Managementul securita ții cibernetice COORDONATOR ȘTIINȚIFIC SL.dr.ing. Gabriela STROE MASTERAND Ing. BURCIOAGĂ LUCIAN 2018 2 Cuprins INTRODUCERE… [608701]

1
UNIVERSITATEA 'POLITEHNICA' DIN BUCUREȘTI
FACULTATEA DE INGINERIE AEROSPAȚIALĂ
DEPARTAMENTUL DE INGINERIA SISTEMELOR AERONAUTICE ȘI MANAGEMENT
AERONAUTIC 'NICOLAE TIPEI'

Managementul securita ții cibernetice

COORDONATOR ȘTIINȚIFIC
SL.dr.ing. Gabriela STROE

MASTERAND: [anonimizat]. BURCIOAGĂ LUCIAN

2018

2

Cuprins

INTRODUCERE ………………………….. ………………………….. ………………………….. ………………….. 2
CAPITOLUL 1 ………………………….. ………………………….. ………………………….. …………………….. 4
SPAȚIUL CIBERNETIC ………………………….. ………………………….. ………………………….. ……. 4
1.1 Studiul amenințărilor la adresa securității cibernetice …………………….. 6
1.2. Managementul riscului de Securitate ………………………….. ………………………. 8
1.3. Analiza structurii atacurilor cibernetice ………………………….. …………………. 10
1.4.Vulnerabilitățile infrastructurilor cibernetice ………………………….. …………… 13
Amenințări cibernetice ………………………….. ………………………….. ………………………….. …….. 15
Sisteme, metode și tehnici de detectare și prevenire a atacurilor cibernetice …………………. 16
CAPITOLUL 2 ………………………….. ………………………….. ………………………….. …………………… 17
2.1 Infrastructuri cibernetice critice ………………………….. ………………………….. ………………… 17
2.2 Cadrul național în domeniul securității cibernetice ………………………….. …………………… 18
2.3. Studiul alertelor de securitate cibernetică procesate la nivel național …………………….. 18

INTRODUCERE
Trăim într -o lume din ce în ce mai interdependentă, iar acest lucru este, în mare parte, datorat
evoluției TIC. Există numeroase beneficii ale acestei interdependențe, însă și multe
dezavantaje, luând în considerare faptul că instituții le publice și întreprinderile au devenit
dependente aproape în întregime de sisteme IT. Prin urmare, guvernele din întreaga lume
trebuie să fie pregătite pentru un nou set de provocări, în condițiile în care viața zilnică a
fiecărui cetățean, economiile na ționale, precum și securitatea națională a fiecărui stat depind
de un spațiu cibernetic sigur și stabil. Fenomenul globalizării a determinat statele să renunțe
la a exercita suveranitatea în mod absolut, îndreptându -se către acceptarea de alianțe sau a
unei influențe din partea unor organisme regionale sau internaționale. În prezent, evoluțiile
tehnologice oferă entităților sau țărilor mai puțin dezvoltate oportunitatea de a deveni actori
de prim rang. Apariția acestor așa numiți actori non -statali, care a u profitat de propagarea
tehnologiilor de ultimă oră, și -au modificat metodele de acțiune și leau folosit în detrimentul

3
intereselor de securitate, a condus la sporirea gradului de incertitudine. Costurile mai reduse
pe care le presupune achiziționarea de sisteme informatice și posibilitatea înlocuirii
avioanelor de luptă sau bateriilor de rachete cu un grup de informaticieni, în vederea
exploatării de vulnerabilități, au contribuit la reconfigurarea mediului actual.
Evenimentele dramatice din SUA (11 septembrie 2001), precum și cele din Madrid (11
martie 2004) și Londra (iulie 2005), au confirmat faptul că societățile moderne au devenit
vulnerabile în fața atacurilor teroriste și a amenințărilor asimetrice, care vize ază, în special,
siguranța persoanei și securitatea infrastructurilor esențiale pentru funcționarea societății în
ansamblu.
Evaluarea impactului care însoțește planul de acțiune privind PIC, precum și rapoartele și
analizele elaborate de reprezentați ai se ctorul public și privat evidențiază creșterea continuă a
numărului, amplorii și impactului amenințărilor. Suntem în prezent martorii unei tendințe de
a folosi TIC pentru supremație politică, economică și militară, inclusiv prin dezvoltarea unor
capacități ofensive.
Chiar dacă au existat atacuri cibernetice anterioare, acestea au intrat în atenția opiniei publice
în anul 2007, când a fost afectat un stat întreg, Estonia. Ministerele, băncile și numeroase
companii au fost nevoite să își oprească activitatea. Evenimentele de securitate ce au urmat
au condus la conștientizarea seriozității amenințărilor cibernetice. În timpul conflictului ruso –
georgian din august 2008, au fost lansate atacuri masive asupra site -urilor și serverelor
guvernamentale din Georgia, o ferind termenului de război cibernetic o imagine reală.
Atacurile cibernetice amintite mai sus, țintite asupra celor două state, au determinat o
reevaluare a doctrinelor militare ale statelor membre NATO, securitatea cibernetică căpătând,
astfel, o importa ntă strategică. Cu toate acestea, adevăratul început al războiului cibernetic
poate fi datat în anul 2010, odată cu apariția primei arme cibernetice, virusul Stuxnet,
proiectat să preia sub control și să saboteze subtil IC ale unui stat. Anii următori s -au
remarcat prin descoperirea unui număr tot mai mare de agresiuni cibernetice persistente, cu
impact semnificativ asupra securității naționale.
Acest mediu dinamic și complex, în continuă evoluție și transformare este cel a cărui utilizare
trebuie reglement ată, fără însă a afectata drepturile și libertățile fundamentale ale cetățenilor,
precum și posibilitățile enorme de dezvoltare. Nu este deloc o misiune ușoară și necesită
eforturi susținute și perseverente din partea autorităților interesate, precum și o abordare plină
de tact care să nu genereze reacții negative în rândul populației.

