Protectia Si Securitatea Datelor Financiar Contabile In Bcr Leasing
CUPRINS
Introducere
Capitolul 1. Necesitatea asigurării securității datelor
1.1. Momente de referință ce evidențiază necesitatea securității datelor în instituțiile finaciare
1.2. Aspecte generale privind asigurarea securiății datelor în sistemele informatice economice
1.3. Principalele modalități de atac la securitatea datelor financiar-contabile
1.4. Obiectivele privind asigurarea securității datelor financiar-contabile
1.5. Vulnerabilitatea datelor și măsuri de contracarare
Capitolul 2. Securitatea datelor financiar-contabile
2.1. Tehnologii de securizare a datelor și administrarea acestora
2.2. Utilizarea criptografiei în sistemele informatice de prelucrarea a datelor
2.3. Securitatea fizică a sistemelor informatice
2.4. Rolul personalului în asigurarea protecției datelor financiar-contabile
Capitolul 3. Prezentarea Băncii Comerciale Române Leasing IFN SA
3.1. Scurt istoric al Băncii Comerciale Române Leasing IFN SA
3.2. Angajații BCR LEASING și perfecționarea acestora
3.3. Organigrama BCR LEASING IFN SA
3.4. Misiunea și strategia BCR LEASING IFN
3.5. Conducerea, structura și acționariatul băncii
3.6. Poziția pe piață a BCR LEASING IFN
3.6.1. Piața bancară din România în 2008-2009
3.6.2. Performanțele BCR LEASING IFN în perioada 2001-2008
3.7. Dinamica indicatorilor economico-financiari pe ultimii trei ani și strategia de dezvoltare pe următorii ani
3.7.1. Dinamica indicatorilor economico-financiari în 2006
3.7.2. Dinamica indicatorilor economico-financiari în 2007
3.7.3. Dinamica indicatorilor economico-financiari în 2008
3.8. Strategia de dezvoltare a BCR LEASING IFN
3.9. Managementul activității BCR LEASING în condițiile actuale de criză
Capitolul 4.Protecția și securitatea datelor financiar-contabile în cadrul BCR LEASING
4.1. Măsurile de protecție și securitate a datelor utilizate de BCR LEASING
4.1.1.Reglementări privind securitatea informației
4.1.2.Standarde de securitate a informației
4.1.3.Securitatea informației din perspectiva riscului operațional
4.1.4.Securitatea informației la nivel de sistem
4.2. Prelucrarea,utilizarea,protecția și securitatea datelor în cadrul BCR LEASING
4.2.1.Prelucrarea și utilizarea datelor în cadrul BCR LEASING
4.2.2.Identificarea și analizarea riscurilor la care s-ar putea expune BCR LEASING
4.2.3. Gestionarea și controlul riscurilor în cadrul BCR LEASING
4.2.4. Securitatea fizică a sistemului informatic BCR LEASING
4.3 Securitatea serviciilor internet în cadrul BCR LEASING
4.4. Identificarea deficiențelor și propuneri de îmbunătațire
4.5. Cele mai importante evenimente de securitate a informației în cadrul BCR LEASING
din anul 2008
4.6.Obiectivele urmărite de BCR LEASING în vederea protecției datelor în anul 2009
CONCLUZII
BIBLIOGRAFIE
INTRODUCERE
Securitatea informației protejeazǎ informația de o paletǎ largǎ de pericole legate de asigurarea continuǎ a activitǎților, de minimizarea pagubelor și de maximizarea recuperǎrii investițiilor și a oportunitǎților de afaceri.
Indiferent dacǎ calculatorul se aflǎ într-un birou la serviciu sau pe un pupitru de acasǎ, asigurarea securitǎții informației se poate pune cu aceeași acuitate. Evident, în cazul în care avem de-a face cu o rețea de calculatoare asigurarea securitǎții reprezintǎ o problemǎ deosebit de serioasǎ și, totodatǎ, cu mult mai dificilǎ.
Multe din atacurile recente de tip denial-of-service care au reușit sǎ punǎ într-un real pericol câteva site-uri Web foarte populare, unele chiar guvernamentale, au reușit sǎ punǎ pe jar autoritǎțile din mai multe țǎri puternic dezvoltate. Unele voci au susținut chiar cǎ pericolul este mult mai mare decât se presupunea pâna atunci.
Au existat suficiente dovezi care susțineau poziția acelora ce credeau cǎ atacurile hackerilor au fost posibile din cauza cǎ s-a reușit obținerea accesului doar la computerele slab protejate. Cu alte cuvinte, spǎrgatorii de coduri au succes doar acolo unde nu se asigurǎ o adevaratǎ securitate.
Producǎtorii de aplicații au integrat și suport pentru manipularea de la distanțǎ a informației. Alaturi de funcțiile complexe de generare si rulare a unor scripturi, posibilitatea de a rula programul prin rețea crește flexibilitatea aplicației. Acolo unde este vorba despre rețea, este și normal sa aparǎ conceptul de securitate a informațiilor, fapt care a fost luat in seamǎ de cǎtre producatori, și implementat sub forma unei parole de rulare a programului sau de conectare spre altǎ stație, prin remote control.
Prin Internet se gǎsesc o mulțime de implementǎri ale celor mai buni algoritmi de criptare. Foarte multe dintre acestea sunt gratuite și poți sǎ ai codul sursǎ pe care sǎ-l studiezi si sǎ-l modifici dupa bunul plac. Astfel, chiar dacǎ nu ești un foarte bun cunoscator în domeniu, poți sa-ți faci o securitate destul de maritǎ a fișierelor și a datelor.
România se afla intr-o perioadǎ de trecere de la produse IT cu valoare și functionalitǎți fixe, la soluții complexe ale cǎror funcționalitǎți foarte importante sunt adaptate in funcție de necesitǎțile clientului și a cǎror valoare crește în timp, ajungând sǎ devinǎ un element generator de profit și sǎ reprezinte un avantaj competitiv pentru companie.
În prezent, companiile incep să realizeze că instalarea unui antivirus nu garantează protecția impotrivă atacurilor IT și că securitatea reprezinta o serie de operațiuni complexe cu implicații la diferite niveluri ale procesului de business.
De la managementul identitǎții la motoarele de scanare ale fluxului de comunicare electronică, tehnologiile de securitate devin complementare, alcătuind o soluție comprehensivă, modelată după activitatea specifică a clientului, oferind nu numai protecție totala, ci și multiple funcționalitati de management, printre care facilitǎțile de raportare și control.
