Cod de bune practici [607615]

Cod de bune practici
pentru
Securitatea Sistemelor Informatic e și de
Comunicații

Bucureș ti 2012

Page 2 of 34

CUPRINS

I. Introducere

1.1. Scop ul și audiența codului de bune practici
1.2. Obiective

II. Dimensiunea spațiului cibernetic în cadrul Economiei Naționale

2.1. Definirea spațiului cibernetic
2.2. Securitatea sistemelor informați onale
2.3. Atributele securit ății informatic e
2.4. Importanța funcți ei Ofițerul ui de securitate în cadrul organizației
2.5. Infrastructuri critice la nivel național și organizați onal

III. Măsuri necesare pentru asigurarea securit ății informatic e

3.1. Securitatea fizică
3.2. Securitatea logică
3.3. Securitatea personalului
3.4. Asigurarea continuității afacerii

IV. Atacuri cibernetice și măsuri de prevenire

4.1. Tipuri de atacuri cibernetice și măsuri de prevenire
4.2. Dezvoltarea entit ăților de tip CERT

Anexa nr. 1. Termeni și definiții

Anexa nr. 2. Descriere tipuri de atac și reacții de securitate la îndemâna entit ăților economice care dețin
un sistem de securitate informatic ă funcți onal

Page 3 of 34

I. Introducere

1.1. Scopul și audiența codului de bune practici

Codul de bune practici emis de Asociația Natională pentru Securitatea Sistemelor Informatic e oferă
recomandări pentru organizați ile care doresc inițierea, implementarea sau menținerea unui sistem de securitate
informatic ă eficient .
Documentul este destinat să ofere o bază comună de standarde minimale în vederea organiz ării și
implementării unor practici de management de s ecuritate eficiente și creșterea nivelul ui de încredere în relațiile
dintre partenerii de afaceri.
Codul este întocmit î n corelare cu reglementările legale naționale și internaționale în domeniu.

1.2. Obiective

Obiectivele prezentului document circumscriu obiectivelor asociației:
a) Contribuirea l a dezvoltarea unei strategii naț ionale de securitate a sistemelor informatic e;
b) Promovarea celor mai înalte standarde etice și profesionale în domeniul securităț ii sistemel or
informatic e;
c) Promovarea bunelor pra ctici pentru a asigura confidenț ialitatea, integritatea și disponibilitatea resurselo r
informatic e ale unei organizați i;
d) Consolidarea culturii securit ății cibernetice la nivel na țional și extinderea cunoștințelor și aptitudinilor î n
domeniul securit ății informați ei;
e) Facilitarea interac țiunii și a educ ării membrilor pentru a r ăspunde într-un mod eficient și coordonat la
amenin țările cibernetice ;
f) Adoptarea celor mai bune de m ăsuri de protec ție a datelor, a sistemelor de comunica ție și de procesare
a acestora ;
g) Cunoașterea riscurilor și amenințărilor la care sunt supuse activitățile desfășurate în spațiul cibernetic și
oferirea de soluții de prevenire și contracarare a acestora .

II. Dimensiunea spațiului cibernetic în cadrul Economiei Naționale

2.1. Definirea spațiului cibernetic

Spațiu l cibernetic, din perspectiva economiei naționale, reprezintă rețeaua integrală și integrată de infrastructuri
interdependente de tehnologie a informați ei, rețelele de telecomunicații și sisteme de prelucrare de date pe
calculator .
Din punct de vedere social și economic , spațiul cibernetic este un mediu informați onal dinamic bazat pe
interoperabilitate și servicii specifice societății informați onale unde organizațiile și persoanele fizice pot

Page 4 of 34

interacționa, schimba idei, informați i, să ofere asistență socială, derula afaceri sau activități artistice , politice și
de mass -media , derula activități economice și financiare , folosind sisteme electronice de plată și tranzacționare .
Din punct de vedere fizic , spațiul cibernetic înglobează totalitatea serverelor, computerelor, echipamentelor de
comunicații, de interconectare, centrale telefonice digitale, magistrale de fibră optică, rețele de cabluri de orice
tip, echipamente de tra nsmisie wireless, antene, dispozitive de stocare, prelucrare, transmitere, codare,
protejare a datelor, precum și spațiile dedicate în care echipamentele sunt utilizate.
Spațiul cibernetic se caracterizează prin lipsa frontierelor, dinamism și anonimat, generând deopotrivă, atât
oportunități de dezvoltare a societății informați onale bazate pe cunoaștere care insa prezinta și riscuri la adresa
funcți onării acesteia.
Pe măsura creșterii gradului de informați zare al societății românești, aceasta este mai vulnerabilă la atacuri , iar
asigurarea securității spațiului cibernetic trebuie să constituie o preocupare major ă a tuturor organizați ilor (sau
organismelor) implica te.

2.2. Securitatea sistemelor informați onale

Securitatea sistemului informați onal trebuie să fie o responsabilitate asumată de c ătre structurile de conducere
ale oricărei organizați i din mediul privat sau public . Structurile de conducere trebuie s ă asigure o direcție clară și
gestionat ă corespunzator pentru indeplinirea obiectivelor stabilite prin politica de securitate , având în vedere
următoarele elemente:
a) revizuirea și aprobarea politicii de securitate și stabilirea de responsabilități legate de aceasta;
b) monitorizarea schimbări lor semnificative de expunere a sistemului informați onal la amenințări majore;
c) revizuirea și monitorizarea incidentelor de securitate a sistemului informați onal;
d) aprobarea măsurilor de spori re a securități i inform ațiilor.
În vederea stabilirii și menținerii politicilor de securit ate este esențială implicarea speciali știlor din domeniu în
vederea adoptării deciziilor privind securitatea sistemului informați onal.
Accesul la echipamentele de prelucrare informațiilor organizați ei de către terțe părți trebuie să se facă sub
supraveghere . Pentru accesul terților, o evaluare a riscului ar trebui să fie efectuată pentru a stabili implicațiile
de securitate și cerințele de control. Măsuril e de protecție trebuie să fie puse de acord și incluse într -un contract
cu terțele părți. De asemenea în acordurile /contractele de externalizare ar trebui să se abordeze riscurile ,
controalele și procedurile de securitate pentru sistemel e informatic e, rețelele și / sau echipamentele de birou .
Toate activele sistemului informați onal ar trebui să fie contabilizate și să aibă un responsabil desemnat .
Responsabilitatea pentru active ajută să se asigure că protecția corespunzătoare este menținută. Responsabilul
unui element din sistemul informați onal trebuie să poată fi identificat pentru toate activele majore și să aibă
responsabilit ăți pentru menținerea și implementarea de controale adecvate . Responsabilit ățile pentru control pot
fi delegate .
Informați ile trebuie să fie clasificate pentru a indica prioritățile și gradul de protecție necesare .
Informați ile au diferite grade de sensibilitate și de importanță , unele dintre acestea necesit ând un nivel
suplimentar de protecție sau o manipulare specială . Un sistem de clasificare a informaț iilor ar trebui să fie

Page 5 of 34

utilizat pentru a defini un set adecvat de niveluri de protecție , precum și necesitatea de a institui măsuri speciale
de manipulare.
Pentru a reduce riscurile de eroare umană, furt, fraudă sau de abuz de încredere , responsabilități de securitate
trebuie să fie implementate încă din etapa de recrutare, incluse în contracte le de muncă și monitorizate în
timpul activității la locul de muncă.
Toți angajații proprii sau terțel e persoane care au acces la sistemul informa țional al unei companii ar trebui să
semneze un acord de confidențialitate .
Pentru a ne asigura că utilizatorii sunt conștienți de amenințările de securitate a informați ilor și sunt pregătiți
pentru a sprijini politica de securitate organizațională în cur sul activității lor la locul de muncă, angajații proprii
sau terțel e persoane ar trebui să fie instruiți cu privire la procedurile de securitate și utilizarea corectă a
sistemelor de prelucrare a informați ilor.
Toate incidentele de securitate trebuie rapo rtate și în acest sens trebuie implementat un sistem eficient ș i rapid
de raportare a incidentelor de securi tate, care să fie cunoscut de că tre to ți angajaț ii.
Informați ile de business critice sau sensibile trebuie să fie adăposti te în locuri sigure, protejate î ntr-un perimetru
de securitate adecvat, cu bariere de securitate corespunzătoare și controale de acces . Acestea ar trebui să fie
protejate fizic împotriva accesului neautorizat, d eteriorare și interferențe. Protecția oferită trebuie să fie
propo rțional ă cu riscurile identificate.
Echipamentele IT&C trebuie să fie protejate fizic împotriva amenințărilor de securitate și de pericolele de mediu .
Responsabilități și proceduri pentru gestionarea și exploatarea tuturor sistemelor de prelucrare a informați ilor ar
trebui să fie stabilite . Aceasta presupune dezvoltarea unor instrucțiuni de utilizare și proceduri de răspuns la
incidente aprobate de conducerea unității și cunoscute de către tot personalul .
Măsuri de precauție sunt necesare pentru a pre veni și detecta introducerea de software rău intenționat.
Software -ul și echipamentele de calcul sunt vulnerabile la introducerea de software rau intentionat, cum ar fi
viruși, viermi de rețea, cai troieni. Utilizatorii ar trebui să fie conștienți de peric olele software -ului neautorizat sau
rău intenționat și managerii ar trebui, acolo unde este cazul, să introducă controale speciale pentru a detecta
sau a preveni introducere a de software rău intenționat .
În special, este esențial să se ia măsuri de precau ție pentru a detecta și a preveni infectarea cu viruși
informatic i ale calculatoare lor angajaților .
Proceduri de rutină ar trebui să fie stabilite pentru efectuarea de back -up-uri strategice, simularea periodică a
restaurării de pe copiile realizate, logarea evenimentelor și a defectelor, acolo unde este posibil și monitorizarea
permanent ă a echipamentelor critice.
Schimburile de informați i și de software între organizați i ar trebui să fie controlate , și trebui e să fie conforme cu
legislația în vigoare. Proceduri și standarde care să protejeze informați ile și datele în tranzit ar trebui să fie
stabilite iar acestea să fie parafate în acorduri semnate de toate părțile implicate.

Page 6 of 34

2.3. Atributele securităț ii informatic e

Securitatea informatic ă asigură cunoașterea, prevenirea și contracararea unui atac împotriva spațiului
cibernetic, inclusiv managementul consecințelor.
Atributele securității informatic e sunt următoarele:
 Cunoașterea trebuie să asigure informați ile necesare în elaborarea măsurilor pentru prevenirea
efectelor unor incidente informatic e.
 Prevenirea este principalul mijloc de asigurare a securității informatic e. Acțiunile preventive reprezintă
cea mai eficientă modalitate atât de a reduce e xtinderea mijloacelor specifice ale unui atac cibernetic,
cât și de a limita efectele utilizării acestora.
 Contracararea trebuie să asigure o reacție eficientă la atacuri cibernetice, prin identificarea și blocarea
acțiunilor ostile în spațiul cibernetic, menținerea sau restabilirea disponibilității infrastructurilor
cibernetice vizate și identificarea și sancționarea potrivit legii , a autorilor.
Succesul activităților desfășurate pentru asigurarea securității sistemelor informatic e depinde în mod esențial de
cooperarea, inclusiv în formule de parteneriat public -privat, între deținătorii infrastructurilor cibernetice și
autoritățile statului abilitate să întreprindă măsuri de prevenire, contracarare, investigare și eliminare a efectelor
unei amenințări mate rializate printr -un atac.
De altfel atributele enumerate mai sus se suprapun peste atributele fundamentale ale informați ei:
 Disponibilitatea informați ei este acea proprietate a sistemului sau rețelei de a asigura utilizatorilor
legali informați a completă atunci când aceștia au nevoie de ea .
 Confidențialitatea este acea proprietate a sistemului sau a rețelei de a permite accesul la informați i
numai utilizatorilor cărora le este destinată și să ofere garanții suficiente pentru a interzice accesul
celorlalți utilizatorilor.
 Integritatea informați ei este acea proprietate a sistemului sau a rețelei de a asigura livrarea informați ei
fără modificări accidentale sau neautorizate.
 Autenticitatea informați ei este acea proprietate a sistemului sau a rețelei de a permi te asocierea
informați ei cu sursa legală de producere a ei.
 Nerepudierea informați ei este acea proprietate a sistemului sau a rețelei de a asocia informați ei
dovada că informați a a fost transmisă de o entitate identificată și a fost recepționată de o altă entitate
identificată fără posibilitate de contestare.