4

CAPITOLUL 1
SPAȚIUL CIBERNETIC
Noțiunea „spațiu cibernetic” a fost inventată în anul 1982 de William Gibson într -o scurtă
poveste Burning Crome, conceptul fiind popularizat, doi ani mai t ârziu, în romanul său de
debut Neuromancer. În viața de zi cu zi, termenul a intrat în anii 1990, odată cu apariția
World Wide Web. Definirea spațiului cibernetic este o sarcină dificilă. Există numeroase
definiții ale spațiului cibernetic care variază de la foarte complexe la mult prea simplificate.
În anul 2005, Departamentului Apărării al SUA/ DoD a declarat spațiul cibernetic al cincilea
domeniu de luptă alături de cel terestru, maritim, aerian și spațial, fiind este cea mai nouă și
importantă adăugir e la bunurile comune globale. La fel ca și în cazul celorlalte bunuri
comune, accesul nerestricționat nu poate fi îngrădit, spațiul cibernetic devenind un teatru de
operații în curs de dezvoltare, care, fără îndoială, va fi contestat în conflictele viitoar e.
Exploatarea cu succes a acestui domeniu prin intermediul operațiunilor de război poate
permite unui adversar să domine sau să dețină controlul asupra celorlalte bunuri comune
globale. Spațiul cibernetic este corelat cu o serie de termeni înrudiți, precu m cei de realitate
virtuală, mediu online, spațiu digital, care, împreună, alcătuiesc un aparat conceptual destul
de tânăr și disputat. Cercetarea a evidențiat faptul că, în timp, pe măsură ce fenomenul s -a
dezvoltat în extensie, profunzime și nuanțe, a ge nerat o multitudinea de perspective de
analiză asupra definițiilor și teoriilor spațiului cibernetic.
Spațiul cibernetic este un domeniu creat prin interacțiunea a trei componente diferite: fizic
(hardware), virtual (software și date) și cognitiv (persoan e).
Realitatea fizică/ hardware a spațiului cibernetic este formată din infrastructuri tehnologice de
rețele interdependente care includ o multitu dine de echipamente informatice .
Componentă virtuală cuprinde software – sisteme de operare, aplicații, fir mware, precum și
date/ informații rezidente pe echipamentele hardware.
Aspectul uman sau cognitiv este elementul final al spațiului cibernetic reprezentat de oamenii
care interacționează cu mediul și între ei, orice persoană putând fi reflexivă, multipli cativă

5
sau anonimă. Utilizatorii mediului cibernetic pot fi actori statali sau nonstatali (cum ar fi
utilizatori, hackeri, criminali sau teroriști).
Spațiul cibernetic este singurul domeniu în care toate instrumentele puterii naționale –
diplomatic, infor mațional, militar și economic – pot fi exercitate, simultan, prin manipularea
datelor și echipamentelor de acces. Există o tendință pentru declanșarea reacțiilor în lanț ,
chiar și la incidente modeste , care poate modifica decisiv ecuațiile de putere și sta bilitatea
întregului mediu .
În acest context, infracțiunea mai degrabă decât apărarea este dominantă în spațiul cibernetic.
Apărarea sistemelor informatice și a rețelelor se bazează pe protocoale vulnerabile și
arhitecturi deschise, iar filozofia de apărare dominantă se axează pe detectarea amenințărilor,
nu p e eliminarea vulnerabilităților . Atacurile cibernetice au loc cu o mare viteză, punând
apărarea sub o imensă presiune. Cercetarea efectuată în cadrul prezentei teze de doctorat a
evidențiat existența u nei terminologii a conflictelor cibernetice fiind utilizați termeni precum
hacktivism, vandalism cibernetic, criminalitate informatică, spionaj cibernetic, sabotaj
cibernetic, terorism cibernetic și război cibernetic. Chiar dacă noțiunea de războiul cibern etic
este destul de utilizată, semnificația acesteia este ambiguă și controversată. Condițiile
esențiale ale unui război sunt ca agresorul cibernetic să fie un actor statal și să existe pagube
materiale/ victime, elemente greu de dovedit. Spațiul cibernet ic reprezintă unul dintre cele
mai complexe aspecte juridice ale zilei de astăzi, deoarece există mulți utilizatori, de la
persoane fizice, organizații, companii private și instituții publice, iar activitatea lor online este
reglementată prin legi cibernet ice vagi și reglementări naționale. În Strategia de Securitate
Cibernetică a României, spațiul cibernetic este „mediul virtual, generat de infrastructurile
cibernetice, incluzând conținutul informațional procesat, stocat sau transmis, precum și
acțiunile derulate de utilizatori în acesta”
Considerăm că această definire nu surprinde partea hardware a spațiului cibernetic, adică
echipamentele componente ale infrastructuri lor cibernetice. Vulnerabilități ale spațiului
cibernetic Vulnerabilitatea în spațiul cibernetic reprezintă „slăbiciune în
proiectarea și implementarea infrastructurilor cibernetice sau a
măsurilor de securitate aferente, care poate fi exploatată de cătr e o amenința re”. Aceste
vulnerabilități pot fi de natură umană, tehnică sau procedurală, putând fi vulnerabilități de
proiectare, de implementare sau de configurare. Cele mai multe vulnerabilități existente sunt
introduse accidental din fazele de proiecta re sau implementare ale sistemelor informatice.6
Vulnerabilitățile software sunt defecte sau erori introduse în mod accidental sau deliberat în
produsele software care, dacă sunt exploatate de către atacatori, pot denatura scopul inițial

6
pentru care au fost proiectate. Cele mai cunoscute astfel de vulnerabilități sunt erorile de
programare, majoritatea fiind asociate unei modalități incorecte de a gestiona intrările
furnizate de utilizator sistemului și putând fi evitate dacă cei care dezvoltă produsele so ftware
au în permanență în vedere eliminarea acestora. În timp ce cele mai multe eforturi de
securitate informatică au fost concentrate pe software, manipularea de circuite hardware este
o amenințare la fel de periculoasă. Recent, cercetătorii au publicat detalii despre noi metode
de a exploata vulnerabilităț i hardware cum ar fi rowhammer și BadUSB . Astfel de probleme
sunt greu de controlat, unele recomandări ale experților în securitate informatică neputând fi
respectate datorită evoluțiilor tehnologic e din ziua de astăzi. Vulnerabilitățile conexiunii
între hardware și software reprezintă vulnerabilitățile firmware -ului care exi stă în aproape
orice dispozitiv . Cercetările efectuate în domeniu au demonstrat posibilitatea exploatării unor
asemenea vulne rabilități prin introducerea de malware, practic nedetectabil la nivelul
sistemelor vizate. Contramăsurile pentru nesiguranța firmware -ului sunt, în mare parte, în
mâinile producătorilor de hardware și cipuri care ar trebui să ia în calcul introducerea un or
facilități de securitate care să garanteze autenticitatea firmware -ului.
Vulnerabilitățile canalelor de comunicații între un sistem sau rețea și lumea exterioară pot fi
utilizate de către un adversar în diferite moduri. Mai mult de 95% din traficul pe Internet,
inclusiv financiar, comercial și alte tranzacții, circulă prin cabluri submarine internaționale a
căror întrerupere ar închide rețeaua. Convergența de rețea și consolidarea canalului sunt două
tendințe globale ale mediul TIC care, deși oferă o m ai mare eficiență și servicii mai bune
pentru utilizatori, cresc vulnerabilitățile și consecințele eșecurilor de securitate. Adesea, se
spune că pericolul cel mai mare este reprezentat de persoanele din interior. Vulnerabilitățile
utilizatorilor sistemului sunt reprezentate atât de gradul redus de conștientizare a riscurilor și
amenințările spațiului cibernetic, cât și de lipsa cunoștințelor sau dezinteresul manifestate în
activitățile zilnice. Mulți angajați cad pradă ingineriei sociale, platformele de soc ializare fiind
mediu preferat al celor care desfășoară astfel de activități. Tendințele evolutive și
preocuparea precară pentru asigurarea securității acestora vor multiplica vulnerabilitățile
noilor tehnologii10, determinând necesitatea intensificării pro cesului de cercetare pentru
soluții adecvate. Dezvoltarea unor asemenea soluții va fi una dintre cele mai importante
provocări pentru comunitățile de informatică și cercetare științifică.

