Consideratii Privind Securitatea Sistemelor Informatice Economice

Capitolul 1. Introducere în securitatea sistemelor informatice.

sistem informațional și sistem informatic

Orice   activitate  realizată  cu  scopul  de  a  satisface   o necesitate se desfășoară conștient și într-un cadru organizatoric bine determinat.

Orice  activitate umană organizată într-un astfel de  cadru  este unitate a trei sisteme1:

sistem condus;

sistem de conducere;

sistem informațional.

Sistemul  condus  (operațional) – cumulează  mijloacele și  resursele pentru desfășurarea activității de producție. În acest sistem are loc consumul de resurse materiale, umane,  de capital, informații.

Acest  sistem  trebuie condus și coordonat în  vederea  atingerii obiectivelor propuse.

Sistemul  de  conducere (decizional) reprezintă un  ansamblu  de sarcini, procese și mijloace ce coordonează activitatea condusă. Între  sistemul  condus și sistemul de conducere  există  o  legătură permanentă în ambele sensuri.

Coordonarea  sistemului condus poate avea loc numai dacă  sistemul  de conducere  are suficiente cunoștințe despre sistemul condus care să-i parvină la timpul potrivit și-n volumul și structura necesară.

Totalitatea cunoștințelor generate de sistemul condus trebuie supuse unui  sistem  de prelucrare după anumite reguli care să  facă  aceste cunoștințe înțelese și utile sistemului de conducere.

Sistemul informațional reprezintă  un  ansamblu  organizat și integrat  da  date și informații precum și metodele și  mijloacele  de culegere, stocare, prelucrare și transmitere a acestora în  vederea valorificării în procesul decizional.

Prin acest ansamblu cunoștințele generate de sistemul condus sunt prelucrate după  anumite  reguli și  transformate în   cunoștințele sintetice și utile conducătorului căruia îi sunt destinate. Sistemul   informațional   face  legătura   dintre   sistemul condus (operațional) și sistemul de conducere (decizional).

Sistemul informațional cuprinde următoarele elemente:

datele;

informațiile;

circuitele informaționale;

fluxurile informaționale;

mijloacele de culegere, stocare și prelucrare și transmitere a datelor.

Datele reprezintă  ansamblu de semne cifrice sau litrice prin  care  se comensurează un fenomen sau proces. Șirul de semne reprezintă suportul material al informației. Datele sunt prelucrate după  anumiți  algoritmi dinainte  determinați,  sunt analizate rezultatele și  interpretate  pentru  a oferi informații relevante despre fenomene.

Informațiile  sunt rezultatele procesului  de  prelucrare  a datelor pe baza unor proceduri prestabilite. Ele  au  un conținut  semnificativ pentru cel ce  le  utilizează și constituie element de fundamentare al deciziei. Există în realitate  însă și unele date care  chiar dacă  nu  sunt prelucrate  au  un conținut  semnificativ și  pot  fi  utilizate în fundamentarea unor decizii sau declanșarea unor acțiuni. Mulțimea informațiilor tinde să blocheze canalele informaționale în același timp nevoia de informare este tot mai mare. Rezolvarea acestei probleme între volumul și nevoia de informație se realizează prin informatizarea sistemului informațional. Volumul mare de informații face necesara o grupare a acestora care să permită  analistului de sistem să le ia în considerare în  funcție  de valorile lor informaționale.

Circuitul informațional reprezintă ansamblul de  puncte, de locuri  de muncă,  de compartiment prin care  trec informațiile  din momentul  intrării sau generării lor în unitate și până în  momentul ieșirii din unitate.

Fluxurile informaționale reprezintă cantitatea de informații ce parcurg un circuit informațional.

Mijloacele de culegere, stocare, prelucrare și  transmitere  a informațiilor sunt o componentă importantă a sistemului informațional. Dacă aceste mijloace sunt automate, ele formează sistemul informatic.

Rezultă că sistemul informatic face parte din  sistemul informațional care, în ultimul timp, are un rol  deosebit în dezvoltarea și perfecționarea sistemului decizional  prin  oferirea unui instrument important de investigare și cunoaștere științifică  a fenomenelor și proceselor.

Domeniile  de utilizare a informaticii s-au diversificat în  ritm rapid. Astfel se poate vorbi despre:

informatica tehnico-științifică ce se ocupă  cu  rezolvarea calculelor tehnico-inginerești;

informatica industrială ce are ca rol, supravegherea, comanda și controlul procesului de producție;

informatica  de gestiune ce  are  ca  obiectiv  prelucrarea automată a informațiilor economice;

informatica pentru conducere care se ocupă cu  informatizarea procesului de conducere și asistare a deciziilor;

informatica despre birotică  prin care se  realizează automatizarea activităților de birou di administrație;

informatica care  se ocupă  cu  proiectarea  asistată  de calculator, care are  ca  obiectiv   proiectarea proceselor   și tehnologiilor.

Informatica realizează o producție proprie legată de  prelucrarea datelor.

Producția informatică are două componente:

 proiectarea de sisteme noi  sau  perfecționarea celor vechi;

prelucrarea  automată  a datelor ca o  activitate  de  tipul prestarilor de serviciu.

Un  sistem  informatic este conceput și funcționează  la  nivelul unei anumite unități și  este  un  ansamblu  coerent  format   din echipamente  de calcul și comunicație, programare, procese,  proceduri automate și manuale și care sunt utilizate ca instrumente de prelucrare a datelor.

Sistemul  informatic  preia o parte din  baza  informațională și operațiunile de prelucrare ale sistemului informațional devenind în acest fel o componentă a acestuia. Din  acest punct de vedere sistemul informatic poate fi considerat  ca  un subsistem informațional automatizat.

Utilizarea   calculatorului   pentru  rezolvarea   unor   lucrări constituie  o  aplicație  informatică. Un  sistem  informatic  poate cuprinde una sau mai multe aplicații informatice.

Sistemul informatic integrat asigură prelucrarea unică a fiecărei informații și difuzarea acestora tuturor aplicațiilor care o solicita.

Integrarea sistemului se poate realiza pe mai multe căi:

prin crearea unei baze informaționale comune, actualizată în mod unitar și care să fie utilizată de toate aplicațiile;

transmiterea informațiilor între aplicații  sub  forma  unor interfețe.

Evoluția securității sistemelor informatice.

Evoluția sistemelor electronice de calcul a atras dupa sine, în mod inevitabil, preocupări cu privire la securitatea sistemelor informatice. În anii de pionierat ai utilizării echipamentelor electronice de calcul, principalele metode de asigurare a securității acestora erau cele referitoare la protecția fizică – în sensul interzicerii accesului în sala de calculatoare. Acest fapt se datorează în principal costurilor foarte ridicate ale echipamentelor electronice în comparație cu valoarea datelor și informațiilor ce erau stocate și prelucrate de acestea.

Apariția microprocesoarelor și dezvoltarea unor metode eficiente și rentabile de producție a acestora pe la sfârșitul anilor 70, a avut un impact enorm asupra multiplicării numărului de calculatoare și a determinat creșterea puterii de stocare și prelucrare a datelor, scăderea dramatică a prețului echipamentelor electronice și a impulsionat dezvoltarea serviciilor informatice. Cel mai important efect al microprocesoarelor îl constituie inversarea raportului valoric între echipament și informația stocată și prelucrată de acesta. Costul reparării unei defecțiuni hardware poate fi doar o fracțiune a ceea ce ar putea să coste reinstalarea datelor care s-au pierdut datorită unei defecțiuni hardware sau a unei erori a operatorului. „ Datele inexacte, incomplete sau false pot afecta în mod semnificativ cifra de afaceri sau profiturile, fie direct (de exemplu, prin imposibilitatea de a ține sub urmărire datoriile restante) fie indirect, (de exemplu, prin timpul necesar recuperării informațiilor în loc ca acesta sa fie folosit în dezvoltarea afacerii, sau cauzând decizii eronate ale managerilor) ” 2.

Astfel accentul se pune pe informație. Se introduc noi tehnici de acces pe bază de parolă, se limitează accesul pe categorii de utilizatori, se desemnează personal specializat pe probleme de securitate a datelor și informațiilor. Creșterea complexității sistemelor electronice și a tehnicilor de prelucrare a datelor și informațiilor a determinat creșterea vulnerabilității sistemelor iar metodele tradiționale de protecție sunt insuficiente determinând dezvoltarea unor politici care să asigure protecția acestora. Au apărut organisme internaționale care emit reguli și principii pentru asigurarea securității dintre care o importanță deosebită o are OECD.

OECD (Organisation of Economic Cooperation and Development) este unul dintre organismele internaționale preocupate de domeniul protecției datelor cu caracter personal, securității sistemelor informatice, politicii de criptare și al protecției proprietății intelectuale. Activitatea OECD este dirijată către integrarea acestor probleme în reglementările existente pe plan mondial, prin realizarea unor acorduri internaționale. Pe baza programelor stabilite de OECD, țările membre au dezvoltat sau sunt în curs de dezvoltare a unor legi, norme, criterii tehnice și reglementări. Printre domeniile avute în vedere de către OECD sunt incluse și următoarele:

În ceea ce privește protecția datelor cu caracter personal, OECD a elaborat în anul 1985 Declarația cu privire la fluxul transfrontarier al datelor. Ideea fundamentală era de a se realiza, prin măsuri juridice și tehnice, controlul direct individual asupra datelor cu caracter personal și asupra utilizării acestora

În ceea ce privește sistemele de criptare, OECD a început în anul 1992 organizarea unor reuniuni asupra tehnologiilor și sistemelor de cifrare. Criptarea are rol nu numai în domeniul protecției datelor cu caracter personal, al securității sistemelor informatice și protecției proprietății intelectuale în infrastructura informatică mondială, dar și în aplicații ca: votul de la distanță, comerțul electronic, plăți electronice, gestiunea documentelor în rețele sau cărți de identitate. Rolul reglementărilor OECD este de a conștientiza și sensibiliza populația asupra criptării și a potențialei ei utilizări, precum și de a realiza un consens internațional în ceea ce privește politica de criptare.

În ceea ce privește securitatea sistemelor informatice, țările din OECD au cerut, în 1988, secretariatului OECD să pregătească un raport complet asupra acestui domeniu, cu evidențierea inclusiv a problemelor tehnologice, de gestiune, administrative și juridice. Ca urmare a acestui raport, țările membre au negociat și adoptat în anul 1992 Liniile directoare privind securitatea sistemelor informatice în OECD. Consiliul OECD recomandă revizuirea periodică a acestor reglementări la fiecare 5 ani (ultima reuniune OECD dedicată domeniului a avut loc în mai 1997). Liniile Directoare enunță 9 principii care privesc securitatea informatică:

1. Principiul responsabilității, adică stabilirea clară a responsabilităților privind securitatea, pe care le au proprietarii, furnizorii, administratorii și utilizatorii sistemelor informatice.

2. Principiul sensibilizării, conform căruia persoanele interesate asupra acestui subiect trebuie corect informate.

3. Principiul eticii, adică elaborarea unor norme sociale de conduită în utilizarea sistemelor informatice și difuzarea lor, în special către cei tineri.

4. Principiul pluridisciplinarității, conform căruia metodele tehnice și organizatorice privind securitatea informatică trebuie adoptate prin cooperarea dintre personalul tehnic, administrativ, legislativ și de utilizare a sistemelor.

5. Principiul proporționalității, care cere ca securitatea să nu fie maximală, ci în relație directă cu importanța informațiilor gestionate și cu costurile suportabile pentru implementarea măsurilor de protecție.

6. caracter personal și asupra utilizării acestora

În ceea ce privește sistemele de criptare, OECD a început în anul 1992 organizarea unor reuniuni asupra tehnologiilor și sistemelor de cifrare. Criptarea are rol nu numai în domeniul protecției datelor cu caracter personal, al securității sistemelor informatice și protecției proprietății intelectuale în infrastructura informatică mondială, dar și în aplicații ca: votul de la distanță, comerțul electronic, plăți electronice, gestiunea documentelor în rețele sau cărți de identitate. Rolul reglementărilor OECD este de a conștientiza și sensibiliza populația asupra criptării și a potențialei ei utilizări, precum și de a realiza un consens internațional în ceea ce privește politica de criptare.

În ceea ce privește securitatea sistemelor informatice, țările din OECD au cerut, în 1988, secretariatului OECD să pregătească un raport complet asupra acestui domeniu, cu evidențierea inclusiv a problemelor tehnologice, de gestiune, administrative și juridice. Ca urmare a acestui raport, țările membre au negociat și adoptat în anul 1992 Liniile directoare privind securitatea sistemelor informatice în OECD. Consiliul OECD recomandă revizuirea periodică a acestor reglementări la fiecare 5 ani (ultima reuniune OECD dedicată domeniului a avut loc în mai 1997). Liniile Directoare enunță 9 principii care privesc securitatea informatică:

1. Principiul responsabilității, adică stabilirea clară a responsabilităților privind securitatea, pe care le au proprietarii, furnizorii, administratorii și utilizatorii sistemelor informatice.

2. Principiul sensibilizării, conform căruia persoanele interesate asupra acestui subiect trebuie corect informate.

3. Principiul eticii, adică elaborarea unor norme sociale de conduită în utilizarea sistemelor informatice și difuzarea lor, în special către cei tineri.

4. Principiul pluridisciplinarității, conform căruia metodele tehnice și organizatorice privind securitatea informatică trebuie adoptate prin cooperarea dintre personalul tehnic, administrativ, legislativ și de utilizare a sistemelor.

5. Principiul proporționalității, care cere ca securitatea să nu fie maximală, ci în relație directă cu importanța informațiilor gestionate și cu costurile suportabile pentru implementarea măsurilor de protecție.

6. Principiul integrării, conform căruia securitatea, care este necesară în toate stadiile de prelucrare a informațiilor – colectare, creare, prelucrare, stocare, transmitere și ștergere, trebuie prevăzută și evaluată încă din stadiul de proiectare a sistemelor informatice.

7. Principiul oportunității, conform căruia organizațiile publice și private pot stabili mecanisme și proceduri care să permită o cooperare rapidă și eficientă pentru a face față rapid unor tentative de corupere a securității sistemelor.

8. Principiul reevaluării, care cere revizuirea periodică a securității a sistemelor informatice, în funcție de noile pericole și tehnologii de protecție disponibile.

9. Principiul democrației, adică stabilirea unui echilibru între cerințele de securitate și protecție și cele privind libera circulație a informațiilor, conform principiilor care guvernează societățile democratice.

Riscurile la care sunt expuse sistemele informatice.

Evoluția continuă a tehnologiilor informaționale este însoțită de o vulnerabilitate sporită a sistemelor informatice. Factorii care favorizează această caracteristică nedorită a sistemelor sunt:

Cantități mari de date sunt concentrate în fișiere foarte mici din punct de vedere fizic

Capacitatea de procesare a calculatorului este extensivă, cantitați enorme de date sunt procesate fără interventia umana, și deci fără ca oamenii să știe ce se intamplă. Acest fapt pune accent pe exactitatea programelor și a datelor din fișiere.

Datele din fișiere pot fi pierdute foarte ușor. Echipamentele pot greși sau să nu funcționeze corespunzător, fișierele de date pot fi corupte și să inmagazineze date fără sens. Se pot pierde biți de informație când se copiază fișiere iar fișierele de date sunt întotdeauna susceptibile de a pierde date prin furt, inundații sau incendiu.

Persoane neautorizate pot accesa datele din fișiere și să citească date secrete sau să manipuleze datele din fișiere. O problemă specială există în cazul sistemelor on-line deoarece accesul la un anumit program sau fișier master poate fi obținut de la oricare terminal. Acest tip de risc este cunoscut sub numele de lărgirea a accesului direct la resursele fizice de date;

Informația dintr-un fișier poate fi schimbată fără a lăsa urme fizice ale schimbarii. În comparație, o schimbare într-un fișier manual deseori implică și lăsarea unor urme – de exemplu, ștergerea unor date de pe un document pentru a insera date noi.

Calculatoarele nu dispun de inteligență, iar erorile în procesarea datelor de către calculator pot scăpa nedetectate în timp ce prelucrarea manuală a datelor evită acest neajuns. De exemplu, un program de salarizare poate produce un cec de salarii pentru un angajat în valoare de 0,00 lei sau de 1.000.000.000 de lei și nu va ști dacă a facut ceva greșit sau nu.

Dezvoltarea tehnicilor de exploatare a calculatoarelor: multiprogramarea, exploatarea în timp real și în multiacces, accesul la sisteme prin terminale situate la distanță etc;

Extinderea comunicațiilor și a rețelelor tot mai performante, care au lărgit aria utilizatorilor de calculatoare.

Riscul a fost definit ca o evaluare cuantificată a unei pierderi potențiale.

Cea mai buna metodă de a trata riscul este de a-l evita complet, cu alte cuvinte să modifici sistemul în asa fel încât să nu fie vulnerabil la risc. Nereușind aceasta, riscul trebuie controlat. Agenții economici și mediul înconjurător se schimbă constant și astfel managementul riscului este un proces continuu, nu doar de moment. Este nevoie de o politică de securitate revizuită la intervale regulate, nu doar un set de măsuri adoptate ad hoc. Managementul riscului cuprinde seturile de politici, progame, instrumente, metode și tehnici prin care întreprinderile pot gestiona impactul riscului asupra funcționării coerente a activității economice.

Managementul riscului poate fi detaliat în 3 etape :

Evaluarea riscului

Identificarea riscului.

Cuantificarea riscurilor.

Clasificarea riscurilor în funcție de pierderile potențiale.

Importanța unor încercări de a cuantifica pierderile potențiale în termeni financiari este că, acestea sunt măsuri pentru care costul protecției poate fi evaluat. O metodă este analiza de risc Courtney, care estimează costul riscului și frecvența lui concluzionând cu “estimarea anuală a pierderilor”.

Minimalizarea riscului

Identificarea de contramăsuri.

Costul contramăsurilor.

Selectarea contramăsurilor.

Implementarea contramăsurilor.

Dezvoltarea unor planuri pentru evenimente neprevăzute (de exemplu planuri pentru cazurile în care contramăsurile sunt ineficiente).

Analiza scenariilor este o tehnică prin care descrierile unor posibile evenimente cauzatoare de pierdere sunt aduse la cunoștiința managerilor funcționali care evaluează cele mai probabile pierderi. Măsuri de securitate se iau împotriva oricăror evenimente care se consideră a fi cauzatoare de pierderi.

Transferul riscurilor este cel mai adesea realizat prin asigurare. Este imposibil ca toate riscurile să fie eliminate. Riscurile care nu pot fi acoperite de măsurile de securitate ar trebui asigurate astfel încât cel puțin consecințele financiare să nu fie prea grave.

Riscurile la care sunt supuse datele și informațiile sunt enumerate în ICAEW- Information Technology Statement nr 1 după cum urmează :

Eroarea umană. Acesta este riscul cu cea mai mare incidență. Exemple de erori umane sunt: introducerea de tranzacții incorecte, eșecul în a corecta erorile, utilizarea unor fișiere de date nepertinente în timpul procesării, și nerespectarea instrucțiunilor privind procedurile de securitate.

Eroarea tehnică. Acesta este probabil al doilea risc ca incidență după eroarea umană. Eroarea tehnică presupune proasta funcționare a hardware-ului, a software-ului sistem, a aplicațiilor sau a software-ului de comunicare. Software-ul sistem conține sistemul de operare, software de management al fișierelor și al bazelor de date. Hardware-ul cuprinde pe lângă calculatoare, unitățile de disc și echipamentele de comunicare, generatoarele de curent electric în caz de urgență și unitățile de aer condiționat.

Dezastrele naturale. Focul, inundațiile, explozia, impactul, fulgerul sunt exemple de dezastre naturale iar consecințele acestora ar trebui prevăzute.

Acțiunile deliberate. Domeniul fraudei necesită atenție specială dacă datele sunt stocate pe suport magnetic deoarece asemenea date nu sunt lizibile imediat și de aceea este posibil să fie greu de obținut dovada folosirii incorecte a datelor. În plus, există o mare varietate de metode diferite prin care se poate comite o fraudă.

Spionajul industrial. Când se are în vedere valoarea datelor pentru competitori, organizațiile ar trebui să analizeze cum anumite date pot complementa alte date obținute de competitori din surse publice.

Distrugerea premeditată. Există multe cazuri de angajați neloiali care distrug date sau software. Sabotajul este inclus în aceasta secțiune.