2.4. Importanța funcți ei Ofițerului de securitate în cadrul organizației

În cadrul fiec ărei organizați i, pentru asigurarea unui nivel de securitate optim este necesară existența unei
structuri de securitate care să acopere zona de securitate fizică, logică și a personalului. Din punct de vedere al
securității logice această funcție este î n general îndeplinită de un Informați on Security Officer (ISO) sau Chief
Informați on Security Officer (CISO).

Page 7 of 34

ISO / CISO este cel care coordoneaz ă întreaga activitate a unui department de securitate a informați ei,
realizeaz ă și impune politici , proceduri și cele mai bune practici privind modul în care informați ile, datele și
resursele digitale sunt administrate și protejate, cu accent asupra urm ătoarelor obiective și responsabilități :
 Obținer ea acceptanței și suportului managementului pentru strategia de securitate aliniată cu
obiectivele de business ;
 Definirea politicilor de securitate IT în concordanță cu strategia;
 Definirea standardelor de securitate pentru toate politicile relevante ;
 Alinierea practicilor și procedurilor din cadrul organizați ei, cu politica centrală de securitate;
 Asignarea clară a rolurilor și responsabilităților relativ la securitatea informați ei în cadrul organizați ei;
 Integrarea securității IT în lanțul administrării informați ei la nivelul întregii organizați i;
 Identificarea și clasificarea bunurilor informați onale în funcți e de criticalitate și senzitivitate ;
 Definirea, implementarea și mentenanța unor obiective de control eficace pentru managemenul
securității;
 Implementarea unor procese de monitorizare eficiente ale acestor controale ;
 Managementul incidentelor de securitate, testarea capabilităților de răspuns;
 Desfășurarea activită ților specifice continuității afacerii, testarea planurilor de recuperare în caz de
dezastru ;
 Aprobarea din perspectiva securității în cadrul proceselor de change management ;
 Identificarea, evaluarea, comunicarea și managementul riscurilor de securitate;
 Managementul proceselor de obținer e și menținere a conformității cu reglementările obligatorii ;
 Inițierea, facilitarea și promovarea activităților menite să ducă la sporirea conștientizării importanței
securității atât în cadrul organizați ei cât și pentru parteneri, furnizori, clienți și alte structuri care au relații
directe cu organizați a;
 Asigurarea conformității cu politicile și procedurile de securitate pentru toți angajații, la nivel individual,
prin impunerea regulilor stabilite;
 Asistarea la realiza rea unor profile de securitate corecte ale personalului și menținerea unor dosare
exacte cu profilele de securitate potrivite fiecarei poziții în cadrul organizați ei;
 Monitorizarea utilizării eficiente a resurselor de securitate ;
 Dezvoltarea și implementarea metricilor și a monitorizării activităților de securitate.

2.5. Infrastructuri critice la nivel național și organizați onal

Societatea, afacerile și politica depind de funcți onarea infrastructurilor. Infrastructurile în general și
infrastructurile critice în special, sunt viața societăților moderne, eficiente. Infrastructurile critice au reprezentat
totdeauna domeniul cel mai sensibil, cel mai vulnerabil al oricărui sistem și al oricărui proces.
Termenul colectiv – „infrastructuri” acoperă oamenii, organizați ile, procesele, produsele, serviciile și fluxurile de
informați i, precum și instalațiile tehnice și structurale și construcțiile care, individual sau parte a unei rețele,
permit societății, economiei și statului să funcționeze.

Page 8 of 34

Infrastructurile sunt considerate critice datorită:

 importanței vitale pe care o au, ca suport material sau virtual ;
 rolului pe care îl îndeplinesc în stabilitatea, fiabilitatea, siguranța, funcționalitatea și, mai ales, în
securitatea sistemelor;
 vulnerabilității sporite la amenințările directe, precum și la cele care vizează sistemele din care fac
parte;
 sensibilității deosebite la variația condițiilor și, mai ales, la schimbări bruște ale situației.

Astfel de infrastructuri există pretutindeni î n lume și în cadrul fiecărui spațiu fizic, cosmic sau virtual, în toate
domeniile activității umane , practic atât la nivel organizați onal, național sau internațional .
Criteriile după care se face evaluare a privind incadrarea în categoria infrastructurilor critice sunt variabile, chiar
dacă sfera lor de cuprindere poate rămâne aceeași. Astfel de criterii pot fi următoarele:

 criteriul fizic (locul în rândul celorlalte infrastructuri, mărimea, dispersia, anduranța, fiabilitatea etc.);
 criter iul funcți onal (ce anume „face“ infrastructura respectivă);
 criteriul de securitate (care este rolul ei în siguranța și securitatea sistemului);
 criteriul de flexibilitate (care arată că există o anumită dinamică și o anumită flexibilitate – practic unele
dintre infrastructurile obișnuite pot fi sau deveni , în anumite condiții, infrastructuri critice .

Conform Programului European pentru Protecția Infrastructurilor Critice, acestea pot fi grupate astfel:
Sectoare Subsectoare
Administrație publică Președinție, Parlament, Guvern, Justiție, Administrație
Instituții de cercetare
Patrimoniu național cultural
Industrie chimică și
nucleară Producție, transport, depozitare și procesare a produselor chimice și
nucleare
Conducte de transport a produselor/substanțelor chimice periculoase
Energie Furnizare energie
Furnizare combustibil (petrol)
Furnizare gaz natural
Transport și distribuție energie
Servicii financiare Bănci
Companii de asigurare
Sănătate Publică Centre de îngrijire medicală și spitale
Laboratoare
Tehnologia Informați ei și
Comunicații Telecomunicațiile
Sisteme și rețele informatic e
Internet
Sisteme de instrumentare, automatizare și monitorizare
Radio și media
Apă și hrană Furnizare hranie și securitatea acesteia
Furnizarea apei potabile
Siguranță publică, ajutoare
și servicii pentru urgențe Organizați i pentru urgențe (poliție, serviciu de pompieri, urgențe îngrijire
medicală și servicii de salvare)

Page 9 of 34

Protecție civilă
Forțe armate
Transport Transport rutier
Transport feroviar
Transport aerian
Transport naval
Servicii poștale și logistică

Potrivit Strategiei de Securitate Națională a României (Capitolul XI cu titlul „Dezvoltarea și sporirea gradului de
protecție a infrastructurii”), o direcție prioritară de acțiune pentru realizarea obiectivelor acesteia o reprezintă
necesitatea declanșării unui amplu proces de dezvoltare, modernizare și asigurare a protecției infrastructurilor
critice, a elementelor vitale ce vizea ză pregătirea instituțiilor, societății, economiei și teritoriului național pentru a
face față riscurilor și amenințărilor la adresa securității.
Protecția infrastructurilor critice (PIC) constiruie un obiectiv prioritar al Uniunii Europene, fiind unul din tre
subiectele aflate din ce în ce mai frecvent pe agenda politică europeană, iar toate statele membre trebuie să
stabilească măsurile necesare pentru a se conforma prevederilor Directivei Consiliului nr. 2008/114/EC „ privind
identificarea și desemnarea in frastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției
acestora ” adoptată la 8 decembrie 2008 și intrată în vigoare prin publicarea în Jurnalul Oficial al Uniunii
Europene .
În același timp, protecția infrastructurilor critic e și securitatea cibernetică au devenit subiecte principale pe
agenda de lucru NATO (ex. – noul concept „ scut cibernetic ”) și sunt elemente esențiale, strâns leg ate între ele.
PIC se bazează pe managementului integral al riscului, care conține, în princip al, două părți: prin prima se
efectuează o evaluare detaliată a amenințării și a riscului, care servește apoi ca bază pentru măsurile din
următoarele domenii:

 prevenire (ex. măsuri structural -tehnice sau zonale);
 pregătire (ex. urgențe și planificarea continuității afacerilor);
 intervenție (ex. sistem de alarmare, protecție fizică prin personalul de securitate, comunicații
standardizate în timpul crizelor);
 reparare (ex. restaurarea temporară a infrastructurilor);
 reconstrucție (ex. a infrastructurilor) .

Pentru a putea utiliza eficient resursele, infrastructurile critice trebuie prioritizate. “Inventarul ” infrastructurilor
critice este cuprinzător și trebuie actualizat, în mod regulat, în cooperare cu autoritățile responsabile ale
administrației guverna mentale și operatorii privați . „Inventarul ” servește, în principal, ca bază pentru procesele
de planificare și luare a deciziilor la niveluri diferite (administrație guvernamentală și operatori privați ).

Foarte m ulți operatori priva ți dețin infrastructuri critice ( ex. din domeniul tehnologi ei informați ei și comunicații,
servicii lor financiare, servicii lor poștale, industrie i alimentar e etc.), dar nu tot atât de multe s e concentrează

Page 10 of 34

pentru asigurarea siguranței și securității infrastru cturilor pe care le dețin în același raport cu interesul acordat
maximizării profitului.
Mai mult, la nivel mondial tendința trecerii infrastructurilor critice în proprietate privată este din ce în ce mai
accentuată, autoritățile asumându -și rolurile de ob servare, control și reglementare. Această tendință se
datorează în mare parte crizei financiare dar și importanței managementului privat în ceea ce privește
asigurarea eficienței eco nomice dovedită de rezultatele financiare obținute.

Situațiile de criză, care amenință direct infrastructurile critice, pentru operatorii privați reprezintă “business
continuity”, iar pentru instituțiile guvernamentale reprezintă “responsabilitate socială ”. Între aceste două
concepte trebuie să existe siner gii suficient de puternice care să conducă către o manieră proactivă de
management al riscurilor astfel încât să să fie evitate situații le de criză. În acest sens, p arteneriatul între
operatorii privați de infrastructuri crit ice și instituțiile guvernamen tale, analizele de risc fundamentate, evaluarea
interdependențelor și investițiile timpurii vor trebui să fie puncte cheie ale strategiei de dezvoltare durabilă.
Printr -un efort de corelare a reglementărilor legale cu prevederile standardelor de management se poate
asigura o alocare optimă a resurselor și responsabilităților între instituțiile guvernamentale, proprietari, operatori
și utilizatori, în special în domeniul infrastructurilor critice.
Operatorii privați care dețin infrastructuri crit ice trebuie să-și evalueze și identifice riscurile și amenințările
precum și activitățiile critice ale proces elor de business, să implementeze proceduri și măsuri clare de siguranță
și securitate astfel încât să aibă capaci tatea de a face față factorilor perturbato ri și a reveni la stadiul inițial în cel
mai scurt timp și cu pierderi min ime.
Standard ele ISO 22301:2012 – Sistemul de Management al Continuității Afacerii și ISO 22399:2007 –
Securitate societală – Îndrumar privind pregătirea pentru incident și manage mentul continuității operaționale
sunt aplicabil e oricărui tip de organizați e publică sau privată, furnizor de produse sau prestator de servicii care
dorește să:
 înțeleagă contextul general în care -și desfășoară activitatea;
 identifice obiectivele critice;
 înțeleagă barierele, riscurile și întreruperile care pot afecta obiectivele critice;
 evalueze risurile reziduale și toleranța la risc;
 înțeleagă efectul măsurilor și strategiilor de diminuare a riscurilor;
 planifice în ce mod organizați a își poate atinge obiectivele în situația apariției unui incident;
 elaboreze răspunsul la incident și răspunsul la situația de urgență, răspunsul de asigurare a continuității
și revenirea după incident;
 definească roluri și responsabilități și să planifice resurse pentru ră spunsul la incident;
 îndeplinească conformitatea cu regelementările legale, standarde și alte cerințe;
 furnizeze asistență reciprocă și asistență comunității;
 coopereze cu instituțiile cu responsabilități în managementul situațiilor de urgență;
 promoveze f ormarea și dezvoltarea unei culturi organizați onale care să înteleagă necesitatea
gestionării riscului ca element inevitabil în desfășurarea activității și luarea deciziilor.

