Cercetări privind securitatea datelor în sistemele informatice [621049]
Cercetări privind securitatea datelor în sistemele informatice
1
CUPRINS
INTRODUCERE
Motivația și oportunitatea alegerii temei.
Stadiul actual al cercetărilor privind securitatea sistemelor informatice.
Obiective propuse.
Structura tezei.
CAPITOLUL I: SECURITATEA SISTEMELOR INFORMATICE
ACTUALE ȘI SECURITATEA DA TELOR
I.1.Importanța securității sistemului informatic și a bazelor de date.
I.2.Securitatea sistemelor informatice vs. securitatea bazelor de date .
I.2.1. Noțiunea de securitatea a informației
I.2.2. Securitatea sistemelor informatice
I.2.3. Securitat ea bazelor de date
I.3.Modele de asigurare a securității sistemului informatic
I.4. Standarde, norme și politici de securitate
I.5.Vulnerabilitățile sistemelor informatice
I.5.1. Clasificarea vulerabilităților sistemelor informatice
I.5.2. Vulnerabi litățile unei rețele
I.5.3. Securizarea rețelelor sociale
I.6.Concluzii
CAPITOLUL II: ANALIZA PRINCIPALELOR TIPURI DE ATACURI
INFORMATICE
II.1. Evoluția în timp a atacurilor informatice.
II.1.1. Repere în timp privind atacurile informatice
II.1.2. Tendințe viitoare privind atacurile informatice
Cercetări privind securitatea datelor în sistemele informatice
2
II.1.3. Analiza amenințărilor informatice în România
II.2. Tipuri de atacuri informatice
II.2.1. Virușii informatici
II.2.2. Analiza viermilor informatici
II.2.3. Analiza cailor troieni
II.2.4. Programe de tip Adware și Spyware
II.2.5. IP Sniffing
II.2.6. Atacuri prin e -mail
II.2.7. Alte tipuri de atacuri informatice
II.3. Structura unui arbore de atac informatic
II.4. Concluzii.
CAPITOLUL I II: CERCETĂRI PRIVIND PRINCIPALELE METODE DE
SECURITATE A SIS TEM ELOR INFORMATICE
III.1. Criptografia
III.2. Canale de comunicații securizate
III.3. Măsuri de securitate în rețelele virtuale
III.4. Măsuri de securitate în platformele electronice
III.5. Metode de securitate în comerțul electronic
III.6. Programe ant ivirus vs. programe firewall
III.7. Concluzii
CAPITOLUL IV: CERCETĂRI PRIVIND CADRUL NORMATIV ACTUAL
ÎN DOMENIUL SECURITĂȚII INFORMATICE
IV.1. Confortul siguranței juridice pentru operațiuni prin sisteme informatice
IV.1.1. Reglementarea juridică a comer țului electronic
IV.1.2. Reglementarea juridică privind protecția și prelucrarea datelor cu caracter
personal
IV.1.3. Reglementarea actuală a infracțiunilor contra siguranței și integrității
sistemelor informatice și datelor
IV.2. Protecția juridică a baz elor de date la nivelul Uniunii Europene
Cercetări privind securitatea datelor în sistemele informatice
3
IV.2.1. Drepturile și obligațiile autorilor de baze de date vs. drepturile și
obligațiile utilizatorilor de baze de date
IV.2.2. Reglementări juridice comune statelor membre UE privind un nivel ridicat
comun de sec uritate a sistemelor informatice
IV.2.3. Reglementări juridice privind bazele de date la nivel național
IV.3. Jurisprudență europeană în domeniul protecției bazelor de date
IV.4. Practica instanțelor naționale privind protecția bazelor de date și a aut orilor lor
IV.5. Concluzii
CAPITOLUL V: CERCETARE CALITATIVĂ PRIVIND ASIGURAREA
SECURITĂȚII DATELOR CU CARACTER PERSONALE GESTIONATE
ÎNTR -UN SISTEM INFORMATIC
V.1. Stadiul actual privind tehnici de asigurare a securit ății datelor cu caracter persona l în
raport cu cerințele Regulamentului UE nr. 2016/679 (GDPR)
V.2. Metodologia cercetării calitative
V.3. Prezentarea rezultatelor și propunerea unor măsuri de asigurare a securității datelor
cu caracter personal
V.4. Concluzii
CONCLUZII GENERALE, CON TRIBU ȚII PERSONALE ȘI LIMITE ALE
CERCET ĂRII
Concluziile generale
Contribuții personale
Perspective de cercetare și dezvoltare ulterioară
ANEXE
LISTĂ DE PUBLICAȚII
BIBLIOGRAFIE
Cercetări privind securitatea datelor în sistemele informatice
4
LISTĂ DE ABREVIERI ȘI ACRONIME
Alin. Aliniat
Art. Articol
BD (engl. DB) Bază de date (engl. data base)
CE Comisia Europeană
CERT (engl.) Echipă de Răspuns la Urgențe Cibernetice ( Computer Emergency
Response Teams )
DDoS Distributed Denial of Service
ENISA (engl.) Agenția Uniunii Europene pentru Securitatea Rețele lor și a
Informațiilor (European Network and Information Security Agency)
GDPR (engl.) General Data Protection Regulation
HTTP HyperText Transfer Protocol
HTML HyperText Markup Language
ISP Internet Service Provider
IP Internet Protocol
ISO (engl.) Organizația Internațională pentru Standardizare
IT Tehnologia Informației , acronim engl. Information Technology
JOUE Jurnalul Oficial al Uniunii Europene/Comunității Europene
MAC (engl) Cod de autentificare a mesajului
MDC (engl) Cod de manipualre -detecție
NASA National Aeronautics and Space Administration (SUA)
PII Informații cu privire la Identificarea Personală (ISO27018)
RNCIS Registrul Național al Calificărilor din Învățământul Superior
SGBD/DBMS Sistem de gestiune a bazelor de date
SEAP Sistemul Electronic de Achiziții Publice din România
SMC Sistem de Management a Calității
SMI Sistem de Management Integrat
SMM Sistem de Management a Mediului
SMSI Sistem de Management al Securității Informației
SMSSM/OHSAS Sistemul de Management al Săn ătății și Securității în Muncă
SNEP Sistemul Național Electronic de Plată online a taxelor și impozitelor
SSR Site-uri de socializare în rețea
TFUE Tratatul privind funcționarea Uniunii Europene
TIC Tehnologia Informației și Comunicației
TUE Tratatul asupra Uniunii Europene
UE Uniunea Europeană
UEFISCDI Unitatea Executivă pentru Finanțarea Învățământului Superior, a Cercetării
Dezvoltării și Inovării
UNESCO Organizația Națiunilor Unite pentru Educație, Știință și Cultură
WWW World Wide Web
Cercetări privind securitatea datelor în sistemele informatice
5
INTR ODUCERE
„În esență societatea informațională este societatea care se bazează pe Internet.
De asemenea, globalizarea este, […], o consecință, cu prioritate a Internetului. ”
(acad. Mihai Drăgănescu )
Motivația și oportunitatea a leger ii temei
Apărut ca f enomen tehnologic specific societății occidentale, Internetul a devenit în
prezent un fenomen social, prin participarea utilizatorilor, din ce în ce mai numeroși, la
structurarea lui actuală. Odată instaurat în fibrele societății, Inter netul a produs și produce
consecințe noi pentru societate , afirma acad. Mihai Drăgănescu susținând faptul că dezvoltarea
actuală a Internetului se datorează în egală măsură factorilor sociali care s -au îmbinat cu cei
tehnologici , pe fondul procesului de globalizare [Drăgăne scu M., 2004 ], conturându -se astfel, în
prezent, spațiul cibernetic global. Practic, societatea contemporană, dependentă de informație, nu
poate subzista în afara spațiului cibernetic, fie cel național, fie cel global, fapt pentru care
securizarea spațiulu i cibernetic, indiferent de nivel, este și va fi permanent o preocupare comună
public -privat , deoarece problema securității informațiilor este abordată și din perspectiva
partajării informațiilor sau interconectării rețelelor private cu serviciile și platf ormele publice
conținând baze de date.
Internetul, creat tehnic de specialiști IT, în societatea actuală s-a dezvoltat indubitabil
drept rezultant ă a interacțiunii dintre instituții, state și masa mare de utilizatori, fie ei persoane
fizice sau juridice, fapt pentru care asimilăm globalizarea și ca efect al Internetului, formă la care
colaborează toți participanții la globalizare [Catrina M.M., 2011, p.103]. În egală măsură putem
aborda Internetul atât ca o resursă internațională, alături de resursa umană ș i capital, cât și ca o
piață internațională în continuă extindere [Drăgănescu M., 2001, p.13] , Internetul fiind în egală
măsură un feno men global, dar și factor al globalizării . Astfel, Internetul, această infrastructură
masivă de rețele, a schimbat modul în care societatea actuală abordează educația, mediul de
afaceri și activitățile din domeniul public, dându -se noi valențe principiului interconectării .
Pentru a se înțelege impactul și evoluția ascendentă a Internetului în societatea actuală și
în activit atea cotidiană, este suficient să se compar e dezvoltarea în timp a sistemului de
telecomunicații, element de bază și în arhitectura Internetului, cu dezvoltarea Internetului,
rezultatul fiind că dacă în peste 160 de ani de evoluție tehnologică s -a ajuns la o densitate de linii
telefonice de 17% la nivel mondial în sistemul de telecomunicații, în numai 20 de ani de la
conceptualizarea actuală a Internetului densitatea global ă a utilizatorilor Internet este de 7%
[Baltac V., 2001].
Noile tehnologii digitale care au facilitat colectarea, stocarea, prelucrarea și accesul
imediat la informație, au transformat totodată informația -resură în informație digitală care a fost
apoi transformată în noi valori economice (dezvoltarea comerțului electronic sau platforme
Cercetări privind securitatea datelor în sistemele informatice
6
pentru achiziții -SEAP , spre exemplu) și sociale (dezvoltarea rețelelor de educație și socializare),
creându -se astfel noi oportunități pentru dezvoltarea de noi produse și servicii adaptate actualei
societăți și economii digitale.
Academician Mihai Drăgănesc u pornind de la legătura intrinsecă dintre informație și
cunoaștere : cunoașterea este informație cu înțeles și informație care acționează [Drăgănescu M.,
1984, p.25 -29], demonstrează că, de fapt, societatea actuală bazată pe cunoaștere, ca fiind al
patrule a factor de producție economică, înglobează deopotrivă societatea informațională și
societatea informatică. Astfel, societatea cunoașterii se grefează atât pe societatea
informațională, care permite membrilor săi accesul larg la informație în toate sferele de activitate
cu impact economic și social major [Șerb A. et al. , 2013, p.18], cât și pe societatea informatică ,
societate care s -a dezvoltat din punct de vedere tehnologic la convergența a trei sectoare :
tehnologia informației, tehnologia comunicațiilor și producția de conținut digital , fiind astfel
caracterizată prin dominația proceselor informaționale bazate pe tehnologia informației și
comunicației care conduc implicit la reconceptualizarea sistemelor de servicii și produse de
informare [Gărăiman D., 2013, p.198] .
Internetul, prin resursele sale informaționale și serviciile de comunicații oferite a
transformat informația în resursă -cheie și factor de producție în economia digitală, a schimbat
coordonatele societății industriale, specifică sfârșitului m ileniului II, reașezând între factorii de
producție informația, separată de cele mai multe ori de suportul fizic, și asigurând astfel tranziția
spre actuala societate informațională.
Fiind inevitabilă , din perspectivă tehnică și social -economică , trecerea la societatea
informațională, ca etapă intermediară spre actuala societate a cunoașterii, încă din anul 1993
organismele politice și executive ale Uniunii Europene au elaborat o serie de programe și
strategii necesare implementări i schimbărilor m ajore în mediul de lucru al administrațiilor
publice dar și al activității economice provate (licitații on -line, plăți on -line, comerț on -line),
conștiente că astfel de demersuri fuseseră deja demarate de către Statele Unite ale Americii și de
către state asiatice , iar România ca stat mebru a fost, la rândul ei , antrenată în realizarea
măsurilor tehnice și normative, precum și a obiectivelor stabilite prin directivele Parlamentului
European privind stabilirea cadrului comunitar pentru Societatea Informațională.
Luân d ca reper de reprezentativitate a voinței politice de reglementare strategică a
premiselor societății informaționale Raportul președintelui Comisiei Europene Jacques Delors în
fața Consiliului European în decembrie 1993 cu titlul Cartea Albă asupra crește rii
competitivității locurilor de muncă – provocările și căile spre secolul 21 reprezintă primul
document oficial asupra impactului pe care îl are societatea informațională , prezentată totodată
ca un răspuns la nevoile Europei, fiind identificate patru apl icații prioritare : teleworking,
educație la distanță, telemedicină și elgături între administrații [Șandor S.D., 1998].
Conștientizându -se efectele impactului noilor tehnologii, deoarece societatea informațională
înseamnă schimbare în toate domeniile vieț ii publice și private, Consiliul European a cerut în
reuniunea de la Corfu (iunie 1994) prezentarea de către un grup de personalități a unor măsuri
pentru Comunitatea Europeană și statele membre privind îmbunătățirea infrastructurii în
Cercetări privind securitatea datelor în sistemele informatice
7
domeniul informație i, măsuri concretizate în Raportul Bangemann (după numele conducătorului
grupului) în care un accent deosebit este pus asupra unei rețele trans -europene a administrației
publice, dar nu este neglijat nici sectorul privat considerat drept motorul implemntăr ii societății
informaționale [Europe and the global information society, 2009].
Demersurile sunt continuate prin documentul eEurope – O Societate Informațională
pentru toți (adoptat la 8 decembrie 1999) care propune accelerarea implementării tehnologiilo r
digitale și creșterea competențelor pentru utilizarea acestora la scară largă în Europa, asigurarea
creșterii economice ca rezultat al utilizării tehnologiilor digitale care asigură accesul, prelucrarea
și stocarea facilă, sigură și mai ieftină a informa țiilor, inițiativa fiind ulterior susținută de
Comisia Europeană prin noi programe dintre care amintim : eEurope+ lansat în anul 2002 și
centrat pe extinderea utilizării rețelelor de bandă largă în toată Europa și dezvoltarea protocolului
Internet IPv6 , asigurarea securității mediului de comunicații, în special a comerțului electronic și
serviciilor de telefonie mobilă și multimedia; Interchange of Data between Administrations
(IDA) privind implementarea sistemlor de tip e -guvernare; eTEN finalizat în 2006 ș i al cărui
obiectiv principal a fost dezvoltarea de servicii electronice la nivel trans -european; Interoperable
Delivery of Eturopean eGovernment Services to public Administration, Business and Citizens
(IDABC) implementat pe baza deciziei Parlamentului Eu ropean în anul 2004 pentru susținerea și
promovarea serviciilor publice transfrontaliere pentru cetățeni și mediul de afaceri din statele
membre .
Pe lângă aceste programe, directivele Parlamentului European referitoare la Societatea
Informațională cu accen t pe furnizarea serviciilor el ectronice contribuie la crearea unui cadru
armonizat pentru asigurarea convergențe i dintre acțiunile și programele statelor membre UE cu
programele implement ate la nivel european, sens în care cele mai relevante directive,
implementate și în legislația națională, sunt : Directiva 1999/93/CE privind un cadru comunitar
pentru semnăturile electronice ( implementată prin Legea nr.455/2001 privind semnătura
electronică) în prezent fiind abrogată de Regulamentul UE nr.910/2014 privind identificarea
electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă ; Directiva
2000/31/CE privind aspectele juridice ale societăților informaționale, în special ale comerțului
electronic pe piața internă cunoscută drept Directiva privind comerțul electronic (implemetnată
prin Legea nr.365/20 02 privind comerțul electronic); Directiva 2002/19/CE privind accesul la
rețele de comunicații electronice și la infrastructura asociată, precum și interconectarea acestora
cunoscută dr ept Directiva privind accesul (implementată inițial prin Ordonanța de Urgență a
Guvernului nr.34/2002 privind accesul la rețelele public e de comunicații electronice și la
infrastructura asociata, precum și interconectarea acestora, abrogată în prezent de Ordonanța de
Urgență a Guvernului nr.111/2011 privind comunicațiile electronice) ; Directiva 2002/21/CE
privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice
modificată prin Directiva 2009/140/CE (ambele transpuse pr in O rdonanța de Urgență a
Guvernului nr.70/2006 privind modificarea și completarea unor acte normative din domeniul
comunicațiilor electronice și al serviciilor poștale, Ordonanța de Urgență a Guvernului
nr.111/2011 privind comunicațiile electronice și Leg ea nr.154/2012 privind regimul
Cercetări privind securitatea datelor în sistemele informatice
8
infrastructurii rețelelor de comunicații electronice); Directiva 2002/58/CE privind prelucrarea
datelor cu caracter personal și protecția intimității în sectorul comunicațiilor electronice
cunoscută drept Directiva privind vi ața privată și comunicațiile electronice (impleme ntată prin
Legea nr.506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în
sectorul comunicațiilor electronice ); Regulamentul Parlamentului European și al Consiliului
nr.460 /2004 de instituire a Agenției Europene însărcinate cu Securitatea Rețelelor și a
Informației în prezent abrogat de Regulamentul UE nr.526/2013 al Parlamentului European și al
Consiliului privind Agenția Uniunii Europene pentru Securitatea Rețelelor și a I nformațiilor
(ENISA) .
Preocuparea recentă, atât la nivel juridic cât și la nivelul tehnicilor de securitate IT, în
mileniul III, fie este vorba de activități economice, fie de acțiuni de socializare care se desfășoară
prin intermediul Internetului și al re țelelor de calculatoare, este cea a asigurării securității,
integrității și confidențialității datelor cu caracter personal ale persoane lor fizice , date gestionate,
arhivate și prelucrate într -un sistem informatic, deoarece prin tehnicile de prelucrare a d atelor s -a
ajuns la o ingerință în viața privată a utilizatorilor unei rețele prin folosirea acestor date (bunuri
proprii) fie de către operatorii economici, care urmăresc obținerea de profituri financiare, sau
manipularea opiniei publice și gestionarea te ndințelor comportamentale identificate prin
prelucrarea datelor personale, fie de către agenții de amenințare care accesând ilegal datele
personale le folosesc în scopuri ilegitime, uneori chiar pentru a -și ascunde identitatea. Din
această perspectivă, unul din dezideratele Regulamentului UE nr.2016/679 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și pri vind libera
circulație a acesto r date, document cunoscut drept GDPR (în vigoare pentru toate statele me mbre
UE începând cu 25 mai 2018), este acela că protecția persoanelor fizice ar trebui să fie neutră din
punct de vedere tehnologic și să nu depindă de tehnologiile utilizate pentru prelucrarea datelor cu
caracter personal.
Se constată, privind retrospecti v de-a lungul anilor, că interconectarea și crearea
cyberspațiului au apărut drept naturale în dezvoltarea tehnologică a societății la nivel global,
drept dovadă atât predecesorul Internet -ului, ARPANET, cât și Internetul au fost create prioritar
pentru a se facilita colectarea, prelucrarea și schimbul de informații , fiind rețele deschise , nefiind
abordată proporțional cu dezvoltarea infrastructurii și prob lematica securizării sistemului.
Implicarea tehnicii în r ealitatea mediului de afaceri și a celui geop olitic, în contextul în care
astăzi se vorbește tot mai des de terorism informațional ca nouă formă a fenomenului
infracțional, a demonstr at că insecuritatea cyberspațiului trebuie conștientizată și abordată în
paralel cu dezvoltarea TIC, iar măsurile de s ecurizare și practicile organizaționale de control
trebuie dezvoltate și implementate în sistemele informatice în mod exponențial cu volumul
operațiunilor de prelucrarea a datelor și comunicare a informațiilor folosite .
Contextul național și internațional , generat de inte rconectarea la nivel global, al
amenințărilor asupra sistemelor informatice este în continuă schimbare, prin modificarea
continuă a metodelor de accesare ilegală a sistemelor informatice publice și private, iar
incidentele de securitate, î n timp, pot scădea încrederea pe care utilizatorii o au în tehnologie,
Cercetări privind securitatea datelor în sistemele informatice
9
rețele și servicii, pentru ca per ansamblul societății să fie afectată capacitatea de valorificar e la
maximum a potențialului pie ței interne și utilizarea la scară largă a tehnologiei i nformației și
comunicațiilor (TIC).
Securitatea sistemelor informatice este în egală măsură o problemă tehnică, deși uneori
la echipamente tehnice performante securitatea se poate asigura cu mijloace ieftine (soluții
software accesibile), cât și o problemă umană , care impune o anumită viziune managerială
privind accesul și controlul accesului la sistemele informatice ale unei organizații. Aceste aspecte
țin de managementul organizațional, fapt pentru ca la nivelul secolului XXI se militează pentru
implement area Sistemului de Management Integrat.
Stadiul actual al cercetărilor privind securitatea sistemelor informatice.
Din a doua jumatate a secolului XX, încă din anii ’60 au apărut preocupări la nivel
științific -teoretic și tehnologic -practic pe linia securi tății datelor, a securității prelucrării
automate a acestora și implicit a sistemelor electronice, pentru ca obiectivul securității sistemelor
informatice să fie preluat treptat ca obiectiv principal de organisme naționale și internaționale
(spre exemplu, o astfel de organizație a specialiștilor preocupați de prelucrarea informațiilor este
IFIP-International Federation for Information Processing, înființată în 1960 sub auspiciile
UNESCO, și grupând nu mai puțin de 13 comisii tehnice și grupuri de lucru) .
În anii ’70 încep să fie introduse în plaurile de învățământ la universități tehnice și chiar
economice din Statele Unite ale Americii și Canada cursuri de Criptografie și securitatea
datelor, respectiv cursuri de Securitatea datelor și informațiilor și con tabilitate analitică , pentru
ca odată cu extinderea tehnologiei informației în toate sectoarele de activitate socială, începând
cu anul universitar 1999/2000 să fie introduse cursuri de securitate informațională și la doemnii
de studii precum politici inte rnaționale, administrație publică, comunicare și științe socioumane
[Oprea D., 2007, p.17] .
În prezent, și în România în universitățile de profil tehnic și nu numai se regăsesc
discipline precum Securitatea informației (Universitatea Politehnică Timoșoara ), Securitatea
cibernetică (Academia de Studii Economice București), dar și programe de master precum
Teoria Codării și Stocării Informației la Universitatea Politehnică București sau Securitatea
Tehnologiei Informației în cadrul Academiei Tehnice Militare București.
În contextul globalizării și interconexiunilor sistemelor informatice din actuala societate
digitală, noțiunea de securitate informatică trebuie definită din perspectivă tehnică și a
procedurilor de sistem, însă conceptualizarea noțiunii de sec uritate a devenit posibilă odată cu
reglementarea juridică a noțiunii, conceptul de securitate căpătând sens normativ pe mai multe
niveluri: securitate națională, securitate regională, securitate internațională sau conceptul mai
utilizat în prezent, cel de securitate globală.
Având în vedere stadiul legislației la nivelul anilor ’80, când legile nu erau armonizate
cu nivelul de dezvoltare a tehnologiei informatice, în sensul că sistemul legislativ nu recunoștea
și proteja informația ca rezultat al unui proc es de prelucrare automată a datelor, cu valoare
economică reală și constituind resursă economică, este de înțeles, pe de o parte, faptul că în acea
perioadă nu puteau fi sancționate acțiunile ilegale prin care erau afectate datele și informațiile
Cercetări privind securitatea datelor în sistemele informatice
10
dintr -un sistem, pe de altă parte dezvoltarea tehnologică a impus preocuparea legiuitorilor la
nivel național pentru armonizarea legislației cu evoluția tehnică , astfel încât cu predilecție la
sfârșitul seco lului XX și începutul secolului XXI asistăm la o efervesce nță a sistemelor
legislative naționale și la nivelul Uniunii Europene în privința protecției datelor și accesului la
informațiile din sistemele informatice.
La nivelul cercetărilor actuale din România privind securitatea sistemelor informatice
am identific at, pe de o parte, abordarea problematicii în teze de doctorat în domenii diverse dar
având drept n umitor comun securitatea cibernetică ( spre exemplu teza de doctorat Contribuții la
studiul survivabilității sistem elor informatice susținută în anul 2011 la Universitatea Politehnică
București de către Ioan -Cosmin Mihai, tezele de doctorat susținute la Academia de Poliție
Alexandru Ioan Cuza București în anul 2014 – Criminalitatea informatică autor Octavian Vară,
și în anul 2016 – Managementul securității cibe rnetice la nivel național –repere fundamentale și
percepție socială , teza de doctorat susținută la Universitatea Babes -Bolyai în anul 2014 de
doctorand Cristina Racoceanu cu titlul Securitatea sistem elor informatice și managementul
strategic în context eur opean studiu de caz: Sistemul de Sănătate din România ), pe de altă parte
am identificat preocupări și cercetări în domeniul securității informațiilor prin derularea de
proiecte de cercetare cum a fost spre exemplu proiectul Academiei Române dezvoltat în an ul
2001 Societatea Informațională – Societatea cunoașterii dar și proiecte de cercetare finanțate în
cadrul programului naționale de cercetare coordonate de UEFISCDI în ultimii patru ani când au
fost abordate mai multe subiecte în zona de securitate inform atică.
Primul obiectiv al tezei îl constituie analiza interdisciplinară a protecției și securității
informațiilor în sistemele informatice, din perspectiva soluțiilor tehnice adoptate și adaptate în
timp coroborat cu reglementarea juridică a activității în spațiul cibernetic, în general, și cu privire
la reglementarea legislativă privind protecția și securitatea informațiilor , respectiv protecția
datelor cu caracter personal , în mod special. Alegerea temei s -a făcut datorită gradului de
actualitate și compl exitate ridicat al domeniului privind sistemele informatice, cât și abordării
neunitare în legislațiile naționale, inclusiv la nivel european a problematicii securității
informatice și tratarea diferențiată a infracționalității informatice, deși este vorba despre același
flagel ind iferent de infrastructura IT.
Astfel, se propune identificarea unor bune practici în domeniul securității sistemelor
informatice care să spri jine autoritățile naționale (di n România în ca zul de față), dar și pe cele la
nivel europ ean atât în procesul legislativ care reglementează cadrul securității informatice, în
demersurile diminuării riscurilor vulnerabilității unui atac informatic, concomitent cu inocularea
unei adevărate culturi de securitate care să protejeze pe toți utilizat orii de Internet, indiferent de
domeniul de activitate – public sau privat.
De asemenea, datorită legăturii intrinseci dintre capabilitatea tehnică a unui sistem
informatic și aspectele juridice ferme privind identificarea și interpretarea urmelor lăsate d e un
atacator în sistem în scopul identificării autorului atacului cibernetic, au fost identificate anumite
lacune atât din punct de vedere tehnic, cât și juridic care necesită concentrarea în viitor a
Cercetări privind securitatea datelor în sistemele informatice
11
cercetărilor într-o manieră interdisciplinară pe care o susținem în domeniul securității sistemlor
informatice .
Al doilea obiectiv stabilit pentru această teză este legat de propunerea unei soluții
integrate privind asigurarea integrității și confidențialității datelor cu caracter personal prelucrate
printr -un sistem informatic , respectiv a securității informațiilor conținute pe un terminal integrat
într-un sistem informatic instituțional și care sunt informații/date cu caracter personal cu regim
special de securitate în privința colectării și preluc rării lor prin sisteme informatizate . Pentru
identificarea soluțiilor practice de securizare a unui sistem informatic în care există baze de date
cu caracter personal în scopul prelucrării s-a optat pentru aplicarea unei cercetări calitative
constând într -un intervi u de profunzime, tehnică specifică științelor umaniste , prin discuții pe
baza unor chestionare semi -structurate și semi -directive avute la nivelul a trei instituții de
învățământ superior referitor la prelucrarea datelor cu caracter personal necesară desfă șurării
activităților specifice de învățământ, respectiv din perspectiva unui angajator care prelucrează și
datele personale ale propriilor angajați.
Pornind de la ipoteza că actuala reglementare la nivel european privind protecția datelor
cu caracter per sonal, inclusiv în privința prelucrărilor prin sisteme informatice, obligă operatorii
care folosesc în activitatea proprie datele personale ale clienților, indiferent de domeniul public
sau privat, la maximă transparență, securizare și protecție în privinț a prelucrărilor cu datele cu
caracter personal, inclusiv prin regimul sancționator considerabil impus prin Regulamentul UE
nr.2016/679, obiectivele cercetării sunt de a se determina și implementat o serie de bune practici
la nivel organizațional pentru cre șterea gradului de securitate a sistemului informatic de
prelucrare a datelor cu caracter personal, asigurându -se totodată o prelucrare transparentă,
echitabilă, adecvată și limitată la ceea ce este necesar în raport cu scopurile în care sunt
prelucrate da tele (în cazul de față o instituție de învățământ superior care colectează și
prelucrează date cu caracter personal ale elevilor, studen ților, cursanților , dar și ale propriilor
angajați).
Structura tezei
Fiind o lucrare de cercetare cu o temă abordată int erdisciplinar , pentru a se conferi
rigoare științifică și profunzime analizelor efectuate, în cadrul acesteia s-au coroborat aplicații le
tehnice și protoco alele de securitate cu referințe din domeniile juridic , sociologic și economic
privind securitatea si stemelor informatice . În privința surselor de colectare a datelor în vederea
conturării stadiului actual al cercetărilor în domeniu, s -au combinat diverse surse, de la studii și
cercetări de specialitate în domeniul tehnologiei informației , ale autor ilor r omâni și străini
referitoare la aspectele analizate în prezenta lucrare, la teze de doctorat ale doctoranzilor români
și cursuri ale profesorilor universitari (format publicat și electronic ) precum și analiza unor
contracte derulate la nivel național în do meniul securității sistemelor informatice .
Contribuția personală este reflectată, pe de o parte, de realizarea analizei cadrului
legislativ actual privind asigurarea securității și confidențialității comunicațiilor electronice și
accesului în rețelele de c omunicații electronice, respectiv a cadrul normativ privind protecția în
prelucrarea datelor cu caracter personal, inclusiv prin sisteme automate, printr -o analiză a
Cercetări privind securitatea datelor în sistemele informatice
12
textelor legislative coroborat cu soluțiile tehnologice privind securitatea sistem elor inf ormatice,
iar pe de altă parte de conturarea unor măsuri practice aplicative pentru creșterea gradului de
securitate a sistemului informatic de prelucrare a datelor cu caracter personal, măsurile de
securitate propuse spre implementare fiind totodată compa tibile cu o prelucrare transparentă,
echitabilă, adecvată și limitată a datelor cu caracter personal la ceea ce este necesar în raport cu
scopurile în care sunt prelucrate datele la nivelul unei organizații, în funcție de obiectul de
activitate.
Teza de do ctorat este structurată în 5 (cinci ) capitole de bază, la care se adaugă
introducere a și, în finalul lucrării, sunt prezentate concluziile generale și contribuțiile personale.
Primul capitol abordează problematica securității datelor și infor mațiilor, prec um și a
securității actuale a sistemelor informatice, deoarece datorită puterii de control a sistem elor
informatice din infrastructurile actuale ale societății (sisteme de electricitate, sisteme de
transport, sisteme de producție, depozitare și transport d e gaz și petrol, sisteme informatice și de
comunicații, sisteme financiare și bancare, sisteme de urgență) problema securității devine o
problemă intrinsecă a societății, privind utilitatea directă de folosință a unei resurse în societate
pentru a răspund e nevoilor membrilor acesteia, și se amplifică prin interdependența sistemelor
informatice naționale la nivel global, prin politica economică globală.
În cadrul capitolului s -au abordat noțiunile de securitate a datelor, ca suport formal al
informațiilor ș i obiect al prelucrărilor automate , și de securitate a sistemelor informatice, în
contextul actual al standardelor de securitate. De asemenea, pornind de la analiza
vulnerabilităților sistemelor informatice, în scopul asigurării protecției datelor informat ice s -au
conturat măsurile pentru implementarea securității pe un sistem informatic.
Scopul principal al analizei realizate în capitolul al doilea este de a surprinde evoluția
în timp a atacurilor informatice, urmărindu -se identificarea unei tipologii a am enințărilor pornind
de la o analiză tehnică a tipurilor de atacuri informatice (viruși, viermi informatici, cai troieni,
atacuri prin e -mail) și evoluția acestora în timp.
În cadrul capitolului al treilea avându -se în vedere analiza din capitolul anterior
privind atacurile informatice și consecințele lor asupra utilizatorilor, au fost analizate
principalele metode de securizare a sistemelor informatice pornind de la criptografiere, ramură a
matematicii care se ocupă de securitatea informației concomitent cu măsuri de autentificare și
restricționare a accesului într -un sistem informatic, incluzând și semnătura digitală ca mecanism
de securitate, analizând mecanismele de securitate în rețele virtuale private și canale de
comunicații securizate și încheind cu a naliza programelor antivirus și de tip firewall.
În cadrul cercetărilor dezvoltate pentru elaborarea prezentei teze s -au identificat soluții
pertinente pe baza cărora s -a realizat și propus un model de program de securitate, analizându -se
și impactul atacu rilor în contextul folosirii programului de securitate dezvoltat.
Și pentru că dezvoltarea atacurilor informatice în timp , generate de exploatarea
vulnerabilităților sistemelor informatice , prin modul de operare al agenților de amenințare și
efectele pro duse, la nivelul micro al utilizatorului afectat și la nivelul macro al so cietății
interconectate prin In ternet, au generat fenomenul criminalității informatice, în capitolul al
Cercetări privind securitatea datelor în sistemele informatice
13
patrulea s-a realizat o analiză a cadrului normativ actual privind reglementar ea națională și
internațională în domeniul securității informatice, inclusiv din perspectiva dreptului penal care a
instituit măsuri corective în cazul infracțiunilor contra siguranței și integrității sistemelor
informatice și a datelor.
Deși reglementare a juridică a faptelor prin care se săvârșesc atacurile informatice a fost
precedată de dezvoltarea și propagarea acestor atacuri în sistemele informatice operaționale,
aspectele juridice s-au conturat în timp drept metode de probare științifică pentru prel ucrarea,
interpretarea și utilizarea probelor tehnice care permit descrierea concluzivă a unui atac
cibernetic.
Capitolul al cincilea cuprinde o cercetare de tip calitativ privind măsurile necesare și
adecvate asigurării securității prelucrărilor de date c u caracter personal prin sisteme informatice
la nivelul unui operator , pornind de la conceperea unui interviu semi -structurat menit să
identifice opiniile și pozițiile argumentate ale unor angajați din structuri identice la nivelul a trei
instituții de înv ățământ autohtone (compartiment resurse umane, compartiment juridic, birou IT
și secretar șef universitate). În cadrul capitolului , analiza calitativă și formularea concluziilor
personale s -a realizat în ultimele secțiuni, după ce în prealabil anterior emi terii ipotezei de lucru
și obiectivelor statuate s -a realizat o analiză a stadiul ui actual privind securitatea datelor cu
caracter personal în raport cu legislația în vigoare anterior intrării în vigoare a Regulamentului
UE nr. 2016/679 .
Cercetări privind securitatea datelor în sistemele informatice
14
CAPITOLUL I.
SECURITATEA SISTEMELOR INFORMATICE ACTUALE ȘI
SECURITATEA DATELOR
Evoluția tehnologică a societății, de la necesitatea colectării rapide și cantitative a
datelor și crearea unor baze de date ușor accesibile și fiabile la actuala societat e informațională, a
impus preocuparea pentru creșterea securității informațiilor concomitent cu creșterea securității
sistemelor și a rețelelor informatice. Pe fondul complexei probleme tehnice a securității
sistemelor apare drept naturală și firească preo cuparea organelor legislative de a crea
instrumentele legale și cadrul normativ pentru stabilirea politicilor și măsurilor de securitate, la
nivel micro (al persoanelor fizice și juridice) și la nivel macro (fie la nivelul unui stat, fie la nivel
global). Dependența de informație și necesitatea prelucrării și comunicării acesteia la nivelul
societății, coroborat cu cerințe le legale pentru asigurarea securității sistemelor informatice și
condiții le tehnice actuale privind operațiunile de colectare, prelucrar e, protejare și securizare a
informațiilor , a determinat prezentul demers al demonstră rii necesit ății și avantajel or
implementării politicilor de securitate informațională, indiferent de nivelul abordat.
Societatea actuală este dependentă de informația ele ctronică complexă și de
comunicarea acesteia, după stocare și prelucrare, prin rețele de comunicare securizate, astfel
încât toate organizațiile actuale (de la agenți economici la instituții și autorități publice) folosesc
informația digitală, ca resursă i nformațională a mediului Internet. Și dacă mediul socio -economic
actual utilizează informațiile și cunoștințele ca și capital intelectual al organizațiilor, ca și
resurse intangibile și imateriale generatoare de plus -valoare pe piața serviciilor și produse lor,
gestionarea acestor informații și cunoștințe necesită instrumente specifice la nivelul proceselor
manageriale și operative, respectiv sist emele informatice.
Pentru prea multă vreme tehnologiile de securitate a informației au fost văzute ca un
factor n egativ, creând valoarea prin non -eveniment. Ast ăzi, ca rezultat al rețelelor globale și al
extinderii firmelor dincolo de hotarele tradiționale prin realizarea activităților on -line,
tehnologiile de securitate a siste melor informatice apar ca facilitator d e oportunit ăți, ca un creator
de valoare, în particular prin inducerea încrederii în cei implica ți [Information Security
Governance , 2001 ].
I.1. Importanța securității sistemului informatic și a bazelor de date.
Predicțiile futuriste ale lui Alvin Toffler privind globalizarea, înlocuirea bazei
energetice din cel de -Al Doilea Val și dezvoltarea fulminantă a industriei calculatoarelor și a
celei electronice, strâns legate printr -un cordon ombilical și considerate la sfârșitul secolului XX
drept a patra indus trie din lume ca mărime, după oțel, automobile și produsele chimice [ Toffler
A., 1981, p.110 -111], s-au adeverit , societatea mileniului trei fiind o societate informatică și
digitală în care resursele informaționale au căpătat noi valențe și potențial de v alorificare în
Cercetări privind securitatea datelor în sistemele informatice
15
activitatea organizațională , permițându -se astfel eliminarea barierelor temporale și spațiale,
sporind considerabil gradul de accesibilitate și aria de utilizare a informațiilor chimice [Schiller –
Ionaș E., 2012] .
În societatea actuală infor mația este monedă de schimb și totodată materie primă, iar
pentru entitățile juridice este asimilată bunurilor incorporale; granițele fizice în domenii precum
comerțul, comunicațiile sau afacerile internaționale sunt desființate de Internet; treptat spațiu l
cibernetic devine spațiu social, de afaceri, de divertisment, de muncă, și chiar de educație. Toate
aceste transformări sociale, economice și tehnologice sunt girate, pe de o parte, de către
legiuitori, care reglementează cadrul normativ necesar asigurăr ii securității tranzacționării în
mediul virtual , gestionării informațiilor organizațiilor și prevenirii fraudelor informatice, iar pe
de altă parte, de către specialiștii IT care caută să dezvolte permanent tehnologiile de accesare,
arhivare și prelucrare a datelor cu ajutorul calculatoarelor, dar și să crească securitatea sistemelor
informatice și a rețelelor de calculatoare.
Informația pe suport hârtie, certificată prin semnătură olografă și ștampila entității
emitente circulă doar cu privire la document ele oficiale, însă treptat elementele ce atestă
valabilitatea și originea documentului sunt înlocuite cu semnătura electronică aplicată
documentelor digitale, care sunt transmise și diseminate prin poșta electronică sau Internet.
Asigurând un acces rapid ș i o gestiune facilă după anumite criterii funcționale (gen autor, data
emiterii, subiect, grad de confidențialitate, etc.), bazele de date câștigă teren în activitatea
entităților juridice care optează pentru prelucrarea și arhivarea electronică a document elor,
inclusiv prin scanarea documentelor de pe suport hârtie , precum și pentru folosirea bazelor de
date în activitatea proprie .
Chiar dacă uneori nu recunoaștem, treptat în activitățile noastre cotidiene și ale
entităților juridice suntem dependenți de a ccesul și prelucrarea rapidă a informației, tot mai
multă informație fiind stocată, prelucrată și transmisă electronic, fapt pentru care crește tentația
accesării ilegale, însușirii sau modificării informației în formă electronică, în condițiile în care
Internetul preia tot mai mult din activitățile economice ale societății, asigurând profituri
economice și avantaje concurențiale.
Achizițiile și plățile electronice prin intermediul Internetului și al sistemelor informatice
este facil, eficient și accesibil, fapt pentru care atât agenții economici dar și instituțiile statului
apelează la astfel de proceduri, iar instituțiile și guvernele statelor chiar susțin și stimulează, prin
măsuri administrative și legislative, crearea și accesarea bazelor de date și a p aginilor web
oficiale pentru diverse operațiuni economice și sociale (SEAP – Sistemul Electronic de Achiziții
Publice în România prin intermediul căruia pot fi transmise spre publicare anunțuri în JOUE –
Jurnalul Oficial al Uniunii Europene; sisteme electr onice de plăți administrate de Banca
Națională a României precum : ReGIS – sistem cu decontare pe bază brută în timp real și SaFIR –
sistemul de înregistrare și decontare a operațiunilor cu instrumente financiare; ReviSal – portal
pentru transmiterea și ge stiunea registrului de evidență a salariaților în format electronic; SNEP –
Sistemul Național Electronic de plată – platformă de plăți on -line a taxelor și impozitelor de
către contribuabili; RNCIS – Registrul Național al Calificărilor din Învățământul Sup erior, bază
Cercetări privind securitatea datelor în sistemele informatice
16
de date națională ce va cuprinde toate calificările acordate de instituțiile de învățământ superior
din România, ca să enumerăm doar câteva baze de date și platforme on -line din România).
Luând în considerare factorul uman asociat calculatorul ui, adevărul este că hardul și
softul pot fi manipulate cu ușurință de om, fie în sensul accesării ilegale de către persoane
neautorizate, fie în sensul dezvoltării cercetărilor tehnologice și îmbunătățirii mijloacelor de
protejare și securizare a sistemel or informatice.
Pornind de la aptitudinea individului de a socializa, se găsește răspunsul privind
dezvoltarea rapidă și în ritm exponențial a rețelelor de calculatoare, prin care indivizii comunică
și interacționează pe diverse domenii, și astfel se înțe lege evoluția rapidă a conectivității de la
LAN –uri la Internet.
Și dacă avantajele folosirii unei rețele de calculatoare, precum schimbul rapid de
informații, transferul de date, partajarea sarcinilor, protecția datelor și confidențialitatea
informațiil or, sunt motivul real al creșterii în mărime și importanță a rețelelor de calculatoare, la
fel de reală este și vulnerabilitatea unei rețele, căci de -a lungul timpului instrumentele și
metodele de atac la rețele au evoluat invers proporțional cu implementa rea și reglementarea
măsurilor de securitate .
Lucrul în rețea și conectarea la Internet comportă, atât pentru utilizatorul individual, cât
și pentru întregul sistem, riscuri suplimentare, de la accesul neautorizat la datele personale ale
utilizatorilor, s au la baza de date accesată de rețea, până la fraudă informatică. Dependența de
informație și comunicații, necesitatea accesabilității directe și facile la informații, factori de
dezvoltare economică și socială, au condus la consecințe a căror gravitate cr ește prin fapte de
furt, modificare sau distrugere a informației, respectiv prin întreruperea sau deteriorarea
canalelor de comunicații. Astfel, indiferent de natura sistemului informatic, de -a lungul timpului
s-au delimitat vulnerabilitățile sistem elor in formatice de atacurile asupra acestora prin elementul
volitiv al utilizatorului neautorizat care face diferența între accesările neautorizate accidentale și
cele voite, circumscrise unui scop ilegal.
Având în vedere libera circulație a informației prin re țelele Internetului și
interconectarea globală necesară dezvoltării societății, atenuarea și corectarea vulnerabilităților
și atacurilor informatice devin obligații ale fiecărei organizații care deține și folosește în
activitatea proprie rețele de calcula toare .
Securitatea este recunoscută ca fiind un concept multidimensional așa încât este
întâlnită în majoritatea domeniil or de activitate (politică, diplomație, economie, apărare, cultură,
știință etc.) , iar după specificul fiecărui domeniu se impune adop tarea de măsuri care să asigure
promovarea intereselor specifice fiecăreia în siguranță . Funcționarea optimă a societății
presupune interconectivitatea acestor sectoare , și chiar o dependență între ele, ceea ce sporește
necesitatea de securizare sectorială , dublată de o securizare și la nivelul societății.
În acest context, politica de securitate națională este obligată să țină cont de această
realitate, va trebui să fundamenteze în plan teoretic , și să întreprindă în plan practic, acele măsuri
necesare pe ntru promovarea intereselor naționale fundamentale și apărarea lor împotriva oricăror
agresiuni, pericole, amenințări, riscuri externe .
Cercetări privind securitatea datelor în sistemele informatice
17
Faptul că informația și tehnologia schimbă natura conflictelor , trecându -se de la
conflictele armate deschise la cele purtate la distanță prin canale de comunicații specializate, nu
este un lucru nou, dar accentuarea, în prezent, a rolului informației, ca instrument de putere,
determină modificări extrem de importante nu numai în activitatea unui serviciu de informații, ci
și la nivelul politicii naționale de apărare, în activitatea organizațiilor militare și în dezvoltarea
infrastructurii informaționale militare. Războiul și operațiile informaționale sunt realități deja
consacrate în spațiul euro -atlantic, și nu numai. Acț iunile de natură informațională (în practică,
operații informaționale) au și vor avea loc pe tot parcursul ciclului pace -criză -conflict -pace. Este,
așadar, esențial ca România să dispună de capacități permanente de avertizare, evaluare, analiză
și ripostă, precum și să întrețină o stare continuă de ajustare structurală și doctrinară, care să -i
permită realizarea intereselor naționale în acest mediu informațional.
În societatea informațională, informația ca armă, țintă și materie primă strategică stă la
baza tuturor deciziilor. Adaptarea la acest nou mediu (în care fluxul de informații, în timp real,
este în continuă creștere) presupune înțelegerea unor riscuri în zona managementului
informațional. O exemplificare a acestui lucru este faptul că operațiile in formaționale, așa cum
sunt ele conceptualizate în doctrinele euro -atlantice, au ca țintă de bază ciclul decizional.
Evoluția rapidă a tehnologiei informației a mărit discrepanța dintre capacitatea de producere și
cea de utilizare a informației. Sporirea ca ntității informațiilor nu atrage după sine și creșterea
calității lor, iar deținerea unor informații de calitate nu este sinonimă cu capacitatea de
valorificare a lor.
Trecerea la prelucrarea automată a datelor și gestionarea informațiilor pe suporturi și
medii digitale au impus noi aspecte tehnice cărora trebuie să le răspundă prin soluții prompte și
eficiente măsurile de securitate informatică.
Astfel securitatea sistemelor informatice trebuie să răspundă atât accesibilității datelor
în noile sisteme pr in limitarea accesului neautorizat, lipsei urmelor eventualelor atacuri criminale
datorat suprapunerii în timp a operațiunilor tehnice de ștergere și adăugare de noi înregistr ări, cât
și posibilității de agregare a datelor (spre exemplu prin programe speci ale se pot valorifica
informații de sinteză prin comasarea datelor păstrate inițial în mai multe locuri separate/baze de
date diferite) și remanenței suporturilor digitale, deoarece chiar și după operațiuni de ștergere a
datelor se poate intra în posesia i nformațiilor prin programe de restaurare a fișierelor șterse,
inițial create pentru asigurarea unui back -up de rezervă, dar transformate în timp în instrumente
folosite în atacuri informatice.
I.2. Securitatea sistemelor informatice vs. securitatea bazelo r de date
Datele , ca seturi de fapte eterogene referitoare la un anumit proces sau eveniment
reprezintă suportul formal al informațiilor, deoarece neprelucrarea automată a datelor în
informație digitală (formă binară separată de suportul fizic prin codific are și criptarea
modalităților de acces și utilizare) reduce relativ considerabil utilitatea datelor în actuala
societate. Astfel, informațiile sunt superioare tehnic și calitativ datelor, prezintă grad de noutate,
Cercetări privind securitatea datelor în sistemele informatice
18
Activitate social –
economică
SOCIETATEA
CUNOAȘTERII sunt as ociate unui anumit scop (economic, social, politic, etc.) și sunt organizate ca și colecții de
date, respectiv baze de date, fiind un bun imaterial al unei organizații în activitatea acesteia.
Ca și bunurile materiale, informația intangibilă se produce, se prelucrează, se distribuie
și se utilizează, se arhivează, devenind astfel perisabilă în timp.
Având în vedere procesele tehnice de prelucrare a datelor de intrare cu ajutorul
calculatoarelor electronice, încă din faza de culegere a datelor apar operațiuni de prelucrare a lor
din două sau mai multe documente operative în unul sau mai multe fișiere având suport de
înregistrare electronic specific informației electronice, pentru ca prin modul nou de păstrare și
gestionare a infomației prin medii digitale să poată avea acces la cunoștințele î ncorporate mai
multe persoane simultan, astfel încât se poate stabili o relație piramidală între date, informații și
cunoștințe [Șerb A. et al. , 2013, p.21] , relație regăsită în figura de mai jos (Fig.1) .
Pe lângă date și informații, specifice societăți i informaționale, actuala societate a
cunoașterii, gre fată pe societatea informațională, folosește ca și resursă cunoștințele, în sensul de
informație cu înțeles și care acționează [Drăgănescu M., 2001, p.26], deoarece în mediul socio –
economic actual infor mațiile și cunoștințele au devenit resurse de producție imateriale ,
generatoare de valoare în cadrul proceselor de afaceri, având ca rezultat produse și servicii care
utilizează intensiv date și cunoștințe precum cărțile de credit, sistemele de rezervări a utomate în
diferite sectoare sau sisteme de comerț electronic. Informațiile digitale și cunoștințele generate
sunt gestionate cu ajutorul instrumentelor specifice tehnologiei informațiilor și comunicațiilor , și
anume sistem ele informatice [Șerb A. et al. , 2013, p.23].
