Riscul de Atac Asupra Sistemelor Informationale

Introducerea calculatoarelor în fiecare dimensiune a societății a schimbat semnificativ modul în care oamenii și organizațiile obțin sau diseminează informații ori desfășoară afaceri, permițând o mai mare eficiență, un control operațional sporit și un acces rapid la informații. Alături de multe beneficii, însă, calculatoarele și interconectarea acestora prezintă și aspecte negative(distribuirea de viruși informatici, de pildă), precum și posibilitatea de comitere a unor infracțiuni tradiționale prin intermediul noilor tehnologii (cum ar fi frauda ori falsul). (http://www.securitatea-informatica.ro/securitatea-informatica/riscurile-de-atac-asupra-securitatii-sistemelor-informationale/ )

In cadrul tranzacțiilor electronice un rol esențial este jucat de încrederea consumatorilor sau firmelor că tranzacțiile nu vor fi interceptate sau modificate, că furnizorul este cel care pretinde a fi și că mecanismele de tranzacționare electronică sunt disponibile, legale si sigure. Un incident care va afecta negative securitatea sistemelor informatice va afecta și individul sau organizația care depinde sau folosește respectivele sisteme, capacitatea de a desfășura afaceri electronice și, în unele cazuri, chiar terțe părți.

Conectivitatea crescută expune sistemele informatice la un număr însemnat de amenintări și vulnerabilități; mai mult, posibilitatea de a acționa de la mare distanță și de a elimina complet evidențele privind momentul și/sau modeul de comitere a atacurilor informatice( nu vor exista martori, impresiuni digitale sau AND), dificultățile legate de prevenirea sau detectarea infracțiunilor si problemele jurisdicționale cresc serios pericolul acestor atacuri.

Atacurile informatice au evoluat mult in ultimii ani și reprezintă o preocupare crescândă pentru organizații și indivizi.Atacurile asupra sistemelor informatice pot viza ținte specifice sau pot fi ,,atacuri de oportunitate” (target of opportunity), care lovesc in mod aleator.

Accesul ilegal la un sistem informatic reprezintă o ,,platformă” , o ,,poziționare” a atacatorului și este considerat în majoritatea jurisdicțiilor infracțiunea ce face posibilă realizarea majorității celorlalte infracțiuni informatice.

Amenințările la adresa informațiilor include erori, accidente, catastrophe naturale sau atacuri intenționate ( în acest context, prin ,,infomații” se înțeleg informații stocate, procesate sau transmise electronic). Pentru a evalua potențialul atacurilor(importanța și impactul potențial al unui incident de securitate informatică) și a realiza design-ul securității sistemelor informatice, este necesar să fie înțelese expertiza potențialilor atacatori,motivația și intenția acestora.

Consecințele atacurilor asupra sistemelor informatice pot fi majore, la nivel individual sau organizațional, iar in unele situații chiar la nivel național sau internațional.Potențialul atacatorilor asupra sistemelor informatice sunt amplificate de un număr important de factori, cum ar fi posibilitatea de automatiyare a acestora, profitabilitatea acceptabila a atacurilor incheiate cu succes,posibilitatea de a acționa de la distanță, dificultățile privind detectarea criminalilor.

În general, atacurile intenționate pot fi clasificate după cum urmează:

– Penetrare din exterior

-Penetrare din interior

* Mascaradă(prezentare drept utilizator legitim)

* Utilizator legitim sau clandestin(trecerea de controale logice)

-Acțiuni autorizate executate într-o maniera improprie.

Scenariile de bază privind criminalitatea informatică pot fi descrise dupa cum urmează:

-Datele informatice sunt expuse unor indivizi care nu ar trebui să aibă acces la ele;

-Datele informatice sunt modificate și/sau comunicate într-o manieră contrară politicilor de utilizare;

-Utilizatorilor autorizați li se blochează accesul la date informatice ori resurse sau acestea sunt furnizate cu întârzieri semnificative;

Riscul de atac

Sistemele informatice sunt esențiale pentru buna desfășurare a majorității activităților moderne; prin urmare, securitatea acestora trebuie să fie o preocupare importantă pentru organizații, O serie de factori pot fi considerați că au crescut riscul de atac electronic la adresa sistemelor de informații:

-Dificultățile de securizare inerente;

-Globalizarea crescândă;

-Insuficienta conștientizare și educare a utilizatorilor sistemelor de informații și atitudinile sau practicile care nu respectă procedurile de folosire;

-Disponibilitatea de informații privind penetrarea fără autorizare a sistemelor de informații;

-Reglementări legislative neclare și anumite dificultăți jurisdicționale;

Posibilitatea ca sistemele de informații computerizate ale unei organizații să fie insuficient protejate împotriva anumitor atacuri sau pierderi este numită Straub și Welke ,,risc de sistem”. Riscul este, în contextual sistemelor de informații computerizate, suma amenințărilor(evenimentelor care pot cauza daune), vulnerabilităților și valoarea informațiilor expuse:

Risc=Amenințări=Vulnerabilități+Valoarea informațiilor.

Informațiile stocate electronic au o anumită valoare.Un incident care va afecta negativ informațiile stocate electronic va afecta și individul sau organizația care depinde sau folosește respectivele informații. Informațiile sunt evaluate în acord cu posibilul impact al unui incident care va afecta negativ informațiile. Amenințările, vulnerabilitățile și posibilul impact trebuie combinate pentru a obține o măsură a riscului la care sunt expuse informațiile.

O reprezentare diagramatică sugestivă a conceptelor privind securitatea sistemelor de informații computerizate și relațiile dintre acestea este propusă în standardul Common Criteria For Information Technologz Security Evaluation(adaptată în figura 1)

Fig. 1. Conceptele privind securitatea informatică si relațiile dintre acestea

Pentru a evalua potențialul atacurilor posibile(importanța și imptacul potențial al unui incident de securitate), este necesar să fie înțelese expertiza, motivația și intenția potențialilor atacatori. Un atacator care selectează sistemul victimă în funcție de insecuritățile pe care acesta le prezintă este diferit de un atacator care selectează pentru atac un sistem anume,pentru a comite anumite fapte. Pentru a putea selecta și implementa contramăsuri adecvate riscurilor asociate cu sistemele de informații computerizate, este necesar ca amenințările la adresa acestora să fie bine înțelese. În următoarea secțiune sunt discutate categoriile de atacatori potențiali, motivația acestora si amenințările puse la adresa sistemelor de informații computerizate.

Potențiali atacatori ai sistemelor informatice

Din cele mai vechi timpuri,oamenii si organizațiile au încercat să-și protejeze bunurile. Deoarece atacatorii ridică probleme diferite pentru apărare bunurilor( spre exemplu, un atacator care selectează sistemul victimă în funcșiie de insecuritățile pe care acesa le prezintă este diferit de un atacator care selectează pentru atac un sistem anume, pentru a comite anumite fapte), pentru a putea selecta și implementa contramăsuri adecvate riscurilor asociate cu sistemele informatice, este necesar ca amenințările la adresa acestora să fie bine înțelese.

Persoanele din interior, accidentele,erorile și dezastrele naturale reprezintă principalele surse de riscuri la adresa sistemelor informatice. Persoanele din exterior reprezintă, de asemenea, o sursă de riscuri deoarece sunt, în unele cazuri, mai motivați și mai dificili de depistat și investigat decât persoanele din interiorul organizațiilor.

Următorii ,,actori” pot cauza probleme de securitate a sistemelor informatice:

– Angajați – aceștia sunt investiți cu încredere și au acces la sistemul informatic, în multe situații putând abuza de drepturile de acces; în plus, angajații pot comite erori de utilizare,inițializare sau configurare(din neatenție, lipsa unor cunoștințe suficiente etc.), care pot cauza probleme de securitate.

– Consultanți/Personal de întreținere a sistemului – aceștia au adesea acces la sistemul informatic, ceea ce le permite efectuarea de diverse operațiuni.

– Furnizori/Clienți – motivele lor economice nu sunt în unele cazuri aliniate cu cele ale organizației și, în unele situații, pot efectua anumite acțiuni care pot prezenta riscuri de securitate.

– Competitori – alti indivizi sau organizații care vor avea de câștigat de pe urma pierderilor organizației cauzate de atacuri asupra sistemului informatic.

– Crackeri/Hoți profesioniști – persoane care penetrează ilegal sistemele informatice și cauzează daune intenționat.