Securitatea informației reprezintǎ un lucru extrem de important pentru fiecare computer conectat la Internet, sau aflat într-o rețea de tip intranet, extranet și chiar o rețea locala. Mai mult, chiar și pentru un PC stand-alone securitatea informației poate fi o problema serioasa, atunci când acesta contine informații personale, secrete, cu anumite grade de confidențialitate.
În ceea ce privește domeniul financiar-bancar în vederea reducerii riscurilor este necesară reglementarea tuturor activităților informatice,electronice, stabilirea unei infrastructuri adecvate, precum și precizarea celor care trebuie să autorizeze și supravegheze aceste activități.
Capitolul 1.
Necesitatea asigurării securității datelor
Momente de referință ce evidențiază necesitatea securității datelor în
instituțiile financiare
Datele adunate cu mult efort de-a lungul timpului și păstrate, de multe ori fără grija unui backup, pe harddisk-urile calculatoarelor, se pot dovedi extrem de prețioase la un moment dat. Iar acel moment poate fi atunci când realizăm că nu le mai putem recupera…
Iată câteva date care ar trebui să ne dea de gândit:
-în 2001, pagubele cauzate de viruși s-au ridicat la suma de 14 miliarde de dolari , sumă mai mare decât cea a pagubelor directe cauzate de atacul terorist din septembrie 2001.
-în 2002,piața mondială a serviciilor de securitate a informației a crescut cu 6,7 miliarde de dolari (conform IDC).
-în 2005,se ajunge la o triplare a acestei piețe,ea ajungând la 21 de miliarde $ adică o creștere anuală de aproximativ 25.5%.
-în 2008,cheltuielile privind securitatea informațiilor ajung sa depășească 50 de miliarde $.
Pe ce se bazează această creștere? Pe implementarea unor politici de securitate particularizate pentru specificul fiecărei întreprinderi, componenta esențială, pentru companiile din întreaga lume, a strategiei de micșorare a riscurilor asociate cu afacerea respectivă.
Sunt directori de firme care nu îndrăznesc să introducă o conexiune la Internet în propria companie, de teama ca nu cumva datele acumulate, cu răbdare și migală, timp de ani de zile, să nu-i fie distruse în câteva minute, din cauza unui atac din Internet. Omul se află în dilemă, deoarece Internetul l-ar fi ajutat să-și dezvolte afacerea, dar, pe de altă parte, amenințarea era prea dură, iar el nu cunoștea pe nimeni în stare să-l sfatuiască sau să-l ajute să construiască o politică de securitate a datelor în companie.
Numai simpla protecție antivirus, fără o politică coerentă de securitate a informației în companie, nu este în măsură să prevadă dezastrele ce se pot întâmpla în orice moment.
Desigur, informația în sine nu constituie un pericol. Riscurile potențiale apar însă atunci când ea este accesată sau mutată dintr-o parte într-alta, iar controlul asupra acestui fenomen nu este suficient ca să asigure integritatea sau confidențialitatea informației.
Aspecte generale privind asigurarea securității datelor în sistemele informatice economice
Securitatea informațiilor, în orice domeniu de activitate, trebuie să fie o activitate continuă pentru a se putea face față noilor amenințări la adresa securității în general și a datelor în particular.
Data,conform Dicționarului Explicativ al Limbii Române (DEX),reprezintă „fiecare dintre numerele, mărimile, relațiile etc. care servesc pentru rezolvarea unei probleme sau care sunt obținute în urma unei cercetări și urmează să fie supuse unei prelucrări". O dată va fi forma de cuantificare a informației.
Sistemul informațional poate fi definit ca un ansamblu tehnico-organizatoric de proceduri de constatare, consemnare, culegere, verificare, transmitere, stocare și prelucrare a datelor, în scopul satisfacerii cerințelor informaționale necesare conducerii în procesul fundamentării și elaborării deciziilor.Obiectivul sistemului informațional este acela de satisfacere a cerințelor informaționale necesare conducerii în procesul de elaborare a deciziilor.
Sistemul informațional economic este un ansamblu de resurse umane și de capital, investite într-o unitate economică, în vederea colectării și prelucrării datelor necesare producerii informațiilor, care vor fi folosite la toate nivelurile decizionale ale conducerii și controlului activității organizației. Sistemul informațional economic nu trebuie tratat numai prin prisma calculatorului, deoarece și unitățile care nu dispun de calculatoare beneficiază de serviciile unui astfel de sistem.Se poate concluziona că sistemul informațional economic este sistemul informațional pentru conducere.
Sistemul informatic reprezintă un ansamblu de elemente intercorelate funcțional, în scopul automatizării obținerii informațiilor necesare conducerii în procesul de fundamentare și elaborare a deciziilor.
■ Hardware-ul sistemului informatic este construit din totalitatea mijloacelor tehnice de culegere, transmitere, stocare și prelucrare automată a datelor.
■ Software-ul sistemului cuprinde totalitatea programelor pentru funcționarea sistemului informatic, în concordanță cu funcțiunile și obiectivele ce i-au fost stabilite. Se au în vedere atât programele de bază (software-ul de bază), cât și programele aplicative (software-ul aplicativ).
■ Comunicațiile se referă la totalitatea echipamentelor și tehnologiilor de comunicație a datelor între sisteme.
■ Baza științifico-metodologică este constituită din modele matematice ale proceselor și fenomenelor economice, metodologii, metode și tehnici de realizare a sistemelor informatice.
■ Baza informațională cuprinde datele supuse prelucrării, fluxurile informaționale, sistemele și nomenclatoarele de coduri.
■ Utilizatorii reprezintă personalul de specialitate necesar funcționării sistemului informatic. Personalul de specialitate include informaticieni cu studii superioare și pregătire medie, analiști, programatori, ingineri de sistem, analiști- programatori ajutori, operatori etc.
■ Cadrul organizatoric este cel specificat în regulamentul de organizare și funcționare al unității în care funcționează sistemul informatic.
Realizarea unui sistem informatic reclamă acțiuni conjugate de asigurare a tuturor elementelor de mai sus, neglijarea chiar și numai a unuia dintre acestea putând aduce prejudicii întregii acțiuni.Se observă că la nivelul unui sistem informatic economic datele sunt prezente ca un element supus prelucrării la componenta Baza informațională. De aici se poate trage concluzia greșită că pentru a se asigura securitatea datelor într-un sistem informatic economic este suficient să ne concentrăm numai asupra acestei componente. Această concluzie eronată nu ține cont de interacțiunea dintre componentele sistemului informatic economic. Evident că trebuie concentrate eforturile la această componentă, dar nu trebuie neglijați nici ceilalți factori.
