Lector Univ. Dr. Luminița Defta Masterand Negulescu Irina -2019- UNIVERSITATEA “SPIRU HARET” FACULTATEA DE INGINERIE, INFORMATICĂ ȘI GEOGRAFIE… [310477]
UNIVERSITATEA “SPIRU HARET”
[anonimizat]: [anonimizat]2019-
UNIVERSITATEA “SPIRU HARET”
[anonimizat]: [anonimizat]2019-
CUPRINS
INTRODUCERE
Tema aleasă pentru lucrarea de disertație se intitulează “Protecția și securitatea datelor la un site web” și tratează importanța protecției și securității datelor cu caracter personal atât în viața cotidiană cât și în cea profesională. Este o lucrare ce scoate în evidență importanța securității cibernetice.
Lucrarea “Protecția și securitatea datelor la un site web” reprezintă o [anonimizat], [anonimizat].
[anonimizat].
[anonimizat]-o etapă de permanentă dezvoltare; [anonimizat]. [anonimizat] a [anonimizat].
[anonimizat] a [anonimizat]. [anonimizat], [anonimizat], [anonimizat].
Lucrarea “Protecția și securitatea datelor la un site web” tratează importanța acestei teme și reprezintă un subiect de actualitate. Cercetarea asupra problematicii protecției și securității datelor și a obiectivelor de combatere urmărește realizarea unui peisaj real și complet asupra ritmului extrem de rapid de expansiune a Internetului în calitate de mediu de comitere a încălcării securității datelor dar și reinterpretarea modelului actual de abordare din punct de vedere informatic.
[anonimizat], o eră a Internetului presărată de evoluții tehnologice impresionante. Acestea permit colectarea și prelucrarea unui volum foarte mare de date cu caracter personal. [anonimizat], [anonimizat], lucrurile sunt complet diferite deoarece capacitatea de stocare a informațiilor aproape că nu are limită.
Dacă încercăm să o [anonimizat]-à-vis de viața privată. [anonimizat], iar biografiile digitale nu fac decât să crească gradul nostru de vulnerabilitate față de numeroase pericole ce ne înconjoară.
Atât dreptul la viața personală cât și dreptul la protecția și securitatea datelor cu caracter personal reprezintă cele mai importante drepturi fundamentale ale societății în care trăim.
Lucrarea de față realizează un studiu captivant referitor la protecția și securitatea datelor care are la bază site-ul creat în acest sens: https://www.webit.ro/ihr/ și atinge principalele obiective ale securității sistemelor informatice. De asemenea, analizează securitatea sistemului informatic, vulnerabilitățile sistemului informatic, amenințări asupra securității, politici de securitate, dar și semnături și certificate digitale. Însă, analiza de față este limitată deoarece complexitatea subiectului este vastă, am lăsat de o parte problemele care se referă la prelucrarea datelor cu caracter personal de către instituții și organe comunitare și am pus accent pe relatarea principalelor obiective atunci când accesăm un site și la ce riscuri ne supunem.
Lucrarea “Protecția și securitatea datelor la un site web” este structurată în opt capitole.
În capitolul unu “Crearea unui site-web” am prezentat pe scurt istoria Internetului și am explicat tehnologiile folosite în crearea unui site-web, cu referire la site-ul https://www.webit.ro/ihr/.
Capitolul al doilea se intitulează “Arhitectura site-ului https://www.webit.ro/ihr/ ” și se referă la arhitectura site-ului și meniurile în care acesta este structurat.
În capitolul al treilea “Amenințări asupra securității” am vorbit despre atacurile cibernetice într-un sistem informatic și am prezentat succint tipurile de amenințări.
Capitolul al patrulea “Protecția și securitatea datelor” cuprinde importanța și accentul pe care trebuie să-l punem atunci când vine vorba despre protecția datelor pentru că este o temă ce a luat mare amploare în ultimul timp și este un subiect din ce în ce mai controversat.
În capitolul cinci intitulat “Securitatea sistemului informatic” am vorbit, mai pe larg, de sistemul informatic securizat dar și ce presupune izolarea unui sistem informatic securizat.
În capitolul șase “Politici de securitate” am prezentat politicile de securitate ale unui sistem informatic.
Capitolul șapte “Vulnerabilități ale sistemelor informatice și recuperarea datelor” face referire la vulnerabilitatea unui sistem informatic și atacurile la care este supus un sistem informatic.
Cel din urmă capitol, capitolul opt este intitulat “Semnături și certificate digitale” reprezentând definiția semnăturilor și certificatelor digitale cât și modalitatea de utilizare a acestora.
Prin construirea site-ului https://www.webit.ro/ihr/ am încercat să respect și să reliefez cele mai importante aspecte din punct de vedere informatic la accesarea unui site-web.
CREAREA UNUI SITE WEB ȘI TEHNOLOGIILE FOLOSITE ÎN REALIZAREA ACESTUIA
Internetul, fără de care astăzi nu putem funcționa și de care depindem foarte mult, a luat ființă la jumătatea anilor 1960 sub forma ARPAnet – Advanced Research Projects Agency Net, o rețea între oricare două sau mai multe calculatoare din diverse instituții americane care lucrau pentru ARPA. ARPAnet a fost fondată de Pentagon și reprezintă punctul de pornire al rețelei Internet de astăzi.
Douăzeci de ani mai târziu, mai exact, în anul 1980, NSF (National Science Foundation) a reinventat modelul ARPAnet și l-a transformat într-o rețea modernă. Arhitectura a primit numele de Internet, la început, interconectând super-calculatoare guvernamentale, instituții academice sau centre de documentare. În următorii ani, Internetul s-a dezvoltat armonios, într-o manieră extraordinară.
În anii ’80, serviciile Internetului se rezumau la poșta electronică (e-mail), acces la grupurile de știri (usenet), conectare la distanță, dar și la transferul de fișiere (FTP). În perioada 1990-1991, apar două noi servicii: Archie, care era utilizat pentru căutarea fișierelor pe Internet și Gopher, care reprezenta o structură de meniuri ierarhizate menite să faciliteze organizarea documentelor pe Internet.
Unul dintre cele mai importante și totodată, de real succes servicii alte Internetului, World Wide Web sau pe scurt, Web, a fost creat la CERN – Centrul European de Cercetări Nucleare de la Geneva, în anul 1989, de către fizicienii Tim Berners-Lee, Robert Caillau și echipa lor. Scopul lor a fost să aibă acces mai ușor și mai rapid la informațiile tehnice ale manualelor de utilizare ale calculatorului.
Ziua de naștere oficială a WEB-ului este considerată a fi 12 noiembrie 1990. Programul Mosaic a contribuit la dezvoltarea ulterioară a sistemului sub meniul X Window, ușor de folosit, având facilități multimedia de la NCSA – Centrul Național pentru aplicațiile supercalculatoarelor, Universitatea Urbana-Champaign) fiind furnizat gratuit pe Internet în anul 1993.
Web-ul reprezintă un sistem de distribuție locală sau globală a informațiilor hipermedia. Dacă ne referim la aspectul tehnic, spațiul web ne oferă un sistem global și standardizat de comunicare multimedia, informațiile fiind distribuite în funcție de cererile utilizatorilor. Acestea funcționează conform modelului client-server.
Dacă ne referim la numărul foarte mare de servicii și produse web, vom afla că acesta este dat de utilizarea unui conținut informațional extrem de bogat: imagini, video și sunet. Combinarea și integrarea acestor medii nu formează altceva decât multimedia, aceasta fiind utilizată pe scară largă în reprezentarea și interschimbarea informațiilor.
Autoritățile responsabile de rețeaua Internet sunt:
Administrativ: ISOC (Internet SOCiety)
Tehnic: IETF (Internet Engineering and Task Force)
Furnizarea de IP-uri (adrese), informații și statistici: InterNIC
Serviciile de Internet sunt asigurate în România de Institutul Central de Informatică (ICI) și ROMTELECOM. Legătura dintre ICI și Internet este asigurată din fonduri guvernamentale, însă fiecare abonat suportă costurile liniei telefonice închiriate sau comutate, prin care se abonează la nodul ICI.
Crearea unui site web reprezintă o sarcină nu tocmai ușor de realizat, aceasta diferă în funcție de complexitatea site-ului vizat. Putem să creăm singuri site-ul web sau putem să apelăm la serviciile unui profesionist, un web-designer. Dacă alegem prima variantă, vom descoperi că, într-adevăr, reprezintă soluția cea mai ieftină, dar nu și cea mai eficientă deoarece implică anumite cunoștințe tehnice în domeniu. A doua variantă reprezintă updatarea în permanență a conținutului site-ului vizat, dar și modificarea designului după bunul plac.
Site-ul https://www.webit.ro/ihr/ este un site ce are ca scop prezentarea ofertei educaționale a Școlii Gimnaziale “Ion Heliade Rădulescu” și promovarea imaginii școlii.
În realizarea site-ului am ținut cont de următoarele obiective:
SCOP
Am creat site-web pentru Școala Gimnazială “Ion Heliade Rădulescu” pentru că îmi doream foarte mult ca școala să fie promovată și acest lucru nu se putea decât prin intermediul unui site, care să mă ajute să scot în evidență structura școlii, profilurile ei, cadrele didactice foarte bine pregătite, dar și baza materială.
AUDIENȚA
Audiența acestui site-web se referă la publicul țintă pentru care am realizat site-ul, adică părinți, elevi, cadre didactice, colegi de la alte școli, colegi de la inspectoratele școlare și oricine este interesat să devină parte din grupul nostru.
Analytics
Demographics: Age
Users 25-34 35-44 55-64 45-54 65+
Tabel 1.1. Statistică demografică privind vârsta celor care accesează site-ul web
ACCESIBILITATE
Am creat un site relativ simplu, dinamic, accesibil, adică orice persoană poate accesa cu ușurință site-ul, indiferent de browser-ul pe care îl folosește, de rezoluția ecranului, de dimensiunile acestuia sau de setările calculatorului.
00:02:22 50.94%
Tabel 1.2. Statistică privind setările browsere-ului de internet cu privire la limba folosită de utilizator
CONȚINUTUL
La crearea acestui site am ținut cont ca acesta să cât mai atractiv și mai dinamic, mai interesant, ușor de navigat la care publicul să aibă acces rapid la informațiile de care are nevoie.
În ceea ce privește tehnologiile folosite într-o aplicație web, acestea sunt, de obicei, acele limbaje de programare utilizate la crearea site-urilor web complexe și interactive. Conceptul care stă la baza acestor site-uri web presupune să cunoști cât mai bine limbaje de scripting sau de programare și baze de date.
De asemenea, tehnologiile web pot include o serie de limbaje de programare, de exemplu: PHP (Hypertext Preprocessor), JavaScript, ASP (Active Server Pages), dar și de baze de date, cum ar fi de exemplu: MySQL, MsSQL, Acces, Oracle etc.
În trecut, tehnologiile web erau folosite doar de marile companii din cauza costurilor extrem de mari ale licențelor programelor de dezvoltare, dar acum, orice persoană își poate permite realizarea unei aplicații web și asta datorită dezvoltării tot mai mari a soluțiilor Open Source. În programarea aplicațiilor web, se pot utiliza o serie de tehnologii, cum ar fi:
HTML (hypertext markup language) – a apărut la începutul anilor ’90 și a marcat dezvoltarea laborioasă a internetului; marcajele de tip html indică browser-ului cum să afișeze conținutul fișierului;
XHTML (Extensible hypertext markup language) – este un înlocuitor al limbajului HTML cu care se aseamănă foarte bine, dar este mult mai strict;
CSS (cascading style sheets) – este un fișier text având extensia “.css” care definește stiluri pentru paginile html;
JAVASCRIPT – este un limbaj de scripting dezvoltat la origine de Netscape; acesta permite să implementezi lucruri complexe pe paginile web, să creezi un conținut dinamic și să animezi imagini;
FLASH – este un mediu de lucru dezvoltat de compania Macromedia prin intermediul căruia se poate realiza un design de calitate și nu numai, un conținut interactiv sau animații profesionale;
MYSQL – este un sistem de gestiune a bazelor de date relaționale, fiind o componentă foarte importantă a limbajului PHP.
Site-urile web sunt de două tipuri:
Pagini statice – acestea sunt alcătuite din text, imagini și tag-uri HTML pentru formatare. Paginile statice sunt create și întreținute manual, asta înseamnă că dacă informațiile se modifică, se va modifica și pagina. Tot acest procedeu se referă la implicarea paginii într-un editor, se execută modificările necesare, se reformatează textul dacă este nevoie și abia apoi se salvează. Dacă numărul paginilor care au nevoie de actualizare sau modificare este mare, acest procedeu va dura foarte mult.
Paginile dinamice – acestea nu conțin așa mult text ca în cele statice. Paginile dinamice extrag informațiile de care au nevoie din alte aplicații și pot relaționa cu baze de date, foi de calcul tabelar și aplicații. Site-ul https://www.webit.ro/ihr/ este un site care are pagini dinamice.