1.1 Studiul amenințărilor la adresa securității cibernetice
Tehnologia este omniprezentă și tot mai complexă pentru aproape fiecare aspect al societății
moderne. Progresul exponențial în ultima jumătate de secol în ceea ce privește puterea de

7
procesare și capacitatea de memorare a făcut hardware -ul IT nu numai mai rapid, dar și mai
mic, mai ușor, mai ieftin și mai ușor de utilizat. Industria IT inițială a convers tot mai mult cu
industria comunicațiilor într -un sector combinat, denumit în mod obișnuit Tehnologia
Informației și Comunicațiilor (TIC). Dispozitivele și componentele TIC sunt, în general,
complexe și interdependente, iar întreruperea unuia poate afecta funcționarea celorlalte. În
ultimii ani, experții și factorii de decizie și -au ex primat îngrijorarea din ce în ce mai mare cu
privire la protejarea sistemelor TIC în fața atacurilor cibernetice, acțiuni deliberate ale unor
persoane neautorizate de a accesa sistemele în scopuri de furt, întrerupere, distrugere sau alte
acțiuni ilegale. Activitatea de protejare a sistemelor TIC și a conținutului acestora a devenit
cunoscută sub numele de securitate cibernetică. Un concept larg și, probabil, insuficient
explicat, securitatea cibernetică poate fi un termen util, dar nu poate fi identificat printr -o
definiție precisă. De obicei se referă la unul sau mai multe din următoarele aspecte: – un set
de activități și măsuri menite să protejeze – de atacuri, întreruperi ale funcționării sau alte
amenințări – sistemele de calcul, rețelele de calculato are, componentele hardware/software
aferente și informațiile pe care acestea le conțin sau transmit (inclusiv aplicații software, date
și alte elemente din spațiul cibernetic); – starea sau calitatea de a fi protejat împotriva acestor
amenințări; – domeniu l extins de eforturi menite să pună în aplicare și să îmbunătățească
aceste activități și calitatea serviciilor. Securitatea cibernetică este legată, fără a fi în general
considerată identică, cu conceptul de securitate a informațiilor. Acest ultim termen poate fi
definit drept activitatea de protejare a informațiilor și a sistemelor informatice împotriva
accesului neautor izat, utilizării, dezvăluirii, întreruperii, modificării sau distrugerii, pentru a
asigura integritatea, confidențialitatea și di sponibilitatea informațiilor. Uneori, securitatea
cibernetică este necorespunzător asociată cu alte concepte, cum ar fi confidențialitatea,
schimbul de informații, colectarea de informații și supravegherea. Cu toate acestea,
securitatea cibernetică este un instrument important în protejarea vieții private și prevenirea
supravegherii neautorizate, iar schimbul de informații și colectarea de informații pot fi
instrumente utile pentru asigurarea securității informatice.
Un atac reușit poate compromite confiden țialitatea, integritatea și disponibilitatea unui sistem
TIC și ale informațiilor pe care acesta le gestionează. Fenomene precum furtul sau spionajul
cibernetic pot duce la obținerea unor informații financiare, personale sau profesionale, adesea
fără cunoș tința victimei. Atacurile de tip DoS (Denial -of-Service) pot încetini sau împiedica
accesul utilizatorilor legitimi la un sistem informatic. Printr -un malware de tip botnet, un
atacator poate comanda un sistem pentru a fi utilizat în atacuri cibernetice as upra altor
sisteme. Atacurile asupra sistemelor de control industriale pot duce la distrugerea sau
întreruperea echipamentelor pe care le controlează (generatoare, pompe, centrale), cu efecte
grave la nivel regional sau statal. Cele mai multe atacuri ciber netice au un impact limitat, însă
un atac de succes asupra anumitor componente ale infrastructurii critice ar putea avea efecte
semnificative asupra securității naționale, economiei, mijloacelor de subzistență și siguranței
cetățenilor. Reducerea acestor r iscuri implică, de obicei, eliminarea surselor de amenințare,
abordarea vulnerabilităților și diminuarea impactului.

8

1.2. Managementul riscului de Securitate

Complexitatea tehnologică, aria largă de răspândire a datelor / informațiilor și numărul mare
de amenințări și incidente la adresa securității și funcționalității sistemelor distribuite
reprezintă factori care trebuie luați în considerare la dezvoltarea sistemelor informatice.
Scopul principal al procesulu i de management al riscului pentru o organizație are în vedere
protecția acesteia și capacitatea sa de a îndeplini misiunea. În acest sens, procesul de
management al riscului nu trebuie tratat ca o funcție tehnică efectuată de experți care
operează și gest ionează sistemul informatic, ci ca un element esențial în funcționarea unei
organizații. Dezvoltarea unei strategii de protecție a resurselor organizației este un proces
complex și sensibil din punctul de vedere al componentelor pe care le implică manageme ntul
riscului. În literatura de specialitate, managementul riscului este definit ca „procesul de
identificare a vulnerabilităților și amenințărilor din cadrul unei organizații și de elaborare a
unor măsuri de minimizare a impactului acestora asupra resurse lor informaționale”. [34] În
general, majoritatea organizațiilor se concentrează pe protecția fizică (în special pe
vulnerabilitățile infrastructurii – rețea, sisteme de calcul) și nu reușesc să stabilească efectele
asupra celor mai importante resurse. O a bordare incompletă produce un decalaj între
necesarul operațional și cel al sistemului informatic, lăsând bunuri valoroase sub incidența
riscului. Abordările curente pentru managementul riscului legate de securitatea informației
tind să fie incomplete deoa rece nu reușesc să includă în cadrul analizei toate componentele
riscului (bunuri, amenințări și vulnerabilități). Managementul riscului este procesul care
permite nivelului managerial să asigure un echilibru între costurile operaționale, resursele
financi are necesare pentru implementarea măsurilor de protecție și atingerea obiectivelor
privind protecția resurselor (infrastructura, sistemele de calcul, aplicațiile, datele) care susțin
activitatea. Conform NIST, managementul riscului este „procesul care perm ite managerilor
IT echilibrarea costurilor operaționale și financiare ale măsurilor de protecție pentru a realiza
un câștig în raport cu capacitatea de protecție a sistemelor informatice și a datelor care sunt
suport pentru misiunea organizației”. [34] Ace astă definiție are la bază eventualitatea ca un
eveniment (neprevăzut sau anticipat de decident cu o anumită probabilitate) să se
materializeze și să afecteze negativ anumite aspecte ale activității operaționale. Planificarea
managementului riscului este p rocesul prin care se decide modul de abordare și planificare a
activităților de management al riscului. Înainte de inițierea oricăror acțiuni de management al
riscurilor trebuie să se evalueze existența unui potențial de risc pentru sistemul analizat cu
privire la domeniul de activitate. Această evaluare trebuie să țină cont de toate activitățile
care implică sistemul și care ar putea să conțină un risc potențial. Se obține astfel o listă de
activități și o clasificare a riscurilor potențiale în activități fără risc, cu risc scăzut și cu
potențial de risc ridicat. Procesul de management al riscului în general constă din
desfășurarea următoarelor etape: – evaluarea riscului – identificarea și clasificarea riscurilor
care pot să afecteze organizațiile (planif icarea și colectarea datelor legate de risc, ierarhizarea
riscurilor); – coordonarea procesului decizional – identificarea și evaluarea măsurilor de
control ținând cont de raportul cost -beneficii (definirea cerințelor funcționale, identificarea
soluțiilor de control, revizuirea soluțiilor în comparație cu cerințele, estimarea reducerii