Fig.1. Relația date -informații -cunoștințe în Societatea Cunoașterii CUNO Ș
TINȚE
INFORMAȚII
DATE PROCES
TEHNOLOGIC
PROCES
COGNITIV
E CODIFICARE MEDI I DIGITALE INTERNALIZARE COMBINARE/
COMASARE
EXTERNALIZARE SOCIALIZARE
Cercetări privind securitatea datelor în sistemele informatice
19
În cadrul oricărei activități deciziile sunt luate în baza informațiilor obținute din
prelucrarea datelor, fapt pentru care prelucrarea datel or elementare sau de intrare pentru a obține
informațiile prelucrate presupune o suită de operații: de la operațiile de identificare sau
codificare a datelor prin care sunt generate datele de bază, apoi operațiile de colectare prin
diferite criterii a date lor obținându -se datele pentru prelucrare, operațiile de procesare în urma
cărora se obțin informațiile brute spuse în final unor operații de transmitere la locul, momentul și
în forma dorită a informațiilor prelucrate [Perniu L., 2013, p.22].
Transformar ea datelor în informație este, de multe ori, dificilă datorită complexității
contextului real care trebuie modelat prin operațiile anterior menționate astfel încât datele să aibă
semnificația aparte regăsită în informația procesată .
I.2.1. Noțiunea de secu ritate a informației
Securitatea informației este un concept mai larg care se referă la asigurarea integrității,
confidențialității și disponibilității informației [ Popa S.E., 2007, p.2 ]. Asigurându -se securitatea
informației, implicit este protejat și ut ilizatorul sau destinatarul acelei informații de diverse
atacuri și amenințări. Informația ca produs al prelucrării automate a datelor , și implicit drepturile
care derivă din proprietate intelectuală, trebuie protejate indiferent de mijloacele și metodele în
care acestea sunt transmise, arhivate sau prelucrate.
Securitatea informației protejează informația de o gamă largă de amenințări precum
copierea informațiilor și accesarea lor neautorizată, modificarea și ștergerea informațiilor,
accidental sau cu rea -intenție. Având în vedere circulația on -line a informației, problema
securității informației trebuie abordată luând în calcul partajarea informațiilor sau conectivitatea
rețelelor private cu diferite platforme sau servicii publice on -line [Manea C.A., 201 5, IPC ].
Ca și acțiunile prin care o organizație își apără angajații și bunurile, securitatea
informațiilor este folosită în primul rând pentru a se oferi asigurări că drepturile care derivă din
proprietatea intelectuală sunt protejate în mod corespunzăto r.
Obiectivul principal al unui program pentru protecția informațiilor îl reprezintă
asigurarea încrederii partenerilor de afaceri în privința securității acțiunilor , avantajul competitiv
prin grad ridicat de confidențialitate , conformitatea cu cerințele legale, cerințe intrinseci
asigurării scopului final : maximizarea investițiilor pe baza prelucrării informațiilor deținute .
Abordând problema securității informației, indiferent de sistem sau metodă, trebuie
urmărite și menținute trei proprietăți [Mihai I .C., 2012, p.22 ] (Fig. 2.):
Confidențialitatea informației : proprietatea ca o informație să nu fie dezvăluită sau
disponibilă persoanelor sau proceselor neautorizate , sau altfel spus controlarea dreptului ca o
informație să fie citită/accesată în mod auto rizat de către administratorul sistemului ;
Integritatea informației : proprietatea informației de a păstra acuratețea și
completitudinea metodelor prin care se prelucrează informațiile, în condițiile în care identificarea
și autentificarea utilizatorilor s unt elemente cheie ;
Disponibilitatea informației : proprietatea informației de a fi accesibilă și utilizabilă la
cerere de către o entitate autorizată.
Cercetări privind securitatea datelor în sistemele informatice
20
Fig.2. Proprietățile informației securizate
Din perspectiva securității informației, al te două categorii de proprietăți sunt avute în
vedere de alți autori [ Amor D., 2000, p. 354-391], și anume :
Legitimitatea folosirii informației : informațiile sunt folosite numai în scopuri legitime
de către persoanele autorizate și autentice ;
Non-repudier ea informației : niciuna din părțile atestate și implicate în folosirea și
transmiterea unei informații nu va putea tăgădui participarea sau acțiunile întreprinse.
Asigurarea s ecurit ății informației nu este doar o problemă de tehnică, ci este totodată o
problemă de management ce implică decizia conducerii unei organizații cu privire la politica de
securitate și măsurile adoptate în acest sens luându -se în considerare pe de o parte amenințările
existente, pe de altă parte metodele de acces și sursele de info rmații .
Din punct de vedere al informațiilor gestionate în format electronic, pentru garantarea
integrității informațiilor, respectiv a eliminării situațiilor de modificare, comasare sau ștergere
neautorizate, indiferent că utilizatorul neautorizat acțione ază cu neglijență sau cu intenție,
metodele uzuale sunt :
– Tehnica rezumatului
– Semnătura digitală
– Certificatul digital
– Marcarea conținutului.
Codarea fiecărui cadru de date transmis în rețea folosind un cod ciclic de verificare a
redundanțe i (CRC) permite verificarea la recepție a integrității datelor și rejectarea celor
modificate, accidental sau cu intenție.
Analizând metodele menționate anterior se constată că dacă tehnica rezumatu lui
electronic permite verificarea integrității datelor s tocate sau transmise și identificarea
informațiilor false sau erona te transmise în mod neautorizat, s emnăturile digitale aplicate
informației electronice atestă autenticitatea informațiilor, faptul că acestea sunt transmise de
surse autorizate și identific abile , astfel încât nu se permit e repudierea mesajelor. Din perspectiva
INFORMAȚIE
securizată
CONFIDEN
ȚIALITATE
INTEGRITATE DISPONIBILITATE
Cercetări privind securitatea datelor în sistemele informatice
21
semnăturii digitale a utentificarea originii datelor , respectiv identificarea utilizatorului, implică și
asigură integritatea datelor din informație, însă nu confirmă nivelul de securit ate.
Certificatele digitale se utilizează pentru autentificarea echipamentelor din rețea și
realizarea unor interconexiuni sigure. Sunt indicate în mod special în rețelele wireless, pentru a
evita accesul n eautorizat al unor echipamente, în timp ce m arcar ea mesajelor se folosește pentru
aplicarea dreptului de autor în cazul documentelor electronice.
I.2.2. Securitatea sistemelor informatice
Conform definițiilor legale1, prin „ sistem informatic ” se înțeleg calculatoarele și rețelele
de comunicații electron ice, precum și datele electronice stocate, prelucrate, regăsite sau
transmise de acestea în scopul funcționării, folosirii, protecției și întreținerii lor. În același ton,
Regulamentul (CE) nr. 460/20042 definea în art.4 „ securitatea rețelelor informatice și a datelor ”
drept capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere
dat, la evenimente accidentale sau la acțiuni ilegale sau răuvoitoare care compromit
disponibilitatea, autenticitatea, integritatea și confidenț ialitatea datelor stocate sau transmise și a
serviciilor conexe oferite sau accesibile prin aceste rețele și sisteme, având în vedere faptul că
prin „ rețea ” se înțeleg sistemele de transmisie și, acolo unde se aplică, echipamentele de
comutare sau direcțio nare și alte resurse care permit transportul semnalelor prin cabluri, prin
unde radio, prin mijloace optice sau alte mijloace electromagnetice, inclusiv rețelele de satelit,
rețelele terestre fixe (cu circuite și pachete comutate, inclusiv Internetul) și m obile, sistemele de
cabluri electrice, în măsura în care sunt folosite în scopul transmiterii de semnale, rețelele
folosite pentru transmisiile prin radio și televiziune și rețelele de televiziune prin cablu,
indiferent de tipul informațiilor transportate [Manea C.A., 2015, IPC].
În legislația comunitară în vigoare la acest moment, Regulamentul (UE) nr. 526/2013,
nu mai regăsim definiții ale noțiunilor de sistem informatic sau securitate a rețelelor informatice,
însă în legislația românească3 întâlnim ace leași definiții cu privire la infrastructuri cibernetice –
infrastructuri de tehnologia informației și comunicații, constând în sisteme informatice, aplicații
aferente, rețele și servicii de comunicații electronice; spațiul cibernetic – mediul virtual, gen erat
de infrastructurile cibernetice, incluzând conținutul informațional procesat, stocat sau transmis,
precum și acțiunile derulate de utilizatori în acesta; și securitate cibernetică – starea de
normalitate rezultată în urma aplicării unui ansamblu de mă suri proactive și reactive prin care se
1 Regulamentul (CE) nr.460/2004 al Parlamentului European și al Consiliului din 10 martie 2004 privind instituirea Agenției
Europene pentru Securitat ea Rețelelor Informatice și a Datelor, publicat în Jurnalul Oficial al Uniunii Europene L77 din
13.03.2004, stabilește cadrul normativ al înființării Agenției Europene pentru Securitatea Rețelelor Informatice și a Datelor
(ENISA) al cărei principal obiecti v viza consolidarea capacității Uniunii Europene, a statelor membre și a întreprinderilor privind
prevenirea, reacția și gestionarea problemelor legate de securitatea rețelelor și a informației.
2 În prezent, după două modificări, Regulamentul (CE) nr.460/ 2004 este abrogat și înlocuit de Regulamentul (UE) nr. 526/2013
al Parlamentului European și al Consiliului privind Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor
(ENISA), publicat în Jurnalul Oficial al Uniunii Europene L165 din 18.06.2013
3 Hotărârea Guvernului nr.494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică –
CERT -RO, publicată în Monitorul Oficial nr.388 din 02.06.2011 și Hotărârea Guvernului nr.271/2013 pentru aprobarea
Strategiei de securitate cibernetică a României și a Planului de acțiune la nivel național privind implementarea Sistemului
național de securitate cibernetică publicată în Monitorul Oficial nr.296 din 23.05.2013
Cercetări privind securitatea datelor în sistemele informatice
22
asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și non -repudierea
informațiilor în format electronic, a resurselor și serviciilor publice sau private, din spațiul
cibernetic.
Abordând prob lema securității sistemelor informatice avem în vedere trei aspecte ce
trebuie combătute simultan de administratorul unui sistem pentru a beneficia de încrederea
utilizatorilor acelui sistem : vulnerabilitatea sistemului, amenințarea și atacul potențial. D acă în
privința vulnerabilității unui sistem cele trei puncte slabe ce trebuie avute în vedere sunt
deficiențe tehnologice, deficiențele la configurare și deficiențele asupra politicilor de securitate,
în privința amenințărilor și atacurilor, acestea sunt imprevizibile, căci nu se poate stabili cu
exactitate un profil al persoanei interesate de accesarea neautorizată a unui sistem informatic și
nici nu se pot identifica cu precizie, de la un sistem la altul, instrumentele – scripturile și
programele – prin care se vor declanșa atacurile.
Orice rețea, care include routere, switch -uri, desktop -uri, servere, și chiar dispozitive de
securitate, este vulnerabilă, iar amenințările asupra ei sunt persoanele, interesate și calificate,
care exploatează slăbiciunile d e securitate. S -a dovedit de -a lungul timpului că dispozitivele cele
mai atacate sunt end-divce -urile dintr -o rețea, cum ar fi serverele și desktop -urile.
Deși permanent sistemele de operare sunt îmbunătățite prin noi versiuni lansate4, deși în
ultimii ani s-a acordat atenție tot mai mare aspectelor de securitate, îmbunătățindu -se politicile
de securitate informațională, sistemele informatice sunt în continuare vulnerabile în fața unor noi
tipuri de atacuri. Chiar dacă unele atacuri comune (gen viruși, troi eni, spyware sau viermi) s -au
diminuat în timp ca incidență, criminalitatea informatică este în expansiune, cu forme noi și
atacuri sofisticate și complexe, unele dintre acestea speculând și probleme de securitate a
sistemelor : abuzul unui insider asupra unei rețele, phishing în cazul în care o organizație este în
mod fraudulos reprezentat ca expeditor, furtul de date ale clienților sau angajaților, abuzuri
asupra rețelei wireless, sniffing -ul de parole, frauda fiscală, furtul de informații privind
proprie tatea intelectuală, site -uri furate și abuzul unei aplicații web publice, ca să enumerăm doar
câteva [Manea C.A., 2015, IPC].
Protocoalele, suite de formate impuse și reguli de comunicare care permit reprezentarea
și transferul datelor între echipamentele interconectate fizic și logic într -o rețea, facilitează
comunicațiile într -un sistem informatic, iar scopul oricărei rețele de comunicații este acela de a
permite transmisia informațiilor între oricare două echipamente, indiferent de producător, de
sistemu l de operare folosit sau de suita de protocoale aleasă [Apetrii M., 2011 ]. Probleme de
securitate pot apărea atât în fiecare nod al rețelei (în sensul de dispozitiv conectat la rețea,
respectiv calculator gazdă sau host, terminal video, echipament periferi c și controler de
comunicație), cât și pe căile de comunicație între echipamentele interconectate.
4 Fiecare sistem de operare se confruntă cu pro bleme de securitate, și se încearcă eliminare lor prin versiunile noi, aceste
vulnerabilități fiind analizate și documentate de echipa Computer Emergency Response (CERT) și prezentate în arhivă la
http://www.cert.org/vulnerability -analysis/knowledgebase/index.cfm
Cercetări privind securitatea datelor în sistemele informatice
23
În cazul sistemului informatic, modelul de securitate poate fi văzut ca având mai multe
straturi interdependente ce reprezintă niveluri de securitate (secur itate fizică și securitate logică)
și care înconjoară subiectul ce trebuie protejat, fiecare nivel izolând subiectul și făcând mai
dificil accesul decât modul în care a fost prevăzut și gândit accesul autorizat [ Mihai I.C., 2012,
p.32-33]. La acestea două, am adăuga și nivelul de securitate juridică, nivel care reprezintă
cadrul legal național și internațional de norme care reglementează actele de încălcare a nivelelor
de securitate fizică și logică și prin care se stabilește regimul răspunderii penale pent ru delictul
informatic.
Nivelul exterior al modelului de securitate și prima barieră în calea accesului neautorizat
este reprezentat de securitatea fizică și constă, în general, măsuri de prevenire a accesului
neautorizat la echipamentele de calcul prin as igurarea pazei și controlul accesului în ariile unde
sunt amplasate echipamentele sistemului informatic. Tot o problemă de securitate a sistemului la
nivel fizic este întreținerea echipamentelor în concordanță cu specificațiile tehnice de folosire și
numai de către personal specializat și autorizat. Astfel, în momentul în care anumite echipamente
de calcul din sistem sunt depășite fizic sau moral și trebuie înlocuite, procedurile de casare
trebuie să urmărească salvarea pe alt suport și ștergerea informații lor din echipamentele scoase
din uz, și chiar distrugerea fizică a echipamentelor ce au conținut informații importante, pentru a
se evita compromiterea informațiilor prin recuperare acestora cu programele speciale de
recuperare a informațiilor și datelor ș terse.
Cel de -al doilea nivel de securitate în cazul sistemelor informatice, nivelul logic al
securității, constă în metode software de control a accesului la resursele și serviciile sistemului,
și este împărțit, la rândul său, în două sub -niveluri : nivel ul de securitate a accesului la sistem și
nivelul de securitate a serviciilor puse la dispoziție de sistemul informatic utilizatorilor săi
[Patriciu V.V., 1994, p.20].
Securitatea accesului constă în disponibilitatea de a controla, verifica și stabili drep turi
de acces ale utilizatorilor, cel mai înalt nivel de securitate fiind nivelul de acces la sistem (NAS),
nivel răspunzător de accesibilitatea rețelei către utilizatori și de gestiunea accesului, putând
dispune decuplarea unei stații individuale/utilizat or dacă nu -i sunt asociate drepturi de acces
[Șerb A. et al. , 2013, p.44].
Accesul controlat la serviciile unui sistem (intrările/ieșirile la disc, gestiunea serverului)
este asigurat prin nivelele de securitate a serviciilor, cel mai înalt nivel de securi tate fiind nivelul
de control al serviciilor (NCS) responsabil de raportarea stării serviciilor și de funcțiile de
avertizare, putând activa sau dezactiva anumite servicii.
Codul de practică al managementului securității informațiilor, ISO 27002:20055,
impune cu privire la măsurile de securitate a accesului la sistemul informațional să se țină cont
de cerințele de securitate a aplicațiilor din sistem, de politicile de diseminare a informației și
autorizare, de legislația relevantă și obligațiile contractual e privind protecția accesului la date sau
5 ISO/IEC 27002:2005 face parte din seria ISO 27000 de standard dedicate securității informației –
http://www.iso27001security.com/html/27002.html
Cercetări privind securitatea datelor în sistemele informatice
24
servicii, de profilurile de acces standard pentru utilizatori și de consecvența între controlul
accesului și politicile de clasificare a informației pentru diferite sisteme. Astfel, accesul la
sistemul informatic p resupune în primul rând identificarea utilizatorului, fie prin tehnologii
clasice de autentificare precum identificator unic și parolă asociată fiecărui utilizator, fie prin
tehnologii de autentificare biometrică, fie prin îmbinarea celor două tehnologii p entru creșterea
securității accesului [Manea C.A., 2015, IPC].
Securitatea serviciilor puse la dispoziție de sistemul informatic impune controlul
accesului utilizatorilor autorizați la serviciile din sistem și stabilește cum serviciul disponibil este
contr olat și folosit de fiecare utilizator în parte (prioritate, drepturi de acces, etc.). Sub -nivelul de
securitate a serviciilor monitorizează astfel activitatea utilizatorului în rețea și trebuie să poată
lua prompt măsuri (de restricționare, de avizare, de scoatere forțată din sistem) în cazurile în care
acțiunile utilizatorului depășesc drepturile specificate în profilul său.
Utilizarea echipamentelor de tip router și aplicarea listelor de control al accesului,
împreună cu controlul traficului ce intră și iese din rețele utilizând soluții firewall reprezintă și în
prezent, tehnicile principale pentru protecție perimetrală , asociată securității fizice . Făcând parte
din categoria tehnicilor de tip pasiv, cele două nivele de protecție – fizică și logică – au fost
continuu optimizate din punct de vedere al performanțelor, funcționalităților și al administrării.
Creșterea susținută a num ărului de atacuri și a complexității acestora, precum și necesitatea de
tehnologii de protecție activă, sunt motivele ce au cond us la introducerea în domeniu de noi
tehnologii.
Pentru a reduce riscurile de securitate în utilizarea și administrarea sistemelor IT, cea
mai bună strategie de securitate este cea pe ansamblu (security in depth). Aceasta presupune
evaluarea pe ansamblu a infrastructurii IT și clasificarea expunerii la riscuri de securitate. Pentru
fiecare dintre riscurile identificate trebuie realizate planuri de măsuri, fie pentru reducerea
expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odată ce riscul s -a produs
(contingency).
La polul opus se află abordarea punctuală, a implementării unui sistem specific de
securitate, de exemplu antivirus sau detectarea accesului neautorizat(Intrusion Detection Systems
– IDS). Deși aceste sisteme sunt foarte u tile în cadrul ariei specifice de aplicabilitate, această
abordare lasă descoperite alte zone cu posibile breșe de securitate.
Studiile arată că în medie 90% din breșele de securitate identificate nu sunt datorate
problemelor tehnologice , ci instalării și configurării necorespunz ătoare sau datorită nerespectării
unor proceduri de utilizare și administrare a sistemului , instruire deficitară a utilizatorului sau
înțelegere greșită a modului de funcționare .
I.2.3. Securitatea bazelor de date (BD)
Și pentru c ă informația procesată rezultă din date elementare colectate și prelucrate, date
arhivate în baze de date accesibile simultan și în timp util mai multor utilizatori în funcție de
drepturile de acces asociate acestora, securitatea informației începe cu secu ritatea bazelor de date
din punct de vedere al structurii tehnice a noțiunii actuale de informație.
Cercetări privind securitatea datelor în sistemele informatice
25
Astfel, aceleași principii fundamentale pe care se bazează securitatea informatică le
regăsim și cu privire la secur itatea bazelor de date, respectiv confid ențialitatea, integritatea și
disponibilitatea , asigurate prin intermediul sistemului de gestiune al bazei de date
(SGBD/DBMS) care este o interfață între utilizatorii BD -urilor și sistemul de operare .
Confidențialitatea datelor asigurată prin SGBD presupu ne blocarea accesului anumitor
categorii de utilizatori la date pe care nu trebuie să le acceseze, fie pentru că nu au asociate
drepturi de acces (nu au fost cerute, nefiindu -le necesare în activitatea proprie sau SGBD nu
permite accesul decât condiționat) , fie pentru că nivelul de confidențialitate asociat datelor este
ridicat și prsupune procedurii de acces de nivel ridicat.
Integritatea bazelor de date se refer ă la corectitudinea informa țiilor și presupune
detectarea, corectarea și prevenirea diferitelo r erori care pot afecta datele introduse în bazele de
date. C ând se fac referiri la integritatea datelor, de fapt se au în vedere regulile definite în
majoritatea SGBD -urilor drept constrângeri de integritate care sunt verificate de sistem în
legătură cu d atele astfel încât baza de date este protejată de operațiile care nu corespund
restricțiilor. De asemenea, c ondițiile de integritate asociate datelor în funcție de obiectivul
SGBD –ului numite și constrângeri/ restric ții de inte gritate nu permit introducerea în baza de date
a unor date aberante , asigurându -se totodată corectitudinea datelor .
O serie de condi ții sunt de tip structural, legate de anumite egalit ăți între valori, și
exprimate prin dependen țe func ționale sau prin declararea unor c âmpuri cu valori unice (de cele
mai multe ori aceste c âmpuri sunt chei). O alt ă serie de condi ții se determină după unitatea la
care se aplic ă restric ția și, în acest caz, exist ă restric ții pe domenii ( acestea privesc anumite valori
de același tip având o anumită semnifica ție din care își iau valori atributele relațiilor ) sau
restric ții pe tabele (rela ții). La rândul lor, r estric țiile pe tabele pot fi unituplu (se refer ă la fiecare
tuplu în parte – listă ordonată de n valori ) sau multituplu (se refer ă la combina ții de mai m ulte
tupluri).
Constrângerile de domeniu sunt condiții impuse valorilor atributelor, în timp ce
constrângerile de tuplu presupune existența unei chei și a unei chei secundare în condițiile în care
tuplurile unei relații sunt distincte (nu există două sau mai multe tupluri care să conțină aceeași
combinație de valori ale tuturor atributelor).
Un exemplu de restric ție de integritate de rela ție de tip multituplu este restric ția
referen țială care se exprim ă prin condi ția ca, pentru cheile externe, dac ă nu sunt nule, s ă se
admit ă valori corespunz ătoare uneia din cheile primare existente în rela ția referit ă. Verificarea
acestei condi ții are loc ori de câte ori se insereaz ă un nou tuplu ce con ține o cheie extern ă sau se
modific ă valoarea unei chei externe a unui t uplu, semnal ându-se eventualele neconcordan țe și
anulând modific ările. Verificarea unicit ății cheii primare și restric țiile rezultate din dependen țele
funcționale și multivaloare sunt alte exemple de acelaș i tip.
Restric țiile pot fi clasificate și din punc t de vedere al momentului în care se aplic ă ele,
astfel avem reguli imediate (ce se verific ă în momentul în care se efectueaz ă opera ția indicat ă)
sau reguli am ânate (ce se verific ă numai dup ă ce au fost executate și alte opera ții asociate dar
înainte de a se modifica baza de date).
Cercetări privind securitatea datelor în sistemele informatice
26
Securitatea datelor unei baze de date este strâns corelată cu i ntegritatea datelor , deși prin
asigurarea securității datelor dintr -o bază de date, și implicit a integrității lor, nu se asigură și
corectitudinea datelor, sistemul de gestiune al bazelor de date răspunzând doar securizarea
datelor. A stfel, d acă se definesc exclusiv controalele de securitate fără constrângeri de
integritate, se asigură o utilizare corectă și de bună credință a sistemului de către utilizatorii
autoriz ați care confirmă totodată validitatea și consisten ța datelor. Dac ă însă se definesc numai
controale de integritate, datele au șansa s ă fie consistente , neputând fi create sau modificate fără
autorizare, dar atât datele cât și baza de date devin susceptibi le la pericolele care provin din lipsa
securit ății.
Din perspectiva comunicațiilor prin intermediul rețelelor publice, din cauza accesului
multiplu și concomitent care poate genera interceptarea și modificarea datelor, integritatea
datelor reprezintă un as pect extrem de impor tant ce trebuie avut în vedere de către administratorii
de astfel de rețele, respectiv trebuie asigurat de către sistemul de gestiune al bazelor de date
folosite . Pentru a preveni modificarea unui me saj sau pentru a putea verifica dacă mesajul
recepționat este identic cu cel transmis de către emitent , se utilizează o tehnică specifică, tehnica
hash sau tehnica rezumatului, care permite generarea unei secvențe de identificare a datelor
transmise, denumită „rezumatul datelor”.
Rezumatul u nui mesaj se construiește prin aplicarea unei funcții de transformare
(funcție hash ), care se caract erizează prin faptul că furnizează la ieșire un șir de date de lungime
fixă, o valoare de transformare, atunci când la intrare se aplică un șir de date cu l ungime
variabil ă, iar prin sensul unic de transformare se asigură faptul că nu se pot deduce datele de
intrare pe bază celor de ieșire.
Funcția hash ne asigură că datele transmise la intrare în rețea sunt aceleași cu cele
primite la destinație, metoda fii nd oarecum asemănătoare cu suma de control, dintr -un segment
folosită pentru controlul erorilor. În urma aplicării unei funcții hash la un pachet de date, înainte
de transmisie, va rezulta o valoare fixă, care este apoi recalculată la recepție , iar din com pararea
celor două valori se poate trage concluzia dacă datele au fost alterate din punct de vedere al
securității, caz în care valorile sunt diferite, respectiv obținerea aceleași valori confirmă
nefalsificarea datelor pe perioada t ranzitului prin rețea. Prin utilizarea unor funcții hash, chiar și
o mică modificare a conținutului datelor va crea mari diferențe între valorile hash de la
transmisie și recepție.
Funcțiile hash critpografice sunt ut ilizate pentru autentificarea mesajelor, controlul
integrităț ii datelor, verificarea parolelor și realizarea semnăturilor digitale, în diferite aplicații de
securitate a rețelelor de comunicații.
Funcțiile hash se clasifică în două mari c ategorii:
1.Coduri de detecție modificate (MDC ) cunoscute și sub denumirea d e coduri
de manipulare -detecție sau raprotat la scopul lor, se întâlnește, mai rar ce -i drept, și sintagma
coduri de integritate a mesajului. Scopul unui MDC este de a oferi o imagine hash reprezentativă
unui mesaj și de a facilita, cu ajutorul unor mecani sme secundare, verificarea integrității datelor
Cercetări privind securitatea datelor în sistemele informatice
27
cerută de aplicații s pecifice. MDC -urile sunt o subclasă a funcțiilor fără cheie, și, la rândul lor,
pot fi clasificate în:
A. funcții hash inversabile într -un singur sens (one-way hush function ) rezistente la
preimagine, adică pentru o valoare hash dat ă (H) este greu de găsit un mesaj (M), transpunerea
funcției fiind de tip : H=hash(M)
B. funcții hash rezistente la coliziune : această proprietate se referă la faptul că este
dificilă găsirea a două mesaje car e să aibă aceeași valoare hash (o coliziune apare atunci când
două mesaje distincte au aceeași valoare hush).
2.Coduri de autentificare a mesajelor (MAC) care permit, fără ajutorul niciunui
mecanism adițional , asigurarea autenticității sursei și a integr ității mesajelor. MAC -urile au
funcțional doi paramtetri distincți: mesajul de intrare și o cheie secretă (sublcasa de funcții hash
cu cheie).
Disponibilitatea datelor are în vedere caracterul accesibilității simultane de către
utilizatori diferiți a bazei de date și într -un timp util, în funcție de operațiunea aplicată asupra
bazei de da te, astfel încât asigurarea disponibilității datelor este o cerință intrinsecă pentru
asigurarea securității unei baze de date.
A asigura securitatea unei baze de date pres upune adoptarea unor măsuri tehnice și/sau
administrative prin care să se limiteze accesul fraudulos la date, pierderea confidențialității
datelor sau a carac terului privat la acestora, pierderea integrității datelor, asociate p ierderilor
accidentale de co nsiste nță, și nu în ultimul rând pier derea disponibilității datelor. Astfel, un
utilizator care dorește să se conecteze la o bază de date trebuie inițial să dețină un cont ( account,
user) asociat acestuia având și o parolă de acces ( password ), sistemul de gestiune (SGBD)
verificând corectitudinea datelor introduse cu cele deja asociate utilizatorului pentru a permite
autentificarea. De asemenea, programele de aplicații folosite de utilizatorii de BD sunt
considerați de SGBD tot utilizatori și trebuie să fie asociate contului de acces.
Grupând în funcție de modul de operare, tehnicile de asigurare a securității unei baze de
date pot fi organizate astfel :
1. Identificarea utilizatorilor prin parole și acordarea anumitor drepturi de operare pe
porțiuni din baza d e date și/sau la diferite nivele cum ar fi relația, atributul, pagina
etc. Aceste drepturi permit utilizatorului astfel identificat doar să citească datele, să
insereze (drept de scriere) noi date, dar și să șteargă/modifice date deja existente.
2. Codificare a (criptarea) datelor din BD prin păstrarea datelor astfel codificate pe
mediul magnetic, decodificarea datelor în scop de acces făcându -se numai după
identificarea utilizatorului.
3. Utilizarea view-urilor în aplicații , respectiv ascunderea unor informații d in baza de
date, accesul făcându -se astfel la nivel de view. Deoarece prin tehnica view -urilor
nu se admit în general modificări de date pentru motivul că se pot genera modificări
laterale asupra unor elemente care nu apar în view dar au legătură cu elemen tul
modificat din view, acest tip de securitate privește în special bazele de date publice,
care pot fi accesate liber, cu drepturi de citire de către toți utilizatorii.
Cercetări privind securitatea datelor în sistemele informatice
28
4. Administrarea și transmiterea drepturilor asupra bazelor de date presupune o
evidență strictă a drepturilor de acces ale utilizatorilor, administratorii bazelor de
date autorizând astfel utilizatorii fie doar să consulte BD (autorizare la citire), fie
doar să adauge noi date (autorizare la inserare), fie să modifice datele existente fără
drept de ștergere (autorizare la actualizare) și respectiv să șteargă date (autorizare la
nivel de tuplu), aceste drepturi neaducând modificări bazei de date la nivelul
schemei. Astfel, există posib ilitatea ca administratorii unei BD să permită, de regulă
angajaților organizației care creează și gestionează baze de date, modificări și al
nivelul schemei bazei de date prin autorizări la nivel de index (creare/ștergere de
indexi), autorizări la nivel de relații, autorizări la nivel de relații prin ștergerea și/ sau
adăugarea de atribute în cadrul relațiilor, respectiv autorizări de ștergere a relațiilor.
I.3. Modele de asigurare a securității sistemelor informatice
În funcție de măsurile de securitate stabilite prin politica de securitate, dar și în funcție
de s pecificul sistemului informatic al utilizatorului , se definesc și se aleg în vederea
implementării modelele de securitate ale sistemului, modele care conțin mecanismul logic de
implementare a politicii de securitate [Mihai I. -C., 2012, p.41 ]. În funcție de complexitatea
sistemului informatic, modelele de securitate sunt de tip multinivel – specifice unui sistem
informatic izolat, respectiv de tip multilateral -specifice unei rețele de calculatoare.
Modelele de securitate se împart în două categorii, pe de o parte, în funcție de accesul la
informație identificăm modelele de securitate multinivel, securitatea realizându -se pe nivele
multiple unde se regăsesc anumite categorii de informații, pe de altă parte în funcție de modul de
organizare a informațiilor din sistemul informatic pe verticală identificăm modelele de securitate
multilaterale6 prin care se controlează fluxul de date între departamentele/compartimentele unei
organizații cărora le este permis/restricționat accesul la datele partajate din s istemul in formatic.
Pornind de la cele trei principii introduse privind operațiunile de acces : principiul
securității simple (nu se permite citirea datelor de pe nivel superior) , principiul stea (nu se
permite scriere de date pe un nivel inferior) și principiul s ecurității discreționare, modelul de
securitate propus de David Bell și Len LaPadula (Fig.3.) , în anul 1973, este un model de
securitate multi -nivel, care permite circulația informației în jos, principiile sale de funcționare
nepermițând scrierea și nici c itirea informațiilor de pe un nivel superior atât timp cât accesul este
permis la un nivel inferior. Acest model de securitate este considerat sigur pentru asigurarea
confidențialității informațiilor , fiind un model de referință pentru dezvoltarea tehnicil or de
securitate multinivel, deși prezintă dezavantajul de a fi un model static, ce se poate aplica doar
sistemelor ce necesită o securitate static ă, căci modelul nu permite o politică de reguli pentru
ștergerea sau crearea subiecților și obiectelor sau sc himbarea modurilor de acces [Mihai I. -C.,
2012, p.49].
6 De regulă, modelele de securitate multilaterale sunt folosite ca practici standard de către guvernele SUA și aliate pentru
codificarea, clasificarea și accesul la informațiile privind securitatea națională (militară).
Cercetări privind securitatea datelor în sistemele informatice
29
Fig. 3. Modelul de securitate Bell – LaPadula (adaptare după Oprea D., 2007)
Modelul de securitate al matricei drepturilor de securitate sau modelul Graham
Denning , se bazează pe principiul accesul ui sub control discreționar, modelul propunând
descrierea accesului sub forma unei matrice, în care coloanele sunt reprezentate de listele de
control a accesului, iar liniile de listele de competențe ale persoanelor care au autorizația de a
completa tot ta belul matricei.
Astfel, atenția este îndreptată asupra subiecților de încredere din sistem (utilizator din
sistem sau un program de aplicație) ce pot executa funcții de securitate asupra unui obiect (cum
ar fi de exemplu un fișier) [Mihai I. -C., 2012, p.4 4].
Prin matricea de control al accesului se oferă drepturi de acces ( read-citește; write -scrie
și execute -execută) asupra obiectelor sistemului de către subiecții de încredere recunoscuți
[Oprea D., 2007, p.44].
Dacă modelul Bell -LaPadula se ocupă de con fidențialitatea informațiilor, impunând
restricții utilizatorilor din sistemul informatic, modelul Biba (1977) se ocupă de integritatea
informațiilor7, impunând controale asupra utilizatorilor ce au drepturi de citire sau scriere asupra
informațiilor din s istem.
7 asigurarea integrității informațiilor presupune protejarea acestora împotriva modificărilor efectuate de utilizatori neautori zați în
sistem, precum și protejarea împotriva modificărilor neautorizate efectuate de utilizatorii autorizați.
Cercetări privind securitatea datelor în sistemele informatice
30
Fiind considerat în literatura de specialitate [ Mihai I. -C., 2012, p.51 -53], [Dabija G.,
2009, p.56 ] drept sistem dual al modelului Bell -LaPadula, modelul de securitate Biba transpune
principiile securității în principiile privind integritatea info rmațiilor : principiul integrității
simple, principiul integrității stea și principiul potrivit căruia un subiect de pe un anumit nivel de
integritate nu poate solicita un subiect situat pe un nive l de integritate superior (Fig. 4).
Fig. 4. Modelul de s ecuritate Biba ( adaptare după Mihai I. -C., 2012)
Deoarece problema securității informațiilor se pune și în cazul circulației informației
între diferite compartimente ale unei organizații, respectiv în privința organizării și transmiterii
informațiilor pri vind sistemul național de apărare al unui stat, s -au impus modelele de securitate
multilaterale, cu niveluri de securitate verticale : modelul rețea, modelul zidului chinezesc și
modelul de securitate din domeniul medical BMA (British Medical Association).
Modelul rețea , ca model multilateral, se potrivește cel mai bine în cazul unei rețele de
calculatoare, modelul restricționând accesul la informațiile din sistemul informatic prin cuvintele
cod8 și clasificări ale informațiilor . Astfel, autorizarea utiliza torilor se face în funcție de
etichetele ce însoțesc informațiile, acestea din urmă fiind clasificate la rândul lor ( Fig.5 ) [Mihai
I.-C., 2012, p.54 ].
8 Cuvintele cod sunt folosite pentru crearea grupurilor de control al accesului, printr -o variantă a modelului Bell -LaPadula
Cercetări privind securitatea datelor în sistemele informatice
31
Fig.5. Model de securitate rețea cu etichete (adaptare după Mihai I. -C., 2012)
Modelul zidului chineze sc transpune în planul securității multilaterale principiul
prevenirii conflictului de interese, astfel încât accesul unui subiect (utilizator autorizat, program)
este permis pe rând asupra obiectelor (datelor, informațiilor) dintr -un anumit set de date al
organizației accesat, iar subiectul poate să scrie într -un obiect numai dacă nu are acces de citire
la un alt obiect, fiind astfel un model de control dinamic al accesului.
Introducând principiul separării obligațiilor de serviciu, numele modelului provi ne de la
normele interne denumite zidul chinezesc ale firmelor de servicii financiare de a preveni
conflictul de interese ale angajaților care având relații profesionale cu mai mulți clienți și
accesând informații despre fiecare, la un moment dat poate int ra într -un conflict de interese
Specifică domeniului medical, pornind de la principiul confidențialității datelor
personale și medicale ale pacienților stocate în baze de date, problema securității sistemului
informatic este rezolvată prin introducerea co nsimțământului pacientului privind accesul la baza
de date cu informații personale, în cazul modelului BMA (British Medical Association) . Astfel
controlul accesului și controlul modificărilor în bazele de date este întărit prin necesitatea
consimțământului pacientului pentru accesarea informațiilor personale din bazele de date ,
acestea fiind doar trei din cele nouă principii de funcționare a modelului se securitate BMA.
Cercetări privind securitatea datelor în sistemele informatice
32
Prin solicitarea consimțământului pacientului, accesul la bazele de date cu informații
personale este marcat, fluxul informațiilor este urmărit și se asigură controlul răspândirii și
agregării informațiilor, în vederea obținerii probelor pentru justiție. Având în vedere tehnologiile
folosite pentru stocarea informațiilor privind istoricul me dical al persoanei, de tipul cardurilor
și/sau cipurilor de sănătate, modelul de securitate din domeniul medical se bazează pe încrederea
pacienților în sistemele informatice [Manea C.A., 2015, IPC].
I.4. Standarde , norme și politici de securitate.
Stabi lirea și definirea exactă a politicilor, standardelor și normelor de securitate
contribuie la conceperea programului de securitate informațională al unei organizații, care
dovedindu -și eficiența și rigurozitatea va asigura buna desfășurare a activităților instituționale.
Ross Anderson susține că politicile de securitate în majoritatea organizațiilor înseamnă un abuz
de mijloace pur manageriale, neglijându -se trei termeni preciși utilizați în descrierea
specificațiilor tehnice ale cerințelor sistemului de se curitate implementat la nivelul organizației :
modelul politicii de securitate (declarația succintă asumată la nivel de management superior
privind proprietățile sistemului de securitate implementat), ținta securității (detalierea
mecanismelor de protecție pe baza cărora să poată fi evaluată politica de securitate) și profilul
protecției (posibilitatea evaluării comparative a politicilor de securitate adoptate în timp sau
comparativ cu alte organizații) [Anderson R., 2001].
În vederea punerii în aplicare a politicii de securitate, prezentând detalii ale politicii de
securitate, orice organizație trebuie să stabilească și să facă publice standardele de securitate,
normele și procedurile pe care le aplică. Standardele specifică utilizarea tehnologiilor potrivi t
politicii de securitate și sunt obligatorii și uniform stabilite pentru orice organizație.
Existența și implementarea unui standard de securitate conferă unei entități juridice
sprijin și repere în efectuarea controalelor interne.
În conturarea unui st andard de secur itate informațională se va ține cont de scopul și aria
de aplicare, de rolurile și responsabilitățile la nivelul organizației privind definirea și aplicarea
standardului asumat, identificându -se, astfel, standarde ale cadrului de bază – declarațiile
asumate la cel mai înalt nivel aplicabile întregului s istem, standarde tehnologice – declarații și
descrieri aferente sistemului și standarde ale administrării – reguli de administrare în timpul
exploatării sistemului și aplicațiilor integrate.
Normele spre deosebire de rigurozitatea standardelor sunt acțiuni recomandate prin
metodologii ale sistemelor de securitate, sunt mai flexibile și au în vedere diverse sisteme
informaționale, implementare lor în cadrul organizației regăsindu -se prin procedur ile de
securitate dezvoltate.
Procedurile de securitate reprezintă documente organizaționale în care sunt descrise
etapele detaliate ce trebuie parcurse pentru execuția corectă și riguroasă a unei activități ,
detaliindu -se politicile, standardele și norme le de securitate prin asocierea personalului
organizației implicat în activitatea respectivă.
Cercetări privind securitatea datelor în sistemele informatice
33
Referindu -ne la securitate informațională, noțiunea de politică de securitate poate avea
mai multe înțelesuri, cum ar fi spre exemplu:
• politica de firewall -uri, utilizate pentru controlarea accesului și a traseelor
pe care circulă informațiile în cadrul organizației;
• lacătele, cardurile de acces, camerele de luat vederi ce înregistrează
activitatea din perimetrele controlate ale organizației.
La implementarea poli ticilor de securitate, trebuie pornit de la vârful piramidei
manageriale, unde se află top managerii care formulează și asumă în numele organizației
Declarația politicii organizației (Statement of Policy). Aceasta este o formulare generală, o
declarație di n care să reiasă:
• importanța resurselor informaționale pentru atingerea obiectivelor
strategice ale organizației;
• formularea clară a sprijinului acordat tehnologiilor informaționale în
unitate;
• angajamentul top managerilor de a autoriza sau coordona acti vitățile de
definire a standardelor, procedurilor și normelor de securitate de pe nivelurile inferioare.
În afara declarației politicii de securitate la nivelul top managerilor, mai există și politici
obligatorii, politici recomandate și politici informat ive privind securitatea organizațională.
Politicile obligatorii sunt politici de securitate pe care organizațiile sunt obligate să le
implementeze ca efect al acordurilor, regulamentelor sau al altor prevederi legale care le sunt
incidente în funcție de a ctivitatea desfășurată . Pornind de la necesitatea asigurării unui interes
public, politicile obligatorii de secur itate sunt întâlnite în instituțiile financiare, autoritățile și
instituțiile publice sau orice alt tip de organizație care servește interesulu i public [Oprea D.,
2007, p.101 -103].
De regulă, politicile obligatorii au două scopuri de bază:
• asigurarea că o organizație urmează procedurile standard sau politicile de
bază din domeniul ei de activitate;
• de a oferi încredere organizațiilor că ele ur mează standardele și politicile
de securitate din domeniul de activitate.
Așa cum am menționat anterior, securitatea informațiilor unei organizații este în primul
rând o problemă managerială, care trebuie asumată și stabilită la nivelul conducerii entităț ii, fie
că este vorba de o persoană juridică privată sau publică. Indiferent de mărimea persoanei juridice
și de forța economică, managerii trebuie să -și asume politica de securitate din care să reiasă, pe
de o parte, importanța resurselor informaționale î n activitatea organizației și pentru atingerea
obiectivelor strategice ale organizației pe termen scurt, mediu și lung, iar pe de altă parte,
coordonarea implementării standardelor, procedurilor și normelor de securitate pe niveluri
inferioare, de sus în j os (Statement of Policy).
Dacă adoptarea unei politici de securitate informațională este impusă, și deci
obligatorie, în cazul anumitor entități juridice, fie în virtutea unor acorduri internaționale sau
interne, fie în baza anumitor prevederi legale, ca î n cazul instituțiilor financiare sau a autorităților
Cercetări privind securitatea datelor în sistemele informatice
34
și instituțiilor publice, în cazul altor entități juridice aceste politici pot fi informative sau
recomandate.
Politicile recomandate, din chiar terminologia lor rezultă că nu sunt obligatorii, dar sunt
puternic susținute într -un anumit domeniu de activitate, în scopul configurării consecințelor
foarte dure în cazul înregistrării eșecurilor.
Spre deosebire de primele două categorii de politici de securitate, politicile informative
au scopul de a informa utilizatorii fără a descrie c onduite obligatorii de urmat, dar configurându –
se consecințele în cazul nerespectării normelor de conduită atât de către proprii angajați ai
organizației, cât și de către partenerii/cli enții organizației în cauză.
Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia
Internațională Electrotehnică (IEC) au stabilit liniile generale ale unei politici de securitate a
informației pentru orice organizație prin definirea standardelor privind managementul securităț ii
informației. Primul astfel de standard general a fost standardul BS7799 prin implementarea
căruia orice organizație obținea certificare privind sistemul de management al securității
informației. Standardul BS7799, care în anul 2007 a fost publicat sub n umele de ISO/IEC
27002:2005, stă la baza actualului standard oficial de certificare ISO/IEC 27001 care face parte
din seria ISO 27000 de standarde ISMS (Sistem de Management a Securității Informației)
dedicate securității informației.
Din seria ISO 27000 a mintim următoarele standarde ce pot fi implementate de orice
organizație : ISO/IEC 27000:2009 – Tehnologia informației – Tehnici de securitate – Sisteme de
management a securității informației – Prezentare generală și vocabular; ISO/IEC 27001:2005 –
Specif icații ale sistemelor de management a securității informației, în prezent actualizat sub
numele ISO/CEI 27001:2013 – Tehnologia informației. Tehnici de securitate. Sisteme de
management al securității informației; ISO/IEC 27002:2005 – Tehnologia informați ei. Tehnici
de securitate. Codul de practică pentru managementul securității informației; ISO/IEC
27003:2010 – Ghidul de implementare a sistemului de management a securității informației;
ISO/IEC 27004:2009 – Tehnologia informației. Tehnici de securitate. Managementul securității
informației – Evaluări și ISO/IEC 27005:2011 – Tehnologia informației. Tehnici de securitate.
Managementul riscului securității informației.
Dacă standardul ISO/IEC 27003:2010 este destinat a fi utilizat împreună cu standardel e
ISO/IEC 27001:2005 și ISO/IEC 27002:2005, celelalte standarde pot fi implementate separat,
după cum în funcție de specificul activității organizației există și standarde speciale, cum ar fi
pentru domeniile de audit sau cel de telecomunicații (ISO/IEC 27 006:2007, respectiv ISO/IEC
27011:2008).
Indiferent de modul de redactate, politica de securitate a unei organizații trebuie să
găsească soluții la următoarele probleme :
– ce amenințări sau riscuri există, natura acestora, care se pot elimina și care nu;
– ce resurse pot fi protejate și la ce nivel;
– cu ce mijloace interne se asigură securitatea;
Cercetări privind securitatea datelor în sistemele informatice
35
– ce costuri presupune pentru organizație introducerea, menținerea și actualizarea
mecanismelor de securitate.
În formularea și asumarea unei politici de securi tate, conducerea oricărei organizații
care folosește în interes propriu sau administrează în interes public sisteme informatice trebuie să
urmărească respectarea unor principii, pe care într -o formă sau alta le regăsim definite și în
standardele internațio nale (ISO 27000), și anume :
– principiul responsabilității asumate care impune stabilirea clară a responsabilităților
referitoare la securitate pe care le au proprietarii, furnizorii, administratorii și utilizatorii
sistemelor informatice ;
– principiul proporționalității , care cere ca nivelul de securitate și măsurile de protecție
adoptate să fie proporționale cu importanța informațiilor protejate, astfel încât cheltuielile de
securitate să nu depășească valoarea economică a bunurilor securizate, căci ch eltuielile de
securitate trebuie să sporească beneficiile prin minimizarea riscurilor;
– principiul integrării , conform căruia securitatea este necesară în toate stadiile de
prelucrare a informațiilor (creare, colectare, prelucrare, stocare, transport, ște rgere, etc.), iar din
punct de vedere al nivelului de securitate fizică toate echipamentele sistemului trebuie să fie
compatibile cu aceleași proceduri și programe de securitate;
– principiului oportunității, conform căruia mecanismele de securitate trebui e să
răspundă prompt în cazul amenințărilor și să permită o colaborare rapidă și eficientă în caz de
detectare a tentativelor de corupere a mecanismelor de securitate;
– principiului libertății informațiilor, conform căruia cerințele de protecție și securi tate
să nu limiteze nejustificat libera circulație a informațiilor și accesul liber la informații publice,
potrivit regulilor care guvernează statul de drept.
În contextul pregătirii lansării în septembrie 2015 a noii ediții, a cincea, a standardului
ISO 9 001:2015 –Sistemul de Management al Calității , standard cu cea mai mare aplicabilitate
actuală la nivel mondial atât ca număr de organizații certificate – peste 1,1 milioane la nivel
mondial – cât și ca arie geografică și politică de cuprindere – peste 10 0 de state au preluat identic
standardul ISO 9001:2008, fost ISO 9000:2000 – abordarea integrată în cadrul sistemului de
management intern al unei organizații a standardelor internaționale de management, ISO 9001
pentru sisteme de management al calității ( SMC), ISO 14001 pentru sisteme de management de
mediu, OHSAS 18001 pentru sisteme de management al sănătății și securității ocupaționale, ISO
27001 pentru sisteme de management al securității informației (SMSI) este o necesitate impusă
de concurența de pe piețele de producție și desfacere, dar și o necesitate internă de eliminare a
responsabilităților și relațiilor necorespunzătoare sau a celor dublate prin proceduri individuale.
Dacă în secolul XX implementarea sistemelor de management și standardizarea lo r era
o activitate de pionierat, în secolul XXI implementarea unui Sistem de Management Integrat
Calitate –Mediu – Sănătate și Securitate Ocupațională – Securitatea Informațiilor este un subiect
susținut de rezultatele științifice și de avantajele practice obținute de organizații.
