunilor în cadrul sistemului, proceselor sau procedurilor care pot duce la crearea de potențiale vulnerabilități.

pasul 4 – analiza măsurilor de securitate existente

Scopul acestui pas este de a analiza măsurile de securitate implementate sau planificate pentru a fi implementate de organizație pentru a elimina sau micșora probabilitatea ca o amenințare să exploateze o vulnerabilitate.

În vederea minimizării sau eliminării riscurilor fiecare organizație dispune implementarea unor măsuri de securitate tehnice sau nontehnice ce pot viza:

mecanisme de control al accesului;

mecanisme de identificare și autentificare;

metode de criptare a datelor;

software de detectare a intruziunilor;

politici de securitate;

proceduri operaționale și de personal.

pasul 5 – determinarea probabilității producerii evenimentului nedorit

Pentru determinarea unei rate de probabilitate generală, care să indice probabilitatea ca o vulnerabilitate potențială să fie exercitată în modelul de amenințări asociate, este necesară analizarea următorilor factori:

capacitatea și motivația sursei de amenințare;

natura vulnerabilității;

existența și eficiența măsurilor de securitate curente.

Aceasta poate fi apreciată prin trei calificative, în următoarele condiții:

„Înalt” – sursa amenințării este foarte motivată și suficient de capabilă, iar măsurile de prevenire a acestor vulnerabilități sunt ineficiente;

„Mediu” – sursa amenințării este foarte motivată și suficient de capabilă, dar măsurile existente pot împiedica declanșarea vulnerabilității;

„Scăzut” – sursa amenințării este lipsită de motivație, sau măsurile există pentru a preveni sau cel puțin a împiedica semnificativ vulnerabilitatea de a se manifesta.

pasul 6 – analiza impactului producerii unui eveniment nedorit

Acest pas ajută la determinarea impactului nefavorabil rezultat din exploatarea cu succes a unei vulnerabilități de către o amenințare. Înainte de a începe analiza impactului este necesară obținerea următoarelor informații: misiunea sistemului (procesele executate în cadrul sistemului informatic), datele și aplicațiile importante, sensibilitatea datelor și a sistemului.

Impactul nefavorabil al unui eveniment de securitate poate fi descris ca pierderea sau degradarea uneia sau tuturor aspectelor de securitate: integritatea, disponibilitatea sau confidențialitatea.

În anumite situații cuantificarea impactului poate fi realizată (costuri de reparații ale sistemului, eforul necesar pentru remedierea problemelor cauzate de un atac etc), însă sunt și situații când acesta nu poate fi măsurat (pierderea credibilității, pierderea încrederii publice etc.). În această situație impactul este calificat, ca și în cazul pasului anterior, în termeni de „Înalt”, „Mediu” și „Scăzut”.

pasul 7 – determinarea riscului

Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în același timp informații pentru a le determina și controla.

Literatura de specialitate abordează două modele de analiză a valorii riscului: modelul cantitativ și modelul calitativ; acestea pornind de la premisa că orice organizație se poate aștepta la apariția unor pierderi cauzate de ineficiența unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul pe care îl au amenințările asupra resurselor organizației.

pasul 8 – recomandări privind măsurile de securitate

Scopul aplicării măsurilor de securitate este de a reduce nivelul de risc al sistemului IT, precum și al datelor la un nivel acceptabil. Următorii factori trebuie luați în considerare în recomandarea măsurilor de securitate ca și soluții alternative pentru minimizarea sau eliminarea riscurilor identificate:

eficacitatea opțiunilor recomandate (ex: compatibilitatea sistemului);

legile și regulamentele în vigoare;

politica organizațională;

impactul operațional (efectele asupra performanțelor sistemului);

siguranța și fiabilitatea.

pasul 9 – elaborarea raportului privind analiza riscului

Documentarea rezultatelor este ultima etapă a acestui proces ce se materializează sub forma unui raport scris ce va include identificarea vulnerabilităților, amenințărilor sursă, evaluarea riscurilor și recomandările de măsuri de securitate adecvate.

Un raport de evaluare a riscurilor este un raport de management care ajută conducerea să ia decizii privind politica, procedurile, bugetul și sistemul operațional și schimbările de management. Spre deosebire de un raport de audit sau de investigare, care caută nereguli, un raport de evaluare a riscurilor nu trebuie să fie făcut în mod acuzator ci într-o manieră sistematică și analitică astfel încât conducerea să înțeleagă riscurile și să aloce resursele pentru corectarea lor.

Recomandări pentru securizarea calculatoarelor și rețelelor personale

Amenințările cibernetice nu se mai limitează în a viza doar rețelele mari ale corporațiilor. Atacatorii au înțeles că țintele sunt mai vulnerabile atunci când utilizatorii lucrează acasă, unde, de obicei, măsurile de securitate sunt mai slabe. Utilizatorii trebuie să mențină de asemenea un nivel corespunzător de securitate și atunci când lucrează acasă, utilizând Internetul.

Securitatea computerelor personale

Migrarea către sisteme de operare și platforme hardware moderne

Multe dintre caracteristicile de securitate ale acestor sisteme sunt acum activate implicit și pot preveni o multitudine de atacuri des întâlnite. Mai mult, versiunile acestor sisteme de operare pe „64 de biți” solicită eforturi mai mari din partea unui atacator care încearcă să capete controlul unui computer.

O setare obligatorie, indiferent de sistemul de operare pe care îl folosiți, este de a activa mecanismele automate de actualizare (update) ale sistemului de operare.