<!DOCTYPE HTML>
2 <html class="" lang="ro-RO">
3 <head>
4 <meta charset="UTF-8">
5
6 <title>Școala Gimnazială I. H. Rădulescu</title>
7 <link rel='dns-prefetch' href='//bleeper.io' />
8 <link rel='dns-prefetch' href='//fonts.googleapis.com' />
9 <link rel='dns-prefetch' href='//s.w.org' />
10 <link rel="alternate" type="application/rss+xml" title="Școala Gimnazială I. H. Rădulescu » Flux"
href="https://www.webit.ro/ihr/feed/" />
11 <link rel="alternate" type="application/rss+xml" title="Școala Gimnazială I. H. Rădulescu » Flux
comentarii" href="https://www.webit.ro/ihr/comments/feed/" />
12 <meta name="viewport" content="width=device-width, initial-scale=1"><meta name="SKYPE_TOOLBAR"
content="SKYPE_TOOLBAR_PARSER_COMPATIBLE"><meta property="og:title" content="Home"><meta property="og:type"
content="website"><meta property="og:url" content="https://www.webit.ro/ihr/ihr/"><meta property="og:image"
content="https://www.webit.ro/ihr/wp-content/uploads/2019/02/slide0.jpg"> <script
type="text/javascript">
13 window._wpemojiSettings =
{"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/11\/72×72\/","ext":".png","svgUrl":"https:\/\/s.w.org\/im
ages\/core\/emoji\/11\/svg\/","svgExt":".svg","source":{"concatemoji":"https:\/\/www.webit.ro\/ihr\/wpincludes\/
js\/wp-emoji-release.min.js?ver=5.0.3"}};
15 </script>
16 <style type="text/css">
17 img.wp-smiley,
18 img.emoji {
19 display: inline !important;
20 border: none !important;
21 box-shadow: none !important;
22 height: 1em !important;
23 width: 1em !important;
24 margin: 0.07em !important;
25 vertical-align: -0.1em !important;
26 background: none !important;
27 padding: 0 !important;
28 }
29 </style>
30 <link rel='stylesheet' id='wplc-admin-style-emoji-css' href='https://bleeper.io/app/assets/wdt-emoji/wdtemoji-
bundle.css?ver=8.0.23' type='text/css' media='all' />
31 <link rel='stylesheet' id='wp-block-library-css' href='https://www.webit.ro/ihr/wp-includes/css/dist/blocklibrary/
style.min.css?ver=5.0.3' type='text/css' media='all' />
32 <link rel='stylesheet' id='cookie-law-info-css' href='https://www.webit.ro/ihr/wp-content/plugins/cookielaw-
info/public/css/cookie-law-info-public.css?ver=1.7.3' type='text/css' media='all' />
33 <link rel='stylesheet' id='cookie-law-info-gdpr-css' href='https://www.webit.ro/ihr/wpcontent/
plugins/cookie-law-info/public/css/cookie-law-info-gdpr.css?ver=1.7.3' type='text/css' media='all' />
40 <style id='wplc-style-inline-css' type='text/css'>
41 #wp-live-chat-header { background:url('https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
42 </style>
'https://www.webit.ro/ihr/wp-content/plugins/wp-livechat-
support/css/themes/modern.css?ver=8.0.23' type='text/css' media='all' />
44 <link rel='stylesheet' id='wplc-theme-position-css 'href='https://www.webit.ro/ihr/wp-content/plugins/wp4/
14/2019 view-source:https://www.webit.ro/ihr/view-source:https://www.webit.ro/ihr/ 2/12 live-chat-support/css/themes/position-bottom-right.css?ver=8.0.23' type='text/css' media='all' />
ver=5.0.3' type='text/css' media='all' />
46 'https://www.webit.ro/ihr/wpcontent/
plugins/wp-live-chat-support/css/wplc_gif_integration.css?ver=5.0.3' type='text/css' media='all' />
47 <link rel='stylesheet' id='us-
48 <link rel='stylesheet' id='us-style-css' href='//www.webit.ro/ihr/wpcontent/themes/Zephyr/css/style.min.css?ver=5.3' type='text/css' media='all' />
49 <link rel='stylesheet' id='us-responsive-css' href='//www.webit.ro/ihr/wpcontent/
themes/Zephyr/css/responsive.min.css?ver=5.3' type='text/css' media='all' />
50 <link rel='stylesheet' id='bsf-Defaults-css' href='https://www.webit.ro/ihr/wpcontent/
uploads/smile_fonts/Defaults/Defaults.css?ver=5.0.3' type='text/css' media='all' />
://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/jquery-cookie.js?ver=5.0.3'></script>
53 <script type='text/javascript'>
54 /* <![CDATA[ */
55 var wplc_datetime_format = {"date_format":"j.m.Y","time_format":"H:i"};
56 var wplc_use_node_server = "true";
57 var bleeper_api_key = "e578e55a7c325701b178d749135d8aea";
58 var bleeper_override_upload_url = "https:\/\/www.webit.ro\/ihr\/wpjson\/
wp_live_chat_support\/v1\/remote_upload";
59 var bleeper_pro_auth = "false";
60 /* ]]> */
61 </script>
62 <script type='text/javascript' src='https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/wplc_server.js?ver=8.0.23'></script>
63 <script type='text/javascript'>
64 /* <![CDATA[ */
65 var wplc_restapi_enabled = "1";
66 var wplc_restapi_token = "5aabb73498647017e8c0858d96060131";
67 var wplc_restapi_endpoint = "https:\/\/www.webit.ro\/ihr\/wp-json\/wp_live_chat_support\/v1";
68 var wplc_restapi_nonce = "ef9bb979b5";
69 var wplc_is_mobile = "false";
70 var wplc_ajaxurl = "https:\/\/www.webit.ro\/ihr\/wp-admin\/admin-ajax.php";
71 var wplc_ajaxurl_site = "https:\/\/www.webit.ro\/ihr\/wp-admin\/admin-ajax.php";
72 var wplc_nonce = "5fda3634d6";
73 var wplc_plugin_url = "https:\/\/www.webit.ro\/ihr\/wp-content\/plugins\/wp-live-chat-support\/";
74 var wplc_preload_images = ["https:\/\/www.webit.ro\/ihr\/wp-content\/plugins\/wp-live-chatsupport\/
images\/iconRetina.png","https:\/\/www.webit.ro\/ihr\/wp-content\/plugins\/wp-live-chatsupport\/
images\/iconCloseRetina.png"];
75 var wplc_show_chat_detail = {"name":"","avatar":"","date":"","time":""};
76 var wplc_agent_data = {"1":{"name":"ihadmin","md5":"9cdb69e8f5df5c79801a501ce260ce3c"}};
disconnected_message":"Disconnected, attempting to reconnect…"};
78 var wplc_enable_ding = "1";
79 var wplc_filter_run_override = "0";
80 var wplc_offline_msg = "Trimite\u021bi mesaj";
81 var wplc_offline_msg3 = "V\u0103 mul\u021bumim pentru feedback! V\u0103 vom contacta \u00een cur\u00e2nd";
82 var wplc_welcome_msg = "Asteapta un Administrator…";
83 var wplc_pro_sst1 = "Porneste discutia";
84 var wplc_pro_offline_btn_send = "Trimite\u021bi mesaj";
85 var wplc_user_default_visitor_name = "Vizitator";
86 var wplc_localized_string_is_typing = "agent is typing…";
87 var wplc_localized_string_is_typing_single = " is typing…";
88 var bleeper_localized_strings = [" has joined."," has left."," has ended the chat."," has disconnected.","
(edited)","Type here"];
89 var wplc_extra_data = {"object_switch":"1"};
90 var wplc_hide_chat = null;
91 /* ]]> */
92 </script>
'https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/wplc_u.js?ver=8.0.23'></script>
'https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/md5.js?ver=8.0.23'></script>
95 <script type='text/javascript' src='https://bleeper.io/app/assets/js/vendor/socket.io/socket.io.slim.js?
ver=8.0.23'></script>
96 <script type='text/javascript' src='https://bleeper.io/app/assets/wdt-emoji/wdt-emoji-concat.min.js?
ver=8.0.23'></script>
'https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/wplc_u_node_events.js?ver=8.0.23'></script>
98 <script type='text/javascript'>
99 /* <![CDATA[ */
100 var wplc_user_avatars = {"1":"\/\/www.gravatar.com\/avatar\/9cdb69e8f5df5c79801a501ce260ce3c"};
101 /* ]]> */
102 </script>
103 <script type='text/javascript' src='https://www.webit.ro/ihr/wp-content/plugins/wp-live-chatsupport/
js/themes/modern.js?ver=8.0.23'></script>
104 <script type='text/javascript'>
105 /* <![CDATA[ */
106 var Cli_Data = {"nn_cookie_ids":[],"cookielist":[]};
107 var log_object = {"ajax_url":"https:\/\/www.webit.ro\/ihr\/wp-admin\/admin-ajax.php"};
Site-ul-web https://www.webit.ro/ihr/ este responsive ceea ce îl face compatibil atât cu ecrane mari cât și cu dispozitive mobile (tablete, telefoane mobile).
Figura 1.3. Grafic acces site web în perioada Februarie – Aprilie 2019
Tabel 1.3. Statistică utilizatori, utilizatori noi, sesiuni și dispozitivele de pe care aceștia au accesat site-ul web
Conținutul unui site web reprezintă un element foarte important pentru motoarele de căutare. Dacă dorim să obținem o clasare cât mai bună, conținutul trebuie să fie definitoriu pentru că este cel mai important aspect în realizarea unui site web. Astfel, fiecare pagină web trebuie să conțină un titlu descriptiv și text, dacă există imagini, acestea trebuie să aibă descrierea imaginilor respective. Atât textele, tabele, liste, sunete, hărți de imagini, cadre cât și butoane sau casete de dialog sunt parte componentă dintr-un site web.
Figura 1.4. Statistică modalitate de acces a site-ului web (Cautare, Direct, Pagini sociale, Pagini care fac referire la site)
ARHITECTURA SITE-ULUI https://www.webit.ro/ihr/
Cele ce urmează este prezentarea site-ului: https://www.webit.ro/ihr/.
Site-ul https://www.webit.ro/ihr/ este construit pe platforma WordPress care permite administrarea cu ușurință a conținutului. Conținutul reprezintă o creație originală.
Grafica site-ului https://www.webit.ro/ihr/ a fost construită pornind de la identitatea vizuală (logo, culori) a Școlii Gimnaziale “Ion Heliade Rădulescu”.
Este structurat în șase secțiuni: “ACASĂ”, „PREZENTARE”, „PROFILURI”, „EVENIMENTE”, „ORAR” și „CONTACT”.
Site-ul se deschide cu secțiunea ACASĂ, care începe cu un slider de imagini în care acestea se rotesc automat și prezintă instantanee din viața în Școala Gimnazială “Ion Heliade Rădulescu”. De asemenea, această secțiune poate fi folosită pentru a anunța cele mai importante evenimente din viața școlii. Fiecare slide poate conține text și link către alte secțiuni ale site-ului. Imaginile din slider au fost alese cu atenție pentru a oferi site-ului un aspect armonios și plăcut.
Sub slider este mesajul de întâmpinare pentru utilizatori care conține câteva cuvinte îndreptate către cei care accesează pentru prima dată site-ul Școlii Gimnaziale „Ion Heliade Rădulescu” și pe care vrem să-i captivăm și să-i atragem să vizioneze și celelalte secțiuni ale site-ului.
Figura 2.5. Secțiunea Acasă
view-source:https://www.webit.ro/ihr/
view-source:https://www.webit.ro/ihr/ 1/18
1 <!DOCTYPE HTML>
2 <html class="" lang="ro-RO">
3 <head>
4 <meta charset="UTF-8">
5
6 <title>Școala Gimnazială I. H. Rădulescu</title>
7 <link rel='dns-prefetch' href='//bleeper.io' />
10 title="Școala Gimnazială I. H.
Rădulescu » Flux" href="https://www.webit.ro/ihr/feed/" />
11 title="Școala Gimnazială I. H.
Rădulescu » Flux comentarii" href="https://www.webit.ro/ihr/comments/feed/" />
SKYPE_TOOLBAR" content="SKYPE_TOOLBAR_PARSER_COMPATIBLE
="https://www.webit.ro/ihr/ihr/"><meta property="og:image"
content="https://www.webit.ro/ihr/wp-content/uploads/2019/02/slide0.jpg">
<script type="text/javascript">
window._wpemojiSettings =
{"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/11\/72×72\/","ext":".png","svgUrl":"https:\/\/s.w.org\/images\/core\/emoji\/11\/svg\/","svgExt":".svg","source":{"concatemoji":"https:\/\/www.webit.ro\/ihr\/wp-
includes\/js\/wp-emoji-release.min.js?ver=5.0.3"}};
!function(a,b,c){function d(a,b){var
c=String.fromCharCode;l.clearRect(0,0,k.width,k.height),l.fillText(c.apply(this,a),0,0);var
d=k.toDataURL();l.clearRect(0,0,k.width,k.height),l.fillText(c.apply(this,b),0,0);var e=k.toDataURL();return d===e}function e(a){var b;if(!l||!l.fillText)return!1;switch(l.textBaseline="top",l.font="600 32px Arial",a)
{case"flag":return!(b=d([55356,56826,55356,56819],[55356,56826,8203,55356,56819]))&&
(b=d([55356,57332,56128,56423,56128,56418,56128,56421,56128,56430,56128,56423,56128,56447],
[55356,57332,8203,56128,56423,8203,56128,56418,8203,56128,56421,8203,56128,56430,8203,56128,56423,8203,56128,56447]),!b);case"emoji":return b=d([55358,56760,9792,65039],
[55358,56760,8203,9792,65039]),!b}return!1}function f(a){var
c=b.createElement("script");c.src=a,c.defer=c.type="text/javascript",b.getElementsByTagName("head")[0].appendChild(c)}var
g,h,i,j,k=b.createElement("canvas"),l=k.getContext&&k.getContext("2d");for(j=Array("flag","emoji"),c.supports={everything:!0,everythingExceptFlag:!0},i=0;i<j.length;i++)c.supports[j[i]]=e(j[i]),c.supports.everything=c.supports.everything&&c.supports[j[i]],"flag"!==j[i]&&
(c.supports.everythingExceptFlag=c.supports.everythingExceptFlag&&c.supports[j[i]]);c.supports.everythingExceptFlag=c.supports.everythingExceptFlag&&!c.supports.flag,c.DOMReady=!1,c.readyCallback=function()
{c.DOMReady=!0},c.supports.everything||(h=function(){c.readyCallback()},b.addEventListener?
(b.addEventListener("DOMContentLoaded",h,!1),a.addEventListener("load",h,!1)): (a.attachEvent("onload",h),b.attachEvent("onreadystatechange",function() {"complete"===b.readyState&&c.readyCallback()})),g=c.source||{},g.concatemoji? f(g.concatemoji):g.wpemoji&&g.twemoji&&(f(g.twemoji),f(g.wpemoji)))} (window,document,window._wpemojiSettings);
</script>
<style type="text/css">
img.wp-smiley,
img.emoji {
display: inline !important;
border: none !important;
box-shadow: none !important;
height: 1em !important;
width: 1em !important;
margin: 0.07em !important;
vertical-align: -0.1em !important;
background: none !important;
padding: 0 !important;
</style>
Secțiunea PREZENTARE este mai stufoasă deoarece conține toate informațiile importante referitoare la Școala Gimnazială „Ion Heliade Rădulescu”. Pentru aceasta a fost nevoie să creez șase subsecțiuni astfel:
Viziunea și misiunea școlii:
Figura 2.6 Subsecțiunea Viziunea și misiunea școlii
Proiect de dezvoltare instituțională:
Figura 2.7. Subsecțiunea Proiect de dezvoltare instituțională
Conducerea Școlii Gimnaziale „Ion Heliade Rădulescu”:
Figura 2.8. Subsecțiunea Conducere
Profesori – cadrele didactice care predau la Școala Gimnazială „Ion Heliade Rădulescu”
Figura 2.9. Subsecțiunea Profesori
Baza materială a școlii
Figura 2.10. Subsecțiunea Baza materială
Galerie
Figura 2.11. Subsecțiunea Galerie
Secțiunea PROFILURI detaliază profilurile Școlii Gimnaziale „Ion Heliade Rădulescu”. În condițiile în care site-ul ar fi folosit ca site autentic al Școlii Gimnaziale „Ion Heliade Rădulescu”, propunerea mea este ca fiecare domeniu listat în această secțiune să conțină link către categoria cu același nume dintr-o zonă de Articole/Blog. Astfel elevii ar fi încurajați să-și povestească experiențele la orele de biologie, filologie sau științe ale naturii, acest exercițiu constituind o versiune digitală a „Revistei Școlii”.