Pornind de la un Sistem de Management al Calității (SMC) certificat într -o organizație,
suprapunând unele proceduri și adăugând procesele specifice necesare sistemelor de
Cercetări privind securitatea datelor în sistemele informatice
36
management de mediu și/sau de sănătate și securitate ocupa țională sau de securitate a informației
se poate obține un Sistem de Management Integrat (SMI), care va aduce un plus de valoare
organizației și produselor/serviciilor sale. Această opțiune, ce poate fi analizată și adoptată la
nivelul superior al manageme ntului, pornește de la existența unor procese comune fiecăruia din
standardele ISO 9001 (SMC), ISO 14001 (SMM), ISO 27001 (SMSI) sau OHSAS 18001,
respectiv procese privind controlul documentelor, instruirea și formarea personalului, auditul
intern, analiza managementului și stabilirea acțiunilor corective și a celor preventive pe domeniul
vizat de fiecare din standardele menționate.
Pe lângă aspectul facil al abordării integrate a sistemului de management, trebuie să
ținem cont de avantajele oferite organi zației prin dezvoltarea unui Sistem de Management
Integrat propriu, avantaje din care enumerăm demonstrativ : reducerea costurilor privind
implementarea și certificarea individuală a sistemelor de management; planificarea coerentă și
corelată a activitățil or organizației și stabilirea strategiilor generale prin luarea în considerare a
aspectelor privind calitatea, mediul, sănătatea și securitatea în muncă, securitatea informației,
responsabilitatea socială și continuitatea afacerii; optimizarea procesului d ecizional în acord cu
stabilirea consumului de resurse necesare.
Astfel, dacă din perspectiva dezvoltării organizației, abordarea integrată a Sistemului de
Management asigură creșterea profitului și reducerea riscurilor concentrând atenția managerului
pe obiectivele organizației, din perspectiva angajaților beneficiile aduse se regăsesc în
îmbunătățirea comunicării interne și dezvoltarea instruirii și formării personalului.
Integrarea unui sistem de management al securității informației în sistemul de
mana gement integrat al unei organizații se impune, în secolul XXI, datorită dezvoltării
tehnologiei informației și dependenței puternice de comunicare a informațiilor în interiorul
organizației, dar și în exterior, prin sistemele informatice, în condițiile dez voltării
infrastructurilor de comunicații de la nivel intern – Intranet – la conectarea globală – Internet.
Din această perspectivă prezenta lucrare își propune să aducă argumente favorabile
implementării ca sisteme total integrate a sistemelor de manageme nt (calitate și/sau mediu –
securitatea informațiilor).
Sistemul de Management Integrat înseamnă că mai multe sisteme de management sunt
reunite sub o structură comună pentru a simplifica documentația, a ușura auditarea, certificarea și
pentru a canaliza e fectele lor sinergice[ Avram S.E., 2009 ].
Abordarea unui Sistem de Management Integrat pornește de la două premise
fundamentale : în centrul comerțului organizației se află produsele și clienții, pe de o parte, pe de
altă parte, sistemele de management serv esc pentru optimizarea planificării, monitorizării și
analizei proceselor manageriale, fapt pentru care managementul integrat reprezintă procesul
complex de îmbinare a resurselor cu activitățile proprii organizației de planificare, organizare,
dirijare și control în vederea dezvoltării strategiei generale a organizației și realizării obiectivelor
propuse pe termen ling.
Într-o abordare grafică conform Figurii 6, Sistemul de Management Integrat asigură
planificarea obiectivelor și proceselor necesare obținer ii rezultatelor în acord cu strategia
Cercetări privind securitatea datelor în sistemele informatice
37
organizației și cerințele/așteptările clienților, implementează procesele în condiții de securitate a
circulației informațiilor și datelor, verifică, prin indicatori specifici fiecărui sistem de
management, procesele ș i produsul obținut în acord cu politicile, obiectivele și cerințele cerute
de calitatea produsului, și întreprinde acțiuni pentru îmbunătățirea performanței proceselor pe
baza rezultatelor de audit intern.
Fig.6. Sistem de Management Integrat
Pentru a simplifica și facilita implementarea, funcționarea și certificarea separată a
sistemelor de management a calității (SMC), al mediului (SMM) și al sănătății ocupaționale, în
condițiile în care cele trei sisteme prezintă puncte comune, în Anexa 1 OHSAS 18001 :2007 sunt
precizate corespondențe între standardele ISO 9001:2001 (calitate), ISO 14001:2005 (mediu) si
OH SAS 18001:2007(sănătate ocupațională), cu privire la cerințe pentru fiecare clauză separată,
fără a fi reglementat un standard pentru o implementare integrată a celor trei sisteme de
management.
Deși nu există reglementări sau standarde internaționale de certificare și implementare a
unui Sistem de Management Integrat, în condițiile în care la ora actuală diferite organizații au
abordat conceptul de m anagement integrat din perspectiva Sistemului de Management al Calității
(SMC) cu Sistemul de Management de Mediu (SMM) și /sau cu Sistemul de Management al
Sănătății și Securității în Muncă (SMSSM), pornind de la necesitățile organizației de asigurare a
calității produselor și conformării cerințelor clienților în condițiile generale impuse de societatea
actuală pentru securitatea mediului înconjurător și de cadru legal privind securitatea în muncă a
angajaților, considerăm că includerea în sistemul general de management, prin integrare parțială,
a Sistemului de Management al Securității Informației este imperios necesară în actuala societate
informatizată [Manea C.A., 2015, MSE ].
Dacă abordarea integrată a Sistemului de Management Calitate –Mediu –Sănătate și
Securitate în Muncă –Securitatea Informației este facilitată de asemănările abordărilor pe cele
patru domenii, în sensul că fiecare din cele patru standarde individual ia în considerare conceptul
de prevenire și pune factorul uman implicat în centrul pr oceselor specifice de construire,
implementare și funcționare a sistemului de management, opțiunea pentru implementarea unui
sistem integrat complet sau parțial aparține fiecărei organizații în funcție de analiza avantajelor și
dezavantajelor demarării une i activități de implementare, pornind inclusiv de la durata (în medie
de doi ani) a unui asemenea proces.
Cercetări privind securitatea datelor în sistemele informatice
38
Modul în care sistemul integrat poate fi implementat diferă de la o întreprindere la alta.
Caracteristicile diferitelor organizații, cum ar fi tipul d e firmă, mărimea, natura și complexitatea
activităților sale, produsele și serviciile realizate, determină o anumită structură a sistemului de
management implementat. Implementarea și desfășurarea activității într -un sistem integrat este
un proces ciclic, orice activitate finalizându -se cu măsurarea și auditarea proceselor în vederea
îmbunătățirii operațiilor.
Standardul ISO 9001:2008 aflat în prezent în procedură de revizuire, fiind la a cincea
variantă – ediția 2015, cuprinde cerințe pentru elaborarea procedurilor proprii interne care să
acopere toate domeniile cheie ale organizației, pornind de la cele șapte principii restructurate în
ediția 2015 : orientarea către client, leadership -ul organizațional, implicarea angajaților,
abordarea procesuală, îmbu nătățirea activității, luarea fundamentată a deciziilor și relația de
management ce include și relația cu furnizorii.
Standardul ISO 9001:2008 promovează adoptarea unei abordări a managementului
calități bazată pe proces în elaborarea, implementarea și îmb unătățirea eficacității SMC, în
vederea creșterii satisfacției clientului prin îndeplinirea cerințelor acestuia față de produs.
Încă din secolul XX unii autori [Ionescu S.C., 1997, p.378 ] defineau sistemul de
management al calității drept o „combinație de echipamente, software, specialiști și proceduri cu
o structură astfel aleasă, încât să se poată realiza obiectivele ce derivă din politica pentru calitate”
Certificarea Sistemului de Management al Calității (SMC) ISO 9001 nu garantează
calitatea produsului sau serviciului final al organizației, ci doar asigură clienții că în organizație
au loc procese de calitate în vederea producției și/sau prestării serviciului ce asigură satisfacția
clientului. Monitorizarea proceselor interne și verificarea disfuncționa lităților, asigurarea
securității resurselor umane și controlul asupra proceselor de producție, asigură adoptarea
măsurilor preventive și corective, într -un sistem de management supus îmbunătățirii prin
evaluările finale și auditul intern stabilite și impl ementate.
În organizații, informația este o resursă foarte importantă pentru luarea deciziilor
manageriale, dar nu numai. Comparativ cu resursa umană de exemplu, informațiile sunt
nelimitate, sunt produse și se consumă cu rapiditate. Eficacitatea și eficie nța unei organizații
depind de informațiile de care aceasta dispune [Țigănoaia B., 2014, p.62 – 68], iar în contextul
pieței competitive actuale organizațiile trebuie să exploateze informațiile pe care le dețin în
condiții de maximă securitate .
Seria stan dardului ISO 27000 (SMSI) propune asigurarea securității informațiilor și
protejarea datelor indiferent de forma în care acestea există (suport magnetic, optic, hârtie, etc.)
prin implementarea unui set de politici, practici, proceduri, structuri organizaț ionale și funcții
software [ISO/IEC 27002:2005 ].
Certificarea Sistemului de Management al Securității Informației garantează clienților și
partenerilor de afaceri ai organizației că riscurile informaționale sunt ținute sub control și că
informațiile primit e și cele furnizate de organizație sunt protejate în fața amenințărilor și
vulnerabilităților, securitatea informațiilor menținându -și următoarele proprietăți :
disponibilitate, integritate și confidențialitate. Un SMSI este un sistem de management bazat p e o
Cercetări privind securitatea datelor în sistemele informatice
39
abordare a riscurilor la care organizația este expusă și are scopul de a stabili, implementa, opera,
monitoriza, revizui, menține și îmbunătăți securitatea informației .
Abordarea acestui standard asigură o securitate pe termen lung bazându -se pe
implem entarea de politici, proceduri și metode de securitate destinate protejării informațiilor și
resurselor organizațiilor.
Prin reducerea la maximum a riscurilor cibernetice se garantează că sistemul de
management este funcțional și îndeplinește cerințele op eraționale ale companiei, așteptările
clienților și se conformează legislației în vigoare.
Sistemul de management a securității informației (SMSI) implică atât echipamentele
hardware și procesele software din organizație, cât și întreg personalul unei org anizații ce are
acces la sistemul informațional, precum și terțele persoane din exteriorul organizației al căror
acces trebuie controlat permanent.
În rapoartele statistice [ E.N.I.S.A. Country Reports, 2008 ; Țigănoaia B., 2014, p.62 –
68] se confirmă ceea ce experții în securitatea informațiilor susțin:
securitatea informațiilor depinde de oameni mai mult decât de tehnologie;
securitatea informațiilor este ca un lanț – este atât de puternică precum cea mai slabă
verigă;
angajații reprezintă o amenințare mai mare la adresa securității informațiilor decât cei din
afara organizației;
securitatea informațiilor nu este un status, ci un proces ce presupune o continuă dinamică;
securitatea informațiilor nu este un capitol tehnic, adeseori managementul securității
informațiilor este foarte important.
Familia ISO/IEC 27000 (pe scurt “ISO27k”) cuprinde standarde de securitate publicate
în comun de către Organizația Internațională pentru Standardizare (ISO) și Comisia
Electrotehnică Internațională (IEC). Având în vedere natura dinamică a informațiilor de
securitate, SMSI încorporează un concept continuu de feedback și îmbunătățirea activităților
conform ciclului Deming PDCA (plan -do-check -act) de abordare continuă.
Standardul ISO/IEC 27002, fostul standard ISO/IEC 17799 căruia i s -a schimbat
numele pentru a face parte din seria ISO 27000 dedicată securității informației, stabilește
principiile generale pentru inițierea, implementarea, menținerea și îmbunătățirea
managementului securității informației într -o organizație. S tandardul ISO/IEC 27002 conține
cele mai bune practici de control în următoarele domenii de management al securității
informației:
– politica de securitate;
– organizarea securității informației;
– managementul activelor;
– securitatea resurselor umane;
– securitate a fizică și a mediului înconjurător;
– managementul comunicațiilor și al operațiilor;
– controlul accesului;
Cercetări privind securitatea datelor în sistemele informatice
40
– achiziționarea sistemelor informaționale, dezvoltarea și întreținerea lor;
– managementul incidentelor de securitate a informațiilor;
– managementul contin uității afacerii.
Standardul ISO/IEC 27003 se concentrează pe aspectele critice necesare pentru
proiectarea și implementarea cu succes a unui sistem de management a securității informațiilor
(SMSI), în conformitate cu ISO / IEC 27001, descriind procesul de design și specificații pentru
un sistem de management a securității informațiilor de la inițiere și până la realizarea planurilor
de implementare.
Sistemul de Management al Securității Informației (SMSI) trebuie să faciliteze relația
dintre procesele IT f olosite de organizație în activitatea sa și resursele implicate urmărindu -se
astfel corelarea nevoilor de securitate ale organizației cu strategia de management adoptată
privind securitatea informațiilor în scopul cuantificării rezultatelor și îmbunătățiri i strategiei în
timp pentru creșterea încrederii utilizatorilor în serviciile informatice oferite, respectiv în punerea
la dispoziție a unor baze de date securizate [ Oprea D ., 2007, p.107].
Din această perspectivă, implementarea unui SMSI nu vizează doar operațiunile tehnice,
abordarea organizației în implementarea politicii de securitate informațională trebuie să fie
holistică, coroborându -se acțiunile și competențele de acces ale resursele umane, tehnologia
folosită și procesele implicate.
Noua versiune adoptată a standardului ISO 27001, respectiv ISO 27001:2013, propune
o structură nouă a capitolelor, structură spre care tind și celelalte standarde de management,
respectiv :
Nr.crt. Număr capitol ISO 27001:2013 Denumire capitol ISO 27001:2013
1. Intro ducere
2. Capitolul 1 Scop
3. Capitolul 2 Referințe normative
4. Capitolul 3 Termeni și definiții
5. Capitolul 4 Contextul organizației
6 Capitolul 5 Leadership
7. Capitolul 6 Planificare
8. Capitolul 7 Suport
9. Capitolul 8 Operare
10 Capitolul 9 Evaluarea performanței
11. Capitolul 10 Îmbunătățire
Tabel 1 : Structura capitolelor Standard ISO 27001:2013
Dacă primele patru capitole ale structurii standardului ISO 27001:2013 se referă la
partea descriptivă în acord cu terminologia și legislația specifică domeniului IT, ultimele 7
capitole se suprapun ciclului PDCA (plan -do-check -act), astfel cum rezultă și din figura
următoare (Fig. 7.).
Cercetări privind securitatea datelor în sistemele informatice
41
Fig.7. Structura pe capitole ISO 27001:2013 ( Source B.S.I. Group)
Noua versiune a standardului I SO 9001:2015 va aduce și ea modificări de structură,
urmând ca actuala structură a standardului să fie dezvoltată pe o structură identică de 10 capitole
cu actuala structură a standardului ISO 27001:2013, ceea ce va fi un argument în plus în
implementarea unui sistem de management integrat SMC -SMSI.
Indiferent de forma sa, cloud -ul computerizat a devenit și se impune treptat ca un model
ideal și o opțiune de arhivare a bazelor de date pentru operatori, inclusiv pentru entitățile
guvernamentale , având în ved ere avantajele oferite: costuri de operare reduse, fiabilitate,
îmbunătățirea securității datelor, niveluri ridicate de reacție la nevoile utilizatorilor. Având în
vedere incidentele din ultimii ani cu datele personale ale utilizatorilor sistemelor informa tice,
cele mai mari provocări în câștigarea încrederii publice în cluod computing se referă la măsura în
care se poate asigura securitatea și confidențialitatea datelor cu caracter personal gestionate în
vederea prelucrării lor.
Pe fondul evoluției tehno logice, Organizația Internațională pentru Standardizare (ISO) a
emis în iulie 2014 standardul ISO 27018, primul standard pentru protecția datelor din cloud ,
conținând linii directoare pentru furnizorii de servicii de tip cloud cu privire la Informațiile cu
privire la Identificarea Personală ("PII").
Și pentru că deja pe piața IT sunt furnizori de servicii cloud, ISO 27018 oferă
specificitate furnizorilor de servicii cloud pentru evaluarea riscurilor și implementarea
controalelor pentru protecția PII stocate în cloud.
Cercetări privind securitatea datelor în sistemele informatice
42
Coroborând specificitatea tehnică a cloud computing cu cerințele legale privind
protecția datelor cu caracter personal (terminologie echivalentă cu Informațiile cu privire la
Identificarea Personală ), furnizorii de servicii cloud trebuie să oper eze, în virtutea implementării
standardului ISO 27018, cu următoarele principii:
1. Obținerea consimțământului persoanei vizate : nici un client nu poate fi forțat
să utilizeze un anumit serviciu condiționat de utilizarea serviciului cu acceptarea utilizării datelor
personale în scop de marketing sau publicitate. Ca parte a standardului ISO 27018, furnizorii de
cloud nu trebuie să utilizeze datele pe care le primesc în scopuri de publicitate și marketing
propriu, cu excepția cazului în care acest lucru este ce rut în mod expres de către client. Furnizorii
de servicii cloud care adoptă noul standard trebuie să opereze în cadrul unui cadru mai puternic
de principii cheie la nivelul întregii industrii .
2. Transparență în colectarea și prelucrarea datelor cu caracter p ersonal :
necesitatea informării clienților de către furnizorii de cloud în legătură cu datele lor și
obligativitatea furnizorilor de cloud de a -și asum a angajamente clare cu privire la modul în care
sunt gestionate /prelucrate aceste date.
3. Responsabilitatea furnizorului : conform standardului ISO 27018 orice
încălcare a securității informațiilor ar trebui să determine declanșarea unei revizuiri de către
furnizorul de servicii pentru a determina dacă au existat pierderi, dezvăluiri sau alterarea PII.
4. Comunica rea încălcării drepturilor către persoana vizată: furnizorii de cloud
au obligativitatea informării clienților și autoritățile de reglementare , precum și să țină evidențe
clare despre incident e privind gestionarea PII și despre răspunsul la acesta.
5. Auditul independent: auditarea cu succes a unui furnizor de servicii de tip cloud
în sistem ISO 27018 confirmă conformitatea serviciului cu standardul și poate fi invocat de către
client pentru a -și susține propriile obligații de reglementare.
Chiar dacă implemen tarea unui sistem integrat aduce beneficii organizației și activității
acesteia, pornind de la caracteristicile fiecărei organizații (mărime, număr de angajați, domeniu
de activitate, etc.) și de la întrebări cum ar fi : Ce există în organizație în privinț a securității
informaționale?, Ce trebuie îmbunătățit? ?, Cui îi este permis accesul/folosirea/modificarea
resurselor informatice ale organizației? și Ce lipsește și trebuie adăugat?, procesul de
implementare integrată a managementului securității informaț iei trebuie să înceapă cu o analiză
preliminară care să ofere informații privind starea organizației la un moment dat.
Analiza preliminară trebuie efectuată chiar de către echipa desemnată pentru
implementarea sistemului integrat, care astfel stabilind do tările existente și reglementările în
vigoare privind produsul/serviciul oferit, procedurile și procesele interne aplicate, care pot fi
reglementate prin existența unui sistem de management al calității implementat și certificat în
organizație, identifică și evaluează riscurile ce afectează circulația și securitatea informațiilor și
sistemelor informaționale folosite în activitate și impactul acestora asupra activității în general și
asupra calității produselor în special [Manea C.A., 2015, MSE ].
Dintre pol iticile de securitate folosite de diferite organizații, deoarece nu există un
standard al politicilor de securitate informațională, sunt des utilizate, fie individual, fie
Cercetări privind securitatea datelor în sistemele informatice
43
combinate, în majoritatea cazurilor : 1. politica privind conturile utilizatorilor folosită de către
organizațiile în care utilizatorii au conturi în mai multe sisteme; 2. politica accesului la distanță
folosită de organizații multinaționale care au utilizatori și rețele dispersate geografic și care
comunică între ele; 3. politica protecț iei informațiilor ce trebuie asumată de către angajații unei
organizații pentru garantarea condițiilor de prelucrare, stocare și transmitere a informațiilor puse
la dispoziți a organizației benevol sau în mod obligatoriu, legal de către utilizatori terți ; 4. politica
de conectare la o rețea locală prin care se definesc condițiile și termenii adăugării de noi
echipamente la rețea; 5. politica partenerului de afaceri necesară și implementată tot mai mult pe
fondul procesului de globalizare pentru a se stabili măsurile de securitate uniforme cerute de
organizație a fi respectate de către companiile partenere care o susțin în activitatea proprie; 6.
politica folosirii Internetului sau I -AUP (Internet Acceptable Use Policy) prin care se detaliază
modurile, inclusi v softul folosit pentru filtre și blocare, în care utilizatorii unei rețele a unei
organizații trebuie să folosească serviciul public Internet pentru procesarea anumitor informații
descărcate și/sau prelucrate din/în sistemul propriu informatic [ Oprea D ., 2007, p.110 -113].
I.5. Vulnerabilitățile sistemelor informatice
Globalizarea spațiului cibernetic este un proces ireversibil și în continuă expansiune,
progresele în domeniul tehnologiei informației fiind secondate de generarea unor mijloace și
metod e progresive, adaptate noilor tehnologii, de săvârșire a infracțiunilor informatice grefate pe
disfuncționalitățile sau lipsurile politicilor de securizare.
Vulnerabilitatea, din punct de vedere informatic, este o slăbiciune în proiectarea sau
implementare a hardware -ului, software -ului, rețelelor sau sistemelor bazate pe calculatoare,
inclusiv a procedurilor de securitate și administrare a sistemelor informatice, prin care se permite
accesul utilizatorilor neautorizați în sistem [FPGSIARD , 2006, p.5]. Dacă efectul vulnerabilității
asupra sistemului informatic constă în afectarea negativă a organizației, exploatarea
vulnerabilității poate fi neintenționată, din neglijență, sau intenționată, voită atât ca acțiune cât și
ca efect scontat.
Vulnerabilitatea unui sistem informatic poate fi generată și de o cauză naturală precum
cutremure, inundații, incendii sau căderi de tensiune în urma cărora sunt distruse fizic
echipamentele de calcul, afectând implicit accesul și prelucrarea informațiilor din rețeaua la care
erau conectate aceste echipamente . Această vulnerabilitate din cauze naturale externe sistemului
constituie totodată o formă de atac la integritatea fizică a informației, integritatea ce poate fi
afectată și prin vulnerabilități interne ale sistemului – erori la configurarea unui soft sau aplicații
pe o bază de date.
Folosirea neautorizată a informațiilor de către utilizatori externi cercului limitat cu
drepturi de acces, formă de atac la confidențialitatea informațiilor, reprezintă un alt tip de
vulnerabi litate prin implementarea eronată/neautorizată a unui hardware sau folosirea unui soft
neautorizat de către administratorul unei baze de date.
Cercetări privind securitatea datelor în sistemele informatice
44
Din punct de vedere al software -ului folosit pe un sistem informatic sunt identificate trei
grade de vulnerabilit ate în funcție de consecințele asupra sistemului informatic astfel afectat
[Burtescu E. , 2004] prezentate în mod crescător al efectelor :
1) grad de vulnerabilitate C – utilizatorii externi au posibilitatea alterării sistemului
informatic sau implicării sistem ului într -un atac asupra unui terț utilizator de bună
credință, caz în care efectele negative se r esimt și de către organizație și de către terțul
utilizator prejudiciat. Această categorie de vulnerabilități țin de vulnerabilitatea
sistemului de operare de terminând oprirea temporară a serviciilor de rețea sau
încetinirea proceselor în rețea.
2) grad de vulnerabilitate B – utilizatorii locali cu privilegii limitate au posibilitatea
măririi fără autorizație a privilegiilor de acces. În funcție de categoria info rmațiilor
accesate neautorizat din sistem prin acest tip de vulnerabilități, consecințele pot fi de
la medii la grave, coroborat cu gra dul de vinovăție al utilizatorului neautorizat și de
scopul accesării neautorizate. Astfel, în urma unor erori de program are, fiind alocate
de către o aplicație a spațiilor insuficiente pentru stocarea informațiilor , în momentul
în care spațiul de memorare este depășit informațiile ce depășesc spațiul sunt alocate
la o altă adresă de memorare, adrese ce pot fi manevrate de către un utilizator cu
aceleași drepturi ca ale programului respectiv dar cu privilegii de acces limitate și
care obține astfel drepturi de administrator, spre exemplu [ Sarcinschi A. , 2009]
3) grad de vul nerabilitate A – utilizatorii externi au posibilitate a accesării neautorizate a
sistemului informatic (mod de atac prin viermi informatici sau cai troieni) ,
consecințele fiind cele mai grave prin faptul că breșa în securitatea sistemului poate
genera distrugerea sau furtul de date din sistem.
Dacă vulnerabil itățile unui sistem informatic pot avea de la cauze naturale externe, la
erori de software sau configurări eronate ale sistemului de o perare, și până la erori umane,
generate fie de lipsa de cunoștințe sau cunoștințelor limitate ale utilizatorilor și/sau
administratorilor de sistem, fie de neglijența utilizatorilor, amenințările asupra sistemelor
informatice sunt acțiuni mai grave exercitate asupra sistem elor informatice, cu consecințe care se
pot propaga prin Internet la mai multe sisteme informatice inter conectate de către terțe persoane
neautorizate care speculează vulnerabilitățile sistemului , persoane denumite agenți de amenințare
[FPGSIARD , 2006, p.5]. Astfel de agenți de amenințare sunt hackerii, spionii, grupurile de crimă
organizată, persoane din in teriorul organizației – incluzând chiar administratori de rețea/sistem –
și până la statele care organizează acțiuni criminale prin intermediul sistem elor informatice și
teroriștii [ Șerb A. et al. , 2013, p.50 ].
De asemenea nesigure sunt și comunicațiile în diferite rețele care folosesc Internetul,
deoarece oricine se p oate conecta la linia de comunicație și astfel poate intercepta, altera, bloca
sau chiar devia traficul de date, în funcție de interesul urmărit, situație în care vulnerabilitățile
rețelei sun t exploatate în mod voit de către agenții de amenințare. În cazul traficului în rețea,
pentru înlăturarea vulnerabilităților sunt folosite metode de criptare a datelor pentru a garanta
securitate utilizatorilor și a crește gradul de încredere a ace stora în rețeaua de comunicații.
Cercetări privind securitatea datelor în sistemele informatice
45
Analiza amenințărilor și reducerea vulnerabilităților sistemelor informatice
interconectate repr ezintă o problemă atât la nivelul fiecărui utilizator, fie că e persoană fizică, fie
că e persoană juridică, cât și la nivel național, din perspectiva infrastructurilor informatice
folosite în administrație sau în alte sectoare de activitate (sănătate, financiar, transport și
comunicații), pentru ca abordarea problematicii la nivel global să se facă din perspectiva
cooperării statelor și organismelor internaționale pentru securitatea spațiului cibernetic.
Pornind de la cele cinci grade de prioritate privind acțiunile concentrate pentru analiza
și minimizarea amenințărilor asupra sistemelor informatice (Prioritate nivel 1 – sistem de
detec ție și răspuns pentru securitatea sistemului informatic național; Prioritate nivel 2 – sistem de
reducere a amenințărilor/vulnerabilităților securității spațiului cibernetic național; Prioritate nivel
3 – programe naționale de conștientizare și implementar e a securității informatice la nivel
național; Prioritate nivel 4 – securizarea spațiului informatic guvernamental; Prioritate nivel 5 –
cooperare internațională pentru secur itatea spațiului cibernetic global) și identificând cele cinci
categorii de benefi ciari ai sistemului informatic care sunt susceptibili a fi prejudiciați prin
atacurile informatice, putem stabili acțiunile necesare pentru fiecare grad de prioritate și în raport
de fiecare categorie de utilizatori din spațiul cibernetic , prezentate în si nteză în tabelul de mai jos
(Tabel 2) [ Oprea D., 2007, p.283 ].
Utilizatori
Priorități Prioritate
nivel 1 Prioritate
nivel 2 Prioritate
nivel 3 Prioritate
nivel 4 Prioritate
nivel 5
Utilizatori
individuali/organizații X X
Firme naționale mari
și mul tinaționale X X X X X
Sectoare de activitate
și infrastructuri X X X X X
Sistem informatic
național X X X X X
Sistem informatic
global X X
Tabel 2. Niveluri și priorități privind securitatea spațiului cibernetic
Astfel, în categoria utilizatorilor individua li și a organizațiilor de inters local, prin
utilizarea calculatoarelor pentru propriile activități și datorită accesării Internetului, deși nu
putem vorbi la acest nivel de o infrastructură informatică, acțiunile pentru minimizarea
amenințărilor trebuie concentrate asupra fiecărui utilizator, deoarece prin accesarea și controlul
de la distanță a calculatoarelor individuale care nu au măsuri de securitate, dar sunt
interconectate într -o rețea, se pot genera, de către al treilea actor – agentul de a menințare –
atacuri de blocare a serviciilor anumitor servere (atac de tip DoS) sau noduri -cheie de pe
Cercetări privind securitatea datelor în sistemele informatice
46
Internet. Acțiunile în cadrul acestei prime categorii de utilizatori se încadrează în prioritățile de
nivel 2 și nivel 3, fiind necesară conștientizarea acestor utilizatori cu privire la implicațiile
individuale și de sistem dacă nu își implementează măsuri minime de securizare a
echipamentelor proprii, respectiv dacă nu se protejează în momentul interconectării.
Firmele naționale mari și multinaționale (p recum corporații, universități, instituții
publice) datorită activităților lor și folosirii nemijlocite a rețelelor proprii și inte rconectării la
rețele deschise și la infrastructura informatică națională necesită implementarea și dezvoltarea de
politici d e securitate informațională eficiente, acționând pe toate cele cinci nivele de prioritate
identificate anterior, prin sistemele lor informatice urmând să identifice și să sesizeze eventuale
amenințări asupra sistemului informatic propriu sau al celui la ni vel de infrastructură folosită, și
implementând acțiuni de protecție, de conștientizare a propriilor angajați și ai colaboratorilor
asupra necesității securizării informatice, precum și colaborând la nivel global cu alte entități și
organisme internațional e pentru securitatea spațiului cibernetic.
De asemenea, cele cinci nivele de prioritate privind securitatea informațională trebuie
abordate și la nivelul infrastructurilor și sectoarelor de activitate națională, deoarece doar
colaborând și fol osind proprii le experiențe organizațiile din diferite sectoare de activitate
(precum învățământ, sănătate, do meniul financiar -bancar, etc.) pot dezvolta bune practici de
securitate informațională, pot evalua împreună avantajele folosirii noilor tehnologii la nivelul
infrastructurii/grupului din care fac parte și pot identifica vulnerabilități a căror exploatare poate
genera consecințe asupra propriei activități dar și la nivel de infrastructură.
Sistemul informatic național trebuie să d ezvolte acțiuni de monitorizare, a lertă și
conștientizare a tuturor utilizatorilor asupra implicațiilor și riscurilor generale ale spațiului
cibernetic la nivel național , la acest nivel urmând să fie identificate și punctele vulnerabile care
se găsesc în sistemele informatice și echipament ele cele mai utilizate interconectate la
infrastructura informatică de la nivel național (precum platforme de plăți on -line a taxelor și
impozitelor, platforme utilizate în sistemul de învățământ sau de sănă tate la nivel național,
platforme ale administraț iei publice centrale sau ale instanțelor judecătorești, etc.).
WWW ( World Wide Web) este un sistem de rețele informatice interoperabile la nivel
mondial, iar interconectivitate a permite transmiterea unor eventuale probleme apărute la o rețea
de pe un conti nent la rețele de pe celelalte continente, fapt pentru care colaborarea și cooperarea
internațională trebuie să înceapă cu acțiuni de conștientizare a utilizatorilor asupra
vulnerabilităților și securității spațiului cibernetic și se încheie cu măsuri conc entrate de
colaborare internațională pentru distribuirea informațiilor legate de eventuale disfuncționalități la
nivel regional și cooperare pentru identificarea și sancționarea agenților/grupurilor de agenți de
amenințare.
I.5.1. Clasificarea vulnera bilităților sistemelor informatice
Folosindu -se criterii de clasificare diferite, în literatura de specialitate se consemnează
modalități diferite de clasificare, pentru ca din punct de vedere legislativ aceste vulnerabilități să
se regăsească și în defini rea unor infracțiuni .
Cercetări privind securitatea datelor în sistemele informatice
47
Clasificarea cea mai generală a vulnerabilităților presupune folosirea definirii termenilor
[Dobrinoiu M., 200 6; Oprea D., 2007 ]:
1) Interceptarea radiațiilor se realizează prin diferite metode tehnice prin care sunt
extrase informați ile existente în radiații electromagnetice necontrolabile transmisibile prin aer de
la calculatoare sau de la cablurile de comunicații, cum ar fi supravegherea legăturilor radio sau
telefonice, rutarea datelor prin noduri adiționale mai puțin protejate.
2) Interceptarea informațiilor introduse de la tastatură se bazează pe decodarea sunetelor
produse de tastatura când este folosită de un utilizator cu ajutorul unui soft care recuperează
astfel 96% din caracterele scrise [Șerb A. et al. , 2013, p.53 ].
3) Interceptarea pachetelor sau spionoj în rețea (network snooping) este încadrată ca și
infracțiune ce vizează comunicațiile prin Internet, operațiune precedând de multe ori atacurile IP
(Internet Protocol) . Astfel, agenții de amenințare pot intercepta un pach et de date (inclusiv cu
mesaje de autentificare, pachete de email, etc.) care călătorește prin Internet între diferite locații .
Plasat în orice punct al unui sistem informatic, și urmărind interceptarea trafiscului de
mesaje din rețea, un dispozitiv sau calculator intrus poate lansa două tipuri de atacuri [ Patriciu
V.V., 1994, p.63 ]:
a) atacuri pasive – nu există interferare între dispozitivul intrus și fluxul mesajelor din
rețea
b) atacuri active – dispozitivul intrus intervine prin modificarea, reluarea sau i nserarea
de mesaje false și furtul mesajelor inițial lansate .
4)Deturnarea sesiunii reprezintă o tehnică de infracțiune informatică prin care agentul de
amenințare se „deghizează” prin detectarea numerelor de secvență, cum ar fi numerele adreselor
IP, în cadrul unui schimb de informații între calculatoare, și pătrunde în sistem în locul
utilizatorului pe care l -a deturnat, iar calculatorul gazdă al intrusului va fi deconectat, agentul de
ameninșare punând astfel stăpânire pe fișierele utilizatorului legiti m deconectat.
5) Falsificarea adreselor expeditorului (Email spoofing) reprezintă un tip de atac prin
care se urmărește obținerea adresei utilizate de Internet Protocol (IP) când se realizează o
conexiune în rețea sau se falsifică adresa expeditorului de E-mail, astfel încât utilizatorul care
primește mail -ul va răspunde la atac divulgând informații ca răspuns la un mesaj fals.
Astfel, un agent de amenințare poate introduce manual comenzi prin care se conectează
direct la portul Simple Mail Transfer Proto col (SMTP) simulând originea mesajului prin
introducerea unei adrese a emițătorului diferită de adresa de origine a agentului de amenințare,
pentru a nu identificat, hostul receptor având încredere în identitatea hostului emițător.
6) Simularea Web -ului presupune realizarea de către un agent de amenințare a unei copii
false și convingătoare a unui întreg Web, cu același număr de pagini și conexiuni ca și Web -ul
adevărat, Web -ul fals fiind controlat de către agentul de amenințare care va primi astfel în
sistemul său traficul de rețea între browserul victimei și Web -ul fals. Având astfel controlul
traficului returnat de serverele Web -ului simulat către utilizatorul victimă, agentul de amenințare
Cercetări privind securitatea datelor în sistemele informatice
48
paote intercepta traficul de rețea în mod pasiv – sniffingul – sau poate simula Web -ul primind în
sistemul său informații de la utilizatorul victimă.
Acest din urmă mod de atac este des folosit în cazul activităților comericale on -line care
folosesc formulare pentru a culege informații de la utilizatorii clienți, iar a gentul de amenințare
simulând WEB -ul va putea citi un formular pe o pagină HTML prin care browserul vinctimei
trimite datele către serverul Web fals și va afla astfel numere de cont, parole, adrese sau alte
informații introduse în mod confidențial și cu bu nă-credință de către victimă în formularea
simulate.
În cazul acestui tip de atac, demersul agentului de amenințare începe cu acțiuni prin care
să convingă utilizatorul să acceseze Web -ul fals, sens în care fie se folosește inserarea unei
hiperconexiuni la Web-ul fals într -o pagină Web frecventată de utilizatorul victimă, fie se
determină un instrument de căutare Web să indexeze o parte dintr -un Web fals, fie se transmite
victimei via e -amil conținutul/URL -ul unei pagini din Web -ul fals. O dată convins util izatorul să
acceseze Web -ul fals, agentul de amenințare trebuie să mențină convingerea utilizatorilor că se
află pe Web -ul real sens în care va modifica linia de stare a tranzacțiilor HTTP în curs de
desfășurare astfel încât să afișeze un text la alegerea sa.
7) Interceptarea parolelor se situează printre cele mai preferate tipuri de atacuri [ Klander
L. et.al. , 199 7, p.57 ] în cazul rețelelor on -line. Pentru preluarea parolelor dintr -o rețea agentul de
amenințare trebuie să aibă acces la baza de date cu iden tificatorii de login și parolele
utilizatorilor, iar după ce copiază acestă bază de date, în care se regăsește funcția hash aferentă,
fie se va rula un program cunoscut sub numele de tehnică de spargere a parolelor prin forță
brută (brute force password -cracking teghnique) prin care se generează și încearcă fiecare
combinație posibilă de caractere pentru parole, fie se va rula un program de parole automate
cunoscut sub numele de atac cu dicționarul (dictionary -based attacks) atacuri [ Șerb A. et al. ,
2013, p .70-71].
8) Virușii, Caii troieni și Viermii sunt vulnerabilități care au legătură cu alterarea
integrității datelor informatice prin modificarea, ștergerea sau deteriorarea lor, precum și prin
transferul neautorizat de date dintr -un sistem informatic, acț iuni care îmbracă forma
infracțiunilor informatice datorită modului de operare și consecințelor lor.
Din cauza capacității de reproducere și faptului că acționează în programe sau fișiere de
date ca programe de distrugere, programele de tip Virus , Vierme sau Cal troian sunt considerate
drept cele mai periculoase instrumente de atac informatic.
9) Hărțuirea (Harassment) sub forma spam -urilor și bombelor de tip E -Mail par
vulnerabilități inofensive deoarece nu alterează integritatea sau confidențialitatea
datelor/informațiilor dintr -un sistem, însă pot afecta traficul dintr -o rețea blocân anumite servere
care devin de fapt ținta atacurilor. Astfel, agenții de amenințare transmit cantități foarte mari de
e-mail-uri, cu conținut nesolicitat de către utilizator, sau mesaje nesolicitate, în general reclame,
pe o listă de discuții.
Cercetări privind securitatea datelor în sistemele informatice
49
10) Pirateria software constă în „sparge rea” programelor shareware , modificând codul
executabil prin folosirea bibliotecilor de coduri secrete disponibile pe Internet sau inhibând
instru cțiunile care cer cheia hardware prin folosirea patch -urilor, de asemenea accesibile pe
Internet.
I.5.2. Vulnerabilitățile unei rețele de comunicații .
O rețea sigură este aceea în ale cărei resurse se poate avea încredere, adică furnizează
servicii corect e și de calitate , deși siguranța, ca și securitatea unei rețele unor pot fi garantate
100% . Rețelele de comunicații ale diferitelor or ganiza ții sunt utilizate atât pentru realizarea
comunicațiilor dintre angajați, cât și pentru comunicații externe, astfel încât acestea nu pot fi
izolate și trebuie securizate la nivelul interfețelor de acces dintre rețeaua publică și cea privată.
Deoarece o rețea de comunica ții este un sistem complex, ex ogen, cu foarte mulți
utilizatori, ea reprezintă o zonă convenabilă pe ntru diferite atacuri, de aceea, securitatea
reprezintă un obiectiv operațional vital al oricărei rețele de comunicații.
Comunicațiile realizate prin rețelele publice sunt expuse riscurilor de interceptare, de
furt sau de falsificare a informațiilor, de d isfuncționalități tehnice manifestate fie prin calitatea
slabă a transmisiei, fie prin întreruperi.
În funcție de vulnerabilitățile rețelei de comunicații pe care le pot exploata, atacurile se
pot manifesta pe mai mult planuri:
– accesarea neautorizată a rețelei sau a unor resurse ale acesteia din interiorul organizației
sau din afară acesteia.
– tentative de perturbare sau de întrerupere a funcționării rețelei la nivel fizic (prin factori
mecanici de întrerupere a unor cabluri sau scoatere din funcțiune a unor echipamente din rețea;
factori electrici, de bruiaj în cazul rețelelor radio, semnale de interferență în rețelele cablate).
– tentative de întrerupere sau de încărcare excesivă a traficului din rețea prin transmiterea
unui număr foarte mare de pache te către unul sau mai multe noduri din rețea.
– atacuri soft asup ra echipamentelor de rețea care concentrează și dirijează fluxul în
noduri critice (router, switch, acces point etc.) prin modificarea fișierelor de configurare și a
drepturilor de acces s tabilite de personalul autorizat.
– modificarea sau distrugerea informației, adică atacul la integritatea fizică a datelor
– preluarea și folosirea neautorizata a informațiilor adică încălcarea confidențialității
datelor și a dreptului de autor.
Atacurile a supra rețelelor de comunicații pot fi atacuri locale (din i nteriorul rețelei) sau
de la di stanță, atacuri centrate pe o singură entitate (de exemplu, este atacat un anumit server din
rețea de pe un singur echipament) sau pot fi atacuri distribuite (lansate din mai multe locații sau
către mai multe mașini simultan) , acestea din urmă generând ef ecte maxime prin atacarea rețelei
în mai multe noduri simultan, fiind astfel dificilă identificarea și localizarea autorilor.
După modul de interacțiune a atacatorulu i cu informația obținută în urma unui atac
reușit, se disting două categorii de atacuri: pasive și active, fiind dificil de comparat riscul
existent în cazul celor două tipuri de atacuri. La o prima vedere, având în vedere acțiunea
Cercetări privind securitatea datelor în sistemele informatice
50
intenționată a autorului atacului s -ar putea cataloga drept mai periculoase atacurile active. Dacă
se ia în considerare că prin atacuri pa sive se pot prelua chei de criptare fără ca serverul de chei
să-și dea seama care sunt cheile compromise , gravitatea consecințelor și imposib ilitatea de
apărare determină catalogarea drept mai periculoase a acestor tipuri de atacuri pasive .
O categorie aparte de atac asupra informațiilor stocate sau transmise în rețea o
reprezintă atacurile criptografice, prin care se încearcă extragerea in form ației din mesajele
criptate, în vederea obținerii informației originale în integralitate și/sau a cheilor de criptare și
decriptare.
Problemele de securitate nu pot fi rezolvate 100% și nu pot fi generate soluții de
securizare generale, însă demersurile oricăre i organizații trebuie să urmăre ască dezvoltarea unei
politici de securitate adecvată fiecărei rețele în parte, aplicarea ei simultan cu instruirea
utilizatorilor și adoptarea unor soluții de securitate, software sau hardware, potrivite
vulnerabilită ților și riscurilor de atac specifice fiecărei rețele, astfel rezultatul scontat fiind de a
se reduce substanțial efectele atacurilor și de a se minimaliza șansele autorilor de a cauza
prejudicii utilizatorilor rețelelor. Din perspectiva demersurilor de se curizare, un tip aparte de
atac, pe care l -am putea paradoxal cataloga drept pozitiv, este atacul etic lansat chiar de
personalul de ad ministrare al rețelei prin exploatarea anumitor vulnerabilități identificate precum
și atacuri etice periodice, fără înșt iințarea utilizatorilor, scopul fiind ca prin simularea unui atac
să se testeze securitatea rețelei.
Cunoscute și ca rețele sociale, comunitățile virtuale sau social media fac parte din
fenomenul global numit Web 2.0 (World Wide Web apărut în anii 2004 -2005), prin care
conținutul este creat și administrat exclusiv de către utilizatorii platformei. Pornind de la
specificul Web 2.0, și anume că, conținutul și informația din web nu mai e oferită vizitatorilor
numai de către mass media, guverne și companii part iculare, ci și de persoane particulare, legate
între ele într -o comunitate virtuală, prin rețele informale bazate pe Internet, și care contribuie și
participă activ la punerea la dispoziție și răspândirea informațiilor la nivel global , atât a
informațiilor proprii, personale, cât și a informațiilor de interes general. Practic, spiritul
comunitar și sentimentul de apartenență la o anumită comunitate virtuală îi animă pe membrii
unei rețele sociale să comunice informații persoanele celorlalți membrii, gest ap arent inofensiv și
necesar cunoașterii membrilor între ei, dar care poate fi manipulat de anumite persoane, din
interiorul sau exteriorul unei rețele pentru a șantaja, pentru a obține diferite avantaje economice
sau pentru a controla pe titularul acestor i nformații personale [Manea C.A., 2015, GIDNI ,
p.167 ].
Începând cu anul 2005, revoluția adusă prin Web 2.0 a generat creșterea numerică și
dezvoltarea rețelelor de socializare datorită noilor aplicații bazate pe web care au permis
utilizatorilor simpli să p articipe direct la răspândirea prin web a informațiilor și opiniilor proprii,
transformându -se astfel din „consumatori” în „creatori” de pagini web, exemplu edificator în
acest sens fiind blog -urile.
Dezvoltarea și răspândirea sistemelor de gestiunea auto mată a informațiilor dintr -un site
web, numite Content Management Systems, permite stocarea datelor utilizatorilor, în prezent, în
Cercetări privind securitatea datelor în sistemele informatice
51
primul rând direct în web (de exemplu pentru fotografiile private ș.a.), spre deosebire de
sistemele anterioare de IT în care datele utilizatorilor erau stocate inițial pe calculatorul
utilizatorului de unde erau preluate, urmând să fie publicate în web abia ulterior. Dezvoltând un
concept al legăturii permanente cu web -ul, Content Management Systems permite accesarea din
ce în ce mai des aplicațiile web de către programele locale de pe calculatorul utilizatorului de
rețea, unele motoare de căutare web fiind capabile și chiar obligate să acceseze și datele locale
ale utilizatorului [Manea C.A., 2015, GIDNI , p.167 ].
Îmbunătățirea permanentă a aplicațiilor web, atât pentru creșterea performanțelor
tehnice, dar și pentru creșterea gradului de securitate, determină actualizarea automată a multor
programe ale unui utilizator, acestea luând legătura cu site -ul autorului/utilizatorului l or în mod
automat, uneori chiar pe ascuns, fără atenționarea utilizatorului.
În legătura permanentă a utilizatorilor unei rețele cu Internetul, și implicit cu ceilalți
membrii ai rețelei sociale, rolul browser -ului devine din ce în ce mai important, deoare ce cu
ajutorul lui pot fi implementate azi aplicații web extrem de complexe (vezi Dynamic HTML),
astfel încât, practic vorbind, browser -ul devine cel mai important program al utilizatorului.
Având în vedere aceste facilități tehnologice și accesul facil din ultimii ani la
echipamente IT și Internet, din dorința indivizilor de a relaționa cu prietenii, colegii de muncă
sau în cadrul unui grup de interese, rețelele de socializare s -au dezvoltat prin implicarea
membrilor în comunicarea prin intermediul rețel elor și aderarea și/sau atragerea de noi membrii,
dar și datorită aplicațiilor sociale, comerciale, politice sau educaționale folosite în crearea de
legături virtuale între utilizatori [Manea C.A., 2015, GIDNI , p.168 ].
Unii viruși propagați în rețelele soc iale, deși detectați de programe antivirus, reușesc să
împiedice soluțiile de securitate și să se actualizeze și ei concomitent cu îmbunătățirea
programelor antivirus. De asemenea, vulnerabilitățile de securitate a unei rețele sociale sunt
speculate prin f olosirea de către utilizatori a dispozitivelor mobile pentru logare și accesarea din
rețele publice de wireless nesecurizate, accesate de toată lumea, cu intenții mai mult sau mai
puțin bune.
Odată cu dezvoltarea rețelelor de socializare și creșterea expo nențială a numărului de
membrii ai fiecărei rețele, a crescut și numărul de viruși propagați prin rețelele sociale și
proporțional numărul infracțiunilor informatice. În același timp, utilizatorii au conștientizat
importanța propriei siguranțe, dar și nece sitatea asigurării securității în rețea și a securității
propriului calculator, căci fiabilitatea unei rețele se referă la capacitatea ei de a face față
atacurilor nedirecționate (erori la conectare, erori de proiectare), în timp ce securitatea trebuie
abordată individual, de către fiecare utilizator al unei rețele sociale, căci siguranța utilizatorului
acoperă atacurile intenționate și direcționate [Manea C.A., 2015, GIDNI, p.168 -169].
Tacticile hackerilor de a exploata vulnerabilitățile rețelelor sociale se bazează atât pe
cunoștințe IT foarte bune (instalează viruși în rețele sau pe calculatoarele utilizatorilor dând
impresia că acești sunt aplicații inofensive ale rețelelor), cât și pe aspecte psihologice precum
exploatarea încrederii reciproce a membril or unei rețele, propagând virușii prin aplicații lansate
Cercetări privind securitatea datelor în sistemele informatice
52
aparent de unii membri ai rețelei care ulterior sunt accesate (redistribuite, se aplică comentarii
sau sunt confirmate prin like/pin) de alți membrii care le consideră legitime.
Speculând latura uman ă a fiecărui membru al unei rețele de socializare, o altă
escrocherie exploatată de către hackeri pe rețeaua Facebook a fost identificată în anul 2013 sub
forma aplicației "vezi cine ți -a vizualizat profilul" , utilizatorii fiind asigurați că vor primi
informații despre persoanele care le -au urmărit activitatea și accesat contul propriu pe rețea.