Instalarea unei soluții complete de software de securitate

O astfel de soluție trebuie să cuprindă software anti-virus, anti-phishing și să aibă capabilități de tip firewall, de prevenire a atacurilor și de navigare securizată. Aceste servicii, lucrând conjugat pot oferi o apărare stratificată împotriva celor mai des întâlnite amenințări. Mai multe astfel de soluții oferă și un serviciu care verifică site-urile pe care le accesați, având un istoric al reputației domeniilor web care au avut vreodată un rol în răspândirea de malware.

Nu uitați să activați orice serviciu de actualizare automată a acestor softuri pentru a vă asigura că folosiți ultimele versiuni de semnături ale programelor anti-malware.

Evitarea pe cât posibil a folosirii contului de administrator

Primul cont creat în mod implicit când este instalat sistemul de operare, este cel de administrator local. Este necesară crearea unui cont de utilizator care să nu aibă toate privilegiile specifice contului de administrator. Acest cont va fi folosit pentru activitățile uzuale, cum ar fi web-browsing, creare sau editare de documente, acces la e-mail etc. Contul de administrator ar trebui folosit numai atunci când se fac actualizări de software sau când este necesară reconfigurarea sistemului. Navigarea pe web sau accesul la e-mail folosind contul de administrator este riscantă, dând ocazia atacatorilor să preia controlul asupra sistemului.

Utilizarea browserelor web cu capabilități de tip Sandbox

În momentul de față, există câteva astfel de browsere, care, atunci când se execută un cod malware, izolează acest cod de sistemul de operare, făcând astfel imposibilă exploatarea unei eventuale vulnerabilități a sistemului de operare. Majoritatea acestui gen de browsere au și capabilitatea de auto-actualizare sau de notificare a utilizatorului atunci când apar versiuni noi.

Există pe piață și abordări care mută navigarea pe web în întregime pe mașini virtuale, dar care nu au încă maturitatea tehnologică necesară pentru a fi folosite de publicul larg.

Folosirea numai a programelor cu capabilități de Sandboxing pentru a citi fișierele de tip PDF

Capabilitatea de Sandboxing izolează de sistemul de operare orice cod malware conținut de fișierele PDF. Aceste fișiere au devenit un vector de atac foarte des folosit, ele putând conține, pe langă informația legitimă, cod executabil. În prezent, există câteva versiuni, atât comerciale, cât și open-source, ale unor astfel de softuri ce au capabilități de Sandboxing, cât și de blocare a link-urilor către website-uri incluse în documentele în format PDF.

Folosirea unor versiuni ale aplicațiilor de tip Office cât mai recente

În versiunile mai recente, formatul de stocare al documentelor este XML, un format care nu permite executarea de cod la deschiderea unor documente, astfel protejând utilizatorii de malware-ul ce folosește ca mod de propagare astfel de documente. Unele din versiunile cele mai recente oferă o facilitate de tip „protected view”, deschizând documentele în modul „read-only”, astfel eliminând o serie de riscuri generate de un fișier infectat.

Actualizarea software-ul

Majoritatea utilizatorilor nu au timpul sau răbdarea de a verifica dacă aplicațiile instalate pe computer sunt actualizate. De vreme ce există multe aplicații ce nu au capabilități de auto-actualizare, atacatorii vizează astfel de aplicații ca mijloace de a prelua controlul asupra sistemului. Pe piață există câteva produse ce monitorizează software-ul instalat pe sistem și descoperă care aplicații au ajuns la sfârșitul duratei ciclului de viață sau au nevoie de actualizări, indicând și locul de unde pot fi obținute actualizări sau versiuni mai noi pentru respectivele aplicații.

Criptarea discurilor laptop-urilor

Sistemele de operare recente oferă nativ capabilitatea de criptare a discurilor prin mecanisme proprii. Pentru versiuni mai vechi, dar și pentru celelalte există produse care implementează acest serviciu. Astfel, puteți evita accesul neautorizat la informații confidențiale, în caz că laptop-ul este pierdut sau furat.

Actualizarea sistemelor de operare pentru dispozitivele mobile

Este recomandat să faceți acest lucru atunci când apar versiuni noi și să verificați acest lucru periodic. Sunteți mult mai vulnerabili atunci când utilizați dispozitivele mobile (telefon, tabletă etc.) în timpul unor călătorii deoarece amenințările sunt mai probabile în rețelele publice din aeroporturi, gări, obiective turistice etc.

Utilizarea de parole complexe

Ca o regulă generală, toate parolele asociate cu orice cont de utilizator ar trebui să aibă cel puțin 10 caractere și să fie complexe, în sensul de a include caractere speciale, cifre, litere mici și litere mari.

Securitatea rețelelor personale

Rețelele personale sunt rețele informatice de mici dimensiuni utilizate cel mai adesea la domiciliu bazate din ce în ce mai mult pe tehnologia wireless.

Designul rețelei

De obicei, furnizorii de servicii Internet furnizează un dispozitiv de conectare la rețeaua lor (un modem de cablu, un modem ADSL etc.) cu capabilități de routare și wireless. Pentru a maximiza controlul utilizatorului asupra routării și a capabilităților wireless, este recomandat ca utilizatorul să instaleze un router wireless separat de cel al furnizorului de servicii, asupra căruia să aibă control complet.