Page 11 of 34

III. Măsuri necesare pentru asigurarea securității informatic e

3.1. Securitatea fizică

a. Inventarierea echipamentelor autorizate și neautorizate
O practic ă frecvent ă a grupurilor infrac ționale const ă în utilizarea tehnicilor de scanare continu ă a spa țiilor de
adrese IP ale organizați ilor țintă, urm ărind conectarea sistemelor noi și/sau neprote jate, ori laptop -uri cu defini ții
sau pachete de securitate (patch -uri) neactualizate datorit ă faptului c ă nu sunt conectate frecvent la rețea. Unul
din atacurile comune profit ă de sistemele nou instalate și care nu sunt configurate și securizate din punct de
vedere al pachetelor de securitate dec ât în ziua urm ătoare, fiind u șor de identificat și exploatat prin intermediul
Internet ului de c ătre atacatori. În ceea ce prive ște sistemele informatic e aflate în interiorul rețelelor protejate,
atacatorii care au obținut deja acces pot viza și compromite acele sisteme insuficient sau necorespunz ător
securizate.
O aten ție deosebit ă trebuie acordat ă echipamentelor și sistemelor care nu sunt incluse în inventarul
organizați ilor, cum ar fi diversele dispozitive mobile personale, sisteme de test, etc. și care nu sunt conectate în
mod permanent la rețea. În general, aceste tipuri de echipamente tind s ă nu fie securizate în mod
corespunzator sau s ă nu aib ă controale de securitate care s ă răspunda cerin țelor de securitate. Chiar dac ă
aceste echipamente nu sunt utilizate pentru a procesa, stoca sau accesa date sau informați i critice, odat ă
introduse în rețea, pot oferi atacatorilor o cale de acces spre alte resurse și un punct de unde pot fi lansate
atacuri avansate.
Menținerea unui inventar precis și actual, controlat prin monitorizare activ ă și managementul configura ției, poate
reduce șansele ca atacatorii s ă identifice și să exploateze sistemele neprotejate. Procedurile de inventariere
stabilesc proprietarii de informați i și sisteme informatic e, document ând responsabilit ățile pentru men ținerea
inventarului pentru fiecare component ă a sistemelor. În funcți e de complexitatea fiec ărei organizați i, se pot
utiliza instrumente specializate de monitorizare și inventariere a resurs elor sistemelor informatic e, care pot
efectua “descoperirea” de noi sisteme, odat ă conectate la rețeaua sistemului informatic , prin intermediul datelor
obținute de la echipamentele de rețea. De asemenea , se pot utiliza instrumente de identificare pasiv ă a
resurselor (care “ascult ă” în mod pasiv la interfe țele de rețea echipamentele care își anun ță prezen ța prin
modificarea traficului). Aceste instrumente de monitorizare și inventariere ar trebui s ă includ ă funcți onalit ăți
precum:
 Identificarea echipamen telor noi neautorizate conectate la rețea într-un interval de timp predefinit;
 Alertarea sau transmiterea mesajelor de notificare c ătre o list ă predefinit ă cu personal administrativ;
 Izolarea sistemului neautorizat;
 Identificarea loca ției în care s -a efectuat conectarea.

Page 12 of 34

b. Inventarierea aplicați ilor și sistemelor de operare autorizate și neautorizate
Grupurile infrac ționale utilizeaz ă tehnici de scanare a spa țiilor de adrese ale organizați ilor vizate în scopul de a
identifica versiuni vulnerabile de software care pot fi exploatat e de la distan ță. Astfel de atacuri pot fi ini țiate prin
distribuirea de pagini de web ostile, documente, fi șiere media și alte tipuri de con ținut web prin intermediul
propriilor pagini web sau al altor pagini web demne de încredere. Atacurile complexe pot fi și de tipul zero -day,
exploat ând vulnerabilit ăți în aceeasi zi sau înainte ca acestea sa fie cunoscute public.
Fără cuno ștințele corespunz ătoare sau controlul software -ului implementat în organizați e, nu se poate asigura
protec ția necesar ă pentru resursele informatic e. Capacitatea de inventariere și controlul neadecvat asupra
programelor care sunt instalate și autorizate a rula pe echipamentele organizați ilor, fac mai vulnerabile aceste
medii informatic e. Astfel de echipam ente inadecvat controlate sunt pasibile s ă execute software care nu este
necesar pentru specificul activit ății, induc ând bre șe poten țiale de securitate sau rul ând programe de tip malware
induse de c ătre un atacator, dup ă ce sistemul a fost compromis. Odat ă ce un echipament a fost exploatat,
adesea este utilizat ca și un punct de plecare pentru atacuri ulterioare și pentru colectarea de informați i
sensibile din sistemul compromis și din alte sisteme conectate la acesta. Echipamentele vulnerabile sunt
utiliza te ca puncte de lansare pentru “avansarea” în rețea și rețele partenere. Organizați ile care nu utilizeaz ă
inventarierea complet ă a pachetelor software nu vor reu și să descopere sistemele pe care ruleaz ă software
vulnerabil sau mali țios și mai departe s ă reducă problemele sau atacurile.
Software -ul comercial și instrumente specializate de inventariere a resurselor informatic e sunt utilizate pe scar ă
largă pentru a facilita verificarea simultan ă a aplicați ilor utilizate în organizați i, extrag ând informați i despre
nivelul pachetelor de update al fiec ărui program software instalat pentru a se asigura utilizarea celei mai recente
versiuni.
Sistemele de monitorizare utilizate ar trebui s ă includ ă și funcți onalit ăți precum:
 Capacitatea de identificare a software -ului neautorizat prin detectarea tentativelor de instalare
sau executare a acestuia;
 Alertarea personalului administrativ într-un interval de timp predefinit;
 Blocarea instal ării, prevenirea execut ării sau trecerea în carantin ă.

c. Controlul echipam entelor wireless
În absen ța unor m ăsuri eficiente de securitate implementate pentru rețelele f ără fir, se pot ini ția atacuri care
vizeaz ă în principal furtul de date importante pentru orice tip de organizați e.
Deoarece rețelele f ără fir nu necesit ă conexiuni fizice directe, echipamentele wireless ofer ă atacatorilor un
vector convenabil pentru obținer ea accesului în mediul țintă.Tehnicile de atac dezvoltate pot fi ini țiate din
exterior, evitandu -se perimetrele de securitate ale organizați ilor. Astfel , echipamentele portabile pot fi infectate
prin exploatare la distan ță în intervalul în care acestea sunt scoase din perimetrul de securitate în afara
organizați ei și apoi utilizate ca „back doors” odat ă intoarse în organizați e și reconectate la rețea.
Măsurile de protejare impotriva atacurilor desf ășurate prin intermediul rețelelor fara fir vizeaz ă utilizarea at ât a
instrumentelor de scanare, detectare și decoperire a rețelelor cât și a sistemelor de detectare a intruziunilor.
Echipa de securitate trebuie să efectueze captura traficului wireless desf ășurat în zonele de perimetru pentru a

Page 13 of 34

determina dac ă sunt utilizate protocoale mai permisive de transmitere sau criptare dec ât cele impuse. În plus,
se pot utiliza instrumente de administrare de la distan ță în cadrul rețelelor pentru a colecta informați i despre
capabilit ățile wireless ale dispozitivelor conectate la sistemele administrate.
Instrumentele utilizate trebuie să includ ă următoarele funcți onalit ăți:
 capacitatea de a identifica configura țiile dispoziti velor autorizate sau dispozitivele wireless
neautorizate din cadrul ariei de acoperire a organizați ei și care sunt conectate în aceste rețele;
 identificarea dispozitivelor f ără fir noi, neautorizate, conectate recent;
 alertarea personalului administrativ;
 identificarea zonei și izolarea punctului de acces în rețea.

d. Proiectarea securit ății rețelelor
Măsuril e de securitate, chiar bine implementate la nivelul sistemelor informatic e, pot fi eludate în rețele
concepute deficitar. F ără o arhitectura de rețea atent planificat ă și implementat ă în mod corespunz ător,
atacatorii pot ocoli măsuril e de securitate din diferite sisteme, p ătrunz ând în rețea pentru a ob ține acces c ătre
sistemele țintă.
Atacatorii vizeaz ă în mod frecvent h ărțile rețelelor pentru a identi fica conexiuni neutilizate între sisteme, filtrare
necorespunz ătoare și rețele fără segregare. Prin urmare, o arhitectur ă de rețea robust ă și securizat ă poate fi
realizat ă prin implementarea unui proces care s ă furnizeze și măsuril e de securitate necesare.
Pentru a se asigura un mediu robust și ușor de securizat, arhitectura fiec ărei rețele trebuie s ă se bazeze pe
modele care descriu structura general ă a acesteia și a serviciilor pe care le ofer ă. Organizați ile trebuie s ă
documenteze diagrame pentru fiecare rețea în care s ă fie eviden țiate componentele de rețea împreun ă cu
grupurile semnificative de servere și sisteme client.

e. Limitarea și controlul porturilor de rețea, a protocoalelor de comunica ție și a serviciilor
Atacu rile pot fi lansate și prin intermediul serviciilor de rețea accesibile de la distan ță care sunt vulnerabile în
fața exploat ărilor. Exemple comune includ servere web configurate neadecvat, servere de email, servicii de
fișiere și imprimare, servere DNS instalate în mod prestabilit pe o varietate de echipamente, de multe ori f ără a
se ține cont de nevoia de business pentru serviciile oferite. Multe pachete software instaleaz ă și pornesc servicii
ca parte a instal ării pachetului de baz ă fără a informa util izatorul sau administratorul despre faptul c ă serviciile
au fost activate. Atacurile urm ăresc descoperirea de conturi, parole sau coduri prin scan ări și încerc ări de
exploatare a serviciilor expuse.
Asemenea tipuri de atac pot fi pre întâmpinate prin utiliz area de instrumente de scanare a porturilor pentru a
determina serviciile care „ascult ă” rețeaua pentru o serie de sisteme țintă. Pentru a determina porturile
deschise, instrumentele de scanare pot fi configurate pentru identificarea versiunii de protocol și serviciu l care
„ascult ă” pe fiecare port deschis descoperit. Serviciile descoperite și versiunile acestora sunt comparate cu
inventarul serviciilor necesare organizați ei pentru fiecare echipament.

Page 14 of 34

f. Protejarea zonelor de perimetru (sau boundary defense)
Atacurile pot fi concentrate asupra exploat ării sistemelor care pot fi accesate din Internet , inclusiv sistemele
aflate în DMZ (termen derivat din „Demilitarized Zone”, cunoscut și ca „perimeter networking”), cât și asupra
sistemelor client (sta ții de luc ru, laptop) care acceseaz ă conținut din Internet prin zona de perimetru a rețelei.
Tehnicile de atac lansate de grupurile criminale uzeaz ă de punctele de sl ăbiciune din configurarea sau
arhitectura perimetrului, a sistemelor de rețea și a echipamentelor cl ient pentru a ob ține acces ini țial în interiorul
organizați ei. Odat ă obținut accesul, atacatorii vor p ătrunde mai ad ânc în interiorul rețelei în vederea furtului sau
schimbului de informați i, ori de a stabili o baz ă pentru atacuri ulterioare împotriva sistemelor gazd ă interne. În
multe cazuri, atacurile apar între rețele ale partenerilor de business, uneori calificate ca și „extranet”, atacurile
mutându-se din rețeaua unei organizați i în rețelele altor organizați i, exploat ând sistemele vulnerabile g ăzduite în
perimetrele din extranet.
Pentru a controla fluxul de trafic efectuat prin rețelele de perimetru și a asigura eviden țele în vederea depist ării
atacurilor efectuate pe sistemele compromise, protejarea zonelor de perimetru trebuie s ă fie multi -stratif icată,
utilizând echipamente și aplicați i Firewall, Proxy, rețele DMZ, sisteme de prevenire și detectare a intruziunilor la
nivel de rețea tip IPS și IDS, precum și filtrarea traficulul în și dinspre interiorul rețelelor.
Sistemele de prevenire și detectare a intruziunilor la nivel de perimetru trebuie s ă includ ă urmatoarele
caracteristici:
 să aibă capacitatea de identificare a pachetelor neautorizate /nelegitime trimise înspre sau primite
dinspre o zon ă sigur ă;
 blocarea pachetelor neautorizate /nele gitime ;
 alertarea personalului administrativ.