Această aplicație nouă, bazându -se pe curiozitatea umană, a declasat aplicații de tipul link -urilor
frauduloase care încearcă să convingă utilizatorii că pot câștig a diferite premii, de obicei
telefoane mobile sau tablete, participând la diferite sondaje sau concursuri, dar în fapt
expunându -și propriul calculator accesului virușilor și/sau spam -urilor ascunse în spatele acestor
link-uri [Manea C.A., 2015, GIDNI, p. 169].
Putem spune că "succesul" acestor aplicații frauduloase soldate cu infestarea rețelelor și
a calculatoarelor membrilor care le accesează, se bazează și pe impactul vizual puternic asupra
utilizatorilor, speculând faptul că membrii unei rețele nefiind în contact direct nu se pot consulta
între ei, iar când se sesizează deja aplicațiile au fost accesate de un număr destul de mare de
membrii ai unei rețele.
I.5.3. Securizarea rețelelor sociale
La sfârșitul anului 2014, la nivel global, cele mai cunoscute și accesate rețele de
socializare, în domenii diferite de interes pentru utilizatori, erau : Facebook cu circa 1,4 miliarde
de utilizatori; Twitter cu circa 1 miliard de utilizatori cu cont (rețea pentru răspândirea unor știri
scurte de maxim 140 de carac tere); YouTube – rețea de partajare a videoclipurilor cu circa 1
miliard de utilizatori; LinkedIn cu circa 300 de milioane de utilizatori (rețea pentru
managementul carierei și relațiilor profesionale); Pinterest cu circa 70 de milioane de utilizatori
(platformă pentru descoperirea și administrarea de imagini și video -uri); Instagram cu circa 30 de
milioane de utilizatori [Manea C.A., 2015, GIDNI, p. 168 ].
Datorită informațiilor personale pe care membrii unei rețele sociale le schimbă între ei
și din cauza aplicațiilor web care accesează direct calculatoarele utilizatorilor, uneori fără știința
acestora, toate rețele de socializare sunt vulnerabile în fața atacurilor lansate și exploatate de
către hackeri, fie că este vorba de problemele de conectare, erori de tip "cross -site scripting" sau
vulnerabilități Java. Tot datorită legăturilor create între membrii rețelei de socializare, banner -ele
sau link -urile de pe astfel de rețele pot fi calea prin care un simplu Troian „dropper” ajunge de la
un utilizator la a ltul, se instalează în sistemul descoperit drept vulnerabil și „fură” parole,
informații personale și chiar datele de identificare ale cardului bancar folosit de utilizator pentru
plăți on -line și memorate pe calculatorul său [Manea C.A., 2015, GIDNI, p. 1 68].
Chiar dacă rețelele sociale au propriul sistem securizat de tip „cloud” pentru stocarea
datelor utilizatorilor, prin bifarea/validarea anumitor permisiuni la aplicațiile din rețea, practic se
permite accesul unor aplicații externe, neverificate la pro priile informații din contul de pe rețea,
și chiar a informațiilor de pe propriul calculator. De asemenea, prin postarea informațiilor
personale, de la diferite date despre utilizator la pozele personale, acestea devin informații
Cercetări privind securitatea datelor în sistemele informatice
53
publice, fapt pentru care furtul de identitate și/sau crearea de conturi paralele credibile, sub altă
identitate, au devenit în ultimul timp forma de acțiune a cyber -infractorilor, care exploatează
astfel legăturile create într -o rețea și încrederea reciprocă a membrilor săi [Manea C.A., 2015,
GIDNI, p. 168 ].
Un alt defect privind asigurarea securității utilizatorilor unei rețele se referă la
încălcarea intimității membrilor unei rețele prin propagarea ulterioară a informațiilor personale
postate de utilizatori fără acordul lor în d iseminarea în rețea, atunci când alți membrii ai rețelei le
redistribuie sau le preiau în propriile conturi pentru a prelucra informațiile în interes propriu
(recentul scandal Cambridge Analytics/Facebook) . În acest sens, Mark Zuckerberg, fondatorul
Facebo ok, cea mai cunoscută rețea de socializare actuală, a recunoscut riscul și existența unor
probleme de securitate, garantând în repetate rânduri repararea lor prin creșterea securității
rețelei.
Securitatea rețelelor sociale începe cu securitatea utilizat orilor asupra propriului cont,
astfel încât contul să nu fie accesat de alte persoane, prin spargerea parolelor de acces, sau chiar
copiate informațiile și creat un cont fals pentru a crea impresia asupra celorlalți membrii ai
rețelei că de fapt colegul lo r de rețea este în spatele contului fals.
De obicei neglijată sau minimalizată de utilizatori, folosirea unei parole puternice (o
înșiruire de caractere speciale, numere și litere mici sau majuscule) dar și schimbarea cu
regularitate a acesteia este garan ția de securitate pentru orice utilizator, în timp ce hackerii
speculează naivitatea utilizatorilor și lipsa de imaginație în crearea unor parole puternice prin
folosirea celor mai banale combinații precum "password", "123456”, dar și cuvinte ca “jesus” și
“ninja”, folosirea datelor de naștere, nume de dinainte de căsătorie, numele animalelor de
companie sau ale copiilor, informații personale pe care chiar utilizatorii le aduc la cunoștința
partenerilor din rețeaua socială atunci când oferă date despre ei ș i nu securizează accesul la
aceste date la grupul restrâns al utilizatorilor pe care îi cunosc în mod direct, nu numai din
mediul virtual [Manea C.A., 2015, GIDNI, p. 169 ].
Membrii unei rețele sociale trebuie instruiți (de cele mai multe ori se avertizează între ei
cu privire la aplicațiile periculoase) să nu acceseze fișiere executabile (cu extensia ‘.exe’), chiar
dacă sunt lansate de prieteni din rețea sau sunt postări ale unor persoane necunoscute în mod
direct, și care de cele mai multe ori pot îmbrăca forma unor mesaje sau fotografii la care
utilizatorii sunt invitați fie să dea click, fie să dea like, căci prin executarea unui astfel de fișier,
în calculatorul utilizatorului se descarcă un software periculos care permite accesul și controlul
atacatoril or asupra informațiilor proprii.
Și pentru că a preveni este de cele mai multe ori mai sigur și chiar mai economic,
prevenirea atacurilor informatice este soluția spre care trebuie să opteze toți utilizatorii, acțiunea
de prevenție începând cu conștientiza rea pericolelor socializării într -o rețea și informarea corectă
asupra regulilor de confidențialitate, ca măsuri adiacente instalării de programe antivirus,
firewall sau antispam pe calculatorul propriu.
Activitatea într -o rețea socială tentează pe utiliz atori să facă publice cât mai multe
informații despre ei, pornind de la informații personale, la fotografii, evenimente din viața
Cercetări privind securitatea datelor în sistemele informatice
54
proprie și chiar folosirea aplicațiilor de localizare geografică, astfel de informații pot fi
exploatate de către infractori ( de exemplu localizându -se prin aplicațiile din rețea se oferă
informații hoților privind lipsa de la domiciliu a persoanelor în cauză, iar coroborat cu poze ale
locuinței se oferă date exacte despre adresa de domiciliu).
Unele din aceste informații pot fi reale, căci s -a dovedit că Internetul și socializarea în
mediu virtual eliberează de inhibițiile personale și potențează dorința de a fi sincer și deschis cu
ceilalți membrii, dar există și cazuri în care unii membrii nu sunt ceea ce pretind a fi în mediu l
virtual, își ascund, din diferite motive, calitățile sau defectele, mint sau exagerează cu propriile
calități, astfel încât o alte măsuri de prevenție sunt discreția și scepticismul față de anumiți
utilizatori sau informații inutile.
Această abordare sc eptică pune pe orice utilizator la adăpost, căci s -a dovedit faptul că,
exploatând credulitatea membrilor unei rețele în sinceritatea celorlalți, precum și convingerea că
sunt împărtășite interese comune (de exemplu site -urile de matrimoniale), la adăpostu l unei
identități false, recidiviști sau indivizi cu probleme comportamentale în viața de zi cu zi se
prezintă în cel mai naiv mod cu putință [Manea C.A., 2015, GIDNI, p. 170 ].
Utilizatorii trebuie să evite descărcarea de cărți digitale, muzică sau filme p rimite/oferite
de necunoscuți într -o rețea socială sau oferite gratis pe site -uri obscure, căci această măsură de
siguranță ne garantează că nu descărcăm în propriul computer viruși, troieni sau viermi de tip
malware9.
O altă măsură de securitate pe care f iecare utilizator trebuie să o folosească pentru a se
proteja de atacurile de tip phishing este securitatea navigării în browser, fapt pentru care se
recomandă verificarea siguranței conexiunii (https) prin tastarea directă a adresei rețelei sociale,
evitâ ndu-se pe cât posibil conectarea la rețele Wi -Fi publice, chiar și din motive financiare.
Și pentru că funcționarea unei rețele sociale se bazează pe atragerea unui număr cât mai
mare de utilizatori, fie direct, fie pe bază de recomandare, și pe creșterea numărului de persoane
cărora le este permis accesul la contul fiecărui utilizator, o altă măsură de prevenție și securitate
este acceptarea sau adăugarea în lista de prieteni numai a persoanelor care sunt cunoscute în mod
direct de către utilizator și/sau restricționarea accesului la contul personal doar pentru prietenii și
cunoscuții utilizatorului prin folosirea filtrelor de grup sau privat.
I.6. Concluzii
Securitatea informațiilor este un domeniu pe care orice organizație trebuie să îl abordeze
cu maxim ă atenție la nivelul managementului de vârf, întrucât reprezintă un pilon principal care,
într-adevăr nu este aducător de profit imediat și direct, dar care contribuie semnificativ la
realizarea obiectivelor organizaționale, și indirect contribuie și la o bținerea profitului.
9 Provenit din sintagma malicious software ( engl.), malware -ul este un tip de software proiectat cu scopul declarat de a deteriora
un computer și/sau o rețea de computere sau pentru a se infiltra în el /în tr -o rețea , fără consimțământul proprietarulu i
echipamentului/administratorului rețelei.
Cercetări privind securitatea datelor în sistemele informatice
55
În condițiile în care, așa cum am arătat și mai sus, nu există reglementare internă sau
internațională și nici un standard care să se refere la Sistemul de Management Integrat, luând în
considerare situația faptică a organizațiilor car e în ultimii ani au optat și promovează Sistemul de
Management Integrat, rezultă că necesitatea dezvoltării sistemului integrat este impusă din
interior, ci nu din mediul extern.
Chiar dacă nu se poate afirma că există reguli universal valabile privind sta bilirea a
priori a relației în care trebuie să fie puse sistemele de management într -o structură integrată,
totuși, pentru orientarea procesului de adoptare a soluției adecvate într -o organizație, pot fi
formulate următoarele recomandări privind asigurarea securității sistemului informatic
operațional :
a. Organizația trebuie să stabilească o relație cât mai obiectivă între importanța aspectelor
de mediu și/sau de securitate informațională și/sau de sănătate și securitate ocupațională, pe de o
parte, și a asp ectelor de asigurare a calității, pe de altă parte;
b. Adoptarea deciziei de realizare a unui sistem de management integrat calitate –
mediu/sănătate și securitate ocupațională/securitatea informației trebuie să fie fundamentată pe
analiza motivelor esențiale care au stat la baza deciziei de implementare a fiecăruia din sistemele
de management din perspectiva organizației;
c. Decizia de implementare sau nu a unui sistem integrat de management trebuie să fie
fundamentată pe analiza asemănărilor și deosebirilor din tre sistemele de management pentru care
se optează, precum și a avantajelor și dezavantajelor unei posibile integrări. Este deosebit de
important ca, în urma analizei efectuate, organizația să -și formuleze un punct de vedere propriu
care să țină cont de pa rticularitățile acesteia.
Una din soluțiile cel mai frecvent adoptate și pe care o susținem este cea referitoare la
integrarea sistemelor de management al calității și a unuia sau tuturor celorlalte sisteme de
management (SMM, SMSI, SMSSM) într-o variant ă de integrare parțială, foarte flexibilă și
adaptabilă unui număr mare de situații. Conform acesteia, sistemul de management global are o
coordonare unitară, la vârf, din care se desprinde o structură mixtă calitate – mediu – securitatea
informației – sănătate și securitate ocupațională bazată pe manuale separate și pe un sistem
combinat de proceduri și alte documente, parțial integrate. De la caz la caz, partea comună și
părțile separate pot fi mai dezvoltate sau mai reduse, fără ca prin aceasta interacți unea dintre
sisteme să fie afectată în mod esențial.
Indiferent de sistemele de management pe care o organizație își propune a le
implementa în sistem integrat, următoarele procese ar trebui să fie comune tuturor sistemelor :
– Controlul documentelor;
– Contr olul înregistrărilor;
– Audit intern;
– Analiza managementului;
– Acțiuni corective;
– Acțiuni preventive.
Cercetări privind securitatea datelor în sistemele informatice
56
În societatea actuală, bazele de date reprezintă cele mai importante componente ale
sistemului informatic, indiferent de mărimea operatorului economic și/sau instituției/autorității
care folosește acel sistem pentru arhivarea și/sau prelucrarea diverselor date, informații necesare
propriei activități. Având în vedere importanța informațiilor/datelor pentru activitatea proprie a
operatorului este de înțeles de ce bazele de date sunt cele mai atacate și vulnerabile elemente din
mediul on -line.
În unele cazuri folosirea anumitor baze de date și a programelor de gestiune a bazelor
respective este impusă operatorilor economici și instituțiilor statului pentru desfăș urarea propriei
activități, fie de legislația fiscală, fie de cea din domeniul dreptului muncii pentru stocare de
informații și evidențe necesare propriei activități, spre exemplu programe de gestiune a
documentelor și evidenței contabile, respectiv progra mul REVISAL privind registrul de evidență
al salariaților. Sunt situații când tot pentru desfășurarea activității operatorului economic acesta
își constituie anumite baze de date tehnice sau de evidență, în funcție de obiectul de activitate, și
aferent lor folosește sistemele de gestiune a proceselor tehnologice de producție sau a gestiunii
bunurilor din patrimoniu, spre exemplu, dar și situații în care chiar obiectul de activitate al
operatorului economic este realizarea unor baze de date și actualizarea l or, ca produs oferit
beneficiarilor care folosesc pentru susținerea activității proprii aceste baze de date configurate, și
ca exemplu sunt firmele de produse informatice cu softwear -uri de baze legislative.
Sunt domenii și instituții ale statului cărora l egislația le impune, pentru asigurarea
transparenței procedurilor derulate, obligativitatea creării și actualizării în vederea accesului
public a anumitor baze de date de interes general, iar ca exemplu imediat avem portalul
instanțelor de judecată ( http://portal.just.ro), o bază de date cu evidența tuturor dosarelor de pe
rolul instanțelor judecătorești din România (cu acces public la date privind derularea
procedurilor judiciare în cadrul litigiilor, respectiv sol uția pronunțată de către instanță pe scurt și
în timp real), baza de date fiind administrată de către fiecare instanță de judecată, pentru ca la
nivel național să fie incluse toate informațiile în baza de date națională privind instanțele
judecătorești, cu excepția datelor privind dosarele aflate pe rolul Înaltei Curți de Casație și
Justiție, instanță care își administrează separat pe propriul site partea de jurisprudență proprie.
Tot în domeniul juridic, și nu în scop lucrativ, este creat, după model canad ian și australian, un
instrument informatic al cărui scop declarat este unificarea practicii judiciare, atât pentru uzul
cetățenilor – destinatari principali ai proiectului – cât și în vederea exploatării de către personal
juridic de specialitate, un porta l cu întreaga jurisprudență a tuturor instanțelor judecătorești și
publicarea lor în spațiul virtual, integral și anonimizate ( http://www.rolii.ro ), România fiind,
astfel, printre primele țări din Uniunea Europeana în ca re cetățenii și profesioniștii în drept pot
accesa gratuit hotărârile pronunțate de instanțele naționale.
Și pentru a ne forma o imagine de ansamblu asupra extinderii utilizării actuale a bazelor
de date în domenii diferite de activitate, amintim de folos irea lor în sistemul de sănătate public și
privat – de la bazele de date ale bolnavilor arondați unui medic, respectiv ale bolnavilor dintr -o
anumită unitate de sănătate, la bazele de date naționale ale persoanelor asigurate în sistemul de
asigurări public /privat de sănătate – respectiv în sistemul asigurărilor sociale (bazele de date cu
Cercetări privind securitatea datelor în sistemele informatice
57
persoane ce beneficiază de ajutor financiar de la bugetul de stat, respectiv bazele de date ale
beneficiarilor drepturilor de pensie sau a indemnizațiilor de șomaj), a serv iciilor din sectorul
bancar (bazele de date ale clienților care folosesc serviciile unei anumite instituții financiar –
bancare), dar și în sistemul de învățământ (de la registrele matricole naționale în învățământul
preuniversitar și universitar, la bazele de date cu evaluări și examene naționale – gestionate la
nivel național dar și la nivelul inspectoratelor școlare, respectiv la bazele de date privind numărul
de studenți, regimul de finanțare și programele de studii universitare și titlurile științifice
dobândite).
Pentru a -și facilita și dezvolta activitatea, anumiți operatori economici își creează
proprii le baze de date cu informații specifice domeniului de activitate, baze de date pe care apoi
le exploatează, le aduc la cunoștința publicului și/sau cl ienților, le actualizează în timp și le
arhivează, dobândind calitatea de fabricanți de baze de date, astfel cum îi denumește legiuitorul
național în Legea nr.8/1996 privind drepturile de autor și drepturile conexe (art.1221-art.1224), și
fiind titularii u nor drepturi speciale recunoscute și protejate de lege. Astfel de situații regăsim în
domeniul agențiilor de turism care își creează și exploatează baze de date privind bilete de avion
sau pachete de servicii turistice la anumiți operatori de turism, regăs im în domeniul comerțului
on-line, caz în care operatorii economici își creează propriile baze de date cu produsele oferite și
condițiile proprii de tranzacționare, regăsim în domeniul imobiliar – baze de date locale sau
naționale privind imobile propuse p entru tranzacții – dar și în domeniul serviciilor bancare,
menționat anterior, al serviciilor de transport, al serviciilor de asigurări sau al companiilor de
comunicație.
Este important ca organizațiile care utilizează Internetul, indiferent de domeniul pu blic
sau privat al activității proprii, să conștientizeze riscurile asociate utilizării tehnologiei și
gestionării electronice a informațiilor și să adopte politici de securitate și să implementeze
măsuri de securitate conștientizând în primul rând la nive lul propriilor angajați și extins ulterior
la nivelul colaboratorilor și destinatarilor/beneficiarilor activității proprii a importanței securității
informațiilor, înțelegând tipologia amențărilor, riscurilor și vulnerabilităților specifice mediilor
inform atizate, activitate regăsită în aplicarea practicilor de control și a sistem elor de management
integrat [Hontanon R.J., 2003] .
Orice organizație, indiferent că este publică sau privată, la nivel micro sau macro,
trebuie să analizeze riscul de securitate, a dică se identifice amenințările posibilice care
exploatând eventuale vulnerabilități ale sistemului informatic propriu pot genera pierderi
organizației, disfuncționalitate sau erori în activitatea acesteia . Etapa analizei riscului de
securitate, ca parte a managementului instituțional, trebuie coroborată cu stabilirea unei politici
de securitate și implementarea unui model adecvat de securitate. Din cauza evoluției rapide a
riscurilor corelate unui sistem informatic, sistemul de management al securității in formațiilor
trebuie permanent monitorizat pentru a se identifica la timp incidentele de securitate și posibilele
erori, îmbunătățindu -se astfel permanent eficacitatea securității.
Acoperind toate domeniile de interes ale utilizatorilor, de la fotografie, m uzică, filme,
jocuri on -line sau platforme de socializare profesionale și/sau sociale, în prezent numărul de
Cercetări privind securitatea datelor în sistemele informatice
58
rețele sociale este foarte mare, un utilizator putând fi membru în mai multe rețele. Deși se
consideră că rețelele sociale sunt doar site -uri care asigură un mediu virtual de întâlnire și
discuție între membrii rețelei, asigurând o comunicare directă prin conturile create, trebuie să
subliniem faptul că statutul de rețea socială este dat de posibilitatea utilizatorilor de a crea
conținutul site -ului prin comentarii, distribuirea anumitor materiale postate sau postarea de
materiale proprii ce pot fi ulterior redistribuite în rețea, pot fi comentate sau votate. Prin aceste
acțiuni de implicare a utilizatorilor se asigură comunicarea virtuală, feed -backu l utilizatorului
receptor devenind la rândul său mesaj către utilizatorul emitent inițial sau către alți utilizatori
receptori, în caz contrar fiind în prezența unui site de promovare/prezentare care oferă informații
într-un singur sens – de la emitent/aut orul site -ului la destinatarii care îl accesează [Manea C.A.,
2015, GIDNI, p. 171 ].
Rețelele sociale au schimbat și continuă să schimbe modul de abordare al vieții sociale,
economice, politice, educaționale, reducând, pe de o parte costurile de comunicare pe măsura
dezvoltării tehnologiilor IT, și întărind comunitățile virtuale și forța lor de decizie și reacție în
societate, pe de altă parte. Efectele demersurilor inițiate în cadrul rețelelor sociale și rezultatele
acestora, amplificate prin comunicarea me mbrilor, cu toată opoziția anumitor persoane, grupuri
de interese sau autorități, sunt protestele din Egipt care au dus la demisia președintelui statului,
protestele și mișcarea cetățenilor din Germania împotriva proiectului de cale ferată "Stuttgart 21"
și protestul românilor din diaspora privind organizarea defectuoasă a alegerilor prezidențiale la
consulatele/ambasadele României din primul tur de scrutin din toamna lui 2014. Forța de
comunicare virtuală în astfel de rețele poate determina întrunirea fizi că și directă a maselor de
oameni, convocați astfel pentru susținerea unor idei și proteste considerate inițial nesemnificative
sau sortite eșecului de către autoritățile statale [Manea C.A., 2015, GIDNI, p. 171 ].
Înainte de a ne baza pe securitatea unei r ețele sociale, fiecare utilizator trebuie să -și
securizeze prin programe antivirus și antispam propriul calculator, telefon mobil sau tabletă de
pe care accesează Internetul și contul său dintr -o rețea socială. Pentru că tehnologia avansează,
aplicațiile d e securitate trebuie actualizate permanent, fie prin aplicații gratuite sau contra -cost,
iar actualizarea sau folosirea programelor de securitate tre buie încurajată de către însăși
administratorii rețelelor sociale, cum este aplicația Bitdefender Safego of erită gratuit pe
Facebook, care îi protejează pe membrii rețelei de cele mai noi amenințări informatice, spam,
phishing și malware, avertizând tot odată și cu privire la expunerea exagerată a datelor cu caracter
personal, procurarea acestora fiind facilă ia r prelucrarea lor de către operatori/administratorii de
rețele
Cercetări privind securitatea datelor în sistemele informatice
59
CAPITOLUL I I.
ANALIZA PRINCIPALELOR TIPURI DE ATACURI INFORMATICE
Indiferent de motivația unei persoane de a interveni neautorizat și de a intercepta, altera
sau șterge date și informaț ii dintr -un sistem informatic sau dintr -o rețea publică/privată,
consecințele atacului sunt resimțite nu numai de către administratorii rețelei/sistemului
informatic ci și de către ceilalți utilizatori care folosesc ca resurse informațiile din sistem.
Numă rul incidentelor raportate pe tema securității rețelelor informatice este în creștere,
în special în cazul rețelelor din mediul Internet, printre cele mai folosite mijloace fiind atacurile
prin e -mail, atacurile de tip DoS ( Denial of Service ) prin care est e îngreunat sau chiar blocat
traficul legitim de date și accesul prin conexiuni neautorizate pe anumite servere care conțin date
confidențiale sau aplicații critice, în special în cazul rețelelor din domeniul public.
Definite drept evenimente apărute în c adrul unei rețele și având implicații asupra
securității unui calculator sau a rețelei însăși, incidentele de securitate cibernetică afectează
securitatea și integritatea rețelelor și serviciilor. Și totuși, nu putem vorbi de o definiție unitară,
comună a incidentelor de securitate cibernetică, sintagma fiind asimilată uneori cu noțiunile de
breach, malicious attacks or Advanced Persistent Threats (ATPs) .
Pentru identificarea impactului și consecințelor diferitelor tipuri de atacuri asupra
mediului de aface ri care folosește sisteme informatice, atât la nivel național, regional cât și
internațional s-au pus bazele cooperării entităților naționale organizate sub forma CERT -urilor
(Computer Emergency Response Teams) la nivel european, precum și a cooperării la nivel
mondial prin CERT/CC finanțat de guvernul Statelor Unite ale Americii .
Ca și în celelalte domenii în care apar incidente și amenințări (exp. inundații sau
incendii, atacuri teroriste) și la nivelul societății intervin echipe de specialiști pentru a r educe
impactul incidentului în derulare și pentru a preveni în viitor producerea acestor tipuri de
incidente, pornind de la analiza cauzelor care le -au generat inițial, și în cazul incidentelor de
securitate informatică a condus la apariția la nivel națion al și regional a echipelor de specialiști în
securitate cibernetică care înțeleg complexitatea amenințării și pot determina cauza incidentului
pentru a reacționa rapid . Aceste echipe sunt cunoscute sub acronimul CERT sau CSIRT
(Computer Security Incident Response Teams ), abreviere mai utilizată în spațiul european.
De asemenea, trendul creșterii fen omenului infracționalității informatice este alimentat
de noi tipuri de atacuri, care se adaugă de la an la an metodelor mai învechite exploatându -se
astfel de către agenții de amenințare vulnerabilitățile diferitelor sisteme sau aplicații (dintre cele
mai vulnerabile aplicații în anul 2016 menționăm spre exemplu Adobe Flash , vulnerabilitățile
platformei fiind exploatate prin atacuri țintite și complexe de tip AP T -Advance Persistent Threat
sau campanii ransomware cu reclame Flash malițioase [CERT -RO, Adobe Flash ]).
Frecvența folosirii anumitor tipuri de atacuri informatice este corelată cu consecințele
urmărite de către agenții de amenințare, constatându -se potr ivit statisticilor, spre exemplu că deși
Cercetări privind securitatea datelor în sistemele informatice
60
la prima vedere un anumit tip de atac nu este profitabil direct, el este folosit tot mai des prin
asociere cu alte fapte de amenințare la care sunt expuși utilizatorii sau organizațiile.
În acest sens se explică de ce au luat amploare, începând cu anul 2005, atacurile prin
refuzul serviciilor de tip DoS, atacuri asociate cu șantajul blocării accesului la un anumit site sau
la anumite servicii oferite de serverele unei organizații pentru obținerea unor sume important e de
bani de către agenții de amenințare pentru a nu duce la capăt amenințarea.
II.1. Evoluția în timp a atacurilor informatice.
De-a lungul timpului atacurile informatice s -au diversificat, frecvența lor a crescut pe
fondul globalizării și al deschide rii piețelor on -line, în timp ce impactul lor asupra sistemelor
informatice s -a acutizat pe fondul creșterii fenomenului criminalității informatice. Exploatând
vulnerabilitățile unui sistem informatic pe mai multe niveluri și din nevoia de îmbunătățire
pentru a nu fi depistate, atacurile informatice au devenit tot mai complexe, combinând efecte și
caracteristici de la mai multe tipuri de atacuri, respectiv aceste malware pot crea breșe în sistem
pentru a facilita accesul intrusului (caracteristica cailor tr oieni), concomitent cu
automultiplicarea lor în rețea (caracteristica viermilor) și distrugerea informațiilor (caracteristica
virușilor).
De asemenea, și agenții de amenințare, persoanele care stau în spatele atacurilor
informatice speculând vulnerabilitat ea unui sistem informatic , se pot împărțit pe diverse categorii
în funcție de scopul în care generează atacuri asupra sistem elor informatice , scopuri care au
pornit de la simple distracții sau nevoia de demonstra competențele tehnologice ale anumitor
perso ane, până la dezvoltarea unor sentimente de ură și răzbunare, respectiv satisfacerea u nor
interese economice, militare sau profesionale.
Din cauza cuantificării diferite a prejudiciilor cauzate prin atacurile informatice,
prejudicii atât materiale cât și funcționale prin afectarea infrastructurilor informatice la nivel
local sau regional, precum și datorită dezvoltării măsurilor de detectare a atacurilor informatice
și a celor de intervenție rapidă pentru repararea daunelor cauzate, nu se pot ierarhiza cat egoriile
de agenți de amenințare într-o ordine crescătoare a amenințării pe care o reprezintă.
De asemenea, nu se regăsește în literatura de specialitate, nici cea tehnică, nici cea
juridică , o definiție unitară a agenților de amenințare , aceștia fiind definiți fie ca actori rău
intenționați care declanșează atacuri împotriva structurii informaționale critice [Oprea D., 2007,
p.274 ], fie ca agenți care implementează amenințările în sistemul informatic [Șerb A. et al. ,
2013, p.105 ], fie sunt definiți ca ata catori conturându -se mai multe profiluri în funcție de timp,
instrumente, scop și riscul asumat prin atac, dar și a modului de acces extern sau intern la sistem
[Mihai I.C, 2012, p.121 -123].
Dacă în literatura tehnică de specialitate cracker este denumir ea generică pentru
persoana care are ca ocupație principală lansarea atacurilor asupra sistem elor informatice în mod
intențio nat prin fapte care se încadrează, de cele mai multe ori, în reglementarea normelor
penale , cel mai utilizat termen în mass -media este cel de hacker, termen adoptat în anii ’60 , însă
Cercetări privind securitatea datelor în sistemele informatice
61
acest termen trebuie asociat persoanelor care posedând vaste cunoștințe de programare, fiind
chiar specializați în aplicații software și fiind pasionați de dezvoltarea cunoștințelor proprii
pătrund neauto rizat în sistemele informatice exploatând erorile sistemelor de operare. Deși
intenția hackerilor în lansarea atacurilor o putem pune în general pe seama interesului științific și
tehnic, capacitățile lor în exploatarea vulnerabilităților sistemului pot fi exploatate de alte
persoane rău intenționate .
Spre deosebire de crackeri, hackerii încearcă să dezvolte și metode de securizare a
sistemului informatic, nu doar să exploateze vulnerabilitățile din sistem [Raymond E.S., 2005 ],
fapt pentru care unii hacker i sunt susținuți ulterior în demersurile lor de către organizații, în timp
ce crackerii ajung în majoritatea cazurilor în fața instanțelor de judecată penale deoarece
limitarea cunoștințelor lor nu le permite să șteargă urmele când descarcă prog rame de pe Internet
sau alte instrumente soft pentru atacuri informatice [Mihai I.C, 2012, p.120 ].
Un alt termen tehnic care restrânge categoria crackeri -lor este cel de haxori, adică
crackeri care nu au cunoștințe tehnice și nici nu sunt animați să -și dezvolte cuno ștințele, dar care
fiind rău intenționați descărcă de pe Internet aplicații soft pentru atacuri [Albert R. et al. , 2002,
p.121 -123].
Deși în majoritatea cazurilor atacatorii sunt persoane fizice, sunt situații în care
persoane juridice – organizații sau s tate – generează atacuri informatice folosind instrumente
dezvoltate pentru a cauza prejudicii, în acest din urmă caz asist ând la un veritabil război
cibernetic al s ecolului XXI.
Astfel de acțiuni au avut loc în anul 2000 când hackeri susținuți de statul Israel au atacat
website -urile organizației Hezbollah și a Autorității Naționale Palestiniene, aceștia din urmă
generând, la rândul lor, atacuri asupra site -urilor financiare ale Israelului sau atacurile cibernetice
lansate atât de China cât și de Statele Unite ale Americii din anul 2001 după accidentul aviatic
din Marea Chinei de Sud [Albert R. et al. , 2002, p.131 ].
Atacurile informatice astfel inițiate de către state pot avea de la scopuri politice ,precum
cele anterior menționate, la scopuri economice ș i financiare , precum spionajul c ibernetic
instrumentat de statul chinez asupra mediului de afaceri din Marea Britanie în anul 2007.
În funcție de organizarea atacului și de instrumentele folosite, dar și de experiența
autorilor, în literatura de specialita te tehnică sunt identificate trei nivele de atacuri : atacuri
oportune, atacuri intermediare și atacuri sofisticate. Cel mai frecvent întâlnit este atacul oportun,
autorul fiind un agent de amenințare ocazional, cu cunoștințe limitate despre sistemul infor matic
și folosind instrumente existente pe care le folosește pe ntru ati ngerea unui obiectiv general , cum
ar fi de exemplu atacul unui angajat nemulțumit sau al unui activist înverșunat. În fața unor astfel
de atacuri generale defensiva sistemului informati c este asigurată prin configurarea unor
programe firewall care fac și controlul accesului.
Atacurile intermediare sunt asemănătoare celor ocazionale, doar că atacatorul își va
ascund e activitatea cu mai multă price pere decât autorul unui atac ocazional [Moore A.P. et al. ,
2001 ].
Cercetări privind securitatea datelor în sistemele informatice
62
Atacurile sofisticate, cum le spune și denumirea, afectează în mod considerabil
serviciile esențiale dintr -un sistem, autorii având obiectivul bine conturat și alocând resurse și
timp îndelungat pentru strângerea de informații des pre arhitectura sistemului informatic pentru a –
și crea propriile instrumente.
II.1.1. Repere în timp privind atacurile informatice
Folosind ca și cale de acces dischetele, ca medii externe, la începutul anului 1986 a
apărut primul virus – virusul Brain – urmat de alți viruși creați de hackeri din dorința de a
exploata vulnerabilitățile sistemelor informatice neprotejate la acel moment. Doi ani mai târziu,
în 2 noiembrie 1988 în Internet este lansat primul atac de tip vierme de către Robert T. Morris,
studen t la Universitatea Cornell, care s -a automultiplicat afectând un număr de 60.000 de
calculatoare de pe teritoriul Statelor Unite ale Americii, calculatoare ale unor centre universitare
(Cambridge, Massachusetts, Princeton), ale Centrul ui de Cercetări NASA din Silicon Valey și
ale unor institute de cercetare, acest prim atac generalizat neproducând distrugeri de date ci doar
încetinirea considerabilă a sistemelor afectate .
Mecanismul de atac al viermelui lansat de Morris reducea spațiul de pe hard disk,
blocând calculatorul infectat care trebuia să rezolve procesele lansate prin multiplicarea
viermelui, iar în timp ce sistemul de operare se bloca viermele colecta date despre utilizatorii
calculatoarelor infectate. În aceeași zi a lansării atacului a fost lan sat și programul de control și
distrugere a viermelui de către experții în Unix, care au încercat astfel să reducă vulnerabilitățile
sistemului de operare Unix.
Un alt efect psihologic generat de viermele lui Morris, care se resimt și în prezent, a fost
schimbarea atitudinii experților IT cu privire la securitatea în Internet prin crearea unor
organizații în domeniul securității informatice care să ofere consultanță în situații de criză,
organizații care acționează și în prezent la nivel național, respectiv CERT – Computer
Emergency Readiness Team.
La nivelul relațiilor internaționale dintre state, în anul 1982 spionii so vietici au furat un
sistem de control computerizat fără să știe că în soft era introdusă o linie de cod de către
specialiștii IT din CIA, p entru ca la accesarea neautorizată să fie generată o explozie masivă,
explozie care a fost generată la o conductă de gaze din Siberia, acesta fiind începutul războiului
cibernetic [ Vevera A.V. , 201 4, p.18], deși opinia publică nu a reacționat cu interes la incident.
Au urmat în anii ‘90 acțiuni de vandalism informatic prin care fie erau alterate s istemele
de operare la nivelul organizațiilor , fie erau distruse datele de pe sistemele de stocare, fără ca
atacatorii să aibă vreun obiectiv economic sau politic, ci doar pentru pură distracți e [Mihai I. -S,
2012, p.83 ]. Pe această linie s -au înscris și virusul Michelangelo (1992) care odată instalat
ștergea la o dată programată toate informațiile de pe computerul infectat sau virusul VCL (Virus
Creation Labor) cu a jutorul căruia erau creați noi viruși prin accesarea meniurilor din consolă de
către utilizatori.
Au existat și viruși care să afecteze echipamentele hardware, dar aceștia sunt mai puțin
frecvenți și de regulă sunt livrați odată cu echipamentul, un exemplu fiind virusul Flamble care
Cercetări privind securitatea datelor în sistemele informatice
63
afecta monitorul calculatorului prin distrugerea pixelilor din cauza creșterii frecvenței de scanare
a fascicolului de electroni ai monitorului peste limitele admise [King S .T. et al. , 2006].
De asemenea, serviciile de poștă e lectronică au fost afectate de viruși începând cu anul
1999, când virusul Melissa a generat primele atacur i de tip spam prin atașarea fiș ierului infectat
de tip text la un mesaj de e -mail transmis automat tuturor cont actelor din lista de e -mail.
Dacă anii ‘90 s-au remarcat prin inofensivitatea intenționată a atacurilor, majoritatea
agenților de amenințare neurmărind un scop lucrativ, prin acțiunile lor dorind să -și dovedească
competențele tehnice în raport cu vulnerabilitățile sistemelor informatice, anii ’ 00 debutează cu
atacuri asupra site -urilor comerciale pe fondul dezvoltării tranzacțiilor on -line, atacurile
urmărind să intercepteze datele personale legate de cadrul de credit cu care se efectuau plăți on –
line, pentru a se sustrage ulterior sume din cont urile asociate cardurilor interceptate , dar și pentru
a fura parole sau conturi de acces la Internet . De asemenea, iau amploare atacurile de tip DoS
asupra site -urilor prin care se efect uează tranzacții on -line, suspendarea acestora prin degradarea
indusă serverelor care le deservesc cauzând în final pierderi financiare proprietarilor site -urilor.
Urmărindu -se pătrunderea în calculatoarele utilizatorilor dintr -o rețea sau a celor
conectați la un sistem informatic, poșta electronică a reprezentat canalul fac il de transmisie a
virușilor, înmulțindu -se atacurile de tip phishing, prin care se sustrag date confidențiale ale
utilizatorului, dar și programe de tip spyware, prin care se captează pe ascuns date de marketing
în funcție de istoricul de navigare al util izatorului, pentru ca ulterior să primească reclame
corespunzătoare inter esului identificat din istoric, dar nesolicitate de utilizator, încetinind
funcționarea echipamentului și/sau serviciului accesat de către acesta.
Asemănătoare programelor de tip spyw are, programele de tip addware se instalează în
sistemul de operare tot pentru a difuza reclame nesolicitate, dar de aceas tă dată reclamele fie sunt
afișate ca bannere în fereastra programului inițial, fie apar ca ferestre de tip pop -up [Schneier B ,
2000, p.200 ].
Interesul opiniei publice pentru războiul cibernetic s -a potențat în ultimii ani ai primei
decade a secolului XXI, respectiv anii 2007 și 2008 când atacurile cibernetice de tip DDoS au
vizat sistemele informatice la nivel național din Estonia și re spectiv Georgia, ambele atacuri
generate dinspre Rusia pe fondul disputelor politice interstatale și afectând activitatea
ministerelor, companiilor și băncilor din cele două state, pentru ca atacul din 2008 îndreptat
asupra Georgiei să aibă consecințe și mai grave prin pierderea controlului asupra domeniului .ge,
situație în care site-urile guvernamentale au fost transferate pe servere din afara țării [Vevera
A.V., 2014, p.18]. Asemănător atacurilor din 2007 și 2008, tot prin afectarea furnizorilor de
servi cii internet ISP (Internet Service Provider), și Republica Kîsghistan a fost victima atacurilor
inițiate de agenți de amenințare din Federația Rusă, stat care inițial a negat orice implicare, deși
avea interesul de a sabota accesul NATO asupra bazei aerien e de la Manas, dar ulterior au fost
lansate public ( https://www.secureworks.com/blog/research -20957 ) documente care au dovedit
implicarea la nivel statal a Rusiei [Șerb A. et al. , 2013, p.134 ].
Prin atacuri cibernetice concentrate și folosirea virușilor pentru sabotarea infrastructurii
privind securitatea națională (precum infrastructura de transport, platforme de comunicare în
Cercetări privind securitatea datelor în sistemele informatice
64
aeroporturi sau militare, centrale electrice, infrastructura sistemului bancar -financiar sau a
agențiilor guvernamentale) infracționalitatea cibernetică dezvoltată în anii 2000 ajunge la stadiul
de terorism și război cibernetic , în care viruși și viermi precum Stuxnet10, troianul Duqu11 sau
agresiuni cibernetice de tip Adv anced Persistent Threat (malware produse la nivel de stat pentru
a contracara infrastructurile de securitatea națională din alte state : Flame, Wiper, Mahdi,
Shamoon sau Gauss) devin arme cibernetice folosite de ofici alități statale [Vevera A.V., 2014,
p.18].
Declarat “Anul vulnerabilității”, anul 2010 a fost caracterizat prin atacuri lansate prin
rețele P2P (Peer to Peer), secondate ca frecvență de atacurile prin intermediul web -site-urilor și
rețelelor de tip botnet. Totodată, anul 2010 este anul în care au fost creați și lansați cei mai mulți
viruși și troieni , unii dintre aceștia devenind celebrii și fiind chiar comercializați pe piața neagră.
Prin interconectivitatea globală asigurată prin Internet, atacurile și incidentele
informatice inițiate asupra u nui sistem informatic sau o organizație pot genera în adevărate
“epidemii globale”, gradul de răspândire crescând pe măsura specializării și creșterii
complexității fiecărui tip de atac.
Datele statistice oferite de Centrul Național de Răspuns la Incidente de Securitate
Cibernetică – CERT -RO [ CSIR Guide, p.10 -12] pentru anii 2013 și 2014 confirmă faptul că
amenințările de natură informatică asupra spațiului cibernetic național continuă să se diversifice,
sunt în creștere, iar majoritatea alertelor primite s e referă la sisteme infectate cu diverse variante
de malware, deci autorii de malware își continuă cercetările pentru a perfecționa atacurile prin
creșterea gradului de invizibilitate la nivelul sistemului infectat de atacul lansat, astfel încât și
detecta rea acestuia în scopul remedierii efectelor să fie cât de mult tergiversată posibil.
CERT -RO atrage atenția că dispozitivele sau echipamentele de rețea de uz casnic
(routere wireless) sau care fac parte din categoria Internet of Things (IoT), cum ar fi ca mere web,
smart TV, smartphone sau imprimante, odată conectate la Internet, devin ținta atacatorilor
datorită lipsei de protecție, iar vulnerabilitățile acestora sunt exploatate de către atacatori pentru a
obține accesul în rețeaua în care acestea sunt uti lizate sau pentru lansarea de atacuri asupra altor
ținte din Internet din rețeaua accesată.
Statistic raportându -se la situația globală , evoluția creșterii alertelor de securitate
cibernetică în România în anul 2014 cu 81,4% față de anul 2013, precum și cr eșterea cu 9,1% a
numărului de IP -uri unice implicate în cel puțin o alertă de securitate cibernetică în aceleași
perioade de referință confirmă faptul că la ora actuală România nu mai poate fi considerată doar
o țară generatoare de incidente de securitate cibernetică, căci entități din România au fost și sunt
10 Viermele Stuxnet exploatând patru vulnerabilități ale sistemului de operare Microsoft Windows și folosind două certificate
digitale valide furate de la Realtek și JMicron pentru ascunderea prezenței malware -ului în sistem, a accesat și reprogramat
sisteme industriale de control de tip SCADA (Supervisory Control and Data Acquisition) produse de compania Siemens folosite
pe platforme petroliere, centrale electrice, platforme de comunicare în sistem aerian, mariti m și chiar militar [Mihai I.C., 2012,
p.86].
11 Cal troian cu acțiune asemănătoare viermelui Stuxnet, în cazul troianului Duqu informațiile confidențiale din sistemele
informatice erau furate în urma unui atac de tip backdoor asupra sistemului astfel infesta t; este instalat un program care
memorează parolele introduce pe calculator, funcționând 36 de zile în sistem și dând impresia utilizatorului că se descarcă p oze
din rețeaua Internet
Cercetări privind securitatea datelor în sistemele informatice
65
ținta unor atacuri informatice externe direcționate și complexe, de tip APTs (Advanced Persistent
Threats).
Analiza datelor menționate mai sus demonstrează caracterul intermediar/de tranzit al
unor s isteme informatice conectate a căror securitate a fost afectată, sisteme ce fac parte din
spațiul cibernetic național.
Aceste rezultate negative privind securitatea cibernetică confirmă faptul că amenințările
de securitate sunt tot mai sofisticate și mai d ăunătoare pentru utilizatori, în condițiile în care
autorii de software -uri spion creează programe periculoase, uneori dificil de eliminat, care pot
suferi “mutații” continue și se răspândesc pe Internet în doar câteva minute.
În același timp, amenințăril e de natură informatică apar în tot mai multe combinații, cu
forme multiple și/sau deghizate, fiind capabile să atace concomitent sistemele informatice pe mai
multe planuri.
La nivelul anilor 2012 și 2013, potrivit studiului ENISA [ENISA -Threat Landscape
2012], singurele amenințări informatice care înregistrează un trend negativ sunt spam -urile,
pentru ca phishing -ul să înregistreze o evoluție constantă, în timp ce restul amenințărilor au
înregistrat în ambii ani trenduri ascendente, cu evoluții chiar spe ctaculoase în cazul atacurilor de
tip drive -by-exploits, Denial -of-Service, Botnet -ului, dar și în cazul furtului de identitate și a
compromiterii informațiilor confidențiale.
Totodată, exploit -urile de tip drive -by își extind aria de acțiune, începând cu anul 2012
cu evoluție în creștere, și asupra terminalelor mobile, fiind astfel exploatate vulnerabilități ale
sistemului de operare Android.
Astfel, analizând comparativ ultimii trei ani (2015 -2017) din perspectiva nivelului de
sofisticare tehnologică (Q1) , a complexității (Q2) și a diversității malware -elor, se constată
(Fig.7) că malwareul rămâne în continuare una dintre cele mai importante amenințări cibernetice
și care înregistrează o permanentă evoluție ascendentă.
Fig.8 . Evoluția numărului de noi versiuni de malware 2015 -2017
(Sursa https://ittrends.ro/2018/04/evolutia -amenintarilor -malware -in-anul-2017/ )
Cercetări privind securitatea datelor în sistemele informatice
66
Ca și tipologie de malware preferat de către atacatori în anul 2017, se constată utilizarea
unor malware care să nu lase urme pe discurile de stocare ale sistemelor infectate, practic
malware -ul regăsindu -se doar în memoria RAM, componentele sale fiind foarte volatile, și
necesitând unelte și proceduri adecva te pentru organizații pentru monitorizarea și detecția
anomaliilor de funcționare a sistemului informatic în scopul acționării în timp real pentru
prevenirea și ameliorarea incidentelor.
Tot pentru îngreunarea identificării incidentului în sistem, tot mai multe atacuri din
2017 utilizează malware rezultat prin combinarea unor unelete software preinstalate în sistemele
țintă, necesare deci pentru derularea unor activități legitime, la prima vedere, de administrare a
sistemului precum: PowerShell, PSExec, WMI etc.
Mecanismul acestor malware se bazează pe încrederea sistemului informatic în
uneletele preinstalate de soft , așa numita „whitelist” (listă de încredere) care nu este supusă
detecției de către diferite produse antivirus/antimalware. .
Anul 2017 a deb utat cu identificarea unei vulnerabilități în sistemul de management de
conținut web (CMS – Content Management System) WordPress, cel mai utilizat sistem pentru
publicarea anunțurilor în mediul on -line la nivel global. Vulnerabilitatea depistată rezidă în
REST API a WordPress și conducea la o escaladare nedorită de privilegii, prin posibilitatea
modificării variabilei ID prin eli minarea caracterelor non -numerice fără ca sistemul să mai
verifice apoi drepturile de utilizare. Prin exploatarea acestei vulnerab ilități un atacator putea
șterge sau modifica conținutul paginilor unui website neactualizat, și chiar redirecționa vizitatorii
site-ului către exploit -uri malițioase.
Vulnerabilitatea a fost remediată și înlăturată prin actualizarea WordPress la varianta
4.7.2 [ https://blog.sucuri.net/2017/02/content -injection -vulnerability -wordpress -rest-api.html ].
În mai 2017, în contextul atacului cibernetic la nivel global cu ransomware -ul
WannaCry care afecta sistemele de operare Windows, atac care a afectat numeroase organizații
din întreaga lume, inclusiv companii -gigant precum FedEx, operatorul de telecomunicații
Telefonica din Spania sau Serviciul Național de Să nătate din Marea Britanie, au fost afectate și
instituții și companii din România.
Această amenințare se propaga prin intermediul unor mesaje email care conțin
atașamente și link -uri malițioase, atacatorii utilizând tehnici de inginerie socială pentru a
determina utilizatorii să acceseze resursele malițioase, astfel încât odată infectată o stație de lucru
dintr -o rețea se crea posibilitatea propagării malware -ului prin intermediul protocolului SMB în
interiorul rețelei utilizând porturile UDP/37, UDP/138, TCP/139 și
TCP/445 [https://blog.sucuri.net/2017/02/content -injection -vulnerability -wordpress -rest-api.html ]
Prin campania ransomware WannaCry, în câteva zile au fost afectate peste 237.000 de
computer din aproximativ 99 de țări, în România atacul afectând în scurt timp de la lansare 514
IP-uri, dintre care 10 aparținând unor instituții publice [https://www.cert.ro/citeste/review –
campanie -wannacry].
Pe fon dul lansării atacurilor anterior menționate prin exploatarea unor vulnerabilități la
sistemul de operare Windows, în cursul lunii iunie 2017, Microsoft a lansat versiuni actualizate
Cercetări privind securitatea datelor în sistemele informatice
67
de Windows (Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windo ws Server
2012 și Windows Server 2016), care beneficiază de suport din partea Microsoft, și se vor
actualiza automat, cu condiția ca utilizatorii să păstreze setarea implicită din „Windows Update”.