Implementarea WPA2 în rețeaua wireless

Rețeaua wireless ar trebui să fie protejată prin folosirea tehnologiei Wi-Fi Protected Access 2 (WPA2), care este de preferat în locul WEP (Wired Equivalent Privacy). Actualmente, tehnologia WEP este vulnerabilă, criptarea asociată putând fi spartă în timp foarte scurt și astfel, permițând unui atacator să intercepteze tot traficul. De menționat că, este posibil ca sistemele mai vechi să nu suporte WPA2, fiind nevoie de un upgrade de software sau hardware. Dacă urmează să achiziționați dispozitive wireless, asigurați-vă că sunt certificate cel puțin WPA2-Personal.

Limitarea accesului la interfețele de administrare ale dispozitivelor de rețea

Administrarea acestor dispozitive (modemuri, routere, switch-uri) trebuie să fie permisă doar din partea internă a rețelei, și acolo unde este posibil, opțiunea de administrare externă a acestor dispozitive să fie dezactivată, prevenind astfel ca un atacator să obțină controlul rețelei.

Implementarea unui furnizor alternativ de servicii DNS

De obicei, furnizorii de servicii Internet implementează servicii simple de DNS (domain name service), fără a oferi facilități care să blocheze accesul către site-uri periculoase sau infectate. Există alternative atât comerciale, cât și open-source care mențin o bază de date de tip „blacklist” pentru protecția și restricționarea accesului la Internet.

Setarea de parole puternice pe toate dispozitivele de rețea

Pe lângă setarea unei parole puternice și complexe pentru rețeaua wireless, toate dispozitivele de rețea care oferă posibilitatea de web-management ar trebui să aibă parole puternice. De exemplu, majoritatea imprimantelor de rețea pot fi configurate via web, gama de setări fiind una vastă, de la servicii până la alerte prin e-mail sau jurnalizări.

Comportamentul pe Internet

Recomandări de călătorie

În diverse locuri (cafenele, hoteluri, aeroporturi etc.) se găsesc hotspot-uri wireless sau chioșcuri care oferă servicii Internet clienților. Având în vedere că infrastructura ce deservește aceste rețele este una necunoscută și că adeseori, securitatea nu e o preocupare în aceste locuri, există o serie de riscuri. Pentru a le contracara, iată câteva recomandări:

– dispozitivele mobile (laptop-uri, smart-phones) ar trebui să fie conectate la Internet folosind rețelele celulare (mobile Wi-Fi, 3G sau 4G), această modalitate fiind de preferat în locul hotspot-urilor;

– dacă se folosește un hotspot Wi-Fi pentru accesul la Internet, indiferent de rețeaua folosită, utilizatorii pot seta un tunel VPN către un furnizor de încredere pentru acest gen de servicii, protejând astfel tot traficul de date efectuat și prevenind activități răuvoitoare cum ar fi interceptarea traficului;

– dacă utilizarea unui hotspot Wi-Fi este singura modalitate de a accesa Internetul, este recomandat să vă rezumați doar la navigarea pe web și să evitați să accesați servicii unde trebuie să vă autentificați, deci să furnizați date de genul user/parolă.

Este recomandat să aveți tot timpul controlul asupra dispozitivelor mobile și laptop-urilor deoarece acestea pot fi ținta unui atac dacă un atacator ar avea acces la ele. Astfel, dacă sunteți nevoit să lăsați, de exemplu, un laptop în camera de hotel, se recomandă ca acesta să fie oprit și să aibă discurile criptate, așa cum precizam mai sus.

Schimbul de date între computerul de la locul de muncă și cel de acasă

În general, rețelele companiilor sunt configurate de o manieră mai sigură și au servicii (filtrare de e-mailuri, filtrare conținut web etc.) care pot detecta conținutul malițios. De vreme ce acasă, utilizatorii nu au aceleași reguli de securitate ca la locul de muncă, computerele personale sunt ținte mult mai ușor de compromis pentru un atacator. Astfel, fluxul de date (folosind e-mailul sau stick-uri de memorie etc.) dinspre computerul de acasă spre cel de la birou induce o serie de riscuri și trebuie evitat de câte ori este posibil.

Stocarea datelor personale pe Internet trebuie făcută cu precauție

Informațiile personale, stocate până acum în mod tradițional pe sisteme locale, tind să fie mutate pe Internet, în cloud. Putem da exemplu de astfel de date cum ar fi: serviciile de webmail, informații de natură financiară sau informații personale postate pe site-uri de socializare. Odată postată, informația din cloud este dificil de înlăturat și este reglementată de regulile de securitate și confidențialitate ale sistemului pe care este postată. Cei care postează astfel de informații folosind aceste servicii web trebuie să se gândească foarte bine înainte de a o face și să își răspundă la următoarele întrebări: „Cine va avea acces la aceste informații?” și „Cum pot controla felul în care această informație e stocată și publicată?”. Utilizatorii de Internet ar trebui, de asemenea, dacă au temeri, să verifice periodic dacă informații cu caracter personal ce îi privesc au fost publicate pe Internet, căutând astfel de informații cu ajutorul celor mai populare motoare de căutare.

Utilizarea cu precauție a datelor personale pe site-urile de socializare

Site-urile de socilizare sunt foarte comod de folosit și foarte eficiente atunci când vine vorba de a partaja informații personale cu familia și prietenii. Aceste facilități induc totuși niște riscuri. De aceea, utilizatorii trebuie să conștientizeze ce date personale sunt accesibile altora și cine le poate accesa. Nu este recomandată postarea numărului de telefon, a locului de muncă sau a altor date ce pot fi folosite în mod răuvoitor de către alții. Acolo unde este posibil, se recomandă restricționarea accesului la datele personale, permițându-l doar prietenilor. Atunci când primiți mesaje sau aplicații de la prieteni, prin intermediul unor site-uri de socializare, gândiți-vă că multe din atacuri se bazează tocmai pe faptul că astfel de mesaje sau aplicații sunt cu prea mare ușurință acceptate dacă vin din partea unui prieten. Aparent, aceste aplicații oferă noi capabilități, în realitate ele conținând cod malițios bine ascuns utilizatorului.