g. Accesul fizic în locații
Asigurarea unui mediu de securitate adecvat, începe chiar de la accesul fizic în clădireile/ spațiile/ locațiile care
trebuiesc protejate. Pentru eficientizarea sistemelor de pază și apărare împotriva pătrunderii neautorizate ,
măsurile de securitate fizică ar trebui cuprinse într -un Plan de securitate fizică, iar implementarea acestor
măsuri să fie bazată pe principiul „apărării în adân cime”, urmărindu -se stabilirea:
 spațiului care tre buie protejat;
 unor dispozitiv e exterio are de securitate destinat e să delimiteze zona protejată și să d escurajeze
accesul neautorizat (gardul de perimetru, barieră fizică care protejează limitele locației, pază cu
personal specializat );
 unor dispozitiv e intermediar e de securitate destinat e să descopere tentativele sau accesul neautorizat
în zona protejată (sisteme de detectare a intruziunilor – SDI, iluminat, televiziune cu circuit închis –
TVCI) ;
 unor dispozitiv e interio are de securitate destinat e să întârzie ac țiunile eventualilor intruși (controlul
accesului – electronic, electromecanic sau prin alte mijloace ).
Controlul accesului personalului în zonele protejate se efectuează de personal de pază sau prin sisteme
electronice, avându -se în vedere următoarele:

Page 15 of 34

 accesul fiecărui angajat se realizează prin locuri anume stabilite, pe baza permisului de acces;
 permisu l de acces poate specifica în clar identitatea organizați ei emitente sau locul în care deținătorul
are acces, insă acest aspect nu este recomandat pentru zonele în care sunt gestionate infromații
clasificate (Practic la nivelul fiecărei persoane juridice care gestionează informații clasificate se pot
stabili reguli suplimentare proprii privind accesul) ;
 pentru accesul angajaților agenților economici contractanți care efectuează diverse lucrări de reparații și
întreținere a clădirilor sau mentenanță, organi zațiile beneficiare vor elibera, pe baza actelor de
identitate, la solicitarea reprezentanților autorizați ai agenților în cauză, documente de acces temporar.
Planul de securitate fizică cuprinde descrierea tuturor măsurilor de securitate fizică implement ate pentru
protec ția locațiilor și poate fi structurat astfel:
 delimitarea, marcarea și configura ția zonelor care trebuiesc protejate ;
 sistemul de pază și apărare;
 sistemul de avertizare și alarmare;
 controlul accesului, al cheilor și combina țiilor de cifru;
 modul de ac țiune în situa ții de urgen ță;
 modul de raportare, investigare și eviden ță a încălcării măsurilor de securitate;
 responsabilită țile și modul de implementare a măsurilor de pregătire și instruire pe linie de securitate
fizică;
 responsabilită țile și modalită țile de realizare a verificărilor, inspec țiilor și controalelor sistemului de
securitate;
 măsuri suplimentare de protec ție fizică.

3.2. Securitatea logic ă

a. Configura ții de securitate a componentelor hardware pentru echipamente mobile, sta ții
de lucru și servere
Asupra rețelelor Internet cât și a celor interne deja compromise de atacatori, programe automate de atac
informa tic caut ă în mod constant rețele țintă pentru a g ăsi sisteme care au fost configurate cu software
vulnerabil instalat. Configura țiile implicite sunt adesea orientate pentru a u șura exploatarea, utilizarea
sistemelor, nefiind însă securizate și lăsând servicii inutile exploatabile în starea implicit ă a acestora. Tehnicile
de atac, încearc ă să exploateze în acest fel at ât serviciile accesibile via rețea, cât și software -ul de navigare al
clientului.
Măsuril e de protec ție împotriva acestor tehnici de atac includ achizi ția de componente pentru sisteme și rețea
cu configura ții de securitate deja implementate, instalar ea sistemelor preconfigurate pentru securitate,
actualizarea configura țiilor periodic și urmărirea acestora în cadrul unui sistem de management al configura țiilor.
Aceste m ăsuri se pot implementa prin crearea de imagini ale sistemelor și stocarea pe server e securizate
împreun ă cu utilizarea instrumentelor de management al configura țiilor. În funcți e de solu ția adoptat ă, aceste

Page 16 of 34

instrumente pot monitoriza în mod activ devierile de la configura țiile implementate, furniz ând informați ile
necesare pentru asigurar ea utiliz ării configura țiilor stabilite și vor include urm ătoarele funcți onalit ăți:
 Identificarea oric ăror modific ări/schimb ări în cadrul unei imagini securizate care pot include
modific ări aduse pentru fi șiere cheie, porturi, fi șiere de configura ții sau pentru software -ul
instalat;
 Compararea imaginii fiec ărui sistem cu imaginea oficial ă stocat ă în mod securizat în cadrul
sistemului de management al configura țiilor;
 Blocarea instal ării și prevenirea execut ării odat ă cu alertarea personalului administrativ .

b. Configura ții de securitate pentru echipamente de rețea – Firewall, Router, Switch
Atacatorii profit ă de o practic ă des întalnit ă în configurarea nivelului de securitate pe anumite echipamente de
rețea: utilizatorii solicit ă excep ții temporare din considerente specifice, de business, aceste excep ții sunt aplicate
dar nu și îndep ărtate imediat ce necesitatea de business dispare. În unele situa ții și mai grave, riscul de
securitate al unei astfel de excep ții nu este nici analizat corespunz ător nici ev aluat din punct de vedere al
necesit ății. Atacatorii caut ă breșele din firewall -uri, routere și switch -uri și apoi le folosesc în scopul penetr ării
sistemului. Atacatorii au exploatat deficiențe le acestor echipamente de rețea pentru a ob ține accesul în mediile
vizate, pentru a redirecta traficul înspre o alt ă rețea sau un sistem mali țios ce se anun ță ca un sistem de
încredere, și pentru a intercepta și altera informați i pe m ăsură ce acestea sunt transmise. Cu astfel de ac țiuni
atacatorul ob ține acces la date sensibile, altereaz ă informați i importante sau chiar utilizeaz ă un sistem
compromis pentru a „poza” într-un alt sistem de încredere din rețea.
Anumite organizați i utilizeaz ă unelte comerciale de evaluare a setului de reguli de pe echipamentele de filt rare
din rețea, cu scopul de a determina m ăsura în care acestea sunt consistente sau conflictuale. Se face astfel o
verificare automat ă a stării filtrelor de rețea și se caut ă erori în seturile de reguli sau în listele de control al
accesului (Access Contr ol List – ACL) care ar putea permite servicii nedorite pe acele echipamente. Astfel de
unelte ar trebui utilizate la fiecare modificare semnificativ ă a setului de reguli de pe firewall -uri, a ACL -urilor de
pe router sau pe alte tehnologii de filtrare.
Funcți onalit ățile minim recomandate pentru men ținerea unui control optim la nivel de echipamente de rețea:
 Identificarea oric ărei modific ări la nivel de echipamente de rețea, inclusiv routere, switch -uri,
firewall -uri și sisteme IDS și IPS (orice schimbare în fișierele cheie, servicii, porturi, fi șiere de
configura ție sau orice alt software instalat pe echipamente
 Configura ția fiec ărui sistem trebuie comparat ă cu baza de date master cu imagini pentru a
verifica orice modificare în configura ție din punct de vedere al impactului asupra securități i.

c. Modalit ăți de protejare împotriva malware -ului
Software -ul mali țios constituie un aspect periculos al amenin țărilor din mediul Internet , care vizeaz ă utilizatorii
finali și organizați ile prin intermediul navig ării, ata șamentelor email, dispozitivelor mobile precum și prin
utilizarea altor vectori. Codul mali țios poate să interac ționeze cu con ținutul sistemului, s ă captureze date
sensibile și să se răspândeasc ă la alte sisteme. Malware -ul modern urm ărește să evite detectarea bazat ă pe

Page 17 of 34

semn ături și cea comportamental ă și poate dezactiva instrumentele anti -virus care ruleaz ă pe sistemul țintă.
Software -ul anti -virus și anti-spyware, denumite colectiv ca instrumente anti -malware, ajut ă la ap ărarea
împotriva acestor amenin țări prin încercarea de a detecta programele malware și blocarea execut ării acestora.
Instrumentele anti -malware, pentru a fi eficiente, necesit ă actualiz ări periodice. Baz ându-se pe politici și acțiuni
ale utilizatorilor pentru men ținerea instrument elor anti -malware actualizate, acestea au fost discreditate pe scară
largă deoarece mul ți utilizatori nu s -au dovedit capabili s ă aplice în mod consecvent aceste sarcini. Pentru a
asigura actualizarea periodic ă și eficient ă a intrumentelor anti -malware, su nt utilizate solu ții care automatizeaz ă
aceste sarcini. Aceste solu ții, numite și suite de end -point security, utilizeaz ă funcți onalit ăți de administrare
integrate pentru a verifica activitatea instrumentelor anti -virus, anti -spyware și host-based IDS pe f iecare sistem
gestionat. Zilnic sau la intervale predefinite, ruleaz ă evalu ări automate și efectueaz ă revizuiri ale rezultatelor
pentru identificarea sistemelor care au dezactivate instrumentele de protec ție, precum și a sistemelor care nu
sunt actualizate cu ultimele defini ții malware. Pentru cre șterea nivelului de siguran ță pentru sistemele protejate,
cât și pentru sistemele care nu sunt acoperite de solu țiile de management ale organizați ilor, se folosesc
tehnologiile de control al accesului în rețea prin intermediul c ărora sunt testate echipamentele din punct de
vedere al conformit ății cu politicile de securitate înainte de a permite accesul în rețea.
Unele organizați i implementeaza honeypot -uri comerciale sau gratuite și instrumente de „ademenire” –
cuno scute ca „tarpit tools” pentru a identifica atacatorii în mediul lor. Personalul de securitate trebuie s ă
monitorizeze permanent aceste instrumente pentru a determina când traficul este direc ționat c ătre atacatori și
sunt efectuate tentative de conectare. Odat ă identificate aceste evenimente, personalul de securitate trebuie s ă
obțina sursa adreselor de unde este generat traficul și alte detalii asociate atacului pentru a furniza datele
necesare activit ăților de investigare.
Instrumentele anti -malware vor i nclude urm ătoarele funcți onalit ăți:
 Identificarea instal ării de software mali țios, a tentativelor de instalare, executare sau a
tentativelor de executare;
 Blocarea instal ării și prevenirea execut ării sau trecerea în carantin ă a software -ului mali țios
odată cu alertarea personalului administrativ.

d. Securitatea aplicați ilor
Printre priorit ățile recente ale grupurilor criminale se num ără atacurile asupra vulnerabilități lor aplicați ilor web –
based precum și asupra aplicați ilor în general. Aplica țiile care nu fac verific ări asupra volumului intr ărilor
generate de utilizator, nu reu șesc s ă „sanitizeze” intr ările prin filtrarea secven țelor de caractere care nu sunt
necesare sau poten țial mali țioase sau nu ini țiază „curățarea” variabilelor în mod corespunzator, fiind astfel
vulnerabile la compromiterea de la distan ță. Atacurile pot fi efectuate prin „injectarea” de exploat ări specifice
incluz ând buffer overflows, atacuri de tip SQL injection, cross -site scripting, cross -site request forgery, și click
jacking de cod pe ntru obținer ea controlului asupra sistemelor vulnerabile.
Pentru prevenirea unor asemenea atacuri, aplicați ile dezvoltate intern c ât și aplicați ile third -party trebuie testate
riguros pentru a identifica deficien țele de securitate. Pentru aplicați ile thir d-party, organizați ile trebuie s ă se
asigure c ă furnizorii au efectuat test ări riguroase de securitate pentru produse, iar pentru aplicați ile dezvoltate

Page 18 of 34

intern, organizați ile trebuie s ă efectueze test ările de securitate sau s ă angajeze servicii de speciali tate pentru
efectuarea de astfel de test ări.
Tool-urile ce testeaz ă cod surs ă sau acelea pentru scanarea securități i aplicați ilor web s -au dovedit a fi utile în
vederea securiz ării, al ături de verific ările de securitate tip penetration testing efectuate manual de speciali ști cu
vaste cuno ștințe de programare și expertiz ă în testarea de aplicați i.
Funcți onalit ăți recomandate în sistemul de securitate al aplicați ilor:
 Detectarea și blocarea încerc ărilor de atac la nivel de aplicați e;
 Testarea periodic ă, săptămânal sau chiar zilnic;
 Mitigarea tuturor vulnerabilități lor cu risc mare din aplicați ile web accesibile din Internet –
identificate cu scannere de vulnerabilități , instrumente de analiz ă statice și instrumente de
revizuire a configura țiilor automate d in bazele de date – fie prin modificarea fluxului, fie prin
implementarea unui control compensatoriu.