Actiunea industrială. Cu cât este mai concentrată procesarea și stocarea datelor cu atât mai vulnerabilă poate fi o întreprindere față de acțiunea industrială.

1.4 Amenințările la adresa datelor și informațiilor.

Un hacker este o persoană foarte preocupată de aspectele ascunse și profunde ale unui sistem informatic. Cel mai adesea, hackerii sunt programatori. Prin activitatea lor, hackerii pot obține cunoștințe avansate despre sistemele informatice și despre limbajele de programare. Ei pot avea cunoștință despre vulnerabilitățile interne ale unui sistem precum și despre motivele care au condus la apariția acestora. Hackerii caută în mod constant noi cunoștințe, fac public (gratuit) ceea ce descoperă și niciodată nu distrug date în mod intenționat.

Un cracker este o persoană care sparge sau violează integritatea datelor de pe calculatoarele aflate la distanță, interzic serviciile de care ar trebui să beneficieze în mod normal utilizatorii și, în general, cauzează probleme țintelor pe care le atacă. Crackerii pot fi ușor identificați deoarece acțiunile lor au scop distructiv.

Virușii de calculator sunt în prezent cauza multor îngrijorări. Un virus este un fragment de software care infectează datele și programele și se multiplică. Există un număr mare de elemente care pot încuraja prezența unor viruși, incluzând troieni, viermii electronici, ușile cu capcană, bombele logice și bombele cu acțiune întârziată.

Un troian este un program care, în timp ce indeplinește în mod vizibil o funcție, în secret, el îndeplinește alta. De exemplu, un program poate rula un joc pe calculator în timp ce distruge simultan un fișier de date sau un alt program. Efectele unui troian sunt imediate și evidente. Sunt ușor de evitat pentru că nu se copiază pe discul țintă.

În timp ce un troian atacă din afară, un vierme electronic atacă din interior. Un vierme electronic este un program ce supraviețuiește prin copierea și multiplicarea sa în interiorul sistemului informatic în care a intrat, fără a fi necesară modificarea acelui sistem. Când programul gazdă este rulat, virusul se atasează altui program, astfel încât, dacă nu este depistat, fiecare program din sistem va fi infectat. Virușii pot fi găsiți oriunde, inclusiv în program de gestionare a boot-ului și sunt destinați să rămână ascunși atât timp cât este posibil.

O ușă cu capcană sau trapă este un punct de intrare nesecurizat într-un program informatic. Acest tip de acces în sistem poate fi introdus de programatorii aplicației pentru a le permite evitarea controalelor de acces în timp ce lucrează la un nou program și de regulă nu se regaseste în specificațiile produsului informatic. Pentru că nu este documentat, poate fi uitat și descoperit, probabil de un hacker, la o dată ulterioară.

O bombă logică este un fragment de cod declanșat de anumite evenimente. Este un program care se va comporta normal până ce un anumit eveniment se desfășoară, de exemplu până când utilizarea spațiului de pe disc atinge un anumit procentaj. O bombă logică, prin faptul că răspunde la un set de cerințe maximizează distrugerile. De exemplu, va fi declanșată atunci când un disc este aproape plin, când un mare număr de utilizatori folosesc sistemul, etc.

O bombă cu explozie întârziată este similară cu o bombă logică, cu excepția că este declansată la o anumită dată. Companiile se confruntă cu atacurile virusurilor de 1 Aprilie sau vineri 13. Acestea au fost declanșate de bombele cu explozie intarziată.

Într-un studiu realizat împreună de Computer Security Institute of San Francisco și FBI’s International Computer Crime Squoad, 42% dintre cei intervievați au răspuns că au fost vizitați de către persoane neautorizate în ultimele 12 luni. Peste 50% au raportat că sunt încercări de obtinere a accesului în mod nepermis atât din exterior cât și din interior.

În ceea ce privește pierderile financiare suferite de întreprinderi, acestea se măsoară în miliarde de dolari fiind greu de cuatificat din cauza faptului că majoritatea incidentelor de securitate nu sunt raportate organelor competente pentru a nu afecta imaginea lor de piață. Conform US Department of Defense „din 8932 de computere atacate, în 7860 s-a pătruns, 390 au detectat atacul și numai 19 l-au raportat”. Mai mult, studii ale companiilor specializate în auditarea sistemelor informatice arată că angajații generează peste 65% din incidentele de securitate.

La începutul lunii martie 1999, Computer Security Institute (Institutul pentru securitatea calculatoarelor), o asociație de specialiști în securitatea calculatoarelor cu sediul în San Francisco, a efectuat un studiu asupra a 249 de companii americane descoperind pierderi de peste 100 de milioane de dolari datorate infracțiunilor comise prin violare securității calculatoarelor. Dacă această cifră se extrapolează pentru a include toate firmele americane, în a căror sferă intră activități industriale similare cu cele ale firmelor monitorizate, cifra totală a pierderilor este de miliarde de dolari. Chiar dacă purtătorii de cuvânt al Institutului au refuzat să precizeze volumul exact al pierderilor sau să ofere altceva decât imagini generale, estimările FBI-ului arată că firmele americane pierd anual 7,5 miliarde de dolari datorită infracțiunilor comise prin calculator. Companiile monitorizate au declarat că au pierdut 24,5 milioane de dolari datorită fraudelor financiare provocate prin manipularea datelor, 22,7 milioane prin fraude de telecomunicații, 21 milioane prin furtul de informații cu caracter privat, 4,3 milioane din sabotarea datelor și a rețelelor și 12,5 milioane din pagube cauzate de viruși.

Figura nr. 1. Procentajul pierderilor determinate prin infracțiuni comise cu ajutorul calculatorului3

1.5 Auditul securității sistemelor informatice

Pe fondul sporirii cantităților de date stocate pe suport magnetic și a unei investitii tot mai mari în IT, unele întreprinderi pot realiza evaluări asupra securității sistemelelor informatice. Aceste vor identifica amenințările la adresa sistemelor informatice ale unei organizatii și estimează vulnerabilitatea unui sistem informatic al unei întreprinderi. O investigație suplimentară poate fi făcută asupra anumitor sisteme informatice.

Auditarea sistemului informatic este o măsura eficientă împotriva pericolelor care vizează sistemul, în special împotriva fraudelor. Auditul informatic este procesul prin care persoane competente colectează și evaluează probe pentru a-și forma o opinie asupra concordantei între cele observate și anumite criterii sau standarde prestabilite. Se include aici atât auditare internă, realizată periodic de către personalul de la compartimentul de specialitate, cât și apelarea la specialiști externi, independenți care pot oferi concluziile lor autorizate în legătură cu securitatea/vulnerabilitatea sistemului. Auditarea internă este foarte eficientă atunci când este realizată inopinat, putând descoperi aspecte care, în cazul anunțării unui control, ar fi putut fi ascunse

Auditorii evidențiază contradicțiile dintre politicile interne și cele de securitate, breșele de securitate, amenințările, vulnerabilitățile sau lipsurile organizaționale. Planul de audit include analiza de atac și penetrare din exterior, în timp ce din interior se prevăd analize de securitate, iar apoi definirea profilurilor de securitate ale utilizatorilor în sistemele informatice.

O analiză de atac și penetrare oferă un test real nedestructiv al expunerii organizației la vulnerabilitățile de securitate. Testarea este îndeplinită prin încercarea de a realiza incursiuni reale în mediul informatic, după o înțelegere prealabilă și o monitorizare permanentă din partea companiei. Efectuarea corespunzătoare a analizelor de atac și penetrare oferă o abordare structurată în examinarea securității unei organizații.

Scenariile de atac includ capacitatea de a vizualiza, sustrage, modifica, distruge sau de a interzice accesul la informațiile companiei în calitate de entitate din exterior, care nu cunoaște operațiunile organizației, și de entitate din interior, consultant, auditor sau partener de afaceri. Aceste scenarii se aplică la nivel de Internet, Intranet, Extranet și accesului de la distanță.

Scopul final al acestei analize este de a identifica golurile de securitate și de a le corecta înainte de a fi utilizate în scopuri neautorizate, utilizând concluziile rezultate din4:

Analiza de atac și penetrare, care furnizează rezultate eficiente și recomandări de îmbunătățire a securității.

Analiza amenințărilor și a vulnerabilităților, care oferă analize tehnice și administrative minuțioase ale infrastructurii informatice (aplicații, sisteme de operare, baze de date, rețele, rutere, acces de la distanță, etc). Auditorii evidențiază pentru platforma existentă vulnerabilitățile și analizează politica de securitate în raport cu cele mai bune practici din domeniu.

Analiza infrastructurii de securitate, care ilustrează existența politicii și a programului de securitate, procesele și procedurile acestora. De asemenea se caută să se identifice punctele tari și cele slabe ale practicilor de securitate a informațiilor din cadrul companiilor și să se ofere o evaluare completă a arhitecturii actuale de securitate.

Dovezile concrete privind vulnerabilitățile sistemului de securitate reprezintă un avantaj enorm pentru obținerea unor resurse suplimentare de securitate, după efectuarea unei verificări a posibilităților de penetrare. Acestea pot constitui o bază și pentru justificarea unei majorări a bugetului alocat securității informațiilor. Timpul și efortul cheltuit acum vor aduce beneficii majore mai târziu. Din păcate, identificarea vulnerabilităților existente reprezintă doar jumătate din luptă, iar acestea împreună cu cauzele care le provoacă, trebuie corectate.

Deseori firmele importante doresc să dezvolte încrederea clienților sau partenerilor de afaceri și solicită ca auditori independenți specializați în sisteme informatice să evalueze dacă procesele și tehnologiile ce se aplică în cadrul companiei sunt conforme cu practicile și politicile stabilite.

Eșecul în asigurarea securității informațiilor implică și lipsa confidențialității lor. De aceea, consumatorul are nevoie de o asigurare, dată de o entitate independentă, că o anumită companie a implementat politici referitoare la confidențialitate și că aceste politici sunt respectate. Firmele independente de contabilitate și audit oferă o asigurare rezonabilă că situațile financiare ale unei companii nu conțin erori. Această asigurare rezonabilă lipsește în lumea online de astăzi. În prezent, website-urile nu sunt obligate să asigure în mod independent confidențialitatea și securitatea informațiilor personale sau încrederea în tehnologia pe care o folosesc.

Auditorii efectuează și verificări periodice pentru a se asigura că respectiva companie continuă să-și respecte politicile declarate.

Este important pentru consumatori să se simtă în siguranță și ca toate companiile să demonstreze că respectă politicile pe care le-au declarat ceea ce ajută la construirea unui mediu de afaceri bazat pe încredere.

CAPitolul 2. Organizarea securității sistemelor informatice

2.1 Politici și proceduri de securitate

2.1.1 Securitatea sistemelor informatice.

Înțelegerea securității sistemelor informatice ale unei întreprinderi presupune în mod inevitabil determinarea elementelor cheie ale patrimoniului. În prezent, elementul cheie al patrimoniului este informația. Pentru a desfășura o activitate economică eficientă și competitivă, informația în sine nu este suficientă, ea trebuie completată cu metode pertinente de utilizare. În plus, valoarea informației depinde de gradul de confidențialitate și de exactitatea pe care o oferă.

Informația se poate prezenta sub mai multe forme, acest fapt contribuind direct la diversitatea metodelor de securizare a informațiilor. În loc de a clasifica informațiile în funcție de conținut, analiza amenințărilor asupra informațiilor se poate face în funcție de metodele de stocare/procesare ale acestora. Schematic, acest model se prezinta în figura 2.

Figura nr. 2. Clasificarea informațiilor în funcție de metodele de stocare/prelucrare ale acestora

Fizic: Informația „tradițională” este scrisă, stocată pe un anumit suport. Securitatea clasică a informațiilor se concentrează în special pe aspectul fizic al protectiei.

Social/personal: Întreprinderile economice de succes înțeleg valoarea personalului, cunoștiințele pe care acesta le deține și capacitatea de a folosi cunoștiințele acumulate în favoarea întreprinderii.

Rețele de date sau voce: Informația poate fi stocată în computere și accesată prin intermediul unor rețele. Documentele pot fi stocate în rețea iar accesul la acestea se face prin intermediul URL (Uniform Resource Locator), UNC (Uniform Naming Convention) sau prin alte mijloace. În majoritatea situațiilor, utilizatorul nu cunoaște locația exactă a datelor. În plus, diferența dintre Internet și Intranet nu este evidentă pentru un utilizator obișnuit.

Fiecare dintre aceste domenii prezentate mai sus, prezintă interfețe cu restul lumii după cum se poate observa din figura 3 :

Figura nr. 3. Interfețele exteriorul ale informațiilor

Astfel, considerându-se pe fiecare domeniu principal, avem :

Fizic: Există interfețe ce permit persoanelor, materialelor, echipamentelor, etc. să între sau să părăsească clădirile sau încăperile cum sunt încuietorile ușilor, controlul accesului prin intermediul paznicilor, etc. Oricum, când se vorbește de securitatea fizică a sistemelor informatice, aceasta se extinde și în afara clădirilor întreprinderii deoarece datele și informațiile pot fi transportate în diferite locații și utilizarea laptop-urilor devine tot mai frecventă.

Social/personal: Angajații dezvoltă anumite relații cu terțe persoane din interiorul sau exteriorul întreprinderii.

Rețele de date sau voce: Computerele sau rețelele furnizează mijloace de stocare pentru informațiile întreprinderii. Complexitatea crescândă, viteza amețitoare a dezvoltării tehnologice, fluctuațiile pieței și schimbările organizaționale converg securitatea sistemelor informatice într-o provocare perpetuă.

Telefonul și sistemele de comunicare prin voce devin din ce în ce mai complexe și pot constitui interfața pentru Intranet.

Modem-urile (fie digitale, analoage sau radio) sunt mijlocul predominant de accesare a datelor de la distanță de angajații aflați în deplasare sau de membrii departamentului IT.

Internet-ul, este mijlocul preferat de schimb al informației fie prin intermediul WWW (World Wide Web) fie prin E-mail sau Extranet (rețele private virtuale realizate prin mediul Internet)

Corporațiile și companiile mari dezvoltă în timp legături multiple cu parterii lor, deseori utilizând simultan mai multe tehnologii și implementandu-le prematur înainte ca toate aspectele relevante privind securitatea acestora să fie luate în considerare. În plus, acești parteneri dezvoltă și ei la randul lor alte legături.

Intranet-ul de care se folosește întreprinderea poate să se întindă între mai multe orașe sau chiar țări. O mare varietate de tehnologii și mijloace de transport pot fi folosite de la protocolul ATM (Asinchronous Transfer Mode) până la TCP/IP(Transfer Control Protocol /Internet Protocol ) iar în ceea ce privește mediul de transport; de la cabluri de cupru până la fibra optică sau unde radio.

Amenințări.

Interfețele domeniului sunt expuse unor varietăți mari de amenințări, dintre care se reliefează prin importanța lor, următoarele :

În ceea ce privește domeniul rețelelor de date sau voce:

Un aspect neglijat se referă la securitatea telefonului care poate fi folosit pentru a telefona la numere internaționale sau pentru a obține acces neautorizat la Intranet.

Rețele dial-up pot fi un punct ușor de acces pentru atacatori pentru că de obicei sunt monitorizate sau protejate într-o măsură mai mică decât conexiunile la Internet. Atacurile tipice sunt cele de ascundere a identitații care conduc la obținerea accesului.

Conexiunea la Internet, datorită complexității și naturii dinamice, oferă pe lângă un mijloc de comunicare cu milioane de persoane din puncte diferite de pe glob, posibilitatea unor atacuri din această direcție cum ar fi : ascunderea/falsificarea identității, negarea serviciilor, etc.

Conexiunile cu partenerii sunt de cele mai multe ori foarte slab securizate sau sunt dotate cu o protecție minimă, fapt ce se datorează în principal limitării, absenței resurselor sau a timpului necesar. Aceste conexiuni pot fi folosite ca punct de pornire a atacurilor care pot fi originate fie din partea companiei partenere sau din parte unui hacker deja intrat în rețeaua companiei partenere și care caută o nouă țintă. Printre amenințări se numără accesul neautorizat și negarea serviciilor.

WAN (Wide Area Network ) este folosit pentru a extinde Intranet-ul întreprinderii pe o suprafata cât mai mare. Cablajul poate trece prin zone publice și astfel securitatea rețelei este dificil de asigurat. Principalele amenințări le constituie negarea serviciilor și ascuderea/falsificarea identității.

În domeniul social/ personal :

„Ingineria socială” poate fi folosită pentru a inșela personalul cu scopul obținerii unor informații confidențiale sau pentru obținerea accesului neautorizat.

Helpdesk poate constitui subiectul „ingineriei sociale” furnizând numerele modem-ului, parole sau alte elemente care pot ajuta atacatorii în realizarea acțiunilor distructive.

În domeniul fizic :

În afara angajaților, există persoane care pot avea acces în cladirea întrepriderii. În această sferă, amenințările includ furtul, distrugerile intenționate și copierea informațiilor.

Dacă informațiile confidențiale nu au fost distruse în mod definitiv, rămășițele lor pot constitui resurse valoroase pentru atacatori care le pot reconstitui. Principala amenințare o constituie accesul neautorizat.

Alte amenințări includ furtul laptop-urilor, dezastrele naturale și pierderea/furtul suportului de stocare a informațiilor în timpul transportului.

Toate aceste amenințări pot avea ca rezultat pierderea, copierea, accesarea, modificarea, ștergerea sau indisponibilitatea informațiilor.

Înainte de a decide măsurile de protecție în scopul anihilarii amenințărilor enumerate, trebuie în mod imperativ considerate mai multe aspecte.

În primul rând trebuie considerată natura amenințărilor. În ordine consecutivă trebuie analizate resursele atacatorului fie ele financiare, tehnice sau de timp, motivația acestuia și ușurința potențială a accesului. De exemplu, atacurile venite din Internet sunt ușor de prevăzut și, ca masură de protecție, sunt instalate firewalls între Internet și Intranet. Mass-media pune îndeosebi accentul pe atacurile hacker-ilor sau ale cracker-ilor dar pentru o întreprindere este mult mai periculos din punct de vedere financiar atacul din interior cum ar fi cel al unui angajat nemulțumit care are acces la date importante în munca sa cotidiană. Selectarea și pregătirea personalului este o măsură extrem de importantă, dacă se are în vedere faptul ca 90% din problemele ridicate de securitatea informatică sunt cauzate de cei din interiorul firmelor5

În al doilea rând ar trebui considerate caracteristicile informațiilor. Durata de viata a informațiilor are un impact semnificativ în modul în care aceasta este generată, stocată, procesată, copiată sau distrusă. Trebuie considerat și efectul timpului asupra informațiilor. O lista de prețuri nouă trebuie protejată cu atenție pentru a nu ajunge în mâinile concurenței înainte de aplicarea ei. După aplicarea listei noi de prețuri, măsurile de protecție pot fi ridicate.

În al treilea rând trebuie considerat cadrul natural în care își desfasoară activitatea o întreprindere și anume probabilitatea declanșării unor dezastre naturale (cutremure, inundații, furtuni, etc.)

Contramăsuri

Contramăsurile sunt necesare pentru a reduce riscul până la un anumit nivel considerat acceptabil. Contramăsurile pot fi studiate în funcție de locul de origine al atacului.

Dacă se presupune că sursa atacului provine din afara întreprinderii, măsurile posibile de preîntâmpinare sau evitare a atacului pot fi diferențiate pe fiecare din interfețele din figura 3 astfel:

Măsurile pentru interfețele rețelelor de date sau de voce includ :

Autentificarea utilizatorilor și a stației de lucru.

Encriptarea datelor, pe de o parte pentru a proteja confidențialitatea datelor iar de pe cealaltă parte pentru a asigura autenticitatea acestora.

Utilizarea semnăturilor digitale pentru validarea autenticității și pentru a asigura non-repudierea mesajelor.

Controale de acces.

Izolarea resurselor. Prin izolarea serviciilor, o slăbiciune sau un abuz manifestat într-un anumit serviciu nu va avea ca rezultat vicierea celorlalte servicii.

Scanări de viruși și conținut viciat ale informațiilor în mod regulat

Întărirea măsurilor de securitate în ceea ce privește instalarea și configurarea rețelelor.

Măsuri suplimentare de securizare a datelor : cópii de siguranță ale datelor, redundanța datelor, instalarea de sisteme RAID, planuri de evitare sau de negociere a dezastrelor, etc.

Monitorizarea traficului și a transferului de date în rețea.