Multe din site-urile de socializare oferă acum opțiunea de a renunța la publicarea datelor cu caracter personal. Se recomandă ca, periodic, să verificați politicile de securitate și setările disponibile pe respectivul site de socializare pentru a descoperi eventuale noi mecanisme de securitate implementate în vederea protecției informațiilor personale.

Utilizarea criptării SSL

Criptarea la nivel de aplicație (numită SSL – secure soket layer) asigură confidențialitatea informațiilor atunci când sunt în tranzit prin alte rețele. Acest gen de criptare previne furtul de identitate de către eventuali atacatori care interceptează traficul din rețele wireless, de exemplu, și care ar putea să vadă credențialele atunci când vă autentificați la aplicații web.

Atunci când este posibil, este recomandat să folosiți versiunile criptate ale protocoalelor utilizate de aplicațiile web. Instituțiile financiare se bazează masiv pe criptarea datelor folosind SSL atunci cand datele tranzacțiilor sunt în tranzit prin alte rețele. Multe dintre aplicațiile foarte populare precum Facebook sau Gmail sunt implicit configurate să folosească această criptare. Marea majoritate a browserelor web indică faptul că o aplicație folosește SSL, având simbolul unui lacăt plasat lângă URL-ul respectivului site.

Recomandări pentru folosirea e-mail-ului

Conturile de e-mail, atât cele web-based, cât și cele locale, sunt ținte foarte vizate de atacatori. Următoarele recomandări se pot dovedi utile pentru a reduce riscurile legate de acest serviciu:

– în ideea de a nu vă compromite atât contul de e-mail de la birou, cât și cel personal, este recomandat să folosiți nume diferite pentru aceste conturi. Numele de utilizator unice pentru aceste conturi diminuează riscul de a fi vizate ambele conturi într-un atac;

– setarea unor mesaje de genul “out-of-office” pentru contul personal de e-mail nu este recomandată, fiind o sursă prețioasă de informații pentru spammeri și confirmând faptul că este o adresă de e-mail validă;

– folosiți întotdeauna protocoale securizate atunci când accesați e-mailul (indiferent de protocol IMAPS, POP3S, HTTPS), mai ales atunci când folosiți o rețea wireless. Majoritatea clienților de e-mail suportă aceste protocoale, prevenind astfel o interceptare a e-mailului atunci când este în tranzit între computerul dumneavoastră și serverul de e-mail;

– mailurile nesolicitate care conțin atașamente sau link-uri trebuie tratate ca suspecte. Dacă identitatea celui care a trimis respectivul e-mail nu poate fi verificată, sfatul este de a șterge acel e-mail fără a-l deschide pentru a-i vedea conținutul. Nu răspundeți la e-mailuri care vă solicită date cu caracter personal. Orice entitate cu care relaționați prin intermediul unor aplicații web ar trebui deja să aibă aceste informații. În cazul e-mailurilor care conțin link-uri, nu navigați direct către acel link. Puteți copia acel link și să îl căutați de exemplu pe Google.

Managementul parolelor

Asigurați-vă că parolele și întrebările setate pentru mecanismele de recuperare a parolelor sunt corespunzător securizate. Parolele trebuie să fie complexe și unice pentru fiecare cont în parte. O parolă complexă trebuie să aibă cel puțin 10 caractere și să includă caractere speciale, cifre, litere mici și litere mari. Parolele trebuie să fie unice pentru fiecare cont pentru a preveni compromiterea tuturor conturilor dacă o parolă este compromisă. Dezactivați acele opțiuni care permit programelor să memoreze parole. Multe site-uri implementează mecanisme de recuperare a parolelor de tip “challenge-response”. Răspunsurile la aceste întrebări trebuie să fie lucruri intim știute de către utilizator și să nu poată fi găsite pe Internet prin căutări bine direcționate.

Integrarea fotografiilor/GPS

În prezent, multe din telefoane și noile camere foto, includ în fotografii și coordonatele GPS ale locației unde a fost făcută fotografia. Limitați accesul la aceste fotografii, permițându-l doar unei audiențe de încredere, sau, folosind unelte software, eliminați coordonatele GPS. Aceste coordonate pot fi folosite pentru a defini profilul unei persoane, a determina obiceiurile și locurile des frecventate, sau, pot indica aproape în timp real poziția unei persoane atunci când sunt încărcate pe un site de socializare prin intermediul unui smartphone. Unele site-uri de socializare, cum ar fi Facebook, elimină automat coordonatele GPS din fotografii, în scopul de a proteja viața privată a utilizatorilor săi.

Ingineria socială

În domeniul securității informatice, sensul ingineriei sociale constă în puterea de a manipula oamenii astfel încât să divulge informații confidențiale în scopul de a strânge informații, a frauda sau a accesa în mod neautorizat sisteme informatice. În cele mai multe cazuri, victima nu are contact personal cu atacatorul. Astfel, trebuie conștientizat faptul ca administratorii de rețea sau ale altor servicii informatice pe care le folosiți, nu vă vor solicita niciodata date cu caracter personal, cum ar fi numărul cardului dumneavoastră de credit, codul pin sau parole ale contului de e-mail sau al vreunui alt serviciu. Administratorii, nu au nevoie de date ale utilizatorilor, ei fiind capabili sa își desfășoare activitatea intr-un mod transparent față de utilizatori, neinteracționând decât în cazuri excepționale cu utilizatorii. Nu divulgați niciodată date cu caracter personal sau confidențiale în urma unor solicitări telefonice sau prin e-mail și verificați întotdeauna identitatea interlocutorului dacă are loc un astfel de dialog.