Figura 2.12. Secțiunea Profiluri
<!DOCTYPE HTML> <html class="" lang="ro-RO"> <head> <meta charset="UTF-8"> <title>Profiluri – Școala Gimnazială I. H. Rădulescu</title><link rel='dns-prefetch' href='//bleeper.io' "Școala Gimnazială I. H. Rădulescu » Flux" href="https://www.webit.ro/ihr/feed/" title="Școala Gimnazială I. H. Rădulescu » Flux comentarii" href="https://www.webit.ro/ihr/comments/feed/" name="SKYPE_TOOLBAR" content="SKYPE_TOOLBAR_PARSER_COMPATIBLE content="Profiluri"><meta property="og:type" content="website"><meta property="og:url" content="https://www.webit.ro/ihr/ihr/profiluri/"><meta property="og:image" content="https://www.webit.ro/ihr/wp-content/uploads/2019/02/scoala-ih-radulescu.jpg"> "https:\/\/www.webit.ro\/ihr\/! id='wp-block-library-css' href='https://www.webit.ro/ihr/wp-includes/css/dist/block-library/style.min.css?ver=5.0.3' '></script><script type='text/javascript'
Secțiunea EVENIMENTE anunță evenimentele ce vor avea loc pe parcursul anului școlar 2018-2019. Este o secțiune dinamică în care se regăsesc evenimentele din perioada imediat următoare, la care pot participa atât elevii școlii împreună cu părinții lor, cât și persoane interesate de aceste activități. Această secțiune va fi actualizată în permanență, iar evenimentele trecute pot fi regăsite tot în zona de Articole/Blog, fiecare cu câte o recenzie, foto și video de la eveniment.
Figura 2.13. Secțiunea Evenimente
La secțiunea ORAR găsim orarul structurat pe cicluri, clasele I-IV, clasele V-VIII dar și orarul cadrelor didactice. Din nou, publicul țintă, elevi, părinți și cadre didactice, pot consulta oricând informațiile din această secțiune, având acces liber la informații pentru că ele sunt supuse publicului. De asemenea, am dorit să precizez faptul că atât orarul claselor I-V, claselor V-VIII dar și orarul cadrelor didactice, este valabil doar pentru anul școlar în curs, 2018-2019.
Figura 2.14. Secțiunea Orar
Această pagină este cea mai vizitată a site-ului, de aceea trebuie evidențiată printr-o imagine care apare alături de conținutul postărilor pe social media. Mai jos este un preview pentru postarea informațiilor pe Facebook:
Figura 2.15. Secțiunea Orar pentru Facebook
La secțiunea CONTACT aflăm toate informațiile necesare pentru a contacta Școala Gimnazială „Ion Heliade Rădulescu” precum adresa, numerele de telefon și fax sau adresa de e-mail. Este prezentă și o hartă bazată pe Google Maps, care facilitează găsirea locației. Utilizatorii pot folosi harta Google pentru a găsi cel mai rapid traseu către școală, folosind funcția de GPS a telefonului. Datele utilizatorilor care doresc să contacteze școala sunt preluate de formularul de contact și sunt trimise prin e-mail administratorului site-ului, numai după ce respectivii utilizatori își dau acordul pentru prelucrarea datelor de către școala, conform regulamentului UE 2016/679 (cunoscut și sub numele de GDPR), informații detaliate în paginile "Politica privind fișierele cookie" și "Politica de confidențialitate", ale căror link-uri se regăsesc în footer-ul site-ului. Aceste informații sunt stocate în baza de date a site-ului și sunt transmise prin email a administratorului site-ului sau unei alte persoane delegate.
Figura 2.16. Secțiunea Contact
La accesarea site-ului, vizitatorii sunt notificați despre Politica de cookie și Politica de confidențialitate, pagini ale căror link-uri se regăsesc și în footer, pentru a fi ușor accesibile, conform legislației în vigoare.
Figura 2.17. Politica cookie și Politica de confidențialitate
Politica de cookie
Politica de cookie se aplică tuturor persoanelor care accesează pagina de internet https://www.webit.ro/ihr/. Informațiile prezentate în această pagină se referă la informarea persoanelor în ceea ce privește plasarea, utilizarea și administrarea cookie-urilor de către administratorul site-ului.
Ca să dăm o definiție corectă, putem afirma că termenul de “cookie” se referă atât la modulul cookie cât și la tehnologiile asemănătoare prin care informațiile sunt colectate în mod automat.
Un “Internet cookie”, termen care mai este cunoscut și sub denumirea de “browser cookie” sau “cookie”, este un fișier de dimensiuni mici, este format și din litere și din numere și poate fi stocat pe calculator, pe terminale mobile (telefon sau tabletă) sau pe alte echipamente prin intermediul cărora o persoană are conexiune la Internet. Cookie-urile sunt instalate la solicitarea unui web-server către un browser și sunt formate din două părți: numele cookie-ului și conținutul acestuia.
În general, cookie-urile sunt utilizate pentru a asigura funcționalitatea optică a unui site-web dar și pentru a furniza utilizatorilor care accesează pagini de internet o experiență mai bună și mai rapidă de navigare.
Valabilitatea cookie-urilor variază, depinde foarte clar de scopul pentru care este plasat. Următoarele categorii de cookie-uri, prezentate mai jos, sunt cele care determină și durata de viață a acestora, după cum urmează:
Cookie de sesiune – această categorie de cookie este ștearsă automat atunci când utilizatorul își inchide browserul
Cookie-uri persistente sau fixe – această categorie de cookie se referă la un cookie care rămâne permanent stocat în terminalul utilizatorului până la data de expirare, această dată poate însemna câteva minute, zile sau chiar luni.
În ceea ce privește site-ul-web https://www.webit.ro/ihr/ au fost amplasate cookie-uri funcționale pentru că, prin acest tip de cookie-uri, sunt memorate preferințele utilizatorului. În momentul în care utilizatorul accesează din nou site-ul, setarea încă o dată a preferințelor nu mai este necesară.
Astfel, prin aceste cookie-uri care sunt plasate de WordPress se rețin următoarele: numele și prenumele, mesajul și subiectul în așa fel încât data viitoare toate aceste informații vor fi salvate.
Politica de confidențialitate:
Datele personale pe care utilizatorul le furnizează prin intermediul formularului disponibil pe site-ul-web https://www.webit.ro/ihr/ cu scopul de a accesa anumite servicii (de exemplu, pentru a se înregistra), dar și pentru oricare altă informație personală care are legătură cu utilizatorul și care să fie trimisă către https://www.webit.ro/ihr/ în scopul utilizării serviciilor web ale site-ului, vor fi introduse în baza de date a site-ului-web.
Din punct de vedere al optimizării pentru motoarele de căutare (SEO), site-ul dispune de:
Certificat SSL, accesul se face prin https, în mod secure
Paginile cu adrese (URL) și titlurile sunt optimizate conform conținutului
Conținutul în pagini este marcat structural de folosirea heading-urilor (H1, H2, H3 etc.)
Viteza de încărcare este ridicată datorită optimizării imaginilor, a minimizării codului, dar și a tehnologiei LiteSpeed care asigură livrarea paginilor din cache.
Figura 2.18. Statistică accesare site web în funcție de vârstași sexul utilizatorului
AMENINȚĂRI ASUPRA SECURITĂȚII
Tehnologia a devenit, în ultimii ani, din ce în ce mai complexă pentru viața de zi cu zi. De aceea, dispozitivele și componentele TIC sunt din ce în ce mai stufoase și interdependente, iar întreruperea uneia poate afecta funcționalitatea celorlate ceea ce poate duce la imposibilitatea finalizării task-ului. Astfel, analiștii din domeniul IT au ridicat problema în privința protejării acestor dispozitive și componente TIC în fața atacurilor cibernetice. Atacurile cibernetice se referă la acțiunile unor persoane neautorizate de a accesa sistemele informaționale cu scopul de a fura, distruge sau alte acțiuni ilegale.
Gestionarea riscului în ceea ce privește sistemele informatice este considerată esențială pentru asigurarea unei securități informatice eficiente. Riscurile aferente oricărui atac depind de trei factori: amenințările (cine atacă), vulnerabilitățile (punctele slabe pe care le atacă) și impactul (consecințele atacului).
Amenințările cibernetice provin de la persoane care efectuează, în mod intenționat, atacuri cibernetice cu scopul de a fura sau a distruge sistemele informționale. Atacatorii pot fi:
criminali care urmăresc obținerea de foloase materiale necuvenite precum furtul și extorcarea;
spioni care doresc să fure informații clasificate utilizate de entități guvernamentale sau private;
războinici la nivel guvernamental care realizează atacuri cibernetice în sprijinul obiectivelor strategice ale unei țări
Un atac reușit poate compromite întregul sistem TIC, de la confidențialitatea informațiilor până la integritatea sistemului TIC. Furtul sau spionajul cibernetic au ca și consecințe obținerea sau dezvăluirea unor informații personale, profesionale sau financiare, de cele mai multe ori, fără ca victima să fie conștientă de ce i s-a întâmplat.
Majoritatea atacurilor cibernetice au un impact destul de limitat, însă există atacuri de succes, reușite asupra anumitor componente ale infrastructurii critice care pot avea efecte impresionante asupra securității naționale, asupra economiei sau asupra siguranței cetățenilor. Pentru a reduce aceste riscuri este nevoie de eliminarea surselor de amenințare, abordarea vulnerabilităților și diminuarea impactului. În același timp, atacurile cibernetice pot fi destul de costisitoare atât pentru indivizi cât și pentru organizații. Impactul economic este greu de măsurat, estimările variind foarte mult.
Gestionarea riscurilor generate de atacurile cibernetice se referă la următoarele aspecte:
sursa amenințării trebuie obligatoriu eliminată;
vulnerabilitățile trebuie abordate prin întărirea activelor TIC (se pot utiliza patch-uri software sau instruirea angajaților dintr-o companie sau instituție);
impactul să fie cât mai redus prin atenuarea daunelor și restabilirea funcțiilor.
Pentru abordarea unor necesități bine stabilite este nevoie de conceperea unor acțiuni legislative și executive în domeniul securității cibernetice, cum ar fi prevenirea spionajelor cibernetice, diminuarea impactului atacurilor cibernetice reușite, dar și clarificarea responsabilităților agențiilor.
Tipuri de amenințări
Amenințările cibernetice reprezintă un aspect foarte important în domeniul securității cibernetice și totodată, ajung să fie un real impediment mai mult decât prezent în viața de zi cu zi. Nu degeaba, mulți specialiști se referă deja la “război cibernetic”, iar cel mai bun exemplu în acest caz este cel din Statele Unite ale Americii pentru că tratează conflictul ciberbetic ca fiind unul de tip terorist.
Ceea ce este foarte îngrijorător este faptul că numărul amenințărilor cibernetice din mediul online este în continuă creștere. Întotdeauna va exista lupta sau conflictul dintre atacatori și utilizatorii care sunt afectați de aceste atacuri. Astfel, atacatorii pot fura datele dintre rețelele locale interconectate cu atât mai mult cu cât această interconectare se face prin Internet, riscul fiind foarte mare.
Personalul de service, furnizorii și utilizatorii corupți reprezintă intrușii externi, o primă categorie de amenințări.
Personalul de service reprezintă una dintre categoriile cele mai periculoase pentru că atacatorii au acces în mod legitim la tehnici și resurse care nu sunt accesibile majorității utilizatorilor. Luând în calcul atribuțiile de serviciu ce revin personalului de service, și aici putem menționa back-up la baza de date, instalare patch-uri și update-uri, reparare, configurare echipamente de rețea și de calculatoare, acesta poate accesa, șterge sau chiar distruge datele existente ale unei companii sau instituții. În felul acesta, securitatea sistemului informatic devine șubredă și permite foarte ușor un atac din exterior.
Cei care vând și dezvoltă sistemele informatice sunt furnizorii. Aceștia pot avea acces la resursele acestora și un exemplu elocvent în acest sens este următorul: compania Microsoft poate să colecteze date despre programele instalate pe un calculator care rulează Windows fără ca un utilizator să realizeze acest lucru.
Și ultima categorie, utilizatorii corupți, sunt cei care au drept de acces la sistem, dar care pot să abuzeze de acest drept cu scopul de a afla informații care nu-i interesează sau care pot modifica datele în mod intenționat. De asemenea, ei pot să facă tot posibilul să-și mărească drepturile de acces la nivelul unei aplicații sau la nivelul sistemului de operare.
Pe de altă parte, și atacul din interiorul rețelei este la fel de periculos ca și cel din exteriorul rețelei deoarece utilizatorul are acces la numeroase resurse.
Drive-by exploits
Acest tip de amenințări, drive-by exploits, poate să scoată în evidență exploatarea automată a vulnerabilităților care există în software-ul instalat pe un calculator, fără a fi nevoie să comunice sau să interacționeze cu utilizatorul de drept.
Se poate lua în calcul și faptul că un atacator poate să realizeze un site special, un fel de fake website pentru a infecta pe utilizatorii care îl accesează. Astfel, atacatorul apelează la o strategie bazată pe e-mail-uri de tip spam pentru a-i determina pe utilizatori să îl acceseze. E-mail-urile de tip spam sunt mesaje trimise către destinatar dar care nu au fost solicitate și conțin link-uri către aceste site-uri ilegale.
Compromiterea website-urilor are la bază distribuția de malware prin exploit-uri de tip drive-by. Zi de zi, atacatorii țin sub control sute de site-uri web sau poate chiar mii din toată lumea, introducând un cod malițios în conținutul lor. De obicei, furtul datelor de autentificare reprezintă principala consecință sau victimă a acestui tip de amenințări.
În anul 2012, exploit-urile de tip drive-by s-au extins, s-au îndreptat și spre terminalele mobile. Dacă luăm în calcul rapoartele companiilor McAffe și FSecure vom afla ca în luna mai a anului 2012 au apărut aceste rapoarte pentru folosirea acestui instrument de către atacatori ca să poată exploata vulnerabilitățile și din sistemul de operare, de data aceasta, Android.
Viermi/Troieni
Este diferență între un virus informatic și un vierme informatic. Viermele informatic nu trebuie să fie atașat la un program existent și într-adevăr cauzează multe daune într-o rețea, spre deosebire de virușii informatici care modifică fișiere de pe calculatorul țintă.
În ceea ce privește troienii, aceștia apar sub forma unor programe perfect legitime, dar realitatea este cu totul alta, aceste programe sunt special create pentru a fura date strict confidențiale, strict secrete sau mai există posibilitatea ca ele să fie create cu scopul de a permite accesul la sistemul deja infectat unor utilizatori neautorizați. Conform ENISA Threat Landscape 2012 “troienii constituie marea majoritate a infecțiilor în proporție de 80%”. Acest lucru scoate la iveală faptul ca epidemia worm a fost cu mult depășită, oarecum a devenit istorie și a fost înlocuită de o adevărată invazie a troienilor.