Un alt atac la nivel global, și mai cu seamă în Ucraina, a fost lansat în iunie 2017 cu un
nou virus Petya, cunoscut de asemenea și ca Petrwrap și care pare să reprezinte o formă
modificată a unei variante cunoscute încă din anul 2016. Infecția inițială a sistemelor se realiz a
prin intermediul unor documente ata șate unor mesaje email de tip phishing, pe care utilizatorii
sunt îndemnați să le deschidă , respective în Ucraina virusul s -a răspândit și prin intermediul
mecanismului de actualizare al aplicației MeDoc (populară în Ucraina), această variantă fiind
confir mată și într -o postare de pe blogul companiei de securitate Kaspersky .
Virusul Petya utilizează diferite tehnici de multiplicare și răspândire lateral în sistem
astfel:
Scanează segmentul d e rețea locală /24 pentru a identifica și enumera share -uri
ADMIN$ pe alte sisteme, apoi se copiază pe acestea și execută cod malițios prin PSEXEC.
Capturarea unor credențiale administrative din memoria sistemului infectat și
utilizarea acestora pentru ră spândirea în rețea prin WMIC (Windows Management
Instrumentation Command -line) și Psexec .
Conform informa țiilor deținute până în prezent de CERT -RO
[https://www.cert.ro/citeste/alerta -petya -ransomware] , virusul se răspândea doar în rețeaua
internă unde a avut loc infecția inițială a unei stații de lucru, utilizând următoarele tehnici de
identificare a altor s isteme țintă:
Identificarea plăcilor de rețea de pe sistemul infectat;
Citirea denumirilor altor sisteme din NetBIOS;
Citirea informațiilor aferente DHCP (lease time)
Și rețelele de socializare sunt viza te de către atacatori datorită interconectivității
membrilor lor și posibilității de propagare la nivel global extins a atacului.
Astfel, în august 2017 atacul cibernetic a vizat aplicația de mesagerie Facebook
Messenger, se ns în care utilizatorii erau convinși să acceseze un link (URL) către un video al
unui prieten din listă, accesarea link -ului respectiv ducând către o pagină credibilă pentru
utilizator ca fiind găzduită de una dintre platformele Google Drive sau Google Doc.
Odată lansat așa -zisul film prin apăsarea butonului „Play”, utilizatorul era dir ecționat
către o platformă web care îi citea datele relevante despre sistemul acestuia (sistem de operare,
browser etc.) și utiliza aceste informații pentru a -l direcționa în final către o pagină care servea o
formă de malware dedicată sistemului acestuia. Prin efectul său, malware -ul expunea pe
utilizatorul astfel infectat la posibilitatea interceptării de credențiale pentru diferite platforme
web, instalării altor forme de malware fără cunoștința sa, includerea în lanțul de distribuire a
mesajelor malițio ase către prieteni etc . [https://www.cert.ro/citeste/campanie -malware -facebook –
messenger].
Sfârșitul anului 2017 este marcat de un nou atac de tip ransomware Bad Rabbit în
Europa de Est și Rusia, care deși înrudit cu ransomware -ul Petya se diferenția de ac esta totodată.
Cercetări privind securitatea datelor în sistemele informatice
68
Principala metodă de distribuție a Bad Rabbit o reprezintă site -urile de tip watering -hole
de pe care este descărcat malware -ul, sub pretextul unui update de Adobe Flash , deci nu este
folosit niciun tip de exploit, ransomware -ul bazându -se pe interacțiunea utilizatorului care
trebuie să execute fișierul executabil descărcat (install_flash_player.exe).
Odată instalat, malware -ul criptează fișierele cu una dintre extensiile hardcodate , și are
totodată și o componentă de mișcare laterală, ce v izează share -urile SMB din rețea. Noua
versiune de ransomware adițional criptării fișierelor, blochează inclusiv accesul la sistemul
infectat, ceea ce o diferențiază, cum menționam de predecesorul ransomware Petya
[https://www.cert.ro/citeste/bad -rabbit -o-noua -campanie -ransomware].
II.1.2. Tendințe viitoare privind atacurile informatice
Pornind de la trendul anului 2010 în privința securității informatice, se constată că se
menține trendul ascendent al valului masiv de atacuri DoS, prin care se suspendă ac tivitatea de
procesare a plăților on -line și a website -urilor agențiilor guvernamentale .
Un element vital și exploatat în atacurile informatice îl reprezintă rețelele botnet care
sunt folosite pentru a se transmite mesaje de tip spam, pentru a se lansa ata curi de tip DoS sau
pentru a găzdui în mod gratuit pagini de phishing sau malware pentru fraude cu card -uri de
credit.
În următorii ani, exploatând vulnerabilitatea sistemelor care nu scanează fișierele binare
semnate digital, atacurile cu malware se vor c oncentra prin amenințări mai puțin vizibile și
detectabile prin aplicații de malware semnate digital.
De asemenea, dezvoltarea rețelelor sociale și globaliza rea acestora va muta centrul de
greutate privind atacurile informatice pentru accesarea neautorizat ă a informațiilor personale
către aceste rețele. Lansarea de malware către utilizatorii din rețelele sociale va corobora
informațiile personale postate de utilizatori în contul lor cu informații despre locul de muncă,
permițând astfel lansarea de campanii phishing cu victim a atât în rândul utilizatorilor casnici cât
și a angajatorilor acestuia, și chiar pentru a fi folosite în spionaj industrial.
Implementarea conexiunilor de tip Wi-Fi pentru acces liber la hot spot-uri de pe
smartphone -uri, oferind astfel acces nelimitat la Internet va spori atacurile de tip phishing,
datorită limitării tehnologice a smartphonului de a afișa întreaga adresa URL pe ecran, astfel
încât atunci când fac operațiuni bancare sau cumpărături de pe telefonul mobil ut ilizatorii vor
putea introduce date personale și pe site -uri false, care apoi vor folosi aceste informații în
interesul infractorilor cibernetici.
Începând cu anul 2012 și continuând pe un trend ascendent, aplicațiile malware pentru
telefoane și tablete care au la bază sistemul Android sunt folosite de agenții de amenințare
inclusiv pentru furtul de date confidențiale și contacte din telefoanele mobile deoarece sistemul
de operare Android este unul de tip open -source cu flexibilitate mare în dezvoltarea și instalarea
de aplicații accesibile pe Internet.
Pentru a ne convinge de trendul ascendent la nivel global, statisticile privind incidentele
de securitate cibernetică confirmă tendința de intensificare a atacurilor cibernetice în anul 2014
Cercetări privind securitatea datelor în sistemele informatice
69
față de anul 2013.
Astfel, în anul 2014, numărul total de incidente de securitate cibernetică detectate la
nivel global în companii a crescut cu 48% față de anul precedent, atingând 42,8 milioane de
evenimente la nivel global, după cum reiese dintr -o analiză făcută de PwC – The Global State of
Information Security Survey 2015 [ AV: Independent Tests of Anti -virus Software ], iar pierderile
financiare cauzate organizațiilor de astfel de incidente au fost estimate la 2,7 miliarde de dolari,
în creștere cu 34% față de anul 2013.
La nivel eur opean numărul incidentelor de securitate detectate în anul 2014 a crescut cu
41% față de anul 2013, cu 11% a crescut numărul incidentelor în America de Nord, în timp ce în
Asia s -a înregistrat o creștere de 5% față de anul precedent .
America de Sud este s ingura regiune care a înregistrat o scădere din acest punct de
vedere în anul 2014 , de aproximativ 9% [AV: Independent Tests of Anti -virus Software ],
scăderea numărului de notificări fiind justificată de reducerea cu 24% a bugetelor alocate
securității cib ernetice în regiune și implicit a surselor financiare a organizațiilor pentru
implementarea măsurilor de securitate informatică.
Creșterea numărului incidentelor de securitate detectate și raportate oficial la nivelul
fiecărui stat se datorează atât cadrul ui normativ care impune ca obligație raportarea incidentelor
de securitate furnizorilor de rețele publice de comunicații electronice, dar și investițiilor făcute de
entitățile juridice, de drept public sau privat, precum și utilizatorilor persoane fizice p entru
instalarea în propriile rețele informatice a programelor antivirus și antispyware [Manea, C.A.,
2015, BUT ].
II.1.3. Analiza amenințărilor informatice în România
În actuala societate, activitățile utilizatorilor rezidențiali, cât și ale celor din m ediul de
afaceri se bazează pe rețelele de comunicații electronice a căror importanță și necesitate este
conștientizată doar în momentul în care acestea devin indisponibile, datorită incidentelor de
securitate.
Astfel, breșele de securitate și pierderea i ntegrității rețelelor de comunicații afectează
activitatea la nivelul economiei naționale, și nu numai din perspectiva utilizatorului final care nu
mai are acces la rețea, sau fiindu -i infectat calculatorul propriu nu va mai avea încredere să
acceseze anum ite site -uri sau să se autentifice în diferite rețele.
Atacurile informatice din România nu diferă de cele la nivel internațional, însă cea mai
mare amenințare la nivel național este reprezentată de folosirea produselor software contrafăcute
sau piratate, atât de către utilizatorii domestici, cât și de către unii operatori, precum și lipsa
instalării de programe antivirus, astfel încât multe vulnerabilități nu pot fi remediate în timp util
și crește , astfel , riscul infectării sistemului .
Ca instituție a s tatului român, CERT -RO – prin prevederile HG 494/2011, art. 6 lit. b)
are rolul de a procesa informații cu privire la vulnerabilitățile sistemelor informatice, alături de
cele referitoare la incidente de securitate cibernetică și cele referitoare la amenin țări informatice
și să întrețină o bază de date referitoare la aceste vulnerabilități la nivel național.
Cercetări privind securitatea datelor în sistemele informatice
70
În anul 2014, CERT -RO – punct național de contact cu privire la incidente de securitate
cibernetică – a recepționat și procesat peste 78 milioane de al erte de securitate cibernetică, care
au afectat peste 2,4 milioane IP -uri unice din România implicate în diverse tipuri de incidente de
securitate cibernetică [ CSIR Guide , p.10 -12].
Cele 2,4 milioane IP -uri unice implicate în cel puțin o alertă de securit ate cibernetică în
anul 2014 reprezintă 24% din totalul IP -urilor unice alocate spațiului cibernetic românesc, acest
număr fiind în creștere față de cele 16% din totalul IP -urilor unice afectate de incidente în anul
2013.
Aceleași surse statistice confirm ă un număr de 10.759 domenii “.ro” notificate către
CERT -RO ca fiind compromise în cursul anului 2014, cu 5% mai multe domenii decât în cursul
anului 2013 (10.239 domenii) ceea ce reprezintă aproximativ 1,5% din totalul domeniilor “.ro”
înregistrate în Rom ânia, în luna decembrie 2013 [CSIR Guide , p.10 – 12].
Din 896.726 domenii “.ro” înregistrate în decembrie 2016 în România, au fost raportate
drept compromise și procesate drept alerte de către CERT -RO aproximativ 1,19% , trendul
atacurilor asupra domeniilo r “.ro” fiind în scădere și în anul 2017 cu un număr de 1.709 alerte
privind domenii compromise dintr -un total de 944.145 de domenii înregistrate oficial [CERT –
RO: Raport privind evoluția amenințărilor cibernetice în 2017 , p.13 ].
Comparativ cu anul 2016, numărul alertelor de securitatea cibernetică în anul 2017 a
crescut cu 20% față de anul 2016 (numeric 138.217.026 de alerte totale colectate și procesate la
nivelul anului 2017 comparativ cu 110.194.890 de alerte totale în anul 2016, menținându -se
trendul ascendent de creștere anuală a numărului de atacuri cibernetice [CERT -RO: Raport
privind evoluția amenințărilor cibernetice în 2017 , p.19 ].
Numărul de IP -uri unice alocate organizațiilor din România în anul 2017 este în creștere
față de anul 2016 (8.590. 378 de IP -uri unice față de 7.540.736 IP -uri în anul 2016), dar constant
în scădere față de anul 2015 când se înregistrau 8.958.498 de IP -uri respectiv față de anul 2013
(anul cu cele mai multe IP -uri înregistrate aprox. 13,5 milioane) [CERT -RO: Raport pri vind
evoluția amenințărilor cibernetice în 2017 , p.19 ].
Din totalul IP -urilor înregistrate, în anul 2017 aproximativ 34% au fost vizate de alerte
procesate de către CERT -RO, procent în scădere (cu aprox.5%) față de anul 2016, când au fost
vizate de alerte CERT -RO un număr de 2.920.407 IP -uri unice [CERT -RO: Raport privind
alertele de securitate cibernetică în 2016 , p.3].
Din cauza numărului mare de produse IT contrafăcute existente în România și al
folosirii de software piratat, agenții de amenințare profi tă de vulnerabilitățile de sistem, astfel
încât peisajul de malware din România este dominat din anul 2011 și până în anul 2017 de
viermele Downadup (în anul 2011 reprezenta 10,24% din total amenințări, pentru ca în anul
2017 procentul să ajungă la 25,36% din totalul alertelor procesate de CERT -RO, care se menține
astfel în primele trei locuri de -a lungul timpului, astfel cum rezultă și din tabelul de mai jos
(Tabelul nr.3). De asemenea, constatăm dispariția din topul primelor 7 tipuri de malware din
2011 p ână în prezent a troienilor Autorun, datorită eliminării masive a dispozitivelor de stocare
periferice (de tip dischete) și folosirea în prezent a stick -urilor de memorie (a se vedea în Tabelul
Cercetări privind securitatea datelor în sistemele informatice
71
nr.3). 2011
2011 TIP
MALWARE PROCENT
(%ALERTE )
2016
TIP
MALWARE PROCENT
(%ALERTE )
2017 TIP MALWARE PROCENT
(%ALERTE )
Win.Downadup 10,24% Win.Sality 34,16% Win.Downadup 25,36%
Trojan.Autorun 12,23% Win.Downadup 17,72% Mirai 15,88%
Win.Sality 4,48% Nivdort 13,65% Win.Sality 15,35%
Trojan.Crack 3,55% Ramnit 7,46% Nivdort 13,72%
Adware. 1,64% Dorkbot 5,73% Ramnit 5,03%
Mirai 3,60% Avalanche 3,82%
Tabel 3. Evoluția celor mai importante amenințări informatice din România 2011/2016/2017
( [CERT -RO: Raport privind alertele de securitate ciberne tică în 2016 , p.9]; [CERT -RO: Raport privind evoluția
amenințărilor cibernetice în 2017 , p.21])
În a doua jumătate a anului 2017 și începutul anului 2018, o serie de site -uri românești
inclusiv site -uri publice ale autorităților centrale , și nu numai, au fost compromise prin prezența
unor script -uri inserate al căror scop este să utilizeze puterea de procesare a dispozitivelor
utilizatorilor în momentul accesării site -ului. Noua metodă de monetizare a atacurilor asupra site –
urilor și aplicațiilor web este cunoscută sub denumirea de minarea de
criptomonedă12(CoinHive) .
II.2. Tipuri de atacuri informatice
Încălcând politica de securitate a unui sistem informatic, atacul este o asaltare a
securității unui sistem, autorul său urmărind să colecteze, să modifice sau să distrugă resursele
informaționale dintr -un sistem. Orice act care poate întrerupe o operație în derulare ,
funcționalitatea, integritatea sau disponibilitatea unui sistem sau a unei rețele reprezintă un
pericol în rețea .
Un sistem informatic devine susceptibil a fi atacat, oricât de securizat ar fi, căci în
designul, configurația sau implementarea sistemului există , voit sau din neglijență , o
vulnerabilitate sau configurare necorespunzătoare care îl expune și pe care agentul de amenințare
o va exploa ta.
Atacul asupra unei rețele presupune parcurgerea unor etape graduale în care agentul de
amenințare culege date despre sistemul vizat de atac, identifică vulnerabilitățile acestuia pentru
ca în final să obțină acces neautorizat la sistem declanșând atacu l propriu -zis asupra informațiilor
din sistem. Astfel, în prima etapă, cunoscută și sub denumirea de footprinting, agentul de
amenințare colectează date publice, inclusiv de pe site -ul organizației vizate, pentru a identifica
structura rețelei folosite, st ructura domeniului de IP și a serverelor DNS, structura routerelor,
12 Criptomoneda este o monedă digitală, virtuală, creată printr -un proces denumit minerit (engl. mining) prin utilizarea
procesorului dintr -un dispozitiv în rezolvarea unor probleme de matematică, și care începe să fie acceptată ca și mijloc de plată în
anumite sisteme, deoarece prin utilizarea criptografiei și folosirea tehnol ogiilor descentralizate se permite efectuarea de plăți
sigure și anonimizate; moneda virtuală rulează pe un registru public numit blockchain; cele mai cunoscute tipuri de criptomon ede
sunt Bitcoin, Ethereum sau Litecoin.
Cercetări privind securitatea datelor în sistemele informatice
72
hosturilor active și/sau sistemelor de operare a serverelor. Ulterior, se trece la scanarea porturilor
pentru a se găsi un serviciu vulnerabil care să admită un port deschis pe hostul vict imă, agentul
de amenințare având la îndemână mai multe tipuri de scanări :
1. Vanilla/SYNC – se trimit pachete SYN TCP pentru conectare prin porturile 0 -65535;
2. Strobe – se testează porturile standard ale sistemelor de operare Windows sau UNIX
3. Sweep – sunt sca nate mai multe adrese IP pentru identificarea unui port deschis
4. Scanare UDP – identificarea de porturi deschise prin răspunsurile cu erori ale unui sistem
la trimiterea către hostul victimă de pachete UDP goale
5. Ocolirea prin FTP – folosirea unui server FTP pentru a se ascunde locația hackerului
În etapa finală a atacului, agentul de amenințare va utiliza fie cal troian, fie software de
decriptare de parole pentru a obține acces la un terminal din rețea, atacul propriu -zis fiind lansat
prin accesul în sistem care îi permite să șteargă și/sau să modifice date și informații, să adauge
sau să elimine servicii din rețeaua accesată.
În cazul în care se urmărește accesare neautorizată a drepturilor de acces ale unui
utilizator privilegiat, hackerul va trebui să cau te în registrele date despre utilizatori, să utilizeze
softwareuri pentru decriptarea parolelor sau să folosească un cal Troian pentru a dobândi
acreditivele utilizatorului privilegiat.
Dacă se dorește menținerea accesului neautorizat în sistemul atacat pe o perioadă mai
lungă, fără a se relua procedurile anterior menționate, agentul de amenințare poate instala un
software special denumit backdoor, care îi asigură accesul facil într -o nouă sesiune.
Urmărind în principal să nu poată fi localizat, dar și pent ru a micșora posibilitatea
administratorului unui sistem informatic să observe activitatea malignă în rețea și să întreprindă
măsuri de remediere și securizare, majoritatea agenților de amenințare șterg urmele lăsate de
activitățile lor asupra sistemului d e operare, ca măsură de pre cauție.
II.2.1. Virușii informatici
Software proiectat pentru a infecta un sistem informatic, virusul informatic este o
amenințare cibernetică care are legături și cu infracțiunile informatice privind operațiuni ilegale
cu disp ozitive sau programe electronice. Caracteristicile de bază ale unui virus informatic sunt
auto-executarea și auto -multiplicarea, această din urmă caracteristică având scopul de a afecta și
alte sisteme prin înmulțirea lor exponențială în rețelele infectate asemănător virusului din
științele medicale.
Astfel, virușii au legătură cu alterarea integrității datelor informatice, respectiv virușii
pot modifica, șterge sau deteriora datele sau restricționa, fără drept, accesul la aceste date (datele
figurează ca f iind șterse fără ca în fapt să fie șterse din sistem), dar pot genera și transferul
neautorizat de date dintr -un sistem informatic sau dintr -un mijloc de stocare a datelor informatice
[Dobrinoiu M., 2006].
Ca și mecanism de operare, inițial virusul se află în interiorul unui program, strecurat
print re instrucțiuni sau atașat la fișier, iar dacă programul nu este executat nu are loc activarea
virusului. După activarea virusului, acesta încearcă să se infiltreze print re instrucțiunile altor
Cercetări privind securitatea datelor în sistemele informatice
73
programe, auto -executându -se și multiplicându -se automat. Într -o rețea de calculatoare, activ area
unui virus determină alterarea/modificarea tabelelor de parole, alterarea/modificarea tabelelor de
adrese pentru terminalele de rețea sau modificarea traseelor de transmitere a pachetelor în
rețelele cu comutare de pachete [Șerb A. et.al. , 2013, p.75].
Există și viruși hardware [Abraham P. et.al. , 2007], mai rar întâlniți, care afectează
hard-discul, floppy -discul și/sau memoria, fiind livrați odată cu echipamentul, însă majorit atea
virușilor sunt de tip software creați din diverse motive, de la dorința de a dovedi cunoștințe
informatice temeinice, la scopul protejării programelor proprii lansate (la copierea ilicită a
programului se activiează un virus) sau pentru a stimul achiz iția unui program antivirus.
În funcție de programul executabil în care se infiltrează, există: viruși de BOOT – se
încarcă în memorie inaintea sistemului de operare, transferă conținutul de BOOT în alt sector,
amestecă datele și inefctează orice disc logi c al hard -discului și orice suport de memorare [Șerb
A. et.al. , 2013, p.76], astfel încât sistemul de operare nu se mai poate încărca; viruși de fișiere –
se regăsesc pe fișierele executabile cu extensia .exe sau .com, sau fișiere de sistem cu extensia
.sys sau .drv și sunt de regulă poliformi; viruși atașați – își conectează codul la codul existent al
fișierului, nedistrugând codul inițial, astfel se execută întâi fișierul infectat cu virus, apoi virusul
se automultiplică generând distrugeri, după care se redă controlul codului original și programul
se execută normal în continuare; viruși criptografici – care se infiltrează în memoria sistemului
permițând folosirea normală de intrări și transmiteri de date, având intenția ca la o anumită dată
să se autodis trugă distrugând în acelașii timp și datele din sistem sau făcându -l absolut
inutilizabil [Șerb A. et.al. , 2013, p.79]; viruși critici – se înscriu peste un fișier executabil fără a
păstra codul original al fișierului infectat; viruși de link -uri – alterea ză structura de directoare
redirecționând calea directorului unui fișier infectatcătre zona în care se regăsește și acționează
virusul [Mihai I.C., 2012, p.96]; viruși de legătură – modifică intrările din tabela directoare
pentru a conduce la corpul virusu lui, fără a modifica conținutul fișierelor executabile, însă leagă
primul pointer de cluster al intrării de directoare fișierelor executabile la un singur cluster
conținând codul virusului.
Tehnicile după care operează virușii odată declanșată auto -executa rea îi împart în trei
mari categorii:
1) Viruși invizibili – ascund faptul că sistemul este infectat prin tehnici de mascare în
sensul că dacă sistemul de operare încearcă să scaneze existența eventualilor viruși, virusul scade
o parte din date egal cu dimen siunea propriului cod și le înlocuiește cu date corecte, codul viral
nefiind astfel detectat
2) Viruși polimorfici – modifică propriul cod viral utilizând tehnici de criptare avansate
[Hontanon R.J ., 2003 ], astfel încât își poate modifica atât compunerea cât și dimensiunea,
criptând astfel corpul unui virus și ascunzându -și semnătura față de programele antivirus.
3) Viruși rezidenți în memoria calculatorului – se instalează la un nivel înalt al memoriei
RAM pentru a se putea atașa fișierelor executabile sau docu mentelor de tip Microsoft Office
[Albert R. et.al. , 2002, p.38] iar pe măsură ce sunt accesate, deschise sau executate alte fișiere le
Cercetări privind securitatea datelor în sistemele informatice
74
infectează treptat , sau viruși non-rezidenți – se activează doar la pornirea aplicației gazdă, și nu
rămân activi după ce programul infectat a fost executat
II.2.2. Analiza viermilor informatici
Viermii (worms) sunt programe capabile să se multiplice consumând totodată resursele
gazdei, fără însă să se autoexecute, și putându -se transfera și pe alte calculatoare decât cel gazdă
pentru a efectua astfel operațiuni distructive. Astfel, viermii se răspândesc în mod automat,
factorul lor de multiplicare fiind exponențial și epuizând resursele calculatoarelor infectate într –
un timp determinat.
Dintre acțiunile distructive ale v iermilor amintim ștergerea de informații, crearea de uși
ascunse pentru a permite accesul neautorizat sau lansarea de atacuri de refuz de servicii.
Impactul mare al viermilor prin acțiunilor lor distructive este faptul că propagarea lor creează un
refuz al serviciilor ca urmare a traficului de pe Internet [Șerb A. et.al. , 2013, p. 90].
Având în vedere că viermii se copiază de pe un calculator dezactivat în urma infectării
pe un alt calculator, folosind protocoale obișnuite, aceștia nu trebuie să modifice un program
gazdă pentru a se propaga. Astfel, viermii informatici au în comun cu virușii capacitatea de
multiplicare, însă nu local pe un singur termina, ci de pe un calculator pe altul.
În funcție de mediul prin care se răspândesc, se poate face următoarea c lasificare [Mihai
I.C., 2012, p. 104-105]:
1) Viermi de e -mail : se răspândesc prin fișiere infectate atașate unui e -mail sau prin link –
uri către site -urile infectate, respectiv folosind serviciile MS Outlook, funcțiile Windows MAPI
(Messaging Application Prog ramming Interface).
2) Viermi de mesagerie instantanee: se răspâ ndesc prin intermediul aplicațiilor de
mesagerie instantanee prin transmiterea de link -uri către site -urile infectate pentru toți utilizatorii
de pe lista de contacte locale.
3) Viermi de Internet: scanează toate resursele rețea disponibile utilizând serviciile locale
ale sistemului de operare și caută calculatoarele vulnerabile din Internet sau care nu au update –
urile de securitate făcute cu scopul de a avea acces deplin la acestea.
4) Viermi de fișie re partajate în rețea: se auto -copiază în directoare partajate în rețea sub
un nume inofensiv, transferul efectuându -se prin rețele P2P [Vatis M.A. 2001, p.35].
II.2.3. Analiza cailor troieni
Având caracteristică comună cu viermii informatici faptul că nu pot infecta un fișier, ci
afectează întreg sistemul, caii troieni sunt programe deghizate de tip malware, care urmăresc
crearea unor breșe pentru a se permite accesul neautorizat al unui utilizator în sistemul infectat.
Spre deosebire însă de virușii info rmatici, caii troieni nu se pot auto -multiplica.
Cu ajutorul unui troian se pot obține informații despre un sistem infectat sau despre o
rețea din care face parte și calculatorul infectat, se pot fura parole de la conturi de e -mail sau
Cercetări privind securitatea datelor în sistemele informatice
75
conturi bancare cu ajutorul unui program de tip Keylogger (program care citește datele introduse
de la tastatură).
Astfel, în evoluția tehnicilor de atac, troienii au evoluat în sens negativ, astfel că dacă în
anii 90 scopul lor era de ștergere a fișierelor sau formatare a h ard-disk-ului, respectiv generarea
unor operațiuni distractive pentru atacator precum oprirea monitorului sau trimiterea de mesaje
amuzante, la începutul mileniului III scopul troienilor este de a fura parole și date despre
conturile utilizatorilor, pentru ca la începutul anilor 2010 -2015 principalul scop declarat este
terorismul cibernetic [Mihai I.C., 2012, p.104].
Troienii sunt alcătuiți din trei componente: programul Server sau programul propriu -zis
al troianului lansat în infectarea calculatorului vict imă; programul Client folosit pentru
conectarea la calculatorul infectat, dar și pentru a primi comenzi; și programul Build/Edit Server
folosit pentru editarea programului Server propriu -zis
II.2.4. Programe de tip Adware și Spyware
Adware reprezintă acel tip de programe răuvoitoare care se instaleaz ă pe calculator și
deschid ferestre pop -up ori noi tab -uri cu reclame, deși utilizatorul nu dorește să acceseze acea
formă de publicitate, mai mult apariția reclamei instantaneu distrăgând atenția utilizatorulu i
aplicației. Programul de tip Adware exploatează astfel vulnerabilități la nivelul browserului ,
putând chiar schimba adresa de bază a browserului (homepage) ori redirecționa adresele web
(URL -urile) scrise greșit ori incomplet în bara de adrese și direcți onând astfel pe utilizator,
contrar voinței sale, către site -uri de tip jocuri de noroc ori site -uri pornografice.
Programele de tip Spyware captează fără știința utilizatorului informații personale și
despre comportamentul acestora în mediul virtual, prec um site -urile vizitate mai des pe Internet,
și în urma analizei lor transmit utilizatorului echipamentului infectat reclame corespunzătoare
informațiilor accesate în scop de marketing, reclame nesolicitate de către utilizator.
Deși programul spyware nu afe ctează calculatorul, spyware -ul reprezintă un program
malware care este prezent alături de alte atacuri pe un terminal determinând creșterea activității
procesorului și a utilizării hard disk -ului făcând astfel greoi și traficul în rețea.
II.2.5. IP Sni ffing
Sniffingul reprezintă procesul de capturare într -un fișier și analiză a traficului cu scopul
de a detecta parole sau date bancare trimise prin rețea. Utilitarele folosite pentru sniffing se
numesc sniffere sau analizatoare de protocoale. Ele analizea ză pachetele transmise prin rețea,
capturând parolele, sau alte date confidențiale transmise în formă de text simplu. De obicei
analizatoarele de protocoale se utilizează în rețele locale, dar pot fi utilizate și în rețelele WAN.
Sniffingul poate fi simplu utilizat în LAN în cazul când placa de rețea a victimei e setată în
modul “promiscuous”, ceea ce asigură că informația va fi citită i ndiferent de IP -ul sursei.
Cercetări privind securitatea datelor în sistemele informatice
76
Pentru protecția împotriva acestor sniffere, se utilizează fie IPSec, care encriptează
traficu l din rețea, astfel datele capturate de hacker nu vor fi ușor descifrabile , fie programe anti –
sniffer, c are verifică dacă rețeaua este monitorizată sau nu.
Un astfel de atac poate proveni și din interiorul unei rețele.
II.2.6. Atacuri prin e -mail
Având în vedere creșterea gradului de utilizare a conturilor de e -mail, atât pentru
activitățile profesionale, dar și pentru cele de socializare, în ultimii ani a crescut și numărul
atacurilor prin e -mail, agenții de amenințare adaptându -se trendului utilizatorilo r.
Astfel, folosind ca și cale de intrare contul de e -mail, atacurile se pot clasifica :
1) E-mail bombing – prin trimiterea repetată a unui mesaj la o anumită adresă de e -mail de
pe un anumit server duce la umplerea spațiului disponibil și la indisponibiliza rea contului de e –
mail.
2) E-mail spoofing – este folosit pentru ascunderea identității expeditorului de mesaje e -mail
prin folosirea unei adrese false, de multe ori inexistente, în scopul determinării utilizatorului să
răspundă la atac, inclusiv prin inducer ea în eroare cu privire la veridicitatea autorului e -mail-ului
în scopul determinării de a comunica date importante precum parole sau conturi bancare
3) E-mail spamming – reprezintă transmiterea de mesaje de tip spam în contul de e -mail cu
conținut comercial , dar nesolicitat de către titularul contului de e -mail, și transmise simultan
către mai mulți utilizatori. Prin mesajul astfel trimis, se urmărește determinarea titularului
contului de e -mail de a accesa anumite site -uri pentru a cumpăra produse și/sau se rvicii.
Atacurile de tip spam duc la încărcarea traficului în rețea din cauza spam -urilor care pentru a
ascunde expeditorul real traversează diverse sisteme. Mai grav este atunci când la e -mail-ul cu
conținut spam sunt atașate și fișiere infectate cu malwa re în scopul de a infecta calculatorul,
astfel încât terminalul să fie la dispoziția agentului de amenințare și folosite la rândul lor în alte
tipuri de atacuri virale.
4) E-mail phishing – acest tip de atac vizează în special pe clienții băncilor sau ai agen țiilor
guvernamentale pentru sustragerea de date confidențiale. Astfel, cei care inițiază atacuri de tip
phishing creează baze de date cu adrese de e -mail culese de pe Internet (fie prin programe de
căutare, fie prin generarea automată de conturi de domeni i valabile), pentru ca în pasul următor
să fie create pagini sau site -uri web ce imită imaginea companiilor furnizoare de pe piață și care
sunt conexate cu site -ul adevărat pentru a inspira încredere o anumită perioadă.
În acest scop și URL -ul paginilor w eb falsificate sunt create astfel încât să semene
foarte mult cu adresele site -urilor originale. În această confuzie, utilizatorilor care accesează
site-ul fals, convinși fiind că sunt pe un web real, le sunt solicitate pentru diverse motive (exp.
suspend area contului) reintroducerea datelor confidențiale precum cod PIN, cod numeric
personal, parole, conturi de e -mail, numărul cadrului de debit/credit. Reintroducând aceste date
confidențiale pe un site fals, practic utilizatorul de bună credință transmite atacatorului date
proprii care vor fi astfel folosite în interes propriu, atacatorii fiind și la adăpost de vreo
incriminare pentru contact direct.
Cercetări privind securitatea datelor în sistemele informatice
77
II.2.7. Alte tipuri de atacuri
Ingineria Socială
Reprezin tă una din cele mai simple și eficiente atacuri, dar totuși nu necesită cunoștințe
în domeniul tehnologiilor. Ea presupune manipul area persoanelor ce au o autoritate în sistemul
ce urmează a fi spar t, de a face anumite lucruri, ce l -ar ajuta pe agentul de amenințare să execute
atacul. Ingineria socială e ste foarte simplă, de aceea, deseori, nu se iau în considerație astfel de
atacuri și din cauza lor pot apărea distrugeri enorme pentru companie. De obicei, ingineria
socială este însoțită de alte tipuri de atacuri, astfel devenind o armă puternică în m âna
atacantului.
Ingineria socială poate fi evitată prin implementarea tehnicilor de securitate ce
protejează de accesul liber al persoanelor neautorizate în încăperile companiei, instruirea
personalului, anunțarea lucrătorilor în caz că apare o persoană nouă autorizată, etc.
O altă metodă, apropiată de aceasta, utilizată de hackeri reprezintă Dumpster Diving , ce
presupune căutarea codului de programe, parolelor în urne, resurse neutilizate, de aceea e
necesară distrugerea datelor confidențiale, ci nu aruncarea lor.
Există mai multe metode de atacuri de acest tip, printre care sunt și phishing -ul, baiting –
ul. Phishingul reprezintă un atac, în care se simulează o organizație legitimă, care cere informații
confidențiale de la utilizator, de exemplu, pe e -mailul vi ctimei vine un mesaj ce conține site -ul
emulat al unei organizații reale, cu emblema sa, iar în cazul c ând utilizatorul încearcă să se
logheze, el trimite parola sa atacatorului.
Baitingul reprezintă atacul, c ând victima introduce codul dăunător în calcula torul său,
doar din propria curiozitate. Hackerul poate lăsa un disc, sau un flash drive USB, ce va instala
automat codul dăunător c ând este introdus, și victima din curiozitate poate introduce acel flash
pentru a vedea ce e înscris pe el, astfel infect ând calculatorul, d ând permisiune hackerului să
obțină acces la el.
Atacuri SMTP
Aceste atacuri de obicei sunt bazate pe vulnerabilitatea buffer overflow, inser ând în
textul mesajului un conținut prea mare, iar în secvența ce nu încape în e -mail sunt incluse
comenzi pentru serverul e -mail, astfel, după ce se trimite mesajul, eroarea va executa codul
dăunător din mesaj, d ând posibilitate hackerului să spargă serverul.
Apărarea împotriva acestui atac este Update -ul regulat al softului și sistemului de
operare a serverului, pentru a evita vulnerabilitățile.
Spargerea parolelor
Aceasta reprezintă un atac pe care hackerul îl efectuează ca să se poată autoriza și
autentifica într -un sistem pentru a -i obține resursele. În majoritatea cazurilor, atacantul obține nu
parolele, ci hashul acelor parole. Precum funcția de criptare a parolelor nu este una inversabilă,
deci parola nu se poate de calculat cunosc ând hashul, ea de obicei este aflată prin trierea tuturor
variantelor posibile, sau conform unui dicționar, p ână nu co incide parola criptată cu hashul
căpătat. Există numeroase metode de criptare, dar cele mai sigure și utilizate în prezent sunt md5
Cercetări privind securitatea datelor în sistemele informatice
78
și sha. Saltingul reprezintă o metodă de criptare a parolelor, în funcție de numele de utilizator,
astfel complic ând sparger ea lor considerabil.
Pentru a evita riscul ca parolele să fie sparte, e nevoie ca ele să fie de o dificultate mare,
să conțină litere mici, majuscule, cifre, semne de punctuație, totodată trebuie ca ele să fie
schimbate la intervale regulate, pentru a nu d a șanse atacatorului să reușească să le spargă în
acest interval de timp.
Flooding
Flooding -ul poate inunda un server sau host cu o cantitate anormală de pachete, avînd
ca scop supraîncărcarea serverului. Se deosebesc 2 tipuri de flooding -uri:
SYN Flood – inundarea are loc cu pachete SYN speciale, fără a
trimite înapoi ca răspuns pachete ACK. Aceasta duce la faptul că calculatorul
primește mai multe pachete SYN dec ât poate prelucra, lăs ând multe conexiuni
semideschise concomitent.
Ca soluție pentru apărarea contra acestui atac poate servi serviciul numit SYNcookie, ce
prelucrează în alt fel procesul de stabilire a conexiunii dintre calculatoare prin handshaking. Fără
acest serviciu, conexiunea s -ar stabili în următorul fel: Clientul cere o conexiune, deci tr imite un
pachet SYN către server. Serverul înștiințează că cererea a fost primită, și trimite clientului un
pachet SYN -ACK. Acesta îi transmite un pachet ACK, confirm ând conexiunea. Utiliz ând
SYNcookie, conexiunea are loc în așa fel: Calculatorul A transmi te numărul X calculatorului B
pentru a cere conexiunea. Acesta cre ează numărul Y, ce reprezintă o transformare criptată a lui
X, și dacă calculatorul B acceptă, conexiunea are loc. Aceasta face ca să nu fie necesară salvarea
tuturor pachetelor SYN deschise pe jumătate, deci atacurile de tip SYN Flood nu vor mai fi
periculoase.
Altă metodă de protecție presupune crearea programelor care automat vor șterge
pachetele SYN după o anumită perioadă de timp, dacă hostul nu cere răspuns, pachetul va fi
șters.
În pre zent rețelele nu sunt vulnerabile la SYN Flood, deoarece metodele de apărare
împotriva lor sunt deseori utilizate.
ICMP ping Flood – se inundă cu pinguri. Este periculos doar în
cazul c ând lățimea de bandă a victimei este cu mult mai mică ca a atacatorului .
Dacă atacul are loc, calculatorul victimă va consuma o cantitate mare din
lățimea sa de bandă, și alte procese nu vor putea avea loc în sistem.
În prezent astfel tipuri de atacuri nu prezintă pericol, deoarece lățimile de bandă de
obicei s unt destul de m ari pentru a suporta cantitățile de cereri ICMP.
Spoofing
Spoofingul nu este mereu un atac, dar de obicei este însoțit de un atac. El reprezintă
ascunderea informației despre calculatorul atacator, de exemplu a adresei IP, adresei MAC,
serverului DHCP, DNS , User Agentului, etc. El este utilizat pentru a ascunde identitatea
hackerului și a -i face mai dificilă găsirea calculatorului atacator. Spoofingul se realizează prin
serverele proxy, vulnerabilitățile în protocoalele TCP/IP sau prin serviciile anonime de pe
Cercetări privind securitatea datelor în sistemele informatice
79
internet. Utiliz ând Spoofingul pentru IP, atacatorul poate trimite pachete dăunătoare unui
calculator din rețea, iar acela îi va răspunde calculatorului cu adresa IP sub care s -a ascuns
hackerul, din această cauză IP Spoofingul este deseori folosit pen tru atacuri de tip DoS, MITM,
smurf, pentru redirecționarea traficului sau pentru accesarea rețelei protejate de un firewall, dacă
se cunoaște un IP ce poate accesa rețeaua.
O metodă eficientă de atac reprezintă Spoofingul Numerelor Secvențiale . Orice rețe a
TCP/IP utilizează numerele secvențiale pentru a stabili conexiunile, prin intermediul procesului
de handshaking. Aceste numere sunt bazate pe ceasul intern al calculatorului respectiv, calculat
după un algoritm. Deci urmărind numerele secvențiale transmi se între 2 calculatoare, se poate
calcula următoarele valori ale acestor numere, deci se poate de trimis acele numere calculate,
intrând într -o rețea de încredere cu calculatoarele victime.
Session Highjacking e asemănător ca și Spoofingul Numerelor Secven țiale, doar că în
acest caz se fură sesiunea unui client, prin ascunderea adresei IP sau MAC reale, cu adresele
clientului deja conectat la rețea, astfel o bținând privilegiile acelui client în rețeaua dată.
Cea mai utilizată metodă de securizare împotriva Spoofingului, este criptarea datelor
între routere și hosturi externe, ce micșorează șansa ca hackerul să afle datele despre calculatoare
în timp rezonabil. Altă soluție ar fi filtrarea în firewall a traficului extern ce vine de la un host de
încredere din interiorul rețelei, ce ar evita IP Spoofingul.
Denial of Service (DoS)
Scopurile atacurilor DoS nu sunt captarea datelor, parolelor, ci prevenirea utilizatorilor
legitimi de a se folosi de anumite resurse ale rețelei. Atacurile DoS se pot manifesta în 2 m oduri:
prin inundarea cu informație invalidă a serverului, sau prin căderea activității lui. Orice atac care
are ca scop limitarea disponibilității unui host poate fi clasificat ca atac DoS. Cele mai frecvente
atacuri DoS sunt bazate pe protocoalele TCP/IP și funcționează prin unul din următoarele
metode:
Consumul resurselor computaționale, precum lățimea benzii de transfer, spațiu pe
hard, puterea procesorului, etc.
Coruperea configurațiilor informației
Coruperea stării informației, de exemplu întreruperea nesolicitată a conexiunilor
TCP/IP
Distrugerea fizică a componentelor rețelei.
Împiedicarea comunicării dintre 2 calculatoare, astfel ei nu vor putea comunica
adecvat.
Există multe tipuri diferite de atacuri DoS:
Ping of Death
Acest tip de atac trimite pi nguri de mărime mai mare decît mărimea maximă 65535 B,
astfel pachetul ICMP este fragmentat, și stația victimă va trebui să îl reasambleze, dar în acest
timp el mai primește pinguri, astfel ducînd la supraîncărcarea sistemului.
Atacuri Teardrop
Cercetări privind securitatea datelor în sistemele informatice
80
Se bazează pe același principiu ca și Ping of Death, doar că Teardrop utilizează
defectele în protocoalele TCP/IP, în urma transmiterii pachetelor prin rețea fiind imposibilă
reasamblarea lor din cauza valorii greșite a offsetului inserat în traficul IP, ce reprezint ă o
vulnerabilitate în codul de reasamblare a pachetelor invalide din TCP/IP. Așadar prelucr ând
multe pachete invalide, calculatorul se supraîncarcă.
Atacuri peer -to-peer
Hackerii au descoperit defecte ale rețelelor peer -to-peer, care le -au permis să ini țializeze
atacuri DDoS cu ajutorul calculatoarelor zombi e din rețeaua p2p. Acest atac se deosebește de
atacurile DDoS simple prin faptul că aici atacatorul nu are nevoie să comunice cu calculatoarele
zombie pentru a începe atacul. Ele automat se vor decone cta de la rețeaua p2p, inițializ ând atacul
asupra serverului web victimă. În cazul atacurilor cu un număr mare de calculatoare, serverul se
va supraîncărca, chiar și închi zând conexiuni le, el va cheltui multe resurse [Popescu D.E., Vladu
E., 2009, p.41-46].
Acest atac poate fi evitat prin specificarea în protocolul P2P care porturi sunt permise, și
care nu, astfel blocînd portul 80, posibilitățile de atac a serverului web prin această tehnică devin
foarte mici.
Permanent Denial of Service (PDoS)
Cunoscut ca și Phlashing reprezintă atacuri care distrug sistemul într -atât, înc ât e
necesară înlocuirea componentelor hardware, sau chiar a întregului sistem. Atacatorul obține
acces la un printer, router sau alte componente din rețea, astfel îi poate modifica firmw are+ul cu
o imagine invalidă, coruptă, sau modificată, astfel distrugâ nd acel component.
Flood la nivelul de aplicație
Flood -ul pe Internet Relay Chat (IRC), reprezintă o armă de atac frecvent u tilizată. Ea
are ca scop elimin area unui ut ilizator din conver sație, sau chiar închiderea conversației, prin
intermediului Flood -ului. Există multe metode de astfel de atacuri, de exemplu: prin trimiterea
unor mesaje extrem de lungi, prin trimiterea unui număr enorm de mesaje, invitații sau notificări
victimei într -un timp scurt, schimbarea nickului, sau conectarea/deconectarea foarte rapidă si
repetată.
SPAM -ul de asemenea poate fi un atac DoS. Utilizatorii unui server e -mail pot primi
mesaje nesolocitate, ce reclamează diferite produse de care utilizatorul nu are n evoie, sau mesaje
cu caracter neplăcut, etc. Acestea reprezintă SPAM -ul, care are ca scop nu deranjarea
utilizatorului, ci atacul serverului, prin transmiterea a numeroase e -mailuri, care unii utilizatori
trimit altora, SPAM -erii își doresc supraîncărcarea serverului, ce poate duce la utilizarea întregii
lățimi de bandă, a puterii procesorului, sau a spațiului pe hard. SPAM -ul poate conține adresa de
returnare falsificată, sub numele unui utilizator real, deci e -mailul lui va fi invadat de răspunsuri
la mes aj. Programele anti -spam pot filtra mesajele nesolicitate, dar deseori ei consideră ca SPAM
și mesajele legitimate.
Diferite exploituri ce atacă vulnerabilitățile buffer overflow, pot utiliza tot spațiul de pe
disc, sau puterea procesorului, astfel facînd serverul neeficient. Alt tip de atac DoS poate fi
aplicat prin bruteforce, transmiț ând victimei numere mari de pachete, satur ând lățimea de bandă
Cercetări privind securitatea datelor în sistemele informatice
81
a victimei, astfel încît alți utilizatori nu o pot folosi. Așa metodă se utilizează de obicei în
atacurile DDo S. Alt exemplu poate fi atunci c ând se supraîncarcă un anumit serviciu al
serverului, ocup ând tot spațiul de pe hard cu fișierele de înregistrare log. O tehnică specială de
atac DoS reprezintă „Banana attack” , ce redirecționează toate pachetele trimise de client
serverului, înapoi clientului, inund ând-ul cu aceleași pachete trimise.
Având acces la calculatorul victimei, atacatorul îl poate încetini într -atât, înc ât sa devină
inutilizabil, folosind în acest scop Fork Bomb, ce reprezintă un proces care se des chide pe sine
însuși de a tâtea ori, c âte sloturi maxime pentru procese admite sistemul de operare, și în caz că se
închide un proces, el automat se deschide din nou, astfel nu permite calculatorului să execute alte
procese, făcînd sistemul inutilizabil.
DDoS
Distributed Denial of Service reprezintă atacul în care un singur server este atacat de
multe calculatoarea Zombie, care sunt infectate de hacker prin diverse metode, de obicei prin
intermediul programelor malware, în care este înscris adresa IP a victi mei, deci nu este nevoie de
interacțiunea atacatorului pentru a re aliza atacul, deși în unele cazuri el poate prelua controlul
asupra calculatoarelor infectate. Este utilizată în atacurile Smurf și Fraggle, care sunt explicate în
continuare. În prezent nu există metode eficiente de evitare a atacurilor DDoS, totodată nu poate
fi aflat ușor proveniența atacului.
Distributed Reflected Denial of Service Attack (DRDoS)
Presupune trimiterea unor cereri false către un număr mare de calculatoare, iar cu
ajutorul I P Spoofing, se redirecționează toate răspunsurile către hostul cu IP -ul emulat. Un tip de
atac DRDoS reprezintă atacul Smurf , ce reprezintă generarea unui trafic enorm în interiorul unei
rețele, prin intermediul pachetelor ICMP cu o adresă IP modificată a sursei. Dacă routerul
transmite pachetele spre toate calculatoarele din rețea, atunci pingurile se vor transmite spre
calculatorul victimă în număr foarte mare, multiplicînd traficul cu numărul de hosturi din rețea.
În acest caz rețeaua ce transmite pingur ile calculatorului victimă este numită amplificator Smurf.
Metodele de protecție împotriva acestui atac presupun nu apărarea victimei, ci rețelei, ca
ea să nu participe în atacul Smurf. Pentru aceasta se interzic transmiterea pachetelor ICMP în
afara rețel ei, sau se configurează routerele să nu permită trecerea pachetelor ICMP.
Atacul Fraggle este asemănător cu Smurf, fiind doar o simplă modificarea a acesteia,
pachetele de date fiind de tip UDP, și atacul bazîndu -se pe porturile 7 și 19.
Degradation of Ser vice
Acest atac utilizează calculatoare Zombie pulsatoare, adică ele transmit Flooduri doar că
nu în timp îndelungat, ci în intervale anumite de timp. Astfel așa tipuri de atacuri sunt dificil de
detectat, deoarece sunt asemănătoare cu un trafic mărit, dar ele degradează treptat serverul. Ele
pot fi mai periculoase ca Flood -ul simplu, duc ând la întreruperea conexiunilor cu serverul pe
perioade lungi de timp.
Man-in-the-Middle attack (MITM)
Atacul MITM presupune ca hackerul să intercepteze și, dacă are nevoi e, să modifice
conținutul mesajelor dintre 2 calculatoare, fac ând ambele victime să creadă că ei comunică între
Cercetări privind securitatea datelor în sistemele informatice
82
ei, pe c ând conversația este controlată de atacator. Victima A cere victimei B keyul cu care vor
encripta mesajele în conversația ce urmează. Ha ckerul primește keyul victimei B, dar victimei A
îi trimite altul, astfel A cu B nu vor putea comunica. În timp ce victimele comunică între ele,
atacatorul convertește mesajele dintr -un key în altul, și în caz de nevoie, modifică mesajul inițial.