Activitatea structurilor militare cu atribuții în domeniul securității sistemelor informatice și de comunicații

În Ministerul Apărării Naționale, autoritatea desemnată ca structură responsabilă în domeniul protecției informațiilor clasificate și, implicit, pentru protecția informațiilor clasificate în sistemele informatice și de comunicații este Direcția Generală de Informații a Apărării, prin Direcția Contrainformații și Securitate Militară, ca structură specializată. Aceasta elaborează politica privind protecția informațiilor clasificate în sistemele informatice și de comunicații, coordonează și controlează implementarea unitară a acesteia în cadrul tuturor structurilor ministerului.

La rândul lor, structurile centrale ale Ministerului Apărării Naționale, cele care funcționează în subordinea nemijlocită a ministrului apărării naționale, statele majore ale categoriilor de forțe ale armatei, comandamentele de armă, marile unități, unitățile, instituțiile și formațiunile militare sunt obligate să asigure condițiile pentru implementarea și menținerea cerințelor privind protecția informațiilor clasificate în sistemele informatice și de comunicații. Pentru implementarea măsurilor de protecție, la nivelul fiecărei unități militare funcționează o structură de securitate, conform statelor de organizare, care se subordonează nemijlocit comandantului/șefului unității militare sau locțiitorului acestuia, iar pe linie de specialitate este coordonată de structura de securitate de la eșalonul superior sau de structura în coordonarea căreia se află. Structura de securitate se dimensionează în funcție de volumul și nivelul de clasificare al informațiilor gestionate de unitatea militară, efectivul încadrat, precum și de numărul structurilor subordonate/coordonate.

Pentru evitarea compromiterii informațiilor clasificate vehiculate, prin sisteme informatice și de comunicații, între structurile ministerului este necesară implementarea unei politici de management a incidentelor de securitate IT, care să stabilească cadrul general de securitate pentru acțiunile de răspuns la incidentele de securitate în vederea diminuării impactului asupra confidențialității, integrității și disponibilității informațiilor și resurselor sistemelor informatice și de comunicații. Managementul se realizează centralizat pentru incidentele de securitate din sistemele conectate la rețeaua publică Internet și cele care stochează, procesează și/sau transmit informații clasificate. Activitatea de răspuns la incidentele de securitate IT cuprinde următoarele acțiuni principale:

– prevenirea atacurilor cibernetice asupra sistemelor informatice și de comunicații;

– detecția vulnerabilităților în sistemele informatice și de comunicații;

– localizarea intruziunilor și limitarea efectelor atacurilor cibernetice;

– asigurarea suportului tehnic pentru administratorii de securitate și de sistem/rețea în vederea aplicării celor mai bune practici de securitate IT,

și este organizată pe trei niveluri:

nivelul 1 – de coordonare

Funcționează în cadrul Direcției Generale de Informații a Apărării, prin Direcția Contrainformații și Securitate Militară și presupune elaborarea politicilor și procedurilor de răspuns, cât și cooperarea cu alte centre de coordonare și asigurarea legăturii cu instituții guvernamentale cu responsabilități în domeniu.

nivelul 2 – tehnic

Presupune existența unui Centru tehnic principal care să asigure managementul centralizat al incidentelor apărute, răspuns la incidente și suport tehnic AOSSIC, desfășoară investigații de securitate și activități de recuperare din incidentele de securitate, testează și evaluează vulnerabilitățile în sisteme.

nivelul 3 – operațional

Organizat pe puncte operaționale în cadrul Statului Major General, a categoriilor de forțe ale armatei și comandamentelor de armă care să realizeze detecția intruziunilor, să raporteze evenimentele, incidentele și vulnerabilitățile detectate, să asigure măsuri preventive împotriva software-ului nociv și să efectueze investigații preliminare ale incidentelor de securitate. La celelalte structuri aceste responsabilități sunt îndeplinite de către AOSSIC.

Centrul tehnic principal ține evidența centralizată a tuturor incidentelor de securitate IT, iar Punctele operaționale pentru cele din sfera de responsabilitate a acestora. Baza de date cu incidentele de securitate va conține informațiile tehnice privind investigarea incidentului, tipul și cauza incidentului, acțiunile și măsurile luate pentru remedierea acestora. Informațiile stocate în baza de date cu incidente de securitate vor fi utilizate la realizarea unor analize și studii privind tipurile de atacuri ce afectează sistemele informatice și de comunicații aparținând Ministerului Apărării Naționale și măsurile de contracarare a acestora.

În scopul aplicării unitare a măsurilor de securitate în Ministerul Apărării Naționale a fost necesară instituirea unor politici de securitate aplicate sistemelor informatice și de comunicații. Acestea sunt obligatorii în toate unitățile ministerului și au scopul de a preveni, pe de o parte, atacurile care au loc frecvent asupra sistemelor informatice și de comunicații, iar pe de altă parte, compromiterea și scurgerea informațiilor clasificate vehiculate, atât în cadrul rețelelor clasificate sau publice, cât și în sistemele independente.

Structurile de securitate ale unităților militare trebuie, în primul rând, să desfășoare convocări și ședințe de pregătire cu personalul care utilizează sisteme informatice și de comunicații pentru a dezvolta cultura de securitate necesară pentru a preveni și combate eventualele vulnerabilități.