Dacă ne referim la aria terminalelor mobile, putem aminti de un raport din cadrul F-Secure din anul 2012 care arată că amenințările reprezintă troieni în proporție de 84% ceea ce înseamnă că motivarea principală a atacatorilor este una exclusiv financiară. De asemenea, utilizatorul trebuie să fie extrem de perspicace cu privire la operarea în cadrul rețelelor de socializare: Facebook, Twitter ș.a. deoarece acestea sunt modalități prin intermediul cărora creatorii de malware pot să ajungă la ținta propusă.
Kit-uri de exploatare
Kit-uri de exploatare este o categorie care scoate în evidență software-urile automatizate ce ajută atacatorii în compromiterea sistemului de operare, acest lucru realizându-se prin exploatarea vulnerabilităților de tip client-side, mai ales a celor din browsere web sau aplicații care pot fi accesate prin intermediul site-urilor web și câteva exemple în acest sens sunt Adobe Reader, Flash, JRE etc. În acest caz, atacatorii sunt mai puțin experimentați, tocmai de aceea principala caracteristică a acestui exploit kit este reprezentată de ușurința cu care acesta poate fi utilizat, nu este nevoie ca persoana în cauză să aibă cunoștințe în domeniu.
Spam
Spam-urile sunt mesaje electronice nesolicitate. Caracterul lor este unul comercial care fac publicitate pentru diverse produse sau servicii. Spam-urile sunt folosite în speță de către industria e-marketingului, dar și de către proprietarii unor site-uri care au conținut indecent.
De cele mai multe ori, mesajele spam sunt trimise de pe calculatoare infectate cu troieni, care, la rândul lor, fac parte dintr-o rețea de calculatoare compromise și utilizate în mod intenționat pentru trimiterea de mesaje spam.
Mesajele spam nu conțin programe malițioase, dar includ atașamente care conțin astfel de programe malițioase, trimițând utilizatorii către pagini web periculoase, riscante.
Atacuri direcționate
Atacurile direcționate reprezintă un tip de amenințare care vizează ori o persoană ori o organizație. Scopurile acestui tip de amenințare sunt să colecteze date cu caracter personal și să compromită sistemele informatice țintă.
În mod general, un atac direcționat începe de la atacatorul care se informează prin intermediul unor tehnici de sistemul informatic vizat ca mai apoi să declanșeze atacul. De cele mai multe ori, acțiunile par să fie în regulă, nu trezesc suspiciuni pentru că par să vină din partea unei persoane autorizate.
Furt / Pierderi / Distrugere fizică
Acest tip de amenințare are toate șansele să devină una majoră deoarece atât laptopurile, telefoanele smartphone cât și tabletele au o mobilitate extrem de crescută. În acest caz, singurele soluții sunt backup-ul consistent și criptarea conținutului pentru că numai în aceste condiții se pot preveni pierderile de date sau divulgarea datelor confidețiale, secrete către persoane străine.
Scurgere de informații
Scurgerea de informații este un tip de amenințare care se referă la divulgarea, în mod intenționat sau nu, de informații către o persoană neautorizată. Dacă informațiile ajung la o persoană neautorizată, acestea sunt folosite pentru a porni un atac.
Putem menționa și faptul că scurgerea de informații poate să se efectueze în mod intenționat atunci când sunt instalate aplicații pe telefoanele mobile sau pe tablete fără ca utilizatorul să facă precizări clare asupra datelor la care aplicația are acces. În felul acesta, informații care se referă la geo-localizarea și/sau contactele dintr-o agendă telefonică sau tabletă pot fi folosite de atacatori în scopuri frauduloase.
Certificate digitale false
Certificatul digital fals este un tip de amenințare folosit de atacator în ceea ce privește semnarea digitală a resurselor precum site-uri web, aplicații, coduri-sursă etc. Certificatul digital fals este folosit de atacator în atacurile cibernetice cu scopul de a trece neobservat de utilizatorul final.
Certificatele digitale false sunt foarte des utilizate pentru a semna aplicații web rău intenționate de tip e-banking sau e-commerce, folosindu-se protocolul HTTPS.
Un certificat digital fals poate fi creat sau furat. Acest lucru se realizează prin exploatarea unor vulnerabilități ale sistemelor de tip Public Key Infrastructure (PKY) ale autorităților de certificare. Autoritățile de certificare emit certificate digitale pentru site-uri web securizate.
Atacatorii apelează la certificatele digitale false pentru a se implica în atacuri nedectabile de utilizatorii finali. Un certificat digital fals este văzut ca trusted de browser pentru că apare semnat de către o autoritate de certificare root, astfel browser-ul îl consideră de încredere, în mod invariabil.
Certificatul digital fals este un tip de amenințare folosit și pentru extragerea de date confidențiale prin intermediul tunelurilor SSL, care sunt sparte și se folosesc tehnici de tip „man în the middle”.
Ca și concluzii, dacă facem o analiză comparativă în ceea ce privește evoluția incidentelor de securitate cibernetică din anul 2012 și prima jumătate a anului 2013 de exemplu, vom sesiza evoluții impresionante referitoare la tipurile de amenințări.
Atacatorii cibernetici se află în situația de a folosi metode cât mai avansate de a implementa vectori de atac care sunt foarte greu de detectat și de neutralizat.
Telefoanele mobile și tabletele, de fapt tehnologia mobilă, vor fi din ce în ce mai exploatate de către atacatori. Amenințările deja cunoscute în mediul tradițional IT vor invada și tehnologia mobilă.
Dacă ne referim la ceea ce raporta ENISA în anul 2012, putem afirma că atacurile cibernetice au ajuns pe locul șase într-un clasament care menționează cauzele probabile ale întreruperilor survenite în infrastructurile de telecomunicații. Utilizatorii afectați din acest sector sunt în număr foarte mare.
PROTECȚIA ȘI SECURITATEA DATELOR
Securitatea sistemului informatic reprezintă una dintre componentele cele mai importante ale Internetului.
Orice organizație, companie, minister sau furnizor de Internet și comunicații are nevoie de securitate. Necesitatea imperioasă de protecție a datelor este dată de criticitatea sau confidențialitatea acestora. Cel mai important aspect este cel al funcționalității comunicațiilor, deci, este nevoie de o protecție adecvată și nu superficială. Sistemele informatice au nevoie de o protecție reală, nu este suficientă doar securizarea lor, nu este îndeajuns.
Când vorbim de securitate IT ne referim la tehnologie, procese, educație, cercetare. Dezvoltarea unui sistem de protecție trebuie realizată în mod organizat, care are la bază un buget foarte bine stabilit și care să fie dublată de dezvoltarea de competențe pentru utilizarea sa ulterioară.
În urmă cu câțiva ani, nivelul de conștientizare era extrem de scăzut la noi, numai companiile mari urmăreau conștiincios dezvoltarea de sisteme de protecție cât mai solide. În ultimul timp, însă, suntem martori la o informatizare pe scară largă a instituțiilor datorită avantajelor aduse de sistemele informatice. Astfel, putem afirma că colectarea, transmiterea, procesarea, stocarea, dar și recuperarea datelor se realizează mai rapid și mai ușor, cu o economie mai mare de spațiu aceasta ducând la câștigarea de timp și efort. De asemenea, sistemul informatic poate fi controlat mai bine, mai ales în ceea ce privește costurile.
Evident, ca în oricare situație, există un dezavantaj major referitor la securitatea datelor, aceasta devine mai greu de asigurat. Ceea ce este ingrijorător este faptul că un utilizator poate să aibă acces la unele date dintr-o companie de la distanță, fără să fie văzut sau să lase urme, nu este nevoie de prezența lui din punct de vedere fizic. Totodată, accesul la un volum mare de date într-un timp relativ scurt, dar și preluarea acestora, este mult mai ușurată. În același timp, se pot șterge și modifica date fără a se lăsa vreun indiciu în urmă. Și atunci, punem următoarele întrebări: Cum pot fi protejate datele dintr-un sistem informatic? Care sunt amenințările la adresa securității lor și cum pot fi ele măcar reduce dacă nu eliminate?
Scopul protecției datelor într-un sistem informatic este de a împiedica utilizarea lor în mod total neadecvat de către diverși utilizatori, fie că aparțin companiei care deține sistemul informatic fie că nu.
Glosarul Național de Securitate al Sitemelor Informaționale, publicat de National Security Telecommunications and Information Systems Security Committee (Comitetul Național de Securitate al Sistemelor Informaționale și de Telecomunicații) din cadrul guvernului federal SUA definește securitatea informațională astfel: “Protecția sistemelor informatice împotriva accesului neautorizat la informație sau a modificării neautorizate a informației, în cadrul stocării, procesării sau tranzitului, și împotriva refuzului deservirii utilizatorilor autorizați, sau asigurarea deservirii utilizatorilor autorizați, incluzând acele măsuri necesare pentru a detecta, documenta sau contracara aceste amenințări”.
Este bine să precizăm că securitatea informației nu va fi niciodată absolută, nimeni nu va putea elimina definitiv riscurile folosirii neautorizate a informației.
În mod cât se poate de general, principalele componente ale securității informației sunt: confidențialitatea, intregritatea și disponibilitatea. Dacă le luăm pe fiecare în parte, vom afla că confidențialitatea se referă la faptul că un anume set de informații este accesibil numai celor autorizați să aibă acces la ele. Confidențialitatea poate fi obținută prin numeroase procedee, cum ar fi: împiedicarea accesului la datele sau informațiile protejate, ascunderea informației sau a datelor și criptarea. Procedeul numit împiedicarea accesului la datele sau informațiile protejate determină ca această confidențialitate a datelor să fie dependentă de securitatea sistemului în întregime, fie că vorbim de un calculator sau de un server. Ascunderea informației sau a datelor este o formă de securitate prin obscuritate și funcționează în momentul în care presupusul atacator nu are suficiente cunoștințe în domeniul IT, sau, mai putem face referire și la faptul că nu dispune de uneltele necesare privind efectuarea unui atac. Criptarea este unul dintre mecanismele cele mai puternice de asigurare a confidențialității intervenind atunci când mecanismele de împiedicare a accesului la date au eșuat. Este recomandat să folosim și criptarea pentru că sistemele informatice sunt foarte complexe, atât din punct de vedere al hard-ului cât și al softului, așa se face că întotdeauna vor exista breșe în sistemele de restricționare a accesului. În momentul în care mecanismul de criptare al datelor este unul solid, atacatorul se va confrunta cu niște date pe care nu va ști să le utilizeze.
Dacă încercăm să dăm o definiție criptării, vom afla că este un procedeu de aducere a informației de la forma ei inițială la o formă neinteligibilă tocmai pentru ca aceasta să fie imposibil de citit fără cunoștințe de specialitate. Textul care se dorește a fi protejat se numește text în clar, iar rezultatul criptării se numește criptogramă. Decriptarea este exact procesul invers criptării, se recuperează texul în clar din textul cifrat.
Criptografia se folosește la securizarea comunicațiilor și are următoarele proprietăți: confidențialitatea, integritatea, autentificarea, nerepudierea și protecția la trimitere multiplă. Criptografia poate asigura mecanisme pentru a atinge toate cele enumerate mai sus.
Regulamentul privind prelucrarea datelor cu caracter personal și libera circulație a datelor
La nivelul Uniunii Europene, un aspect foarte important îl reprezintă protecția datelor cu caracter personal. Regulamentul (UE) 2016/679 cu privire la protecția persoanelor fizice referitoare la prelucrarea datelor cu caracter personal și libera circulație a datelor, a fost adoptat în data de 27 aprilie 2016 de către Parlamentul European și Consiliu, dar Directiva 94/46/CE – Regulamentul General privind protecția datelor – RGPD, a fost abrogată. Referindu-ne în continuare la Regulamentul (UE) 2016/679, putem afirma că acesta a intrat în vigoare pe data de 25 mai 2016. În toate statele din Uniunea Europeană, prevederile lui au fost aplicabile, deci, inclusiv în România și are caracter obligatoriu începând cu data de 25 mai 2018.
Asigurarea protecției datelor persoanelor într-un spațiu comunitar reprezintă reale preocupări, ele fiind elemente de bază și se referă la respectarea dreptului fundamental al unei persoane, care este garantat de capitolul II, Libertăți, art.8 din Carta Drepturilor Fundamentale a Uniunii Europene dar și art.16 al Tratatului Uniunii Europene.
Regulamentul privind protecția datelor cu caracter personal provoacă o multitudine de schimbări relevante în întărirea drepturilor garantate pentru persoanele ale căror date sunt prelucrate. În același timp, simplifică formalitățile administrative cu privire la operatorii care prelucrează date cu caracter pesonal, deci practic, vine în sprijinul lor. Faptul că extinde domeniul de aplicare și pentru operatorii de date cu caracter pesonal care nu sunt localizați pe domeniul Uniunii Europene înseamnă o altă schimbare foarte bună pe care Regulamentul o aduce în domeniu. Cu alte cuvinte, conferă operatorilor de date cu caracter personal posibila interacțiune cu o singură autoritate de supraveghere din statul în care sediul principal al său este decis.
În felul acesta, au fost stabilite anumite cerințe cu privire la:
obținerea informațiilor sintetizate având la bază scopul dar și temeiul legal pe baza cărora se prelucrează datele cu caracter personal;
stabilirea perioadei de stocare a datelor dar și drepturile de care beneficiază;
în mediul on-line, se poate vorbi de dreptul de a fi uitat, dar numai în acest mediu pentru că există o excepție în acest sens și anume în momentul în care este necesară pentru respectarea libertății de exprimare dar și a dreptului de informare etc.;
operatorul este obligat să demonstreze obținerea consimțământului cu privire la prelucrările de date cu caracter personal, aceasta fiind o cerință absolut obligatorie.
O altă schimbare majoră pe care Regulamentul privind protecția datelor cu caracter personal o aduce în sistem se referă la cooperarea între autoritățile de supraveghere referitoare la datele cu caracter personal și care au în vizor persoane din mai multe state membre ale Uniunii Europene. Acest aspect oferă competențe autorității de supraveghere din statul respectiv care, împreună cu celelalte autorități de supraveghere din celelalte state implicate, asigură faptul că datele sunt prelucrate în concordanță cu regulile și principiile stabilite de Regulamentul privind protecția datelor cu caracter personal. De asemenea, responsabilizarea revine operatorilor de date cu caracter personal prin întocmirea unui studiu de impact referitor la riscurile care sunt asociate cu prelucrarea datelor cu caracter personal, iar categoriile de date prelucrate sunt și ele clasificate.
Astfel, există planul de măsuri tehnice și organizatorice cu privire la prevenirea incidentelor care este stabilit de un management al riscurilor potrivit, dar și de o estimare relativ corectă a impactului asupra persoanei în cauză.