3.3. Securitatea personalului

a. Utilizarea controlat ă a privilegiilor de administrare
O prim ă metod ă de atac cu scopul de a se infiltra în rețeaua unei organizați i o reprezint ă utilizarea eronat ă a
privilegiilor administrative. Dou ă metode comune de atac profit ă de lipsa de control asupra acestor privilegii
administrative:
În prima metodă , un utilizator al unei statii de lucru, folosind un cont privilegi at, este p ăcălit să deschid ă un
atașament mali țios din email, desc ărcând și deschiz ând un fi șier de pe un website mali țios, sau pur și simplu
navigând pe un site web ce g ăzduie ște con ținut periculos c are poate exploata browserul. Fi șierul sau exploit -ul
conține cod executabil ce ruleaz p pe ma șina victimei fie automat, fie conving ând utilizatorul s p execute
conținutul. Daca acest cont de utilizator are privilegii administrative, atacatorul poate prelua complet controlul
asupra sistemului victimei și poate instala tool -uri precum keystroke loggers sau keyloggers ( aplicați e ce re ține
într-un fișier tot ce se tasteaz ă), sniffers (intercepteaz ă și decodific ă traficul de rețea) și software de control la
distan ță pentru a identifica parole de administrare și alte informați i sensibile. Atacuri similare au loc și prin
intermediul emailului: un administrator deschide un email ce con ține un ata șament infectat, acesta fiind mai apoi
utilizat pentru a ob ține un punct de acces în rețea și de a ataca și alte sisteme.
O a doua metod ă o reprezint ă elevarea de privilegii ghicind și „spărgând” o parol ă a unui cont administrativ,
pentru a ob ține acces la o ma șină țintă. Dac ă privilegiile administrative sunt folosite pe scar ă largă în interiorul
organizați ei, atacatorul va ob ține mai usor și mai repede controlul asupra sistemelor, întruc ât sunt disponibile
mai multe conturi cu privilegii administrative de âncercat. O situa ție comun ă specifică unui astfel de atac este
aceea a privilegiilor administrative de domeniu în mediile com plexe Windows, atacatorul av ând astfel un control
semnificativ asupra unui num ăr mare de ma șini și asupra datelor con ținute de acestea.
Un management optim al conturilor administrative se realizeaz ă cu o serie de funcți onalitati sau activit ăți
precum:

Page 19 of 34

 extragerea listei de conturi privilegiate, at ât pe sistemele individuale cât și la nivel de controllere
de domeniu și verificarea periodic ă în lista cu servicii active dac ă vreun browser sau serviciu de
email folose ște privilegii ridicate (utilizarea de scripturi ce caut ă anumite browsere, servicii de
email și programe de editare a documentelor);
 conturile administrative pot fi configurate s ă utilizeze un proxy web în anumite sisteme de
operare și să nu aib ă acces la aplicați a de po ștă electronic ă.
 Setare a lungimii minime acceptabile a parolei de exemplu la 12 caractere, setarea unui algoritm
de complexitate corespunzator.

b. Controlul accesului în baza principiului “Need to Know”
Unele organizați i nu își identific ă și separ ă cu aten ție datele sensibile de cele mai pu țin sensibile sau disponibile
public în rețelele interne. În multe medii, utilizatorii interni au acces la toate sau la majoritatea informați ilor din
rețea. Odat ă ce atacatorul a penetrat o astfel de rețea, pot g ăsi și transmite în exterior informați i importante, f ără
eforturi considerabile. Chiar în căteva situa ții de p ătrundere din ultimii ani, atacatorii au reu șit să obțină accesul
la date sensibile cu acela și cont de acces ca și pentru datele obi șnuite, stocate pe servere comune.
Este vital c a fiecare organizați e să înțeleag ă care sunt informați ile sale importante, unde sunt situate și cine are
nevoie s ă le acceseze. Pentru a ajunge la nivelele de clasificare, organizați ile trebuie s ă treac ă în revist ă tipurile
cheie de date și importan ța lor la nivel de organizați e. Aceast ă analiz ă poate fi util ă în creionarea schemei de
clasificare a informați ilor la nivelul întregii organizați i. În cel mai comun caz, schema de clasificare con ține dou ă
nivele: informați i publice (neclasificate) și priva te (clasificate). Odat ă ce informați ile private au fost identificate,
acestea pot fi ulterior împărțite pe subclase în funcți e de impactul în organizați e, dac ă ar fi compromise.
Ce putem face pentru a aplica principiul cât mai eficient:
 Identificarea datelor, clasificarea pe nivele, corelarea cu aplicați ile de business; segmentarea
rețelei astfel încât sisteme de aceea și sensibilitate s ă fie pe acela și segment de rețea; accesul
la fiecare segment de rețea trebuie controlat de firewall și eventual criptat traficul de pe un
segment de rețea cu acces nesecurizat;
 Fiecare grup de utilizatori sau angaja ți ar trebui s ă aibă clar specificate în cerin țele postului ce
tip de informați i trebuie sau au nevoie s ă acceseze în scopul îndeplinirii atribu țiilor. În funcți e de
cerin țele postului, accesul se va permite doar pe segmentele sau serverele necesare pentru
fiecare post în parte. Fiecare server ar trebui s ă înregistreze logurile detaliate, astfel încât
accesul s ă poată fi urm ărit, iar situa țiile în care cineva acceseaz ă date la care nu ar trebui s ă
aibă acces s ă poată fi examinate;
 Sistemul trebuie s ă fie capabil s ă detecteze toate încerc ările de acces f ără privilegii
corespunzatoare și să aibă capabilit ăți de alertare.

c. Monitorizarea și controlul conturilor de utilizator
Atacatorii descoper ă frecvent și exploateaz ă conturi de utilizator legitime dar nefolosite pentru a impersona
utilizatorii legitimi, f ăcând astfel dificil ă depistarea atacului de c ătre sistemul de securitate al rețelei. Sunt des

Page 20 of 34

întâlnite cazurile în care conturil e de utilizator ale contractorilor sau angaja ților care au finalizat colaborarea cu
organizați a rămân active. Mai mult, actual ii angaja ți rău voitori sau fo ști angaja ți au accesat conturile vechi și
mult dup ă expirarea contractului, men ținand accesul la sistemele organizați ei și la datele sensibile, în scopuri
neautorizate și uneori mali țioase.
Monitorizarea și controlul conturilor de utilizator sunt activit ăți ce revin personalului administrativ și au în vedere
cel pu țin funcți onalit ăți precum:
 Activarea funcți ei de logare a informați ilor legate de utilizarea conturilor, configurarea astfel
încât să genereze date coerente și detaliate;
 Folosirea de scripturi sau instrumente dedicate pentru analiza de log astfel încât să se poat ă
evalua profilul acces ării pe anumite sisteme;
 Managementul conturilor, cu aten ție sporit ă pe cele inactive;
 Sistemul trebuie s ă fie capabil s ă identifice conturile de utilizator neautorizate, atunci c ând
acestea exist ă în sistem.

d. Evaluarea abilit ăților și instruirea de securitate
Fiecare organizați e ce se cred e pregatit ă să identifice și să reacționeze eficient în fața atacurilor este datoare în
fața angaja ților și contractorilor s ă observe deficiențe le în cuno ștințe și expertiz ă, și să susțină acoperirea
acestora prin exerci țiu și instruire. Un program solid de evaluare a abilit ăților poate oferi managementului
informați i solide despre zonele în care trebuie îmbun ătățită conștientizarea în domeniul securități i, și devine util
pentru determinarea aloc ării optime a resurselor limitate cu scopul de a îmbun ătăți practicile de securitate.
Strâns legat ă de politici și conștientizare este și activitatea de instruire a personalului. Politicile comunic ă
angaja ților ce sa fac ă, instruirea le oferă metodele și abilitățile în vederea îndeplinirii, iar con știentizarea
schimb ă atitudini și comportament astfel încât personalul s ă urmeze prerogativele politicilor. Instruirea trebuie
întotdeauna corelat ă cu necesit ățile de cuno ștințe pentru a îndepl ini o sarcin ă dată. Dac ă după instruire,
utilizatorii nu respect ă o anumit ă politic ă, aceasta ar trebui eviden țiată prin con știentizare.

3.4. Asigurarea continuității afacerii

Orice organizați e depinde de resurse , personal și activități care sunt efectuate zilnic , în scopul de a rămâne
operațională și profitabilă. Cele mai multe organizați i au resurse tangibile , proprietăți intelectuale , angajați ,
calculatoare , legăturile de comunicare , clădiri pentru sedii principale și puncte de lucru . Dacă oricare dintre
aceste elemente este deteriorat sau inaccesibil pentru un motiv sau altul , compania și serviciile furnizate de
aceasta pot fi grav afectate . În funcți e de gravitatea cazurilor, organizați a poate reveni la capacitatea de
funcți onare normală mai repede sau mai greu, dar există și situații în care companiile nu sunt niciodată în
măsură să își reia activitatea și să -și mențină clienții în urma diferitelor dezastre care pot apare . Ca o consecință
benefică implementării planului de recuperare în caz de dezastru, s-a constatat că organizați ile care au
planificate măsuri de recuperare în caz de dezastru au o șansă mult mai mare de a-și relua activitatea în timp
util și de a rămâne în piață .

Page 21 of 34

Scopul implementării unui plan de recuperare în caz de dezastru este acela de a minimiza efectele unui
dezastru și pentru a se asigura că resursele , personalul , și operațiunile iși vor relua funcți onarea într-un timp
util. Un plan de recuperare în caz de dezastru este aplicat atunci când intervine o situație de ne funcți onare și tot
personalul este preocupat de a repune sistemele critice din nou online . Un plan de continuare a afacerii (BCP),
are o abordare mai largă a problemei . Acesta include activarea și funcți onarea sistemelor critice în altă locație
în timp ce se lucrează la rezolvarea problemelor și repornirea sistemelor în locația principală.
De asemenea, este important de notat că o societate poate fi mult mai vulnerabilă , după un dezastru , pentru că
serviciile de securitate folosite pentru protecția fizică sau logică pot fi indisponibile sau într-o stare de operare la
capacitate redusă . Disponibilitatea este una dintre temele principale ale planificării continuității (planului de
recuperare în caz de dezastru și a planului de continuarea afacerii) în care se asigură că există resursele
necesare pentru a menține operaționalitatea organizați ei în orice condiții.
Atunci când se are în vedere planificarea continuității activității , unele companii se concentrează în principal pe
backup de date și existența hardware -ului redundant . Deși aceste elemente sunt extrem de importante , ele sunt
doar părți mici din imaginea de ansamblu. Echipamentele au n evoie de oameni pentru a le configura și le utiliza,
iar datele sunt de obicei nefolositoare dacă nu sunt accesibile pentru alte si steme și entități , eventual, din
exterior. Planificarea trebuie să aibă în vedere prezența oamenilor potriviți la locul potrivit , documentarea
configurațiilor necesare , stabilirea de canale alternative de comunicații (voce și date), puterea de alimentare
necesară și asigurarea că toate dependințele , inclusiv procesele și aplicați ile, sunt corect înțelese și luate în
considerare .
De exemplu, în cazul în care liniile de comunicație sau în cazul în care un serviciu este indisponibil pen tru orice
perioadă semn ificativă de timp, trebuie să existe o modalitate rapidă și testată de restabilire a comunicațiilor și
serviciilor afectate .
Incidentele și întreruperile pot apare din multe cauze:
 Umane – angajați nemulțumiți, revolte, vandalism, accidente, furt, etc;
 Tehnice – întreruperi, viruși, viermi, hackeri, probleme de alimentare cu energie electrică, fiabilitatea
echipamentelor, etc;
 Naturale – cutremure, furtuni, incendii, inundații, etc.
Fiecare din aceste situații pot cauza probleme de funcți onare de tipul:
 Minor – operațiunile sunt indisponibile pentru o perioadă redusă de timp, de până la câteva ore, sau mai
puțin de o zi;
 Mediu – operațiunile sunt indisponibile pentru mai mult de o zi. În acest caz o locație secundară poate fi
utilă pentru continuarea oper ațiunilor;
 Major – acest tip de eveniment apare în urma unei catastrofe iar locația principală nu mai poate fi
utilizată. Este necesară o locație auxiliară pentru continurarea operațiunilor până se va reactiva locația
principală.
Cele mai importante operaț iuni care trebuiesc luate în considerare de către o organizați e, în procesul de
funcți onare normală sunt următoarele:

Page 22 of 34

a. Prevenirea pierderii datelor și capabilitatea de recuperare
În cadrul operațiunilor zilnice este foarte important să se aibe în vedere se curitatea și protecția datelor
prelucrate. Datorită faptului că siguranța datelor procesate este esențială în orice organizați e, prevenirea
pierderii datelor și recuperarea acestora în caz de dezastru este critică. Obiectivul principal al unui plan de
salvare a aplicați ilor și datelor critice este acela de a permite restaurarea acestora într -un timp foarte scurt și cu
pierderi minime. În cadrul unui astfel de plan vor fi incluse următoarele puncte:
 Identificarea date lor și aplicați ilor care trebuiesc salvate;
 Tipul de salvare pentru diferite seturi de date (salvare completă, parțială, incrementală, continuă);
 Regularitatea cu care se vor face salvările;
 Unde vor fi păstrate salvările;
 Cine are acces la salvările efect uate;
 Perioada de timp necesară pentru a fi păstrate datele până vor fi distruse.
Salvările efectuate trebuiesc depozitate, iar accesul la acestea trebuie sa fie rapid și ușor. Locația în care sunt
depozitate salvările de siguranță poate avea un impact maj or în procesul de restaurare a datelor și a serviciilor
afectate. Din acest motiv este util ca salvările de siguranță să se regăsească în două locații diferite, astfel încât
riscul de pierderea a lor să fi diminuat semnificativ.

b. Capabilitatea de a r ăspund e la incidente
În crearea planului de răspuns în cazul unui dezastru trebuie avută în vedere atât capabilitatea de a răspunde la
incidente cât și identificarea obiectivelor pe termen scurt și pe termen lung, după cum urmează:
 Identificarea funcți ilor critice și prioritățile pentru restaurare;
 Identificarea sistemelor suport necesare funcți ilor critice;
 Estimarea potențialelor probleme care pot apare și identificarea resurselor minime necesare pentru
recuperare în caz de dezastru;
 Alegerea strategiei de recuperare și identificarea elementelor vitale necesare pentru reluarea activității
(personal, echipamente, sisteme, etc);
 Identificarea persoanei (persoanelor) care vor conduce reluarea activității și procesul de testare;
 Calcularea fondurilor necesare p entru atingerea acestor obiective.
Planul va trebui sa detalieze și modul de contactare și mobilizare a angajaților, comunicarea între angajați,
interfațarea cu furnizori externi.

c. Mentenanta, monitorizarea și evaluarea jurnalelor de audit
După finalizarea procedurilor de testare a planului de recuperare în caz de dezastru, este important ca acesta
să fie întreținut, actualizat și evaluat în continuu. Aceste activități constau în:
 Responsabilizarea personalului – fișa postului a persoanelor responsabile de planul de recuperare în
caz de dezastru trebuie să conțină detalii despre responsabilitățilre acestor în cadrul planului de
recuperare în caz de dezastru;

Page 23 of 34

 Revizuirea performanțelor – realizarea (sau nerealizarea) acțiunilor de întreținere a planului de
recuperare în caz de dezastru în cadrul unor întâlniri bianule cu persoanele responsabile;
 Auditare – echipa de auditare trebuie sa verifice planul și să se asigure că este actualizat și în
conformitate cu realitatea. Totodată, echipa de audit va trebui să in specteze toate locațiile suplimentare
în care sunt depozitatea copiile de siguranță, politicile de securitate, configurațiile, etc.
De asemenea, implicațiile planului de recuperare în caz de dezastru în cazul intreținerii, monitorizării și
recuperării treb uie luate în considerare în orice discuții referitoare la achiziționarea de echipamente noi,
modificarea celor existente sau a infrastructurilor critice ale organizați ei.

d. Teste de penetrare
Testarea securității reprezintă un element important în procesul de asigurare a continuității activității organizați ei
și constă într -o analiză cuprinzătoare a comportamentului sistemelor și aplicați ilor organizați ei în condițiile unor
scenarii prestabilite de atac informatic .
Scopul testelor de penetrare este acela de a analiza comportamentul aplicați ilor în contextul diferitelor atacuri
informatic e, fiind analizate vulnerabilitățile care pot exista în aplicați ile dezvoltate sau utilizate. Un test de
penetrare complet cuprind e atât teste automate cât și manuale. Testele automate identificâ neglijențe sau erori
de programare în aplicați ile utilizate și sunt efectuate cu ajutorul unor programe specializate (vulnerability
scanners, fuzzers, code scanners, etc). Testele manuale sunt folosite pentru a analiza aspecte ale aplicați ilor
care necesită intuiția umană, identificându -se erori logice de programare.
Este recomandat ca un test de penetrare (extern și intern) să fie efectuat anual. Testele de penetrare nu rezolvă
problemele aplicați ilor și sistemelor informatic e, ci doar le identifică. După fiecare test de penetrare sunt
necesare acțiuni de corectare și actualizare a sistemelor și aplicați ilor în testate.

e. Evaluari de securitate periodice și modalit ăți de remediere
Lumea securității informatic e este în continuă dezvoltare. Există o multitudine de metode de atac și apărare
care pot fi utilizate atât pentr u a ataca un sistem informatic cât și pentru apărarea acestuia. Evaluarea securității
sistemelor informatic e se poate realiza prin:
 Revizuirea politicilor de securitate – politicile de securitate sunt utilizate pentru a verifica prezența și
rigurozitatea c ontroalelor de securitate implementate;
 Scanare periodică pentru identificarea vulnerabilităților informatic e (vulnerability scanning) – aceste
programe sunt utilizate pentru a descoperi problemele aplicațiilor informatic e, configurații eronate și
vulnerabilități de securitate;
 Remedierea problemelor de securitate – se realizează pe baza rapoartelor rezultate în urma testelor de
scanare periodică de securitate. Remedierea se realizează prin implementarea patch -urilor de
securitate furnizate de catre producătorii de software, actualizarea la ultima versiune a aplicați ilor,
reconfigurarea sistemelor informatic e vizate, etc.
Teste de penetrare – sunt utilizate în principal pentru evaluarea măsurilor de remedierilor implementate în urma
scanărilor de sec uritate.

Page 24 of 34

IV. Atacuri cibernetice și măsuri de prevenire

4.1. Tipuri de atacuri cibernetice și măsuri de prevenire

România se confruntă în prezent cu amenințări provenite din spațiul cibernetic la adresa infrastructurilor critice,
având în vedere interdependența din ce în ce mai ridicată între infrastructurile cibernetice și infrastructuri
precum cele din sectoarele energie, telecomunicații, transport, financiar -bancar, și apărare națională.
Globali zarea spațiului cibernetic este de natură să amplifice riscurile la adresa acestora afectând în aceeași
măsură atât sectorul privat, cât și pe cel public.
Amenințările specifice spațiului cibernetic se caracterizează prin asimetrie și dinamică accentuată și ca racter
global, ceea ce le face dificil de identificat și de contracarat prin măsuri proporționale cu impactul materializării
riscurilor.
Amenințările la adresa spațiului cibernetic se pot clasifica în mai multe moduri, dar cele mai frecvent utilizate
sunt cele bazate pe factorii motivaționali și impactul asupra societății. În acest sens, putem avea în vedere
criminalitatea cibernetică, terorismul cibernetic și războiul cibernetic, având ca sursă atât actori statali, cât și
non-statali.
Amenințările din spa țiul cibernetic se materializează – prin exploatarea vulnerabilități lor de natură umană,
tehnică și procedurală – cel mai adesea în:
 atacuri cibernetice împotriva infrastructurilor care susțin funcți i de utilitate publică ori servicii ale
societății informaționale a căror întrerupere / afectare ar putea constitui un pericol la adresa securității
naționale;
 accesarea neautorizată a infrastructurilor cibernetice;
 modificarea, ștergerea sau deteriorarea neautorizată de date informatic e ori restricționarea il egală a
accesului la aceste date;
 spionajul cibernetic;
 cauzarea unui prejudiciu patrimonial, hărțuirea și șantajul persoanelor fizice și juridice, de drept public și
privat.
Pericolele și amenințările din spațiul virtual vizează, în general, rețelele, no durile de rețea și centrele vitale, mai
exact, echipamentele și sistemele fizice ale acestora (calculatoare, providere, conexiuni și noduri de rețea etc.),
precum și celelalte infrastructuri care adăpostesc astfel de mijloace (clădiri, rețele de energie electrică, cabluri,
fibră optică și alte componente). În aceeași măsură, ele vizează și centrele de date, sistemele de înmagazinare,
de păstrare și de distribuție a informați ei, suportul material al bazel or de date și multe altele.
Însă, înainte de toate, asemenea pericole și amenințări vizează sistemele IT (întreprinderi, linii de producție,
sisteme de aprovizionare cu materiale strategice, infrastructuri de resurse și de piețe, institute de cercetări,
sisteme de comunicații).
Din categoria pericolelor și amenințărilor împotriva infrastructuril or critice ale spațiului cibernetic fac parte și
următoarele:

Page 25 of 34

 dezvoltarea rețelelor subversive și neconvenționale IT;
 activitatea tot mai intensă a hacker -ilor;
 ciberterorismul.
Fără un sistem de securitate implementat și funcți onal, sistemele informatic e, de telecomunicații și datele
prelucrate, stocate sau trasportate de acestea pot fi oricând supuse unor atacuri informatic e. Unele atacuri sunt
pasive – informați ile sunt monitorizate sau copiate, iar alte a tacuri sunt active – fluxul de informați i este modificat
cu intenția de a corupe sau distruge datele sau chiar sistemul sau rețeaua în sine.
Sistemele informatic e și de telecomunicații, rețelele formate de acestea și informați ile pe care le dețin sunt
vulnerabile la numeroase tipuri de atacuri dacă nu sunt apărate de un plan de securitate informatic ă eficient . O
descriere a tipurilor de atac și reacții de securitate la îndemâna entităților economice care dețin un sistem de
secu ritate informatic ă funcți onal se poate consulta în Anexa 2 a prezentului document.

4.2. Dezvoltarea entit ăților de tip CERT

Contextul actual din domeniul securității sistemelor informatic e și de comunicații la nivel global, ne arată că
interconectarea rețelelor publice cu cele private, convergența domeniilor media, IT și comunicații și folosirea
comună a resurselor au crescut considerabil dificultatea de a proteja sistemele informatic e și de comunicații .
Protejarea acestora este esențială pen tru fiecare sec tor al economiei, iar obiectivele urmărite sunt:
 prevenirea acțiunilor îndreptate împotriva sistemelor informatic e și rețelelor de comunicații,
 reducerea vulnerabilității la aceste atacuri,
 minimizarea pagubelor și a timpului de recuperare în urma atacurilor .
Entitățile de tip CERT (Computer Emergency Response Team) au în vedere prevenirea și detectarea
amenințărilor de securitate la adresa sistemelor informați onale și răspunsul la amenințări, pe cât de obiectiv și
eficient posibil , dar și informare a în legătură cu acestea. Entitățile de tip CERT cooperează prin asigurarea de
informații legate de incidente de securitate pentru utilizatorii sistemelor informați onale prin intermediul Internet –
ului.
Deși pe termen scurt securitatea presupune îndeplinir ea atributelor de integritate, disponibilitate și
confidențialitate, pe termen lung, pentru protecția valorilor organizați ilor și asigurarea continuității serviciilor sunt
necesare urmatoarele măsuri:

 Preventive :
 implementarea de controale în cadrul organizați ilor;
 informare a și conștientizarea publicului;
 coduri de conduită;
 instruirea utilizatorilor.
 Protective :
 măsuri tehnice de protecție, utilizarea de echipamente și dispozitive securizate;
 reglementări;

Page 26 of 34

 planuri de recuperare în caz de dezastru.
 De reacție / combatere :
 crearea și specializarea organismelor abilitat e de lege;
 răspuns prompt și coerent al autorităților la incidente ;
 cooperare într e sectorul public și cel privat;
 cooperare internațională.
 De revizuire și perfecționare continuă:
 controale periodice;
 urmărirea progreselor tehnologice;
 adaptarea la noile tehnologii.