Politicile de securitate aplicate sistemelor informatice și de comunicații presupun următoarele:

– folosirea sistemelor de operare și a softurilor cu licență;

– existența unui cont de administrator pe fiecare sistem informatic și de comunicații la care să aibă acces un număr strict limitat de persoane, respectiv numai cei cu atribuțiuni în domeniu;

– atribuirea fiecărui utilizator a unui cont și unei parole de acces în sistemul informatic și de comunicații, care trebuie să fie complexă, 10 – 12 caractere, folosind trei din cele patru tipuri de caractere; parola trebuie să fie cunoscută numai de către utilizator, fiind interzisă comunicarea acesteia oricăror alte persoane;

– implementarea unor măsuri tehnice pentru protejarea informațiilor stocate și vehiculate în sistemele informatice și de comunicații, cum ar fi „delogarea” sau blocarea computerului în toate situațiile când utilizatorul nu se află în încăperea unde este dispus sistemul, programarea blocării automate a calculatorului la un anumit interval de timp cât acesta nu este utilizat, pentru a limita accesul persoanelor neautorizate, blocarea porturilor libere ale calculatoarelor și instituirea unor puncte de transfer a informațiilor, cu supravegherea strictă a operațiilor de transfer;

– interzicerea conectării la aceeași rețea a sistemelor informatice și de comunicații cu nivele de clasificare diferite;

– introducerea calculatoarelor personale în unitățile militare să se facă cu avizul persoanelor abilitate din structura de securitate și aprobarea comandantului unității, numai în situații bine întemeiate;

– scoaterea sistemelor informatice și de comunicații din unitățile militare se face respectând legislația în vigoare, doar pentru rezolvarea atribuțiunilor de serviciu.

O atenție deosebită trebuie acordată activității personalului M.Ap.N. pe rețelele de socializare. Nevoia de comunicare online, personală sau instituțională, a cunoscut o creștere exponențială, multitudinea posibilităților de socializare ducând deja la apariția unui nou concept – „social media” – ce include rețele de socializare, blogosferă, lumi virtuale, aplicații de convorbiri, mesagerie electronică sau instant, aplicații de partajare a fișierelor audio, foto, video sau a documentelor, presă online etc.

Diseminarea informațiilor în spațiul cibernetic poate transforma socializarea online într-o activitate, în egală măsură, benefică sau nocivă. Tendințele de publicare a conținutului informațional fără o filtrare prealabilă pot genera riscuri de securitate, atât individuale, cât și instituționale, care pot cauza prejudicii de imagine, dezvăluire / compromitere de informații, furt de identitate, acțiuni ostile în spațiul cibernetic de către persoane rău-intenționate, grupări de crimă organizată sau organizații de „intelligence”. Riscurile generate de utilizarea neadecvată a rețelelor de socializare pot fi:

– crearea unor adevărate „baze de date cu personalul M.Ap.N.”, care pot fi exploatate de entități cu intenții ostile la adresa securității naționale (grupări teroriste, servicii străine de informații, grupări de crimă organizată etc.);

– comunicarea unor informații militare nedestinate informării publice în cadrul mesajelor / discuțiilor purtate pe aceste site-uri;

– afectarea imaginii M.Ap.N. prin postarea unor imagini și / sau formularea unor opinii incompatibile cu sistemul militar.

Având în vedere existența acestor noi provocări, unele recomandări de bune practici și măsuri de protecție în cadrul activității de socializare online sunt mai mult decât necesare, atât pentru diminuarea / eliminarea riscurilor generate de publicarea unui conținut informațional nepotrivit de către personalul M.Ap.N., cât și pentru educarea acestuia în situația confruntării cu acțiuni ostile desfășurate prin intermediul rețelelor de socializare. De asemenea, activitățile oficiale de relații publice ale M.Ap.N. desfășurate prin intermediul rețelelor de socializare online necesită aplicarea unor măsuri tehnice și procedurale pentru asigurarea desfășurării acestora în condiții de siguranță și eficiență.

Un rol important în instruirea personalului M.Ap.N. privind utilizarea rețelelor de socializare îl are structura de securitate. Pe lângă riscurile de securitate pe care le prezintă utilizarea necontrolată a acestor rețele, în activitatea de pregătire trebuie avută în vedere respectarea legislației privind securitatea națională, reglementările referitoare la protecția informațiilor clasificate, relațiile cu străinii și compromiterea onoarei și demnității militare.

Ca recomandări generale în activitatea de socializare online a personalului M.Ap.N. se pot aminti:

– evitarea publicării unor informații care nu sunt necesare prin gestionarea semnăturii automate de la sfârșitul e-mail-ului, ce conține nume, prenume, funcție, unitate, date de contact; la răspunsul automat pe perioada unor absențe se recomandă a nu se preciza perioada, locul și scopul absenței de la birou sau din garnizoană, precum și divulgarea activităților desfășurate;

– protejarea colegilor prin evitarea publicării de date personale referitoare la aceștia, fără acceptul prealabil al lor;

– protejarea instituției prin nepublicarea de date referitoare la misiuni, specificul activităților, locații, dotări, resurse etc.;

– instruirea membrilor familiei pentru a nu publica date și informații referitoare la instituția militară și personalul M.Ap.N.;

– neutilizarea sistemelor informatice și de comunicații ale M.Ap.N., conectate la rețeaua publică, pentru accesarea portalurilor de socializare online, în scop personal, pentru evitarea expunerii acestora la amenințările de tip „malware”, care sunt tot mai prezente în cadrul rețelelor de socializare;

– evitarea folosirii adresei de e-mail de serviciu pentru crearea de conturi / profile / pagini în cadrul portalurilor de socializare online.