Iată ce presupune evaluarea impactului asupra protecției datelor:
prelucrarea datelor efectuate împreună cu scopurile acesteia trebuie să fie bine descrise;
trebuie să se evalueze necesitatea și proporționalitatea la prelucrarea de date efectuate;
trebuie să se estimeze riscurile cu privire la drepturile și libertățile persoanei în cauză.
Iată ce permite evaluarea impactului asupra protecției datelor cu caracter personal:
realizarea unui produs sau, în cazul nostru, unei prelucrări de date cu caracter personal care respectă întrutotul viața privată;
se poate demonstra faptul că principiile de bază ale Regulamentului privind protecția datelor cu caracter personal sunt întrutotul respectate.
Pentru a întări cele de mai sus, au fost introduse două concepte noi și anume: privacy by design și privacy by default. Principiul „confidențialitatea / protecția datelor prin proiectare” abordează confidențialitatea încă de la începutul implementării procesului de proiectare a sistemelor, lucru, de altfel, foarte important. Acest principiu este o strategie foarte bună și este preferată în comparație cu posibilitatea de adaptare a unui produs într-o etapă ulterioară.
În mod absolut obligatoriu, trebuie să menționăm care sunt principalele obligații pe care le au operatorii de date cu caracter personal din Regulamentul privind protecția datelor cu caracter personal 2016/679:
începând cu data de 25 mai 2018 este absolut obligatoriu ca orice instituție sau companie să desemneze un responsabil cu protecția datelor cu caracter personal, acest lucru fiind în concordanță cu dispozițiile articolelor 37-39 din Regulamentul General privind Protecția Datelor atunci când ne referim la o autoritate publică;
prelucrarea datelor cu caracter personal trebuie să fie cartografiată pentru că aceasta trebuie să fie inventariată, acest lucru fiind absolut necesar;
în momentul în care prelucrările de date cu caracter personal prezintă riscuri cu privire la drepturile și libertățile persoanei în cauză, trebuie scoasă în evidență prioritizarea acțiunilor de întreprins;
în mod obligatoriu, riscurile trebuie să fie gestionate și să se stabilească natura datelor, domeniul de aplicare și contextul;
de asemenea, trebuie diseminată informația privind elaborarea și organizarea unor proceduri interne cu scopul de a obține consimțământul și de a asigura respectarea protecției datelor cu caracter personal în orice clipă;
este necesară adoptarea unor măsuri tehnice și organizatorice potrivite cu privire la faptul că sunt prelucrate numai datele cu caracter personal necesare pentru fiecare scop specific în parte și nimic altceva.
Cadrul național în domeniul securității cibernetice
Având în vedere faptul că, de-a lungul timpului, au existat numeroase incidente cu privire la securitatea cibernetică și, luând în calcul și evoluția atacurilor cibernetice, s-a considerat că este absolut imperios necesar adoptarea unor politici și strategii la nivel internațional în domeniul securității cibernetice. Aceste strategii vin în întâmpinarea dezvoltării unor capabilități proprii fiecărei țări pentru a putea stopa atacurile cibernetice. Prin utilizarea acestor strategii se ajunge la dorința de a implementa anumite măsuri de securitate cu privire la protecția infrastructurilor cibernetice.
În figura de mai jos putem observa reprezentarea grafică pentru un chestionar privind cadrul legislativ național și de reglementare în domeniul securității cibernetice.
Figura 4.19. Chestionar privind cadrul legislativ național și de reglementare în domeniul securității cibernetice
I.C.Mihai, C.Ciuchi, G.M.Petrică – Provocări actuale în domeniul securității cibernetice – impact și contribuția României în domeniu, Institutul European din România, 2017
Strategia de securitate cibernetică a României
Strategia de securitate cibernetică a fost adoptată în România în anul 2013. La nivelul Uniunii Europene are o abordare comună, oferind un răspuns prompt cu privire la atacurile din spațiul cibernetic. În România, scopul acestei strategii este de definire și menținere a unui spațiu cibernetic cât mai sigur, având un grad de încredere foarte ridicat. De asemenea, Strategia de securitate cibernetică a României face referire la principiile și direcțiile importante cu scopul de a preveni și totodată combate vulnerabilitățile și amenințările la adresa securității cibernetice a țării noastre. În enunțurile ce urmează sunt enumerate principalele obiective ale Strategiei de securitate cibernetică a României:
cadrul normativ este adaptat la noile amenințări care există în spațiul cibernetic;
cerințele minime privind securitatea sunt aplicate pentru a putea proteja infrastructurile cibernetice la nivel național;
au fost organizate, la nivel național, campanii de informare și conștientizare a populației cu referire la amenințările și riscurile care există în spațiul cbernetic;
s-au pus bazele dezvoltării cooperării dintre spațiul public și cel privat atât la nivel național cât și la nivel international.
Politica Strategiei de securitate cibernetică a României pune accent pe asigurarea securității cibernetice la nivel național, dar cu stricta respectare atât a Strategiei naționale de apărare cât și a Strategiei naționale de protecție a infrastructurilor critice.
În încercarea da asigura un climat optim cu privire la starea de normalitate în spațiul cibernetic al României, Strategia de securitate cibernetică are la bază următoarele direcții:
s-a avut în vedere stabilirea unui cadru organizatoric, dar și de acțiune pentru a se putea asigura securitatea cibernetică. În felul acesta, s-a constituit Sistemul Național de Securitate Cibernetică, s-a stabilit un număr minim de cerințe de securitate în ceea ce privește infrastructurile cibernetice la nivel național și s-a urmărit îndeaproape cooperarea dintre sectorul public și sectorul privat cu scopul de a face schimb de informații în domeniul securității cibernetice;
s-au pus bazele dezvoltării atât a capacității de management al riscului cât și capacității de reacție la incidentele cibernetice la nivel național. Acest lucru a fost posibil prin implementarea unui mecanism de avertizare și de alertă în cazul atacurilor cibernetice, prin faptul că structurile de tip CERT au fost dezvoltate dar și prin faptul că s-a pus accent pe sporirea activităților de dezvoltare și cercetare în domeniu;
metodele de securitate în domeniul cibernetic au fost promovate, un aspect de altfel foarte important pentru că au fost inițiate și derulate programe de conștientizare a populației cu privire la atacurile cibernetice și aici putem aduce în discuție vulnerabilitățile, amenințările și riscurile prezente tot mai mult și mai des în spațiul on-line. De asemenea, s-a pus accent și pe formarea profesională a persoanelor care lucrează în acest domeniu dar și pe inițierea unor programe educaționale cu privire la utilizarea corectă a echipamentelor de tehnică de calcul.
Sistemul Național de Securitate Cibernetică, pe scurt SNSC, a reușit să aducă împreună autorități și instituții publice cu scopul de a coordona acțiuni la nivel național pentru a se asigura securitatea spațiului cibernetic în termeni cât mai corecți. Sistemul Național de Securitate Cibernetică acționează pe următoarele componente enumerate mai jos:
componenta de recunoaștere este cea care oferă sprijin privind elaborarea măsurilor proactive și reactive pentru asigurarea optimă a securității cibernetice;
componenta de prevenire este cea care contribuie atât la crearea cât și la dezvoltarea capabilităților de care analiza și prognoza evoluției stării securității cibernetice are nevoie și de care depinde în mod invariabil;
componenta de cooperare și coordonare este cea care asigură mecanismul să fie unitar și eficient cu privire la relaționarea în cadrul sistemului național de securitate cibernetică;
componenta de contracarare este cea care ajută la asigurarea unei reacții sănătoase și eficiente în ceea ce privește amenințările cibernetice.
Autoritatea care coordonează și sprijină actvitatea Sistemului Național de Securitate Cibernetică, din punct de vedere strategic, este Consiliul Suprem de Apărare a Țării. Instituția sub denumirea Consiliul Operativ de Securitate Cibernetică, pe scurt COSC, este instituția prin care se realizează coordonarea unitară a acestuia. Consiliul Operativ de Securitate Cibernetică cuprinde mai multe ramuri, iar acestea sunt: Ministerul Apărării Naționale (MapN), Ministerul Afacerilor Interne (MAI), Ministerul Afacerilor Externe (MAE), Ministerul Comunicațiilor și Societății Informaționale (MCSI), Serviciul Român de Informații (SRI), Serviciul de Telecomunicații Speciale (STS), Serviciul de Informații Externe (SIE), Serviciul de Protecție și Pază (SPP), Oficiul Registrului Național pentru Informații Secrete de Stat (ORNISS), dar și secretarul Consiliului Suprem de Apărare a Țării.
Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice
Pe data de 3 octombrie 2017 a fost lansat, în dezbatere publică, de către Ministerul Comunicațiilor și Societății Informaționale, Proiectul de Lege în ceea ce privește asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor infomatice. Acest Proiect de Lege exprimă dorința cu privire la adoptarea unui set de norme care să vină în sprijinul constituirii unui cadru național unitar de asigurare a securității cibernetice.
Proiectul de Lege are la bază următoarele reglementări:
se are în vedere cadrul de cooperare la nivel național și cadrul de participare atât la nivel european cât și la nivel internațional în ceea ce privește asigurarea rețelelor și sistemelor informatice;
se face referire la reglementarea competențelor și responsabilităților care aparțin autorităților și entităților de drept public și privat privind aplicarea prevederilor prezentei legi.
Proiectul de Lege vine cu o propunere în ceea ce privește autoritatea competentă la nivel național, a punctului unic și a echipei CSIRT (Centrul Național de Răspuns la Incidente de Securitate Cibernetică) și anume, acestea să se dezvolte în cadrul CERT-RO. Pentru a se asigura un nivel optim de securitate a rețelelor și sistemelor informatice, CERT-RO ia legătura sau cooperează cu Serviciul Român de Informații, Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național pentru Informații Secrete de Stat, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază. În privința domeniului de aplicare, proiectul vine în sprijinul operatorilor de servicii esențiale pe care le și definește. Pentru a identifica aceste servicii esențiale și operatori de servicii esențiale sunt vizate următoarele compartimente cum ar fi: în primul rând sectorul bancar, apoi sectorul sănătății, cel al energiei, al transporturilor ș.a.m.d. Ceea ce propune proiectul de lege este constituirea unui Registru al operatorilor de servicii esențiale, care să fie actualizat o dată la doi ani de către CERT-RO.
De asemenea, stimularea dezvoltării pieței de securitate cibernetică reprezintă o temă propusă tot în acest proiect de act normativ. Astfel, au fost nuanțate cerințele în ceea ce privește piața de audit de securitate pentru rețelele și sistemele operatorilor și furnizorilor în cauză.
Pentru ca România să îndeplinească obiectivele de asigurare a securității naționale este nevoie de adoptarea unui set de norme pentru a regla cadrul național unitar de asigurare a securității cibernetice.
SECURITATEA SISTEMULUI INFORMATIC
Totalitatea echipamentelor, programelor, componentelor fizice realizate prin soft, dar și totalitatea mecanismelor procedurale care au ca scop asigurarea securității prelucrării datelor formează întregul sistem informatic de încredere.
Când vorbim de o bază informatică de încredere ne putem referi la Centrul de Apărare a Securității Calculatoarelor al Agenției Naționale din SUA care a relatat câteva precizări în acest sens. Acesta a stabilit anumite clase de evaluare pentru ca produsele de realizare a securității sistemelor informatice să poată fi încadrate numai după ce sunt supuse unor teste de specialitate. Așa se face că au fost definite în total patru clase, de la D la A, dar și câteva subclase, cum ar fi de exemplu, A1 și A2. Clasa D este cea mai de jos clasă, iar în cadrul claselor, un sistem sigur indică numerele mai mari.
Clasele și subclasele sunt menționate mai jos:
D. Nesigure sau neeevaluate;
C. Pot să asigure controlul accesului discreționar;
-C1 -se referă la un sistem comercial de apărare care poate să asigure separarea fazelor de execuție ale sistemului față de fazele de execuție ale utilizatorilor obișnuiți.
-C2 -se referă la absolut orice sistem comercial de operare care este dublat de un pachet suplimentar tocmai pentru a putea asigura securitatea.
B. Poate să realizeze controlul obligatoriu al accesului și aici, putem menționa și subclasele de mai jos:
-B1 -ca să corespundă unei anumite categorii de securitate, informațiile trebuie să fie etichetate;
-B2 -se referă strict la securitatea organică. Ca să asigure o securitate obligatorie, echipamentele și softul sunt concepute și realizate exact în acest sens;
-B3 -este o subclasă care se referă la domeniile de securitate. Este absolut identică cu B2, singura diferență constând în faptul că este mai bună prin extinderea componentelor cărora, oricum, le este asigurată securitatea.
A. Este clasa la care securitatea este verificată, aici măsurile de securitate sunt consemnate și aprobate ca fiind eficiente.
-A1 -este subclasa care se referă la verificarea proiectării;
-A2 – este subclasa care se referă la verificarea implementării. Dacă subclasa A1 reprezintă controlul codurilor-sursă din programele de sistem cu funcții de securitate, în subclasa A2 sunt luate în calcul programele de sistem executabile. Se are în vedere dacă programele de sistem executabile coincid cu codul-sursă verificat.
Izolarea sistemelor informatice
Obiectivul principal în izolarea sistemelor informatice constă în adoptarea unor măsuri menite să prevină posibilitatea utilizatorilor de a modifica unele schimbări în condițiile lor de execuție, de a scoate în evidență statutul celorlați utilizatori ai programului sau de a controla datele altora.
Pentru atingerea acestor obiective este nevoie ca adresa de program a utilizatorului, numele programatorului, conținutul registrelor sau datele prelucrate să fie protejate împotriva utilizării lor neautorizate.
Din punct de vedere al izolării lui, un sistem informatic este considerat asigurat dacă îndeplinește două condiții:
Este nevoie de un anumit mod de asigurare a securității prelucrării pentru a departaja sistemul de utilizatori neautorizați;
Este nevoie, de asemenea, de strategii de apărare care să izoleze utilizatorii între ei de sistemul de operare a calculatorului. În mod excepțional și obligatoriu, trebuie să fie izolați utilizatorii care prelucrează date care aparțin unor categorii speciale.
Există cel puțin șase strategii de izolare care sunt, în mare parte, de aplicat, însă ele pot fi în număr mult mai mare. Putem enumera câteva dintre ele:
Selectarea modului de prelucrare;
Izolarea temporară;
Izolarea spațială;
Izolarea care este realizată prin caracteristicile arhitecturii sistemului;
Izolarea criptografică;
Restricții la privilegiile sistemului.
Selectarea modului de prelucrare – înseamnă că gradul de izolare a sistemului este în mod evident influențat în momentul în care prelucrarea se efectuează în mod local de către unul sau mai mulți utilizatori simultan.