9
riscurilor, selectarea strategiei de atenuare a riscului); – implementarea controalelor –
implementarea și rularea de măsuri de control menite să reducă sau să elimine riscur ile
(căutarea unor abordări alternative, organizarea soluțiilor de control);
– măsurarea ef icacității programului – analiza eficienței măsurilor de control adoptate și
verificarea gradului de protecție pe care îl asigură controalele aplicate (elaborarea
formularelor de risc al securității, măsurarea eficacității controalelor).

Figură 1 . Procesul de management al riscului

Analiza riscurilor (identificarea și evaluarea riscurilor) reprezintă unul dintre cele mai
importante aspecte ale securității , iar în conformitate cu bunele practici din domeniu,
organizații le trebuie să abordeze probl ema riscului în patru etape :

– identificarea și evaluarea informațiilor importante;
– identificarea și evaluarea amenințărilor;
– evaluarea vulnerabilităților;
– evaluarea riscului.

Metode de evaluare a riscurilor

Sistemele informatice actuale sunt esențiale pentru desfășurarea proceselor operaționale în
majoritatea organizațiilor. Deciziile cu privire la protecția infrastructurilor IT pentru
obținerea unui randament optim al investițiilor în securitate implică necesitatea i erarhizării pe
baza importanței în cadrul sistemului. În acest sens au fost dezvoltate o serie de metode și
instrumente pentru dezvoltarea domeniului managementului riscului. Astfel, ENISA (Agenția
Europeană pentru Securitatea Rețelelor Informatice și a Da telor) propune o serie de criterii de
evaluare a metodologiilor de management al riscului bazate pe elemente esențiale ale
domeniului: identificare, analiză, evaluare, estimare, acceptare, tratare și comunicare. [18] În
accepțiunea ENISA, separarea etapelo r de identificare, analiză și evaluare a riscurilor
contribuie la o mai bună coordonare a procesului consolidat de management al riscului.

10
Practic, managementul riscului se concentrează pe partea de tratare, acceptare și comunicare
a riscului, activități î n general specifice managementului .

Figură 2 . Etapele procesului de management al riscului

1.3. Analiza structurii atacurilor cibernetice

Esența unei intruziuni constă în faptul că atacatorul cibernetic trebuie să creeze o metodă prin
care să penetreze sist emul de securitate, să se plaseze în mediul informatic securizat și, de
acolo, să acționeze asupra obiectivelor vizate, încălcând confidențialitatea, integritatea și
disponibilitatea datelor, aplicațiilor sau echipamentelor din acel mediu informatic. Struc tura
atacurilor cibernetice a fost definită de cercetătorii de la Lockheed Martin prin modelul de
intruziune Cyber Kill Chain.
Un model de intruziune este un proces sistematic de urmărire și capturare a adversarului în
vederea obținerii efectelor dorite. Î n doctrina militară americană sunt definiți pașii acestui
proces: – găsire: identificarea țintelor adverse în vederea capturării; – localizare: stabilirea
coordonatelor acestor ținte; – urmărire: observarea și monitorizarea activităților; – țintire:
utilizarea armelor adecvate pentru obținerea efectelor dorite; – capturare: prinderea
adversarului; – evaluare: estimarea efectelor produse. Acest proces integrat, punct -la-punct,
este descris ca un „lanț” (chain), deoarece orice deficiență, la oricare nivel, v a întrerupe
funcționarea întregului proces. Modelul de intruziune constă în recunoaștere, înarmare,
livrare, exploatare, instalare, comandă și control și acțiuni asupra obiectivelor.

Figură 3. Modelul de intruziune Cyber Kill Chain

Conform termenilor folosiți în descrierea atacului asupra unei infrastructuri cibernetice sau în
spionarea traficului dintr -o rețea de calculatoare , etapele de mai sus constau în:

11
Recunoaștere – cercetarea, identificarea și selectarea țintelor – poate consta în căutarea
adreselor e -mail, a relațiilor sociale sau a datelor despre o anumită tehnologie, informații
afișate pe diverse site -uri Web;
Înarmare – realizarea unei aplicații de tip malware care, combinată cu o breșă de securitate
exploatabilă, să permită accesul de la distanță. Mai mult, fișiere de tip PDF sau specifice
suitei Microsoft Office pot fi privite ca arme la dispoziția atacatorului .
Livrare – transmiterea armei în mediul vizat. Principalele căi de transport sunt poșta
electronică (atașarea unor fișiere infectate), platformele Web (rularea unor scripturi malware)
sau memoriile USB detașabile.
Exploatare – după ce arma este livrat ă victimei, urmează țintirea unei aplicații sau
vulnerabilități a sistemului de operare. Fișierul infectat se poate folosi de facilitatea de auto –
executare pentru a lansa codul malware sau poate fi executat chiar de utilizator. – Instalare –
infectarea unu i sistem victimă cu un troian, backdoor sau altă aplicație malware de acest tip
ce asigură prezența atacatorului în mediul vizat;
Comandă și control – de obicei o gazdă infectată trebuie să fie accesibilă din afara rețelei
locale pentru a se putea stabil i un canal de comandă și control între victimă și atacator. Odată
realizată această comunicare bidirecțională, un atacator are acces în interiorul mediului vizat
și poate controla activitatea prin lansarea manuală a unor comenzi.
Acțiuni asupra obiective lor – după realizarea primelor șase faze, un atacator poate acționa în
vederea atingerii obiectivelor propuse. Aceste acțiuni constau de regulă în colectarea
informațiilor din mediul compromis, modificarea integrității datelor sau atacuri la
disponibilitat ea serviciilor și a echipamentelor, însă sistemul victimă poate fi folosit și ca
punct de plecare în infectarea altor sisteme sau pentru accesul în rețeaua locală.