Pentru evitarea riscurilor de securitate sau cauzării prejudiciilor de imagine sau compromiterea de informații nu se recomandă:

– publicarea datelor personale privind gradul și funcția militară, denumirea exactă și / sau indicativul unității militare de încadrare, specificul activității desfășurate, date de contact personale (telefon sau e-mail de serviciu, site-ul web al unității etc.);

– publicarea detaliată a istoricului activității profesionale, cu precizări referitoare la locurile de muncă, funcțiile ocupate, atribuții, misiuni sau alte date legate de specificul instituției militare;

– publicarea de fotografii în ținuta militară, fotografii și înregistrări video realizate în obiective militare sau care surprind formațiuni militare, tehnică sau activități / ceremonii militare;

– publicarea de date, informații, puncte de contact, fotografii și materiale video despre colegi / șefi / subordonați sau nominalizarea personalului militar în cadrul materialelor publicate de terți;

– menționarea datelor și informațiilor referitoare la perioada și locul deplasărilor sau absențelor de la domiciliu (concedii, vacanțe), precum și date referitoare la bunurile deținute în locuință.

Ori de câte ori aveți dubii sau sunteți în impas referitor la orice problemă de natură să afecteze integritatea sistemelor informatice și de comunicații pe care le utilizați, atât în activitatea personală, cât și în cea profesională, nu ezitați să consultați specialiștii în domeniu.

CONCLUZII

Asigurarea securității cibernetice se bazează pe cooperarea la nivel național și internațional pentru protejarea spațiului cibernetic, prin coordonarea demersurilor naționale cu orientările și măsurile adoptate la nivel internațional, în formatele de cooperare la care România este parte.

Având în vedere dinamismul evoluțiilor globale în spațiul cibernetic, precum și obiectivele României în procesul de dezvoltare a societății informaționale și implementare pe scară largă a serviciilor electronice este necesară elaborarea unui program național detaliat, care să asigure elaborarea și punerea în practică a unor proiecte concrete de securitate cibernetică.

Este necesară, de asemenea, implementarea, la nivel național, a unor standarde minimale procedurale și de securitate pentru infrastructurile cibernetice, care să fundamenteze eficiența demersurilor de protejare față de atacuri cibernetice și să limiteze riscurile producerii unor incidente cu potențial impact semnificativ.

Pentru asigurarea unei capacități sporite de identificare, evaluare și proiectare a măsurilor adecvate de management al riscului sau de răspuns la incidente și atacuri cibernetice este prioritară dezvoltarea schimburilor de informații și transferului de expertiză între autoritățile cu responsabilități în domeniu, dezvoltarea cooperării între sectorul public și cel privat și extinderea cooperării cu mediile neguvernamentale și comunitatea academică.

Anexa nr. 1

Concepte, definiții și termeni privind comunicațiile în mediul virtual

ADSL – Asymmetric Digital Subscriber Line este o tehnologie care permite transmiterea asimetrică de date digitale, pe linie telefonică de cupru, mai rapid (între 1,5-8 megabiți/sec.) decât un modem convențional.

Amenințarea cibernetică – circumstanța sau evenimentul care constituie un pericol potențial la adresa securității cibernetice.

Apărarea cibernetică – acțiunile desfășurate în spațiul cibernetic în scopul protejării, monitorizării, analizării, detectării, contracarării agresiunilor și asigurării răspunsului oportun împotriva amenințărilor asupra infrastructurilor cibernetice specifice apărării naționale.

Atacul cibernetic – acțiunea ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică.

Cloud computing – un concept modern în domeniul computerelor și informaticii, reprezentând un ansamblu distribuit de servicii de calcul, aplicații, acces la informații și stocare de date, fără ca utilizatorul să aibă nevoie să cunoască amplasarea și configurația fizică a sistemelor care furnizează aceste servicii.

Criminalitatea informatică – totalitatea faptelor prevăzute de legea penală sau de alte legi speciale care prezintă pericol social și sunt săvârșite cu vinovăție, prin intermediul ori asupra infrastructurilor cibernetice.

DDoS – un atac cibernetic de tip „DDoS” (Distributed Denial of Service, blocarea distribuită a serviciului) este o încercare frauduloasă de a indisponibiliza sau bloca resursele unui calculator.

Firewall – un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite.

GPS – Global Positioning System (sistem de poziționare globală) este un sistem global de navigație prin satelit și unde radio.

Hacking – căutarea și exploatarea punctelor slabe ale unui sistem informatic sau rețea de calculatoare.

Hotspot – un site care oferă acces la Internet printr-o rețea locală fără fir, prin utilizarea unui router conectat la o legătură la un furnizor de servicii Internet .

Incidentul cibernetic – evenimentul survenit în spațiul cibernetic ale cărui consecințe afectează securitatea cibernetică.

Incidentul de securitate – orice eveniment sau împrejurare de natură să afecteze confidențialitatea, integritatea sau disponibilitatea informațiilor, precum și funcționalitatea programelor și echipamentelor unui sistem informatic și de comunicații.

Infrastructurile cibernetice – infrastructuri de tehnologia informației și comunicațiilor, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice.

IT – Information Technology (Tehnologia informației sau Tehnologia informației și a comunicațiilor).

Managementul identității – metodele de validare a identității persoanelor când acestea accesează anumite infrastructuri cibernetice.