În ceea ce privește interfețele speciale ale rețelelor de date și de voce pot fi adoptate măsuri de siguranță relevante pentru fiecare în parte cu mentiunea că măsurile mentionate mai sus împreuna cu un audit al securitatii sistemelor informatice real și bine realizat sunt utile oricărei interfețe.

Măsurile pentru interfața Social / personal includ :

Definirea clară a unor politici de securitate care să protejeze elementele patrimoniale în funcție de risc. O politică de securitate este un mecanism preventiv cu scopul de a proteja datele și informațiile importante pentru desfășurarea unei activități eficiente și eficace ale unei întreprinderi, incluzand și procesele pe care datele și informațiile le suportă.

Educarea și prevenirea utilizatorilor, managerilor și a administratorilor de sistem cu privire la securitatea informațiilor și riscurile aferente.

Parole puternice constituite din șiruri lungi de caractere care să alterneze literele mici cu majuscule și eventual cifre și semne speciale din cadrul ASCII.

Verificarea identității persoanelor.

Crearea și repartizarea rolurilor, responsabilităților și procedurilor sunt elemente cheie pentru a asigura implementarea politicilor. Un departament sau o firma externă de securitate poate reduce în mod semnificativ riscurile și creeaza un punct în care pot fi raportate, tratate și repartizate incidentele cu privire la securitatea informațiilor.

Măsurile ce privesc interfețele fizice :

Limitarea accesului : uși cu încuietori, ecusoane de identitate, cartele magnetice, etc.

Crearea unui evidențe a persoanelor care intră în întreprindere.

Distrugerea în mod absolut sau reciclarea (unde este cazul) a mediilor de stocare a informațiilor.

Contractarea de asigurări care să acopere pierderile potențiale

Controlul accesului la laptop-uri.

Izolarea resurselor.

Toate aceste măsuri pot deveni în timp ineficiente dacă riscurile nu sunt reevaluate în mod continuu, dacă nu sunt elaborate noi contramăsuri sau dacă este neglijată elaborarea unor contramăsuri mai eficiente. Auditarea securitatii sistemelor informatice reliefează toate aceste aspecte și indică modalitațile de soluționare a deficiențelor sau carențelor din sistemul informatic.

În cazul în care se presupune ca sursa atacului (accidental sau intenționat) provine din interiorul întreprinderii, modul de abordare se schimbă în principal din cauza faptului că atacatorul poate fi autorizat chiar de către conducerea întreprinderii să i se permită accesul prin diferite controale.

Astfel contramăsurile în cazul unui atac intern se urmăresc pe următoarele interfețe :

Social / personal prin :

Dezvoltarea unor politici explicite de securitate

Amenințări cu urmarirea penală a atacatorilor (dar aceasta poate fi dificil de realizat și necesită uneori costuri exagerate; în plus, nu există o garanție a succesului)

Rețele de date sau voce prin :

Monitorizare, audit

Encriptare

Copii de siguranță și redundanță

Efectele acestor contramăsuri ar trebui să conducă la sporirea proprietăților securității sistemelor informatice dupa cum urmează:

Siguranța. Încrederea în faptul că măsurile de securitate sunt corect implementate și că sistemul se va comporta în parametrii normali.

Identificarea/Autentificarea. Când doi utilizatori comunică, cele două parți își verifică reciproc identitatea și vor sti cu siguranță cu cine comunică.

Controlul accesului. Accesul la anumite date, informații sau părți ale sistemului informatic poate fi permis doar anumitor persoane.

Reutilizarea obiectelor. Obiectele utilizate de un anumit proces nu pot fi reutilizate sau manipulate de alte procese astfel încât să se aducă un prejudiciu securității sistemului.

Schimbul informațiilor în deplină siguranță. Datele sau informațiile transmise sunt conforme unor anumite nivele de autenticitate, confidențialitate și de non-repudiere.

Disponibilitatea. Datele și informațiile sunt disponibile atunci când sunt cerute.

Responsabilitatea. Creste abilitatea auditorilor de a descoperi cine, când, cum și ce a facut. Utilizatorii devin mai responsabili și mai precauți în acțiunile lor.

2.1.2 Politici de securitate

Politicile de securitate a sistemelor informatice se referă la un set de reguli și practici pe care o întreprindere îl folosește pentru a organiza, proteja și aloca resursele informaționale.

„ În ceea ce privește securitatea sistemelor informatice, termenul de politică are mai multe sensuri. Politica este directiva pe care managementul de vârf o emite în ceea ce privește programul de securitate al calculatoarelor, îi stabilește scopul și desemnează responsabilități. Termenul de politică este folosit și pentru a specifica reguli de securitate pentru anumite sisteme. În plus, politica se poate referi și la lucruri complet diferite, cum ar fi deciziile managementului care stabilesc politica de securitate a e-mail-ului sau politica de securitate a fax-ului.“6.

Deci, putem urmări politicile de securitate pe 3 nivele:

Politica program este ceea ce managementul folosește pentru a crea un program de securitate al unei întreprinderi.

Politica de sistem este compusă din regulile și practicile folosite pentru a proteja un anumit sistem informațional. Politica specifică sistemului este limitată la sistemul sau sistemele afectate și poate, cu ajutorul unor modificari în sistem, să modifice funcționalitatea sau vulnerabilitatea.

Politici specifice se referă la chestiuni de interes curent ale unei întreprinderi. Prevederile acestei politici sunt limitate, specifice și în continuă schimbare. Promulgarea lor poate fi declansată de un incident în sistemul de securitate al unei întreprinderi.

Politica program

Dezvoltarea și promulgarea politicii program este responsabilitatea managementului de vârf și ar trebui să aiba loc sub directa îndrumare a directorului general executiv. Componentele unei politici program adecvate includ următoarele :

Scop. Explică de ce se înființează programul și care sunt scopurile securității informațiilor. Exemple de scopuri includ întreținerea sistemului și asigurarea integrității datelor, protejarea confidențialității datelor personale și asigurarea disponibilității sistemului. Scopurile urmărite de întreprinderi variază în funcție de obiectul de activitate, astfel o întreprindere care fabrică case de bani sau seifuri va asigura un grad mai înalt al securității sistemelor informatice decât o brutărie.

Arie de acoperire. Aceasta secțiune ar trebui să indice ce resurse hardware și software , date, personal, etc urmează a fi protejate de sistemul de securitate.

Desemnarea responsabilităților. Politica program ar trebui să desemneze responsabilitățile pentru conducerea programului de securizare a informațiilor unui singur departament și să stabilească responsabilități auxiliare directorilor executivi, proprietarilor programelor informatice, utilizatorilor și departamentului IT.

Compatibilitatea. Aceasta secțiune ar trebui să descrie modul în care întreprinderea va supraveghea crearea și funcționarea programului de securitate a informațiilor și cine va fi responsabil în asigurarea compatibilității cu politicile de sistem și cu politicile specifice. Această secțiune poate stabili sancțiuni generale pentru anumite infracțiuni.

Politicile de sistem

Întreprinderile pot avea mai multe seturi de politici de sistem referitoare la securitate de la cele generale (cum ar fi regulile de control ale accesului pentru utilizatori) până la cele foarte specifice (cum ar fi împărțirea sarcinilor între utilizatorii programului de salarizare).

Datorită ariei de acoperire foarte extinse și nu în ultimul rând a specificităților acestui tip de politică de securitate, stabilirea concordanței între scopurile sistemului de securitate și politica de sistem poate fi foarte dificilă. Institutul de Standarde și Tehnologie al Statelor Unite ale Americii recomandă analizarea politicilor existente și formularea altora folosind un proces pe două etape :

Definirea obiectivelor de securitate pentru sistem, bazată pe scopurile sistemului de securitate și pe cerințele funcționale. Aceste obiective ar trebui să consiste din acțiuni realizabile. De exemplu, un obiectiv de securitate pentru disponibilitate ar fi „asigurarea unui procent de peste 99% pentru disponibilitatea retelei“ iar, tot ca exemplu, un obiectiv de securitate pentru asigurarea confidențialității ar putea fi „ reducerea incidentelor de acces neautorizat sub o limită de 3 pe an“

Conceperea unor reguli operaționale de securitate pentru atingerea unor obiective de securitate. Gradul de specificitate și formalitatea acestor reguli poate diferi în funcție de situație. Unele dintre aceste reguli pot fi implementate prin setarea automată a unor controale de sistem dar trebuie suplimentate prin politici scrise. Politici detaliate, sub forma scrisă pot fi clare și usor de implementat dar au ca efect mărirea birocratiei. În mod similar, controalele automate de sistem pot spori gradul de securitate dar sunt prea rigide cu exceptia situației în care un manager autorizat poate să le evite în cazuri excepționale și bine fundamentate.

Politici specifice.

Considerate în ansamblu, aceste politici pot, prin natura lor, să nu aibă o relație coerentă cu obiectivele de securitate ale informațiilor. Considerate în mod individual, politicile specifice sunt în strânsă legatură cu obiectivele de securitate ale informațiilor; cum ar fi politicile care reglementează accesul la Internet al utilizatorilor, instalarea de software sau hardware neautorizat, transmiterea sau recepția de fișiere atașate unui e-mail. Întreprinderile ar trebui să centralizeze toate aceste politici, să le organizeze în funcție de subiect, să selecteze acelea care par a afecta scopurile de securitate pentru a le analiza în profunzime și să identifice domeniile în care dezvoltarea unor politici adiționale ar fi necesară. Pentru formularea sau revizuirea unei politici specifice se folosește următoarea structură :

Definirea problemei. Această definire ar trebui să includă termeni, condiții și exemple.

Declararea poziției întreprinderii față de respectiva problemă. Aici se include atitudinea managementului față de problema definită.

Aplicabilitatea. Aici se specifică unde, cui, când și cum se aplică respectiva politică

Compatibilitatea. Cine este responsabil pentru impunerea acestei politici și cine este autorizat în a permite exceptii.

Moduri de contact pentru informatii suplimentare

Implementarea politicilor și procedurilor de securitate

Politicile de securitate ale sistemelor informatice se adresează în principal amenințărilor. În absenta amenințărilor, aceste politici ar fi inutile – utilizatorul ar putea dispune de datele și informațiile sale cum dorește. Din nefericire, aceste amenințări există și politicile de securitate ale sistemelor informatice sunt necesare pentru a furniza o linie directoare în selectarea și implementarea unor contramăsuri eficiente. O politică de securitate insușită și semnată în mod obligatoriu de membrii unei întreprinderi implică un comportament adecvat și conform din partea utilizatorilor.

O politică de securitate bine realizată defineste pe de o parte obiectivele sistemelor informaționale ale unei organizații iar pe de cealaltă parte schițează o strategie pentru a atinge obiectivele specificate. Un sistem informațional fără politici de securitate este de obicei o colectie ineficientă de contramăsuri care se adresează unei mari varietăți de amenințări. Politicile de securitate ale sistemelor informatice pot fi folosite pentru a integra diferite aspecte ale unei întreprinderi în scopul realizării obiectivelor de afaceri.

Politicile, standardele, liniile directoare și materialele informative care sunt depasite moral și nu sunt impuse utilizatorilor sunt periculoase pentru buna funcționare a unei întreprinderi pentru că managementul este adesea indus în eroare în a crede ca politicile de securitate nu există și întreprinderea funcționează mai eficient decât în realitate. Toate întreprinderile trebuie sa revadă, testeze și eventual să elimine în mod periodic regulile, controalele și procedurile ineficiente pentru a evita un sentiment fals de securitate. O alternativă a testărilor periodice este stabilirea unei perioade limitate de aplicare a unei politici de securitate, a unor standarde sau a unor controale obligatorii specificându-se când acestea ar trebui sa între în vigoare și când trebuie înlocuite, perfecționate sau anulate.

Computerele sunt în mod inevitabil vulnerabile unor mari varietati de amenințări. În general, este considerat mai grav faptul de a nu avea nici un fel de măsuri de securitate decât de a considerat în mod eronat ca un sistem este în siguranta. Aceasta situatie cunoscuta ca valoare de securitate negativa, atrage multumirea de sine și distrage atentia de la valoarea informațiilor care în mod eronat se presun a fi în siguranta, facând aceste informatii mai atractive pentru hackeri și mai vulnerabile pierderilor accidentale. Politicile de securitate a sistemelor informationale se adreseaza tocmai acestor pericole.

Printre cei mai importanți factori ai implementării politicilor de securitate se număra :

Implicarea managementului.

Existența comitetului de supraveghere.

Desemnarea responsabilităților in dezvoltarea unor politici.

A. Implicarea managementului.

Implicarea managementului în securitatea sistemelor informatice este esentială pentru motivarea utilizatorilor și a proprietarilor resurselor informaționale și oferă transparența necesară departamentului care se ocupă cu securitatea sistemelor informatice de a asigura securitatea informationala celorlate departamente. Deoarece există putine motivații în ceea ce privește securitatea, altele decât acelea care se obțin din proprie experiență, implicarea managerială în securitatea sistemelor informatice este probabil cel mai important factor într-un sistem performant de securitate a informațiilor. Materialele de informare și instruire, liniile directoare și practicile trebuie aprobate de managerii care decid,oferă recompense sau penalizează.

Managementul care susține politicile de securitate oferă departamentului de securitate a sistemelor informatice transparență și creeaza condiții prielnice pentru raportul cu managerii care se află la un nivel superior, în speță cu managementul de vârf. Fără suportul acordat politicilor de securitate a datelor și informațiilor din partea managementului de vârf, angajații întreprinderii probabil că nu ar depune efort în realizarea unei politici de securitate. Cel mai bun moment de apreciere a securității informațiilor este atunci când se produce o pierdere. Dacă pierderea are loc într-o întreprindere sau într-un departament care se opune introducerii măsurilor de securitate sau cu cea mai mare nevoie de securitate, atunci necesitatea introducerii de măsuri de protecție a datelor și informațiilor devine evidentă. Accentul pus pe efectele negative ale unei pierderi poate motiva o întreprindere să-și îmbunătățească securitatea în toate departamentele și filialele.

Pentru a impulsiona departamentele întreprinderii și utilizatorii într-un rol activ în ceea ce privește securitatea sistemului informațional, echipa care se ocupă de securitatea sistemelor informatice poate emite rapoarte cu clasificarile acestor departamente în funcție de calitatea securitatii sistemului informatic.

B. Comitetul de supraveghere.

Multe întreprinderi au un asemenea comitet în ceea ce privește sistemele de securitate a datelor și informațiilor. Alte întreprinderi includ acest comitet în unul general care se ocupă de probleme tehnice și administrative. În ambele cazuri, constituirea acestui comitet reflectă adeseori serviciile centrale IT sau securitatea întreprinderii în ansamblu dar nu se poate aplica în mod specific securitatii sistemelor informatice într-o rețea de computere distribuite pe o suprafata întinsa. În acest caz, întreprinderea ar trebui să reorganizeze comitetele existente pentru ca acestea să se adapteze specificului sistemelor distribuite.

Printre membri ar trebui incluși managerii departamentelor angajate în mod activ în sistemul distribuit de calculatoare pecum și managerii care utilizează și se bazează pe comunicarile de date cum ar fi managerului departamentului de vânzări sau cel care raspunde de service-ul bunurilor vîndute. Acest tip de comitet ar trebui să fie responsabil cu autorizarea, modificarea și aprobarea politicilor și a standardelor de securitate în cadrul unei întreprinderi. Pentru a mări eficiența acestui comitet se recomandă ca cel putin un membru să aibă acces în mod regulat la directorul general executiv al întreprinderii.

C. Desemnarea responsabilităților în dezvoltarea unor politici.

Fie echipa insarcinată cu securitatea sistemelor informatice fie grupul de politici și standarde IT ( sub conducerea echipei insarcinată cu securitatea sistemelor informatice) ar trebui să fie responsabil cu schițarea și adaptarea politicilor. Ca o alternativă ce merită luată în considerare, unele întreprinderi desemnează această responsabilitate unui grup sub supravegherea unui comitet. Această alternativă se întalnește adeseori în cazul redactării sau modificării unor politici de securitate în conjunctura unei reorganizări a echipei responsabilă cu securitatea sistemelor informatice. În general, se consideră ca nu este o idee bună desemnarea redactării politicii de securitate a datelor si informațiilor unei terțe părti pentru că stilul și forma unor politici noi ar trebui să se integreze cu celelalte politici ale unei întreprinderi și să reflecte cultura organizațională.

Este foarte important ca echipa care formulează politicile de securitate a sistemelor informatice să fie familiarizată cu tehnologia dar și cu cultura organizatională a întreprinderii pentru a lua decizii viabile. Familiaritatea cu tehnologiile moderne necesită cunosterea capacităților de securizare oferite de acestea dar și a limitărilor solutiilor tehnice de protecție a întreprinderii împotriva amenințărilor. Întelegerea culturii organizaționale a întreprinderii permite echipei care dezvoltă politica de securitate să creeze o politica care să fie conformă cu aceasta. În plus, înainte de a dezvolta o politica de securitate, este indicată studierea altor politici de securitate ale sistemelor informatice aparținând altor întreprinderi similare pentru o eventuală utilizare a acestora ca model.

Stabilirea unei politici este în mare masură o problemă de cultură organizațională. Suportul pe care îl oferă managementul în redactarea politicii depinde de istorie, experiențele neplăcute cu pierderea datelor, legislația în vigoare, caracteristicile personale al managerului și opinia acestuia legată de securitatea întreprinderii, politicile anterioare și alți factori cu influență mai mică. Dacă o cultură organizațională acceptă politici cu referire la anumite subiecte atunci probabil că o politică de securitate a sistemelor informatice va exista. În schimb pot există organizații care au ca politică chiar faptul de a nu avea politici. Unii specialiști nu sunt de acord cu politicile pentru că acestea pot fi folosite împotriva întreprinderii când aceasta le încalcă și oricât de ilogic ar părea acestea sunt adesea încălcate în scopul atingerii unor obiective de afaceri pe termen scurt.

Dacă o întreprindere emite o politică scrisă, aceasta ar trebui să fie obligatorie și să reflecte cerințele managementului cu privire la comportamentul angajaților din cadrul întreprinderii. Dacă politicile sunt redactate la un nivel ridicat de abstractizare, ele nu trebuiesc schimbate odată cu modificările în cadrul departamentului IT sau din cadrul întreprinderii. Schimbările în cadrul întreprinderii cum ar fi cele determinate de fuziuni, achiziții sau adoptarea unor standarde industriale pot avea loc cu modificări minore sau chiar fără a fi necesare ajustări în cadrul politicilor. Politicile de securitate ale sistemelor informatice ar trebui să fie flexibile și să permită exceptii atunci când este cazul.

Din punct de vedere al formei, politicile sunt lungi doar de câteva pagini pe care este aplicată semnătura unui director sau a managerului general care îi conferă autoritate. Unele întreprinderi includ cerințe operaționale sau tactice sub forma obiectivelor de control în cadrul politicii. Alte întreprinderi combină politicile de nivel înalt cu standarde detaliate rezultând un document care poate pune probleme întreprinderii în momentul în care aceasta trebuie sa facă publică politica fără a dezvalui standardele, care, uneori sunt confidențiale. Separarea politicilor de standardele specifice este o practică recomandabilă..

Educarea și participarea utilizatorilor sunt factorii cheie ai acceptării unei politici de securitate. Acesti factori pot fi dezvoltați prin informare, educare și convigerea departamentelor întreprinderii și a utilizatorilor de importanța practicilor de securitate specificate în politici. Această dezvoltare a factorilor cheie a acceptării politicilor de securitate poartă numele de marketing al securitatii sistemelor informationale

În realitate, nici amenințările interne nici cele externe nu conduc la realizarea riscurilor din partea utilizatorilor. Astfel este necesar ca marketing-ul sistemelor informatice să avertizeze departamentele întreprinderii și utilizatorii de efectele catastrofice ale neglijării rolurilor și obligațiilor din cadrul politicii de securitate a sistemelor informatice.

Utilizatorii și departamentele întreprinderii trebuie să conștientizeze că politicile de securitate ale sistemelor informatice nu sunt infailibile și nici nu sunt decizii luate în mod arbitrar de o echipa obscură și lipsită de contact cu realitatea care se ocupă cu securitatea sistemelor informatice. De asemenea, utilizatorii și departamentele întreprinderii trebuie să știe ca ei au acces la această echipă în scopul conlucrării care poate imbunătăți politicile existente. În acest mod, politicile pot evolua în direcția obținerii unui echilibru între securitatea sistemelor și practicile de afaceri în vederea realizarii optime a obiectivelor întreprinderii. Din moment ce nici o politică nu se adreseaza tuturor situațiilor care pot apărea în viitor, este foarte important faptul ca principiile de bază ale unei politici de securitate a sistemelor informatice să fie ințeleasă de toți utilizatorii.