Interacțiunile componentelor unui sistem informatic economic cu datele din acest sistem pot avea repercusiuni asupra securității acestora. Nu este necesar să fie un atac direct asupra datelor pentru a se putea spune că s-a atentat la securitatea datelor.Atacul asupra sistemului informatic însuși, asupra componentelor acestuia, reprezintă un atac asupra datelor.
Securitatea datelor în sistemele informatice economice poate fi definită ca fiind ansamblul de măsuri luate la nivelul agentului economic necesare asigurării secretului informației împotriva accesului neautorizat.
În funcție de mărimea firmei, unele dintre aceste componente își pot schimba ordinea.
Se poate face o categorisire a angajaților,din punct de vedere al cunoștințelor în folosirea calculatorului, în trei categorii: înalte, medii și scăzute.
Angajații care au cunoștințe înalte în folosirea calculatorului sunt și cei care pot exploata anumite goluri de securitate din firmă. Aceștia posedă cunoștințe înalte în domeniul tehnicii de calcul și vor încerca să găsească anumite vulnerabilități pe care să le folosească. Unii nu o fac pentru a obține un profit, ci pur și simplu din curiozitate sau de distracție.Angajații din această categorie nu pot să motiveze că au făcut acest lucru involuntar atunci când sunt prinși atentând la securitatea datelor firmei.
Angajații care au cunoștințe medii în folosirea calculatoarelor sunt poate categoria care necesită cea mai mică atenție. Aceștia nu posedă cunoștințe ridicate pentru a iniția un atac și nu sunt nici slab pregătiți pentru a crea involuntar disfuncționalități.
Angajații care au cunoștințe scăzute în folosirea calculatoarelor sunt cei care, de regulă, produc situații nedorite la nivelul firmei. Această categorie este întâlnită la punctele de vânzare ale firmei, la sucursale, la centre de distribuție etc. Treaba lor este doar să opereze în calculator datele firmei. Dar dacă apar situații de excepție pe care aceștia nu știu cum să le trateze? De exemplu, din cauza neînțelegerii unei opțiuni din meniul program și a neblocării acesteia prin regulile de acces, se pot șterge date.
O reflectare a impactului asupra securității datelor și pierderilor cauzate de pregătirea angajatului în folosirea calculatorului este dată în Tabelul 1.1.
Tabelul 1.1. Impactul asupra securității datelor și pierderilor cauzate de pregătirea angajatului în folosirea calculatorului.
În urma studiilor efectuate la mai multe firme de mărimi diferite,s-au concluzionat următoarele:
■ Firmele mari își permit să angajeze personal cu înalte cunoștințe în domeniul folosirii calculatoarelor. Acest lucru are un efect pozitiv asupra productivității crescute, dar poate avea și repercusiuni asupra securității. Un angajat foarte bine pregătit reprezintă un potențial pericol dacă își propune să atenteze la securitatea firmei.
■ Firmele mici nu-și pot permite, din motive financiare, să angajeze personal cu cunoștințe înalte în folosirea calculatoarelor. Aceste persoane, în contextul unor măsuri de securitate insuficient luate de firmă din motive financiare, pot să producă pierderi de la cele mai neînsemnate până la cele mai mari. Majoritatea pierderilor din această categorie o reprezintă pierderea datelor prin ștergerea accidentală a acestora.
■ Pierderile cauzate au semnificație diferită pentru diferite tipuri de firme. O pierdere mare pentru o firmă mică poate să aibă echivalentul unei pierderi minore pentru o firmă mare. Pierderile financiare sunt suportate diferit, în funcție de mărimea acestora.
Acțiunile malițioase din partea angajaților sunt lipsite de orice șansă de reușită dacă firma are o politică de securitate clară și bine implementată. Implementarea unor măsuri de securitate „ la zi" este greu de realizat chiar și pentru cel mai bine pregătit dintre angajații firmei. Să nu uităm că totuși firma va angaja un operator, și nu un specialist în securitate pe un post de vânzări, de exemplu.
Cadrul organizatoric specificat în regulamentul de funcționare al firmei trebuie să prevadă expres măsurile care să asigure securitatea datelor firmei. Măsurile permisive vor facilita abuzuri. Aceste măsuri organizatorice sunt bine definite și implementate la nivelul firmelor din categoriile mari și medii. în cadrul firmelor mici, aceste măsuri sunt uneori inexistente sau sunt aplicate aleatoriu.
Achiziționarea de calculatoare fabricate de firme consacrate reprezintă un obiectiv greu de realizat pentru multe firme mici sau medii. Achiziționarea unei componente hardware de bună calitate presupune cheltuieli ridicate pe care firmele mici nu și le pot permite. De achiziționarea unui dispozitiv firewall hardware la aceste firme nici nu poate fi vorba. Blocarea frecventă în funcționare a unor echipamente neperformante vor avea efect atât asupra derulării afacerilor firmei, cât și asupra securității datelor. Funcționarea defectuoasă a componentei hardware ar putea duce la pierderi irecuperabile de date și implicit la stagnarea tranzacțiilor firmei.
Același lucru se poate spune și despre sistemele de operare și programele folosite în cadrul firmei. Se știe că multe firme folosesc sisteme de operare și programe aplicative piratate.În multe cazuri, în cadrul firmelor mici, toate programele sunt cumpărate de pe piața neagră sau sunt instalate ilegal de către distribuitorul de calculatoare. Unii manageri sau patroni de firme motivează că nu au avut cunoștință despre faptul că trebuiau să dea bani și pe software. Unora, destul de puțini, li se pare chiar “normal" să nu dea bani pe software. Orice program care nu este achiziționat în mod legal nu va beneficia de suport tehnic și asistență pentru actualizare și pentru umplerea golurilor de securitate. Instalarea pe calculatoarele firmei a sistemelor de operare nesigure, precum și a programelor aplicative improvizate va avea repercusiuni asupra funcționării normale a calculatoarelor, precum și asupra securității datelor. Firmele mici, din lipsă de specialiști, instalează ca sistem de operare Windows 9x care este mai ușor și mai rapid de configurat, dar mai nesigur, sau instalează Windows XP care este configurat pe opțiunile de securitate standard (minime). Majoritatea programelor aplicative sunt făcute la repezeală, uneori de persoane care au cunoștințe minime sau deloc legate de securitatea datelor.