Izolarea temporară – de obicei, se aplică în cazul prelucrărilor speciale, însă, mai poate fi utilizată și în modul multiprogramare asupra terminalelor care intră sau care ies dintr-o rețea. Acest lucru se realizează în conformitate cu un calendar care se intocmește pe baza principiului „trebuie să știe”, dar, ținând cont și de categoria datelor.
Izolarea spațială – se realizează prin izolarea componentelor de prelucrare față de un utilizator.
Arhitectura sistemului – facilitează multiprogramarea și contribuie la izolarea utilizatorilor atât față de sistemul de operare cât și față de ei inșiși. Este nevoie de acest lucru pentru că, în felul acesta, se asigură prelucrarea datelor secrete pe niveluri de securitate.
Izolarea criptografică – este folosită pentru a realiza izolarea prelucrărilor de la distanță față de utilizatorii neautorizați în situația în care liniile de comunicație depășesc limita de securitate. Izolarea criptografică se mai folosește și în situația în care se dorește izolarea utilizatorilor din sistem, mai ales atunci când utilizatorii au niveluri diferite de responsabilitate în ceea ce privește securitatea.
Restricțiile de privilegiu – se referă la un mod diferit de identificare a utilizatorilor programatori față de utilizatorii neprogramatori.
Controlul accesului sistemelor informatice
Un factor de decizie este conducerea atunci când ne referim la controlul accesului la sistemele de prelucrare automată a datelor. Managerului unei companii sau instituții îi revine responsabilitatea definirii informațiilor care se doresc a fi sub control, managerul hotărăște cine să efectueze, prin ce persoane și tot el hotărăște în ce condiții se atribuie drepturi speciale de control dar și modalitatea prin care acestea să fie revocate. De obicei, managerul unei companii sau instituții va delega această responsabilitate pe linie ierarhică, adică spre managerii sau mai bine zis șefii de compartimente și/sau administratori, după caz.
De obicei, controlul accesului se realizează prin tabele de autorizare, liste de control al accesului sau profilurilor de securitate.
Tabelele de autorizare se mai numesc și tabele de securitate. Ele fac parte din sistemul de operare împreună cu alte programe de control. Aceste tabele de autorizare sunt foarte importante pentru că au un nivel de protecție aproape la fel cu programele de control cele mai bine protejate și numai anumiți specialiști se ocupă de ele, asta pe de o parte, și pe de altă parte, utilizatorii trebuie să cunoască faptul că acestea trebuie să reflecte ceva aproximativ la fel listelor de control al accesului la valorile firmei în care datele sunt prelucrate manual.
Listele de control al accesului. Lista de control a accesului pentru fiecare program în parte executat pe calculator trebuie să fie actualizată permanent de persoana responsabilă cu securitatea sistemului informatic. Acest lucru este valabil în egală măsură și pentru fiecare fișier de date. Ele trebuie să facă referire la următoarele:
Elementele de identificare a unor valori patrimoniale;
Fiecare utilizator trebuie să fie identificat în mod obligatoriu;
Permisiunea fiecărui utilizator să se facă cu o anume valoare patrimonială.
Profilurile de securitate. De profilurile de securitate se ocupă responsabilul cu securitatea pentru fiecare utilizator autorizat în parte. Există patru elemente care definesc profilul de securitate. Acestea sunt:
Identificarea utilizatorului;
Toate proiectele pe utilizatorii pe care le posedă să fie identificate;
Toate categoriile în care se încadrează utilizatorii să fie identificate;
Toate fișierele la care utilizatorii au acces să fie identificate, dar să se și specifice ce anume se poate efectua asupra lor și ce nu.
Atât noțiunea de ”proiect” cât și cea de „categorie” la care se face referire mai sus au același statut precum utilizatorii, astfel încât să aibă și ele profilul lor. În situația în care un utilizator intră în contact cu calculatorul de la un terminal conversațional, se impune în mod obligatoriu operațiunea de certificare a identității, parola fiind informația necesară pentru identificare. Parolele sunt absolut necesare și sunt folosite pentru a permite accesul în sistemele de calcul. Nu este de ignorat faptul că parolele ar putea fi folosite și în viitor pentru a putea accesa înregistrările și câmpurile acestora, condiția obligatorie fiind ca acestea să fie atât eficiente cât și ieftine.
În general, parola trebuie să facă parte dintr-o listă de parole pentru ca accesul în sistem să fie permis.
De asemenea, trebuie stabilite criterii de condiționare a accesului local sau a celui la distanță, dar și a celui intern (memorie primară, memorie secundară, suporturi externe etc.)
În momentul în care accesul a fost autorizat, este extrem de important ca să se obțină un privilegiu de acces, folosindu-se coduri speciale care trebuie să fie consemnate în tabelele de autorizare.
Detecția amenințărilor și supravegherea sistemului
Afirmația referitoare la faptul că fraudele din mediul informatic pot fi detectate este destul de suspectă. Preocuparea cu privire la amenințările sistemului, analiza unor tendințe sau cercetarea incidentelor înregistrate reprezintă niște argumente în aceste sens.
Urmărirea amenințărilor
În mod normal, toate sistemele informatice au o anumită capacitate de înregistrare a tentativelor de atac într-un format intern. Ele trebuie supuse apoi unor examinări drastice iar informațiile principale trebuie să fie reconstituite în urma a ceea ce s-a înregistrat în formatul intern. Pentru că nu este tocmai ușor să identifici ce reprezintă o amenințare și ce nu, toate operațiunile în acest sens, pot afecta securitatea sistemului informatic, de aceea acestea trebuie să fie înregistrate. În această situație ne referim la intrările în sesiunile de lucru, solicitările de fișiere sau nu în ultimul rând, la tranzacțiile de la terminale.
În momentul în care operațiunile cu privire la securitatea sistemului informatic sunt automat înregistrate de către sistemele de prelucrare automată a datelor, registrul trebuie să fie obligatoriu protejat împotriva vreunui utilizator neautorizat. Acest lucru se poate realiza prin intermediul discurilor optice de tip WORM, care sunt efectiv imposibil de modificat. Datele speciale se înregistrează pe aceste discuri. Mai există și alte variante pe care se pot înregistra aceste date speciale, cum ar fi utilizarea unor benzi magnetice pe care se poate scrie, sau utilizarea unui calculator cu rol special.
Referindu-ne la recunoașterea eventualelor amenințări, există șase condiții pe care un sistem informatic trebuie să le poată depista. Câteva dintre ele sunt enumerate mai jos:
Încercarea, fără succes, de a intra în dialog cu sistemul informatic;
Încercarea de a obține acces neautorizat la fișierele care conțin date speciale;
Încercarea de a utiliza, în mod neadecvat sau impropriu, instrucțiuni sau seturi de instrucțiuni privilegiate.
În momentul în care sistemul informatic își dă seama că condițiile de depășire a securității lui sunt recunoscute, obligatoriu, el trebuie să poată identifica terminalul de la care s-a înregistrat tentativa de furt dar și categoria în care se încadrează infracțiunea.
De asemenea, la fel de obligatoriu, sistemul informatic va trebui să fie capabil să dezvăluie identitatea utilizatorului care încearcă să pătrundă în sistemul de securitate, data și ora la care s-a încercat violarea sistemului informatic dar și care fișier anume a fost ținta atacului.
De obicei, există zece tipuri de violări ale sistemului de securitate care se au în vedere, iar acestea sunt:
Încercarea deschiderii sesiunii de lucru a sistemului pentru a treia tentativă eșuată;
În situația în care se primește răspuns eronat la cererea de reautentificare a utilizatorului;
Atunci când instrucțiunile privilegiate sunt folosite în mod eronat;
În momentul în care utilizatorul a deschis sesiunea de lucru dar s-a depășit spațiul de memorie alocat acestuia;
Încercarea de utilizare neautorizată a fișierelor cu date secrete;
Defectarea mecanismelor de protecție;
Imposibilitatea sistemului informatic de a incheia cu succes verificarea tuturor programelor dintr-un sistem;
Imposibilitatea de a verifica tabelele de securitate ale sistemului;
Încercarea eronată de a introduce un nivel mai mare al stării de exploatare privilegiată.
Analiza tendințelor
Media sau valoarea așteptată reprezintă parametri statici principali ai timpului scurs între incidente. Există patru căi prin care se pot obține datele supuse analizei, adică:
Sistemul are registre ale componentelor de supraveghere ale acestuia;
Sunt confirmate prin semnături date consemnate în documentele întocmite în manualul aferent acestei activități;
Modalitatea de utilizare a resurselor sistemului prin intermediul înregistrărilor contabile;
Date referitoare la funcționalitatea sistemului.
Dacă ne referim la calculele care sunt de efectuate, vom observa că media se referă la însumarea valorilor observate și împărțirea acestei valori tocmai obținute la numărul valorilor observate.
Există cinci clase de deviații care pot fi descoperite prin instrumentele statistice, enumerate mai jos:
Activitatea sistemului ca un întreg;
Activitățile utilizatorilor;
Activitatea unor anume feluri de terminale;
Operațiunile cu privire la fișiere care conțin date secrete;
Operațiuni referitoare la utilizarea unor programe cu regim special.
Valorile obținute pot fi reprezentate grafic și, cu această ocazie, se pot constata câteva discrepanțe cu privire la:
Timpul efectiv dintre două reparații ale sistemului informatic;
Timpul efectiv parcurs tot dintre două încercări eșuate de a intra în sistem;
Timpul dintre întreruperi;
Timpul consumat între erorile de comunicație.
Există sisteme care au capacitatea de a-și măsura randamentul ceea ce înseamnă că timpul folosit în mod productiv se raportează la timpul folosit în mod neproductiv al sistemului. Dacă randamentul nu mai dă roade, aceasta poate să constituie un adevărat semnal de alarmă strict cu privire la securitatea sistemului.
Numărul de lucrări neefectuate într-o perioadă de timp este foarte important deoarece reiese ori proasta funcționare a sistemului ori utilizarea eronată a lui cu intenția de a avea acces la fișierele secrete ale companiei sau ale instituției.
Au fost realizate așa-zisele profiluri ale violatorilor de sistem pentru a avea o oarecare controlabilitate, cât de cât ușoară a sistemului. Profilurile au fost realizate evident pe utilizatori, pe tipuri de utilizatori dar și pe cele mai importante lucrări din sistem.
Profilul unui singur utilizator scoate în evidență unele aspecte cu privire la descoperirea vinovatului și se referă strict la înregistrarea codului de identificare al utilizatorului și felul lui.
Tipurile utilizatorilor trebuie neapărat să fie surprinse prin profiluri total diferențiate deoarece posibilitățile de a greși sunt direct proporționale cu gradul de utilizare al sistemului. Trebuie să menționăm faptul că numărul atacurilor prin parole pe parcursul unei zile poate să se mărească din cauza neschimbării la termen a parolelor.
Investigarea
Când vorbim de investigare este obligatoriu să luăm în considerare atât numărul mare de violări ale sistemului, cât și numărul mic pentru că acestea trebuie să fie supuse investigării. Există douăzeci de cazuri care pot constitui motive de investigare, iar acestea au legătură strict cu persoana responsabilă cu securitatea sistemului informatic. Enumerăm câteva dintre ele:
Compromiterea infomațiilor cu regim special ale companiei sau instituției;
Încercări de accesare a înregistrărilor sau folosire a unor parole deja expirate;
Folosirea neautorizată a sistemului de control al accesului;
Atenționarea, în mod repetat, a beneficiarilor cu privire la facturile de plată foarte mari a serviciilor de prelucrare automată a datelor.
POLITICI DE SECURITATE
Orice companie care are ca scop protejarea valorilor informaționale este obligată să ia în calcul o modalitate cât se poate de logică de protejare a acestora. Trebuie să se gândească la recomandările legale deoarece va analiza atât pericolele interne și externe cât și metodele eficiente de contracarare, de prevenire.
În momentul în care vorbim despre politicile de securitate trebuie să facem referire la managerii unei instituții pentru că de acolo pornește totul. Ei sunt cumva obligați sau mai bine zis îndreptățiți să formuleze Declarația politicii organizației din care trebuie să iasă în evidență mai multe aspecte: resursele informaționale care sunt cele mai importante pentru a atinge obiectivele companiei, tehnologiile informaționale care beneficiază de tot sprijinul cuvenit în companie.
Modele de politici de securitate
O definiție cu privire la politicile de securitate nu este tocmai ușor de oferit din cauza faptului că sistemul militar de clasificare a fost preluat ca și model de domenii civile, adică politic, economic, medical etc.
Informațiile sunt grupate în două mari categorii: cele clasificate, și aici ne referim la cele confidențiale, secrete și cele neclasificate, aici ne referim strict la cele publice. Cei care au mai introdus o categorie au fost britanicii și anume categoria informațiilor restricționate, aflate între informațiile neclasificate și informațiile confidențiale. Putem aminti și de exemplul din SUA pentru că și în SUA a existat acest nivel, dar, pentru că legea privind accesul liber la informații a fost promulgată, acesta a dispărut.
Modele de securitate multinivel
Când vorbim din perspectiva securității, ne referim la faptul că un sistem este impărțit în mai multe straturi, prin linii orizontale, astfel putem face referire la securitate pe mai multe nivele sau mai bine zis nivele multiple – multinivel ceea ce înseamnă că va exista o delimitare clară între două sau mai multe categorii de informații din sistem: publice, confidențiale, secrete sau strict secrete. Este o nevoie absolut imperioasă de această delimitare pentru că, în felul acesta, se asigură exactitatea accesării informațiilor dintr-o clasificare numai de către persoanele autorizate să facă acest lucru, doar o persoană autorizată poate accesa un document sau o informație numai dacă autorizarea sa este egală sau mai mare cu nivelul de clasificare al informațiilor accesate. Astfel, informațiile vor circula numai de jos în sus, adică de la nivelul CONFIDENȚIAL la nivelul SECRET sau STRICT SECRET, exact în felul acesta pentru că invers, de sus în jos, informațiile nu au voie să circule decât în condițiile în care o persoană autorizată le declasifică.
Figura 6.20. Model de securitate multinivel
D.Oprea – Protecția și securitatea sistemelor informaționale, 2017, p.58
Modelul Bell – LaPadula
Acest model a fost propus de David Bell și Len LaPadula în anul 1973 și este cunoscut sub numele de Bell – LaPadula sau modelul de securitate multinivel. Sistemele care le adoptă sunt numite și ele “sigure multinivel” sau MLS (MultiLevel Secure).