Provocarea în ceea ce privește politica de securitate a sistemelor informatice din cadrul unei întreprinderi este faptul că aceasta trebuie inteleasă foarte bine de utilizatori că să poată să fie eficientă. Acceptarea unei politici este dependentă de abilitatea acesteia să descrie comportamentul acceptat sau neacceptat din partea utilizatorilor.

Politica ar trebui să descrie cine este responsabil cu implementarea politicilor, revizuirea acestora, cu auditul sistemelor informatice și care sunt principiile de bază și motivele conceperii unei politici de securitate a sistemelor informatice. Politicile arbitrare, lipsite de explicații sunt supuse riscului de a fi ignorate de utilizatori în timp ce o politică clară, concisă și consistentă are mai multe șanse de a fi pusă în practica de utilizatori.

În plus, echipa de marketing a politicilor de securitate a informațiilor trebuie să contureze politicile de securitate astfel încât acestea sa fie usor de accesat și de consultat pentru utilizatori. Acest lucru se poate realiza prin automatizarea procesului de informare a utilizatorului în sensul redactarii politicilor de securitate a sistemelor informatice și pe suport informatic, în mod hypertext, asemănător modului în care sunt create paginile de Internet, pentru că procesul de întelegere a politicilor poate fi croit pentru fiecare individ în parte.

Politicile de securitate ale sistemelor informatice sunt concepute pentru a informa membrii unei întreprinderi de responsabilitățile lor de a proteja sistemele informatice ale întreprinderii. Aceste politici precizează, adeseori, mecanismele prin care pot fi îndeplinite aceste responsabilități. Politicile de securitate ale sistemelor informatice oferă de asemenea linii directoare de însușire, configurare și de audit a sistemelor informatice conform cu politica. Instrumentele de siguranță ale sistemelor informatice sunt de un folos limitat în absența unei politici.

Politicile sunt mult mai importante într-un sistem de calculatoare răspandit pe o suprafață mare decât într-un sistem centralizat din cauza riscurilor pronunțate pe care le implică accesul de la distanță. Asemenea politici trebuie să fie complete și formulate clar pentru a reduce cantitatea de explicații și instrucțiuni de care are nevoie personalul întreprinderii pentru a fi sigur faptul că au fost corect însușite. Politicile ar trebui să includă descrieri și elemente generale de identificare mai degrabă decât nume de indivizi astfel încât ele sa poată face față schimbărilor din întreprindere. Politicile ar trebui sa fie restrânse la concepte generale mai degrabă decât la controale specifice. De exemplu, o politică care afirmă „ fiecare utilizator trebuie să fie identificat printr-o metodă acceptabilă“ este mai bună decât o politica mai specifică care susține „ fiecare utilizator trebuie să fie identificat printr-o parolă de șase caractere“; deoarece nu va fi nevoie de modificări importante în cadrul politicii în caz că parola este înlocuită de sisteme de autentificare mai puternice.

Politica este de asemenea importantă în rețelele de calculatoare răspândite pe o arie mare având rolul de a stabili un comportament adecvat în ceea ce privește securitatea datelor pentru un grup mare și disparat de utilizatori și/sau întreprinderi. Acest fapt este important atunci când întreprinderea se bazează pe personal angajat prin contract sau pe o perioadă limitată de timp. Politicile ar trebui să reflecte practicile acceptate ale unei întreprinderi și totuși, să valorifice toate metodele practice pentru a influența comportamentul și răspândirea informației în interiorul sistemelor de calculatoare raspandite pe o arie larga.

Procesul de dezvoltare al unei politici eficiente de securitate a sistemelor informatice este un proces cu un grad considerabil de dificultate. Alcătuit datorită amenințărilor la care este supus un sistem informațional, aceste politici exprimă obiectivele sistemului informatic unei întreprinderi și conturează strategia de îndeplinire a acestor obiective. Este important ca managementul de vârf să se angajeze în sprijinirea inițiativei de securitate a informatiei. O echipa însărcinată cu conceperea politicii, delegată de un comitet de supraveghere ar trebui să construiască o politică care să reflecte cultura organizațională. Ca scop final, prevederile politicii trebuie aduse la cunostiința personalului și să convingă utilizatorii să le respecte. Departamentele întreprinderii și utilizatorii trebuie să cunoască faptul că sunt parte integrantă din procesul de asigurare a securității sistemelor informatice. Acest proces nu este ușor de realizat, iar echipa care se ocupă cu securitatea sistemelor informatice trebuie să încerce sa imbunătățească în mod continuu acest proces și să ofere cea mai bună protecție împotriva amenințărilor la adresa securității datelor și informațiilor întreprinderii.

2.3 Aplicație privind implementarea politicilor de securitate.

Societatea comercială “SECURO TECH” SRL ARAD a fost înființată la data de 24 mai 1996 pe baza statutului de societate și a procurii speciale în traducere legalizată sub nr. 7558/ 13.05.1996. Societatea funcționează ca o societate cu asociat unic în persoana juridică germană DHR BETEILIGUNGSGESELLSCHAFT mbH, cu sediul în Germania, reprezentată prin domnul Nicolae Gherănescu. Ca urmare societatea este constituită având la bază capital străin.

Avand drept criteriu forma de constituire și de funcționare societatea amintită îmbracă forma juridică de societate cu răspundere limitată. Aceasta înseamnă că obligațiile sociale sunt garantate cu patrimoniul social, iar asociații răspund numai proporțional cu cota socială deținută în capitalul întreprinderii. Părtile sociale ale asociaților sunt, în principiu, netransmisibile altor persoane și nici nu sunt reprezentate prin titluri negociabile.

Obiectul principal de activitate îl reprezintă producerea și comercializarea echipamentelor mecanice de protecție a valorilor și anume a lacătelor, caselor de bani și a casetelor de valori. SC “SECURO TECH” SRL este agrementată VdS, ICECON și își desfășoară activitatea conform standardului de calitate ISO 9001. Date fiind particularitățile obiectului de activitate, nevoia de securitate a datelor, informațiilor și sistemului informatic este evidentă.

Sistemul informatic de care dispune întreprinderea este alcătuit din 9 calculatoare Hawlett-Packard conectate în rețea, 4 imprimante Hawlett-Packard și dispune de o conexiune la Internet oferită de SC Internext SRL din Arad sub forma unei antene radio de 2MB/s. Rețeaua este administrată de un inginer de sistem iar toți utilizatorii sunt obligați să ia la cunoștiință și sa fie de acord cu prevederile politicilor de securitate.

Politicile de securitate pe care utilizatorii calculatoarelor din cadrul societății comerciale SECURO TECH SRL trebuie sa le respecte sunt în număr de 5 și anume :

Politica de securitate privind sistemele informatice.

Politica de securitate fizică și a datelor.

Politica privind proprietatea datelor.

Politica cu privire la Internet și serviciile conexe.

Politica de securitate privind poșta electronică.

a) Politica de securitate privind sistemele informatice.

Scopul politicii.

Scopul acestei politici este de a contura politica de securitate privind sistemul informatic în cadrul SC Securo Tech SRL

Enunț.

Sistemele informatice, datele și informațiile care includ calculatoarele, retelele de calculatoare, imprimantele și alte obiecte înrudite de echipament sau care se referă la componentele de sistem sunt proprietatea SC Securo Tech SRL și sunt considerate elemente patrimoniale foarte importante. Persoanele care folosesc sau au acces la aceste elemente patrimoniale trebuie să acționeze în mod prudent și rezonabil în vederea conservării integrității sistemului, datelor și informațiilor stocate și să le protejeze. Aceste elemente patrimoniale trebuie folosite doar în scopul desfășurării activității economice a întreprinderii.

Toate comunicările din partea SC Securo Tech SRL spre terți sau în interiorul întreprinderii trebuie să fie facute în mod profesional și competent intrucât reprezintă întreprinderea, conducerea sau clienții.

Luarea la cunoștiință.

Înainte de a folosi datele, informațiile sau sistemul informatic al SC Securo Tech SRL, angajații, persoanele sau societățile comerciale angajate de SC Securo Tech SRL trebuie să citească acestă politică de securitate privind sistemele informatice, să o ia la cunoștiință, să fie de acord cu aceasta și să semneze un agajament prin care atestă acest acord.

Liniile directoare ale acestei politici.

Elementele patrimoniale cuprinse în domeniul sistemelor informatice includ hardware, software, date, informații, WAN, telefonul și alte mijloace de comunicare. Toate achizițiile de astfel de elemente trebuie să treacă printr-un proces de certificare condus de inginerul de sistem; în plus, toate modificările și înlocuirile în cadrul acestor elemente patrimoniale trebuie operate de inginerul de sistem.

Încălcarea acestei politici, neraportarea unor încălcări ale acestei politici sau folosirea în alte scopuri decât cele prevăzute a elementelor componente a sistemului informatic va face obiectul acțiunilor disciplinare.

Această politică este realizată cu scopul de a completa prevederile legale. Nerespectarea prevederilor legale este considerată de asemenea o încălcare a politicii de securitate privind sistemul informatic și poate face obiectul acțiunilor disciplinare sau al urmăririi penale.

Drepturi rezervate de emitent.

SC Securo Tech SRL își rezervă dreptul de a monitoriza, audita și de a stoca datele cum considera, în conformitate cu această politică.

Acțiuni disciplinare.

Nerespectarea prevederilor acestei politici poate avea ca rezultat acțiuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Autorizat de :

Data revizuirii :

Data autorizării :

Data originală a emisiunii :

b) Politica de securitate fizică și a datelor.

Scopul politicii.

Scopul acestei politici este de a contura securitatea fizică și a datelor în cadrul SC Securo Tech SRL.

Enunț.

Fiecare angajat sau societate comercială/persoană fizică angajată de SC Securo Tech SRL este responsabilă de resursele încredințate. Aceștia prin atenție și grijă trebuie să asigure securitatea și integritatea acestor resurse, care includ datele, informațiile și sistemul informatic aflat în proprietatea SC Securo Tech SRL.

Liniile directoare ale politicii.

Pași prudenți și rezonabili trebuie făcuți cu scopul de a proteja datele și sistemul informatic al întreprinderii. Nu se admite evitarea acestor pași în nici o situație.

Orice acțiune care evită sau omite acesti pași trebuie raportată imediat conducerii SC Securo Tech SRL. Neraportarea acestor acțiuni este considerată ca o violare a prezentei politici și poate face obiectul sancțiunilor disciplinare.

Datele și sistemul informatic trebuie utilizate doar în modul în care a fost autorizat de directorul executiv și de inginerul de sistem. Accesul la datele și sistemul informatic se face doar conform cu fișa postului sau cu funcțiunile postului angajatului respectiv.

Securitatea datelor și confidențialitatea oferită clientilor sunt o parte indispensabilă și integrantă a politicilor și procedurilor de securitate ale SC Securo Tech SRL.

Datele trebuie protejate de pagube accidentale sau intenționate. Inginerul de sistem va dezvolta, implementa și va fi responsabil de crearea unor còpii de siguranță care să asigure stocarea în mod sigur și eficient a datelor importante. Altă responsabilitate a inginerului de sistem o constituie implementarea unor programe antivirus cu scopul protejării datelor și a sistemului informatic al SC Securo Tech SRL.

Drepturi rezervate de emitent.

Datele și sistemul informatic sunt resurse ale întreprinderii și trebuie considerate secrete. SC Securo Tech SRL își rezervă dreptul de a monitoriza utilizatorii, de a audita implementarea politicii și de a studia continutul oricarui fișier.

Acțiuni disciplinare.

Nerespectarea prevederilor acestei politici poate avea ca rezultat acțiuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Autorizat de :

Data revizuirii :

Data autorizării :

Data originală a emisiunii :

c) Politica privind proprietatea datelor.

Scopul politicii.

Scopul acestei politici este de a contura politica privind proprietatea datelor.

Enunț.

Sistemul informatic, datele și echipamentele de calcul sunt proprietatea SC Securo Tech SRL și sunt considerate elemente patrimoniale importante. Toate datele, informațiile și sistemul informatic sunt proprietatea SC Securo Tech SRL. Inginerul de sistem își asuma responsabilitatea pentru informațiile stocate în rețea și pentru datele stocate pe stațiile de lucru.

Liniile directoare ale politici.

Sistemul informatic și toate datele și informațiile asociate sunt elemente patrimoniale importante și se află în proprietatea SC Securo Tech SRL. Datele și informațiile accesate de pe o stație de lucru a unui utilizator trec în responsabilitatea acestuia.

Datele și informațiile importante trebuie stocate folosindu-se în paralel și còpii de siguranță ale acestora. Datele și informațiile stocate pe harddisk-ul unui utilizator se află în responsabilitatea acestuia și este responsabil cu crearea de còpii de siguranță.

Datele și informațiile stocate sau accesate pe calculatoarele angajaților ce contravin prevederilor legale sunt de asemenea considerate ca o încălcare a acestei politici.

Datele, informațiile și sistemul informatic trebuie utilizat doar în modul în care a fost autorizat de conducerea SC Securo Tech SRL. Accesul la datele, informațiile sau sistemul informatic al întreprinderii trebuie să se facă în conformitate cu funcțiunile postului sau cu fisa postului. Dezvăluirea către public a datelor sau a informațiilor trebuie să se facă în concordanță cu politicile privind confidențialitatea relațiilor cu clienții sau cu politicile privind confidențialitatea datelor și informațiilor ale SC Securo Tech SRL. Încălcarea acestor politici trebuie adusă imediat la cunoștiința conducerii SC Securo Tech SRL.

Drepturi rezervate de emitent.

Sistemul informatic, datele, informațiile și echipamentele de calcul sunt proprietatea SC Securo Tech SRL și sunt considerate elemente patrimoniale importante și nu trebuie considerate ca fiind în proprietatea privată a utilizatorilor. SC Securo Tech SRL își rezervă dreptul de a monitoriza, a audita și de a studia conținutul oricărui fișier stocat sau accesat prin rețeaua SC Securo Tech SRL.

Acțiuni disciplinare.

Nerespectarea prevederilor acestei politici poate avea ca rezultat acțiuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Autorizat de :

Data revizuirii :

Data autorizării :

Data originală a emisiunii :

d) Politica cu privire la Internet și serviciile conexe.

Scopul politicii.

Scopul acestei politici este de a contura politicile privind Internet-ul și serviciile pe care acesta le oferă în cadrul SC Securo Tech SRL.

Enunț.

Internet-ul poate fi folosit doar în scopul realizării obiectivelor comerciale ale SC Securo Tech SRL.

Linii directoare.

Internet-ul sau conexiunea la Internet nu poate fi folosită pentru a transfera informații care sunt în contradicție cu prevederile penale sau cu prevederile acestor politici și proceduri.

Internet-ul nu poate fi folosit cu alte scopuri comerciale decât cele ale SC Securo Tech SRL.

Accesul la contul de Internet este limitat la angajații autorizați de conducerea SC Securo Tech SRL.

Internet-ul poate fi accesat doar prin intermediul unui furnizor de servicii de Internet angajat de SC Securo Tech SRL. Accesarea Internet-ului prin orice alte mijloace decât cel autorizat este strict interzisă.

Internet-ul nu poate fi utilizat pentru accesarea altor sisteme în care utilizatorul nu are autorizație de acces.

Utilizarea neautorizată a Internet-ului trebuie raportată imediat conducerii SC Securo Tech SRL. Neraportarea utilizării neautorizate a Internet-ului este considerată o încălcare a politicii de securitate a întreprinderii și poate face obiectul acțiunilor disciplinare care pot include chiar concedierea.

Drepturi rezervate de emitent.

Accesul la Internet oferit de SC Securo Tech SRL este considerat un serviciu al întreprinderii și nu poate fi considerat proprietate privată a utilizatorilor. SC Securo Tech SRL își rezervă dreptul de a monitoriza, supraveghea, audita și de a controla utilizarea Internet-ului în cadrul întrepriderii.

Acțiuni disciplinare.

Nerespectarea prevederilor acestei politici poate avea ca rezultat acțiuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Autorizat de :

Data revizuirii :

Data autorizării :

Data originală a emisiunii :

e) Politica de securitate privind poșta electronică.

Scopul politicii

Scopul acestei politici este de a contura politica de securitate privind poșta electronică din cadrul SC Securo Tech SRL.

Enunț.

Poșta electronică (e-mail) poate fi folosită de persoanele autorizate doar în scopul realizării obiectivelor comerciale ale SC Securo Tech SRL.

Linii directoare.

Poșta electronică nu poate fi folosită în :

Încălcarea prevederilor legale.

Pentru a furniza informații despre întreprindere sau performanțele acesteia fără consimțământul scris al conducerii SC Securo Tech SRL

Pentru a distribui materiale ce se află în conflict sau încalcă politicile de securitate ale SC Securo Tech SRL.

Comunicări personale.

Accesul la poșta electronică este limitat la aceia care sunt autorizati de conducerea SC Securo Tech SRL.

Utilizarea neautorizată a poștei electronice trebuie imediat raportată conducerii SC Securo Tech SRL. Neraportarea utilizării neautorizate sau abuzive a poștei electronice este considerată o încălcare a politicii de securitate și poate face obiectul sancțiunilor disciplinare.

Drepturi rezervate de emitent.

Poșta electronică și fișierele asociate sunt în proprietatea întreprinderii și nu trebuie considerate ca fiind proprietatea personală a unui utilizator. SC Securo Tech SRL își rezervă dreptul de a monitoriza și studia conținutul oricărui mesaj sau fișier din cadrul sistemului de poșta electronică.

Acțiuni disciplinare

Nerespectarea prevederilor acestei politici poate avea ca rezultat acțiuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Autorizat de :

Data revizuirii :

Data autorizării :

Data originală a emisiunii :

CAPITOLUL 3. Securitatea tranzacțiilor economice în cadrul sistemelor e-business

3.1 Internet-ul. ScurtĂ prezentare

La începutul anilor ’60 (1962 mai precis), Forțele Aeriene ale Statelor Unite (U.S.A.F.) au însărcinat un mic grup de cercetători cu o activitate deosebită: crearea unei rețele de comunicație destinată exclusiv uzului militar care să supraviețuiască unui război atomic sau altei calamități majore. Conceptul lor era revoluționar: o rețea fără control centralizat. Dacă unul (sau zece sau o sută) dintre noduri ar fi fost distruse, sistemul ar fi continuat să funcționeze, spre deosebire de rețeaua centralizată unde distrugerea singurului nod central duce la întreruperea comunicațiilor între stațiile finale.

Persoana cu cea mai mare responsabilitate pentru crearea acestei rețele a fost Paul Baran. În viziunea lui Baran, construcția rețelei semăna foarte mult cu o plasă de pește. Astfel datele urmau să parcurgă rețeaua prin orice canale disponibile la un moment dat, acestea stabilindu-și în mod dinamic ruta de parcurs pentru fiecare etapă a drumului. Dacă datele ar fi întâlnit vreo problemă la una din „intersecțiile drumurilor” din rețea, ar fi luat-o pur și simplu pe un alt drum.

În general, Baran a specificat în amănunt toate detaliile care au dus la nașterea acestei rețele. Din nefericire ideile lui au fost prea avansate pentru acea vreme, ceea ce a condus la amânarea cu câțiva ani a realizării proiectului.

În 1965 ideea a fost reluată. Agenția Guvernamentală Americană de Proiecte de Cercetare Avansată (ARPA) a asigurat finanțarea proiectului, iar în 1969 rețeaua a devenit realitate sub denumirea de ARPANet.

Pe măsură ce rețele s-au dezvoltat, ARPANet s-a dovedit una destul de simplistă, fără asemănări importante cu Internetul de astăzi. Topologia sa consta în legături între mașinile a patru instituții academice: Institutul de Cercetări Stanford, Universitatea Utah, Universitatea California din Los Angeles și Universitatea California din Santa Barbara.

În perioada anilor ’70, ARPANet s-a dezvoltat mult peste așteptările inițiale ale fondatorilor săi. În același an, Ray Tomlinson a schimbat fundamental modul de comunicare în rețea și anume a creat poșta electronică(e-mail).