Sistemele de comunicație între calculatoare, precum și sistemele de comunicație cu exteriorul măresc considerabil posibilitatea de atentat asupra securității datelor. Un calculator neconectat la rețeaua internă a firmei sau la Internet va fi mult mai sigur decât unul conectat. Dar și posibilitățile de lucru ale acestuia vor fi mult mai reduse, aspect care se va reflecta în productivitate. Dacă, spre exemplu, avem o stație de lucru care lucrează local cu datele corespunzătoare locului de muncă respectiv și se produce o defecțiune a discului dur, atunci toate datele vor fi pierdute, iar postul de lucru respectiv va fi blocat până se înlocuiește echipamentul și se refac datele locale. Refacerea datelor este aproape imposibilă dacă nu există o copie de siguranță nelocală.
Dacă în schimb datele erau salvate nelocal, folosind rețeaua firmei, atunci nu trebuia înlocuit decât echipamentul. Firmele mici fac frecvent această greșeală, neavând un specialist sau neapelând la unul, să lege calculatoarele între ele și să considere că au o rețea. De punerea problemelor de securitate nici nu poate fi vorba. Conectarea calculatoarelor din firmă la rețeaua Internet poate avea efecte benefice, pentru unele compartimente din firmă, dar poate avea și efecte secundare care se reflectă în principal în productivitate. Angajatul va folosi conexiunea nu numai pentru activități care țin de atributele de serviciu, ci și pentru activități personale care-i consumă din timp.
Baza științifico-metodologică care este constituită pe lângă modelele matematice ale proceselor și fenomenelor economice și metodologii de aplicare ale acestora, și de metode și tehnici de realizare a sistemelor informatice trebuie să fie serios documentată pentru a se asigura o securitate sporită a firmei. Documentarea la un nivel înalt este asigurată la nivelul firmelor mari, care-și permit financiar acest lucru, au un personal însărcinat cu așa ceva sau angajează o firmă specializată.În cadrul firmelor mici, acest lucru este rar realizat.
Baza informațională, care cuprinde printre altele și datele supuse prelucrării, trebuie să fie protejată. Nu oricine trebuie să aibă acces la date. Pentru aceasta, datele vor primi diferite clasificări și se va indica cine și cum are acces la ele. Nu toate datele trebuie să fie făcute publice. Dar nu este suficient acest lucru. Trebuie avut în vedere ca anumite date să nu poată fi extrase din datele publice. La nivelul firmelor mari și medii, acest lucru este făcut de către personal specializat. De regulă, acesta este cel care proiectează programele de aplicații la nivelul firmei sau programele de aplicații comerciale. Firmele mici nu fac însă acest lucru, mulțumindu-se să asigure printr-o banală parolă accesul la anumite fișiere.
Pentru a se asigura securitatea calculatoarelor trebuie anumite abilități. Firmele organizează, de regulă, activități de pregătire a personalului în domeniul tehnicii de calcul în sine și destul de puțin se insistă pe securitate. Activitatea de pregătire în domeniul securității este limitată numai la nivelul de facilități oferite de produsele hardware și software utilizate.
Firmele mici, care au nevoie ca sistemele lor de calcul să fie sigure, folosesc pentru aceasta personal care nu are pregătire specifică domeniului și care mai are și alte atribuții de bază. Aceasta reprezintă o greșeală, dar, din motive financiare, firma nu poate angaja o persoană pentru acest scop.În multe cazuri se optează pentru un consultant în această problemă. Este important însă să se separe pe cât posibil politica și măsurile de securitate, pe de o parte, și măsurile de aplicare ale acesteia, pe de altă parte. Altfel, departamentul de IT&C va fi însărcinat cu toate atribuțiile legate de configurare, instalare, întreținere a echipamentelor de tehnică de calcul, politică de securitate, unele dintre atribuțiuni fiind de competența altor departamente.
O firmă mare este acea firmă care are peste 1.000 de servere, un venit anual de peste un miliard de dolari și mai mult de 2.000 de angajați. O firmă mare se caracterizează prin existența mai multor site-uri, precum și printr-un management special. Nevoia de securitate a unei firme mari este cu mult mai mare decât securitatea curentă și necesită abordări mult mai complexe.
O firmă medie este acea firmă care are peste 100 de servere, un venit anual de peste 100 milioane de dolari și peste 500 de angajați. Aceasta poate avea câteva site-uri.
O firmă mică este acea firmă care are sub 100 de servere, un venit anual sub 100 milioane de dolari și sub 100 de angajați.
Aceasta este situația în țările dezvoltate din punct de vedere economic.În țara noastră, această ierarhizare suferă o decrementare a numărului de servere și de angajați.
Securitatea informatică a devenit una din compenentele majore ale internetului. Analiștii acestui concept au sesizat o contradicție între nevoia de comunicații și conectivitate, pe de o parte, și necesitatea asigurării confidențialității, integrității și autenticității informațiilor, pe de altă parte.
În ultimii ani, în țările dezvoltate, hârtia a devenit numai un mediu de prezentare a informațiilor nu și de arhivare sau transport. Aceste ultime două funcții au fost preluate de calculatoare și de rețelele de interconectare a acestora. De aceea au trebuit sa fie găsite soluții pentru înlocuirea sigiliilor, ștampilelor și semnăturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasică și cu chei publice.
Criptografia computaționala este tot mai folosită pentru contracararea problemelor de securitate informatică. Utilizată multă vreme doar pentru asigurarea confidențialității comunicațiilor militare și diplomatice, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase, datorate aplicațiilor sale în securitatea datelor la calculatoare și rețele.
Ameliorarea securității sistemelor informatice trebuie să fie un obiectiv important al oricărei organizații.Trebuie însă avută în vedere asigurarea unui bun echilibru între costurile aferente și avantajele concrete obținute. Măsurile trebuie să descurajeze tentativele de penetrare neautorizată, să le facă mai costisitoare decăt obținerea legală a accesului la aceste programe și date.OCED(Organization of Economic Cooperation and Development) este unul din organismele internaționale preocupate de domeniul protecției datelor cu caracter personal, securității sistemelor informatice, politicii de cifrare și al protecției proprietății intelectuale.
În ceea ce privește protecția datelor cu caracter personal, OECD a elaborat în anul 1985 Declarația cu privire la fluxul transfrontarier al datelor. Ideea fundamentală era de a se realiza, prin măsuri juridice și tehnice, controlul direct individual asupra datelor cu caracter personal și asupra utilizării acestora.Eforturile actuale sunt dirijate către realizarea unui cadru internațional în ceea ce privește viața personală și autonomia individuală a persoanelor (libertatea de mișcare, libertatea de asociere și drepturile fundamentale ale omului).