Managementul riscului – procesul complex, continuu și flexibil de identificare, evaluare și contracarare a riscurilor la adresa securității cibernetice, bazat pe utilizarea unor tehnici și instrumente complexe, pentru prevenirea pierderilor de orice natură.

Riscul de securitate în spațiul cibernetic – probabilitatea ca o amenințare să se materializeze, exploatând o anumită vulnerabilitate specifică infrastructurilor cibernetice.

Sandbox – un mecanism de securitate pentru separarea programelor care rulează, adesea utilizat pentru a executa cod netestat sau programe care nu prezintă încredere de la terțe părți neverificate, furnizorii și utilizatorii care nu sunt de încredere și site-urile nesigure.

Securitatea cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și nonrepudierea informațiilor în format electronic, a resurselor și serviciilor publice sau private, din spațiul cibernetic. Măsurile proactive și reactive pot include politici, concepte, standarde și ghiduri de securitate, managementul riscului, activități de instruire și conștientizare, implementarea de soluții tehnice de protejare a infrastructurilor cibernetice, managementul identității, managementul consecințelor.

Sistemul de comunicații – ansamblul centrelor și liniilor de comunicații cu componentele lor tehnice, logice și de management, având diverse destinații, împreună cu terminalele asociate diferitelor tipuri de canale, interconectate în funcție de misiunile, locul și timpul de realizare, organizate și instalate într-o structură determinată, după un plan unic.

Sistemul informatic și de comunicații (SIC) – ansamblul de elemente independente în care sunt incluse echipamente de calcul, produse software de bază și aplicative, metode, procedee și, dacă este cazul, personal, organizate astfel încât să asigure îndeplinirea funcțiilor de stocare, procesare sau transmitere a informațiilor în format electronic. Este alcătuit din cel puțin o stație de lucru (PC), sau poate fi organizat în rețele locale de dimensiuni mici sau în rețele complexe, incluzând sistemele de comunicații aferente.

Spațiul cibernetic – mediul virtual, generat de infrastructurile cibernetice, incluzând conținutul informațional procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acesta.

Spionajul cibernetic – acțiunile desfășurate în spațiul cibernetic, cu scopul de a obține neautorizat informații confidențiale în interesul unei entități statale sau nonstatale.

SSL – Secure Sockets Layer este un protocol criptografic care permite comunicații sigure pe Internet.

Terorismul cibernetic – activitățile premeditate desfășurate în spațiul cibernetic de către persoane, grupări sau organizații motivate politic, ideologic ori religios ce pot determina distrugeri materiale sau victime, de natură să determine panică ori teroare.

URL – Uniform Resource Locator (localizator uniform de resurse) este o secvență de caractere standardizată, folosită pentru denumirea, localizarea și identificarea unor resurse de pe Internet.

VPN – Virtual Private Network (rețea privată virtuală) este o tehnologie de comunicații computerizată sigură, folosită de obicei în cadrul unei companii, organizații sau al mai multor companii, dar bazată pe o rețea publică adesea nesigură.

Vulnerabilitatea în spațiul cibernetic – slăbiciunea în proiectarea și implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente care poate fi exploatată de către o amenințare.

WEP – Wired Equivalent Privacy este un algoritm de securitate pentru rețelele wireless.

Wi-Fi – numele comercial pentru tehnologiile utilizate pentru realizarea de rețele locale de comunicație (LAN) fără fir (wireless, WLAN) la viteze echivalente cu cele ale rețelelor cu fir electric.

Wireless – transferul de informație între două sau mai multe puncte care nu sunt conectate prin intermediul unui conductor electric.

WPA2 – Wi-Fi Protected Access II este un protocol de securitate și program de certificare de securitate cu scopul de a securiza rețelele de calculatoare wireless.

Anexa nr. 2

Metodologia de evaluare a riscului

Graficul nr. 1

Algoritmul evaluării riscului

BIBLIOGRAFIE

Hotărârea nr. 271/2013 pentru aprobarea „Strategiei de securitate cibernetică a României și a Planului de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică”;

Ordinul ministrului apărării, M-78/2007, privind „Organizarea și funcționarea structurilor cu capabilități de răspuns la incidentele de securitate în sistemele informatice și de comunicații aparținând Ministerului Apărării”;

Ordinul ministrului apărării naționale, M-9/2013, pentru aprobarea „Normelor privind protecția informațiilor clasificare în Ministerul Apărării Naționale”;

Dispoziția directorului DGIA, DGA-4/2007, pentru aprobarea „Procedurii de răspuns la incidentele de securitate IT în sistemele informatice și de comunicații aparținând Ministerului Apărării”;

NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems;

http://www.certmil.ro, accesat la data de 02.11.2013;

http://ro.wikipedia.org, accesat la data de 09.11.2013.

BIBLIOGRAFIE

Hotărârea nr. 271/2013 pentru aprobarea „Strategiei de securitate cibernetică a României și a Planului de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică”;

Ordinul ministrului apărării, M-78/2007, privind „Organizarea și funcționarea structurilor cu capabilități de răspuns la incidentele de securitate în sistemele informatice și de comunicații aparținând Ministerului Apărării”;

Ordinul ministrului apărării naționale, M-9/2013, pentru aprobarea „Normelor privind protecția informațiilor clasificare în Ministerul Apărării Naționale”;

Dispoziția directorului DGIA, DGA-4/2007, pentru aprobarea „Procedurii de răspuns la incidentele de securitate IT în sistemele informatice și de comunicații aparținând Ministerului Apărării”;

NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems;

http://www.certmil.ro, accesat la data de 02.11.2013;

http://ro.wikipedia.org, accesat la data de 09.11.2013