Pe măsură ce la ARPANet se adăugau tot mai multe calculatoare, cercetătorii instituțiilor academice sau ai agențiilor guvernamentale conectate la ARPANet realizau că utilizatorii rețelei vor avea nevoie de un set comun de protocoale(reguli) pentru transmisia și formatul datelor. Protocolul inițial ARPANet (denumit protocol de control în rețea – Network Control Protocol – NCP ) nu a fost proiectat pentru a manipula pachete de date create de configurații atât de diferite cum sunt sateliții, de exemplu. Prin urmare, la începutul anilor ’80, o dată cu dezvoltarea noii tehnologii a calculatoarelor și necesitatea de conectare la configurații nonstandard, managerii de rețea ai ARPANet au decis că este momentul înlocuirii NCP.

La 1 ianuarie 1983, Transport Control Protocol/Internet Protocol(TCP/IP) a înlocuit NCP. Spre deosebire de NCP, care impunea o anumită dimensiune și structură pentru fiecare pachet de date, TCP/IP poate realiza cu succes comutații de pachete de date de toate dimensiunile și formele într-o varietate de rețele. În prezent, TCP/IP constituie coloana vertebrală a Internetului, a LAN-urilor și a WAN-urilor ce îl compun.

Ulterior, studenții și oamenii de știință cu aceeași sferă de interese au început să creeze grupuri de discuții (newsgroups).Pe măsură ce numărul grupurilor de discuții a crescut, administratorii Internetului le-au grupat într-o categorie mai mare, denumită Usenet. Chiar dacă Usenet a reprezentat un progres semnificativ pentru Internet, acesta reprezenta o comunitate de texte, într-un moment în care majoritatea calculatoarelor personale și de birou foloseau sisteme de operare care includeau interfețe grafice cu utilizatorul.

Astfel, în 1989, Tim Bernes Lee, fizician la Laboratorul european de fizică a particulelor (CERN), a sugerat conceptul de World Wide Web (WWW) ca interfață grafică utilizator. În 1992, CERN a început să facă public proiectul World Wide Web și să încurajeze crearea de servere Web în laboratoare și instituții academice din toată lumea. În iulie 1993, InterNic a semnalat existența a 1000 de servere Web pe Internet. În prezent există peste 18 milioane de servere Web, iar numărul lor crește în fiecare săptămână. Introducerea protocolului de transport prin hipertext (hypertext transport protocol – HTTP), care reprezintă modalitatea prin care calculatoarele transferă și recunosc informația hipertext pe durata accesului la Web, a modificat aproape instantaneu modalitatea de acces la Internet.

Caracteristica absolut particulară a Web-ului este simplitatea cu care utilizatorul se poate deplasa de la un document cu hiperconexiuni la altul. În timpul „navigării” prin Web, pe ecranul calculatorului pot fi vizualizate documente care includ grafică, animație, imagini și sunet.Documentele Web nu există în calculatorul respectiv, ci pe un alt calculator (serverul de Web) la care primul calculator s-a conectat prin Internet.

Figura7 nr. 4. Structura relațională a Web-ului

Spre deosebire de structura inițială a Internetului, care era riguros ierarhizată, structura Web-ului este aproape în întregime relațională. Internetul și-a pus o mare parte din potențial prin intermediul web-ului. Milioane de documente interconectate, situate pe milioane de calculatoare host alcătuiesc ceea ce utilizatorii înțeleg prin noțiunea de Web. Aceste documente includ bibliografii, reviste, expoziții multimedia, baze de date și, poate cel mai important, locații de afaceri, cum ar fi cataloage sau saloane de prezentare pentru vânzarea cu amănuntul.

Pentru a avea o imagine mai amplă asupra dezvoltării Internetului ca mărime (evidențiată prin numărul calculatoarelor host conectate), următoarele date sunt semnificative:

Până în 1972 ARPANet avea deja cam 40 de calculatoare host.

În 1985, Internetul includea 1961 de calculatoare host, iar numărul utilizatorilor săi (în acel moment numai intituții academice și guvernamentale) se ridica la câteva zeci de mii.

În 1988, Internetul a ajuns la 80.000 de calculatoare host, adică o creștere cu 4000%, continuând să se dezvolte cu o rată exponențială.

În ianuarie 1997, printr-un studiu s-a relevat existența a 16.146.000 de calculatoare host.

În 2001, un alt studiu exprimă un număr de peste 800.000.000 de calculatoare host, în timp ce în prezent, cel mai popular motor de căutare pe internet, Google are indexate peste 2.000.000.000 de pagini web.

Aproape imediat după punerea în funcțiune a Internetului ( a ARPANetului de fapt în 1969), cercetătorii au fost confruntați cu un factor perturbator: Internetul nu era sigur și putea fi spart cu ușurință.

După părerea autorului cărții Securitatea în Internet – ghidul expertului, totul a început în telefonie. Această activitate era cunoscută sub denumirea de phreaking. Activitatea de phreaking înseamnă acum activitatea prin care se ocolesc mijloacele de securitate ale unei companii de telefoane. (cu toate că, în realitate, phreakingul ține mai mult de cunoașterea unui funcționării unui sistem telefonic, urmată de manipularea sa în interes propriu).

Pirații telefonici (phreakerii) foloseau diferite metode pentru a realiza acest lucru. De-a lungul timpului ei au folosit diferite dispozitive de la celebrele „cutii roșii” care puteau transmite sunete(tonuri digitale) până la utilitare de piraterie telefonică care rulează sub mediul MS-DOS sau o fereastră MS-DOS din versiunile Windows oferind tehnici mai subtile de piraterie.

Întrebarea care se pune este: Cum anume pirateria telefonică a condus la apariția crackingului pe Internet? Procesul a fost unul natural. Pirații telefonici au încercat aproape orice pentru a găsi noi sisteme. Adesea ei cercetau liniile telefonice pentru a descoperi noi tonuri sau conexiuni. Unele dintre aceste conexiuni s-au dovedit a fi modemuri.

Momentul în care primul pirat s-a conectat la Internet nu poate fi determinat deoarece, cu ani în urmă, protocolul PPP (Point – to – Point Protocol) nu era disponibil. Se presupune că un pirat, printr-o conexiune telefonică obișnuită (dial-up), s-a legat la un calculator mainframe sau la o stație de lucru de undeva din afară. Probabil că acea mașină era conectată la Internet prin intermediul unei rețele Ethernet, printr-un al doilea modem sau un alt port. Astfel mașina țintă s-a comportat ca o punte (bridge) între phreacker și Internet. După ce piratul a trecut puntea, a intrat într-o lume suprapopulată de calculatoare, puțin sau deloc protejate.

De atunci crackerii și-au croit drum prin aproape orice sistem existent. Începând cu anii ’80, mulți programatori cu adevărat înzestrați au devenit peste noapte crackeri.

Până în 1988 nu s-a pus totuși problema securității ca prioritate. Cele mai multe servere erau întreținute de administratori care posedau doar cunoștințe elementare referitoare la securitatea rețelelor, iar protocolul TCP/IP nu a fost proiectat având securitatea în prim plan. Acest lucru a fost posibil deoarece spargerile erau rare în raport cu numărul de ținte potențiale.

Pe 2 noiembrie 1998, un student pe nume Robert Morris Jr. de la Universitatea din Cornell a lansat pe Internet un vierme informatic(worm). Acest vierme era un program cu autoreproducere care căuta mașini vulnerabile și le infecta. După ce infecta o mașină vulnerabilă, viermele se propaga mai departe în rețea, căutând alte ținte. Acest proces a continuat până când au fost infectate mii de mașini. În câteva ore, Internetul se afla sub stare de asediu. Comunitatea programatorilor s-a aflat inițial în stare de șoc, însă acesta nu a durat mult. Programatorii de la mai multe universități au lucrat toată noaptea pentru a analiza și stopa viermele informatic, realizând o tactică antivierme. Viermele informatic nu a cauzat daune permanente programelor sau fișierelor stocate pe calculatoare, dar a necesitat sute de ore de muncă pentru a înlătura efectele sale.

Apariția viermelui lui Morris a schimbat multe atitudini referitoare la securitatea în Internet. Un singur program a dezactivat mii de mașini. Acea zi a marcat începutul securității serioase pe Internet.

În prezent situația este radical diferită de acum 10 ani. Atacurile sunt mult mai multe, însă din cauza faptului că marile afaceri s-au orientat către Internet, a crescut extraordinar și cererea pentru instrumente de securitate patentate. Acest aflux de bani proveniți de la firme a dus la o creștere a calității instrumentelor de securitate. Astfel crackerii sunt puși în fața unor încercări din ce în ce mai grele.

Conectarea unui sistem de calcul la Internet determină expunerea acestuia la numeroase riscuri de încălcare a securității, care cresc de la o zi la alta. Referitor la această problemă revista PC MAGAZINE nr. 8, anul 2000, prezintă următoarele tipuri de amenințări:

Tabelul 3.1

Tipuri de amenințări

3.2 Sistemele e-business și vulnerabilitatea tranzacțiilor economice

3.2.1 E-commerce

Odată cu răspândirea web-ului și atingerea unei mase critice de utilizatori, firmele cu activitate de comerț, analiștii, specialiștii în marketing s-au gândit că merită investit efort în punerea la punct a unor tehnologii care să transforme surferii web în potențiali clienți. Inițial, siturile web ale acestor firme contineau doar informații de contact, oferte promoționale sau chiar cataloage de produse sub forma unor pagini HTML statice. Lansarea unei comenzi de cumpărare a unor produse se putea face eventual via fax, telefon sau e-mail. Dezavantajul cel mai mare constă în faptul că pentru a putea intra în posesia produselor, clientul trebuia să plătească contravaloarea produselor comandate iar banii să parcurgă drumul de la client la vânzător. Plata se făcea de regulă prin mecanismele clasice, către un cont deschis de comerciant la o bancă; presupunea deplasarea clientului la sediul unei instituții cu profil bancar pentru a depune banii și pentru iniția transferul acestora în contul comerciantului. În funcție de politica adoptată de comerciant pentru a demara procesul de livrare a produselor către client acesta cerea sau nu, confirmarea efectuării plății prin fax. Fie că se folosea o rețea de distribuție proprie, fie că se apela la un serviciu poștal specializat (poșta rapidă, DHL, etc), teoretic aceasta ultimă fază era cea mai lungă. Dezavantajele acestei metode sunt rezolvate de e-commerce care permite plata prin intermediul Internet-ului

O definiție succintă și larg acceptată este următoarea: Comerțul electronic este acea manieră de a conduce activitățile de comerț care folosește echipamente electronice pentru a mări aria de acoperire și viteza cu care este livrată informația.

E-commerce oferă oportunitatea de a comercializa produse în intreaga lume, sporind numărul de potențiali clienți în primul rând prin eliminarea barierelor geografice dintre clienți și comercianți

Arhitectura unui sistem de comerț electronic.

Pentru a construi un sistem de e-commerce, din punct de vedere arhitectural este nevoie de colaborarea a patru componente (subsisteme electonice/informatice) corespunzătoare următoarelor roluri:

Client. Un echipament, clasic un calculator, conectat direct (via un ISP) sau indirect (o rețea a unei corporații) la Internet. Cumpărătorul folosește acest echipament pentru a naviga și a face cumpărături.

Comerciant. Sistem informatic (hard & soft), situat de regulă la sediul comerciantului, care găzduieste și actualizează catalogul electronic de produse disponibile a fi comandate on-line pe Internet.

Sistemul tranzacțional. Sistemul informatic (hard & soft) responsabil cu procesarea comenzilor, inițierea plăților, evidența înregistrărilor și a altor aspecte de business implicate în procesul de tranzacționare.

Dispecer plăți. (Payment Gateway). Sistem informatic responsabil cu rutarea instructiunilor de plată în interiorul rețelelor financiar-bancare, cu verificarea cărților de credit și autorizarea plăților; acest sistem joacă rolul unei porți care face legatura dintre rețeaua globală Internet și subrețeaua financiar-bancară (supusă unor cerințe de securitate sporite), poartă prin care accesul este controlat de un "portar" (gatekeeper); pe baza informațiilor specifice cărții de credit (tip_card, nr_card) din instrucțiunile de plată "portarul" redirecționază informația către un centru de carduri (CC – un server certificat în acest scop și agreat de banca emitentă); în acest loc este identificată banca care a emis cardul iar instrucțiunile de plată sunt trimise mai departe către serverul acestei bănci conectat în rețeaua interbancară; odată informațiile ajunse în rețeaua băncii cu care lucrează cumpărătorul, sunt efectuate (automat) o serie de verificări privind autenticitatea și soldul disponibil în contul cardului implicat în tranzacție; în funcție de rezultatul acestor verificări, banca decide fie efectuarea plătii (transfer bancar – către contul comerciantului care poate fi deschis la orice altă bancă), fie refuză să facă această plată. În ambele cazuri, rezultatul deciziei (confimare plată sau refuz) este trimis în timp real, parcurgând acest lanț de servere în sens invers, către client. Cu alte cuvinte, în câteva secunde cumpărătorul află dacă banca sa a operat plata sau nu.

Pe baza acestor patru componente de baza s-au implementat diverse arhitecturi de comerț electronic. Unele combină mai multe componente într-un singur (sub)sistem informatic, pe când altele implementează separat fiecare componentă în parte.

Pentru definirea arhitecturii, proiectantii de sisteme e-commerce fac o proiectare de ansamblu a sistemului pe baza unei selecții a principalelor cerințe/funcții ale unui sistem e-commerce. Detalii cum ar fi, de exemplu, funcția de agregare care permite asamblarea articolelor într-o comandă completă sunt lăsate pe seama proiectării de detaliu. Decizia de a integra această funcție de agregare la nivelul componentei client, comerciant sau tranzacționale se va lua în funcție de cerințele specifice ale fiecărei implementări în parte. Important este însă ca în cazul unui sistem de e-commerce, ca de altfel în cazul oricărui sistem complex, arhitectura să fie clar definită la toate nivelele de detaliu.

Pentru a asigura succesul pe termen lung al unui proiect de e-commerce, arhitectura acestuia trebuie proiectată cu grijă ținând cont de toate aspectele de business cu care se va confrunta sistemul, lăsând totodată portițe care să permită adaptarea sa în timp, pe masură ce apar noi provocări iar tehnologiile evoluează.

Una din principalele provocări cu care se confruntă comerciantii detailiști (retail) atunci când doresc sa implementeze un sistem de comerț electronic este furnizarea un mecanism de plată comod, perceput ca suficient de sigur și usor de integrat într-un sistem de tranzacții comerciale on-line. Multe soluții pentru această problemă au fost propuse sau chiar sunt utilizate astăzi. Însa nici una nu a dobândit largă acceptare de care se mai bucură încă bancnota de hârtie sau moneda de metal. Comerțul electronic va putea evolua dincolo de un anumit nivel doar atunci când consumatorii obisnuiti vor percepe un mecanism de plată electronică ca fiind la fel de sigur ca plata cu banii jos ("cash") de astăzi.

De indată ce a pus în exploatare un sistem de vânzări on-line, comerciantul va putea vinde 24 de ore pe zi, 7 zile pe săptamână și asta peste tot în lume; pe unde a ajuns Internet-ul, desigur. Mai mult, cumpărătorii și potențialii clienți vor avea acces la informații de ultimă oră referitoare la produse, servicii, prețuri sau disponibilitatea acestora. Ca acest scenariu să devină cu adevărat realitate, comerciantul va trebui să se asigure ca sistemul informatic pe care-l implementează va fi disponibil non-stop și în tot acest timp el va opera: gestiunea comenzilor, facturarea, procesarea plaților și remiterea banilor.

Cu excepția cazului în care comerciantul își desfășoară activitatea pe principiul "banii jos" sau folosește alte metode de plată off-line, obținerea banilor rezultați în urma unei vânzări on-line presupune o serie de procese de interacțiune cu bănci sau alte instituții financiare.

În prezent, plățile cu ajutorul cărților de credit (credit card), banilor electronici (e-cash), cecurilor electronice sau al cardurilor inteligente (smart card) sunt principalele metode de plată folosite în comerțul electronic. Succint, caracteristicile acestor mijloace de plată se pot reprezenta astfel:

Tabel 3.2

Principalele mijloace electronice de plată; avantaje si dezavantaje la procesarea plăților

Din punct de vedere arhitectural, metodele de plată pot fi integrate la nivelul "comerciantului" – în sistemul informatic al acestuia, sau oferite în regim outsource de un furnizor de servicii de comerț (CSP – Commerce Service Provider) care va gestiona/intermedia plățile de la terți.

În ciuda unor campanii promotionale de anvergură derulate în occident, cu excepția cărților de credit nici una din noile metode de plată promovate nu a atins masa critică. De fapt, previziunile unor consultanți de specialitate din domeniu prognozează că până în 2002 cărțile de credit vor rămâne mijlocul de plată preferat pentru 99% din cumpărăturile on-line. Tranzacțiile on-line care folosesc plata cu carduri sunt protejate criptografic, iar modalitatea concretă de criptare asigură faptul că numai banca sau furnizorul de servicii pentru carduri de credit va putea vedea numărul cartii de credit, nu și comerciantul. Cu doar câtiva ani în urmă scepticii susțineau că foarte puțini clienți vor fi dispuși să ofere on-line informații referitoare la propriul card de credit. Realitatea de astazi, când multe din cele mai populare situri de comerț electronic acceptă doar plata cu card de credit, vine sa ne arate că aceștia s-au inșelat.

Care sunt cerințele? O parte din proces implică încheierea unor alianțe/contracte cu instituții financiare, în timp ce din punct de vedere tehnic presupune utilizarea unor tehnologii avansate de criptare și autentificare pentru securizarea mesajelor trimise via Internet. Unul din primii pași pe care trebuie să-l facă comerciantul este să-și deschidă un cont la o bancă care oferă servicii de tranzacționare on-line bazate pe carduri. Costurile pe care va trebui să le suporte comerciantul includ o parte fixă, reprezentată de costul achiziționării sau închirierii echipamentelor și softului aferent necesare realizării comunicării securizate cu banca (de exemplu, implementarea unui firewall este obligatorie), precum și costuri variabile rezultate în urma comisioanelor precepute de bancă/tranzacție. De regulă instituția financiară impune un volum minim de tranzacții/lună (cost variabil minim acceptat), percepând o sumă minimă pe care comerciantul o platește indiferent de numărul de tranzacții pe care le derulează on-line. În schimb, poate fi avantajos pentru comerciant sa apeleze la o agentie de carduri care oferă servicii de tranzacționare on-line. Datorită volumului mare de tranzacții pe care aceste agentii le derulează, pot obtine discounturi semnificative de la bănci și în consecință au oferte mai tentante pentru clienți – societăți comerciale care doresc să-și transfere o parte din business on-line.

Ca alternativă la implementarea unui sistem propriu, comerciantul web poate apela la furnizori de servicii de plată (PSP – Payment Service Provider) sau la furnizori de servicii de comerț (CSP – Commerce Service Provider). În stadiul actual de dezvoltare al comerțului electronic, o parte din bănci au adoptat o atitudine proactivă în ceea ce privește serviciile de e-banking, altele fiind încă reticente. Pe de alta parte, înainte de a acorda statutul de comerciant, băncile pot cere, în special societăților comerciale mai mici, sa depună o sumă de bani într-un cont colateral drept garanție pentru serviciile ce vor fi oferite. PSP-ul acționează ca intermediar între comerciant și posesorii de carduri oferind servicii de autorizare și de plată on-line. El beneficiază de conexiuni integrate on-line cu băncile care autorizează plățile și realizează automat transferul banilor. Poate conferi clienților statutul de comercianți web, negociază cei mai buni termeni contractuali pentru aceștia și de regulă le furnizează API-ul necesar pentru a-și integra ușor în propriul sit web funcțiile de procesare a cardurilor de credit.

Apelarea la PSP-iști este o soluție sigură și multe bănci preferă să lucreze cu aceștia, fiind mai ușor pentru ele să autorizeze un număr mai mic de clienti mari care pe deasupra preiau și sarcina de securizare a plătilor derulate de societățile cu care lucrează. Pe lângă o calitate mai bună a serviciilor oferite clienților, cum ar fi suport tehnic permanent sau eliminarea unei părți semnificative a birocrației specific bancare, PSP-iștii mai au un atuu: credibilitate financiară dovedită în fața băncilor ca urmare a unei relații de mai lungă durată cu acestea, aspect extrem de important care lipsește de regulă societăților comerciale mai tinere – potențiali clienți.

Alt avantaj pe care-l pot oferi PSP-iștii este pachetul integrat de servicii multi-card (au contracte cu mai multi furnizori de carduri), multi-bancare (operează cu mai multe bănci) și multi-monedă (conversia automată între monedele diverselor țări), și chiar un comision/tranzacție mult mai mic decât cel oferit de o bancă.