– Experți în spionaj – Persoane care sunt specializate în obținerea de informații care vor beneficia alte organizații. Aceste persoane au un nivel înalt de cunoștințe tehnice, sunt bine plătite și pot adesea realiza acțiunile lor nedetectați.

– Natura – Natura poate cauza pierderea de date informatice importante sau indisponibilitatea acestora în situații de furtună, cutremur etc.

Atacatorii sistemelor informatice pot fi clasificați după mai multe criterii. În funcție de motivație , distingem patru categorii principale:

– Motivația socială – Atacatorii din această categorie încearcă să pbțină un sentiment de superioritate sau de control, de acceptare de către alți atacatorisau de integrare într-un grup.

– Motivația tehnică – Atacatorii din această categorie încearcă să ,,învingă” sistemul, ca un fel de provocare intelectuală.

– Motivația politică – Atacatorii din această categorie încearcă să obțină atenție politică, pentru a promova o anumită cauză.

– Motivația financiară – Atacatorii din această categorie încearcă să obțină un câștig pentru sine sau pentru altul( spre exemplu, spioni, diverse organizații sau chiar persoane care se ocupa cu distribuirea de date informatice confidențiale).

Tipuri de amenințări

Amenințările la adresa sistemelor informatice pot fi clasificate ca non-intenționale și intenționale. În prima categorie trebuiesc incluse acte care se datoreaza erorilor umane, sau unor factori de mediu. Actele intenționale, pe de altă parte, pot fi clasificate sub trei categorii:

* Acțiuni neautorizate ale personalului autorizat,

* Penetrarea ilegală a sistemelor și

* Folosirea de contaminanți informatici

Amenințările trebuie bine înțelese pentru selectarea de măsuri si controale de securitate adecvate. Amenințările pot fi clasificate în funcție de modul de producere ( non-frauduloase sau accidentale și frauduloase sau intenționale) după sursă sau drept:

* Amenințări naturale – Acestea sunt numite în industria asigurărilor ca forță majoră (spre exemplu, incendiu,furtună,trăznet,cutremur sau inundație);

* Amenințări accidentale – Spre exemplu,proceduri executate incorect, căderi de electricitate,ruperea unui cablu, căderea unui disc etc. ;

* Amenințări intenționate – Spre exemplu, sabotaj, acces neautorizat,folosirea sau ștergerea neautorizată de informații sau medii de stocare, plantarea de cai troieni informatici sau infectarea cu viruși informatici etc.

Stoneburner si colab. Preyintă următoarele reguli de bază în atenuarea riscurilor asociate cu amenințări intenționale. Aceste reguli sunt aplicabile, cu excepția celei de a treia, și pentru atenuarea riscurilor naturale sau accidentale:

* Când o vulnerabilitate există, trebuie redusă posibilitatea ca respectiva vulnerabilitate să fie exploatată;

* Când o vulnerabilitate poate fi exploatată, trebuie implementată o pretecție pe mai multe nivele și controale administrative care pot minimiza riscul sau preveni exploatarea vulnerabilității;

* Când costul unui atacator este mai mic decât câștigurile potențiale trebuie aplicată o protecție care descrește motivația atacatorului prin creșterea costului său;

* Când pierderea potențială este prea mare, trebuie aplicate protecții tehince și non-tehnice care să reducă potențialul de pierdere.

Amenințările la adresa sistemelor informatice pot fi clasificate și după cum urmează:

* Amenințări fundamentale,

* Amenințări care facilitează și

* Amenințări indirecte.

În general, atacatorul unui sistem informatic va ajunge într-o poziție unde va reprezenta o amenințare fundamentală prin folosirea unei amenințări care facilitează sau printr-o amenințare indirectă.

Falsul informatic

Scopul prevederii acestui articol în legislațiile penale a fost de a crea o variantă de specie, în paralel cu infracțiunea de fals ce priveste documentele materiale(tangibile). Majoritate legislațiilor penale în materie de fals prevăd că afirmațiile sau declarațiile ce figurează într-un document să poată fi descifrate cu ochiul liber, astfel încât ele nu se mai aplică datelor informatice, ceea ce reprezintă serioase lacune în domeniul digital. Manipulările de date informatice, având forță probatoare duc la aceleași consecințe grave ca actele tradiționale de contrafacere dacă, spre exemplu, acestea induc în eroare un terț și ar fi inadmisibil ca asemenea date să scape protecției penale în materie de contrafacere.