În domeniul sistemelor informatice, țările OECD au cerut, în 1988 secretariatului OECD să pregătească un raport complet asupra acestui domeniu, cu evidențierea inclusiv a problemelor tehnologice de gestiune, administrative și juridice. Urmare a acestui raport, țările membre au negociat și adoptat în anul 1992 Liniile directoare privind securitatea sistemelor informatice în OECD. Ele oferă un cadru internațional de referință pentru dezvoltarea și punerea în practică a unor măsuri, practici sau coerențe de securitate informatică în sectoarele public și privat.Consiliul OECD recomandă revizuirea periodică a acestor reglementări la fiecare 5 ani.
Internetul este o structură deschisă la care se poate conecta un număr mare de calculatoare, fiind deci greu de controlat. De aceea putem vorbi de vulnerabilitatea rețelelor, manifestată pe variate planuri. Un aspect crucial al rețelelor de calculatoare, în special al comunicațiilor prin internet, îl constituie securitatea informațiilor. Nevoia de securitate și de autenticitate apare la toate nivelurile arhitecturale ale rețelelor. De exemplu, utilizatorii vor să se asigure că poșta electronică sosește chiar de la persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales când acționează în numele unor firme, doresc asigurarea caracterului confidențial al mesajelor transmise. În tranzacțiile financiare, alături de autenticitate și confidențialitate, un loc important îl are și integritatea mesajelor, ceea ce înseamnă că mesajul recepționat nu a fost alterat în timpul transmisiei prin rețea. În tranzacțiile de afaceri este foarte important ca, o dată recepționată, o comandă să fie nu numai autentică, cu conținut nemodificat, dar să nu existe posibilitatea ca expeditorul să nu o mai recunoască. Deci porțile (gateway) și router-ele trebuie să discearnă între calculatoarele autorizate și cele intruse. În aceste condiții securitatea informatică a devenit una din componentele majore ale internetului.
În cazul internet-ului adresele diferitelor noduri și servicii pot fi determinate ușor. Orice posesor al unui PC cu modem, având cunoștințe medii de operare poate încerca să “forțeze” anumite servicii cum ar fi conectarea la distanță (telnet), transferul de fișiere (ftp) sau poșta electronică (e-mail). Există persoane dispuse să cheltuiască resurse, bani și timp pentru a penetra diferite sisteme de securitate. Unii sunt adevărați “maeștrii” în domeniu: penetrează calculatorul A, cu ajutorul căruia intră în calculatorul B, folosit mai departe pentru accesul la calculatorul C, etc.
Principalele modalități de atac la securitatea datelor financiar-contabile
Atacurile asupra bazelor de date prezintă câteva particularități față de restul informațiilor din firmă, și anume: bazele de date reprezintă marea masă a informațiilor cu care firma lucrează; bazele de date pot dezvălui informații private prin prelucrarea datelor publice. Principalele tipuri de atacuri asupra bazelor de date sunt: directe, indirecte și prin urmărire.
Amenințările la adresa securității unei rețele de calculatoare pot avea următoarele origini: dezastre sau calamități naturale, defectări ale echipamentelor, greșeli umane de operare sau manipulare, fraude.
Câteva studii de securitate a calculatoarelor estimează că jumătate din costurile implicate de incidente sunt datorate acțiunilor voit distructive, un sfert dezastrelor accidentale și un sfert greșelilor uname. În amenințările datorate acțiunilor voite, se disting două categorii principale de atacuri: pasive și active.
Atacuri pasive – sunt acelea în cadrul cărora intrusul observă informația ce trece prin “canal” fără să interfereze cu fluxul sau conținutul mesajelor. Ca urmare se face doar analiza traficului, prin citirea identității părților care comunică și “învățând” lungimea și frecvența mesajelor vehiculate pe un anumit canal logic, chiar dacă conținutul este neinteligibil.
Atacurile pasive au următoarele caracteristici comune:
nu cauzează pagube (nu se șterg sau se modifică date);
încalcă regulile de confidențialitate;
obiectivul este de a “asculta” datele schimbate prin rețea;
pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor telefonice sau radio, exploatarea radiațiilor electromagnetice emise, rutarea datelor prin noduri adiționale mai puțin protejate.
Atacuri active – sunt acelea în care intrusul se angajează fie în furtul mesajelor, fie în modificarea, reluarea sau inserarea de mesaje false. Aceasta înseamnă că el poate șterge, întârzia sau modifica mesaje, poate să facă inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumită direcție, fie pe ambele direcții ale unui canal logic.
Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a datelor sau a sistemelor de comunicații. Există următoarele tipuri de amenințări active:
mascarada – este un tip de atac în care o entitate pretinde a fi o altă entitate. De exemplu, un utilizator încearcă să se substituie altuia sau un serviciu pretinde a fi un alt serviciu, în intenția de a lua date secrete (numărul cărții de credit, parola sau cheia algoritmului de criptare). O “mascaradă” este însoțită, de regulă de o altă amenințare activă, cum ar fi înlocuirea sau modificarea mesajelor;
reluarea – se produce atunci când un mesaj sau o parte a acestuia este reluată (repetată), în intenția de a produce un efect neautorizat. De exemplu este posibilă reutilizarea informației de autentificare a unui mesaj anterior. În conturile bancare, reluarea unităților de date implică dublări și/sau alte modificări nereale ale valorii conturilor;
modificarea mesajelor – face ca datele mesajului să fie alterate prin modificare, inserare sau ștergere. Poate fi folosită pentru a se schimba beneficiarul unui credit. O altă utilizare poate fi modificarea câmpului destinatar/expeditor al poștei electronice;
refuzul serviciului – se produce când o entitate nu izbutește să îndeplinească propria funcție sau când face acțiuni care împiedică o altă entitate de la îndeplinirea propriei funcții;
repudierea serviciului – se produce când o entitate refuză să recunoască un serviciu executat. Este evident că în aplicațiile de transfer electronic de fonduri este important să se evite repudierea serviciului atât de către emițător, cât și de către destinatar.
În cazul atacurilor active se înscriu și unele programe create cu scop distructiv și care afectează, uneori esențial, securitatea calculatoarelor. Există o terminologie care poate fi folosită pentru a prezenta diferitele posibilități de atac asupra unui sistem. Acest vocabular este bine popularizat de “poveștile” despre “hackeri”.