De îndată ce comerciantul și-a deschis contul bancar cerut și a finalizat implementarea sistemului informatic care-l conectează la instituțiile financiare sau PSP, el poate începe activitatea de comerț electronic. După ce un client care navighează pe situl web al comerciantului alege produsele dorite și le depune în coșul virtual de cumpărături, cumpărătorul este pus în legatură on-line cu PSP-ul care-i va cere informațiile necesare pentru procesarea plății: tipul cardului, numărul acestuia, numele proprietarului și data expirării cardului.

Odată obtinute aceste informații, platforma de e-comerț de la PSP le transmite mai departe agenției de carduri cu care lucrează, împreună cu suma totală de plată, taxa de comision/tranzacție, numărul de cont al comerciantului și tipul tranzacției dorite. Din acest moment tranzacția urmează calea obișnuită a oricărei tranzacții cu card de credit.

Informația este criptată și trimisă de către procesorul de plăți (PP) prin intermediul unei linii securizate de comunicație către un sistem de facilități integrate numit "interchange network procesor" (INP, procesor rețele interschimb), fiecare marcă (brand) de card de credit urmând a fi procesată de un INP distinct. INP comunică pe o linie securizată cu banca comerciantului care, la randul ei, contactează banca cumpărătorului (cea care a emis card-ul folosit de client) pentru a verifica dacă fondurile sunt disponibile. În caz afirmativ, tranzacția se finalizează și banca comerciantului trimite un "cod rezultat", sub forma unui număr de verificare către PSP. PSP trimite mai departe acest cod către softul care mijloceste cumpărăturile (shoping cart software) care procesează datele (păstrând printre altele un jurnal al tranzacțiilor) și anunță apoi clientul că tranzacția s-a efectuat cu succes sau a eșuat.

3.2.2 Riscurile la care sunt expuse sistemele e-business

Unul din principalele impedimente care au temperat rata de creștere a activităților de comerț electronic este legat de securitate. Esența problemei constă în faptul ca în mod normal mesajele de poșta electronică sunt expediate necriptate. Cu alte cuvinte oricine le interceptează, poate citi conținutul fără probleme. Din acest motiv și retinerea utilizatorilor în a-și trimite detaliile referitoare la propriul card de credit prin e-mail.

Tranzacțiile dintre situl web al comerciantului și cumpărător sunt criptate folosind tehnologia SSL (Secure Socket Layer). Astfel se elimină posibilitatea ca un intrus să obtină numărul cardului, presupunând ca el interceptează datele astfel criptate. Aceasta tehnologie prezintă însă și o deficiență și anume: SSL nu permite comerciantului să se asigure ca persoana care folosește cardul într-o tranzacție este chiar deținătorul acestuia. Similar, SSL nu oferă nici o cale prin care clientul să afle dacă situl web al comerciantului este cu adevărat autorizat să accepte plata cu carduri și că nu este doar un sit pirat (fake) proiectat doar în scopul de a colecționa date despre astfel de carduri.

Pentru a rezolva această problemă, MasterCard și Visa promovează SET (Secure Electronic Transaction), o tehnologie mai sigură, dezvoltată prin conjugarea eforturilor mai multor companii interesate. SET rezolvă problema autentificării prin desemnarea unor certificate digitale atât clientului cât și comerciantului. Mai mult, SET oferă securitate sporită față de cea existentă astăzi pe piața comercială traditională. În loc de a-i oferi comerciantului acces la numărul cardului, SET îl encriptează de o maniera care asigură faptul că doar consumatorul și instituțiile financiare au acces la el.

Fiecare dintre actorii implicați într-o tranzacție (comerciant, client sau instituție financiară) folosește certificatul SET privat, care joacă și rol de identificare, în conjuncție cu cheile publice asociate certificatelor ce identifică pe ceilalți actori. În practică, un terț oferă serviciul de a furniza certificate digitale instituțiilor financiare care emit carduri iar instituția financiară oferă certificate digitale clienților săi, detinători de credit carduri. Cât privește comerciantul, procesul este similar: în momentul efectuării unei cumpărături on-line, înainte de a se face vreun schimb de date, softul care integrează tehnologia SET validează identitatea comerciantului și a deținătorului cardului; procesul de validare constă în verificarea certificatelor digitale emise de furnizorii de servicii autorizați (terți).

3.3 Tehnici și instrumente pentru asigurarea securitatii tranzacțiilor electronice

3.3.1 Criptografia

Criptografia reprezintă studiul tehnicilor matematice privitoare la aspecte ale securității informațiilor dintre care se reliefează prin importanța lor: confidențialitatea, integritatea datelor și autentificarea. Criptografia nu este un mijloc singular de securizare a informațiilor, fiind considerată mai mult un set de tehnici.

Obiectivele principale ale criptografiei sunt :

1. Confidențialitatea este folosită pentru a păstra datele secrete pentru cei care nu sunt autorizați să le cunoască. Pentru asigurarea confidențialității se utilizează mai multe metode începând de la protecția fizică până la algoritmi matematici.

2. Integritatea datelor se referă la alterarea neautorizată a datelor. Pentru a se asigura integritatea datelor, trebuie detectată manipularea datelor de cei neautorizați. Prin manipularea datelor se înțelege completare, ștergere, înlocuire.

3. Autentificarea se referă la identificarea atât a unor entități cât și a informației însăși. Două entități angajate într-o comunicare trebuie să poată să se identifice reciproc; la fel și informația transmisă trebuie identificată din punct de vedere al originii, conținutului, orei transmisiunii, etc. Deci autentificarea se urmărește în principal pe două nivele : autentificarea entităților și autentificarea originii datelor. Autentificarea originii datelor atestă în mod implicit integritatea acestora.

4. Non-repudierea este alt scop al criptografiei și impiedică o persoană să nege transmiterea unor informații sau realizarea unor acțiuni.

Scopul fundamental al criptografiei este să se adreseze adecvat, atât în teorie cât și în practică acestor patru obiective mentionațe mai sus.

Criptografia permite stocarea informațiilor confidențiale precum și transmiterea acestora printr-o rețea (cum ar fi INTERNET-ul) astfel încât să nu poată fi citite decât de destinatar.

A encripta înseamnă a coda o anumită informație astfel încât aceasta să devină neiteligibilă chiar și pentru acele persoane care pot vedea respectiva informație. Procesul invers encriptării se numeste decriptare.

Criptografia este știința securizării datelor și informațiilor în timp ce analiza criptografică este știința analizării și “spargerii” comunicațiilor securizate. Analiza criptografică clasică presupune un melanj interesant între gândire analitică, aplicarea unor instrumente matematice, găsirea unor tipare, răbdare și nu în ultmul rând, noroc. Cei ce practica analiza criptografică sunt numiti atacatori. Criptologia, ca știință, cuprinde atât criptografia cât și analiza criptografică.

Un algoritm criptografic sau cifru este o funcție matematică folosită în procesul de encriptare și cel de decriptare. Un algoritm de criptare funcționează în strânsă legatură cu o cheie – un cuvânt, număr sau frază – pentru a encripta un text, o dată, sau o informație. Securitatea algoritmului criptografic depinde de doi factori :

puterea algoritmului criptografic

gradul de securitate al cheii de criptare

Un criptosistem (sistem de criptare ) este alcătuit dintr-un algoritm, toate cheile de criptare posibile și din protocoalele care fac acest sistem sa funcționeze.

Sisteme de criptare.

În funcție de tipul de cheie folosită, putem vorbi de sisteme criptografice simetrice sau asimetrice. În cadrul sistemelor simetrice se folosește aceeași cheie pentru a encripta și decripta datele în timp ce în cadrul sistemelor asimetrice se folosesc două chei: una folosită pentru encriptarea mesajului numita cheie publică și alta folosită pentru decriptarea mesajului numita cheie privată. Sistemele simetrice mai sunt denumite și sisteme convenționale în timp ce sistemele asimetrice sunt numite sisteme cu cheie publică.

Criptografia convențională (simetrica).

În criptografia convențională, numită și criptografie cu cheie secretă sau simetrică, este folosită o singură cheie pentru a encripta și decripta datele. Standardul DES (Data Encription Standard) este un exemplu de sistem de criptografie convențional care era utilizat pe scară largă de guvernul Statelor Unite ale Americii.

Cel mai simplu model de cripografie convențională este cifrul de substituire. Acest cifru schimbă o bucată de informație cu alta. Cel mai adesea se folosește în schimbarea literelor între ele rezultând un amalgam de informație indescifrabil.

Criptografia convențională este considerată ca având un nivel de securitate scăzut pentru standardele de azi.

Schematic, acest procedeu de criptare se prezintă in figura 5.

Figura 5. Criptarea convențională

Criptarea convențională are anumite beneficii. Este foarte rapidă, și este folosită în general, pentru informațiile care nu vor fi transmise prin rețea. Criptarea convențională are un inconvenient major, în sensul gradului ridicat de risc care îl presupune distribuția cheilor de criptare. Pentru ca un expeditor și un destinatar să comunice în absolută siguranță este nevoie să se aleagă o cheie de criptare care trebuie pastrată secretă. Dacă se află în locații diferite , cei doi trebuie să dispună de un mod de comunicare foarte sigur pentru ca respectiva cheie să nu fie interceptată în timpul schimbului. Orice terță persoană care interceptează cheia în tranzit, poate citi, modifica sau falsifica toate informațiile encriptate sau autentificate cu acea cheie.

Problema distribuției cheii a fost rezolvată de un concept introdus de Whitfield Diffie și Martin Hellman în 1975 numit criptarea cu cheie publică.

Criptografia cu cheie publică.

Criptografia cu cheie publică, numită și asimetrică este tipul de criptografie care folosește o pereche de chei : o cheie publică, care encriptează datele și o cheie corespunzătoare, privată sau secretă care decriptează datele. Cheia publică poate fi publicată oriunde în timp ce cheia privată trebuie sa rămână secretă. Oricine dispune de o copie a unei chei publice poate encripta informația care poate fi citită doar cu ajutorul cheii private corespunzătoare. Cheia privată nu poate fi dedusă pe baza cheii publice decât cu eforturi enorme și, probabil, nerentabile.

Principalul avantaj al criptografiei cu cheie publică este faptul că permite persoanelor care nu dispun de dotări speciale pre-existente de securitate să schimbe informații într-un mod sigur. Nevoia ca destinatarul și expeditorul unui mesaj să schimbe chei secrete prin intermediul unui canal sigur este eliminată, toate comunicațiile implică doar folosirea cheii publice și niciodată cheia privată nu este transmisă. Exemple de sisteme de criptare cu cheie publică :

Elgamal – inventator Taher Elgalamal

RSA – inventatori : R. Rivest, A. Shamir, L. Adleman

Diffie-Hellman – inventatori R. Diffie, P. Hellman

DSA – dezvoltat de David Kravitz.

Schematic, criptarea cu cheie publica se prezinta în figura 6.

Figura 6. Criptarea cu cheie publică

Una dintre problemele cele mai importante ale transmiterii datelor printr-un canal de comunicare este modul în care acestea sunt codificate și cât de puternic este sistemul de criptare. Un sistem criptografic, al cărui mod de implementare nu este cunoscut, este considerat suspect. În schimb, un sistem criptografic asupra căruia s-au realizat studii detaliate și a trecut de diverse teste poate fi considerat ca unul sigur.

Un raport recent facut de un grup de cercetători de la marile firme și centre recunoscute pe plan mondial în domeniul rețelelor și telecomunicațiilor – AT&T Research, Sun Microsystems, MIT Laboratory for Computer Science, the San Diego Supercomputer Center, Bell Northern Research etc. – a fost intitulat „lungimi minimale pentru cheile de codificare în asigurarea unui nivel de securitate adecvat”. Autorii au găsit că sistemele criptografice cu chei de 40 de biți nu oferă, virtual, nici o protecție împotriva atacurilor externe. Sugestia lor a fost exprimată simplu: „Pentru a proteja informația în mod adecvat, pentru urmatorii 20 de ani, în fața avansului extraordinar al puterii de calcul, cheile de criptare în noile sisteme instalate vor trebui să aibă o lungime de minim 90 de biți”. Rezumatul rezultatelor incluse în acest raport poate fi prezentat în urmatorul tabel:

Tabel nr 3.3

Tabel comparativ privind timpul de decodificare in cazul criptării cu chei de 40 sau 56 de biți sau 56 de biți

3.3.2 Semnătura digitalĂ

Sfârșitul de secol este dominat de revoluția informatică desfășurată în Internet – considerat ca reprezentând cea de-a treia revoluție industrială. Orientarea a tot mai multe activități umane către utilizarea tehnologiilor informatice face ca în Internet omenirea să se regăsească cu trăsăturile ei definitorii, atât dintre cele pozitive cât și negative. Ca urmare, oamenii sunt preocupați nu numai de folosirea eficientă și dezvoltarea continuă a domeniului tehnologiei informației și al Internet-ului, ci și de stabilirea cadrului legal în care să se desfășoare interacțiunile în acest domeniu, numit și Cyberspace sau Global Village. Cunoașterea diferitelor legi ce guvernează Internet-ul și hotărârea comunității internaționale de a acoperi toate golurile legale ale acestei noi lumi și de a le armoniza, este una foarte actuală. Internet-ul este o structură și în același timp o societate care, cu excepția unor parametrii tehnici, se dezvoltă liber și neîngrădit în raport cu prevederile legale ale statelor pe teritoriul cărora se află server-ele rețelei.

La 4 februarie 1998, a avut loc la Dublin, Irlanda, Ceremonia semnării electronice (digitale) a primului comunicat internațional dintre doi șefi de stat. Bill Clinton, președintele SUA și Bertie Ahern, primul ministru al Irlandei, au semnat digital Comunicatul asupra comerțului electronic. Ceremonia specială ce a avut loc la Dublin a marcat astfel două evenimente istorice: începutul erei comerțului electronic și acceptarea, la un înalt nivel, a semnăturii digitale ca element de autentificare în documentele electronice.

Comunicatul însuși este deosebit de important deoarece statuează, pentru prima oară într-un document internațional dedicat, importanța comerțului electronic global, un adevărat motor al secolului 21. Efectele sale vor fi multilaterale: revigorarea economiilor, creșterea productivității, îmbunătățirea distribuției și remodelarea structurii companiilor. Comerțul electronic va contribui la creșterea nivelului de trai în lume, prin crearea unor noi locuri de muncă și oportunități. Întreprinderile mici și mijlocii, în particular, vor beneficia primele de aceste noi facilități, putând accesa astfel o piață mondială

Noile servicii Internet – și în special comerțul electronic – au creat necesitatea unui serviciu permanent de semnătură digitală care, realizată prin mijloace electronice, să garanteze tranzacțiile prin Internet, adică:

să permită identificarea unei persoane fără a o întâlni;

să creeze o probă, irefutabilă în fața unei autorități, a tranzacției încheiate și executate.

Multă vreme, semnăturile olografe au fost folosite pentru a proba că o anumită persoană este de acord cu un anumit document. Cerințele generale ce se pun în fața unei semnături sunt următoarele:

1. să fie autentică, adică executată de autorul documentului;

2. să fie ne-falsificabilă, adică să dovedească faptul că documentul a fost produs de pretinsul semnatar;

3. să fie ne-reutilizabilă, adică să nu poată fii mutată, de către o persoană rău intenționată, pe un alt document;

4. să fie ne-alterabilă, adică odată documentul semnat, acesta să nu poată fi modificat;

5. să fie nerepudiabilă, adică semnatarul să nu poata sa nu recunoască autenticitatea ei.

În realitate, deși a fost folosită mii de ani, semnătura olografă nu respectă întru totul aceste deziderate. Cu atât mai mult, atașarea unor semnături scanate la documentele electronice face banal procesul de falsificare. Ca urmare, s-a creat un tip de semnătură electronică, numită și digitală, și care se realizează folosind metode criptografice cu chei publice. În literatura de specialitate nu se face, de cele mai multe ori, distincția dintre termenul de semnătură electronică și cel de semnătură digitală, ținând cont de faptul că tehnologia cea mai folosită în realizarea semnăturilor electronice o constituie azi criptografia.

Semnătura electronica este o informatie în format electronic atasata altei informatii în format electronic în scopul autentificarii sale8. Ea este produsă prin anumite calcule făcute de către emițător, pe baza unei chei și a conținutului mesajului. Acest proces se numește funcția de semnare. La recepție, printr-o funcție de verificare, se face un alt set de calcule asupra semnăturii și mesajului, constatându-se sau nu valabilitatea semnăturii. În concluzie, Semnătura digitală (electronică) reprezintă un atribut al unei persoane, fiind folosită pentru recunoașterea acesteia. Semnătura digitală rezolvă atât problema autentificării emițătorului, cât și pe cea a autentificării documentului (numită și integritate).

Producerea semnăturilor digitale se poate baza atât pe criptosisteme simetrice, cât și pe cele cu chei publice.

Metodele de semnătură digitală bazate pe sistemele clasice cu chei secrete (simetrice) folosesc aceeași cheie atât la semnare, cât și la verificare. În cadrul funcției de semnare, mesajul M este semnat folosind cheia secretă drept parametru. La verificare, folosind aceeași cheie secretă și mesajul în clar, se dă verdictul de valid sau invalid asupra semnăturii digitale recepționate. Dezavantajul acestei metode constă în necesitatea stabilirii și distribuției prealabile a cheii secrete între emițător și receptor.

Metodele de semnătură digitală cu chei publice (asimetrice) folosesc la semnare cheia secretă a entității emițător iar la verificare, cheia publică a acesteia. Ca urmare, o semnătură poate fi produsă doar de emițătorul autentic, singurul care cunoaște cheia privată, dar poate fi verificată de orice persoană care cunoaște cheia publică a emițătorului.

În funcționarea sistemelor cu chei publice este necesar un sistem de generare, circulație și autentificare a cheilor folosite de utilizatori. Să ne imaginăm situația când o persoană – să zicem Vlad – dorește să se dea drept altcineva, de exemplu Dan – și vrea să semneze în fals în numele lui Dan; falsificatorul poate face acest lucru ușor, generându-și propria sa pereche de chei și punând-o pe cea publică în fișierul public, în locul celei autentice a lui Dan. Documente semnate de Vlad cu cheia sa secretă vor fi verificate cu cheia publică ce pare a fi a lui Dan și orice persoană se va înșela de autenticitatea documentelor semnate în numele lui Dan.

Problemă fundamentală este deci aceea a încrederii absolute în cheile publice, cele cu care se face verificarea semnăturilor digitale. Acestea trebuie să fie disponibile în rețea, astfel ca orice client să poată obține cheia publică a unui emitent de document semnat. În acest context, soluția tehnică există: crearea unei infrastructuri internaționale, bazată pe Autorități de Certificare (Certification Authority- CA), care să permită obținerea cu ușurință și într-o manieră sigură a cheilor publice ale persoanelor cu care se dorește să se comunice prin Internet. Aceste autorități urmează să distribuie, la cerere, certificate de chei autentificate.

Certificatul digital este o atestare electronica care leaga datele de semnare/verificare de o persoana, și confirma identitatea acelei persoane.

Certificatele sunt utilizate când este necesar schimbul între persoane de chei publice. Când este vorba de un grup puțin numeros de persoane care doresc să comunice în siguranță, cheile publice pot fi schimbate prin dischete sau prin e-mail. Această formă de distribuție a cheilor publice se numește distribuție manuală de chei publice. În cazul comunităților mai mari, este nevoie de a dezvolta sisteme care să furnizeze un grad de securitate ridicat, o capacitate mare de stocare și un mecanism practic de schimb a cheilor publice astfel încât partenerii de afaceri să poată comunica cu ușurință.

Aceste sisteme sunt fie sub forma unor servere de stocare numite servere de certificare (Certificate Servers) fie sub forma unor sisteme mult mai structurate ce ofera servicii aditionale în ceea ce privește managementul cheilor publice numite Public Key Infrastructures (PKI).

Un server de certificate numit și server de chei este o bază de date ce permite utilizatorilor să trimită și să solicite certificate digitale. Un sever de certificate are și câteva sevicii administrative, ce permit unei companii să-și mentină politicile de securitate, cum ar fi stocarea numai a acelor chei care îndeplinesc anumite condiții.