Scopul textului propus de Convenția Europenă âîn domeniul criminalității informatice este, prin urmare, acela de a acoperi lacunele dreptului penal privind falsul tradițional și care cere, ca o condiție esențială, ca declarațiile și afirmațiile ce figurează într-un document să poată fi descifrate cu ochiul liber, condiție ce nu poate fi îndeplinită în cazul datelor informatice stocate pe suporturi magnetice.

Textul art. 48 a Legii nr. 161/2003, similar celui propus de Convenția Europeană în domeniul criminalității informatice, pedepsește ca fals informatic fapte de a introduce, modifica sau șterge fără drept, date informatice, ori de a restricționa, fără drept, accesul la aceste date, dacă fapta are ca rezultat obținerea de date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii de consecințe juridice.

Elementul material se realizează prin una din următoarele acțiuni: introducerea, modificarea,ștergerea de date informatice sau restricționarea accesului la date informatice, cu condiția ca acestea să fie realizate fără drept.

Introducere de date informatice se referă la tastare sau inserare prin alte modalități(spre exemplu, prin folosirea unui modem, scanner sau diverse tipuri de discuri) de date într-un sistem informatic.Modificarea datelor informatice se referă la orice alterare a acestora,schimbare sau variație în conținutul lor. Ștergerea constituie fapta de a elimina datele stocate pe un suport fizic.

Restricționarea accesului la date informatice se referă la fapta de a preveni accesul la date, a le plasa în locații unde sunt greu de găsit sau accesat sau întârzierea semnificativă a accesului la aceste date, ceea ce are ca rezultat blocarea accesului la date atunci când este nevoie de ele pentru ca o operație informatică să se desfășoare corect și complet.

Toate acțiunile descrise de legiuitor prin care se ajunge la o situație ce corespunde fabricării unui document electronic fals, pentru a face obiectul laturii obiective a infracțiunii, trebuie realizat fără drept, adică fără autorizarea proprietarului sau utilizatorului datelor sau sistemului informatic și cu un încălcarea reglementărilor legale în materie.

Urmarea imediată – Pentru existența laturii obiective este necesar ca acțiunea de falsificare – realizată prin introducerea, modificarea sau ștergerea de date informatice sau prin restricționarea accesului la date informatice – să aibă ca urmare imediată crearea unei stări de pericol pentru relațiile sociale ocrotite, pericol decurgând din relizarea unui înscris electronic fals ce prezintă toate însușirile unui înscris electronic corespunzator.

Legătura de cauzalitate – Pentru ca stare de pericol să fie considerată produs al unei acțiuni de falsificare, trebuie să se constate că între starea de pericol și acțiunea realizată prin modalitățile arătate există o legătură de cauzalitate.

Falsul informatic se pedepsște cu inchisoare de la 2 la 7 ani.

Frauda informatică

Tehnologiile informației și comunicației oferă noi modalități de comitere a fraudei și, în același timp, facilitează comiterea acestor infracțiuni prin posibilitatea de a acționa de la mare distanță prin scăderea costului comiterii acestor infracțiuni și prin riscul scăzut la care se expun făptuitorii.

Caracterul furtiv al fraudei informatice nu trezește reacții atât de negative ca în cazul infracțiunilor împotriva vieții, spre exemplu; cu toate acestea pagubele patrimoniale aduse victimelor pot fi majore. În consecință, a apărut ca necesară formularea unui text penal care să răspundă schimbărilor apărute în criminalitatea actuală în conexiune cu utilizarea sistemelor informatice.

Fraudele informatice sunt, în general, descrise după cum urmează:

-Intrare(Input): datele informatice sunt inserate, accesate,suprimate sau modificate într-o manieră improprie sau neautorizată;

-Program: crearea unui program informatic sau alterarea, recompilarea sau substituirea unui sau mai multor programe informatice existente pentru realizarea fraudelor informatice, execuția programelor informatice abuziv sau cu parametrii improprii, modificarea formulelor în spreadsheet, mascarada programelor informatice sau întreruperea unor procese ce rezultă în nefinalizarea unor tranzicții( una dintre cele mai faimoase fraude informatice din acestă categorie este ,,frauda salam” ) și

-Ieșire(Output) (suprimarea sau amendarea datelor informatice reprezentând rezultatul unor procesări sau tranzicții informatice).