În prezent, există în lume diferite tipuri de entități CERT în diverse tipuri de organizați i. Acestea s -au format în
sectorul privat, în sectorul public și printr -un pa rteneriat între sectorul privat și cel public.
Constituirea capabilităților operaționale aferente unei entități de tip CERT, care să poată asigura funcți i specifice
managementului securității sistemelor informatic e și de comunicații la nivel na țional și organizați onal, necesită
eforturi bugetare semnificative, context în care operaționalizarea unei astfel de structuri la un nivel minim de
funcți onare este dificil de realizat.
Pentru a fi o perațional ă și să poată dispune de capacitatea necesară pentru prev enirea, analiza, identificarea și
reacția la incidentele cibernetice, o structură de tip CERT necesită o dezvoltare pe trei paliere strategice:
I. Definirea și crearea capabilităților tehnice necesare atingerii obiectivelor .
 Definirea, pe principii funcți onale, a componențelor tehnice ale sistemului de alertă timpurie și
informare în timp real privind incidentele cibernetice astfel încât să poată asigura
operaționalizarea acestuia.
 Clasificarea incidentelor de securitate în baza unei analize de risc realizate în domeniul
securității cibernetice, adaptate la riscurile și amenințările ce se manifestă / se pot manifesta la
adresa sistemelor informatic e și de comunicații naționale, coroborat cu contextul internațional
pe această dimensiune a securității globale (din punct de vedere geo -politic și de securitate /
militar).
 Definirea acțiunilor conc rețe derulate pe diverse scenarii de manifestare a incidentelor de
securitat e cibernetică, în raport cu severitatea și impactul acestora, stabilirea concretă a
nevoilor acționale și asigurarea capabilităților tehnice corespunzătoare/adaptate de
intervenție/reacție/răspuns.
 Definirea unor politici privind asigurarea cadrului de int eroperabilitate tehnică a sistemelor ce se
vor interconecta la infrastructura CERT în vederea asigurării unor forme inteligibile de
detecție/raportare/avertizare și răspuns/reacție la incidente de securitate cibernetică, atât la
nivel național cât și asigu rarea posibilităților tehnice necesare conectării infrastructurii tehnice la
structuri constituite la nivel internațional (ENISA – ECG, TERENA, FIRST, etc.).

Page 27 of 34

 Politică de achiziții orientată spre capabilități tehnologice multi -vendor și asigurarea exploatăr ii
la maxim a tehnologiilor create pe teritoriul național (mediul academic, companii autohtone în
domeniu etc.).
 Asigurarea capabilităților tehnice necesare derulării de investigații digitale ale incidentelor de
securitate cibernetică după mecanisme tehnol ogice și procedurale ce permit utilizarea acestora
de către organele de aplicare a legii.

II. Asigurarea personalului specializat pentru managementul proceselor interne, precum și pentru
utilizarea capabilităților tehnice create.
 Definirea competențelor neces are personalul propriu, pe toate palierele de activitate ale
structuii de tip CERT (Ex: analiză de risc, asigurarea funcționării continue și recuperare în caz
de dezastre, managementul securității sistemelor informatic e și de comunicații, operarea
sistemului de alertă, investigații digitale, etc.) prin utilizarea vastei expertize accesibile în acest
domeniu, în special în mediul privat și cantității semnificative de informați i pe acest subiect
accesibile prin intermediul unor canale media specializa te;
 Crearea unui cadru de recunoaștere a organismelor/entităților naționale/internaționale
formatoare de competențe în domeniul securității sistemelor informatic e și de comunicații
(mediul academic, organisme private interne și internaționale, etc.). Ex: L a nivel internațional,
pe lângă mediul universitar, mai multe organisme/entități, de regulă private, furnizează
competențe în domeniu, unele recunoscute de industrie (ISACA, ISC2, CE Council, SANS
INSTITUTE, BSI), altele fiind create de producători/furnizo ri de tehnologii în domeniu.
 Selectarea de personal cu competențe recunoscute în domeniul securității sistemelor
informatic e și de comunicații , în baza unor evaluări riguroase.

III. Asigurarea cadrului de reglementare necesar legalității și funcți onalității proceselor instituționale în
raport cu terți.
 Promovarea unor propuneri legale fundamentate prin date conc rețe (analize de risc, analize de
impact, analize de fenomen etc.), care să creeze obligativitatea participării, cel puțin a
deținătorilor de sisteme informatic e și de comunicații critice, în cadrul sistemului de alertă
timpurie și informare în timp real, cu precizarea procedurilor conc rețe și evidențierea investițiilor
necesare acestui demers.
 Definirea procedurală a cooperării cu instituțiile de aplicare a legii și limitele acționale în raport
cu atribuțiile structurilor de tip CERT .
 Asigurarea statutului juridic necesar formării de competențe profesionale în domeniul securității
sistemelor informatic e și de comunicații la nivelul structurilor de tip CERT.

Page 28 of 34

La nivel național există Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT -RO), ca
structură independentă de expertiză și cercetare -dezvoltare în domeniul protecției in frastructurilor cibernetice,
aflată în coordonarea Ministerului Comunicațiilor și Societății Informați onale.
CERT -RO își desfășoară activitatea în conformitate cu legislația în vigoare și cu regulamentul propriu de
organizare și funcți onare, în scopul realizării prevenirii, analizei, identificării și reacției la incidente în cadrul
infrastructurilor cibernetice ce asigură funcți onalități de utilitate publică ori asigură servicii ale societății
informați onale.
CERT -RO nu are competențe în domeniul infrastructurilor cibernetice destinate procesării, stocării sau
transmi terii informați ilor clasificate care se află în administrarea instituțiilor din domeniul apărării, ordinii publice
și siguranței naționale. Pentru aceste infrastructuiri, C ERT-RO îndeplinește doar atribuțiile de cooperare, în
baza unor acorduri dedicate, încheiate cu structurile de tip CERT din cadrul acestor instituții.
Practic, CERT -RO reprezintă un punct național de contact cu structurile de tip CERT care funcți onează în
cadrul instituțiilor sau autorităților publice ori al altor persoane juridice de drept public sau priva t, naționale ori
internaționale .

Page 29 of 34

Anexa nr. 1. Termeni și definiții

Infrastructuri cibernetice – infrastructuri de tehnologia informați ei și comunicații, constând în sisteme
informatic e, aplicați i aferente, rețele și servicii de comunicații electronice.
Spațiul cibernetic – mediul generat de infrastructurile cibernetice interconectate într -o rețea globală, incluzând
conținutul informați onal procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acesta.
Securitate cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și
reactive prin care se asigură confidențialita tea, integritatea, disponibilitatea, autenticitatea și nonrepudierea
informați ilor în format electronic, a resurselor și serviciilor publice sau private, din spațiul cibernetic.
Amenințare cibernetică – orice circumstanță sau eveniment care constituie un pericol potențial la adresa
securității cibernetice.
Atac cibernetic – orice acțiune ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea
cibernetică.
Incident cibernetic – orice eveniment survenit în spațiul cibernetic de natură să a fecteze securitatea
cibernetică.
Război cibernetic – desfășurarea de acțiuni ofensive în spațiul cibernetic de către un stat în scopul distrugerii
sau perturbării funcți onării infrastructurilor critice ale altui stat, concomitent cu desfășurarea de acțiuni defensive
și contraofensive pentru protejarea infrastructurii cibernetice proprii.
Terorism cibernetic – activitățile premeditate desfășurate în spațiul cibernetic de către persoane, grupări sau
organizați i motivate politic, financiar, ideologic sau religios ce pot determina distrugeri materiale sau victime de
natură să determine panică sau teroare.
Spionaj cibernetic – acțiuni desfășurate în spațiul cibernetic, cu scopul de a obține neautorizat informați i
confidențiale în interesul unui stat.
Crimina litatea informatic ă – totalitatea i nfracțiunilor comise prin utilizarea rețelelor de comunicare electronice
și a sistemelor de informare sau împotriva unor astfel de rețele sau de sisteme.
Vulnerabilitate – o slăbiciune în proiectarea și implementarea infr astructurilor cibernetice sau a măsurilor de
securitate aferente care poate fi exploatată de către o amenințare.
Riscul de securitate – probabilitatea ca o amenințare să se materializeze, exploatând o anumită vulnerabilitate
specifică infrastructurilor ci bernetice.
Managementul riscului – un proces complex, continuu și flexibil de identificare, evaluare și contracarare a
riscurilor la adresa securității cibernetice, bazat pe utilizarea unor tehnici și instrumente complexe, pentru
prevenirea pierderilor de orice natură.
Managementul identității – metode de validare a identității persoanelor când acestea accesează anumite
infrastructuri cibernetice.
Reziliența infrastructurilor cibernetice – capacitatea componentelor infrastructurilor cibernetice de a rezista
unui incident sau atac cibernetic și de a reveni la starea de normalitate.
Societatea informați onală – este societatea în care producerea și consumul de informați e este cel mai
important tip de activitate, informați a este recunoscută drept resursă principală, tehnologiile informați ei și

Page 30 of 34

comunicațiilor sunt tehnologii de bază, iar mediul informați onal, împreună cu cel social și cel ecologic – un
mediu de existență a omului.
CERT – Centru de răspuns la incidente de securitate cibernetică – entitate organizațională specializată care
dispune de capabilitățile necesare pentru prevenirea, analiza, identificarea și reacția la incidentele cibernetice.
SQL Injection – Este o tehnică de a tac asupra aplicați ilor des utilizată pentru atacarea unei baze de date prin
intermediul unui site web. Tehnica exploatează vulnerabilitățile de securitate ale site -ului web care fac posibilă
accesarea informați ilor din baza de date sau modificarea acestor a prin inserarea de instructiuni SQL în anumite
câmpuri din paginile web, care insuficient validate sau incorect proiectate, vor permite executarea de cod în
baza de date a aplicați ei.
Cross -site scripting (XSS) – Este o tehnică de atac asupra aplicați ilor care exploateaza vulnerabilitățile de
securitate informatic ă în special din aplicați ile web, cum ar fi browserele web, care permit atacatorilor să
injecteze propriul cod în paginile web accesate de alți utilizatori ai aplicați ei.
DNS spoofing (DNS poisoning) – Este o tehnică de atac la nivel de servicii care constă în hackingul unui
computer, astfel încat acesta va reruta requesturile catre anumite servere cu adrese web către alte adrese, de
regulă către computere controlate de atacator.
ISACA – Informați on Systems Audit and Control Association
ISC2 – International Informați on Systems Security Certification Consortium
CE Council – Council on Continuing Education
SANS INSTITUTE – SysAdmin, Audit, Network, Security Institute
BSI – British Standard Institution

Anexa nr. 2. Descriere tipuri de atac și reacții de securitate la îndemâna entitaților economice care dețin un sistem de securitate informatic ă
funcți onal
Nr.
Crt. Tip de atac
informatic Descriere Masuri de prevenire și de eliminare a efectelor producerii atacului
1. Atacuri ce vizeaza
exploatarea
vulnerabilităților
serviciilor sau
aplicați ilor Acest gen de atacuri vizează servicii și aplicați i
ale căror versiuni sunt cunoscute a avea
vulnerabilități sau sunt necorespunzător
configurate.
De regula acest tip de atac este precedat de
scanarea porturilor masinilor tinta, pentru a
determina versiunile sistemelor de operare și a
serviciilor rulate. Rezultatul acestor atacuri poate
consta în acces neautorizat la date sau la resurse,
execuție neautorizată de cod, indis ponibilitate a
serviciilor sau a aplicați ilor. Vulnerabilitățile provin
din erori de proiectare sau programare (buffer
overflows, pointeri inițializați sau folosiți în mod
eronat), lipsa unei verificări a datelor introduse de
utilizatori în aplicați i (form atarea greșită a
stringurilor, prelurarea incorectă a caracterelor
speciale, SQL injection, code injection, e -mail
injection, HTTP header injection, HTTP response
splitting, directory traversal și cross -site scripting în
aplicați ile web) sau rularea unor aplicați i cu
drepturi ce permit escaladarea de privilegii,
premițând unui eventual atacator să preia controlul
asupra unor resurse ale sistemului informatic vizat. 1. Elaborarea și implementarea de politici de securitate care să reglementeze și să automatizeze
procesele de update pentru produsele software folosite în cadrul organizați ei, multe din aceste
actualizări vizând remedierea unor vulnerabilități
2. O mentenanță riguroasa a hardware -ului, în sensul unei corecte configurări din punct de vedere a
securității și a actualizării firmware -ului de fiecare dată când apar noi versiuni
3. Teste periodice de penetrare și audituri de securitate
4. Testarea aplicați ilor dezvoltate i n-house
5. Folosirea de echipamente specializate în detecția și prevenirea acestor tipuri de atacuri (IDS și
IPS – tehnologii ce se bazează pe recunoașterea atacurilor), web application firewall sau web
filtering
6. Folosirea unui SIEM – software de analiza a ev enimentelor de securitate și a comportamentelor
anormale din rețea ce sunt extrase din jurnalele aplicați ilor și sistemelor și echipamentelor din
rețea
7. Implementarea de măsuri de protecția datelor prin proceduri de back -up, replicare și disaster –
recovery care să asigure disponibilitatea datelor în orice condiții.
2. Atacuri de tip
phishing Phishing -ul este comportamentul infracțional prin
care se încearcă obținer ea de informați i (și, uneori,
în mod indirect, de bani), cum ar fi nume de
utilizator, parole, detalii despre carduri de credit
prin falsificarea unei entități legitime într -o 1. Imbunatațirea autenticității site -ului.
Rădăcină a problemei acestui tip de înțelăciune este că utilizatorii nu sunt capabili să identifice dacă site -ul
este original sau fals. Privind URL -ul și certificat -ul SSL atent îți poți da seama ușor de fals în cele mai multe
cazuri, dar nu toți utilizatorii au timp și nici aptitudini tehnice pentru a analiza și a lua hotărârea corectă.
O metodă eficientă este de a personaliza p agina de conectare pentru fiecare utilizator. Conectarea se poate