PKI furnizează serviciile pe care le oferă și un server de certificate, dar oferă și posibilități de management ale certificatelor cum ar fi posibilitatea de a căuta, a emite, a revoca și de a stoca certificate digitale. Principalul serviciu oferit de PKI este introducerea unei autorități (instanțe) de certificare (Certification Authority – CA) care poate fi o persoană, un grup, un departament, o companie sau o asociație – pe care o organizație a autorizat-o sa emită certificate digitale pentru utilizatorii ei de calculatoare. O autoritate de certificare crează certificate digitale și le semnează digital folosind o cheie privată. Utilizând cheia publică a unei autorități de certificare oricine care dorește să verifice autenticitatea unui certificat digital verifică semnătura digitală a respectivei autoritați de certificare și deci și conținutul certificatului.

Formate de certificate. Certificatul X.509

Cel mai întâlnit format de certificate este formatul X.509. Toate certificatele X.509 se conformează standardului internațional ITU-T X.509, deci toate certificatele X.509 create pentru un anumit program pot fi folosite de orice alt program care recunoaște acest format. În realitate, diferite companii au realizat extensii proprii ale certificatelor X.509, nu toate dintre acestea fiind compatibile între ele.

Un certificat X.509 este o colecție standard de câmpuri conținând informații despre un utilizator și cheia publică corespunzătoare. Standardul X.509 definește ce informații intră în componența unui certificat, și descrie în ce format de date trebuie encriptat. Toate certificatele X.509 conțin următoarele :

Numărul versiunii standardului X.509 – acest câmp indică ce număr de versiune a standardului X.509 se aplică acestui certificat, fapt ce are o repercusiune directă asupra informațiilor ce pot fi specificate în el.

Cheia publică a deținătorului certificatului – include informații despre cheia publică a deținătorului certificatului împreună cu un identificator de algoritm care specifică cărui sistem de criptare aparține cheia respectivă precum și alți parametrii asociați acestei chei.

Numărul de serie al certificatului – orice entitate (program informatic sau persoană) care a creat certificatul este responsabilă pentru a-i desemna un număr de serie unic. Această informație este folosită în numeroase scopuri, cel mai important este evidențierea acestui număr de serie în lista certificatelor revocate.

Identificatorul unic al deținătorului certificatului (sau nume unic). Acest nume este creat în scopul de a fi unic în cadrul Internet-ului. Un identificator unic este alcătuit din mai multe subsecțiuni cum ar fi numele și prenumele utilizatorului, organizația (compania) din care face parte, țara de rezidență, etc.

Perioada de valabilitate a certificatului – exprimă data emiterii certificatului și data de expirare.

Numele unic al emitentului certificatului – numele unic al entității care a semnat certificatul; în mod normal o autoritate de certificare.

Semnătura digitală a emitentului – semnătura digitală a emitentului realizată cu ajutorul cheii private a emitentului certificatului.

Identificatorul algoritmului semnăturii – identifică algoritmul utilizat de autoritatea de certificare pentru a semna certificatul.

Pentru a obține un certificat X.509 trebuie solicitată o autoritate de certificare în vederea emiterii unui certificat. În acest scop trebuie furnizată cheia publică, dovada deținerii cheii private corespunzătoare și informații specifice despre solicitant. Aceste elemente trebuie semnate digital și trimise împreună cu solicitarea emiterii unui certificat unei autoritați de certificare care va verifica informațiile și dacă acestea sunt corecte va genera un certificat digital și-l va trimite solicitantului.

3.3.3 Rețele virtuale private – VPN

Internetul schimbă în fiecare zi modul în care comunicăm, ne informăm, informăm, și nu în ultimul rând modul în care se fac afacerile. Dintre noile tehnologii, Retelele Virtuale Private (VPN) au cel mai puternic impact asupra metodelor de a face afaceri. VPN (Virtual Private Network) se poate defini ca o conexiune privată între doua stații sau rețele, stabilită printr-o rețea deschisă accesului public9. Practic, VPN-ul folosește ca suport de comunicație Internetul pentru a realiza legături sigure cu partenerii de afaceri, cu filialele regionale și pentru a scade costurile legate de comunicația cu angajații aflați la distanță sau în deplasare. VPN-urile fac posibilă creșterea vânzărilor, dezvoltarea mai rapidă de noi produse și colaborarea strategică cu diverși parteneri fără a apela la liniile închiriate care sunt mult mai costisitoare.

După statisticile realizate în Statele Unite, piața dedicată securității informației va creste de la 1.1 miliarde $ în 1995 la 16.6 miliarde $ în 2000, din care piața dedicată VPN-urilor va crește într-un ritm și mai rapid: de la 205 milioane $ în 1997, la aproximativ 11.9 miliarde $ în 2001, cu o rata de creștere de 100% pe an.

Înainte ca afacerile "on-line" și comerțul electronic să-și atingă adevaratul potențial, companiile trebuie să se simtă în siguranță folosind Internetul ca suport pentru comunicațiile secrete. VPN-urile sunt primul pas în atingerea acestui scop. Configurate adecvat, acestea asigură protecția împotriva virușilor, a spionării companiilor și orice alte pericole ce rezultă dintr-o configurare gresită, din controlul slab al accesului sau dintr-o administrare superficială a retelei.

Cele trei funcții definitorii ale VPN-ului sunt: criptarea, autentificarea și controlul accesului. Deși autentificarea și criptarea sunt componente critice ale VPN, ele sunt simplu de verificat și implementat. În schimb, controlul accesului este ceva mai complex deoarece implemetarea lui este strâns legată de restul facilităților de securitate. Cu noile tehnologii de VPN se poate verifica indentitatea utilizatorilor folosind "toke-card"-uri, certificate digitale și chiar și "amprente". Odată identificați, utilizatorilor li se acordă accesul la resurse în conformitate cu "profile"-ul definit și cu rolul acestuia în cadrul unui grup. VPN-urile încep să ofere și utilitare pentru monitorizarea activității utilizatorului odată intrat în rețeaua companiei.

Înainte de a se conecta la Internet companiile ar trebui să stabilească o politică de securitate care să specifice clar cine la ce resurse are acces lăsând în acelasi timp loc pentru schimbări și dezvoltări ulterioare. Înainte de a implementa o Rețea Privată Virtuală ar trebui evaluat sistemul de securitate actual al firmei pentru a ști exact ce merita păstrat și ce poate fi refolosit. Odată decis bugetul, firma trebuie să ia în considerare toate beneficiile ce pot fi realizate cu ajutorul VPN-ului, cum ar fi creșterea profitului, imbunătățirea serviciilor către clienți furnizând informații mai repede și în aclași timp personalizate și relatii de colaborare mai strânse cu partenerii utilizând schimbul sigur de informație.

O soluție completă ar trebui să cuprindă un firewall, un router, un server proxy, hardware și software VPN sau toate cele menționate. Oricare din aceste echipamente pot asigura o comunicație sigură, în funcție de prioritățile firmei, dar o combinație a acestora oferă soluția cea mai buna.

Implementarile tipice de Rețele Virtuale Private

Implementările VPN se pot grupa în 3 categorii :

Intranet – Rețea Virtuală Privată între sediile și departamentele aceleiași firme.

Remote Access VPN – Rețea Virtuală Privată între reteaua firmei și angajatii aflati la distanta sau în deplasare.

Extranet VPN – Rețea Virtuală Privată între o firma și partenerii strategici, clienți, furnizori.

Intranet

În cadrul unui Intranet, VPN-ul care asigură comunicația între sediile unei firme trebuie să ofere metode puternice de criptare pentru a proteja confidențialitatea datelor, fiabilitate pentru a garanta transmiterea datelor către aplicațiile critice, cum ar fi bazele de date ale clienților și ale vânzărilor, schimbul de documente, și nu în ultimul rând scalabilitate pentru a putea fi ușor adaptat la creșterile rapide ale numărului de utilizatori, sedii și aplicații.

Figura nr.7. Intranet

Studiu de caz

Firma Deloitte & Touche este binecunoscută pe plan internațional în domeniul consultanței de natură financiar-contabilă. În activitatea firmei un aspect important îl constituie accesul consultanților sai la resursele interne ale companiei, indiferent de locul unde se găsesc la un moment dat: de la computerul clienților sau de la un terminal mobil propriu. Acest acces implică citirea poștei electronice, accesul la fișiere pe server etc.

Intrucât informațiile conținute în baza de date Deloitte&Touche sunt de o importanță vitală, utilizatorul aflat la distanță va necesita proceduri de criptare, creare de tunel și autentificare a semnăturii sale digitale. Toate legăturile trebuie făcute cu costuri minime, fără folosirea convorbirilor internaționale. Rețeaua internă este protejată de un firewall.

Solutia adoptată a fost implementarea unui software client asigurat de Shiva. Acest software permite utilizatorului să acceseze resursele rețelei companiei prin tuneluri VPN sigure. Protecția este realizată printr-o combinație de chei de criptare, tunelare și semnături digitale. Utilizatorul se poate conecta la orice nod Internet, rulează Shiva VPN Client și astfel, evitând plata unei convorbiri interurbane, își creeaza un tunel de comunicație sigur, la nivelul layer-ului de rețea. La „capătul” celălalt, rețeaua firmei Deloitte&Touche este protejată cu un Firewall denumit LanRover VPN Gateway, tot de la Shiva.

Remote Acces VPN

În cazul unei Rețele Virtuale Private de tip Remote Access, între sediul unei firme și angajații săi, necesitațile sunt altele. Autentificarea este critică pentru verificarea identității utilizatorului, iar din punctul de vedere al administratorului rețelei, managementul trebuie sa fie centralizat și foarte flexibil și scalabil pentru a putea face față numărului mare de utilizatori care acceseaza VPN-ul.

Figura nr. 8. Remote acces

Studiu de caz

Compania canadiană Jetform posedă birouri de reprezentare în California. Aceste birouri vor trebui conectate la reteaua sediului central prin Internet. Orice nou birou va avea nevoie de o rapida conectare cu firma mama, astfel încât demararea afacerii sa nu fie intarziata de imposibilitatea accesului la informatie.

Ca soluție, în toate birourile de reprezentare s-au instalat gateway-uri VPN. Prin folosirea Internetului, costurile de comunicație s-au redus cu aproximativ 40.000 USD pe lună, în comparație cu conexiunile precedente de tip frame-relay. Toate locațiile au fost astfel securizate prin firewall-uri, performanța rețelei s-a dublat și, simultan, a fost posibilă implementarea unui sistem Voice over IP între Canada și California. Administrarea intregului sistem a fost posibilă cu ajutorul unui VPN manager și sistemul de autorizare „Certificate Authority”.

Extranet

Extranet-ul, rețeaua dintre firmă și parteneri, clienți și furnizori necesită o soluție bazată pe standarde pentru a putea interopera cu soluțiile implementate de aceștia. Standardul acceptat pentru VPN este IPSec – Internet Protocol Security. La fel de important este și controlul traficului pentru a elimina congestiile în punctele de acces în rețea și pentru a asigura transmiterea rapidă a datelor pentru aplicațiile critice.

Figura nr. 9. Extranet

Studiu de caz

Firma americană Duke Energy este una dintre cele mai importante în domeniul producției și furnizării de energie electrică din sud-vestul Statelor Unite. Relațiile cu partenerii și furnizorii de materii prime în acest domeniu au devenit greu de gestionat, iar comunicațiile clasice îngreunează și mai mult acest proces. Creșterea vitezei de răspuns la necesitățile de producție sau distribuție ale clienților, flexibilitatea comunicării și reducerea numărului de conexiuni fizice de administrat, combinate cu securitatea și integritatea datelor transmise, au facut ca Duke Energy să implementeze o rețea privată virtuală în regim de Extranet.

Ca soluție, infrastructura existentă a putut fi suplimentată folosind Internetul și construind o rețea virtuală privată, securizată prin folosirea certificatelor digitale de autentificare și a procedurilor de codificare. Managementul centralizat al tuturor certificatelor și serverelor VPN a dus la reducerea costurilor de comunicație cu 50% și la mărirea flexibilității în cazul aparitiei de noi parteneri conectați la rețea. Timpul de stabilire a conexiunilor s-a redus la cateva ore, spre deosebire de cazul anterior când putea dura câteva luni. Oricum, instalarea serverului VPN nu a produs nici o interferență negativă cu arhitectura rețelei existente.

Avantajele rețelelor virtuale private

Furnizorii de VPN pot inșira o multime de beneficii pe care le aduce tehnologia, multe apărând odată cu dezvoltarea ei. Poate cel mai puternic argument folosit este reducerea costurilor. Folosirea Internet-ului pentru a distribui servicii de rețea la mare distanță elimină necesitatea achiziției de linii inchiriate, extrem de scumpe, între reprezentanțe și firmă, dar și costurile convorbirilor interurbane pe modemuri dial-up sau ISDN. Reprezentanța va trebui să se conecteze numai local, la un provider Internet, pentru a ajunge în rețeaua firmei mamă.

Economii se fac și relativ la lipsa necesității investițiilor în echipament WAN adițional, singura achiziție fiind legată de îmbunătățirea capacităților de conectare la Internet a serverului.

Un alt aspect pozitiv al rețelelor private virtuale este acela ca sunt mediul ideal de comunicație pentru utilizatorii mobili, adică cei care poseda laptop-uri, PDA-uri sau palmtop-uri cu care, în timpul unei tranzacții importante, de exemplu, vor să acceseze serverul firmei pentru obtinerea unor informații confidențiale. În acelasi fel, se poate instala o legatură între două rețele, extrem de rapid și ieftin. Configurarea rețelelor de date și a interfetelor Wan nu mai este necesară – un avantaj evident în lumea de astazi a afacerilor, în care companiile partenere se conectează la rețele pentru a imbunătăți viteza și randamentul operațiunilor distribuite.

Marile companii au demonstrat în ultimii ani ai deceniului 80 ca agreează conceptul de rețele private virtuale, atunci când traficul telefonic a fost mutat de la linii închirate private către noile servicii de voce prin VPN, oferite de furnizorii de rețea publică. Acum, se întâmplă același lucru, însă la nivel de informație și într-un mediu al afacerilor care are din ce în ce mai puține frontiere.

3.3.3.1 Studiu caz VPN

Cooperative Housing Foundation (CHF), filiala din Romania a CHF-International, este una din cele două organizații non-guvernamentale americane prezente în Romania ce au mandat legal independent pentru activități de creditare și administrează un fond de împrumuturi în parteneriat cu USAID și Fondul Romano-American de Investiții. Ea desfasoară un proiect de dezvoltare ce integrează dezvoltarea societății civile, mecanisme alternative de creditare, dezvoltarea micilor firme (IMM) și îmbunătățirea calității vieții pentru familiile cu venituri mici și mijlocii utilizând metoda denumita "Integrarea Organizatiilor Non Guvernamentale (ONG) în dezvoltarea economica regionala" (INED).

Sediul central din Timișoara (str. Argeș) funcționa cu un domeniu în jurul unui BackOffice 4.0 Small Business Server (SBS 4.0) și 10 stații de lucru cu Windows 98. Al doilea sediu din Timișoara (Casa Tineretului) funcționa ca un workgroup format din 5 stații de lucru cu Windows 98, iar în județele cu puncte de lucru (în număr de 10) există 2-3 stații de lucru cu Windows 98. Comunicarea între sedii (și cu punctele de lucru) se facea prin e-mail transmis cu Outlook Express prin dial-up la Internet.

S-a pus problema utilizării la maxim a licențelor SBS 4.0 prin activarea serverelor Exchange 5.0 și SQL 6.5, însă numărul de utilizatori potențiali deja se apropia de limita de 25 și nu permitea scalabilitate suficientă pentru eventualitatea creșterii firmei. În acelasi timp, era necesară implementarea unui sistem eficient de mesagerie și colaborare între toate sediile

O altă problemă era evitarea investițiilor masive și inlocuirea lor cu investiții treptate materializate prin implementarea pas cu pas a soluției.

Soluția

Pentru a evita limitarea scalabilității rețelei, s-a renunțat la SBS 4.0 și s-a trecut la Windows 2000. Serverul a devenit Windows 2000 Server iar stațiile Windows 2000 Professional. Licența de SBS 4.0 va fi folosită pentru un server de web și baze de date. Pentru sistemul de comunicație în companie, s-a ales Exchange 2000 Server cu clienții Outlook din Office 2000 Professional.

Infrastructura se modifică prin instalarea unei linii închiriate între cele două sedii din Timișoara și prin conectarea directă a sediului central la Internet (printr-un cablu de rețea; această soluție putea fi înlocuită de o a doua linie închiriată, dacă nu există un Internet Service Provider – ISP – suficient de apropiat). Astfel, sediile din Timișoara sunt conectate permanent între ele și în același timp la Internet. În viitor se vor instala linii închiriate între punctele de lucru din județe și Internet, cu scopul de a realiza rețele virtuale (Virtual Private Network – VPN) între punctele de lucru și sediul central. În funcție de ISP-urile din teritoriu se vor putea realiza VPN-uri și prin dial-up. Punctele de lucru conectate prin VPN la sediul central, vor avea toate beneficiile rețelei printr-o conexiune ieftină și sigură (criptată).

Utilizatorii din Timișoara vor avea acces la serverul Exchange prin Outlook 2000 iar cei din punctele de lucru prin Outlook Web Access (OWA) deschis prin browserul Internet Explorer. Pe masură ce se vor instala linii închiriate în punctele de lucru, utilizatorii de acolo vor putea folosi și ei Outlook 2000.
Soluția în ansamblul ei permite ca utilizatorii, indiferent de biroul sau sediul în care se află, să lucreze în timp real în echipa pe proiecte comune.

Implementarea

1) Primul pas (prima investiție) a fost trecerea stațiilor pe Windows 2000 Professional și Office 2000 Professional. Tot în aceasta fază s-au făcut testările cu Windows 2000 Server, Exchange 2000 Server RC1 (înainte de a apărea produsul final) și Internet Security and Acceleration Server 2000 beta3, pentru a analiza posibilitățile de dezvoltare a solutiei.

2) S-a eliminat SBS 4.0 și s-a instalat Windows 2000 Server în regim de producție.

3) S-a instalat conexiunea între sediul central și Internet, s-a instalat Exchange și Proxy în sediul central și al doilea Windows 2000 Server în sediul din Casa Tineretului.

Planuri de viitor

4) Se va instala o linie închiriată între sediile din Timișoara. Astfel toți utilizatorii din Timișoara vor putea lucra cu Outlook 2000 și vor putea accesa resursele din întregul Active Directory.

5) Se vor realiza rețelele virtuale (VPN) între punctele de lucru din țară și sediul central. În această fază, fiecare utilizator va putea folosi Outlook 2000, iar până atunci vor folosi Outlook Web Access prin simpla conectare la adresa http://chfsrvx/exchange cu ajutorul browserului de internet.

6) Se va crea o zona demilitarizată (DeMilitarized Zone – DMZ) cu un firewall suplimentar realizat cu Internet Security and Acceleration Server 2000. În DMZ se va instala un server de aplicații Internet. O astfel de soluție permite păstrarea integrității rețelei interne sau intranet-ului chiar și în cazul "spargerii" firewall-ului din exterior (către internet). Chiar dacă zona demilitarizată cade în mâinile hackerilor, aceștia vor avea acces cel mult la serverul de web, iar rețeaua internă rămâne practic în spatele celui de al doilea firewall. Dupa "recucerirea" zonei demilitarizate, sistemul revine din nou în starea initială… cu pierderi minime.

7) Administratorul de rețea va participa în centrul de instruire Gramling la cursurile "Supporting Microsoft Windows 2000 Professional and Server", "Implementing a Microsoft Windows 2000 Network Infrastructure", "Implementing and Administering Microsoft Windows 2000 Directory Services" și cele de Exchange 2000. Această fază este necesară pentru beneficiar în scopul reducerii TCO (Total Cost of Ownership). Astfel, administratorul va putea lua decizii în ceea ce privește sistemul informatic.

8) Integrarea în soluție a unui motor de baze de date (SQL 2000).

Avantaje

Implementarea se face prin investiții treptate pentru a ușura efortul financiar al beneficiarului. Toate licențele achizitionate sunt în regim "Open Business". Prin Exchange 2000 s-a rezolvat problema mesageriei și s-au pus bazele unui sistem de colaborare eficient între utilizatori. Folosirea facilităților de conexiune la distanță (remote access) din Windows 2000 permite implementarea unor solutii ieftine de rutare și comunicație securizată.