Principalele tipuri de atacuri cibernetice la ora actuală sunt realizate prin aplicații malw are,
prin refuzul serviciilor (DoS, DDoS), prin afectarea poștei electronice și a aplicațiilor Web, o
ultimă categorie fiind reprezentată de atacurile tip APT (Advanced Persistent Threat).

Atacurile de tip malware sunt cele mai răspândite forme de atac:
virușii informatici sunt aplicații cu efecte de cele mai multe ori distructive, proiectate pentru a
infecta un sistem informatic. Virușii prezintă două caracteristici principale: se auto -execută și
se auto -multiplică în sistemul infectat.
troienii sunt apl icații ce dau impresia că efectuează operații legitime, dar de fapt încearcă să
exploreze vulnerabilități ale sistemului informatic și să deschidă porturi în sistemul de
operare pentru a permite accesul atacatorilor în sistem;
viermii informatici sunt apl icații cu efecte distructive ce infectează sistemul informatic și se
propagă prin Internet. Viermii caută sisteme informatice cu vulnerabilități, le infectează și
efectuează operații dăunătoare, după care încearcă să se propage mai departe .
Adware este un ti p de aplicație care se instalează în sistemul de operare și transmite în mod
agresiv reclame utilizatorului;
Spyware este un tip de aplicație care captează pe ascuns diverse informații despre activitatea
utilizatorilor pe Internet;
Ransomware este un tip de aplicație malware care restricționează accesul la sistemul
informatic sau fișierele infectate și cere o răscumpărare pentru ca restricția să fie eliminată.

12
Unele tipuri de ransomware criptează datele de pe hard -disk-ul sistemului, în timp ce altele
pot bloca pur și simplu sistemul informatic și afișa mesaje menite a convinge utilizatorul să
plătească
Rogueware este o aplicație care induce în eroare utilizatorii să plătească bani pentru
îndepărtarea unor false infecții detectate în sistemul de operare. De cele mai multe ori, acest
tip de aplicații pretind că îndepărtează malware -ul găsit pe calculatoare, dar în realitate
instalează aplicații cu efect distructiv .
Scareware este o aplicație ce cauzează utilizatorilor stări de frică, de anxietate, cu scopul de a
comercializa anumite aplicații false .
Atacurile la nivelul poștei electronice au crescut exponențial în ultima perioadă. În funcție de
scopul infractorilor cibernetici, atacurile ce se transmit prin e -mail sunt de mai multe tipuri:
– e-mail bombing constă în t rimiterea repetată a unui e -mail cu fișiere atașate de mari
dimensiuni către o anumită adresă de e -mail. Acest atac duce la umplerea spațiului
disponibil pe server, făcând inaccesibil contul de e -mail.
– e-mail spoofing constă în trimiterea unor mesaje e -mail având adresa expeditorului
modificată. Acest atac este folosit pentru a ascunde identitatea reală a expeditorului
pentru a afla detalii confidențiale sau datele necesare accesării unui cont.
– e-mail spamming este un atac ce constă în trimiterea de mesaj e e-mail nesolicitate, cu
conținut de regulă comercial. Scopul acestor atacuri este de a atrage destinatarii e –
mail-urilor să intre pe anumite site -uri și să cumpere produse sau servicii ma i mult sau
mai puțin legitime.
– e-mail pshishing este un atac a c ărui amploare este în creștere, constând în trimiterea
de mesaje cu scopul de a determina destinatarii e -mailurilor să furnizeze informații
privind conturile bancare, cardurile de credit, parole sau alte detalii personale.
Atacurile la nivelul aplicațiilor Web se înmulțesc odată cu dezvoltarea spectaculoasă a
tehnologiilor Web care au dus la conceperea unor platforme interactive, cu conținut dinamic
și având o interacțiune ridicată cu utilizatorii. Aceste noi platforme prezintă însă și
vulnerabilități ce po t fi exploatate de atacatorii cibernetici în scopul de a evita măsurile de
securitate și de a accesa în mod neautorizat informațiile din bazele de date. Cele mai întâlnite
atacuri de acest tip sunt:
– SQLi: injecții cu cod sursă SQL (Structured Query Languag e), prin care un atacator
poate introduce anumite date într -o interogare SQL ce este transmisă bazei de date,
schimbând logica interogării. În acest fel, atacatorul poate evita mecanismele de
autentificare
– XSS (Cross Site Scripting): atacatorul inserează î n cadrul unui site script -uri ce sunt
executate în aplicațiile browser ale victimelor în momentul în care aceșt ia vizitează
site-ul infectat;

13
– CSRF (Cross -Site Request Forgery): atacatorul folosește relațiile de încredere stabilite
între aplicațiile Web ș i utilizatorii autentificați. Astfel, atacatorul preia controlul
asupra sesiunii victimei, având control complet asupra contului utilizatorului.
– Man in the Middle: atacatorul interceptează comunicarea dintre utilizator și website,
putând prelua datele de acces dacă acestea nu sunt transmise criptat.
1.4.Vulnerabilitățile infrastructurilor cibernetice