Acest ata c poate fi obținut prin intermediul Spoofingului DHCP, adică un calculator din
rețea pretinde că el este serverul DHCP, lu ând informația despre hosturi de la serverul DHCP
real. Dacă atacatorul indică calculatoarelor din rețea date greșite, ele vor înt âmpina probleme de
conectare, iar în cazul c ând default gateway este indicat un calculator al hackerului din rețea,
acel calculator poate aplica sniffingul pentru a afla toate datele confidențiale trimise de
calculatoarele din rețea altor rețele externe. Acest Spoofing DHCP poate fi detectat utiliz ând
programele special destinate pentru aceasta.
II.3. Structura unui arbore de atac informatic
Putem defini un arbore de atac ca o metod ă sistematic ă ce caracterizeaz ă securitatea
unui sistem informatic, caracteriza re ce are la baz ă analiza unor tipuri distincte de atacuri [Mihai
I.C., 2012, p. 127]. Rădăcina arborelui poate reprezenta nivelul de securitate al sistemului
informatic.
Arborele de atac se descompune în dou ă modalit ăți:
– Un set de atacuri țintă, fiecare tr ebuind îndeplinit pentru ca atacul global s ă fie
încheiat cu succes, ceea ce reprezin tă o analiz ă tip AND.
– Un set de atacuri țintă, oricare din atacuri trebuind îndeplinit pentru ca atacul
global s ă fie încheiat cu succes, ceea ce reprezint ă o analiz ă tip OR.
Arborele de atac se poate reprezenta atat grafic c ât și textual.
Reprezentarea analizei AND:
Grafic: G0 Textual: Tinta G0
AND G1
G2
G1 G2……Gn …
Gn
Ținta este G0 și poate fi atins ă doar dac ă atacatorul obține toate evenimentele de la G1
până la Gn.
Analiza OR este reprezentat ă astfel:
Grafic: G0 Textual: Tinta G0
OR G1
G2
G1 G2……Gn …
Gn
Cercetări privind securitatea datelor în sistemele informatice
83
Ținta este G0 și poate fi atins ă dacă atacatorul ob ține oricare di n evenimentele cuprinse
între G1 și Gn, inclusiv acestea. Arborele de atac const ă într-o combina ție de descompuneri
AND si OR. De obicei, nodurile țintă sunt ad ăugate la sf ârșitul scenariului dup ă cum sunt
generate.
Descompunerea OR duce la crearea unor no i scenarii pentru a fi generate. Nodurile
intermediare, nu apar î n scenariile nou create prin descompunerea OR deoarece nu sunt elaborate
la nivelele de jos.
Modul în care un atacator poate compromite un sistem informatic este reprezentat iterativ
și incre mentativ ca nodurile de jos ale arborelui de atac.
Crearea unui arbore de atac informatic
După stabilirea scopului principal, se descompune nodul principal folosind descompuneri
OR și/sau AND, astfel fiecare nod devine un subtask s iar fiecare copil al ace lui nod reprezint ă
modalit ăți de realizare al acestui subtask. De re ținut, exist ă noduri AND și noduri OR (tot ceea
ce nu este un nod AND este un nod OR, tot ceea ce nu este un nod OR este un nod AND, sau
nodurile sunt alternative).
După terminarea stabili rii arborelui de atac de baz ă, se pot atribui valor i P (posibil) si I
(imposibil) pentru fiecare nod, apoi se efectueaz ă calculele pentru fiecare nod.
Valoarea unui nod OR este posibilă dacă oricare dintre copiii săi este posibil și imposibil
dacă toți cop iii săi sunt imposibili. Valoarea unui nod AND este posibilă numai dacă toți copiii
sunt posibili și altfel imposibil.
După atribuirea indicatorilor P și I pentru fiecare nod, se pot ad ăuga și alți indicatori: ușor
/ dificil, scump / ieftin, legal / ilegal , echipament ieftin / echipament costisitor. De asemenea,
pentru nodurile continue, exist ă și alți indicatori ce pot fi atribui ți: probabilitatea succesului unui
atac dat, probabilitatea ca un atacator s ă încarce un atac și alții nu.
În cele ce urmeaz ă vom prezenta un exemplu de realizare al unui arbore de atac
informatics rearanjat după modelul oferit de ing. Ioan -Cosmin MIHAI în lucrarea sa “Securitatea
informațiilor ” (pagina 129): .
“Consider ăm arborele de atac pentru o întreprindere ce își desfășoară activitatea pe
Internet. Sc opul principal al acestui arbore reprezint ă compromiterea securit ății întreprinderii.
În realizarea acestui arbore vom ține cont at ât de atacurile tehnologice, c ât și de cele
psihologice și sociale.
Arborele a fost dez voltat din pun ct de vedere al existen ței a trei servere: de web, de
FTP ți de e -mail. Accentul a fost pus pe ramurile ce con țin cele trei servere.
1. Obținerea accesului aspra serverului WEB
AND 1. Identificarea numelui domeniului întreprinderii
2.Identificarea adresei IP a serverului WEB
3. Determinarea controlului de acces asupra serverului
AND 1. Căutarea porturilor specifice deschise
Cercetări privind securitatea datelor în sistemele informatice
84
2.Scanarea porturilor în general pentru orice port deschis
4. Identificarea sistemului de op erare (SO) al serverului WEB
OR 1. Scanarea serviciilor pentru identificarea tipului SO
2. Probarea stivei TCP/IP pentru caracteristicile sistemului de
operare
5. Exploatarea vulnerabilit ății serverului WEB
OR 1.Exploatarea gre șelilor de configurare ale serverului web
2. Exploatarea porturilor libere
3. Exploatarea codului surs ă a site -ului
Pentru a se ob ține accesul la un server WEB, trebuie ca toate cele cinci scenarii
reprezentate de cele cinci ramuri sa fie îndep linite, fiind o descompunere AND.”
Tipuri de arbori de atac în sistemele informa ționale
Practica uzual ă a folosirii arborilor de atac în sistemele informa ționale se rezum ă la
utilizarea unor tipare de arbori de atac gata defini ți.
Tipul general de arbore de atac este o reprezentare generic ă a unor studii, atacuri comune
ce au loc în contexte specifice. Fiecare tip de arbore de atac con ține:
*scopul principal al atacului specificat de tipul arborelui
*o lista de precondi ții ce îi definesc utilitatea
*pașii pentru ducerea atacului la bun sf ârșit
*o lista de post -condi ții ce sunt veridice dac ă atacul este îndeplinit
Precondi țiile reprezint ă ipoteze pe care le facem despre atacator sau starea organiza ției,
care sunt necesare pentru îndeplinirea unui atac.
Post-condi țiile reprezint ă cuno ștințele dob ândite de c ătre atacator și de starea
organiza ției, indici ce sunt afecta ți pe m ăsura îndeplinirii cu succes a etapelor atacului și
deținerea precondiț iilor de c ătre atacator.
În ultimele decenii, cea mai comun ă form ă de vulnerabilitate de securitate a fost
manipularea incorect ă a “buffer overflow” prin programe de calculator.
Atunci c ând un program este lansat în execu ție, o înregistrare de activare se adaug ă la
stiva de execu ție a sistemului. Fiecare înregistrare de activare con ține adresa de retur pentru
cazul c ând programul se termin ă și orice variabil ă se poate pierde sau rein ițializa. Buffer -ul
overflow poate suprascrie variabilele locale, returna pointeri și alte por țiuni de memorie
adiacente.
Prin urmare, un at acator, poate construi datele introduse de utilizator pentru a schimba
indicatorul de retur și pentru a reveni la codul mali țios ales de c ătre atacator. Acest cod mali țios
va rula pe retur cu acelea și drepturi din programul principal. În cazul în care pro gramul principal
deține drepturi de administrator, ceea ce se întâmplă adesea, atacatorul va avea control la întregul
sistem informa țional.
Cercetări privind securitatea datelor în sistemele informatice
85
Profilele de atac con țin:
1. Un model de referin ță
2. Un set de variante
3. Un set de modele de atac
4. Un glosar de termeni și expresii definite
Modelul de referin ță reprezint ă un șablon de arhitectur ă cu parametri care pot include
variante specifice. Modelele de atac sunt, de asemenea, definite în aceea și termeni ca și
variantele [Mihai I.C., 2012, p. 138].
O organiza ție a c ărei arhitectur ă este în concordan ță cu modelul de referin ță, un profil
poate utiliza modelele de atac, pentru a ajuta la construirea de arbori de atac relevan ți cu modul
de func ționare al acelei organiza ții.
Diferite profile de atac pot adresa diferite nivelu ri de acces la atacator, resurse și
competen țe, precum și diferite configura ții ale componentelor sistemului. Prin urmare, diferite
profiluri de atac pot ajuta s ă definim arbori de atac pentru o organiza ție, specifici de -a lungul
diferitelor linii de atac.
Aplicarea arborilor de atac
1.) La nivel de sistem
a. Criminalistica gazda
b. Web server
2.) La nivel de re țea
a. Sisteme de detec ție a intruziunilor
b. Atac DDOS
c. BGP
d. MANETs
e. Wireless LAN
3.) Hibrid (la nivel de sistem și rețea)
a. Analiza survabilit ății
b. Analiza vulnerabilit ății
c. Analiza de risc
4.) Aplica ții
a. E-vot
b. Protocoale de protec ția drepturilor de autor
c. Atacuri la autentificarea utilizatorului
d. Analiza de securitate pentru sistemele online banking
e. Arbori de ap ărare pentru evaluarea economic ă a investi țiilor de
securitate
5.) Diverse
a. Simulator de atac de re țea
Cercetări privind securitatea datelor în sistemele informatice
86
Compara ție între arborii de atac și arborii de eroare :
Arbori de atac Arbori de eroare
Parametrii Probabilitate de succes a atacului
lansat
Probabilitate condi ționat ă
Impact
Risc
Cost
Atacator competent
Probabilitate de a fi prin s
Penalizare Rată de eșec
Probabilitate de e șec
Amestec de distribu ție
Defect de distribu ție
Distribu ție Oneshot
Distribu ție binomial ă
Produ cție Risc
Costuri de atac
Vulnerabilitate
Supravie țuire
Scenarii de intruziune Fiabilitate
Lipsa de fiabilitate
Varianță
Tabelul nr.4. Comparație între arborii de atac și arborii de eroare [Dr. Dan (DongSeong)
Kim Universitatea din Canterbury, Noua Zeeland ă- “Arbori de atac. Formalisme, variante și
aplica ții”]
Reprezentarea arborilor de atac
Arborii de atac pot fi r eprezentați în două moduri: ca model liber (cu vizibilitate umană)
fără structură tehnică sau ca reprezentare structurată cu tipuri variabile și / sau metadate pentru a
facilita analiza programată.
Arborii de atac pot fi desena ți grafic sau construi ți în formă secven țială. Reprezent ările
grafice reprezint ă o munc ă mult mai dificil ă, dar au mai mult poten țial de a concentra aten ția. În
ambele cazuri, dac ă nodurile (frunzele) nu sunt toate legate de aceea și logic ă (AND/OR), va
trebui aleas ă o reprezentare a r elației și afișarea deciziei.
Dacă arborele este reprezentat grafic, se prefer ă reprezentarea nodurilor terminal i într-o
manier ă diferi tă. Etichetele dintr -un nod trebuie alese cu grij ă pentru a oferi necesarul de
informa ții mai ales dac ă se utilizeaz ă reprezentarea grafic ă. Cuvintele de genul “atac” sau “via”
pot distrage aten ția de la informa țiile cheie. Se prefer ă utilizarea sintagmei “modificarea
fișierului” în locul celei “atacul prin modificarea fi șierului”.
Arborii de atac sub form ă secven țială sunt mai u șor de creat dec ât cei reprezenta ți grafic,
dar tind s ă fie mai pu țin aten ți. În mod ideal, un arbore secven țial (de contur) este afi șat pe o
singur ă pagin ă, fără a traversa paginile. Întrebarea cu privire la modul de a reprezenta în mod
efectiv AND/ OR nu este simpl ă. Unele reprezent ări exclud, altele includ un indicator înainte sau
după o linie.
Prezentarea grafic ă și textual ă a arborilor de atac sunt utile pentru organizații , dar un
arbore este, de asemenea, o structur ă de date, iar o reprezentare s tructurat ă a unui arbore face
Cercetări privind securitatea datelor în sistemele informatice
87
posibil ă aplicarea l ogicii arborelui și, la r ândul s ău, a sistemului ce este modelat. Mai multe
pachete software permit crearea și gestionarea arborilor compl ecși. Un astfel de pachet permite
modelatorului s ă adauge costuri pe ntru fiecare nod și apoi s ă evalueze ce atacuri poate ataca un
atacator cu un anumit buget.
Pe m ăsura ce arborii devin tot mai comple cși, este mai probabil ca un astfel de software
sa fie util.
II.4. C oncluzii.
De-a lungul timpului atacurile informatice s-au diversificat și dezvoltat concomitent cu
schimbarea centrului de greutate privind scopul în care agentul de amenințare lansează atacul.
Astfel, s -a constatat că dacă atacurile informatice au fost generate din dorința de a sublinia
capacitatea tehnică a autorilor de a exploata vulnerabilitățile unui sistem informatic, respectiv ale
unei rețele de comunicație, treptat agenții de amenințare au trecut la acte de vandalism
informatic, dezvoltând în timp o criminalitate infor matică și au ajuns în prezent la un adevărat
război cibernetic. Totodată, prin schimbarea scopului urmărit de autorul unui atac informatic și
efectele atacului s -au modificat de la disfuncționalitatea unui sistem informatic și distrugerea
datelor de pe sistemele de stocare la interceptare a datelor confidențiale legate de cărțile de credit
sau accesarea parolelor la blocarea întregii infrastructuri naționale privind securitatea
informațională, în cazul actelor de terorism cibernetic.
Analiza evoluției în timp a atacurilor informatice, inclu siv analiza situației la nivel
național ajută la stabilirea tendințelor privind atacurile informatice astfel încât să poată fi
preconizate măsurile de securitate optime și pertinente, pe de altă parte ajută la conceptualizarea
arborilor de atac, metodă sis tematică pentru caracterizarea securității unui sistem informatic
bazată pe diferite tipuri de atacuri.
Anul 2017 a fost unul deosebit de dinamic în privința evoluțiilor amenințărilor
cibernetice, atât prin prisma atacurilor cibernetice cu impact major as upra serviciilor publice și
private dar și asupra infrastructurilor, cât și prin prisma pierderilor masive de date confidențiale
la nivel global, este constatarea CERT -RO [CERT -RO: Raport privind evoluția amenințărilor
cibernetice în 2017 , p.2 ]. Pe fondul creșterii numărului de dispozitive conectate la Internet
(aprox.23 miliarde în anul 2018 și 75 de miliarde până în anul 2025), din perspectivă juridică
sunt create premisele creșterii măsurilor concrete, tehnice și organizatorice, pentru creșterea
nivelulu i de securitate cibernetică, și inclusiv pentru protejarea datelor cu caracter personal ale
utilizatorilor, în condițiile în care demersurile tehnice sunt dublate de instrumente legislative,
anul 2018 fiind anul intrării în vigoare a Directivei UE nr.2016/ 1148 privind măsuri pentru un
nivel ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (cunoscută și ca
Directiva NIS), respectiv a Regulamentului UE nr.2016/679 – Regulamentul General privind
Protecția Datelor cu Caracter Personal (GD PR).
Dezvoltarea web -ului și creșterea constantă a numărului de utilizatori reprezintă premise
pentru apariția vulnerabilităților la orice produs tehnologic, fie că este vorba de echipamente IT,
fie de programe sau aplicații, deși per total, numeric, se în registrează o scădere a riscurilor ca
Cercetări privind securitatea datelor în sistemele informatice
88
urmare a măsurilor de securizare implementate din momentul proiectării și dezvoltării
aplicațiilor, însă ceea ce menține trendul ascendent este gradul de diversificare a amenințărilor
care este în continuă creștere.
Prin metoda arborilor de atac se redefinește informația despre atacuri, concluzionează
Mihai Ioan Cosmin [Mihai I. -C., 2012, p.143] și achiesăm la această opinie, deoarece în crearea
arborelui de atac sunt definite nodurile acestuia drept modalități de compr omitere de către un
atacator a sistemului prin reprezentare iterativă și incrementativă . Astfel, fiecărui sistem
informatic îi poate fi setat un arbore de atac relevant prin care se identifică apoi modul de
compromitere a securității sau survivabilității s istemului informatic ca și rădăcină a arborelui de
atac.
Și pentru că orice organizație, indiferent de nivel la care își desfășoară activitate sau de
mărimea ei, este conectată prin sistemul informatic propriu la Internet de la conceptualizarea
arborelui d e atac pentru analiza securității organizației s -au identificat posibilități de
perfecționare pornindu -se de la compromiterea nodului rădăcină ca și combinații de extensii
manuale și modele de aplicații.
Cercetări privind securitatea datelor în sistemele informatice
89
CAPITOLUL I II.
CERCETĂRI PRIVIN D PRINCIPALELE METODE DE SECURITATE
A SISTEM ELOR INFORMATICE
Din punct de vedere al securității sistemelor informatice13, deoarece componentele
logice ale sistemului sunt resursele (datele ca elemente de bază) și entitățile (utilizatorii), atât
cele le gale, cât și cele ilegale, și în contextul actual al interconectării echipamentelor și rețelelor,
asigurarea unei comunicații sigure la distanță presupune asigurarea integrității și protecției
resurselor coroborat cu implementarea unor servicii și protocoa le de securitate, acestea din urmă
având ca scop protejarea resurselor și informațiilor.
Și pentru că într -o organizație care folosește sistemele informatice, asigurarea unui
standard ridicat de securitate presupune implementarea unui Sistem de Management Integrat,
măsurile de securitate vor fi:
1. Măsuri procedurale – selectarea și instruirea periodică a personalului, schimbarea
parolelor, back -up la server, registre de incidente, etc.
2. Măsuri logice – controlul accesului și criptografia
3. Măsuri fizice – spații speciale de prelucrare, uși blocate
Și pentru că prin măsurile de securitate se urmărește în principal minimizarea
vulnerabilităților sistemului informatic și ale resurselor, obiectul măsurilor de securitate vor fi
deopotrivă : utilizatorii (atât utilizat orul final cât și angajații operatorului), datele și informațiile
(inclusiv baze de date și fișiere), echipamentele componente ale sistemului/rețelei și serviciile
oferite prin interconectare.
Aceleași trei planuri – procedural, logic și fizic – se identif ică și în cazul măsurilor de
securitate împotriva atacurilor informatice prin care se urmărește prevenirea, detectarea,
eliminarea și refacerea resurselor și a componentelor sistemului/rețelei.
Astfel, orice sistem de protecție eficientă împotriva amenință rilor informatice trebuie:
1. Să identifice utilizatorii care au drepturi și/sau privilegii de acces
2. Să asigure o evidență clară și în timp real a accesului la calculatoare și stații de lucru
3. Să asigure controlul accesului la calculatoare și stații de lucru
4. Să identifice utilizatorii în funcție de aplicațiile și datele la care au acces
5. Să asigure back -up-ul programelor și bazelor de date
6. Să folosească software -uri performante și actualizate împotriva atacurilor informatice.
Având în vedere creșterea continuă ș i alarmantă a atacurilor informatice susținute prin
perfecționarea modului de acțiune al agenților de amenințare , protecția sistemelor informatice și
13 Sistemul informatic cu prelucrare distribuită prezintă următoarele caracteristici: are două sau mai multe procesoare generale
sau specializate; are un sistem de operare distribuit; folosește protocoale de comunicație; are alocate nedeterminat resurse, sub
forma datelor și informațiilor
Cercetări privind securitatea datelor în sistemele informatice
90
a rețelelor de calculatoare contra atacurilor trebuie să se desfășoare permanent, cu intensitatea
sporită și prin adoptarea unor tehnici evolutive, prin acțiuni ciclice în patru etape (Fig. 9).
Fig. 9. Protecție evolutivă și ciclică împotriva atacurilor informatice
Acțiunile profilactice de prevenire a atacurilor presupun atât măsuri organizatorice la
nivelul utilizatorilor cu drepturi de acces, cât și implementarea unor software -uri împotriva
diferitelor tipuri de atacuri, precum Norton, Bit Difender, Kaspersky Lab, Symantec, McAfee,
Panda Security, etc. Suntem în etapa premergătoare declanșării atacului.
Detectarea și identificarea atacurilor informatice care au pătruns pe diferite mijloace în
sistemul informatic trebuie susținute prin acțiuni terapeutice și de carantină, evitându -se
extinderea amenințărilor în alte zone ale sistemului și/sau rețelei fie prin renunțarea la fișierele
infectate, fie prin deconectarea terminalului infectat de la rețeaua electrică,fie prin folosirea
mijloacelor de protecție software împotriva atacurilor.
În cea de -a treia etapă, după identificarea prin semnături și tip de acțiuni a atacurilor
informatice, trebuie instituite măsuri de natură curativă pentru eliminarea atacurilor inclusiv
adoptarea de măsuri radicale ca și soluții limită dar necesare cum ar fi reformatarea discului,
dublate de folosirea unor programe de eliminare a a tacurilor informatice din aceeași gamă cu
programele anterior menționate.
După eliminarea atacului, în cadrul acțiunilor de refacere a resurselor tehnice și a
rețelei , se urmărește restabilirea posibilităților tehnice anterioare atacului în exploatarea
echipamentului și/sau rețelei și micșorarea la minimum a pagubelor produse, sens în care pot fi
salvate pe diferite suporturi magnetice baze de date și/sau fișiere importante, pot fi folosite
copiile de rezervă (back -up) pentru reinstalarea aplicațiilor între rupte de atac, pot fi refolosite
fișierele de date distruse cu copii ale acestora stocate pe alte medii fără malware.
Constatăm că indiferent de etapa de derulare a unui atac informatic, se impune folosirea
software -urilor dedicate protejării împotriva ata curilor informatice, aplicații care combat tipul de
atac în mai multe moduri [Schiller -Ianoș E., Ionescu C., 2011, p. 43] :
1) Detectarea semnăturii – cea mai veche metodă de detectare a unui atac informatic,
metodă depășită în prezent de noile tipuri de atacu ri mai sofisticate tehnic ;
2) Protecția în timp real – metodă care monitorizează comportamentul software -ului
instalat pe un calculator, astfel că dacă se constată că o aplicație încearcă să facă modificări
Cercetări privind securitatea datelor în sistemele informatice
91
neuzuale la fișiere sau cere permisiuni pe care nu a r trebui să le ceară, se autosesizează și sunt
luate măsuri împotriva acelei aplicații;
3) Protecția de tip cloud – metodă ce a debutat în anul 2010, odată cu produsele
Panda Cloud Antivirus și Norton Internet Security și care se axează pe originea atacului
informatic, cum ar fi link -ul sau fișierele specifice.
Pentru asigurarea securității unui sistem informatic și implicit a securității activității
organizației, la nivel de management trebuie stabilite obiectivele politicii de securitate, respectiv
precizare a amenințărilor care se elimină și a celor care rămân în stare latentă și sub supraveghere,
stabilirea resurselor care trebuie protejate prioritar și nivelul de protecție, identificarea
mijloacelor pentru implementare cerințelor de securitate și pe baza ef ectelor scontate
identificarea costurilor sub aspectul rentabilității cerințelor de securitate implementate.
Dintre serviciile de securitate implementate amintim 1) certificatul digital care asigură
confidențialitatea unui mesaj printr -un mecanism de cifr are simetrică prin garantarea
autenticității și actualității cheii publice cu care se face verificarea semnăturii digitale a
emițătorului [Patriciu V.V., et.al. , 2006 , p.56]; 2) anvelopa digitală care asigură
confidențialitatea mesajului și a cheii criptog rafice folosite, precum și autenticitatea originii
mesajului prin semnătură digitală; 3) protecția software care asigură atât protecția
programelor/aplicațiilor împotriva copierii și virusării, cât și protecția programelor împotriva
modificărilor prin adău garea la fișierul executabil a unei semnături cu cheie secretă, semnătură
care se verifică la fiecare lansare a programului în execuție.
III.1. Criptografia
Criptografia este știința și totodată arta ascunderii semnificației unei comunicări în
scopul p rotejării ei față de interceptări neautorizate, iar prin algoritmii folosiți asigură securizarea
informației prin autentificarea și restricționarea accesului într -un sistem informatic [Patriciu
V.V., et.al. , 200 7]. Etimologic, cuvântul criptografie provine din greaca veche unde " crypto "
înseamnă "a ascunde" iar " grafik " înseamnă "a scrie".
Criptanaliza este știința care se ocupă cu descifrarea acestor mesaje , prin obținerea
cheii din textul cifrat .
Cuvintele, caracterele sau literele din mesajul inițial i nteligibil le vom numi "Plain
Text (PL)", forma codificată a mesajului o vom numi "Cipher Text (CT)" iar cele două împreună
constituie o criptogramă . Criptogramele sunt in general împărțite în cifruri și coduri prezentându –
se sub forma unor mesaje neinteli gibile .
Un mesaj codificat este o criptogram ă ce a fost creată utilizând o carte de coduri ce
conține combinații arbitrare de litere, cuvinte sau figuri ce substituie cuvinte sau fraze întregi. În
timp ce un sistem de criptare acționează asupra literelor sau grupurilor de litere de lungime fixă
individual, un sistem de codificare acționează asupra cuvintelor sau frazelor întregi.
Scopul principal al criptografiei este comunicarea sigură în "prezența" unui adversar și
constă în rezolvarea mai multor tipuri de probleme, cum ar fi: criptarea mesajelor, autentificarea,
distribuția cheilor, pentru a numi doar trei dintre ele. Criptografia modernă oferă fundamente
Cercetări privind securitatea datelor în sistemele informatice
92
teoretice pe baza cărora putem înțelege cu ce tipuri de probleme ne vom întâlni, cum vom evalua
diversele protocoale pe care le vom folosi și cum să construim protocoale în care să putem avea
cât mai multă încredere.
Problema cea mai veche a criptografiei este comunicarea sigură folosind un canal de
comunicare nesigur. De exemplu, persoana A dorește să trimită un mesaj secret persoanei B și nu
poate folosi decât un canal de comunicație unde mesajul poate fi interceptat și citit de persoana
C, adversar atât persoanei A cât și persoanei B.
Soluția tradițională a acestei probleme este criptarea cu cheie pr ivată (private key
encryption). În acest tip de criptare persoanele A și B au o întâlnire înainte ca orice transmitere
de mesaje codate să aibă loc și se pun de acord asupra unui algoritm de criptare (E = Encryption)
și a unuia de decriptare (D = Decryptio n) precum și a unei informații suplimentare (S) ce trebuie
păstrată secretă. Vom denumi S ca fiind cheia secretă (Secret Key). Oponentul C poate cunoaște
algoritmii de criptare/decriptare E și D ce sunt folosiți, dar nu trebuie să cunoască cheia S.
După î ntâlnirea inițială, atunci când persoana A dorește să transmită persoanei B un
mesaj (M) folosind linia de comunicație nesigură, persoana A va cripta mesajul cifrat c=E(S,M)
și va trimite textul cifrat c persoanei B. După recepție , persoana B decriptează M =D(c,S) și va
citi astfel mesajul inițial. Adversarul C al celor două persoane A și B poate intercepta textul
codificat c, poate cunoaște cei doi algoritmi E și D, dar nu va putea citi mesajul inițial fără
cunoașterea cheii private S.
Criptografia modernă abandonează presupunerea că adversarul deține resurse
computaționale nelimitate și admite că resursele acestuia sunt limitate într -un mod sau altul. În
particular, putem presupune că adversarul este în fapt algoritm probabilistic ce rulează în timp
polinom ial. În mod similar, algoritmii de criptare/decriptare sunt probabilistici și rulează în timpi
polinomiali.
În consecință, în criptografia modernă vom vorbi despre neputința de a decripta
mesajul datorită puterii de clacul limitate ale adversarului, în tim p ce din punct de vedere istoric
vom vorbi despre imposibilitatea decriptării mesajului indiferent de puterea computațională
avută la dispoziție de adversar. Este de notat faptul că un sistem de criptare pe care îl vom
descrie și denumi ca fiind sigur, cu respect pentru noii adversari și puterea lor de calcul, este
nesigur atunci când puterea de calcul este nelimitată ca resurse sau când timpul avut la dispoziție
pentru decriptare este nelimitat. Privind lucrurile din perspectiva modernă a criptării, lungim ea
cheii private nu trebuie să fie egală cu numărul de biți al mesajului criptat trimis ulterior. De fapt,
la întâlnirea inițială persoanele A și B nici nu trebuie sa discute despre lungimea mesajelor ce
vor fi trimise folosind algoritmii E, D și cheia pri vată S.
Este clar că cerința minimă pentru un sistem de criptare este ca orice adversar care
cunoaște algoritmii de criptare și decriptare și a interceptat mesajul criptat să nu poată decripta și
afla mesajul inițial. Cu toate acestea un astfel de tip de a lgoritm trebuie sa îndeplinească și alte
cerințe dintre care enumerăm:
1. Mesajul inițial trebuie să fie greu de decriptat din textul cifrat atunci când se
cunosc cu o oarecare probabilitate spațiul mesajelor. Exemplu de spații ale mesajelor: limba
Cercetări privind securitatea datelor în sistemele informatice
93
engleză, l imba română, cifrele binare 0,1, etc. Trebuie să pornim de la presupunerea că
adversarul cunoaște sau poate deduce spațiul mesajului transmis.
2. Nu trebuie a adversarul să poată descifra părți ale mesajului cifrat transmis
peste calea de comunicație.
3. Ar treb ui să fie cât mai greu ca adversarul să detecteze informații utile lui cum
ar fi traficul aceluiași mesaj între persoanele A și B.
Conceptul de criptosistem cu două chei (asimetric) a fost introdus de Diffie și
Hellman în 1976. Metoda lor se numește cifra re cu cheie publică , în cadrul căreia doi utilizatori
(procese) pot comunica cunoscând fiecare doar cheia publică a celuilalt , în procesul de decriptare
fiind folosită o cheie privată [Șerb A., et.al. , 2013, p.229].
În criptosistemele cu chei publice /cript are asimetrică fiecare utilizator, deține o
transformare de cifrare publică, P A, care poate fi memorată într -un fișier (cheile pot fi foarte
lungi – de ordinul sutelor de caractere) publică și o transformare de descifrare secretă, S A, care
nu poate fi obți nută din E A.
Cheia de descifrare (secretă) este derivată din cheia de cifrare (publică) printr -o
transformare greu inversabilă (one -way). În sistemele cu chei publice, protecția și autentificarea
sunt realizate prin transformări distincte.
a) Protecția datel or (confidențialitatea) cu chei publice
Presupunem că utilizatorul A dorește să transmită un mesaj (M), unui alt utilizator B.
Utilizatorul A va folosi transformarea publică P B, a lui B. În acest caz A va transmite lui B, un
mesaj M sub forma: C = P B(M)
La recepție, B, va descifra mesajul, din C, utilizând transformarea secretă S B, cunoscută
doar de el:
SB(C) = S B(PB(M)) = M
Această schemă nu furnizează facilități de autentificare (verificarea autenticității
partenerului de comunicație) , deoarece ori ce utilizator (proces) poate cunoaște cheia publică P B a
lui A și poate transmite mesaje false M' lui B, de forma: C' = P B(M') . Schema funcționează ca
în Figura 10.
Fig.10. Sistem de criptare cu cheie public ă
b) Autentificarea datelor cu chei publice
Autentificarea reprezintă procesul prin care se verifică dacă partenerul de comunicație
este cel cunoscut și nu o terță persoană care se interpun fraudulos [Mihai I.C., 2012, p.158].
Cercetări privind securitatea datelor în sistemele informatice
94
Pentru autentificare se aplică lui M transformarea secretă S A a lui A. Ut ilizatorul va transmite
mesajul codificat : C = S A(M)
Utilizatorul B va folosi cheia publică P A la recepție: PA(C) = P A(SA(M)) = M
Autentificare este realizată, deoarece numai A poate aplica transformarea S A. Dar în
acest caz, protecția nu este asigur ată, deoarece oricine poate utiliza cheia publică pentru a
descifra mesajul. Schema funcționează ca în figura de mai jos (Fig.11).
c) Protecția și autentificarea datelor cu chei publice
În acest caz utilizatorul A va aplica transf ormarea secretă a sa, S A, mesajului M. Apoi A
va cifra rezultatul, utilizând transformarea publică a lui B: P B și va transmite către B, următorul
mesaj: C = P B(SA(M))
Receptorul B va obține mesajul în clar M, aplicând propria transformare secretă S B, apoi
transformarea publică a lui A, P A: PA(SB(C)) = M .
Trebuie precizat că transformările (Publică și Secretă) a fiecărui utilizator sunt una inversa
celeilalte:
PA(SA(M) = S A(PA(M)) = M
PB(SB(M) = S B(PB(M)) = M
Aplicând formulele P A(SA(M) și P B(SB(M) asupra formulei P A(SB(C)) se obține:
PA(SB(C)) = P A(SB(PB(SA(M)))) = P A(SA(M)) = M
Dezavantajul algoritmilor simetrici constă în faptul că este necesar un schimb de chei
private înainte de începerea transmisiei de date, respectiv este necesar un canal cu transmisie
protejată, fapt pentru care pentru utilizatorii Internetului cei mai convenabili algoritmi de criptare Fig.11. Sistem de autentificare cu cheie publi că. SA PA M
Mesaj în clar C
Text cifrat Mesaj în clar M Linie Secretă Publică
M
Fig. 1 2. Sistem de protecție și autentificare cu cheie publică. SA
Mesaj în clar C
Text cifrat Mesaj în clar M Linie Secretă Public ă
PB SB PA Secretă Publică
Protecție
Autentificare
Cercetări privind securitatea datelor în sistemele informatice
95
sunt cei cu cheie publică/algoritmii asimetrici, cheile publice putând fi transmise fără restricții
prin In ternet. Și criptarea asimetrică prezintă un dezavantaj, respectiv timpul mare implicat în
procesele de criptare și decriptare
Semnătura digitală , ramură a cri ptografiei asimetrice , reprezintă o caracteristică a unui
utilizator sau proces, fiind folosită p entru recunoașterea mesajului emis de acesta și semnat cu
cheie privată, asigurându -se astfel autenticitatea mesajului . Fie B un receptor de mesaj semnat de
A. Semnătura lui A trebuie să satisfacă următoarele proprietăți:
1. B să fie capabil să valideze se mnătura lui A;
2. Să fie imposibil pentru oricine, inclusiv pentru B, să falsifice semnătura lui A;
3. În cazul în care A nu recunoaște semnarea unui mesaj M, trebuie să existe un
„judecător” care să poată rezolva disputa dintre A și B.
Semnătura digitală rezolvă problema autentificării atât a emițătorului cât și a datelor.
Sistemele de autentificare cu chei publice permit o implementare simplă a semnăturilor digitale.
Transformarea secretă a lui A: S A, poate fi utilizată ca semnătură digitală pentru A. Rec eptorul B
al mesajului M, semnat (transformat prin S A) este sigur atât de autenticitatea datelor cât și de
autenticitatea emițătorului. Transformata inversă P A este publică, deci receptorul B va putea
valida semnătura lui A. Întregul proces se va desfășura astfel:
1. A semnează pe M, calculând C = S A(M);
2. B validează semnătura lui A, verificând M = P A(C);
3.Un „judecător” rezolvă eventuala dispută dintre A și B controlând în aceeași
manieră ca și B, că M = P A(C).
Spre deosebire de algoritmii de criptare, semnătura digitală ajută la identificarea și
autentificarea utilizatorilor într -o comunicare prin Internet , astfel încât prin imposibilitatea
renegării ulterioare a mesajului transmis, semnătura digitală conferă servicii de securitate prin
utilizarea atât a criptării cu cheie publică (asigurând confidențialitatea), cât și a utilizării
funcțiilor hash [Sarcinschi A., 2009, p.15]care vor depista orice modificare precum ștergerea sau
adăugarea unui caracter prin diferențe mari între valorile hash [Patriciu V.V . et.al. , 2007, p.92],
fapt pentru care mesajul nu poate fi repudiat.
Autentificarea utilizatorilor prezintă un grad mai ridicat de încredere prin folosirea
certificatelor digitale, care confirmă că persoana al cărei nume apare pe acel certificat are ca ș i
corespondent o anumită cheie publică [Bernstein T., 1999 apud. Mihai I.C., 2012, p.164] .
Sistemul de certificate digitale este utilizat și pentru certificarea originii programelor, în
sensul că prin folosirea unei criptări a programului de instalare cu cheie publică a firmei
producătoare, se verifică relativ ușor apartenența la o anumită firmă a programului, utilizatorul
decizând apoi dacă instalează sau nu programul.
Din cauza verificărilor rare a listelor de revocare a certificatelor de către Autoritat ea de
Certificare, inclusiv a browser -elor web, deși certificatele digitale reprezintă un mecanism
puternic de autentificare, sunt folosite mai rar deoarece certificatul poate fi revocat datorită
compromiterii cheii fără să fie revocat și din listă de cătr e Autoritate.
Cercetări privind securitatea datelor în sistemele informatice
96
III.2. Canale de comunicații securizate
Comunicațiile criptate între două echipamente aflate într -o rețea nesigură, cum este și
Internetul, se asigură prin canale de comunicații securizate , cum este și programul Secure Shell
(SSH) , în timp ce standardul S/MIME (Secure/Multipurpose Internet Mail Extensions) of eră
soluții de securizare în tr imiterea mesajelor între echipamente dintr -o rețea de calculatoare,
verificându -se totodată integritatea mesajului și nerepudierea informațiil or prin folo sirea
semnăturilor digitale [Mihai I.C., 2012, p.169] .
Protocolul SSH (SSH = Secure SHell )
SSH este un protocol care permite crearea unei sesiuni de lucru la distan ță, transferul de
fișiere și crearea unor canale de comunica ție pentru alte aplica ții, toa tă transmisia fiind sigur ă
împotriva atacurilor intru șilor. Pachetul SSH este compus din program server – SSHD, un
program client – SSH și câteva utilitare pentru manevrarea cheilor de criptare [Mihai I.C., 2012,
p.165].
Confiden țialitatea transmisiei este asigura tă prin criptare. Integritatea este asigurat ă prin
trimiterea unor sume de control criptografice.
Autentificarea serverului se face prin criptografie asimetric ă, serverul av ând o cheie
secret ă și clien ții dispun ând de cheia public ă corespunz ătoare . Autentificarea clientului se face
fie prin criptografie asimetric ă, ca și în cazul autentific ării serverului (dar bine înțeles folosind
alta pereche de chei), fie cu parola clasic ă, dată de client dup ă autentificarea serverului.
1.1. Stabilirea conexiuni i
Stabilirea unei conexiuni SSH decurge în urm ătoarele etape:
1. Clientul și serverul se înțeleg asupra unei chei de sesiune, folosind în acest scop
protocolul Diffie -Helman. În continuare, întreaga comunica ție este criptat ă cu cheia de sesiune.
2. Clientul aut entific ă serverul. În acest scop, serverul trimite rezultatul semn ării
cheii de sesiune cu cheia sa secret ă. Clientul verific ă semn ătura folosind în acest scop cheia
public ă a serverului.
Pentru u șurarea utiliz ării sistemului, serverul își trimite și chei a public ă.
Dacă clientul nu are cheia public ă a serverului, o poate folosi pe cea trimis ă de server –
evident op țiunea este nesigur ă, deoarece serverul încă nu a fost autentificat și deci s -ar putea s ă
fie un intrus. Utilizatorul este avertizat asupra ace stui risc, și cheia publi că a serverului este
înregistrat ă în baza de date a clientului, la urm ătoarea conectare la același server cheia public ă
urmând să fie luat ă din baza de date.
3. Serverul autentific ă clientul. Î n func ție de configura ția serverului, po ate accepta
autentificare cu criptografie asimetric ă, folosind același protocol (dar bine înțeles f ără
posibilitatea trimiterii de c ătre client a cheii sale publice), sau poate cere clientului o parol ă.
După stabilirea conexiunii, toate datele care circul ă pe conexiune sunt împărțite în
pachete, transmise în modul urm ător:
Cercetări privind securitatea datelor în sistemele informatice
97
1. mai întâi, se construie ște o sum ă de control, prin aplicarea unei func ții de
dispersie criptografic ă asupra rezultatului juxtapunerii pachetului de date cu num ărul său
de ordine și cu che ia de sesiune.
2. se formeaz ă un pachet din lungimea datelor, datele propriu -zise, suma de
control calculat ă la pasul anterior, și o completare cu b iți aleatori p ână la un multiplu al
lungimii blocului acceptat de algoritmul de criptare
3. pachetul format ante rior se cripteaz ă cu cheia de sesiune, folosind un
algoritm simetric pe bloc în modul CBC
1.2. Servicii SSH
SSH permite atât sesiuni de lucru prin re țea, cât și alte aplica ții, fapt pentru care o dat ă
deschis un canal securizat, pachetele vehiculate pot f i destinate mai multor aplica ții, lista celor
mai importante fiind:
sesiune de lucru ( în mod text)
transfer de fi șiere (cunoscut și ca sftp sau scp; exist ă totuși o mic ă diferen ță
între cele dou ă)
forwardarea unor porturi TCP
forwardarea unui server X ( clientul SSH ac ționeaz ă ca server X pe ma șina
local ă, dar cererile de la clien ții X le forwardeaz ă serverului X de pe ma șina server SSH)
forwardarea unui agent de autentificare
1.3. Autentificarea clientului SSH
Autentificarea client ului se poate face pr in parol ă sau prin criptografie asimetric ă. În
cazul criptografiei asimetrice, cheia secret ă trebuie memorat ă pe discul ma șinii client (o cheie
pentru criptografie asimetric ă nu poate fi memorat ă rezonabil de om datorită lungimii sale ).
Stocarea cheii secr ete pe disc fiind un risc de securitate, SSH ofer ă posibilitatea stoc ării cheii
secrete criptate folosind ca și cheie o fraz ă (memorabil ă de om). Pentru ca clientul SSH s ă nu
ceară fraza -cheie pentru decriptarea cheii secrete, SSH ofer ă următorul mecanism:
Se lanseaz ă o aplica ție numit ă agent de autentificare . Aceasta cite ște cheia secret ă
criptat ă, cere fraza -cheie de decriptare și decripteaz ă cheia secret ă, pe care o ține în memoria
RAM
La lansarea unui client SSH, acesta încearc ă să contacteze agentul d e autentificare – dacă
agentul ruleaz ă în acel moment. Comunica ția se face local prin primitive sigure oferite de
sistemul de operare al ma șinii client – de exemplu, prin FIFO UNIX. Clientul SSH trimite
agentului cheia de sesiune, iar agentul î i returneaz ă semn ătura.
Opțional, la deschiderea unei sesiuni SSH, se poate forwarda conexiunea c ătre agentul de
autentificare .
Standardul S/MIME
Prin utilizarea S/MIME, sistem de criptare hibrid, un mesaj poate fi criptat și semnat
digital, asigurându -se astfel con fidențialitatea, respectiv autentificarea și integritatea prin
utilizarea semnăturii digitale. MIME ( Multipurpose Internet Mail Extensions ) este standard
Cercetări privind securitatea datelor în sistemele informatice
98
folosit în trimiterea fișierelor prin e -mail, în momentul trimiterii e -mail-ului fiind utilizate
difer ite metode pentru ca la recepție mesajul să fie decodat în formatul original, fapt pentru care
atât expeditorul cât și destinatarul trebuie să utilizeze aplicații care cunosc acest standard [Mihai
I.C., 2012, p.16 9].
III.3. Măsuri de securitate în rețelel e virtuale
O rețea privată virtuală (VPN*) permite crearea unei rețele private independente ca
existență în spațiul unei rețele publice, cum ar fi internetul.
Acest lucru se poate realiza dacă dispozitivul este conectat la rețea. Beneficiile sunt
reprezent ate prin faptul că se poate face transfer bidirecțional de date prin rețeaua publică ca și
cum ar exista o rețea privată, în același timp beneficiind de proprietățile oferite de o rețea publică
(securitate, funcționalitate, politici).
Un serviciu VPN este format dintr -un server VPN (implementat în diferite locații),
protocoale VPN (pentru a crea tunelul) și criptare (pentru a asigura comunicarea).
Beneficiile utilizării unei VPN sunt:
-înlocuirea IP -ului original cu unul anonim
-evitarea cenzurei
-criptarea datelor
-protejarea și asigurarea conexiunii WiFi.
Securitatea rețelei este reprezentată prin orice activitate concepută pentru a proteja
integritatea și gradul de utiliza re a rețelei și a datelor. Acestea includ atât tehnologii hardware cât
și software. Securitatea eficientă a rețelei gestionează accesul la rețea. Acesta vizează o varietate
de amenințări și le împiedică să intre sau să se răspândească în rețea.
Securitatea rețelei combină mai multe straturi de apărare pe lângă și în rețea. Fiecare strat
de securitate a rețelei implementează politici și controale. Utilizatorii autorizați obțin acces la
resursele de rețea, însă cei rău -intenționați sunt blocați de la exploată ri și amenințări.
Moduri de securizare a rețelelor:
1. Controlul accesului
Nu toți utilizatorii ar trebui să aibă acces la rețeaua dvs. Pentru a împiedica atacatorii
potențiali, trebuie să recunoașteți fiecare utilizator și fiecare dispozitiv. Apoi, puteți aplica
politicile de securitate. Puteți bloca dispozitive de punct final care nu sunt conforme sau le puteți
oferi acces limitat.
2. Software antivirus și antimalware
"Malware" este prescurtare pentru "software rău intenționat" și include viruși, viermi, troi eni,
spyware, etc. Uneori, programele vor infecta o rețea, dar înainte de asta pot sta latente zile sau
chiar săptămâni. Cele mai bune programe antimalware nu numai că scanează programe malware
la intrare, ci și continuă să urmărească fișierele ulterior p entru a găsi anomalii, a elimina
programe le malware și a repara pagubele.
3. Securitatea aplicațiilor
Cercetări privind securitatea datelor în sistemele informatice
99
Orice software utilizat pentru a desfășura afacerea dumneavoastră trebuie protejat, indiferent
dacă personalul dumneavoastră IT o construiește sau dacă îl cu mpărați. Din păcate, orice
aplicație poate conține găuri sau vulnerabilități pe care atacatorii le pot folosi pentru a se infiltra
în rețeaua dumneavoastră. Securitatea aplicațiilor include hardware -ul, software -ul și procesele
pe care le utilizați pentru a închide aceste găuri.
4. Analiza comportamentală
Pentru a detecta comportamentul anormal al rețelei trebuie să știți cum arată un
comportament normal. Instrumentele de analiză comportamentale discernează în mod automat
activitățile care deviază de la normă . Echipa dumneavoastră de securitate poate identifica mai
bine indicatorii de compromis care prezintă o potențială problemă și pot remedia repede
amenințările.
5. Prevenirea pierderilor de date
Organizațiile trebuie să se asigure că personalul lor nu trimite informații sensibile în afara
rețelei. Tehnologiile de prevenire a pierderilor de date sau tehnologiile DLP pot împiedica
persoanele să încarce, să retransmită sau chiar să tipărească informații critice într -un mod
nesigur.
6. Protecția e -mailului
Folosirea e -mailului reprezintă vectorul de amenințare numărul unu pentru o încălcare a
securității. Atacatorii folosesc informații personale și tactici de inginerie socială pentru a construi
campanii sofisticate de phishing (pescuire) pentru a înșela destinatarii și pentru a le trimite pe
site-uri care oferă programe malware. O aplicație de securitate a e -mailurilor blochează atacurile
primite și controlează mesajele de ieșire pentru a preveni pierderea datelor sensibile.
7. Firewall -uri
Firewall -urile au ca scop “ridic area”unei bariere între rețeaua dvs.de încredere internă și
rețelele externe neîncrezătoare, cum ar fi Internetul. Ele folosesc un set de reguli definite pentru
a permite sau bloca traficul. Un paravan de protecție poate fi hardware, software sau ambele.
8. Securitatea dispozitivelor mobile
Se estimează că numărul utilizatorilor de telefoane mobile din întreaga lume va depăși cifra
de cinci miliarde până în 2019. Această creștere rapidă, din păcate, este direct proportională cu
numarul infractorilor cibernetic i care se adaptează și își schimbă metodele pentru a profita de
acest număr din ce în ce mai mare de potențiale victime.
Datele utilizatorilor reprezintă o țintă majoră a infractorilor cibernetici – de la credențialele
cardurilor de credit la parolele de e -mail și listele de contacte. Victimele au fost, de asemenea,
ademenite în abonarea la anumite servicii care se dovedesc a fi cu plată.
Criminalii cibernetici vizează tot mai mult dispozitivele mobile și aplicațiile mobile. În
următorii 3 ani, 90% din orga nizațiile IT vor oferi sprijin pentru aplicații corporative pe
dispozitive mobile personale. Desigur, trebuie să controlați ce dispozitive pot accesa rețeaua
dumneavoastră. De asemenea, va trebui să configurați conexiunile pentru a menține traficul în
rețea privat.
9. Securizarea traficului web
Cercetări privind securitatea datelor în sistemele informatice
100
O soluție de securitate web este reprezentată prin controlarea modului de utilizarea
Internetului a personalului dumneavoastră. Se pot bloca amenințările web și se va refuza accesul
la site -uri web rău intenționate. Ace sta va proteja gateway -ul web pe site sau în cloud.
"Securitatea Web" se referă, de asemenea, la pașii pe care îi luați pentru a vă proteja propriul site
web.
10. Securitatea wireless
Rețelele wireless nu sunt la fel de sigure ca cele cu fir. Abilitatea de a i ntra într -o rețea de pe
un laptop mobil spre exemplu are avantaje deosebite. Cu toate acestea, rețelele fără fir sunt
predispuse la anumite probleme de securitate. Hackerii au descoperit că rețelele wireless sunt
relativ ușor de accesat și chiar utilizează tehnologia fără fir pentru a intra în rețelele cu fir.