Trebuie să menționăm faptul că modelul Bell – LaPadula a introdus trei principii. Aceștia afirmau:
„Principiul sau proprietatea securității simple – prin care nici un proces nu are permisiunea de a citi date aflate pe un nivel superior lui; este cunoscut și ca Nu citi deasupra (No read up, NRU);
Principiul * (se citește stea) – pe un nivel aflat sub el nici un proces nu poate să scrie date și este cunoscut și ca Nu scrie dedesubt (No write down, NWD);
Principiul securității discreționare – pentru a specifica controlul accesului discreționar, introduce o matrice de acces și este cunoscut și ca Trusted subject (subiect de încredere”)
Figura 6.21. Modelul Bell-LaPadula, cu cele trei principii
D.Oprea – Protecția și securitatea sistemelor informaționale, 2017, p.59
Modelul matricei de control al accesului
Utilizând o matrice de acces subiectele de încredere la obiectele sistemului vor primi drepturi de acces. Drepturile de acces sunt: citește, scrie, execută etc., iar un subiect de încredere este o entitate activă, aceasta căutându-și drepturile de acces la obiecte. Subiectul poate fi de mai multe feluri: o persoană, un program sau un proces, iar un obiect este o entitate pasivă.
Figura 6.22. Modelul matricei de control al accesului
D.Oprea – Protecția și securitatea sistemelor informaționale, 2017, p.30
Modelul Biba
Modelul aparține lui Ken Biba și se ocupă numai de integritatea sistemelor și nu de confidențialitate. Dacă prin confidențialitate se impun restricții celor ce pot citi un mesaj, prin integritate sunt verificați cei ce pot să scrie sau să modifice un mesaj.
În unele organizații guvernamentale există aplicații care pun accent mai mare pe integritate și nu pe confidențialitate ceea ce a dus la apariția unor modele formale ale integrității. Integritatea are trei scopuri principale: datele sunt protejate de modificările efectuate de utilizatorii neautorizați, datele sunt protejate de modificările neautorizate efectuate de utilizatorii autorizați și asigură consistența internă și externă a datelor.
Modelul a fost realizat în anul 1977 ca fiind unul al integrității datelor. Modelul Biba este un model de tip rețea care folosește relația mai mic sau egal. De asemenea, modelul Biba clasifică obiectele în diferite niveluri de integritate exact așa cum modelul Bell-Lapadula operează cu diferite niveluri de sensibilitate. Astfel, modelul Biba enunță trei axiome ale integrității:
Axioma integrității simple – ea stabilește faptul că un subiect, dacă este aflat pe un anumit nivel de integritate, nu îi este permis să citească sau să observe un obiect de o integritate mai joasă (No read down, Nu citi dedesubt);
Axioma integrității * ( se citește stea) stabilește faptul că un subiect care este situat pe un anumit nivel de integritate nu-i este permis să modifice un alt obiect situat pe un nivel mai înalt de integritate (No write up, Nu scrie deasupra);
Un subiect care se află pe un anumit nivel de integritate nu poate solicita un subiect care este situate pe un nivel de integritate superior.
Figura 6.23. Modelul Biba cu axiomele lui
D.Oprea – Protecția și securitatea sistemelor informaționale, 2017, p.60
Modele ale securității multilaterale
De cele mai multe ori, atenția noastră s-a indreptat nu către prevenirea curgerii în jos a informațiilor, ci către stoparea fluxurilor între diferite compartimente. Așa cum este cel al organizațiilor secrete, de exemplu, acest control al fluxurilor informaționale laterale este unul organizațional.
Figura 6.24. Modelul securității multilaterale
D.Oprea – Protecția și securitatea sistemelor informaționale, 2017, p.61
Prin modelul securității multilaterale, există cel puțin trei modele diferite de implementare a controlului accesului și de control al fluxurilor informaționale:
Compartimentarea – este folosită de comunitatea serviciilor secrete;
Mulți ani la rând, acest model a fost folosit ca o practică standard în SUA pentru a putea restricționa accesul la informații, utilizându-se cuvintele-cod și clasificările. Cuvintele-cod au fost utilizate pentru a putea crea grupuri de control al accesului. Acest lucru a fost realizat prin folosirea unei variante a modelului Bell-Lapadula, numită modelul rețea. Clasificările și cuvintele cod formează o rețea. Astfel, o persoană care este autorizată să aibă acces la informații SECRETE, nu poate să aibă acces și la INFORMAȚII SECRETE CRIPTO pentru că nu are autorizație și pentru CRIPTO. Pentru ca un sistem să răspundă acestor cerințe, este nevoie ca toate problemele clasificării informațiilor, ale autorizării persoanelor să se transfere în politica de securitate pentru a defini aspecte importante referitoare la țintele securității, modelul de implementare și evaluare.
Zidul chinezesc – se folosește la descrierea mecanismelor utilizate în ceea ce privește prevenirea conflictelor de interese în practicile profesionale;
Modelul a fost realizat de Brewer și Nash și numele provin de la firmele care prestează servicii pentru că acestea au regulamentul lor intern pentru a preveni conflictul de interese, numit de autori zidul chinezesc. Modelul zidului chinezesc introduce principiul separării obligațiilor de serviciu și presupune faptul că un utilizator poate să prelucreze tranzacțiile A sau B, dar amândouă nu.
BMA, prescurtarea vine de la British Medical Association – este dezvoltat pentru a descrie fluxurile informaționale din domeniul sănătății, în concordanță cu etica medicală. Scopul acestui model este acela de a consolida principiul consimțământului pacientului dar și de a preveni accesul prea multor persoane la datele personale ale pacienților din bazele de date. Astfel că, a fost nevoie de un nou sistem de codificare. Politica BMA se bazează pe nouă principii. Amintim câteva dintre ele:
Controlul accesului;
Înregistrările să fie deschise;
Listele care au modificări să fie controlate;
Consimțământul și notificarea pacientului;
Persistența.
VULNERABILITĂȚI ALE SISTEMELOR INFORMATICE ȘI RECUPERAREA DATELOR
Vulnerabilitate înseamnă slăbiciunea unui sistem hardware sau software care permite accesul utilizatorilor neautorizați. Un sistem 100% sigur nu există. Existența vulnerabilităților sistemelor informatice sunt exploatate de grupări organizate care determină ca asigurarea securității spațiului cibernetic să devină o preocupare esențială pentru analiștii acestui domeniu.
La nivel european au fost adoptate măsuri în privința combaterii luptei împotriva criminalității informatice și a asigurării siguranței cibernetice. Directiva NIS privind securitatea rețelelor și a securității informatice a fost adoptată de către Parlamentul European și Consiliul Uniunii Europene la data de 6 iulie 2016 și a intrat în vigoare în luna august a aceluiași an. Aceasta se referă la adoptarea unor măsuri pentru un nivel comun ridicat de securitate a rețelelor și sistemelor informatice din Uniunea Europeană. A fost nevoie de 21 de luni pentru a putea fi implementată de statele membre. Directiva NIS solicită furnizorilor de servicii digitale să întreprindă măsuri drastice pentru prevenirea atacurilor cibernetice și managementul riscului, dar, în același timp, să raporteze orice incident, indiferent de gravitatea acestuia, către autoritățile competente.
La nivel național a fost adoptată Strategia de Securitate Cibernetică a României în anul 2013, aceasta a avut ca scop menținerea unui mediu cibernetic sigur. Această strategie își dorește stabilirea concretă a unor cerințe minime de securitate în privința asigurării unui climat cibernetic cât mai sigur.
Sistemele informatice sunt vulnerabile la atacurile clasice, adică, facem referire la situația în care un atacator reușește să pătrundă fizic în sistemele de calcul și extrage informații confidențiale. Pentru a preveni acest lucru este nevoie de asigurarea securității fizice a echipamentelor de calcul prin plasarea acestora ori în zone sigure ori accesul persoanelor neautorizate să fie strict interzis. Acest lucru se poate realiza prin intermediul interfoanelor sau cardurilor de acces.
O altă vulnerabilitate a sistemelor informatice o reprezintă și dezastrele naturale: cutremure, incendii sau căderile de tensiune sau supratensiunile ce pot duce la distrugerea completă a echipamentelor TIC.
De asemenea, și componentele hardware sunt foarte importante pentru ca sistemele informatice să nu le fie afectată buna lor funcționare. Dacă ne referim la servere care furnizează servicii în Internet, trebuie să se lucreze cu componente hardware tolerante la defectări ca să ofere disponibilitate serviciilor și datelor partajate în rețea, dar să și reducă riscul vulnerabilităților de tip hardware. Aceste vulnerabilități se întâlnesc foarte de des la sistemele de stocare a datelor deoarece sunt componentele hardware cele mai sensibile. Astfel, se recomandă salvările de siguranță la nivelul informațiilor, dar și la nivelul sistemului de operare pentru a putea fi reconfigurate în caz de defecțiune.
Comunicarea prin rețeaua de Internet este extrem de nesigură. Astfel, orice persoană se poate conecta la linia de comunicație și poate intercepta și chiar devia traficul de date. Pentru că aceste vulnerabilități trebuie înlăturate, este recomandată folosirea metodelor moderne de criptare pentru ca datele să nu poată fi decriptate.
Din punct de vedere software, există mai multe feluri de vulnerabilități și anume:
– există vulnerabilități care măresc privilegiile utilizatorilor locali fără drept de autorizație;
– există vulnerabilități care permit persoanelor din exterior să acceseze sistemul în mod neautorizat;
– există vulnerabilități care permit ca sistemul să fie implicat într-un atac asupra unui terț utilizator.
O clasificare poate fi realizată în funcție de gradul de pericol pe care vulnerabilitățile îl reprezintă asupra sistemului informatic care este supus atacului. În felul acesta, vulnerabilitățile prezintă trei grade notate cu A, B și C în Tabelul 7.1.
Tabel 7.4. Gradele de vulnerabilitate și consecințele lor
I.C.Mihai, C.Ciuchi, G.M.Petrică – „Provocări actuale în domeniul securității cibernetice – impact și contribuția României în domeniu, Institutul European din România, 2017”, p.27
Vulnerabilitățile de tip A, cele care permit utilizatorilor externi să acceseze sistemul în mod neautorizat, sunt cele mai periculoase. Prin intermediul atacurilor cu troieni sau cu viermi se pot deschide anumite breșe în sistemul informatic. Prin aceste breșe un utilizator extern se poate conecta la sistem în mod neautorizat. Aceste vulnerabilități de tip A sunt considerate cele mai periculoase pentru că permit accesul utilizatorilor la baza de date a sistemului. O dată ce aceștia au acces la baza de date a sistemlui, ei pot fura sau șterge date importante.
Vulnerabilitățile de tip B, cele care permit utilizatorilor locali cu privilegii limitate să-și extindă privilegiile fără autorizație, nu sunt atât de grave ca vulnerabilitățile de tip A. Se consideră că ocupă o poziție relativ medie pe scara consecințelor. Prin intermediul acestor vulnerabilități, un utilizator care are un cont limitat poate să obțină privilegii de administrator în sistemul informatic. Tipurile de atac care permit extinderea privilegiilor unui administrator fără să fie autorizat sunt atacurile buffer overflow. Dacă luăm în calcul erorile de programare, vom observa că există diverse aplicații care alocă un spațiu insuficient de memorie în ceea ce privește stocarea informațiilor. Dacă spațiul de memorie este ocupat în totalitate, restul informațiilor care depășesc spațiul alocat se indreaptă către o altă adresă din memorie. Prin accesarea acestor adrese, un atacator poate să execute tot felul de comenzi care să aibă aceleași drepturi ca ale programului respectiv. Având în vedere faptul că programul are drepturi de administrator în sistemul de operare, atacatorul, care ia în calcul vulnerabilitatea buffer overflow, poate să execute comenzi în sistem cu drepturi de administrator. Vulnerabilitățile de tip B sunt considerate unele dintre vulnerabilitățile cele mai grave pentru că acestea pot permite accesul utilizatorilor neautorizați la informațiile importante din sistem.
Vulnerabilitățile de categoria C sunt vulnerabilitățile care permit utilizatorilor atacuri prin refuzul serviciilor. Acestea sunt vulnerabilități ale sistemului de operare. Aceste vulnerabilități de categoria C permit utilizatorilor să distrugă serviciile de rețea ale unui sistem informatic. În unele cazuri, vulnerabilitățile pot transforma sistemul victimă într-un sistem zombie care va putea fi implicat într-un atac de tip DdoS (Distributed Denial of Service). Dacă sunt exploatate, aceste vulnerabilități duc la oprirea temporară a serviciilor de rețea oferite. Vulnerabilitățile de categorie C nu sunt considerate a fi periculoase pentru că acestea atacă doar serviciile, nu și datele în sine.
Cauzele existenței vulnerabilităților sunt următoarele:
Erorile aflate la nivelul sistemelor de operare sau ale aplicațiilor;
Configurarea eronată a sistemului de operare, a programelor, serverelor și rețelelor;
Slaba pregătire ale administratorilor de sistem sau de rețea, cu grave lacune în domeniu;
De asemenea, cele mai mari vulnerabilități se referă la cele umane, reponsabil de acestea fiind personalul care se ocupă de configurarea sistemelor informatice. Din cauza lipsei experienței în domeniu sau din cauza lipsei instruirii periodice a personalului, securitatea cibernetică poate fi în totalitate compromisă.
SEMNĂTURI ȘI CERTIFICATE DIGITALE
Semnătura digitală
O definiție corectă a unei semnături digitale este aceea că reprezintă un bloc de date (cifre binare) care se atașează unui mesaj sau a unui document pentru a sublinia încrederea sau entități legate de un anumit emițător. Legătura este realizată de așa manieră că semnătura digitală poate fi verificată de un receptor și nu se poate spune că a fost uitată. Este suficient ca doar o singură cifră să nu corespundă pentru ca semnătura digitală să fie respinsă.
Semnătura digitală este foarte importantă pentru că stabilește veridicitatea sursei mesajului.
O persoană poate să se identifice și să se autentifice și prin semnătură digitală. Aceasta seamănă foarte bine cu semnătura de mână pentru că se utilizează zi de zi având ca scop identificarea unui individ din punct de vedere legal. Avantajul semnăturii digitale față de semnătura de mână este că nu poate fi falsificată sub nici o formă, numai în situația în care sistemul a fost implementat în mod eronat. Nimeni nu poate să reproducă o semnătură dacă persoana nu-și divulgă cheia personală privată. O semnătură privată nu se referă și la recunoașterea dreptului de proprietate asupra unui text transmis, ci ea confirmă faptul că persoana semnatară a avut acces la el și l-a semnat.
Dacă semnarea este în concordanță cu documentul creat, semnătura digitală este în măsură să ofere o probă autentică a originii documentului. Astfel, aici, ne referim la fotografiile realizate cu camere digitale bazate pe chei private, proba fiind, în acest caz, de necontestat. Dacă se dorește realizarea protecției împotriva manipulării imaginilor cu calculatorul, se utilizează acest procedeu. În această situație se încadrează și camerele video sau alți diverși senzori care semnează ieșirea pentru a-i certifica originea.
Se știe foarte bine că semnătura digitală este implementată prin sistemul criptografiei cu chei publice. În acest caz, componenta privată este folosită pentru a semna mesajele, iar componenta publică este folosită pentru ca semnătura să poată fi verificată.