Vulnerabilitatea este o slăbiciune a unui sistem hardware sau software ce permite
utilizatorilor neautorizați să obțină acces asupra sa. Principalele vulnerabilități în cadrul
sistemelor informatice sunt de natură fizică, hardware, software sau umană.
Sistemele informatice sunt vulnerabile în primul rând la atacurile clasice, atunci când un
atacator reușește să pătrundă fizic în incinta sistemelor de calcul și să sustragă informații
confidențiale. Pentru a preîntâmpina acest lucru trebuie să se asigure securitatea fizică a
echipamentelor de calcul prin plasarea acestora în zone sigure, restricționate personalului
neautorizat. Accesul la aceste zone trebuie făcut prin folosirea interfoanelor, cardurilor de
acces sau dispozitivelor de scanare a datelor biometrice pentru autentificarea utilizatorilor cu
permis de intrare. O altă vulnerabilitate a sistemelor informatice o reprezintă dezastrele
naturale (cutremure, inundații, incendii) sau accidentele precum căd erile de tensiune sau
supratensiunile ce pot duce la distrugerea fizică a echipamentelor de calcul. De aceea trebuie
avute în vedere și amplasarea echipamentelor pentru reducerea riscului față de amenințările
mediului înconjurător.
O atenție deosebită treb uie acordată componentelor hardware pentru ca acestea să nu afecteze
ulterior buna funcționare a sistemelor informatice. În cazul serverelor ce furnizează servicii în
Internet trebuie alese componente hardware tolerante la defectări pentru a oferi disponib ilitate
serviciilor și datelor partajate în rețea și pentru a reduce riscul vulnerabilităților de tip
hardware. Aceste vulnerabilități sunt întâlnite cel mai des la sistemele de stocare a datelor,
fiind cele mai sensibile componente hardware. Din acest pun ct de vedere se recomandă
salvările de siguranță atât la nivelul informațiilor, cât și la nivelul sistemului de operare,
pentru repunerea rapidă a acestuia și a serviciilor configurate în caz de defecțiune.
Comunicațiile prin rețeaua Internet sunt nesigur e. Oricine se poate conecta la linia de
comunicație și poate intercepta, altera sau chiar devia traficul de date. Pentru a înlătura aceste
vulnerabilități se recomandă folosirea metodelor moderne de criptare astfel încât, în cazul în
care sunt interceptate , datele să nu poată fi decriptate.
Din punct de vedere software există mai multe tipuri de vulnerabilități:
care măresc privilegiile utilizatorilor locali fără autorizație;
care permit utilizatorilor externi să acceseze sistemul în mod neautorizat;
care permit implicarea sistemului într -un atac asupra unui terț utilizator, de exemplu atacul
DDoS (Distributed Denial of Service).
O clasificare poate fi făcută după gradul de pericol pe care îl reprezintă vulnerabilitățile
pentru sistemul informatic supus atacului. Astfel, în funcție de pericolul prezentat,
vulnerabilitățile prezintă 3 grade notate cu A, B și C (Tabelul 1).

14
Gradul de vulnerabilitate Consecințe Mod de atac

A Permite utilizatorilor
externi să acceseze în mod
neautorizat sistemul
informatic
Troieni, viermi

B Permite utilizatorilor
locali cu privilegii limitate
să-și mărească privilegiile
fără autorizație Buffer ower flow
C Permite utilizatoril or
externi să altereze procesele
sistemelor informatice DoS, DDos

Tabel 1. Gradele de vulnerabilitate și consecințele lor

Vulnerabilitățile de clasă C, cele care permit atacuri prin refuzul serviciilor, sunt
vulnerabilități ale sistemului de operare, în special ale funcțiilor de rețea. Aceste
vulnerabilități permit utilizatorilor externi să altereze serviciile de rețea ale unui sistem
informatic, sau, în anumite cazuri, transformă sistemul victimă într -un sistem zombie ce va
putea fi implicat ulterior într -un atac de tip DDoS. Aceste vulnerabilități, dacă sunt
exploatate, duc la încetinirea sau la oprirea temporară a se rviciilor de rețea oferite, cum este
cazul unor servere HTTP, FTP sau de poștă electronică. Vulnerabilitățile de clasă C nu sunt
considerate foarte grave deoarece implică doar alterarea serviciilor, nu și a datelor. Cu toate
acestea, în anumite domenii în care se pune accent mare pe disponibilitatea datelor, aceste
vulnerabilități reprezintă un risc ridicat. Vulnerabilitățile ce permit utilizatorilor locali să -și
extindă privilegiile fără autorizație, vulnerabilitățile de clasă B, ocupă o poziție medie pe
scara consecințelor. Prin aceste vulnerabilități, un utilizator cu un cont limitat va putea obține
privilegii de administrator în sistemul informatic respectiv. Tipurile de atac care permit
mărirea privilegiilor unui utilizator într -un sistem informatic sun t atacurile buffer overflow.
În urma unor erori de programare, unele aplicații alocă un spațiu insuficient de memorie
pentru stocarea informațiilor. În momentul în care spațiul de memorie este total ocupat,
informațiile ce depășesc spațiul alocat sunt stoc ate la o altă adresă din memorie. Prin
manevrarea acestor adrese, un atacator poate executa diverse comenzi cu aceleași drepturi ca
ale programului respectiv.
Cum programul de regulă are drepturi de administrator în sistemul de operare, atacatorul care
exploatează vulnerabilitatea buffer overflow poate executa comenzi în sistem cu drepturi de
administrator. Vulnerabilitățile de clasă B sunt considerate vulnerabilități grave deoarece pot
permite accesul unor utilizatori neautorizați la informații importante d in sistem.
Vulnerabilitățile de tip A, cele mai grave pe scara consecințelor, permit utilizatorilor externi
accesul la sistemul informatic. Prin atacuri cu troieni sau viermi informatici se pot deschide
breșe în securitatea sistemului informatic prin care un utilizator extern se poate conecta în
mod neautorizat la sistem. Sunt considerate vulnerabilități deosebit de grave deoarece permit
accesul utilizatorilor la sistemul de operare și la baza de date a sistemului, aceștia putând fura

15
sau chiar șterge datel e importante. Cauzele apariției vulnerabilităților într -un sistem
informatic sunt multiple, câteva dintre acestea fiind:
– erorile existente la nivelul sistemelor de operare sau al aplicațiilor;
– configurarea necorespunzătoare a sistemului de operare sau a ap licațiilor;
– cunoștințele limitate ale administratorilor de sistem sau de rețea;
– lipsa suportului dezvoltatorilor de software în rezolvarea erorilor identificate în
aplicațiile software.
Nu în ultimul rând, cele mai mari vulnerabilități sunt cele umane, date de personalul ce se
ocupă de configurarea și administrarea sistemelor informatice. Prin lipsa experienței sau
printr -o documentare inadecvată privind anumite configurări ale sistemului de operare sau ale
aplicațiilor instalate, securitatea cibernetică poate fi total compromisă. Un tip aparte îl
reprezintă vulnerabilitățile de tip zero -day, necunoscute dezvoltatorilor și furnizorilor de
software și care pot fi exploatate de criminalii cibernetici. Orice sistem informatic are
vulnerabilități, astfel că p utem spune că nu există un sistem 100% sigur. Aceste
vulnerabilități sunt folosite de multe tipuri de atacuri ce vizează un sistem informatic în mod
direct, cum ar fi atacurile de tip malware, sau indirect, în cazul implicării sistemului
informatic într -un atac de tip DDoS.