Riscurile pentru utilizatorii tehnologiei fără fir au crescut, pe măsură ce serviciul a devenit
mai popular. Au existat relativ puține pericole atunci când tehnologia fără fir a fost introdusă
pentru prima dată. Hackerii nu aveau încă timp să se concentreze la noua tehnologie, iar rețelele
wireless nu erau frecvent întâlnite la locul de muncă. Cu toate acestea, există multe riscuri de
securitate asociate cu protocoalele wireless actuale și metodele de criptare, precum și cu lipsa de
neglijență și ignoranță care există la nivel de utilizator și de nivel corporativ.
III.4. Metode de securitate în comerțul electronic
III.5. Programe antivirus vs. programe firewall
Antivirus sau software antivirus (ades ea abreviat ca AV), uneori cunoscut sub numele
de software anti-malware , este un software de calculator folosit pentru a preveni, detecta și
elimina software -ul rău intenționat.
Software -ul antivirus a fost inițial dezvoltat pentru detectarea și eliminarea virușilor
de pe computer, de unde și numele. Cu toate acestea, odată cu proliferarea altor tipuri de
malware, software -ul antivirus a început să ofere protecție împotriva altor amenințări la adresa
calculatorului. În special, software -ul antivirus modern poate proteja calculatoarele impotriva :
obiectelor de ajutor pentru browser rău -intenționate (BHO), atacatori de browser,
ransomware, keyloggers, backdoor, rootkits, cai troieni, viermi,malware LSPs, dialere,
tool-uri frauduloase, adware și spyware.
Unele produse includ, de asemenea, protecția împotriva altor amenințări la adresa
calculatorului, cum ar fi : adresele URL infectate și malware, spam -ul, atacurile înșelătoare
și phishing, identitatea online, atacurile bancare online, tehnicile de inginerie soc ială,
atacurile persistente avansate (APT) și atacurile botnet DDoS.
Unul dintre puținele rezultate teoretice solide în studiul virușilor de calculator este
demonstrația lui Frederick B. Cohen din 1987 că nu există niciun algoritm care să permită
detectare a perfectă a tuturor virușilor posibili .Cu toate acestea, folosind diferite straturi de
apărare, se poate obține o bună rată de detecție.Există mai multe metode pe care antivirus -ul le
poate utiliza pentru a identifica programele malware:
Cercetări privind securitatea datelor în sistemele informatice
101
Detectarea sand box-urilor : este o tehnică specială de detectare bazată pe
comportament care, în loc să detecteze amprenta comportamentală la timpul de execuție,
execută programele într -un mediu virtual , înregistrând ce acțiuni desfășoară
programul. În funcție de acțiunil e înregistrate, motorul antivirus poate determina dacă
programul este rău intenționat sau nu. Dacă nu, atunci programul este executat în mediul
real. Deși această tehnică s -a dovedit a fi destul de eficientă, având în vedere greutatea și
încetinirea sa, es te rar utilizată în soluțiile antivirus ale utilizatorilor finali
Tehnicile de extragere a datelor : sunt una dintre cele mai recente abordări
aplicate în detectarea malware -ului. Minerii de date și algoritmii de învățare a mașinilor
sunt folosiți pentru a încerca să clasifice comportamentul unui fișier (fie ca fiind malware
sau benign) dat o serie de caracteristici de fișier care sunt extrase chiar din acel fisier.
Software -ul antivirus tradițional se bazează în mare măsură pe semnături pentru
identificar ea malware -ului.
În mod substanțial, atunci când un program malware ajunge în mâinile unei firme
antivirus, acesta este analizat de cercetători malware sau de sisteme de analiză dinamică. Apoi,
odată determinată să fie un program malware, se extrage și se adaugă o semnătură adecvată a
fișierului în baza de date a semnăturilor software -ului antivirus.
Deși abordarea bazată pe semnături poate conține în mod eficient focare de malware,
autorii malware au încercat să rămână un pas înaintea unui astfel de softwa re scriind "virușii"
oligomorf, "polimorf" și, mai recent, "metamorfici", care criptează părți din ele sau altfel să se
modifice ca metodă de deghizare, pentru a nu se potrivi semnăturilor virușilor în dicționar.
Rootkit detection
Software -ul anti -virus p oate încerca să scaneze pentru rootkit -uri. Un rootkit este un tip
de malware conceput pentru a obține control la nivel administrativ asupra unui sistem informatic
fără a fi detectat. Rootkit -urile pot schimba modul în care funcționează sistemul de operare și, în
unele cazuri, pot manipula programul antivirus și îl pot face ineficiente. Rootkit -urile sunt, de
asemenea, greu de eliminat, în unele cazuri necesitând o re -instalare completă a sistemului de
operare.
Protecția în timp real
Protecția în timp real , scanarea la acces, garda de fundal, ecranul rezident, protecția
automată și alte sinonime se referă la protecția automată oferită de cele mai multe programe
antivirus, anti -spyware și alte programe anti -malware. Acest lucru monitorizează sistemele
inform atice pentru activități suspecte, cum ar fi viruși de calculator, spyware, adware și alte
obiecte rău intenționate, în timp real, cu alte cuvinte în timp ce datele sunt încărcate în memoria
activă a computerului: atunci când introduceți un CD, deschideți u n e-mail sau navigați pe web
sau când un fișier deja în computer este deschis sau executat.
Cercetări privind securitatea datelor în sistemele informatice
102
III.6.2. Tipuri de firewall -uri
În retelele de calculatoare, un firewall este un dispozitiv sau o serie de dispozitive
configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite
domenii de securitate pe baza unor reguli predefinite.
Un paravan de protecție poate ține la distanță traficul Internet cu intenții rele, de
exemp lu hackerii, viermii și anumite tipuri de viruși , înainte ca aceștia să pună probleme
sistemului. În plus, un paravan de protecție poate împiedica participarea computerului la un
atac împotriva altora , fără cunoștința sau voința utilizatorului. Utilizarea unui paravan de
protecție este importantă în special dacă rețeaua sau computerul de protejat sunt conectate în
permanență la Internet.
Un paravan de protecție este o aplicație sau un echipament softwar e care monitorizează
și filtrează permanent transmisiile de date realizate între PC sau rețeaua locală și Internet, în
scopul implementării unei "pol itici" (metode) de filtrare.
Această politică poate însemna:
protejarea resurselor rețelei de restul utilizatorilor din alte rețele similare, toate
interconectate printr -o rețea d e arie largă sau/și Internet. Posibilii atacatori sunt identificați,
atacurile lor asupra PC -ului sau rețelei locale putând fi oprite.
controlul resurselor la care au acces utilizatorii locali (din rețeaua locală ).
Concluzii:
Un firewall poate să:
– monitorizeze căile de pătrundere în rețeaua privată, permițând în felul acesta o mai
bună monitorizare a traficului și deci o mai ușoară detectare a încercărilor de infiltrare;
– blocheze la un moment dat traficul în și dinspre Internet;
– selecteze accesul în spațiul privat pe baza informațiilor conținute în pachete.
– permită sau interzică accesul la rețeaua publică, de pe anumite stații specificate;
– și nu în cele din urmă, poate izola spațiul privat de cel public și realiza interfața între
cele două.
De asemenea, o aplicație firewall nu poate:
– interziceimportul/exportul de informații dăunătoare vehiculate ca urmare a acțiunii
răutăcioase a unor utilizatori aparținând spațiului privat (e x: căsuța poștală și
atașamentele);
– interzice scurgerea de informații de pe alte căi care ocolesc firewall -ul (acces prin
dial-up ce nu trece prin router);
– apăra rețeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a
datelor în rețea (USB Stick, dischetă, CD, etc.)
– preven i manifestarea erorilor de proiectare ale aplicațiilor ce realizează diverse servicii,
precum și punctele slabe ce decurg din exploatarea acestor greșeli.
Cercetări privind securitatea datelor în sistemele informatice
103
III.6. Concluzii
Parcurând modul de operare al p rincipalelor tipuri de atacuri informatice în capitolul
anterior, succesiunea logică a impus abordarea în capitolul III a metodelor de securizare a
informațiilor și datelor din sistemele informatice prin implementarea serviciilor și mecanismelor
cele mai u zuale de securizare.
Criptografia, ca ramură a matematicii, asigură criptarea informației, securizând -o și
totodată restricționând accesul într -un sistem informatic. Astfel, criptarea informației se
realizează prin folosirea fie a algoritmilor cu cheie sim etrică fie a algoritmilor cu cheie
asimetrică (se folosesc chei diferite în procesele de criptare și decriptare) [Patriciu V.V. et.al.,
2007] .
Pornind tot de la tehnici criptografice prin utilizarea unor protocoale complexe se
verifică identitatea în cadr ul procedurilor de autentificare [Patriciu V.V. et.al., 2006, p.56] a
utilizatorilor în cazul unei comunicări prin Internet folosindu -se semnătura digitală. Având drept
corespondent semnătura autorizată de pe documentle scriptice, semnătura digitală oferă servicii
de autentificare, integritate și nerepudiere a informațiilor prin utilizarea criptării cu cheie publică
combinat cu funcțiile hash.
Canalele de comunicații securizate asigură comunicațiile criptate între două calculatoare
aflate într -o rețea nesig ură cum ar fi Internetul.
Tot vulnerabilitățile din rețeaua Internet dorește să le minimizeze și folosirea unei rețele
private virtuale (VPN) care permite comunicarea în condiții de siguranță similar unei rețele
locale.
Dacă programele antivirus au rolul de a detecta prezența fișierelor infectate și de a le
înlătura sau de a le diminua atacul, programele fire -wall se interpun între două rețele pentru a
regla și controla traficul dintre cele două rețele, fiind astfel monitorizat traficul dintre rețeaua
locală și Internet prin acces controlat. Astfel, în alegerea unui program antivirus este necesar să
ținem cont de mai multe criterii precum :
1) Rata de detecție – fiind recomandat să optăm pentru un produs antivirus cu o
detecție de peste 97% (din analiza efectu ată ambele soluții de protecție prezentate întrunesc acest
criteriu);
2) Viteza de reacție la o nouă amenințare, fiind de optat pentru o soluție de protecție
care să recunoască noile amenințări într -un timp cât mai scurt;
3) Suportul tehnic oferit de dezvoltat or este un alt criteriu căci astfel utilizatorii își
pot clarifica nelămuririle privind configurarea și setările programului. Serviciile de suport tehnic
trebuie să aibă un spectru larg al canalelor de livrare, cum ar fi baze de date FAQ, forum -uri,
newsle tter, e -mail-uri, rețele sociale, telefon,etc. [ Mihai I.C., 2012 ];
4) Gradul de utilizare a resurselor calculatorului utilizatorului este de dorit să fie cât
mai redus pentru a nu se încetini activitatea sistemului în timp ce programul antivirus își
efectueaz ă scanările de rutină și operațiunile de dezinfecție. Din aceste motive programele
antivirus sunt dotate cu moduri speciale tip GAME MODE (opțiune folosită în timpul unui joc
Cercetări privind securitatea datelor în sistemele informatice
104
care suspendă scanările automate, notificările sau up -date-urile antivirusului);
5) Viteza de scanare poate cântări considerabil în alegerea unei soluții de protecție
antivirus, în condițiile în care volumul de informații stocate și complexitatea operațiunilor
efectuate impun dimensiuni tot mai mari ale hard diskurilor.
Cercetări privind securitatea datelor în sistemele informatice
105
CAPITOLUL IV.
CERCETĂRI PRIVIND CADRUL NORMATIV ACTUAL ÎN
DOMENIUL SECURITĂȚII INFORMATICE
Directiva NIS 2016/1148 defineste notiu nile de retea si sistem informatic
IV.1. Confortul siguranței juridice pentru operațiuni prin sisteme informatice
Noua civilizație informatică se bazează pe disponibilitatea și accesibilitatea informației.
Informația a devenit o proprietate națională vitală, cu o valoare strategică: dacă nu este
protejată prin drept, poate fi cucerită sau distrusă.
Prin urmare, tranzi ția către societatea informațională în România, ca o componentă
relevantă a dezvoltării și ca o condiție indispensabilă a pre -aderării, nu înseamnă numai
modernizarea și extinderea infrastructurii informaționale și de comunicație, cât mai ales
acoperirea v idului legislativ înregistrat cu privire la activitățile de informatică, la procesul de
informatizare și în general în domeniul tehnologiilor informației.
Schimbarea, adaptarea sistemului de drept al României la noul tip de societate se
aliniază cerințelor de reglementare europene și internaționale, reprezentând și răspunsul concret
al țării noastre la condițiile de acceptare a României în structurile europene și euroatlantice,
precum și în Uniunea Europeană și NATO.
Tehnologiile informației, tip de fenomen caracteristic dezvoltării contemporane a
relațiilor și instrumentelor de realizare și consolidare a lor, nu au dobândit până în prezent în
România o fundamentare la nivel de reglementare.
România nu se poate integra intr -o societate informațională europea nă și globală, dacă
nu are un sistem de drept corespunzător, or, e bine știut, o țară unde nu e lege și ordine, nu este
de dorit intr -o comunitate a tehnicii moderne. Societatea informațională sau Cyberspace, are
nevoie de un drept specific evoluat, Cyberl aw.
Esențial este că tot dreptul, valabil în mare parte de pe vremea romanilor, trebuie radical
schimbat; la societate nouă, legi noi, altfel nu se poate așterne decât anarhia. Dreptul este chemat
prin urmare să facă față consecințelor pe care le aduce dez voltarea tehnologiei. Proprietatea nu se
mai dobândește prin mancipațiune ca în dreptul roman, mai mult, cei doi parteneri poate că nici
nu ajung să se privească, cei doi pot încheia astăzi contracte prin Internet. Caz în care ei nu se
află de cele mai mul te ori sub aceeași jurisdicție, semnătura grafologică este înlocuită cu cea
electronică, iar modalitățile de plată sunt diferite.
Deci, pentru a încuraja exploatarea noilor tehnologii, dreptul trebuie să țină pasul cu
tehnica și să facă față tuturor provoc ărilor, atât în domeniul normelor materiale cât și cele
procesuale.
Societatea informațională – atât de bine reflectată prin mediul Internet – este un
domeniu atât de nou și diferit, încât practic nu mai există precedente în acest sens, și, fără că
problem ele juridice pe care le ridică sunt dificile, chiar dacă avem la îndemână conceptele și
Cercetări privind securitatea datelor în sistemele informatice
106
instituțiile dreptului clasic care si -au dovedit valabilitatea de -a lungul vremurilor. Este un
domeniu în care soluțiile tehnice și cele juridice sunt foarte strâns leg ate una de alta. Societatea
informațională, bazată pe cunoaștere, nu poate avea decât un drept care, prin esență, să -i semene.
Actualul sistem de drept românesc va deveni, în mod necesar un sistem de drept
informatic, îndreptat asupra unor elemente care vi zează problema, intr -o manieră mai largă, a
ansamblului tehnicilor noi de comunicare.
Dreptul informatic își găsește o prelungire firească intr -un drept al informării și
comunicării. În mod tradițional, dreptul informării este conceput în strânsă legătură cu libertatea
de exprimare, iar obiectul său este limitat la ceea ce devine public prin mijlocirea diverselor
raporturi: scris, imagine și sunet. Or, informația, a cărei definire a ajuns una dintre dificultățile
timpului nostru din cauza numărului mare de forme pe care le îmbracă, trebuie înțeleasă intr -o
manieră largă: ea este cea pe care întrebările si administrațiile o acumulează pentru propriile
nevoi și la care au acces în anumite condiții. Tot ea este și cea care circulă între persoanele
particulare s au publice în virtutea unor contracte sau acorduri și care nu este divulgată. La
aceasta se adaugă faptul că, la rândul ei, organizarea rețelelor informatice pe care circulă
informația nu este neutră.
Așa cum se observă, acesta este obiectul (foarte vast) al dreptului informării și
comunicării, cel care înlocuiește actualul sistem de drept public și privat, și căruia va trebui să i
se găsească în curând un ansamblu coerent.
Dreptului informatic i se alătură (și are un loc bine determinat) tot ceea ce ține d e
tratarea (prelucrarea) datelor și serviciilor dedicate informației.
Datorită specificității, noi reguli juridice se adaugă continuu celor existente în
domeniul tehnologiei informației. Unele au legătură chiar cu modalitățile de organizare a acestor
activ ități de comunicare. Egalitatea de acces, normalizarea, interconexiunea vor fi obiective
greu de atins.
Dreptul erei digitale sau virtuale va fi unul greu de prins în tipare la fel ca și resursa
esențială a lumii pe care o reflectă: informația.
IV.1.1. Re glementarea juridică a comerțului electronic
Creșterea exponențială a Internet -ului a fost văzută de diverse medii de afaceri ca o
oportunitate deosebită; alături de oportunitățile de afaceri deosebite, Internetul prezintă o serie de
dezavantaje sau „capca ne” de care trebuie să se țină seama pentru a evita pierderile, în primul
rând cele financiare.
Cele mai mari amenințări care se ridică în fața comerțului electronic sunt:
securitatea , încă precară, a tranzacțiilor ;
lipsa unor reglementări juridice clare și armonizate global
Cercetări privind securitatea datelor în sistemele informatice
107
Rezolvarea acestor probleme și transformarea comerțului electronic intr -o adevărată
oportunitate pentru România se bazează pe:
elaborarea unui cadru legal adecvat pentru afaceri în Internet care să
cuprindă nu numai legea comerțului e lectronic (în curs de elaborare) și cea a semnăturii
electronice (gata să intre în vigoare), ci și reglementări referitoare la banii electronici,
fiscalitatea în Internet și modul de încheiere a contractelor în Internet.
crearea unei infrastructuri informa tice corespunzătoare pentru asigurarea
securității informatice;
elaborarea unor reglementări specifice în domeniul securității informatice
(pe plan internațional asistăm chiar la crearea unei ramuri de drept cu titlul dreptul
securității informatice).
IV.1.2. Reglementarea juridică a datelor cu caracter personal din bazele de date
Ritmul rapid al schimbărilor tehnologice și globalizarea au transformat profund modul
în care este colectat, accesat, utilizat și transferat volumul tot mai mare de date cu carac ter
personal. Noile modalități de a face schimb de informații prin intermediul rețelelor sociale și
stocarea unor cantități mari de date la distanță au devenit o parte a vieții multor din cei 250 de
milioane de utilizatori ai internetului din Europa.
În același timp, pentru multe întreprinderi, datele cu caracter personal reprezintă un
avantaj. Colectarea, agregarea și analizarea datelor privind clienții potențiali constituie adesea o
parte importantă a activităților lor economice.
În cadrul acestui nou me diu digital, persoanele au dreptul să beneficieze de un
control efectiv asupra informațiilor cu caracter personal. Protecția datelor este un drept
fundamental în Europa, prevăzut la articolul 8 din Carta drepturilor fundamentale a Uniunii
Europene și la ar ticolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene
(TFUE), care trebuie protejat în mod corespunzător.
Sunt necesare norme moderne și coerente pe întreg teritoriul UE pentru ca datele să
circule liber de la un stat membru la altul . Întreprinderile au nevoie de norme clare și uniforme
care să le ofere securitate juridică și să reducă sarcina administrativă la minimum. Acest lucru
este esențial pentru ca piața unică să funcționeze și să stimuleze creșterea economică, să creeze
noi lo curi de muncă și să încurajeze inovarea.
O modernizare a normelor UE în materie de protecție a datelor care să consolideze
dimensiunea acestora privind piața internă, să asigure un nivel ridicat de protecție a datelor
persoanelor fizice și să promoveze se curitatea juridică, claritatea și coerența; prin urmare, aceasta
joacă un rol central în cadrul Planului de acțiune de la Stockholm al Comisiei Europene14, al
14 COM(2010)171 final.
Cercetări privind securitatea datelor în sistemele informatice
108
Agendei digitale pentru Europa15 și, în sens mai larg, contribuie la strategia UE privind creșterea
economică (Strategia Europa 202016).
Directiva UE din 199517, principalul instrument legislativ privind protecția datelor cu
caracter personal în Europa, a reprezentat un punct de reper în istoria protecției datelor.
Obiectivele sale privind asigurarea unei piețe unice funcționale și protecția efectivă a drepturilor
fundamentale și a libertăților persoanelor sunt în continuare valabile. Cu toate acestea, directiva a
fost adoptată în urmă cu 17 ani când internetul era în fază incipientă. În noul mediu digital plin
de provocări din zilele noastre, normele existente nu oferă nici gradul de armonizare
corespunzător, nici eficiența necesară pentru a asigura dreptul la protecția datelor cu caracter
personal. Acesta este motivul pentru care Comisia Europeană propune o reformă fundamentală a
cadrului UE privind protecția datelor.
În urma acestor discuții, a rezultat în mod clar că atât cetățenii, cât și întreprinderile
doreau realizarea de către Comisia Europeană a unei reforme cuprinzătoare a normelor UE în
materie d e protecție a datelor. După evaluarea efectelor diferitelor opțiuni de politică18, Comisia
Europeană propune în prezent un cadru legislativ solid și coerent aplicabil tuturor politicilor
Uniunii, care să consolideze drepturile persoanelor, dimensiunea prote cției datelor privind
piața unică și să contribuie la reducerea birocrației cu care se confruntă întreprinderile19.
În conformitate cu propunerea Comisiei, noul cadru ar trebui să fie constituit din:
– un regulament (de înlocuire a Directivei 95/46/CE), care stabilește un cadru
general al UE privind protecția datelor20; și
– o directivă (de înlocuire a Deciziei -cadru 2008/977/JAI21), care definește
normele privind protecția datelor cu caracter personal prelucrate în scopul prevenirii,
identificării, investigării sau urmăririi penale a infracțiunilor, precum și în scopul
activităților judiciare conexe .
15 COM(2010) 245 final.
16 COM(2010) 2020 final.
17Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și libe ra circulație a acestor date, JO L 281,
23.11.1995, p. 31.
18A se vedea Evaluarea impactului [SEC (2012)72].
19Reforma va include, într -o etapă ulterioară, modificări în vederea alinierii instrumentelor specifice și sectoriale, ca
de exemplu Regulamentul (CE ) nr. 45/2011 (JO L 8, 12.1.2001, p. 1).
20Regulamentul aduce, de asemenea, un număr limitat de modificări tehnice Directivei asupra confidențialității și
comunicațiilor electronice (Directiva 2002/58/CE, astfel cum a fost modificată prin Directiva 2009/136 /CE – JO L
337, 18.12.2009, p. 11), pentru a lua în considerare transformarea Directivei 95/46/CE în regulament. Consecințele
juridice de fond pe care noul regulament și noua directivă le vor presupune pentru Directiva asupra confidențialității
și comunica țiilor electronice vor face, în timp util, obiectul unei revizuiri de către Comisie, ținând seama de
rezultatul negocierilor privind propunerile actuale cu Parlamentul European și cu Consiliul.
21Decizia -cadru 2008/977/JAI a Consiliului din 27 noiembrie 200 8 privind protecția datelor cu caracter personal
prelucrate în cadrul cooperării polițienești și judiciare în materie penală, JO L 350, 30.12.2008, p. 60. Un raport
privind punerea în aplicare de către statele membre a deciziei -cadru [COM(2012)12] este ado ptat ca parte a
pachetului de reforme privind protecția datelor.
Cercetări privind securitatea datelor în sistemele informatice
109
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie
2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE ( GDPR ) ,
care se va aplica direct, începând cu data de 25 mai 20 18, fără a fi necesară vreo transpunere.
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016
privind protecția persoanelor fizice referito r la prelucrarea datelor cu caracter personal de către
autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a
infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare
a De ciziei -cadru 2008/977/JAI a Consiliului , care are termen limită de implementare 6 mai
2018. Această directivă va trebui transpusă, desigur. Deocamdată, există un proiect, care a fost în
dezbatere publică pe site -ul Ministerului Afacerilor Interne, autorit atea desemnată pentru
implementarea Direcției (UE) 2016/680.
Proiectul de lege care implementează GDPR și Directiva (UE) 2016/680 a fost pu blicat
pentru dezbatere publică pe site-ul MAI , la data de 5.09.201722. Este un proiect de modificare și
completare a nr. Legii nr. 102/2005 privind înființarea, organizarea
șifuncționareaAutoritățiiNaționa le de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Acesta abrogă și Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea
datelor cu caracter personal și libera circulație a acestor date, întrucât Regulamentul GDPR este
aplicabil direct, în toate țările UE, nefiind necesară nicio transpunere. Acest proiect n -a mai
avansat după faza dezbaterilor publice, însă, probabil, acest lucru se va întâmpla în următoarele
două luni, pentru a nu intra în procedura de infringement.
Ce adu ce nou acest proiect este, în principal, asigurarea competențelor și sarcinilor de
monitorizare și control ale Autorității Naționale de Supraveghere în acord cu prevederile art. 55 –
59 din Regulamentul (UE) 2016/679, în scopul de a avea un cadru legal adecv at pentru
respectarea drepturilor specifice ale persoanelor fizice în domeniul prelucrării datelor cu caracter
personal (dreptul de informare, dreptul de acces, dreptul la rectificare, dreptul la restricționarea
prelucrării, dreptul la ștergerea datelor – dreptul ”de a fi uitat”, dreptul de opoziție, dreptul la
portabilitatea datelor). Sunt stabilite principalele atribuții ale AutoritățiiNaționale de
Supraveghere și ale președintelui acesteia, în acord cu elementele de noutate aduse de cele două
acte normat ive ale Uniunii Europene, Regulamentul (UE) 2016/679 și Directiva (UE) 2016/680.
IV.1.3. Reglementarea actuală a infracțiunilor contra siguranței și integrității
sistemelor informatice și datelor
22Proiect de Lege pentru modificarea și completarea nr. Legii nr. 102/2005 pr ivind înființarea, organizarea
șifuncționareaAutoritățiiNaționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru
abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și
libera circulație a acestor date
Cercetări privind securitatea datelor în sistemele informatice
110
Abordând problematica infracțiunilor din domeniul IT, se constată în literatura de
specialitate[1],[2],[3] preocuparea pentru definirea unitară a noțiunii de criminalitate
informatică , definiție care ar asigura o uniformizare a incriminărilor în materie, astfel încât
limbajul juridic să surprindă întocmai proces ele tehnice. De asemenea, preocupările pentru
impunerea unei definiții și terminologii care să descrie infracțiunile din domeniul informatic
continuă și în prezent, fiind și subiect al cercetărilor științifice doctorale[4],[5].
Nici din perspectiva textelo r legale nu există un consens la nivel internațional în privința
terminologiei privind criminalitatea informatică, iar definiția legală a infracțiunii informatice
lipsește cu desăvârșire (a se vedea în acest sens și textul Directivei 2013/40/UE privind ata curile
împotriva sistemelor informatice și de înlocuire a Deciziei -cadru 2005/222/JAI a Consiliului [6]).
Constatăm, la nivel internațional, folosirea alternativă a mai multor termeni pentru descrierea
infracțiunilor comise asupra și/sau prin intermediul ca lculatoarelor sau sistemelor informatice
precum computer -related -crime, cyber crime, high -tech crime, e -crime sau electronic crime.
În esență dacă analizăm infracțiunile informatice, astfel cum au fost ele definite inițial în
Legea nr. 161/2003[7] dar și î n actuala reglementare penală[8], constatăm că suntem în prezența
unor infracțiuni de drept comun la săvârșirea cărora autorul, de cele mai multe ori persoană
specializată cu cunoștințe în domeniul informatic, folosește sistemele informatice. Astfel,
calcu latorul sau rețeaua, pe de o parte, și programele informatice, pe de altă parte, sunt fie ținta
directă a unor fapte penale (accesul ilegal la un sistem informatic sau interceptarea ilegală a unei
transmisii de date informatice), fie instrumentul sau mijlo cul de manipulare al unei fapte penale
(efectuarea sau acceptarea de operațiuni financiare frauduloase, fraude legate de comerțul
electronic) sau mijlocul de stocare a unor eventuale probe privind săvârșirea unor fapte penale
(pornografia infantilă). La ac eastă concluzie ajungem luând în considerare și structura de
reglementare din Codul penal actual, căci nu există un capitol sau titlu consacrat exclusiv
criminalității informatice, infracțiunile circumscrise domeniului IT regăsindu -se atât în Capitolul
IV privind infracțiunile contra patrimoniului din Titlul II, cât și în Capitolul VI din Titlul VII
consacrat infracțiunilor contra siguranței publice sau în Capitolul I – Infracțiuni contra ordinii și
liniștii publice din Titlul VIII [8].
Chiar dacă definiția standard a infracțiunii informatice nu este stabilită unanim,
fenomenul infracțional există și ia amploare, fapt pentru care această conduită dezvoltată prin
intermediul sau în legătură cu utilizarea sistemelor informatice și/sau a rețelelor de comunicați i
trebuie incriminată penal. Dintre definițiile reținute în doctrină[9],[10], optăm pentru definirea
lato sensu a criminalității informatice drept ansamblul infracțiunilor comise într -un interval
temporal și spațial determinat prin intermediul sau în legăt ură cu utilizarea sistemelor
informatice sau rețelelor de comunicații, care pot fi instrumentul, obiectul -țintă sau locația
acestor infracțiuni. Luând în considerare tipologiile menționate mai sus privind stabilirea faptelor
incriminate drept infracțiuni î n funcție de rolul sistemelor informatice și/sau a datelor
informatice în săvârșirea faptei, optăm pentru o definiție stricto sensu a infracțiunilor informatice
ca fiind ansamblul infracțiunilor comise în legătură cu utilizarea sistemelor informatice, în
Cercetări privind securitatea datelor în sistemele informatice
111
considerarea acestora ca valori sociale ocrotite în cadrul relațiilor sociale din societate care iau
naștere în legătură cu utilizarea sistemelor de prelucrare automată a datelor.
Înțelesul noțiunilor de sistem informatic și date informatice prin preluare a definițiilor
din art.35 alin.1 lit.a) și d) din Legea nr.161/2003[7], adoptarea Legii nr.187/2012[11] nu a
abrogat expres dispozițiile anterior menționate, deși prin art.130 din Legea nr.187/2012[11] se
aduc modificări exprese Legii nr.161/2003 privind abrogarea integrală a Secțiunilor 1, 2 și 3 ale
Capitolului III din Titlul III destinat prevenirii și combaterii criminalității informatice, însă
numai a textelor privind incriminarea infracțiunilor informatice. Astfel, menținându -se definițiile
din art.35 al Legii nr.161/2003[7] acestea își vor găsi aplicabilitate în domeniul răspunderii
contravenționale cu privire la nerespectarea obligațiilor legale pentru prevenirea criminalității
informatice, aspecte reglementate de art.52 raportat la art.41 din Legea nr.161/2003[7].
Potrivit art.181 din Codul penal actual[8], prin sistem informatic se înțelege orice
dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care
unul sau mai multe asigură prelucrarea automată a dat elor, cu ajutorul unui program informatic,
în timp ce definiția datelor informatice se referă la orice reprezentare a unor fapte, informații sau
concepte într -o formă care poate fi prelucrată printr -un sistem informatic. Cu aceste concepte,
definite asemăn ător și în art.35 alin.1 lit.a) și d) din Legea nr.161/2003[7], operează legiuitorul în
textele de incriminare ale art. 360-364 din Capitolul VI – Infracțiuni contra siguranței și
integrității sistemelor și datelor informatice al Titlului VII din Codul pen al[8], respectiv pentru
stabilirea răspunderii penale în cazul accesului ilegal la un sistem informatic, sau al interceptării
ilegale a unei transmisii de date informatice.
Art. 365 din Capitolul VI al Titlului VII din Codul penal[8] incriminează faptele de
importare, producere, distribuire sau punere la dispoziție a dispozitivelor sau programelor
informatice, infracțiune al cărei obiect material se referă la dispozitivele electronice sau
programele informatice, adaptate pentru a fi folosite ca instrument în comiterea altor infracțiuni
informatice, precum și datele informatice care permit accesul la un sistem informatic, sau altfel
spus datele de securitate ale unui sistem informatic.
Lipsa definiției legale a noțiunii de program informatic din textul art.1 81 al actualului
Cod penal[8] pentru a avea elementele de incriminare în situația reglementată de art.365 din
Codul penal[8] se complinește, paradoxal, prin trimiterea la textul art.35 alin.1 lit.d) și h) din
Legea nr.161/2003[7], text în vigoare conform art.130 din Legea nr.187/2012[11], și potrivit
căruia prin program informatic se înțelege un ansamblu de instrucțiuni care pot fi executate de
un sistem informatic în vederea obținerii unui rezultat determinat, respectiv prin măsuri de
securitate se înțele ge folosirea unor proceduri, dispozitive sau programe informatice specializate
cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite
categorii de utilizatori. În sfera măsurilor de securitate astfel reglementate de Legea nr.161/2003
intră și parolele, codurile de acces sau alte asemenea date informatice care permit accesul total
sau parțial la un sistem informatic, astfel cum se regăsesc în reglementarea actuală a art.365
alin.1 lit.b) din Codul penal [8] .
Cercetări privind securitatea datelor în sistemele informatice
112
Defin ițiile legale și terminologia din Legea nr.161/2003[7] au fost preluate de
legiuitorul român parțial din Convenția Consiliului Europei privind criminalitate
informatică[12], parțial fiind creația legiuitorului român. Astfel, definițiile privind sistemul
informatic și datele informatice, astfel cum reglementează și art.181 din Codul penal român [8],
se regăsesc în forme apropiate și în actuala reglementare comunitară, Directiva 2013/40/UE
privind atacurile împotriva sistemelor informatice[6].
Conform princip iului statuat prin art. 83 al Tratatului privind Uniunea Europeană[13],
potrivit căruia în privința normelor de drept penal, statele membre UE își reglementează
propriile sisteme de drept penal care trebuie armonizate prin normele comunitare pentru a se
facilita cooperarea între poliția și serviciile specializate de aplicare a legii din statele membre și
agențiile și organismele de drept penal specializate, competente la nivelul Uniunii, cum ar fi
Eurojust, Europol, ș.a. , Parlamentul european și Consiliul stabilesc norme minime cu privire la
definirea infracțiunilor și a sancțiunilor și în domeniul criminalității informatice, infracțiuni de o
deosebită gravitate datorită și dimensiunii lor transfrontaliere.
Gravitatea, dimensiunea transfrontalieră și impact ul general asupra societății al
infracțiunilor informatice, luând în considerare că rețelele de calculatoare și informația
electronică ar putea fi utilizate pentru comiterea de infracțiuni, dar și pentru stocarea și
transmiterea probelor incriminatoare, au determinat statele membre ale Consiliului Europei se
adopte în anul 2001 Convenția privind criminalitatea informatică[12], act juridic care oferea
cadrul minim pentru definirea și incriminare faptelor prin care se aduceau atingeri cu consecințe
grave conf idențialității, integrității și disponibilității datelor și sistemelor informatice, pentru ca
infracțiunile informatice să fie circumscrise în domeniul fraudei informatice și a falsului
informatic.
Bazându -se pe Convenția Consiliului Europei privind cri minalitatea informatică,
convenție considerată cadrul juridic de referință în materia combaterii atacurilor împotriva
sistemelor informatice, Directiva 2013/40/UE[6] stabilește liniile directoare minimale în
definirea infracțiunilor informatice și impune n ecesitatea sancționării penale cel puțin atunci
când fapta nu reprezintă un caz minor, conform dreptului și practicilor naționale. Astfel, definind
conceptele de sistem informatic și date informatice în sensul textelor Convenției Consiliului
Europei [12], D irectiva 2013/40/UE [6] stabilește cadru minimal al incriminării obligatorii a
faptelor de accesare ilegală a sistemelor informatice, a celor de afectare a integrității sistemului și
datelor informatice, precum și al interceptării ilegale a transmisiilor private de date informatice
către un sistem informatic, dinspre acesta sau în interiorul acestuia, inclusiv de emisii
electromagnetice provenite de la un sistem informatic care transmite asemenea date informatice ,
în condițiile în care obiectul material al infracțiunilor reglementate îl reprezintă conceptele astfel
definite in art.2 lit.a) și b) ale Directivei[6].
Directiva 2013/40/UE[6] urmărește asigurarea protecției sistemelor informatice în fața
atacurilor și vulnerabilităților sistemelor informatice î n condițiile în care tehnologiile
contemporane devin valoare socială ocrotită de norma penală datorită rolului său în dezvoltarea
actualei societăți informaționale.
Cercetări privind securitatea datelor în sistemele informatice
113
În actuala reglementare a Codului penal [8], preluând definițiile și cadrul de incrimina re
din Legea nr.161/2003[7], Capitolul VI al Titlului VII grupează infracțiunile contra siguranței și
integrității sistemelor informatice, legiuitorul codului preluând în general și pedepsele prevăzute
în legea specială penală din 2003, respectiv limitele în cazul pedepsei cu închisoare, și chiar
reducând aceste limite în anul 2009, în condițiile în care la data redactării Codului penal
Consiliul Europei și Comisia Europeană cereau statelor membre inițierea unei noi strategii în
domeniul combaterii criminal ității informatice. Astfel se explică de ce limitele minime ale
pedepselor din actualul Cod penal pentru infracțiunile informatice (art.360 -365) sunt sub limita
minimă impus prin Directiva 2013/40/UE art.9 [6] a fi preluate în legislațiile naționale.
În reg lementarea infracțiunilor informatice stricto sensu, legiuitorul pornește de la
premisa că orice sistem informatic sau rețea de comunicații prezintă anumite puncte slabe care
vor fi exploatate de către făptuitori prin lansarea atacurilor de la distanță asu pra sistemului
informatic amenințat. În general, incidentele privind securitatea sistemelor informatice și
rețelelor de comunicații presupun încălcarea (sau amenințarea iminentă cu încălcarea) politicilor
de securitate, politicilor privind folosirea accept abilă sau a practicilor standard de securitate a
acestora [3].
Incriminarea faptelor de accesare ilegala a unui sistem informatic, infracțiune
reglementată prin art.360 Codul penal[8], asigură inviolabilitatea spațiului informatic, obiectul
juridic al infra cțiunii reprezentându -l sistemul informatic asupra căruia sunt lansate atacurile
externe. Interesul juridic protejat este cel al proprietarului, deținătorului sau utilizatorului unui
sistem informatic, dar și al proprietarului, deținătorului sau utilizator ului datelor informatice, fapt
pentru care obiectul material asupra căruia se efectuează acțiunile infracționale constă în
entitățile materiale care compun sistemele informatice, atât elemente de hardware cât și elemente
de software, dar și date informatic e stocate sau înregistrate în sistemul informatic atacat.
În privința subiectului activ al infracțiunilor informatice, deși este vorba de atacul
asupra unui echipament tehnologic, legea nu impune vreo calitate specială, în condițiile în care
practica infra cțională dovedește că majoritatea infractorilor dețin cunoștințe de specialitate IT, în
anumite cazuri fiind vorba de adevărați experți în domeniul tehnologiei informatice, experți care
stăpânesc măsurile de securitate și protecție ale rețelelor informatic e pentru a putea astfel specula
punctul vulnerabil al sistemului. De asemenea, trebuie să avem în vedere, în condițiile art.135
raportat la art.136 alin.2 și art.137 alin.4 din Codul penal [8], că subiect activ poate fi și persoana
juridică care săvârșește infracțiunea informatică pentru a folosi anumite date informatice în scop
propriu, accesându -le fără drept, sau acționând asupra datelor prin modificare sau deteriorare lor.
Actul de conduită interzis și sancționat conform art.360 Cod penal [8] constă în ac cesul
fără drept în sistemul informatic, indiferent de nivelul de acces (acces parțial sau integral).
Condiția ca accesul să fie fără drept are în vedere autorizarea făptuitorului, în temeiul unui
contract sau a unui act normativ, de a acces un anumit nive l al sistemului informatic, autorizare
care se obține prin implementarea politicilor standard de securitate informatică, și în lipsa căreia
orice persoană care accesează sistemul urmează a fi considerată ca accesând ilegal acel sistem.
Cercetări privind securitatea datelor în sistemele informatice
114
Forma de vinovăție a făptuitorului este intenția directă sau indirectă, fiind sancționată și
tentativa.
Infracțiunea reglementată la art.361 din Codul penal [8] – interceptarea ilegală a unei
transmisii de date informatice are ca obiect material fluxul de pachete informatice t ransportate de
la un echipament de calcul către altul sau în interiorul aceluiași sistem informatic, în condițiile în
care acea transmisie nu este publică. Tehnic abordând problema, fluxul de pachete informatice
vulnerabile a fi interceptate reprezintă suc cesiunea de impulsuri electrice rezultată din variația
controlată a tensiunii sau altfel spus succesiunea de biți “0” și “1” [2].
Conduita interzisă constă în interceptarea fără drept a transmisiei de date informatice cu
caracter privat cu ajutorul unui d ispozitiv electronic special sau a unui calculator. Gravitatea
acestei fapte la adresa comunicațiilor prin Internet, văzut ca un sistem informatic la nivel global,
este cu atât mai mare cu cât fiecare pachet de date transmis prin Internet poate tranzita un număr
mare de calculatoare și rețele înainte de a ajunge la destinație, astfel că făptuitorul interceptând
pachetul de date îl poate accesa/deschide și fura numele host -ului (utilizatorului) precum și
parola asociată pachetului.
Deși subiectul activ poate fi orice persoană responsabilă penal, gradul de dificultate al
operațiunilor de interceptare impune un minim nivel de cunoștințe de tehnologie IT precum și
deținerea echipamentului electronic specializat.
Forma de vinovăție este numai intenția directă din cauza modului special de acțiune și
în raport cu caracterul privat al transmisiei de date informatice.
Având în vedere că infracțiunea de acces ilegal la un sistem informatic, incriminată
anterior de textul art.360 din Codul penal[8] presupune accesul făr ă drept într -un sistem
informatic, dat fiind că pachetele informatice pot fi interceptate prin accesul ilegal asupra
sistemului, accesul fără drept la sistem apare ca un act pregătitor al infracțiunii de interceptare a
datelor informatice, însă este sancți onat ca infracțiune de sine stătătoare, fapt pentru care va
exista un concurs de infracțiuni în cazul interceptării transmisiei de date private prin accesarea
ilegală a unui sistem informatic. În aceeași situație, infracțiunea de interceptare a transmisiei de
date în raport cu infracțiunea de transfer neautorizat de date (art.364 Cod penal) poate apărea ca
și act pregătitor în vederea transferului de date, însă din nou va exista concurs de infracțiuni căci
autorul își propune inițial ca scop să intercepteze transmisia de date în vederea transferului
direcționat de el.
Infracțiunile reglementată la art.362 -art.364 Codul penal au ca obiect material datele
informatice, acțiunile incriminate săvârșindu -se asupra acestora. Aceste date informatice deși
pentru util izator sunt reprezentate de caractere alfa -numerice și semne speciale, în limbaj
informatic ele sunt reprezentate prin biți (binary digit), sistemul binar folosind cifrele simbolice
“0” și “1” pentru reprezentarea fizică a informației. Chiar dacă aceste da te informatice se
regăsesc în momentul săvârșirii faptei într -un sistem informatic (fiind stocate sau fiind prelucrate
prin diferite programe), făptuitorul urmărește în mod predilect să obțină aceste date, să le
modifice sau deterioreze în scop propriu, sa u să afecteze funcționarea sistemului informatic în
întregul său prin alterarea integrității datelor informatice.
Cercetări privind securitatea datelor în sistemele informatice
115
Art.362 Cod penal[8] incriminează fapta de alterare a integrității datelor informatice,
ceea ce se poate realiza prin acțiuni alternative de m odificare, ștergere, deteriorare sau
restricționare a accesului la acestea inducând percepția că datele au fost șterse din sistem, deși ele
sunt în continuare dar nu mai este permisă accesare lor. Prin aceste acțiuni se generează efecte
negative asupra stă rii datelor care nu mai servesc scopului lor, datele fiind modificate față de cele
inițiale care prezentau importanță pentru un anumit utilizator.
Tehnic vorbind, modificarea unor date informatice presupune introducerea sau ștergerea
unor secvențe/porțiuni din aceste date, în reprezentarea lor binară, în timp ce acțiunea de ștergere
a datelor echivalează cu o faptă de distrugere a unor obiecte materiale, căci prin ștergere sunt
eliminate fizic din mediile de stocare aceste date, și când nu ar fi existat del oc. Ștergerea
reprezentărilor binare înseamnă anularea valorilor de “0” și “1” prin producerea de modificări
asupra tensiunilor corespunzătoare[2], deși nu de fiecare dată ștergerea datelor are ca efect
eliminarea definitivă din sistem/calculator. Cel mai simplu mod pentru a se șterge anumite date
este folosirea comenzii de software tip DELETE (disponibilă și pe tastatura oricărui calculator)
efectul imediat este că în acel moment sistemul de stocare va interpreta că locațiile în care au fost
anterior datel e, sub forma unui fișier, sunt eliberate pentru viitoare imprimări, însă în realitate
aceste fișiere mai există în mediul de stocare, permițând în unele cazuri recuperarea datelor, până
la momentul în care locațiile vor fi ocupate cu alte informații/date/f ișiere.
Deteriorarea datelor informatice presupune acțiunea de alterare a conținutului binar prin
inserții controlate sau aleatoare de secvențe “0” și “1”, astfel încât noua secvență rezultată nu mai
are corespondent logic în realitate în contextul în care exista anterior acțiunii ilegale.
Acțiunea de transfer de date informatice neautorizat, incriminată la art.364 Cod penal[8]
este în fond tot un tip de intervenție direcționată asupra datelor, însă autorul nu modifică
conținutul datelor sau reprezentarea l or binară, ci modifică doar locația inițială a datelor fie în
cadrul aceluiași sistem informatic, fie de pe un suport de stocare curent pe un alt suport de
stocare extern. În cazul transferului de date în același sistem doar prin schimbarea locației se
poate crea și impresia alterării datelor prin ștergere, faptă incriminată de art.362 Cod penal, însă
încadrarea juridică se va face în raport cu conținutul datelor informatice care diferă în cazul celor
două acțiuni menționate.
Faptele săvârșite în condițiile descrise de art.362 și art.364 Cod penal se realizează cu
intenție directă sau indirectă, deși în majoritatea cazurilor autorul urmărește să obțină dintr -un
astfel de act anumite avantaje economice. Și în cazul în care prin alterarea datelor informatice n u
se urmărește obținerea unui profit direct, autorul are un scop bine conturat acționând în vederea
obținerii rezultatului dorit fie din motive de concurență, motive de răzbunare sau motivații
politice sau ideologice.
Tot datele informatice sunt obiectul m aterial și în cazul infracțiunii de perturbare a
funcționării sistemelor informatice – art.363 Cod penal[8] – deși alături de date acțiunea poate fi
orientată și asupra celorlalte componente ale sistemului informatic, datele nefiind alterate.
Conduita incr iminată de textul art.363 Cod penal constă fie în acțiuni de alterare a
datelor informatice dar care au ca efect și alterarea funcționării sistemului în care sunt modificate
Cercetări privind securitatea datelor în sistemele informatice
116
aceste date, fie în acțiunea de introducere în sistem a anumitor programe malițioa se, aparent
inofensive – viruși, viermi, cai troieni – care sunt plasate în sistemul informatice de la distanță,
prin interconectările existente în rețelele de comunicații și prin intermediul cărora se transferă
date din sistemul informatic afectat sau se descarcă anumite programe care defectează
funcționarea sistemului, acesta generând erori funcționale și nemaiputând în unele cazuri fi
recuperat nici sistemul, nici datele stocate în el. gravitatea faptei de perturbare este dată de
importanța sistemului in formatic afectat sau a obiectivului economic sau social controlat/deservit
de respectivul sistem informatic, de numărul de utilizatori afectați, dar și de dimensiunea și
valoarea pagubelor materiale rezultate, în condițiile în care disfuncționalitatea va a fecta
societatea în plan economic, social, politic sau chiar militar. Chiar dacă în majoritatea cazurilor
vinovăția făptuitorului este directă, scopul urmărit fiind configurat anterior săvârșirii faptei și
fără a avea importanță dacă motivația este fi nanci ară sau emoțională, infracțiunea poate fi săvârșită și
cu vinovăție indirectă.
IV.2. Protecția juridică a bazelor de date la nivelul Uniunii Europene
Deși la nivel european se acordă o atenție deosebită protecției datelor cu caracter
personal, respectiv dreptului de protecție împotriva colectării și utilizării datelor cu caracter
personal, drept ce ține de sfera protecției vieții private a persoanelor fizice și este inclus în
dreptul la respectarea vieții private și de familie, a domiciliului și a corespon denței conform art.8
al Convenției Europene a Drepturilor Omului, distingem norme prin care se garantează și
protecția juridică a bazelor de date în general, ca drept derivat din dreptul de autor.
În Uniunea Europeană există o preocupare serioasă legată d e actualizarea legislației la
noile nevoi generate de utilizarea intensivă a calculatoarelor, astfel încât prin normele adoptate la
nivel comunitar și național să fie protejate atât persoana fizică, cât și persoana juridică din punct
de vedere al acelor da te cu caracter privat cuprinse în baze de date care să nu fie accesibile
publicului larg, respectiv cu accesabilitate restrânsă, dar în același timp interesul protecției se
extinde și asupra acelor tipuri de baze de date constituite ca o creație intelectua lă a autorului, fără
a se extinde reglementare și la conținutul acestor baze de date, respectiv fără a se aduce atingere
drepturilor ce au incidență asupra conținutului informației.