Page 32 of 34

Nr.
Crt. Tip de atac
informatic Descriere Masuri de prevenire și de eliminare a efectelor producerii atacului
comunicare electronică. Mesajul transmis victimei
simuleaza că ar proveni de la site -uri bancare, de
licitații, procesatori de plăți online sau
administratorii IT și sunt de obicei utilizate pentru a
atrage publicul neavizat. Phishing -ul este de obicei
efectuat prin e -mail spoofing sau mesaje instant, și
de multe ori direcționează utilizatorii să introducă
detalii confidențiale pe un site fals al cărui aspect
este aproa pe identice cu cel legitim. Mai nou a
apărut conceptul de spearphishing. Acesta este
similar cu phishing -ul, diferența majoră constând în
faptul ca atacul vizează ținte clar identificate și
este combinat cu elemente de inginerie socială, în
scopul de a ind uce ideea că mesajul provine de la
o persoană cunoscută în cadrul organizați ei vizate. face în două etape. În primul rând utilizatorul introduce doar user -ul și nu parola. Odata ce user -ul este
regăsit, serverul returnează o pagină în cazul în care utilizatorul primește pentru a vedea o imagine pe care
el a ales -o, la momentul înregistrării. În cazul în care imaginea este potrivită el furnizează parola și totul este
ok. Dacă imaginea nu este corectă se ridică o alertă și clientul nu furnizează parola. Atacatorul nu poate ști
ce imagine va trebui arătată utilizatorului. Metoda nu este 100% infailibilă dar ingreunează misiunea
atacatorului.
2. Parole intr -o singură incercare
Transmiterea parolei este insoțita de un cod furnizat de un token care este valabil doar o perioada foarte
scurta de timp de regula 60 de secunde. Nici această metodă nu este 100% infailibilă dar ingreunează
misiunea atacatorului dacă nu folosește datele furnizate în cele 60 de secunde.
O metodă puțin diferită este reconfirmarea accesului cu un cod trimis prin al t sistem (sms) dar acest lucru
induce o serie de dificultăți de costuri și de limitare a accesului.
3. Parole separate pentru acces și tranzacționare
Userul va trebui să utilizeze o parolă pentru acces și altă parolă pentru tranzacțiile pe care le efectuează .
4. Personalizarea comunicărilor pe email
Phishing -ul începe cu un e -mail. Cum vor diferenția utilizatorii un mail de phishing față de unul la un centru
autorizat? Dacă putem personaliza email -urile autorizate să includă unele detalii la care atacatorii nu vor
avea acces la, există o șansă ca userii să identifice e -mail-urile de phishing care nu au oricare dintre aceste
detalii. Unele detalii care ar putea fi incluse în comunicările prin e -mail sunt numele Clientului complet și
ultimele 4 cifre ale numărului contul său.
5. Educarea utilizatorilor
Poate cel mai bun mecanism de protectie, dar cel mai greu de pus în aplicare. Dacă putem educa utilizatorii
despre cum să detecteze un e -mail/site de phishing și cum poate accesa site -ul web original în siguranță, o
mulțime de atacuri de tip phishing nu ar reuși. Am putea pune aceaste informați i pe pagina de login sau îl
putem trimite ca e -mailuri. Metoda variază în funcți e de tipul de activitate și de canalele disponibile pentru a
ajunge la utilizator.
Mai dificil de contracarat este atacul de tip phishing dacă faptuitorul acționează de pe teritoriul altor țări, în
acest caz autoritățile române au posibilitatea de a colabora cu instituții internaționale sau cu cele din țările în
care atacatorii acționează.
De asemenea organizați a atacată are posibilitatea de a solicita ISP -ului care furnizeaza găzduirea

Page 33 of 34

Nr.
Crt. Tip de atac
informatic Descriere Masuri de prevenire și de eliminare a efectelor producerii atacului
domeniului pentru atacator sa -i blocheze acestuia site -ul falsificat.
3. Software nociv
(malware) Malware" este un termen general folosit pentru a
se referi la o varietate de forme de software
conceput în scopul de a aduna informați i
confidențiale sau de a obține acces neautorizat la
resurse informatic e. Aici putem include virușii,
viermii, troienii, spyware, adware, rootkit -uri,
keyloggere. 1. Elaborarea și implementarea de politici de securitate care să reglementeze și să automatizeze
procesele de update pentru produsele software folosite în cadrul organizați ei
2. Implementarea unei politici privind implem entarea și actualizarea a produselor anti -virus și anti-
malware, folosind mecanisme automatizate.
3. Limitarea drepturilor utilizatorilor, prevenind instalarea de software neautorizat sau încercările
nelegitime de escaladare a drepturilor.
4. Având în vedere ca tendința de propagare a malware -ului se manifestă pregnant din direcția
traficului web și e -mail, filtrarea acestui tip de trafic folosind tehnologii de web&e -mail filtering ce
includ motoare anti -malware, mecanisme anti -spam, DNSBL și URL-categorization
Următoarea este o listă de strategii comună pentru protecția datelor:
1. Copiile de rezervă facute pe bandă să fie trimise periodic la o altă locație
2. Copii de rezervă pe disk să fie făcute la locație și copiate pe alt disk la altă locație sau copiate
direct la altă locație
3. Replicarea datelor esențiale la o altă locație
4. În multe cazuri, se poate alege să se apeleze la un furnizor extern specializat pe recuperare care
să ofere un stand -by site care să fie folosit în caz de dezastru.
4. Interceptarea
comunicatiilor
(passive
wiretapping) Acest tip de atac consta în interceptarea ilegala a
comunicațiilor de voce sau de date vehiculate
printr -o rețea de transmisii de voce sau de date. Sistemele, rețelele, echipamentele și informați ile sensibile sau critice pentru o organizați e ar trebui să fie
protejate fizic intr -un perimetru de securitate delimitat, cu bariere de securitate adecvate și mecanisme de
control al accesului . Mecanisme speciale pot fi necesare pentru a proteja împotriva riscurilor sau accesului
neautorizat și pentru a proteja instalațiile de suport, cum ar fi alimentarea cu energie electrică și
infrastructura de cablare.
Protecția oferită trebuie să fie proporțională cu riscurile identificate. Instituirea unei politici de clear -desk este
recomandată pentru a reduce riscul de acces neautorizat.
Totodata, pentru acele rețele de comunicații prin care sunt vehiculate informați i sensibile, se pot implementa
mecanisme de criptare și, în general, se recomandă folosirea unor versiuni criptate (secure) a protocoalelor
de comunicații, acest lucru fiind posibil atât pentru comunicațiile voce, cât și date, având în vedere serviciile
de unified -communications oferite de actorii din piața TELCO.
Dacă comunicațiile vă sunt intercepta te luați legatura cu compania care va furnizeaza serviciile de transfer

Page 34 of 34

Nr.
Crt. Tip de atac
informatic Descriere Masuri de prevenire și de eliminare a efectelor producerii atacului
de date. Compania va inspecta liniile pentru a identifica dispozitivele de interceptare . Dacă sunt găsite astfel
de dispozitive, compania va verifica pentru a vedea dacă acestea sunt autorizate . Compania vă va avertiza
dacă interceptarea este ilegală . Aceasta va notifica , de asemenea, organele legii și va inlătura dispozitivul .
Dacă o companie sau organizați e identifică interceptarea în mod intenționat a comunicațiilor are mijloace
legale pentru o acțiune în justiție . Dacă aveți sau compania de telefonie a găsit un dispozitiv de interceptare
ilegal , trebuie să fie notificate autoritațile naționale în vederea luării măsuril or adecvate de aplicare a legii .
5. Atacuri de tip
Distributed Denial –
of-Service (DdoS) În atacurile de tip Distributed DoS (DDoS), un
atacator instalează un agent sau un demon pe
numeroase computere. Atacatorul trimite o
comandă pentru a lansa atacul unui computer
master, care poate fi oricare dintre multele
computere gazde. Masterul comunică cu agenții
residenți în alte servere pentru a începe atacul.
Atacurile DDoS sunt mai greu de combatut,
deoarece blocarea unei singure adrese IP sau de
rețea nu va opri atacul. Atacurile pot proveni de la
sute sau chiar mii de sisteme individuale și, uneori,
proprietarii computerelor nu sunt măcar conștienți
de faptul că mașinile lor sunt parte a unui atac
informatic .
Un atac DDoS se soldează cu supraîncărcarea
aplicați ilor cu sute de cereri invalide sau, cel mai
frecvent, pe transmiterea unui volum mare de trafic
aparent legitim (de ordinul Gbps), care saturează
banda de acces a clientului final, ducând la
imposibilitatea acc esării oricărui serviciu. Organizați a interesată în a se proteja împotriva atacurilor de tip DDoS poate opta pentru soluții informatic e
specializate care se bazează pe echipamente hardware performante, dotate cu interfețe de rețea
specializate. Un astfel d e serviciu are rolul de a monitoriza în permanență logurile și nivelul de trafic către
adresele IP ale clientului, iar în cazul detectării unui atac traficul este redirecționat prin echipamente de
curățare.
În fața atacurilor de acest tip, majoritatea furnizorilor de Internet aleg ca metodă de protecție traffic
blackholing. Mai exact, adresele IP atacate sunt anunțate în mod automat furnizorilor de nivel superior, care
blochează în totalitate traficul spre ac estea pentru un interval de timp. Metoda este simplă, protejează restul
capacității de acces Internet , atât a clientului, cât și a furnizorului, însă serviciile de pe serverele atacate
rămân indisponibile pe toată durata aplicării acestor filtre (există ca zuri în care atacurile durează zile întregi).
Necesitatea asigurării continuității serviciilor a făcut ca un număr în creștere de furnizori să adopte metode
de tip traffic cleaning – filtrare a traficului de tip flood și livrarea către client doar a trafic ului legitim. Practic, în
momentul detectării unui atac către o adresă IP, traficul este redirecționat prin echipamente specializate
aflate în data center -ele furnizorului, unde se identifică tipul atacului și se aplică filtre care îl blochează sau îi
reduc intensitatea. Durata acestor operații este de ordinul a câtorva secunde, iar impactul asupra
utilizatorilor serviciului este minim, de multe ori insesizabil.
Acest tip de protecție implică, însă, investiții importante din partea furnizorului. Pentru a p utea susține atacuri
de intensități mari (de ordinul Gbps), furnizorul de Internet trebuie să își supradimensioneze capacitățile de
acces metropolitane și internaționale, pentru a lăsa loc vârfurilor de trafic care apar în astfel de situații. Un
alt cost i mportant este cel al echipamentelor de protecție care, în funcți e de capacitatea filtrată, tipurile de
atacuri recunoscute și posibilitățile de upgrade pot ajunge la prețuri foarte ridicate.