Legiuitorul penal român, preluând textul art. 8 din Convenția Europeană privind criminalitatea informatică, incriminează în textul art. 49 a Legii nr.161/2003 frauda informatică ca fiind fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea,modificarea sau ștergerea de date informatice, prin restricșionarea accesului la date informatice sau prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine ori pentru altul.

Obiectul juridic al acestei infracțiuni îl constituie relațiile sociale de ordin patrimonial, precum si întregul fascicol de relații referitoare la încrederea în siguranța și fiabilitatea tranzacșiilor informatice.

Obiectul material al infracțiunii îl constituie entitatea materială(disc compact sau dur etc) pe care sunt stocate datele informatice sau componentele sistemului informatic asupra cărora se acționeză în sensul arătat de legiuitorul penal.

Elementul material constă în acțiunea de introducere, modificare sau ștergere de date informatice, prin restricționarea accesului la date informatice sau prin împiedicarea în orice mod a funcționării unui sistem informatic.

Introducere de date se referă la introducerea de date inexacte, introducerea inexactă de date sau introducerea fără autorizație de date informatice.

Modificarea de date cuprinde alterarea, variațiile sau schimbările parțiale de date informatice.

Ștergerea de date se referă la ștergerea datelor de pe suporturi fizice, care nu mai sunt disponibile pentru tranzacții electronice licite.

Restricționarea accesului cuprinde reținerea,ascunderea, criptarea sau modificarea autorizărilor pentru utilizatorii legitimi.

Împiedicarea funcționării unui sistem informatic cuprinde atacuri fizice(spre exemplu, tăierea de cabluri, întreruperea alimentării cu energie electrica etc.) și atacuri logice, care împiedică pornirea normală a unui calculator(spre exemplu, prin modificarea setărilor inițiale), atacuri de tip ,,refuz al serviciului” (Denial of service) , blocarea sistemului prin folosirea de contaminanți informatici, blocarea tastaturii, consumarea resurselor de memorie sau a spațiului de stocare de pe discuri etc.

Aceste acțiuni este necesar să fie efectuate de făptuitor în scopul de a obține un beneficiu material pentru sine sau pentru altul;pentru existența infracțiunii, însă, nu este necesar să îl și obțină.

Fapta de fraudă informatica este pedepsită cu închisoare de la 3 la 12 ani.

(Ioana Vasiu, Lucian Vasiu – Afaceri electronice – aspecte legale,tehnice și manageriale Editura Albastră Cluj Napoca 2007)

Concluzii

Pe măsură ce organizațiile devin din ce în ce mai dependente de buna funcționare a sistemelor informaționale computerizate, problema securității acestor sisteme devinde din ce în ce mai importantă(Kankanhalli si colab. , 2003).

Stonebumer si colab. (2001) sugerează bazarea programelor de atenuare a riscului asociatcu sistemele de informații computerizate pe următoarele:

* Angajarea activă a managerilor de vârf din cadrul organizațiilor;

* Suportul si participarea întregului personal ;

* Competența echipe însărcinate cu analiza și atenuarea riscurilor;

* Cooperarea utilizatorilor, care trebuie să respecte procedurilede folosire si regulile de securitate;

* O evaluare continuă a riscurilor.

Riscul de atac electronic variază în funcție de:

* tipul de organizație,

* potențialele vulnerabilității,

* diverși catalizatori, inhibitori și amplificatori.

Cu toate că riscul de atac electronic asupra sistemelor de informații nu poate fi în total eliminat, abordarea sistemică și un set procese pentru atenuarea riscurilor care consideră vulnerabilitățile specifice fiecarei situații(Austin și Darby, 2003 ) pot reduce semnificativ impactul unor atacuri sau chiar elimina anumite clase de atacuri.( http://www.securitatea-informatica.ro/securitatea-informatica/riscurile-de-atac-asupra-securitatii-sistemelor-informationale/)