Atacurile presupun, în general, fie citirea informațiilor neautorizate, fie distrugerea parțială sau totală a datelor sau chiar a calculatoarelor. Ce este mai grav este posibilitatea potențială de infestare, prin rețea a unui mare număr de mașini. Dintre aceste programe distructive amintim următoarele:
virușii – reprezintă programe insertate în aplicații care se multiplică singure în alte programe din spațiul rezident de memorie sau de pe discuri. Apoi fie saturează complet spațiul de memorie/disc și blochează sistemul, fie după un număr fixat de multilpicări, devin activi și intră într-o fază distructivă (care este de regulă exponențială);
bomba software – este o procedură sau parte de cod inclusă într-o aplicație "normală", care este activată de un eveniment predefinit. Autorul bombei anunță evenimentul, lăsand-o să "explodeze", adică să facă acțiunile distructive programate;
viermii – au efecte similare cu cele ale bombelor și virușilor. Principala diferență este aceea că nu rezidă la o locație fixă sau nu se duplică singuri. Se mută în permanență, ceea ce îi face dificil de detectat. Cel mai renumit exemplu este Viermele internetului-ului, care a scos din funcțiune o parte din internet în noiembrie 1988;
trapele – reprezintă accese speciale la sistem, care sunt rezervate în mod normal pentru proceduri de încărcare de la distanță, întreținere sau pentru dezvoltatorii unor aplicații. Ele permit însă accesul la sistem, eludând procedurile de identificare uzuale;
Calul Troian – este o aplicație care are o funcție de utilizare foarte cunoscută și care, într-un mod ascuns, îndeplinește și o altă funcție. Nu creează copii. De exemplu, un hacker poate înlocui codul unui program normal de control "login" prin alt cod, care face același lucru, dar, adițional, copiază într-un fișier numele și parola pe care utilizatorul le tastează în procesul de autentificare. Ulterior, folosind acest fișier, hacker-ul va penetra foarte ușor sistemul.
Hackerii
Hackerii sunt pasionați ai informaticii, care, de obicei au ca scop „spargerea” anumitor coduri, baze de date, pagini web etc. Ei sunt considerați infractori, în majoritatea statelor lumii. Hackerii adevărați nu „distrug”, de obicei, pagini inofensive, cum ar fi paginile personale. Țintele obișnuite ale atacurilor hackerilor sunt sistemele importante, care au protecții avansate și conțin informații strict secrete, cum ar fi bazele de date ale Pentagonului sau cele de la NASA. Odată obținute, aceste fișiere (informații) sunt publicate pe tot Internet-ul, pentru a fi vizionate sau folosite de cât mai multe persoane. Orice hacker advărat trebuie să respecte un „Cod de legi al hackerilor”, care este bine stabilit, cunoscut și respectat.
Hackerii amatori
Există „hackeri” care atacă ținte aleatoare, oriunde și oricând au ocazia. De exemplu, atacurile tot mai frecvente asupra Yahoo și Hotmail au blocat motoarele de căutare și conturile de mail respective pentru câteva zile, aducând prejudicii de milioane de dolari. Aceste atacuri (care reprezintă o încălcare destul de gravă a „Codul de legi al hackerilor”) au de obicei în spate persoane care „au fost curioși numai să vadă ce se întâmplă” sau „au dorit să se distreze”.
Acești atacatori virtuali nu sunt hackeri adevărați, pentru că nu-și scriu singuri programele cu care atacă, procurândule de pe Internet sau din alte surse. Acești hackeri amatori sunt singurii care ajung în fața justiției. Motivul este simplu. Acei hackeri adevărați care își pot scrie singuri programele cu care atacă, sunt, de obicei destul de inteligenți pentru a face anumite sisteme care să inducă în eroare pe toți aceia care ar încerca să determine sursa atacului.
Crackerii
Crackerii reprezintă un stil anumit de hacker, care sunt specializați în „spargerea” programelor shareware, sau care necesită un anumit cod serial. Singurii care sunt prejudiciați de această categorie de hackeri sunt cei care scriu și proiectează programele „sparte”.Sistemele de protecție ale aplicațiilor respective pot fi „înfrânte” prin două metode:
– introducerea codului, care poate fi găsit fie pe internet, fie cu ajutorul unui program special.
– a doua metodă este folosită pentru sistemele de protecție mai avansate, care necesită chei hardware (care se instalează pe porturile paralele ale computerului și trimit un semnal codat de câte ori le este cerut de către programul software), sunt patch-urile. Ele sunt progrămele care sunt făcute special pentru anumite aplicații software, care odată lansate modifică codul executabil , inhibând instrucțiunile care cer cheia hardware. Patch-urile și bibliotecile de coduri seriale se găsesc cel mai des pe Internet. Ele sunt făcute de anumite persoane (care sunt câteodată foști angajați ai firmelor care au scris software-ul respectiv) care vor doar să aducă pagube firmei proiectante.
Deși pare ciudat, cracking-ul este considerat „piraterie computerizată”, reprezentând o infracțiune serioasă. Totuși, foarte rar sunt depistați cei care plasează patch-uri și coduri seriale pe Internet.
Hackerii adevărați își scriu singuri software-ul ce le e necesar. Multe dintre aceste programe, după ce sunt testate, sunt publicate pe Internet. Bineînțeles, programele folosite pentru „spargerea” serverelor de la Pentagon sau pentru decodarea fișierelor codate pe 64 biți nu se vor găsi așa de ușor pe internet, ele fiind ținute secrete de realizatorii lor.
Mass E – Mail-erii
Mass E-Mail-erii sau spamerii sunt acei hackeri care transmit cantități enorme de e-mail (sau alt fel de informații),conținând oferte nesolicitate, sau informații aleatoare, transmise în scopul de a bloca anumite servere. Majoritatea site-urilor importante cum ar fi Yahoo, Amazon sau Hotmail au anumite sisteme de filtrare care ar trebui să protejeze serverele respective de atacurile cu cantități enorme de informații.
Aceste capcane sunt însă ușor de evitat. În ultimul timp serverele precizate mai sus precum și multe altele au fost supuse la puternice „atacuri cu informații”, la care nu puteau face față. S-au trimis mesaje la o capacitate de aproape un MB/secundă, deși serverele respective suportau un trafic obișnuit de până la 1 – 1,5 GB săptămânal.
Spamerii, prin atacurile lor prejudiciază cu sute de milione de dolari serverelor țintă. Tot odată sunt afectați și utilizatorii serverelor respective, traficul fiind complet blocat, trimiterea sau primirea mesajele sau utilizarea altor servicii asemănătoare fiind imposibilă.