Argumentat juridic ca un drept sui generis al autorilor bazelor de date, p rotecția juridică a
bazelor de date pornește de la aspectul creativ și financiar al activității de realizare al bazei de
date (colectarea, sortarea și gruparea pe criterii a datelor într -o bază de date), și nu de la actul
propriu -zis de creare al datelor, informațiilor respective cuprinse în baza de date, acesta din urmă
fiind circumscris dreptului de autor. Astfel, dacă un operator consimte să investească timp și
resurse proprii (atât umane, cât și financiare) pentru obținerea, verificarea sau prezentarea
conținutului unei baze de date, originalitatea lucrării finale constând în modul de realizare
(criteriile folosite) și prezentare a unei baze de date, mai ales în condițiile în care realizarea
acelei baze de date este necesară derulării propriei activități și este adusă, chiar la cunoștința
clienților (acces public restricționat), respectiv la cunoștința publicului general, se justifică ca
demersul său tehnic în crearea, verificarea sau prezentarea unei baze de date să fie protejat,
Cercetări privind securitatea datelor în sistemele informatice
117
asemenea unui drept de a utor asupra unei opere individuale, de prelucrările/extragerile parțiale
și/sau totale realizate fără acordul său și folosite în interes propriu de alți operatori.
Având o bază legislativă solidă în privința protecției juridice a invențiilor, mărcilor și
drepturilor de autor (Directiva 89/ /104/CEE din 21 decembrie 1988, de apropiere a legislațiilor
statelor membre privind mărcile, publicată în Jurnalul Oficial nr. L 40/11.02.1989; Directiva
Consiliului 89/104/CEE din 14 mai 1991, respectiv Directiva Consili ului 91/250/CEE din 14 mai
1991 privind protecția juridică a programelor pentru calculator, publicată în Jurnalul Oficial nr. L
122/17.05.1991; Directiva Consiliului 92/100/CEE din 19 noiembrie 1992, privind dreptul de
închiriere și de împrumut și anumite drepturi conexe dreptului de autor în domeniul proprietății
intelectuale, publicată în Jurnalul Oficial nr. L 346/24.11.1992; Directiva Consiliului 93/83/CEE
din 27 septembrie 1993, privind armonizarea anumitor dispoziții referitoare la dreptul de autor și
drepturile conexe aplicabile difuzării de programe prin satelit și retransmisiei prin cablu,
publicată în Jurnalul Oficial nr. L 248/06.10.1993; respectiv Directiva Consiliului 93/98/CEE din
29 octombrie 1993, privind armonizarea duratei de protecție a dr eptului de autor și a anumitor
drepturi conexe, publicată în Jurnalul Oficial nr. L 290/24.11.1993) în anul 1993 este adoptată
Directiva Parlamentului European și a Consiliului 96/9/CE din 11 martie 1996, privind protecția
juridică a bazelor de date, publi cată în Jurnalul Oficial nr. L 077/27.03.1996, fiind actul normativ
care definește și garantează dreptul sui -generis al autorilor de baze de date, unificând și
armonizând legislațiile statelor membre care până la momentul respectiv fie nu recunoșteau acest
drept distinct ca și specie a dreptului de autor, plasându -se în sfera dreptului concurenței, fie
asimilau protecția bazelor de date drepturilor de autor.
Directiva 96/9/CCE a avut ca dată limită de implementare 01.01.1998, iar legislația
română, deși Rom âniei nu îi incumba obligația transpunerii/ legislației comunitare la acel
moment, a preluat definițiile și spiritul normei comunitare prin adoptarea Legii nr.8/1996 privind
dreptul de autor și drepturile conexe, deși până în anul 2004 textul din Legea nr. 8/1996 nu
distingea dreptul sui -generis al autorilor de baze de date, protecția fiind asimilată dreptului de
autor în general. Prin Legea nr.285/2004 privind modificarea și completarea Legii nr.8/1996 a
fost introdus actualul Capitol VI intitulat Drepturil e sui-generis ale fabricanților bazelor de date .
Pe fondul dezvoltării societății informaționale, în vederea actualizării reglementărilor
naționale privind drepturile de autor a fost adoptată și Directiva 2001/29/CE din 22 mai 2001
privind armonizarea anum itor aspecte ale dreptului de autor și drepturilor conexe în contextul
societății informaționale, prin care protecția juridică a drepturilor de autor, drepturilor conexe și
drepturilor sui -generis trebuie extinsă și la operele generat sau distribuite în fo rmat digital.
IV.2.1. Drepturile și obligațiile autorilor de baze de date vs. drepturile și
obligațiile utilizatorilor de baze de date
Din perspectivă tehnică și juridică, prelucrarea datelor cu caracter personal reprezintă
orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin
mijloace automate sau neautomate (atât operațiuni cu baze de date, cât și operațiuni realizate în
Cercetări privind securitatea datelor în sistemele informatice
118
formă scriptică prin folosirea unor register/agende de lucru), cum ar fi colectarea, î nregistrarea,
organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea
către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea,
ștergerea sau distrugerea lor.
Având în ved ere sfera mare de operațiuni circumscrise noțiunii de prelucrare a datelor,
legiuitorul a reglementat (art.5 Legea nr.677/2001, art.6 Directiva 95/46/CE) condiții și principii
în care operatorii (persoane fizice sau juridice) pot prelucra datele cu charact er personal, și
anume : principiul bunei -credințe și al legalității, condiția colectării în scopuri determinate,
explicite și legitime care să fie prezentate titularului datelor, folosirea datelor actuale/actualizate
în raprot cu scopul colectării/prelucră rii și condiția identificării persoanelor vizate strict pe durata
necesară realizării scopurilor în care datele sunt colectate și în care vor fi ulterior prelucrate.
Din perspectiva acestor condiții legale, orice prelucrare de date cu character personal
presupune consimțământul expres, neechivoc și conform al persoanei vizate prin aducerea la
cunoștință a scopului prelucrării de către operator(art.5 Legea nr.677/2001). În acord cu aceată
condiție de legitmitate a prelucrării datelor, persoanei vizate trebui e să îi fie aduse la cunoștință
direct de către operator, anterior obținerii consimțământului, o serie de informații precum: a)
identitatea operatorului și a reprezentantului acestuia, dacă este cazul; b) scopul în care se face
prelucrarea datelor; c) info rmații suplimentare, precum: destinatarii sau categoriile de destinatari
ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le
furniza; existenta drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a
dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi
exercitate; d) orice alte informații a căror furnizare este impusa prin dispoziție a autorității de
supraveghere, ținând seama de specificul prelucrării (art.12 Legea nr.677/2001, respectiv art.10
și art.11 Directiva 95/46/CE ).
Dreptul la informare al persoanei vizate trebuie asigurat și în cazul în care datele nu sunt
obținute direct de la persoana vizată, situație în care aceleași informații anterior menționate
trebuie sa fie furnizate persoanei vizate de către operator obligatoriu fie în momentul colectării
datelor,fie cel mai târziu până în momentul primei dezvaluiri, dacă se intenționează dezvaluirea
acestora către terți, cu excepția cazu lui în care persoana vizata poseda deja informațiile
respective.
În scopul asigurării dreptului la informare, pe anumite rețele online se solicită
utilizatorului care se identifică/autentifică în baza de date prin introducerea anumitor date cu
character pe rsonal un consimțământ expres asupra prelucării datelor de către furnizorul respectiv
de servicii de comunicații electronice în acord cu scopul declarat al activității desfășurate prin
intermediul rețelei respective. Acest acord se realizează prin bifarea într-un câmp special realizat
pe site privind confirmarea consimțământului persoanei vizate, sau prin folosirea anumitor
programe prin care să se asigure faptul că datele cu character personal nu sunt introduse/preluate
dintr -un system automat/electronic, acești pași fiind obligatoriu a fi parcurși anterior
autentificării în rețele online. Ulterior creării contului de utrilizator asociat datelor cu character
personal al unei persoane vizate, accesare rețelei se face prin folosirea unui user și a unei parole ,
Cercetări privind securitatea datelor în sistemele informatice
119
acestea devenind în raport cu rețeaua accesată de utilizator, date specific cu character personal
asociate unui singur utilizator pentru a putea fi identificat raprotat la datele personale asociate
contului. Aceste operațiuni tehnice sunt folosite și ca sisteme de securitate a accesării bazelor de
date de către utilizatorii rețelei online, unele rețele restricționând posiblitatea accesării
concomitente a unui cont online de pe două terminale diferite, prin folsoirea IP -urilor
calculatorelor de pe care se realizează conexiunea.
Orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit
pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate
de acesta, drept care asigură astfel că da tele folosite de operatorul în cauză sunt actuale și
conforme scopului declarat al prelucrării (dreptul de acces reglementat de art.13 Legea
nr.677/2001 ).
Fiind vorba de date personale ale utilizatorului, un alt drept conferit persoanei vizate
este dreptul de intervenție asupra datelor proprii, drept exercitat la cererea persoanei vizate și
asigurat de către operator în mod gratuit (art.14 Legea nr.677/2001 și art.12 Directiva 95/46/CE).
Astfel, de la data solicitării scrise a persoanei vizate de a benefici a de dreptul de intervenție
asupra datelor, operatorii trebuie să asigure: 1) rectificarea, actualizarea, blocarea sau ștergerea
datelor a căror prelucrare este considerată și notificată de către persoana vizată că nu este
conformă prevederilro legale, în special a datelor incomplete sau inexacte; 2) transformarea în
date anonime a datelor a căror prelucrare nu este conformă legislației, conform notificării
persoanei vizate; 3) notificarea către terții cărora le -au fost dezvăluite datele persoanei în orica re
din cele două modalități anterior preciazte, dacă aceasta notificare nu se dovedește imposibilă
sau nu presupune un efort disproportionat față de interesul legitim care ar putea fi lezat în lipsa
ei.
În scopul asigurării și garantării acestor drepturi, furnizorii serviciilor de comunicații
electronice și administratorii rețelelor online trebuie să aducă la cunoștința utilizatorilor și să
mențină permanent pe site notificări privind condițiile de exercitare a drepturilor prin care se
asigură protecția da telor cu caracter personal a utilizatorilor.
Deși la momentul realizării consimțământului privind folosirea datelor cu character
personal de către un operator acesta a fost autorizat să folosească datele persaonei vizate în acord
cu scopul activităților de calrate în vederea prelucrării, legislația confer ex nunc dreptul persaonei
vizate de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa
particulară, ca datele care o vizează să facă obiectul unei prelucrări ulterioare not ificării
opoziției, respectiv dreptul de a se opune în mod gratuit și fără nici o justificare, ca datele care o
vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terț, sau
să fie dezvăluite unor terți într -un asemene a scop (art.15 Legea nr.677/2001 și art.14 Directiva
95/46/CE).
Cercetări privind securitatea datelor în sistemele informatice
120
IV.3. Jurisprudență europeană în domeniul protecției bazelor de date
Conform art.3 din Directiva 96/9/CCE, bazele de date care, prin alegerea sau dispunerea
elementelor ca și originalitat e creativă, constituie o creație intelectuală proprie a autorului sunt
protejate ca atare de dreptul de autor, fără ca acest drept să se extindă și asupra conținutului
informațiilor din acea bază de date. Mergând pe același raționament, art.4 din Directivă stabilește
calitatea de autor al unei baze de date, fie pentru persoane fizice, fie pentru persoane juridice,
prin raportare la activitatea de creare a bazei de date propriu -zise.
Fiind protejat prin dreptul sui -generis pentru o perioadă de 15 ani de la data de 1 ianuarie
a anului care urmează finalizării bazei de date, fără a fi necesară constatarea acestei protecții de
către o autoritate anume, producătorul bazei de date are dreptul de a interzice terților extragerea
și reutilizarea ansamblului sau ale unei părți substanțiale, evaluată calitativ sau cantitativ, a
conținutului acesteia, atunci când obținerea, verificarea sau prezentarea acestui conținut atestă o
investiție substanțială din punct de vedere calitativ sau cantitativ (art.7 alin.1 Directiva
96/9/CCE), iar dacă constată că un terț încalcă interdicția și folosește baza sa de date reprezintă
temeiul pentru a se adresa instanței judecătorești în vederea obligării de către aceasta a
respectării dreptului său sui -generis și obligarea la eventuale da une-interese dovedite, conform
principiului răspunderii juridice patrimoniale delictuale.
Dreptul sui -generis al autorului bazei de date se naște la data finalizării bazei de date, în
timp ce asigurarea protecției acoperă atât perioada de 15 ani calculată conform art.10 alin.1
Directivă, cât și perioada de la data finalizării efective a bazei de date și sfârșitul anului respectiv
Dacă textul de lege la prima citire pare clar în privința limitelor constatării dreptului sui –
generis asupra bazei de date, aplic area protecției autorilor de baze de data a generat soluții ale
instanțelor diferite până în anul 2004, când s -a uniformizat practica judiciară ca urmare a unor
sentințe din perioada noiembrie 2004 – ianuarie 2005 ale Curții Europene de Justiție (în spețel e
British Horseracing Board (“BHB”) v. William Hill (“WH”) respectiv Fixtures Marketing Ltd
v. Oy Veikkaus AB (C-46/02); Fixtures Marketing Ltd v. Svenska Spel AB (C-338/02); Fixtures
Marketing Ltd v. Organismos Prognostikon Agonon Podosfairou (C-444/02) ), prin care s -a
stabilit ca și principiu unitar de aplicare a prevederilor Directivei 96/9/CCE faptul că protecția
prin dreptul sui -generis al autorului unei baze de date se referă la obținerea, verificarea și
prezentarea conținutului bazei de date, resp ectiv adunarea și ordonarea după anumite criterii
proprii a datelor în baza respectivă, activitatea ce diferă și nu se confundă cu crearea sau
generarea de date, inclusiv verificarea datelor înaintea introducerii în baza de date.
În prima speță menționată, British Horseracing Board (“BHB”) v. William Hill (“WH”),
BHB realizase o bază de date privind cursele de cai, bază de date în care se regăseau cursele
desfășurate, numele cailor, numele proprietarilor, antrenorilor și ale jocheilor, grupate ca liste de
prindere , pentru ca o firmă concurentă WH să preia, să rearanjeze baza de date și să difuzeze pe
site-ul propriu de pariuri aceste liste, preluarea fiind considerată de către BHB încălcarea a
drepturilor sale asupra bazei de date create de aceasta. În cel d e-al doilea caz Fixtures Marketing
Ltd este compania care acorda, în numele organizatorilor meciurilor, licență de preluare în afara
Cercetări privind securitatea datelor în sistemele informatice
121
Marii Britanii a listelor meciurilor din Premier League, iar înainte de fiecare campionat realiza o
listă cu echipele parti cipante, în ordinea cronologică a meciurilor, și rezultatele obținute, pentru
ca trei operatori de pariuri sportive din Suedia, Grecia și Finlanda să preia și să folosească aceste
liste, ca și baze de date ( British Horseracing Board, 2005 ).
De asemenea, conform art.7 alin.1 din Directivă, investiția substanțială pentru obținerea,
verificarea și prezentarea conținutului bazei de date trebuie să fie independentă față de cea pentru
generarea datelor, și consistentă proporțional la volumul bazei de date.
Astfel, protecția juridică se acordă bazei de date însăși, și nu datelor conținute în aceasta,
obținute prin efortul de realiza baza de date cu date pre-existente (efort primordial dirijat spre
baza de date, nu spre datele în sine, care pot fi protejate indiv idual prin alte instrumente legale).
Totodată , Curtea de Justiție Europeană, în vederea aplicării unitare a textului Directivei,
a definit “parte substanțială, evaluată calitativ, din conținutul bazei de date” – prin aplicarea
criteriului : investiția î n resurse umane, tehnice sau financiare în vederea obținerii, verificării sau
prezentării acelei părți a bazei de date care este subiect al extragerii și/sau reutilizării nu se referă
la valoarea intrinsecă a conținutului extras și/sau reutilizat, în timp ce pentru aprecierea
drept “parte substanțială, evaluată cantitativ, din conținutul bazei de date” – criteriul care
diferențiază protecția bazei de date de alte acțiuni de prelucrare este volumul de date extrase
și/sau reutilizate, raportat la volumul total de date din baza de date, prin stabilirea unei relații
direct proporționale (Popescu, 2007).
IV.4. Practica instanțelor naționale privind protecția bazelor de date și a autorilor
lor
Analizând practica instanțelor române în materiei de protecție a d repturilor sui -generis a
autorilor de baze de date, constatăm că înainte de anul 2004 nu au existat acțiuni în instanță prin
care să fie invocate încălcări ale drepturilor sui -generis de către producătorii de baze de date care
le folosesc în activitatea pr oprie, fiind de notorietate a speță ce a fost pe rolul Tribunalului
București în anul 2007, înregistrată ca având obiect încălcare drept de autor, prin acțiunea
introductivă de instanță reclamantul arătând că este inițiatorul și administratorului site -ului de
Internet ghj.ro, care are drept obiect publicarea de creații din domeniul fotografiei artistice, i -a
fost încălcat dreptul de autor de către pârâtă, care administrând la rândul ei un site, a extras și
reutilizat, fără autorizația reclamantului, una din fotografiile publicate pe ghj.ro, în cadrul unui
articol despre localitatea C. fiind întemeiată pe dispozițiile art.1221 și art.139 din Legea
nr.8/1997, prin acțiune s -au solicitat și daune în cuantum de 2000 lei, reclamantul arătând că
acestea urmăresc a coperirea prejudiciului moral ce i -a fost cauzat prin fapta ilicită a pârâtei.
Tribunalul București a respins acțiunea ca neîntemeiată, reținându -se în motivare, pornindu -se
de la practica Curții de Justiție Europeană, prin aplicarea criteriilor de apreci ere în sensul art.7
alin.1 Directiva 96/9/CCE faptul că partea extrasă din baza de date nu are caracter substanțial,
nici din punct de vedere cantitativ, nici din punct de vedere calitativ (era vorba de folosirea
individuală a unei poze, prin extragere din tr-o bază de date ce conținea aproximativ 2000 de
Cercetări privind securitatea datelor în sistemele informatice
122
fotografii, rezultând astfel un procent de 1/2000, apreciat drept nesemnificativ pentru a se invoca
în încălcare a dreptului sui -generis. De asemenea, instanța de judecată a reținut că extragerea
fiind unic ă, nu se poate încadra nici în prevederile art. 1222 alin. 5 din Legea nr.8/1996, respectiv
extragere și reutilizare repetată și sistematică de părți nesubstanțiale.
Apreciem soluția Tribunalului București ca fiind în acord cu textul Legii nr.8/1996
privi nd protecția drepturilor sui -generis ale autorilor bazelor de date (nu s -a negat calitatea
reclamantului din speță ca și autor al bazei de date realizate de acesta, argumentul instanței
raportându -se la modul de protecție al drepturilor sui -generis în priv ința reutilizării bazei sale de
date de către terți), și dea asemenea, ca fiind în acord cu practica instanțelor Curții Europene, la
speța căreia s -a și făcut trimitere în motivarea soluției date.
5.5. Concluzii
Trecerea de la securitatea și integrita tea sistemului informatic propriu, individual la
securizarea spațiului cibernetic s -a făcut pe fondul globalizării actuale, care odată cu avantajele și
beneficiile pozitive aduse individului și națiunilor, a ridicat nu de puține ori probleme și motive
de îngrijorare. De aproximativ 20 de ani, infrastructurile de comunicații s -au extins de la nivelul
intern al organizației (Intranet) către conectarea globală la nivelul Internet -ului. În acest context
al interconexiunilor și globalizării, noțiunea de securita te informatică poate fi definită ca fiind un
complex de măsuri procedurale, fizice, logice și juridice destinate prevenirii, detectării și
corectării diferitelor categorii de “accidente”, fie că ele provin din cauze naturale, fie că apar ca
urmare a unor a cte premeditate de sabotaj (Popescu, Popescu, 2000).
Securitatea informației este, în prezent, un concept larg care se referă la asigurarea
integrității, confidențialității și disponibilității informației (Popa, 2007). Deși dezvoltarea
tehnologiei informa ției a fost acompaniată de soluții de securitate și aplicații care includ metode
tehnice de protecție performante, totuși, asigurarea securității informațiilor nu se poate realiza
exclusiv prin măsuri tehnice, fiind în principal o problemă umană (Mihai, 20 12).
Securitatea informației este de asemenea o cerință fundamentală a societății moderne; atât
protejarea proprietății intelectuale pentru conținutul multimedia, cât și securitatea rețelelor de
calculatoare, sunt în prezent parte integrată a domeniului te hnologiei informației.
Și dacă legislația la nivel european și național incriminează faptele de accesare sau
interceptare neautorizată a unei baze de date și/sau a unui sistem informatic, precum și
falsificarea informațiilor transmise sau utilizarea cland estină a anumitor servicii destinate unei
categorii specifice de utilizatori ai rețelelor, din punct de vedere al protecției juridice a bazelor de
date și a autorilor lor constatăm că problema protecției bazelor de date este dezbătută de practica
și doctri na europeană (există controverse privind gradul de protecție juridică a bazei de date și
elementele de protejat dintr -o bază de date), legislația din România privind drepturile autorilor
unei baze de date la protecție juridică reglementează dreptul sui -generis al fabricanților de baze
de date (art.1221-art.1224 din Legea nr.8/1996), drept care protejează atât bazele de date
accesibile prin mijloace electronice, cât și prin alte modalități, menționate la modul generic. În
Cercetări privind securitatea datelor în sistemele informatice
123
litera legislației naționale (art.12 21 alin.3 din Legea nr.8/1996), protecția juridică nu acoperă
programele de calculator utilizate la fabricarea sau funcționarea bazelor de date accesibile prin
mijloace electronice.
Tehnic, internetul își are originile în anii ’60, importanța sa economică și politică devine
vizibilă la începutul anilor 1990 (Uerpmann -Wittzack, 2010, p.1245), pentru ca rațiunea de
globalizare a internetului și dezvoltarea sa ca fenomen social, mai ales prin rețelele de socializare
și bazele de date, să impună și necesitatea reglementării sale juridice, din perspectiva drepturilor
utilizatorilor.
Deși în doctrină Dan Cimpoeru (2013, p.11 -18) neagă includerea dreptului internetului în
ramura dreptului internațional, definindu -l în principal drept totalitatea normelor juridice c are
reglementează relațiile sociale care se stabilesc prin intermediul internetului, cuprinzând instituții
și norme de drept specifice mai multor ramuri de drept (actul juridic în formă electronică,
semnătura electronică, comerțul electronic, licitații ele ctronice, infracțiuni electronice, etc.), nu
putem nega existența spațiului virtual (cyberspațiu) care depășeșete granițele statelor și în care
utilizatorii internetului interacționează, acțiunile lor virtuale interferând cu viața lor reală,
privată, astfe l încât se impune reglementarea unei jurisdicții statale asupra ciberspațiului din
perspectiva cetățeniei sau a locului de acces al utilizatorului de internet.
Astfel, din perspectiva spațiului virtual care se extinde tot mai mult și spre care indivizii
își direcționează majoritatea activităților, fie din sfera profesională, fie din viața privată,
considerăm alături de profesorul Robert Uerpmann -Wittzack că dreptul internetului se integrează
în sistemul de drept internațional public, fapt pentru care cyber -spațiul devine cel de -al cincilea
element în cadrul noțiunii de teritoriu statal , alături de solul, subsolul, apele teritoriale și spațiul
aerian al unui stat. Din această perspectivă statele își exercită suveranitatea și asupra cyber –
spațiului, fapt pentr u care ceea ce tehnic a fost introdus sub forma codului de țară în definirea
unui domeniu (spre exemplu “.ro” cod aferent României), din perspectivă juridică confirmă
apartenența la ciber -teritoriul României.
Prin mijloace penale, legislația națională sanc ționează orice punere la dispoziția
publicului, inclusiv prin internet ori prin alte rețele de calculatoare, fără drept, a produselor
purtătoare de drepturi sui -generis ale fabricanților de baze de date sau a copiilor acestora,
indiferent de suport, astfel încât publicul să le poată accesa în orice loc sau în orice moment ales
în mod individual.
Constatăm că începând din anul 2004, atât interpretarea instanțelor europene, cât și a
instanțelor naționale (deși numărul dosarelor având ca obiect protecția drept urilor sui -generis ale
autorilor bazelor de date este relativ redus) s -a uniformizat raportat la cuprinsul conceptului
investiție substanțială în obținerea, verificarea sau prezentarea conținutului bazei de date
(noțiune regăsită și în textul art.1221 alin.4 din Legea nr.8/1996), interpretarea instanțelor
folosind criterii concrete la cazul dedus judecății privind interpretarea noțiunii parte
substanțială, cantitativ (volumul de date extrase din baza de date) sau calitativ (mărimea
investiției efectuate de deținătorul bazei de date).
Cercetări privind securitatea datelor în sistemele informatice
124
Inexistența practic a dreptului societății informaționale în România, în condițiile în care
tehnologia se dezvoltă cu o rapiditate extrem de mare, care lasă chiar țările avansate din punct de
vedere a legislației specifice în u rmă, face opțiunea celei mai adecvate strategii legislative
deosebit de delicată, dar în același timp deosebit de importantă .
Noi considerăm ca opțiunea poate fi făcută din următoarele variante:
1. legiferare cu caracter de sinteză și orientare (cum ar fi un cod al dezvoltării
și utilizării tehnologiilor informației, fără să i se dea denumirea de cod informatic, pentru
a elimina confuzia cu conceptul tehnic), care ar putea să ajute la atingerea stadiului
corespunzător conceptului de societate informațională.
2. elaborarea unui număr redus de acte normative cu caracter integrator (dar
care să reglementeze domenii cu impact major în societatea informațională: e -business
sau criminalitatea informatică)
3. elaborarea unui număr mare de acte normative, fiecare reglementân d
segmente determinate ale societății informaționale (spre exemplu: comerțul electronic,
semnătura electronică, banii electronici, infracțiunile comise cu ajutorul calculatorului,
notarul electronic, arhivele electronice, fiscalitatea în Internet, protecți a software etc).
Criminalitatea informatică reprezintă un fenomen al societății actuale, fiind vehiculată
frecvent în mass -media și prin prisma eforturilor autorităților de a ține sub control acest
fenomen. Evoluția criminalității informatice este favoriza tă de o serie de factori intrinseci
tehnologiei informației și comunicațiilor, factori care concomitent potențează și dependența
societății de tehnologia IT : disponibilitatea și accesibilitatea facilă la echipamente – hardware și
software necesare conectă rii la Internet, disponibilitatea informațiilor în mediul virtual și accesul
facil la acestea, independența autorilor unor fapte circumscrise criminalității informatice de
locația și prezența la locul infracțiunii prin intermediul Internetului, viteza tran sferului de date,
posibilitatea comunicațiilor sub anonimat (gândită drept avantaj sau serviciu pentru utilizatori,
devine un impediment pentru organele de cercetare în identificarea infractorilor și colectarea
probelor).
Acești factori intrinseci ai tehn ologiei IT, și avantaje totodată în săvârșirea faptelor,
imprimă infracțiunilor din domeniul informatic unele caracteristici : caracter transfrontalier,
anonimat, rapiditate, credibilitate și simplicitate, ca și mod de operare odată deținute cunoștințele
tehnice necesare.
Având în vedere strategia adoptată la nivel comunitar pentru combaterea și sancționarea
atacurilor împotriva sistemelor informatice prin Directiva 2013/40/UE[6], și România urmează
a-și modifica cadrul normativ privind limitele sancțiunilo r pentru săvârșirea infracțiunilor
informatice, prin creșterea limitei minime la nivelul impus de art.9 din Directivă, termenul de
punere în aplicare a actului normativ comunitar fiind 04 septembrie 2015.
Cercetări privind securitatea datelor în sistemele informatice
125
CAPITOLUL V.
CERCETARE CALITATIVĂ PRIVIND ASIGU RAREA SECURITĂȚII
DATELOR CU CARACTER PERSONALE GESTIONATE ÎNTR -UN
SISTEM INFORMATIC
V.1. Stadiul actual privind tehnici de asigurare a securității datelor cu caracter
personal în raport cu cerințele Regulamentului UE nr. 2016/679 (GDPR)
V.2. Metodolo gia cercetării calitative
În realizarea cercetării propuse, prin metode calitative de cercetare a pieței, s -a pornit de
la ipoteza conform căreia actualul cadru legislativ național privind promovarea produsele
alimentare autohtone, cadru în care au fost tr anspuse prevederile minimale ale directivelor
europene privind publicitatea la produse alimentare și adoptate instrumentele administrative
naționale necesare pentru aplicarea directă a regulamentelor europene privind etichetarea
produselor alimentare, a de venit, pe de o parte, prea restrictiv pentru producătorii români de
produse alimentare, împiedicându -i să-și promoveze produsele proprii pe piața internă, pe de altă
parte, același cadru este incomplet, prin lipsa unor norme care să susțină prioritar vizib ilitatea
produselor alimentare autohtone pe piața internă, în condițiile în care produsele alimentare din
import au avantajul prețului mai mic la distribuitorii de pe piața internă, iar consumatorul
autohton în opțiunea sa pentru un produs alimentar porneș te de la premisa că produsele din
import sunt superioare calitativ celor autohtone. Pornind de la ipoteza de lucru postulată,
obiectivele cercetării sunt de a se determina strategiile publicitare și politicile de promovare ale
producătorilor autohtoni de produse alimentare prin care aceștia înțeleg să -și promoveze
produsele pentru a câștiga încrederea consumatorului autohton în produsele alimentare
românești, inclusiv sub aspect calitativ, și respectiv în ce măsură strategiile adoptate corespund
cadrului n ormativ privind promovarea produselor alimentare.
Înainte de a continua demersul privind derularea cercetării calitative întreprinse, trebuie
să menționăm faptul că actualul cadru legislativ național privind publicitatea pentru produsele
alimentare este r acordat prevederilor minimale impuse prin Directiva nr.2006/114/CE privind
publicitatea înșelătoare și comparativă prin adoptarea în anul 2008 a Legii nr.158 privind
publicitatea înșelătoare și publicitatea comparativă, modificată și republicată în Monitor ul
Oficial nr.454/24.07.2013, prin introducerea Autorității Naționale pentru Protecția
Consumatorilor, alături de Ministerul Finanțelor Publice și Consiliul Național al
Audiovizualului, ca autorități naționale cu competențe în soluționarea sesizărilor priv ind
încălcarea normelor legislative și săvârșirea faptelor de publicitate înșelătoare primite de la
consumatorii, persoane fizice, respectiv de la comercianții și asociațiile și organizațiile ce
justifică interes legitim în domeniu.
Cercetări privind securitatea datelor în sistemele informatice
126
Pentru atingerea obiect ivelor propuse a fost realizată o cercetare calitativă de marketing
în rândul unor producători autohtoni cu vechime pe piața produselor alimentare din domeniul
lactatelor și produselor din carne, respectiv din domeniul conservelor și sucurilor din fructe
(societăți comerciale cu sediul în România cu capital autohton, unele dezvoltate de la mici
afaceri familiale începute în perioada 1990 -1998, la grupurile economice dezvoltate în prezent,
respectiv filiale deschise în România a unor societăți multinaționale , sau societăți comerciale
românești la care a fost preluat pachetul majoritar de acțiuni de către investitori străini, dar își
mențin punctele de lucru și sediul în România, inclusiv pentru preluarea materiilor prime de
producție). Aria geografică de unde au fost selectați producătorii autohtoni este zona centrală și
de sud -est a Ardealului și Muntenia pentru operatorii economici de pe piața produselor lactate și
a produselor din carne, fiind zone cu dezvoltare în zootehnie, sector ce asigură produsele de bază
pentru produsele prelucrate, fie că operatorii economici au propriile ferme de animale, fie
recoltează materia primă din aceste zone, iar în cazul operatorilor din domeniul conservelor și
sucurilor din fructe este vorba de București și județul Vâlcea, locații amplasate în regiuni
pomicole, pentru asigurarea materiei prime. Așa cum am menționat, opțiunea pentru selecția
operatorilor economici a avut în vedere și faptul că aceștia sunt operatori cu experiență pe piața
internă, care au dezvoltat numeroase mărci, și -au diversificat produsele, se află în concurență pe
piață și folosesc ca și materii prime producția locală, autohtonă de lapte și carne, respectiv
exploatează propriile ferme și livezi, astfel încât produsele procesate păstrează atributul de
produs românesc, propunându -și ca obiective de dezvoltare accesarea și a piețelor externe, mai
ales pentru produsele tradiționale certificate și pentru cele cu certificarea denumirii originii
protejate, respectiv a indicațiilor geografice protejate și a produ selor ecologice recunoscute.
Pentru construirea eșantionului din care au fost ulterior selectați operatorii economici
care au participat la cercetarea noastră, au fost luate în vedere următoarele criterii : societățile
comerciale să aibă sediul în România , să aibă vechime pe piața produselor alimentare de cel
puțin 10 -15 ani, să folosească ca și materie primă produsele agrozootehnice din România, un
bonus reprezentându -l faptul că operatorii dețin ferme proprii, respectiv unități de desfacere
proprie și ch iar de alimentație publică în care folosesc exclusiv produsele lor, să aibă campanii
publicitare în ultimii cinci ani, inclusiv publicitate media pe posturile de televiziune, să aibă în
portofoliu mărci cunoscute de consumatorul autohton, să aibă în portof oliu și produse speciale
pentru copii, din punct de vedere nutritiv, respectiv mărci recunoscute.
Fiind un eșantion non -probalistic, operatorii economici au fost selectați luându -se în
considerare întrunirea cumulativă a criteriilor menționate mai sus, cu excepția criteriilor privind
existența în portofoliu a mărcilor/produselor speciale pentru copii, deoarece fiind produse
alimentare care satisfac nevoile fiziologice de foame și sete, aceste produse sunt, în general,
pretabile și consumului de către copii mai mari, cu vârsta peste 6 ani, fără a fi nevoie de
compoziții speciale peste această vârstă, și respectiv a criteriului privind deținerea de ferme
proprii, respectiv de unități de desfacere proprie și chiar de alimentație publică în care folosesc
exclus iv produsele lor.
Cercetări privind securitatea datelor în sistemele informatice
127
De asemenea, operatorii economici intervievați au fost selectați și în funcție de
disponibilitatea unor reprezentanți/angajați de a răspunde cercetării, respectiv la interviul
telefonic, deoarece o cercetare calitativă necesită ca subiec ții de interviu să fie buni cunoscători
ai problemei abordate, iar minieșantionul selectat să asigure caracteristicile specifice subiecților
intervievați (Zikmund, G.W. apud. Brătucu, G., Brătucu, T.O., 2006: 49), în speța de față a
operatorilor economici autohtoni din sectorul producției agroalimentare.
Dat fiind că cercetările calitative presupun obținerea de răspunsuri de la un număr redus
de respondenți, rezultatele fiind de factură calitativă : idei, percepții, valori asociate, motive
proprii, preferi nțe, sugestii (Chelcea, S. coord., 2004), cercetarea s -a realizat prin interviu
individual în profunzime, iar ca instrument de lucru s -a folosit interviul semi -structurat și semi –
directiv, având la bază un ghid de interviu ce conține subiectele ce trebuie abordate în cadrul
discuțiilor, respectiv a temelor principale pentru care apoi s -au stabilit în parte subiectele ce
trebuie abordate în cadrul discuțiilor (Brătucu, G., Brătucu, T.O., 2006: 49).
Astfel, ghidul de interviu folosit în cercetarea calitativ ă cuprinde un număr de 12
subiecte de discuție, structurate pe trei direcții principale (teme): modul de percepție de către
consumatorii români a produselor alimentare autohtone, din perspectiva producătorilor și
poziționarea producătorului pe piața intern ă (1); strategiile publicitare și de promovare proprii și
raportarea propriilor strategii la piața de publicitate autohtonă (2) și asigurarea de către cadrul
legislativ actual a creșterii vizibilității produselor agroalimentare autohtone și a contextului
pentru dezvoltarea strategiilor publicitare favorabile operatorilor economici și adaptate
specificului produselor alimentare autohtone (facem precizarea că la momentul administrării
interviului semi -structurat nu era promulgată actuala Lege nr.150/2016 pent ru modificarea și
completarea Legii nr.321/2009 privind comercializarea produselor alimentare, deși toți
producătorii autohtoni aveau cunoștință de inițiativa legislativă și de stadiul adoptării actului
normativ, promulgat și publicat în Monitorul Oficial în data de 15 iulie 2016).
Culegerea informațiilor s -a realizat în perioada martie -aprilie 2016, fie prin stabilirea de
întâlniri cu reprezentanți ai societăților selectate, fie prin interviu telefonic, având în vedere
locațiile diferite, discuțiile fiind moderate personal și consemnate răspunsurile verbale ale
participanților la interviu. Informațiile astfel obținute, au fot prelucrate individual, prin analiza
răspunsurilor primite de la fiecare societate, prin reprezentant, în parte, apoi au fost centrali zate
răspunsurile în funcție de teme și de convergența răspunsurilor cu obiectivul cercetării.
V.3. Prezentarea rezultatelor și propunerea unor măsuri de asigurare a securității
datelor cu caracter personal
V.4. Concluzii
Cercetări privind securitatea datelor în sistemele informatice
128
CONCLUZII GENERALE, CONTRIBUȚII PERSONALE ȘI LIMITE ALE
CERCETĂRII
“Nevoile de securitate diminuează libertatea,
dar fără securitate libertatea nu există”. D. Kahn
Concluziile generale
În dezvoltarea actuală a societății din secolul XXI, societatea cunoașterii, o problemă
importantă c are transpare din toate domeniile de activitate economică, socială, politică și militară
este reprezentată de necesitatea asigurării securității informaționale, fie că este vorba de rețele
private sau publice, rețele și sisteme informatice ale unei organiz ații sau folsite la nivel național,
regional și chiar global, fie că e vorba de componente hardware, software sau de colecții de date.
Dezvoltarea actuală în domenii precum comerț, transporturi și comunicații, sănătate și
sistem bancar necesită și impun at ât la nivel național, cât și global, asigurarea tranzacțiilor
electronice și accesul la date din sistemele informatice în condiții de securitate ridicată, deoarece
încrederea utilizatorilor cu privire la sistemul informatic și/sau la rețeaua de comunicații ,
indispensabile de altfel desfășurării activităților menționate, a devenit o unitate de măsură direct
proporțională cu gradul de securitate al sistemului informatic în cauză. Securitatea sistemelor
informatice reprezintă protecția valorilor informaționale (inclusiv a datelor cu caracter personal)
față de accesarea, modificarea sau distrugerea neautorizată, fie accidentală, fie intenționată ,
administrarea securității sistemului informatic fiind o activitate necesară și complexă pornind de
la identificarea r iscurilor și amenințărilor asupra sistemului coroborat cu factorii care interferează
cu sistemul informațional, la identificarea instrumentelor de protecție adecvate și întocmirea unei
strategii privind securitatea resurselor informaționale.
Ca într -o ecua ție (Fig.10) a căror necunoscute sunt vulnerabilitățile și riscurile la adresa
sistemelor informatice (caracterul de variabile necunoscute se datorează modului de operare al
agenților de amenințare), măsurile de securitate informațională încearcă să apere utilizatorii și
bunurilor acestora, incluzând informațiile deținute, datele cu caracter personal și nu în ultimul
rând propriul echipament, de acțiunile agenților de amenințare.
Cercetări privind securitatea datelor în sistemele informatice
129
Fig. 1 0. Ecuația amenințărilor informatice -riscuri -vulberabilități
Securitat ea sistem elor informatice vizează nu numai informația în sine colectată,
prelucrată și gestionată de către un sistem informatic, ci și componentele implicate în
manipularea informației, de la echipamentele informatice la resursa umană. Metodele și tehnicil e
de securitate pornesc de la obiectivele de securitate și trebuie armonizate de la nivelul aplicației
informatice, a bazei de date folosite și a programelor care rulează , până la nivelul tuturor
utilizatorilor și echipamentelor lor, a echipamentelor perif erice conectate la sistem , respectiv de
la nivel logic la cel fizic, de la nivelul informației și până la nivelul organizației (Fig. 11).
Fig. 11. Implementarea obiectivelor de securitate în planurile de securitate
Implementarea tehnicilor de securitate sunt reglementate prin intermediul standardelor
internaționale în domeniu ISO/IEC 15408 -1 (2 și 3):2009 și familia ISO 27000:2005 la
27003:2010 în funcție de care fiecare organizație la nivel de management stabilește politica și
Cercetări privind securitatea datelor în sistemele informatice
130
planul propriu de securitat e urmărind atingerea tuturor obiectivelor de securitate. Complexitatea
problemelor de securitate sunt atât de ordin tehnic, cât și de ordin subiectiv, deoarece în funcție
de instrumentele și tehnicile de asigurare a protecției se pot stabili diferite strat egii de securitate
ce vor fi implementate în mod pragmatic în funcție de contextul social, economic sau politico –
militar în care este folosit un sistem informatic și informațiile sale.
De asemenea, considerăm deosebit de importantă abordarea și implementa rea
standardului ISO 27018 orientările bazate pe alte standarde internaționale (cum ar fi standardele
UE) pentru protecția datelor din cloud.
Standardul ISO 27018 creează un sistem mai rațional pentru respectarea reglementărilor
stabilite de autoritățile d e protecție a datelor la nivel european și național, aducând un grad de
uniformitate industriei, îmbunătățind securitatea și conformitatea cu Întrucât standardul
încorporează intrarea mai multor autorități de reglementare regionale, adoptarea standardului va
contribui la demonstrarea respectării cerințelor fiecărei Autorități individuale de protecție a
datelor. Standardul ISO 27018 aduce un grad de uniformitate industriei și adaugă protecția
necesară pentru a îmbunătăți securitatea și conformitatea cu PII într-un mediu de informare din
ce în ce mai cloud.
În condițiile în care, așa cum am arătat anterior și în cadrul tezei, nu există
reglementare internă sau internațională și nici un standard care să se refere la Sistemul de
Management Integrat, luând în considerare situația faptică a organizațiilor care în ultimii ani au
optat și promovează adoptarea unui Sistem de Management Integrat, rezultă că necesitatea
dezvoltării sistemului integrat este impusă din interior, ci nu din mediul extern. Astfel, susține m
și noi implementarea unui Sistem de Management Integrat, abordare care apare ca o reacție de
creștere a securității organizației sub toate aspectele activității sale (tehnice, de calitate a
produselor/serviciilor, de sănătate și securitate în muncă, de m ediu, de protejare a informațiilor,
de interconectivitate), în contextul în care organizația trebuie să se dezvolte pe sine prin
colaborarea și interconectarea cu mediul exterior.
Securitatea unui sistem informatic urmărește definirea, conform standardelor și
practicilor în domeniul securității tehnologice, și implementarea politicii de securitate prin
măsuri simultane și coroborate de securitate fizică a componenetelor hardware cu cele de
securitate a componentelor software raportat la măsuri de securitate administrativă și a resursei
umane din organizație , luându -se în considerare și aspectul utilizării sistemului informatic într -o
rețea locală sau în mediul Internet (Fig. 12). Obiectivul de securitate este împiedicarea pătrunderii
intrușilor, indiferent de formă , în sistem, iar ca back-up, dacă din cauza vulnerabilității
exploatate pătrunderea neautorizată în sistem se produce atunci trebuie să intervină bariere de
stopaj tempora r sau de întârziere a atacului, astfel încât să fie asigurate inetgritatea,
confidențialitatea și disponibilitatea informațiilor.
Cercetări privind securitatea datelor în sistemele informatice
131
Fig. 12. Planurile de securitate și obiectivele de securitate aferente
Atacurile informatice sunt o constantă negativă în activit ățile economice, financiar –
bancare, politice și militare din ultimii 10 ani, atât la nivel național/regional cât și la nivel global,
diversificarea și complexitatea lor crescând exponențial din anii ’90 până în prezent. Analiza
principalelor tipuri de atacuri și a nivelelor de atac coroborată cu abordarea arborilor de ata c a
fost realizată din perspectiva conștientizării necesității perfecționării arborilor de atac folosiți ca
metode sistematice de caracterizare a securității sistemului informatic al unei organizații.
Și pentru că securitatea datelor și informațiilor în si stemele informatice depinde de
metodele de securizare a informațiilor, pentru implementarea serviciilor și mecanismelor de
securitate proprie , orice utilizator, mai ales organizațiile, trebuie să desfășoare activități de
gestiune a securității care cuprind controlul și distribuția informațiilor folosite de către
mecanismele de securitate pentru semnalarea potențialelor evenimente relevante pentru
securitatea sistemului [Mihai I. -C., 2012, p.147].
Contribuții personale
Tema propusă este de actualitate și va rămâne o constantă a preocupărilor concentrate
tehnice, economice și juridice de dezvoltare a societății informaționale , iar prin abordarea
interdisciplinară a securității informatice din perspectivă tehnică IT și din analiza cadrului
Cercetări privind securitatea datelor în sistemele informatice
132
legislativ s -a urmăr it sublinierea necesității abordării celor două laturi simultan în momentul în
care se dorește implementarea unui mecanism de securizare a unui sistem informatic, deoarece
soluția tehnică este rezultatul analizei efectuate cu instrumente juridice actuale a atacurilor
cibernetice asupra sistemlor informatice.
Astfel, unele lacune legislative se datorează configurării tehnice a unui sistem
informatic, deoarece, cel puțin la acest moment, în spațiul cibernetic nu există responsabilizare,
punctele de acces pub lic la un sistem informatic permițând accesul anonim la Internet, chiar și
atunci când deși sunt utilizate anumite forme de identificare și autentificare la un punct inițial de
acces, prin folosirea unor servicii tehnice de anonimizare și datorită anumitor protocoalede
comunicații în Internet este posibilă tehnic ascunderea urmelor privind accesulgazdei de la care
au fost inițiate anumite traficuri pe Internet.
Contribuțiile în planul cercetării fundamentale aduse prin tema propusă și analiza
efectuată pot fi sintetizate astfel:
Stabilirea conceptelor fundamentale date, informații și cunoștințe în contextul actual al
societății cunoașterii, etapă ulterioară de dezvoltare tehnică, economică și socială bazată
pe societatea informațională ;
Conturarea unei defin iții proprii cuprinzătoare a agenților de amenințare , ca autori
morali și/sau fizici ai atacurilor informatice, și ierarhizarea a șase categorii de agenți de
amenințare actuali având ca reper scopul în care sunt lansate atacurile: hackeri (scop de
distracț ie sau ca provocare intelectuală); vandali (scop de a produce pagube nu neapărat
cu impact economic pentru autor); atacatori în scop economic (scop obținere de
câștiguri financiare sau poziție de piață); infractori de profesie (scop obținere de
câștiguri f inanciare personale); spioni (scop politic și/sau militar) și teroriști (scop
politic și/sau militar asumat cu generarea unui climat colectiv de teamă sau pentru
discreditarea unui sistem guvernamental sau a unei autorități publice);
Dovedirea necesității unei abordări simultane interdisciplinare juridico -tehnice a
securității informațiilor și a securității sistemelor informatice deoarece în procesul de
investigare a atacurilor cibernetice sunt coroborate aspectele juridice, identificarea
tehnică a urmelor din sistem și atribuirea responsabilității în scopul determinării
identității sursei unui atac cibernetic .
Susținerea dezvoltării în sistemele de educație a cursurilor dedicate securității
informatice, chiar și la nivel preuniverstiar cum ar fi spre exempl u cursuri despre
riscurile de securitate a rețelelor deschise și soluții eficiente
Identificarea beneficiilor aduse de existența unei reglementări juridice naționale privind
securitatea cibernetică și susținerea continuării demersurilor legislative pentru adoptarea
și în România a unei legi privind securitatea cibernetică . Reforma legislativă în
domeniul securității informatice este necesară pe de o parte datorită declarării ca
neconstituționale a proiectul ui de lege privind securitatea cibernetică a Români ei votat
de Parlament sub nr.580/2014 de către Curtea Constituțională a României prin Decizia
nr.17/21.01.2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind
Cercetări privind securitatea datelor în sistemele informatice
133
securitatea cibernetică a României , pe de altă parte datorită intensifică rii atacurilor
informatice asupra sistemelor informatice din România care proliferează în lipsa unui
cadru normativ sancționator .
Necesitatea implementării la nivel organizațional a unui Sistem de Management Integrat
(SMI) Calitate –Mediu – Sănătate și S ecuritate Ocupațională – Securitatea Informațiilor
suprapunând unele proceduri și adăugând procesele specifice necesare sistemelor de
management de mediu și de sănătate și securitate ocupațională cu proceduri specifice de
securitate a informației, sistem d e management care va aduce un plus de valoare
organizației și produselor/serviciilor sale.
Limite ale cercetării
Cercetările teoretice și aplicative realizate pe parcursul eleborării tezei de doctorat au
evidențiat necesitatea continuării cercetărilor și dezvoltărilor uleterioare de alte măsuri de
securizare astfel încât capabilitățile IT ale unui sistem informatic să susțină cadrul normativ în
scopul creșterii gradului de securizare a rețelelor și sistemelor informatice. Din aceste
perspective cumulate, ș i susținând necesitatea abordării interdisciplinare , în opinia autorului au
un mare potențial de dezvoltare și inovare :
1. Abilitatea tehnică a sistemelor informatice de a identifica urmele lăsate de utilizatori
și echipamente atunci când Internetul este acc esat prin intermediul diferiților ISP
(Internet Service Provider ) și a diferitelor adrese IP, și în special în cazul rețelelor
private în care proprietarii de rețea nu doresc să coopereze
2. Efectuarea de investigații criminalistice live și prezervarea de evi dențe digitale de la
distanță prin intermediul Internetului, ceea ce ar permite pe de o parte o reacție în
timp real pentru limitarea efectelor unui atac și prezervarea unor potențiale probe
care sunt încă în memoria sistemului înante de a se genera alte o perațiuni în sistem,
inclusiv cele de autoprotecție;
3. Dezvoltarea cadrului de legiferarea în privința rețelelor, astfel încât normele legale
să stabilească condițiile în care sunt disponibile informații substanțiale referitoare la
o rețea
4. Dezvoltarea unor t ehnici de conservare și prelevare a probelor în cazul unui atac
cibernetic care să asigure totodată confidențialitatea informațiilor și rezultatelor în
scopul identificării autorilor
5. Necesitatea și oportunitatea perfecționării arborelui de atac, respectiv analiza
posibilității de prioritizare a ramurilor unui arbore de atac în funcție de impactul
atacului
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Cercetări privind securitatea datelor în sistemele informatice [621049] (ID: 621049)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.