Amenințări cibernetice

Amenințarea cibernetică reprezintă circumstanța sau evenimentul care constituie un pericol
potențial la adresa securității cibernetice și se caracterizează prin asimetrie, dinamică
accentuată, caracter global și diversitate .
Acțiunile ostile împotriva unui sistem inform atic sau unei rețele de computere pot lua două
forme: atac cibernetic și exploatare cibernetică.
Atacul cibernetic reprezintă utilizarea de acțiuni deliberate de a modifica, întrerupe, înșela,
degrada sau distruge sistemele și rețelele IT ale adversarului sau informațiile și programele
rezidente sau care tranzitează aceste sisteme.
Exploatarea cibernetică reprezintă utilizarea operațiunilor de a obține informații, de obicei, în
clandestinitate și prin cea mai mică intervenție posibil. În literatura de spe cialitate aceste
nuanțe conceptuale sunt mai rar folosite, termenul consacrat fiind cel de atac cibernetic.
Clasificarea tipurilor de atac asupra unui sistem informatic și de comunicații sau a unei rețele
de astfel de sisteme, precum și a incidentelor prov ocate este destul de dificilă și uneori
relativă. În literatura de specialitate, există un număr de modele care descriu etapele unui
atac cibernetic, exemplul cel mai popular fiind Cyber Kill Chain al lui Lockheed Martin care
permite profesioniștilor în securitate cibernetică să remedieze proactiv și să diminueze
efectele atacurilor avansate.

16
Modelul este un proces de apărare bazat pe intelligence, care stabilește cele șapte faze pe care
trebuie să le parcurgă adversarul pentru a -și îndeplini obiectivul d e prelua controlul asupra
sistemului sau de a obține informații valoroase. Astfel, etapele atacului sunt: recunoașterea –
identificarea țintelor, înarmarea – prepararea operațiunii, livrarea – lansarea operațiunii,
exploatarea – câștigarea accesului la sis temul victimei, instalarea – stabilirea conexiunii cu
sistemul victimei, comanda și controlul/ C2 – controlul de la distanță a implanturilor,
acțiunile propriu -zise în conformitate cu obiectivele – atingerea scopului misiunii.
Unii autori utilizează o form ă simplificată a Cyber Kill Chain, ilustrând patru stadii în
derularea atacurilor cibernetice: studierea, livrarea, breșa și afectarea. Atribuirea unui atac
cibernetic – determinarea sursei, locației și identității unui atacator – este extrem de dificilă
deoarece creatorii Internetului nu au proiectat mijloace fiabile pentru urmărirea locației
mesajului. Hackerii inteligenți se ascund în arhitectura -labirint de pe Internet, pot denatura
adevărata origine a unui atac printr -o serie de computere compromise sau pot lăsa „steaguri
false” care incriminează, în mod nevinovat, o altă entitate. Acest aspect sistemic al
Internetului nu poate fi modificat, statele confruntându -se cu perspectiva de a pierde un
conflict cibernetic fără a cunoaște identitatea adversar ului. Evoluției malware -ului
evidențiază clar faptul că nu mai putem vorbi de un simplu cod malware, ci de adevărate
arme cibernetice pe care atacatorii le pot folosi pentru atingerea scopurilor. Chiar dacă nu
există consens internațional în ceea ce prive ște definirea termenului de armă cibernetică,
putem considera ca viabilă definiția propusă de Thomas Rid ș i Peter McBurney: „Un cod care
este utilizat sau este proiectat pentru a fi utilizat cu scopul de a speria sau a cauza pagube
fizice, funcționale sa u mentale structurilor, sistemelor sau ființelor umane”
Asemenea unei rachete, o armă cibernetică este formată din trei elemente de bază: un vehicul
de livrare, un sistem de navigație – componenta cu ajutorul căreia se ajunge la țintă și
încărcătura – compo nenta care produce vătămări. Spre deosebire de arme nucleare sau alte
arme de distrugere în masă, armele cibernetice au devenit ușor de obținut și de utilizat, mult
mai puternice și tot mai sofisticate, făcând din atacurile cibernetice o problemă globală foarte
presantă datorită riscurilor și costurilor scăzute și ușurinței și eficienței în derulare.
Sisteme, metode și tehnici de detectare și prevenire a atacurilor
cibernetice

Proliferarea rapidă a amenințărilor interne și externe împotriva sistemelor info rmatice îi
obligă pe administratorii de sisteme să se gândească la Sisteme de Detectare a Intruziunilor/
IDS și Sisteme de Prevenire a Intruziunilor/ IPS , concepute pentru a preveni tentativele de
intruziune avansate în cadrul sistemelor.
Un IDS monitorizeaz ă activitățile legate de rețea și procesele sistemului de operare pentru a
detecta potențialele intruziuni și a le raporta administratorilor de sistem care au decid asupra
acțiunilor ce pot fi întreprinse. După faza de identificare a unei intruziuni realiz ată de IDS,
IPS încearcă să blocheze aceste activități.

17
O altă tehnică de apărare cibernetică este reprezentată de utilizarea honeypot -urile. Termenul
honeypot poate fi descris ca „o resursă generală de calcul, al cărei u nic scop es te de a fi
probată, atacată, compromisă, utilizată sau acce sată în orice mod neautorizat” , în scopul de a
colecta informații despre atac și atacator. Acesta a căpătat, în ultimii ani, o popularitate din ce
în ce mai mare în rândul experților care se ocupă cu problemele de se curitate cibernetică.
Unul dintre principalele beneficii ale utilizării unui sistem honeypot este modificarea fazelor
unui atac cibernetic.
Această abordare poate fi folosită ca un sistem de avertizare timpurie, crescând astfel timpul
pentru luarea măsurilo r adecvate, avantajul față de sistemele IDS/ IPS fiind că atacurile nu au
loc pe sistemele de producție, critice într -o organizație.
Tehnica honeytoken este o altă abordare pentru a obține informații suplimentare despre
atacatori și identitatea acestora. H oneytoken -ul nu este un sistem informatic, poate fi un
mesaj de email, un fișier text, un site sau ceva util, care ar putea ajuta la dezvăluirea
identității agresorilor. În zilele noastre, în care există numeroase atacuri care nu au ținte
specifice, ataca torii, în special cei cu motivație financiară, fiind în căutarea unor „fructe
agățătoare”, care pot fi compromise fără prea mare efort, beneficiile utilizării sistemelor
honeypot sunt evidente .
CAPITOLUL 2
SECURITATEA CIBERNETICĂ
Securitatea ciberne tică este o dimensiune a securității naționale, din perspectiva faptului că
un atac generat prin intermediul computerului este din ce în ce mai ușor de efectuat în
termeni de bani și logistică și vizează, în principal, sistemele a căror disfuncționalitate, chiar
și temporară, ar avea efecte destabilizatoare asupra securității naționale.
Provocările încorporate în acest concept se referă la gestionarea riscurilor, amenințărilor și
vulnerabil ităților prin dezvoltarea unor strategii de securitate cupri nzătoare și a unor planuri
concrete de implementare. Securitatea cibernetică rep rezintă „starea de normalitate rezultată
în urma aplicării unui a nsamblu de măsuri proactive și reactive prin care se asigură
confidențialitatea, integritatea, disponibilit atea, autenticitatea și nonrepudierea informațiilor
în format electronic, a resurselor și servic iilor publice sau private, din spațiul cibernetic.
Măsurile proactive și reactive pot include politici, concepte, standarde și ghiduri de
securitate, managem entul riscului, activități de instruire și conștienti zare, implementarea de
soluții tehnice de protejare a infrastructurilor cibernetice, managementul identității,
managementul consecințelor” .