Cum se pot trimite cantități atât de mari de informații, la o viteză uimitoare, fără ca hackerii respectivi să fie localizați fizic. Este relativ simplu pentru ei: transmit mesajele de pe aproximativ 50 de adrese de mail, după care deviază informația transmisă prin mai multe puncte din lume (diferite servere). Astfel, este foarte de greu să fie detectați, echipele de specialiști de la FBI lucrând săptămâni (chiar luni) întregi pentru a prinde infractorul virtual, de multe ori neajungând la rezultate concrete. Singura problemă (a hackerilor) care apare în cazul acestor devieri succesive ale informației este aceea că unul din serverele prin care „trece” informația în drumul ei către „ținta” finală se poate bloca. Informația nu va ajunge în întregime la destinație, puterea atacului scăzând substanțial. Astfel de cazuri se pot considera atacurile din ultimul timp, serverele afectate nefiind cele vizate de hackeri.
Obiectivele privind asigurarea securității datelor financiar-contabile
Securitatea calculatoarelor își propune să protejeze atât calculatorul, cât și elementele asociate-clădirile,imprimantele,modemurile,cablurile,precum și suporturile de memorie, atât împotriva accesurilor neautorizate, cât și altor amenințări care pot să apară.
Securitatea calculatoarelor poate fi definită ca fiind ansamblul de măsuri necesare asigurării secretului informației împotriva accesului neautorizat. În principal se urmărește asigurarea securității informației stocate sau transmise. Din această cauză, securitatea calculatoarelor este deseori numită securitatea informației sau securitatea datelor.
Asigurarea securității datelor presupune realizarea a patru obiective:
confidențialitatea,
integritatea,
disponibilitatea,
nerepudierea.
Confidențialitatea, uneori numită secretizare, își propune să interzică accesul neautorizat al persoanelor la informația care nu le este destinată. Confidențialitatea reprezintă țelul suprem al securității calculatoarelor.Majoritatea eforturilor se concentrează în acest scop.Pentru asigurarea confidențialității trebuie știut care sunt informațiile care trebuie protejate și cine trebuie sau cine nu trebuie să aibă acces la ele. Aceasta presupune să existe mecanisme de protecție a informațiilor care sunt stocate în calculatoare și care sunt transferate în rețea între calculatoare. Persoana însărcinată cu securitatea, sau echipa care are aceste sarcini, trebuie să prevadă aplicațiile care se vor folosi pentru acest scop.
În Internet,confidențialitatea capătă noi dimensiuni sub forma unor măsuri de control al confidențialității.Țările dezvoltate,Statele Unite,Canada,Australia, Japonia etc, au reglementat prin lege controlul confidențialității.Companiile din aceste țări au reguli stricte în această privință.
Integritatea, uneori numită acuratețe, își propune ca datele stocate în calculator să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înțelege atât modificarea voit malițioasă, cât și distrugerea acestora.Ținerea ascunsă a datelor față de cei care nu trebuie să aibă acces la ele este cel mai sigur mod de a menține datele integre. Dar, de asemenea, nu putem ști dacă persoanele care au acces la ele nu au uneori intenții răuvoitoare, acționând în sensul modificării neautorizate,ele având acces,dar neavând drept de modificare. Integritatea trebuie să stabilească „cine" și „ce" are drept de acces și de modificare. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei acțiuni răuvoitoare, ci și ca urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. în acest caz se impune să existe un plan de recuperare și refacere a datelor. Pentru aceasta, trebuie să existe o copie de siguranță (backup).
Disponibilitatea își propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem și utilizatorii generali, excepție făcând sistemele de operare care echipează calculatoarele desktop.
Sistemul de operare Windows 95/98/Me, în toate versiunile sale, este cunoscut ca un sistem de operare nesigur, deoarece nu face distincție între administratorii de sistem și utilizatorii generali. Acest sistem de operare are foarte multe goluri de securitate, cu toate configurările la maxim în domeniu. Orice utilizator general va putea să schimbe configurările de securitate ale calculatorului mergând până acolo încât să le anuleze.În acest fel, calculatorul respectiv este vulnerabil. Ideal ar fi ca fiecare utilizator să aibă drepturi de acces numai la informațiile specifice postului său.În Internet, problema disponibilității capătă o formă mai extinsă. O mare problemă a asigurării disponibilității o reprezintă atacurile de tip DoS. Aceste atacuri fac practic ca datele stocate pe calculatorul respectiv să nu mai fie disponibile. Atacatorii realizează aceasta prin două metode. Prima presupune ca atacatorul să atace direct calculatorul, sau un periferic ce realizează comunicarea, și să-1 scoată din uz. A două metodă, numită și flooding, presupune ca atacatorul să trimită foarte multe mesaje sau cereri către calculatorul-țintă. Acesta nu va putea să trateze toate cererile și ca efect procesele vor fi paralizate.
Nerepudierea, termen recent apărut în literatura de specialitate, își propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris și trimis de persoana care pretinde că l-a trimis. în acest fel se asigură încrederea părților. Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora, în noua piață a comerțului electronic (E-Commerce).
Inițial, termenul de nerepudiere nu era inclus printre obiectivele necesare asigurării securității calculatoarelor.Nerepudierea se referă la asumarea responsabilității unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important în cazul contractelor realizate între firme prin intermediul mesajelor electronice: de exemplu, un contract / comandă cu o valoare foarte mare nu trebuie să poată fi ulterior repudiat(ă) de una din părti (s-ar putea susține, în mod fraudulos, că înțelegerea inițială se referea la o sumă mult mai mică).
Securitatea nu este o destinație. Securitatea, ca obiectiv, poate fi considerată că este o stare. Niciodată securitatea nu este perfectă, indiferent de ce măsuri se iau. Întotdeauna va exista o portiță negândită prin care sistemul să fie atacat.
Tehnologiile de securitate, menite să elimine riscurile și să limiteze pierderile sunt: control acces, firewall, programe antivirus, criptare fișiere, identificare digitală, securitate fizică etc. Acestea sunt menite să limiteze accesul la informație. Pe lângă tehnologiile de restricționare, securitatea sistemelor trebuie administrată, monitorizată și întreținută. Pentru aceasta trebuie efectuate următoarele operații: prevenirea, detecția și răspunsul la intruziuni.
O rețea de calculatoare este o structură deschisă la care se pot conecta noi tipuri de echipamente. Acest lucru conduce la o lărgrire necontrolată a cercului utilizatorilor cu acces nemijlocit la resursele rețelei.