Prin utilizarea lui Windows 2000 pentru realizarea infrastructurii și folosirea de servere din familia .NET (Exchange 2000, SQL 2000 și Internet Security and Acceleration Server 2000) se creează un sistem informatic pregătit pentru noile tehnologii (XML, XSLT, Visual Studio.NET) și noile servere (Commerce Server, Biztalk Server, Application Center etc.).

CAPITOLUL 4. Proceduri pentru recuperarea datelor.

4.1 Proceduri pentru recuperarea datelor în caz de dezastre (Disaster recovery)

Recuperarea datelor în caz de dezastre este funcția de planificare în vederea recuperării și restaurării funcției de prelucrare a datelor dintr-o întreprindere. În general, recuperarea datelor în caz de dezastre este concepută pentru scenariul pierderii totale (worst case scenario).

Pentru multe corporații planificarea recuperării datelor este o cerință obligatorie. În plus, unele corporații încep să solicite partenerilor de afaceri planuri de recuperare a datelor în caz de dezastre, deci nu se mai poate opta pentru nerealizarea acestora.

Conform unui studiu realizat de Contingency Planning Research mijloacele investite în recuperarea datelor în caz de dezastru vor ajunge în anul 2002 la peste 1,5 miliarde de dolari la o rată anuală de creștere de 15%.

Majoritatea întreprinderilor depind foarte mult de tehnologie și de sistemul informatic iar întreruperea din funcționare, fie ea și pentru câteva ore, ar putea conduce la pierderi financiare majore sau chiar ar amenința însăși existența întreprinderii.

Continuitatea operațiilor unei întreprinderi depind de magement care ar trebui să ia în considerare dezastrele potențiale, abilitatea acestuia de a dezvolta întreruperile din funcționare a unor operații critice și de capacitatea de a recupera datele și informațiile într-un interval scurt de timp și cu cât mai putine pierderi.

Planul de recuperare a datelor și informațiilor în cazul unui dezastru este o înșiruire de acțiuni care trebuiesc realizate înainte, în timpul și după o calamitate. Planul trebuie testat pentru a se stabili în primul rând fiabilitatea acestuia și pentru a determina gradul de disponibilitate a sistemului informatic, a datelor și informațiilor în cazul producerii unui dezastru.

Un plan de recuperare a datelor în eventualitatea producerii unui dezastru este un exercițiu pentru limitarea pierderilor. Un dezastru poate fi definit, în acest context, ca întreruperea neprogramată a serviciilor informatice care necesită alte măsuri decât cele luate în mod curent 10.

Orice plan împotriva dezastrelor trebuie de aceea să ofere :

Proceduri stand-by astfel încât unele operații să poată fi efectuate în timp ce serviciile normale sunt întrerupte.

Proceduri de recuperare de îndata ce cauza întreruperii a fost descoperită sau corectată

Politici de management ale personalului care să asigure că a) și b) sunt corect implementate.

Obiectivul principal al unui astfel de plan îl constituie protecția organizației în cazul în care o parte sau chiar ansamblul elementelor sistemului informatic sunt inutilizabile. Procesul de planificare ar trebui să minimizeze disfuncționalitățile potențiale ale operațiilor, să asigure un anumit nivel de stabilitate și o recuperare funcțională în cazul producerii unui dezastru.

Printre obiectivele planului de recuperare în cazul producerii unui dezastru se numără :

Minimizarea riscurilor produse de întreruperi

Garantarea stabilității sistemelor informatice

Furnizarea unui standard pentru testarea unui plan

Minimizarea numărului de decizii ce trebuie adoptate în cazul producerii unui dezastru în vederea creșterii funcționalității și a operativității.

Crearea unui climat de securitate.

4.2 Conținutul și etapele dezvoltării unui plan pentru evenimente neprevăzute (dezastre)

Un plan împotriva unui eveniment neprevăzut va include următoarele :

Definirea responsabilităților. Este importantă desemnarea unei persoane sau a unei echipe care să preia controlul în caz de criza. În cazul realizării unui eveniment neprevăzut, această persoană sau echipă poate delega sarcini sau responsabilități altor persoane.

Priorități. Unele sarcini sunt mai importante decât altele. Acestea trebuie stabilite din timp iar programul de recuperare poate indica ce aspecte să fie abordate cu prioritate.

Aranjamente de Back-up și Stand-by care pot fi realizate de alte echipamente, de o altă companie care asigură asemenea servicii, sau prin proceduri manuale.

Comunicarea cu personalul. Printre cauzele unui dezastru se numără și cele create de slaba comunicare dintre membrii personalului

Relațiile cu publicul. Dacă dezastrul are un impact public echipa de recuperare poate fi supusă presiunii din partea publicului sau a mass-media. Strategiile de publicitate sunt un aspect important în managementul riscului dar faptul că au fost făcute publice pot duce la alte aspecte de această natură

Evaluarea riscurilor.

Dezvoltarea unui plan de recuperare a datelor și informațiilor în cazul dezastrelor este un proces laborios ce se desfășoară pe întinderea a zece etape:

Obținerea acceptului management-ului

Managementul de vărf trebuie să fie de acord și mai important, să se implice în realizarea unui plan de recuperare a datelor și informațiilor în cazul producerii unor dezastre. Coordonarea realizării planului de recuperare a datelor precum și responsabilitatea pentru eficiența acestuia ar trebui să fie sarcina managementului.

Resurse financiare importante conjugate cu efortul tuturor angajaților trebuie mobilizate pentru realizarea unui plan eficient de recuperare a datelor și informațiilor în cazul producerii unui dezastru.

Desemnarea unui comitet de planificare.

Un comitet de planificare este absolut necesar pentru dezvoltarea și implementarea unui plan eficient. Acest comitet include reprezentanți din toate departamentele funcționale ale întreprinderii. Membrii cei mai importanți sunt directorul executiv și conducătorul departamentului IT sau administratorul rețelei. Printre atribuțiile comitetului de planificare se numără și desemnarea unei arii de cuprindere a planului.

Evaluarea riscurilor.

Comitetul de planificare trebuie să realizeze analiza riscurilor și a impactului acestora asupra întreprinderii incluzând și dezastrele posibile: naturale, tehnice sau de factură umană. Fiecare compartiment funcțional al întreprinderii trebuie analizat în vederea evaluării impactului și a consecințelor diferitelor dezastre. Procesul de evaluarea a riscurilor ar trebui să exprime și gradul de siguranță al documentelor ce conțin informații confidențiale precum și a datelor vitale.

Incendiul este cea mai mare amenințare asupra sistemului informatic a unei întreprinderi. Distrugerea (sabotajul) intenționată este un alt risc ce nu poate fi neglijat.

Evaluarea impactului și consecințelor ce rezultă din distrugerea sistemului informatic, a datelor și a informațiilor este foarte importantă. Comitetul de planificare ar trebui să analizeze și costurile ce le implică minimizarea riscurilor potențiale.

Stabilirea priorității proceselor și operațiilor

Nevoile critice al fiecărui departament dintr-o întreprindere ar trebui să fie evaluate în funcție de :

Operațiile ce le realizează.

Personal.

Sistemul de procesare.

Documentația.

Politicile și procedurile.

Procesele și operațiile ar trebui analizate pentru determinarea timpului în care respectivul departament sau chiar întreprinderea în ansamblu poate funcționa fără a dispune de un anumit sistem.

Nevoile critice sunt definite ca fiind procedurile și echipamentul necesar pentru continuarea operațiunilor dacă un departament, rețea de calculatoare, server de sistem sau o combinație dintre acestea este distrusă sau devine nefuncțională.

O metodă de a determina nevoile critice ale unui departament este de a determina toate funcțiunile executate de acesta; din moment ce a fost identificată funcțiunea principală, operațiile și procesele sunt clasificate în ordinea priorității : esențiale, importante și neglijabile.

5 . Determinarea strategiilor de recuperare.

Planul pentru recuperarea datelor și informatiilor în cazul unui dezastru trebuie să cerceteze și să evalueze toate alternativele. Este foarte importantă studierea tuturor aspectelor unei întreprideri cum ar fi :

Resursele hardware și software.

Fișierele de date.

Sistemul de comunicații.

Relațiile cu clienții.

Sistemele pentru utilizatorii finali.

Alte operații de procesare.

Acceptări scrise pentru altelnativele destinate recuperării datelor în caz de dezastru trebuiesc pregătite, incluzand următoarele considerații :

Durata contractului

Condiții de reziliere

Testare

Costuri

Proceduri speciale de securitate

Notificări privind schimbările în sistemul informatic

Echipament tehnic specific pentru procesare

Cerințe de personal

Garantarea compatibilității și disponibilității

Priorități

Colectarea datelor.

Materialele și documentele recomandate pentru colectarea datelor includ :

Inventarul documentelor.

Inventarul echipamentelor (în special a celor de calcul).

Inventarul resurselor hardware și software ale serverelor de rețea.

Inventarul resurselor hardware și software ale stațiilor de lucru.

Orarul de back-up a datelor

Alte materiale și documente.

Utilizarea unor formulare prestabilite poate facilita în mod semnificativ colectarea datelor necesare.

Organizarea și documentarea unui plan de recuperare a datelor.

Schița conținutului unui astfel de plan poate fi pregatită pentru a ghida crearea și dezvoltarea unor proceduri detaliate. Managementul de vârf ar trebui sa aprobe și/sau sa revizuiască planul propus. Alte beneficii ale acestei abordări sunt:

Ajută la organizarea procedurilor pentru detalii.

Identifică etapele importante.

Identifică procedurile redundante și ajută la eliminarea acestora.

Oferă o linie directoare în dezvoltarea procedurilor.

Redactarea unui format standard este o cerință pentru facilitarea redactării procedurilor detaliate și a altor informații ce vor fi trecute în plan. Aceasta va asigura ca planul de recuperare a datelor și informațiilor urmează un anumit format și facilitează compatibilitatea în redactarea planului dacă acesta este întocmit de mai multe persoane.

Planul ar trebui redactat minuțios, incluzând toate procedurile detaliate care se vor utiliza înainte, în timpul și după un anumit dezastru. Procedurile ar trebui să includă metode pentru întreținerea și revizuirea planului în funcție de modificările semnificative ale sistemului informatic.

Planul de recuperare a datelor și informațiilor trebuie structurat printr-o muncă de echipă. Responsabilități specifice trebuie repartizate fiecarei echipe care este insărcinata cu câte un departament al întreprinderii. Ar trebui să existe echipe responsabile pentru sectorul administrativ, pentru logistică, pentru departamentul IT și pentru alte sectoare importante din cadrul activității întreprinderii. Echipa de conducere este cea mai importantă pentru că ea este cea care coordonează întregul proces de recuperare.

Echipa de conducere trebuie să evalueze dezastrul, să activeze planul de recuperare a datelor și să contacteze conducătorii celorlalte echipe. Echipa de conducere supraveghează, documentează și monitorizează procesul de recuperare. Membrii echipei de conducere sunt cei care iau deciziile în ceea ce privește prioritățile, politicile și procedurile.

Celelalte echipe au desemnate fiecare responsabilitățile ce le sunt repartizate și care trebuie îndeplinite pentru a se asigura transpunerea în realitate cu succes a planului de recuperare a datelor și informațiilor în cazul producerii unui dezastru. Echipelor le sunt desemnați conducători cu rolul de a coordona și instrui echipa.

Dezvoltarea criteriilor și procedurilor de testare a planului.

Testarea și evaluarea minuțioasa în mod regulat a planului de recuperare sunt cerințe obligatorii în vederea asigurării eficienței acestuia. Procedurile utilizate pentru testarea planului trebuiesc documentate. Testele vor asigura întrepriderea că toate etapele necesare sunt incluse în plan. Alte motive pentru testarea planului includ :

Determinarea fezabilității și compatibilității procedurilor și mijloacelor de back-up.

Identificarea punctelor din plan ce trebuiesc modificate.

Demonstrarea abilității întreprinderii de a-și reveni în urma unui dezastru.

Furnizarea unei motivații pentru întreținerea și revizuirea unui plan de recuperare a datelor și informațiilor în cazul unui dezastru.

Memorarea procedurilor și tehnicilor utilizate în cadrul planului de către echipe și conducătorii acestora.

Testarea planului.

Dupa ce testarea procedurilor a fost realizată, urmează testarea atentă a planului. Acest test va furniza informații suplimentare cu privire la etapele suplimentare ce trebuiesc incluse, schimbări în procedurile ce nu sunt eficiente sau alte ajustări pertinente. Planul trebuie să fie modificat în vederea corectării problemelor identificate în timpul testului. Inițial, testarea planului se va face pe secțiuni și după orele normale de lucru pentru a minimiza impactul negativ al testului asupra activității întrepriderii.

Printre tipurile de test se includ:

Teste de simulare.

Teste paralele.

Teste ce simulează întreruperea completă.

Aprobarea planului.

Dupa ce planul de recuperare a datelor și informațiilor în cazul unui dezastru a fost testat, pentru a putea fi operațional, planul trebuie aprobat de managerul general. Responsabilitatea pentru planul de recuperare a datelor și informațiilor în cazul unui dezastru revine în ultimă instanță managerului general.

Conducerea întreprinderii este responsabilă pentru :

Stabilirea politicilor, procedurilor și responsabilităților pentru planificarea recuperării datelor și informațiilor în eventualitatea unui dezastru.

Revizuirea și aprobarea anuală a planului, motivarea acestor modificări în scris.

Realizarea unui plan de recuperare a datelor și informațiilor în cazul producerii unui dezastru implică mult mai multe decât stocarea pe alt suport sau utilizarea procedurilor de back-up.

Întreprinderile ar trebui să dezvolte planuri de recuperare a datelor și informațiilor scrise, clare și precise care să se adreseze tuturor operațiilor și funcțiunilor unei întreprinderi. Planul ar trebui să includă proceduri documentate și testate, care, dacă sunt aplicate asigură continuitatea operațiilor desfașurate de întreprindere și disponibilitatea resurselor importante.

Probabilitatea apariției unui dezastru în cadrul unei întreprinderi este foarte mică. Un plan de recuperare a datelor și informațiilor în cazul realizarii unui dezastru este similar cu asigurarea de daune : furnizează un anumit nivel de siguranță având în vedere că în cazul realizării unui dezastru, acesta nu va fi urmat de unul financiar.

Alte motive pentru dezvoltarea unui plan de recuperare a datelor și informațiilor în cazul realizării unui dezastru sunt :

Minimizarea riscului economic potențial.

Minimizarea expunerilor potențiale.

Reducerea disfuncționalităților în activitatea întreprinderii.

Asigurarea stabilitații întreprinderii.

Furnizarea unei posibilități eficiente și sigure de recuperare a datelor și informațiilor.

Protejarea patrimoniului întreprinderii.

Asigurarea securității personalului și a clienților.

Minimizarea procesului de luare a deciziilor în cazul unui dezastru.

4.3 Model de plan pentru evenimente neprevăzute (dezastre)

Guvernul Canadei prin intermediul Ministerului Finanțelor a propus pentru evitarea dezastrelor potențiale care pot avea ca declanșatori problema Y2K (incapacitatea calculatoarelor de a diferenția anul 1900 de anul 2000 pe fondul unor probleme de concepție a metodelor de a stoca data în memoria calculatorului – eliminată în totalitate la sfarșitul anului 1999) urmatoarele modele pentru emiterea și testarea unor scenarii și pentru colectarea datelor necesare întocmirii unui plan de acțiune pentru recuperarea datelor și informațiilor ca urmare a efectelor negative ale Y2K.

Tabel nr. 4.1

Fișă de lucru în realizarea unui plan pentru evenimente neprevăzute

Tabel 4.2

Model de plan de recuperare a datelor și informațiilor.

Concluzii

Sfârșitul de secol este dominat de revoluția informatică desfășurată în Internet – considerată ca reprezentând cea de-a treia revoluție industrială. Orientarea a tot mai multe activități umane către utilizarea tehnologiilor informatice face ca în Internet omenirea să se regăsească cu trăsăturile ei definitorii, atât dintre cele pozitive cât și negative. Ca urmare, oamenii sunt preocupați nu numai de folosirea eficientă și dezvoltarea continuă a domeniului tehnologiei informației și a Internet-ului, ci și de stabilirea cadrului legal în care să se desfășoare interacțiunile în acest domeniu, numit și Cyberspace sau Global Village.

Noile servicii Internet – și în special comerțul electronic – au creat necesitatea unui serviciu permanent de semnătură digitală. Semnătura digitală oferă posibilitatea să permită identificarea unei persoane și creeză o probă, irefutabilă în fața unei autorități, a tranzacției încheiate și executate. Importanța semnăturii digitale a fost sesizată și în România; prin legea nr. 455 din data de 18.07.2001 privind semnătura electronică și prin hotărârea nr. 1259 din 13.12.2001 privind aprobarea normelor tehnice și metodologice pentru aplicarea Legii nr.455/2001 se stabilește cadrul legal al semnăturii electronice. Întrebuințarea eficientă a semnăturii digitale poate fi realizată doar în contextul unor politici ferme si eficace de securitate a datelor și informatiilor.

Politicile de securitate prezintă avantajul de a imprima utilizatorilor un comportament adecvat si pertinent în vederea atigerii obiectivelor economice ale întreprinderii. În plus, politicile de securitate ale sistemelor informatice economice organizeză, protejează și alocă resursele informaționale. Pe de altă parte, dezavantajele politicilor de securitate rezidă în bariera împotriva progresului pe care o creează prin inflexibilitatea lor iar, uneori, pot fi folosite împotriva întreprinderii mai ales în cazurile în care încălcarea lor se face cu scopul îndeplinirii unor obiective de afaceri pe termen scurt. Politicile de securitate trebuiesc completate cu planuri de recuperare a datelor și informațiilor în caz de dezastre (calamitati) pentru a realiza o protecție totală a întreprinderii.

Atacul terorist din 11.07.2001 asupra World Trade Center din New York a pus într-o lumină nouă necesitatea implementării planurilor de recuperare a datelor și informațiilor în caz de dezastre. Considerate inițial risipe de resurse financiare si umane, acum sunt privite cu interes. Aceste planuri asigură continuitatea activității economice a unei întreprinderi chiar în cazul realizării unor calamități. Evaluarea „scutului de protecție” a întreprinderii constituit din politicile de securitate, planurile de recuperare a datelor și informațiilor este realizat de profesioniști cu o înaltă calificare și pregătire profesionale prin audit.

Auditarea sistemului informatic este o măsura eficientă împotriva pericolelor care vizează sistemul, în special împotriva fraudelor. Auditul informatic este procesul prin care persoane competente colectează și evaluează probe pentru a-și forma o opinie asupra concordantei între cele observate și anumite criterii sau standarde prestabilite. Auditorii evidențiază contradicțiile dintre politicile interne și cele de securitate, breșele de securitate, amenințările, vulnerabilitățile sau lipsurile organizaționale.

Semnătura digitală, politicile de securitate a datelor și informațiilor, planurile de recuperare a datelor și informațiilor in eventualitatea producerii unui dezastru și auditul securității sistemelor informatice realizat în mod continuu și neîntrerupt contribuie la realizarea unui mediu de afaceri bazat pe încredere.

Bibliografie

1. Autor anonim, Securitatea în Internet – ghidul expertului scris de un hacker cu

experiență, Ed. Teora, București 1999.

Ioan Boldea, Proiectarea sistemelor informaționale, – note de curs.

Alvin Toffler, Puterea în mișcare, Ed. Antet, București 1995.

Alfred J. Menezes, Paul C. van Oorschot și Scott A. Vanstone, Handbook of applied criptography – carte electronică.

Lars Klander, Anti Hacker- Ghidul securității rețelelor de calculatoare, Ed. All Educational, București 1998.

US Departament of Commerce, National Institute of Standards and Technology, Guide for developing Security plans for information Technology systems, NIST special publication 800-18

Camera de Comerț și Industrie a României și a Municipiului București – Crearea unui mediu sigur de comerț electronic prin utilizarea certificatului digital, seminar, Sinaia, decembrie 2000.

*

* *

XXX Tribuna economică nr. 12,13/1996

XXX PC Magazin nr. 8,9,10/2000, 5/2001

XXX PC Report, nr. 11/2000

XXX Chip Computer Magazine nr. 6,7/2000

XXX http://www.agora.ro/byte/byte95-03/vic.html

XXX http://www.cio-dpi.gc.ca/emf-cag/steeringgovt/gbc-gco01_e.asp

XXX http://www.state.ma.us/y2k/index.htm

XXX http://rr.sans.org/policy/policy_list.php

XXX http://www.rad.net.id/homes/edward/intranet/intradex.htm