Mecanismul realizării unei semnături digitale nu este foarte complicat. Luăm următorul exemplu: Dacă (A) vrea să semneze un mesaj, trebuie să calculeze o valoare rezumat a mesajului, această valoare este determinată printr-o funcție publică de dispersie (hashing). În această etapă nu se folosesc chei. Pasul următor presupune că (A) va folosi o cheie privată pentru semnătură KSApriv pentru a putea calcula o transformare criptografică a valorii rezumat a mesajului. Rezultatul este semnătura sa pe mesaj care se atașează mesajului. În momentul acesta, mesajul poate fi transmis mai departe, unei persoane, de exemplu (B) sau, la fel de bine, mesajul poate fi stocat într-un fișier. În momentul în care (B) a primit mesajul, acesta poate să valideze semnătura lui (A) cu ajutorul cheii ei publice pentru semnături KSApubl. Aceasta va fi folosită ca intrare într-o funcție criptografică prin care se va testa dacă valoarea rezumat determinară de (B) este la fel cu valoarea codificată prin semnătura lui (A). (B) va accepta semnătura numai dacă valoarea coincide.
Având în vedere faptul că semnătura digitală oferă veridicitatea sursei mesajului, așa cum am menționat mai sus, de asemenea ea oferă și servicii de securitate de bază. Acestea sunt în număr de trei și sunt următoarele: autentificare, integritate și nerepudiere. Semnăturile digitale au un grad foarte mare de securitate deoarece ele folosesc două tehnici de criptografie și anume criptarea cu cheie publică și hashing. În momentul în care o semnătură digitală este creată aceasta se referă la hashing-ul datelor și mai apoi la criptarea mesajului rezultat cu o cheie privată. Verificarea faptului că mesajul hash corespunde mesajului original poate fi făcută de orice persoană care deține cheie publică corespondentă.
Scopul unei semnături digitale este identificarea în mod pozitiv a expeditorului mesajului și asigurarea că datele nu au suportat modificări. Însă, pot apărea disfuncționalități în momentul instalării și utilizării acestei tehnologii în mod securizat. Un exemplu foarte bun în acest sens și plauzibil este următorul: dacă a fost folosit un algoritm de hash slab asta înseamnă că securitatea este scăzută în combinație cu un algoritm de criptare care este puternic. Astfel, o vizualizare banală a unui mesaj hash nu este suficientă pentru a ne atrage atenția asupra utilizării unui algoritm slab. Trebuie să se înțeleagă foarte bine riscurile asociate cu utilizarea semnăturilor digitale deoarece trebuie să se înțeleagă faptul că această tehnologie are totuși o limită. Astfel, o semnătură digitală trebuie să fie legată de numele utilizatorului printr-un certificat digital, în caz contrar nu are nici o semnificație. Singura garanție a unei semnături digitale este aceea ca ea să fie distribuită în mod securizat. În momentul în care este nevoie de o distribuire la scară a cheilor publice pentru ca semnăturile digitale să fie verificate, obligatoriu trebuie creată o bază de date. La această bază de date persoanele au acces de citire, dar scrierea trebuie restricționată cu cele mai puternice tehnologii.
Acordarea unei încredere prea mari în această tehnologie poate să reprezinte cel mai mare risc al semnăturilor digitale. Semnătura de mână poate să fie falsificată mai repede în comparație cu o semnătură digitală. Semnătura de mână este în măsură să ofere siguranță până la ruperea modelului de încredere. Un inconvenient legat de semnăturile digitale este că nu se știe încă și nici când nu se mai poate vorbi de încrederea acordată sistemului.
Certificatul digital
Utilizarea unei semnături digitale nu poate să ofere o legătură foarte puternică cu o persoană și atunci, evident, apare următoarea întrebare: cum putem ști că o cheie publică utilizată în crearea unei semnături digitale aparține unui anume persoane dar și că acea cheie publică este validă? Pentru a exista o legătură între cheie publică și o persoană reală este nevoie de un mecanism, funcție care este îndeplinită de certificatul digital.
Certificatul digital poate să ofere un nivel foarte ridicat de încredere asupra următorului fapt: numele persoanei care apare pe certificatul digital are ca și corespondent o anume cheie publică. Această încredere se numește “Autoritate de certificare (Certificate Authority – CA) și este realizată prin utilizarea unei anume părți. Rolul unei autorități de certificare este de a semna un certificat în calitate de garant pentru aflarea identității unei persoane al cărei nume apare pe certificatul în cauză.
X.509v3 reprezintă formatul actual acceptat pentru certificatele digitale. Acest standard, X.509v3, descrie un format care este agreat de certificatele digitale și definește elementele unui certificat:
Certificate Version – se referă la versiunea formatului unui certificat digital;
Serial number – indică un număr unic asignat de către autoritatea de certificare fiind utilizat pentru a urmări certificatele;
Signature – se referă la algoritmul de criptare și la funcțiile de tip message digest pe care autoritatea de certificare le suportă;
Issuer name – se referă la numele emitentului (al autorității de certificare);
Period of Validity – se referă la valabilitatea certificatului digital, datele între care acesta este valid;
Subject – se referă la numele proprietarului certificatului digital;
Subject’s Public Key Info – indică cheia publică și algoritmul asociat cu câmpul Subject;
Issuer Unique ID – este un câmp opțional utilizat pentru a putea identifica emitentul certificatului digital;
Extensions – este tot un câmp opțional folosit pentru extensii proprietare;
Encrypted – conține semnătura în sine, hash-ul securizat al altor câmpuri din certificatul digital.
Certificatul digital are un format ușor de înțeles, dificultățile apar la schimbul de certificate între persoane. Să dovedești faptul că un certificat digital apaține unui anume utilizator este foarte greu de realizat. Un exemplu în acest sens este următorul: într-o oarecare companie sau instituție pot exista mai multe persoane cu același nume – Vasile Ion, dar, doar unul dintre ei este utilizatorul de drept al certificatului digital.
Certificatele digitale au nevoie de mijloace de gestionare a acestora, au nevoie de distribuirea lor, de stocare centralizată, de revocare, de back-up-ul cheilor și actualizarea permanentă a acestora. Acest sistem de management poartă numele de Infrastructura de chei publice (Public Key Infrastructure – PKI) și se referă la o arhitectură de securitate care este creată pentru a veni în sprijinul instalării tehnologiei de chei publice. Componentele unei infrastructuri de chei publice au în vedere un depozit de certificate și anume: certificate digitale, liste de revocare a certificatelor, software-ul utilizat în aceste aplicații, dar și aspectul real al acestor proceduri.
De asemenea, o infrastructură de chei publice are în componență nu foarte multe servicii de bază de securitate, dar putem enumera autentificarea utilizatorilor, confidențialitatea și integritatea. Acestea ajută la implementarea nerepudierii.
Există mai multe moduri de a obține un certificat digital, în funcție de scopul acestora. De exemplu, pentru a instala certificate auto-emise este nevoie de utilizarea Microsoft Certificate Services din Windows 2000/2003.
Un alt mod de a obține un certificat digital este apelarea la un furnizor sau distribuitor de certificate. VeriSign este unul dintre cei mai mari distribuitori de certificate digitale. Acesta oferă certificate pentru S/MIME, SSL (client și server) sau SGC (Server Gated Cryptography) utilizat în instituții financiare.
În situația în care certificatele digitale sunt stocate pe smart card-uri, acestea pot reprezenta un mecanism de autentificare foarte puternic. Dar, atunci când o securitate este adecvată pentru un certificat digital înseamnă că problemele de încredere au fost rezolvate. De exemplu, pentru a identifica în mod pozitiv toți participanții care doresc certificate digitale, o autoritate de certificare trebuie să posede mecanisme de securitate foarte puternice, bine dezvolte.
CONCLUZII
Responsabilitatea statului, a autorităților abilitate, a sectorului privat, dar și a societății civile, în egală măsură, este să asigure un spațiu cibernetic optim, sigur.
Educația și cercetarea sunt elementele cele mai importante în ceea ce privește dezvoltarea culturii referitor la securitatea cibernetică.
Așa cum am relatat în introducere, lucrarea “Protecția și securitatea datelor la un site web” surprinde importanța securității cibernetice în spațiul online, fiind o temă vastă și complexă al cărei subiect este în permanență schimbare și actualizare.
Am încercat să vorbesc despre cele mai importante aspecte cu privire la securitatea cibernetică, câteva dintre ele fiind “Protecția și securitatea datelor”, ”Securitatea sistemului informatic” sau ”Vulnerabilități ale sistemelor informatice și recuperarea datelor”.
În opinia mea, consider că am făcut o alegere bună în privința alegerii acestei teme pentru lucrarea de disertație pentru că masterul a reprezentat o reală provocare pentru mine dat fiind faptul că am terminat Facultatea de Litere. Pe parcurs, am crezut că îmi va fi foarte greu să duc la bun sfârșit tema aleasă însă, în momentul în care am început să scriu și să lucrez la site-ul-web, mi-am dat seama că pot să mă integrez și să mă dezvolt foarte bine.
De asemenea, la momentul finalizării lucrării, referindu-mă atât la partea teoretică cât și la cea practică, am insistat foarte mult să îmi dau seama de evoluția mea din punct de vedere tehnic în domeniul IT, lucru pe care consider că l-am obținut pentru că am lucrat foarte mult și am tratat tema cu responsabilitate, seriozitate și conștiinciozitate.
În ceea ce privește dezvoltarea ulterioară, îmi doresc ca pe viitor să am mai multe șanse în privința carierei mele, poate să-mi schimb domeniul de activitate, să fac o schimbare radicală în viața profesională iar acest lucru nu se putea întâmpla decât prin cunoaștere, prin dobândirea de elemente noi și prin experiențe interesante care să contribuie la dezoltarea mea din punct de vedere profesional.
Programul de master „Tehnologii moderne în ingineria sistemelor informatice” din cadrul Universității “Spiru Haret” m-a scos din zona de confort, mi-a demonstrat că prin muncă și prin seriozitate pot să termin cu bine programul de studii și că dincolo de materiile studiate, m-a ajutat să evoluez din punct de vedere personal și profesional.
LISTA FIGURILOR
Figura 1.1. Statistica demografică privind vârsta persoanelor care accesează site-ul web 9
Figura 1.2. Statistică privind numărul de pagini vizualizate și numărul de sesiuni per utilizator 10
Figura 1.3. Grafic acces site web în perioada Februarie – Aprilie 2019 17
Figura 1.4. Statistică modalitate de acces a site-ului web (Cautare, Direct, Pagini sociale, Pagini care fac referire la site) 19
Figura 2.1. Secțiunea Acasă 20
Figura 2.2 Subsecțiunea Viziunea și misiunea școlii 23
Figura 2.3. Subsecțiunea Proiect de dezvoltare instituțională 23
Figura 2.4. Subsecțiunea Conducere 24
Figura 2.5. Subsecțiunea Profesori 24
Figura 2.6. Subsecțiunea Baza materială 25
Figura 2.7. Subsecțiunea Galerie 28
Figura 2.8. Secțiunea Profiluri 29
Figura 2.9. Secțiunea Evenimente 30
Figura 2.10. Secțiunea Orar 33
Figura 2.11. Secțiunea Orar pentru Facebook 33
Figura 2.12. Secțiunea Contact 38
Figura 2.13. Politica cookie și Politica de confidențialitate 38
Figura 2.14. Statistică accesare site web în funcție de vârstași sexul utilizatorului 40
Figura 4.1. Chestionar privind cadrul legislativ național și de reglementare în domeniul securității cibernetice 53
Figura 6.1. Model de securitate multinivel 66
Figura 6.2. Modelul Bell-LaPadula, cu cele trei principii 67
Figura 6.3. Modelul matricei de control al accesului 67
Figura 6.4. Modelul Biba cu axiomele lui 68
Figura 6.5. Modelul securității multilaterale 69
LISTA TABELELOR
Tabel 1.1. Statistică demografică privind vârsta celor care accesează site-ul web 10
Tabel 1.2. Statistică privind setările browsere-ului de internet cu privire la limba folosită de utilizator 11
Tabel 1.3. Statistică utilizatori, utilizatori noi, sesiuni și dispozitivele de pe care aceștia au accesat site-ul web 18
Tabel 7.1. Gradele de vulnerabilitate și consecințele lor 72
NOTE DE SUBSOL
NSF (National Science Foundation)
GDPR-Regulamentul privind protecția datelor cu caracter personal
ENISA Threat Landscape 2012
European Union Agency for Network and Information Security Threat Lanscape, 2012
BIBLIOGRAFIE
Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA) și Consiliul Europei alături de Grefa Curții Europene a Drepturilor Omului, Manual de legislație europeană privind protecția datelor (fra.europa.eu), 2014
Oficiul Registrului Național al Informațiilor Secrete de Stat publicat în MONITORUL OFICIAL nr. 242 din 4 aprilie 2014
I. C. Mihai, C. Ciuchi, G. M. Petrică, Provocări actuale în domeniul securității cibernetice – impact și contribuția României în domeniu, 2018
D. Oprea, Protecția și securitatea sistemelor informaționale, 2017
Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), 2016
Transpunerea Directivei UE privind securitatea rețelelor și a sistemelor informatice (NIS) Digital Europe, 2016
Enisa Threat Lanscape, 2012 (https://www.enisa.europa.eu)
Enisa Threat Lanscape, 2013 (https://www.enisa.europa.eu)
Bitdefender H1 – E-Threat Landscape Report, 2012
F-Secure – Mobile Threat Report Q1, 2012
Centrul Național de Răspuns la Incidente de Securitate Cibernetică, www.cert.ro, Ghid pentru securizarea aplicațiilor și serviciilor web, versiunea 1.0
Sophos Security Threat Report, 2012
Strategia de securitate cibernetică a României, 2013
Strategia națională de apărare a țării pentru perioada 2015-2019 – O Românie puternică în Europa și în lume, București, 2015
Strategia Națională privind Agenda Digitală pentru România, iulie 2014
Legea nr.580/2015 – legea securității cibernetice, 2015
G. C. Maior, Spionii. Cine sunt, ce fac, 2013
D. Olguța, “Noi provocări în securitatea cibernetică”, Studii de Securitate Publică, vol.3, nr.4 (12), octombrie – decembrie 2014
I. C. Mihai, G. M. Petrică, Securitatea informațiilor, Ediția a II-a îmbunătățită și adăugită, Editura Sitech, 2014
I. C. Mihai, L. Giurea, Criminalitatea informatică, Ediția a II-a îmbunătățită și adăugită, Editura Sitech, 2014.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Lector Univ. Dr. Luminița Defta Masterand Negulescu Irina -2019- UNIVERSITATEA “SPIRU HARET” FACULTATEA DE INGINERIE, INFORMATICĂ ȘI GEOGRAFIE… [310477] (ID: 310477)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.