2.1 Infrastructuri cibernetice critice

18
În literatura de specialitate se utilizează sintagma IC pentru orice entitate economică
funcțională, care oferă produse/ bunuri și servicii de utilitate publică, vitale pentru întreaga
societate și a cărei distrugere, degradare ori aducere în stare de nefu ncționare produc un
impact major asupra populației și economiei la nivel național sau regional .
Termenul IC a fost folosit, oficial, pentru prima oară în iulie 1998, când președintele
american Bill Clinton a decretat Ordinul Executiv privind protecția infras tructurii critice .
Începând cu explozia tehnologică din anii 1970, IC și sistemele IT au devenit, treptat,
convergente și au început să ridice noi probleme de securitate. Progresul tehnologic a permis
controlul de la distanță a IC într -o manieră convenabilă, generând un nou tip de infrastructură
– infrastructură cibernetică critice/ ICC. Identificarea ICC este primul pas în procesul de a
asigura securitatea și protecția disponibilității activelor critice, principalul punct de plecare
fiind IC care depind de e le. La rândul său, IC sunt definite pe baza unor sectoare/ servicii
critice. Listele orientative de sectoare critice, puse la dispoziție la nivelul UE, nu sunt
utilizate ca atare în toate statele membre, fiecare țară punându -și în practică propriile liste.
Metodologia de identificare este bazată pe impactul pe care nefuncționarea corespunzătoare a
unui serviciu îl poate avea asupra funcțiilor vitale ale societății. În acest sens, pot fi luate în
discuție două direcții: una orientată spre stat și una orienta tă spre operator.
2.2 Cadrul național în domeniul securității cibernetice

Numeroasele incidente de securitate cibernetică și evoluția atacurilor cibernetice din ultima
vreme au determinat necesitatea adoptării la nivel internațional a unor politici și strateg ii în
domeniul securității cibernetice. Aceste strategii subliniază necesitatea dezvoltării unor
capabilități proprii fiecărei țări pentru contracararea atacurilor cibernetice și stabilesc cadrul
general de acțiune și cooperare pentru limitarea efectelor a cestora. Prin aceste strategii se
dorește implementarea unor măsuri de securitate pentru protecția infrastructurilor cibernetice,
în special pentru cele ce susțin infrastructurile critice naționale.
2.3. Studiul alertelor de securitate cibernetică procesate la nivel național

CERT -RO a colectat și procesat în anul 2016 un număr de 110 194 980 alerte de securitate
cibernetică (în creștere față de anul 2015 cu 61,55%), ce au afectat un număr de 2 920 407
adrese IP unice.
An Numar de alerte
2013 43 231 599
2014 78 769 993
2015 68 205 856
2016 110 194 890
Tabel 2. Alerte de securitate cibernetică procesate la nivel national

19
În pofida aspectelor tehnice ce fac imposibilă identificarea numărului exact de dispozitive sau
persoane afectate din spatele celor aproximativ 2,9 mil. adrese IP sau 110 mil. al erte raportate
la CERT -RO, este important de reținut că acestea acoperă aproximativ 38,72% din spațiul
cibernetic național (raportat la numărul de adrese IP alocate României) și ca urmare sunt
necesare măsuri de remediere a situației prin implicarea tuturo r actorilor cu responsabilități
de ordin tehnic sau legislativ. [43] Realizând gruparea alertelor pe incidente, a rezultat un
număr de 4 035 445 incidente în anul 2016, distribuite conform tabelului de mai jos :
Nr. crt. Clasă alertă Număr incidente Procent
1 Vulnerabilități 2 380 120 58,98 %
2 Botnet 1 653 096 40,96%
3 Malware 2 071 0,05%
4 Altele 158 0,01%

Statistica bazată pe agregarea alertelor colectate în incidente arată faptul că sistemele
informatice ce fac parte din rețele de tip botnet (40,96%) reprezintă în continuare o problemă
principală a spațiului cibernetic național, alături de sistemele informatice vulnerabile
(58,98%).
Un procent de 13% din totalul alertelor colectate și procesate de C ERT -RO în anul 2016
conțin și informații referitoare la tipul de malware asociat alertei (precum alertele de tip
botnet sau cele referitoare la URL -uri malițioase).
Nr. crt. Tip malware Număr alerte Procent
1 Sality 4 953 615 34,16%
2 Downadup 2 570 006 17,72%
3 Nivdort 1 979 510 13,65%
4 Ramnit 1 081 592 7,46%
5 Dorkbot 830 914 5,73%

Tabel 4 . Top 5 tipuri de malware în România

Interesant de observat sunt principalele forme de malware răspândite pe teritoriul României
în ultim ii 3 ani.
Nr. crt. Tip malware
2018 Tip malware
2017 Tip malware
2016
1 Sality Conficker Downadup
2 Downadup Sality Zeus
3 Nivdort ZeroAcces s Sality
4 Ramnit Ramnit Virut
5 Dorkbot Tinba Zeroaccess

Tabel 5 . Top 5 tipuri de malware în Ro mânia în ultimii 3 ani

Observăm prezente în acest Top 5 tipuri de malware în Ro mânia în ultimii 3 ani în special două forme
de malware:

20
– Sality – virusul, descoperit pe 4 iunie 2003, infectează fișierele executabile de pe unitățile
locale, detașabile sau de la distanță, încercând să dezactiveze software -ul de Securitate ;
– Downadup / Con ficker – viermele, descoperit pe 21 noiembrie 2008, scanează rețelele de
calculatoare pentru a infecta sistemele de operare neactualizate, cum ar fi Windows XP sau
Windows 2003.
Ambele forme de malware, deși detectate în urmă cu peste 10 ani, încă sunt fol osite de infractorii
cibernetici, în special pentru că sunt distribuite în rețelele de tip Peer -to-Peer (P2P).
Un procent de 20,19% din totalul alertelor colectate și procesate de CERT -RO în anul 2016 conțin și
informații referitoare la sistemul de operare al sistemelor informatice vizate de alerte.
Nr. crt. Sistem de
operare Procent
1 Linux 42,96%
2 Network
Devices Firmware/OS 22,91%
3 Unix 24,02%
4 UPnP OS 8,08%
5 Windows 0,57%

Tabel 6 . Distribuție alerte totale per tipuri de sisteme de operare afectate