Vulnerabilitatea datelor și măsuri de contracarare
Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce privește procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum și alte cauze care pot fi exploatate pentru a trece de sistemele de securitate și a avea acces neautorizat la informații. Orice calculator este vulnerabil la atacuri.
Politica și produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului să aibă puține șanse de reușită.
Principalele vulnerabilități în sistemele de calcul sunt:
■ fizice;
■ naturale;
■ hardware;
■ software;
■ medii de stocare;
■ radiații;
■ comunicații;
■ umane.
Clădirile în care se află dispuse sistemele de calcul sunt vulnerabile la atacurile clasice. Un intruder poate, folosind metode clasice, să pătrundă în incinta firmei, acolo unde se află sistemele de calcul și să fure informație.Pentru a se preîntâmpina aceasta trebuie ca perimetrele respective să fie securizate fizic, iar accesul în anumite zone să se facă pe bază de identificare fizică.Încăperile în care se află calculatoarele pot fi încuiate cu cheie sau accesul să se facă după o identificare cu ajutorul unei cartele la purtător sau printr-o identificare biometrică – semnătură, amprente, recunoaștere voce etc. Aceste măsuri formează prima barieră în calea intruderilor.
Dezastrele naturale, cutremure, inundații, furtuni, fulgere, căderile de tensiune și supratensiunile pot duce la distrugerea informației din sistemele de calcul.Uneori chiar are loc distrugerea fizică a întregului sistem de calcul.
Componentele hardware trebuie să fie de bună calitate, pentru a nu crea probleme în timpul funcționării sistemelor de calcul.O memorie internă care alterează datele în timpul unei operații de prelucrare sau de transfer, atunci când este folosită ca memorie- tampon, va crea mari neajunsuri.Funcționarea defectuoasă a programelor poate, de asemenea, crea neajunsuri. Sistemele de operare nesigure, care au goluri de securitate, vor permite accesul ușor la informație.Dacă ambele componente hardware și software sunt sigure, atunci sistemul va funcționa sigur.
Am constatat că mediile de stocare constituie una dintre marile probleme. Acestea pot fi ușor sustrase sau distruse.Datele pot fi ușor copiate pe încă utilizatele discuri flexibile de 1,44 MB. De asemenea, acestea pot fi foarte ușor sustrase folosind mai noul suport de memorie de tip Pen Drive, de mărimea și forma unui stilou, care poate stoca până la 1 GB de informație și care poate fi conectat extrem de ușor la un port liber USB al calculatorului. Distrugerea informației este de asemenea ușoară. O comandă FDISK poate fi lansată în câteva momente și distruge toată informația de pe discul dur.
De aceea se impune să se facă cel puțin o salvare de siguranță. Salvarea de siguranță — backup — se poate face și pe suporturi de acum clasice, disc flexibil sau CD-ROM. Numai că aici apare posibilitatea ca aceste suporturi să fie sustrase și apoi citite fără probleme pe alte calculatoare. De asemenea, aceste suporturi sunt ușor deteriorabile fizic. Pentru a avea o salvare sigură se folosesc casete speciale, iar informația este criptată. Se merge până acolo încât se fac două copii de siguranță, una este păstrată in firmă, iar alta este depusă la bancă.
Toate echipamentele electrice și electronice emit radiații.Aceste radiații pot fi ușor interceptate,ele fiind purtătoare de informație.Nivelul de radiații este riguros reglementat de legi și este impus producătorilor de tehnică de calcul.Comunicațiile în rețea, folosind modemuri sau alte modalități de conectare, sunt vulnerabile. Oricine se poate atașa la linia de comunicație și poate intercepta, altera și devia traficul.
Cea mai mare vulnerabilitate este însă dată de personalul care administrează și utilizează sistemele de calcul. Dacă administratorul de sistem nu are experiență sau, mai grav, dacă decide să comită delicte, atunci securitatea informației din firmă este grav compromisă. Utilizatorii generali pot de asemenea să creeze vulnerabilități prin introducerea în zone restricționate a altor utilizatori, prin divulgarea voită a parolelor individuale, prin ștergerea sau modificarea voită sau accidentală a informației.
Toate aceste vulnerabilități vor fi exploatate de persoane răuvoitoare. Referitor la scara vulnerabilităților putem să distingem trei mari categorii:
■ vulnerabilități care permit DoS (refuzul serviciului);
■ vulnerabilități care permit utilizatorilor locali să-și mărească privilegiile limitate, fără autorizare;
■ vulnerabilități care permit utilizatorilor externi să acceseze rețeaua în mod neautorizat.
O altă clasificare poate fi făcută după gradul de pericol pe care-l reprezintă vulnerabilitatea pentru sistemul supus atacului Tabelul 1.2.
Tabelul 1.2.Gradele de vulnerabilitate și consecințele acestora.
Vulnerabilitățile care permit refuzul serviciului fac parte din categoria C și exploatează golurile din sistemul de operare, mai precis golurile la nivelul funcțiilor de rețea. Aceste goluri sunt detectate uneori la timp și acoperite de către producător prin programe – patch-uri. Acest tip de atac permite ca unul sau mai mulți indivizi să exploateze o particularitate a protocolului IP (Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informație. Atacul, cu pachete TCP SYN, presupune trimiterea către calculatorul-țintă a unui număr foarte mare de cereri de conexiune, ducând în final la paralizarea procesului. în acest fel, dacă ținta este un server, accesul la acesta e blocat și serviciile asigurate de acesta sunt refuzate. Un atac asemănător poate fi declanșat și asupra unui utilizator. Acest lucru este posibil datorită modului de proiectare a arhitecturii WWW.
Vulnerabilitățile care permit utilizatorilor locali să-și mărească privilegiile ocupă o poziție medie, B, pe scara consecințelor. Un utilizator local, adică un utilizator care are un cont și o parolă pe un anume calculator, va putea, în UNIX, să-și crească privilegiile de acces folosind aplicația sendmail. Atunci când este lansat programul, se face o verificare să se testeze dacă utilizatorul este root, numai acesta având drept de a configura și trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat în așa fel încât să se ocolească verificarea. Astfel, un utilizator local are drepturi de acces ca root. O altă posibilitate o reprezintă exploatarea zonelor de memorie tampon (buffer-e).Vulnerabilitățile care permit utilizatorilor externi să acceseze rețeaua în mod neautorizat fac parte din clasa A, pe scara consecințelor. Aceste atacuri sunt cele mai periculoase și mai distructive. Multe atacuri se bazează pe o slabă administrare a sistemului sau pe configurarea greșită a acestuia. Un exemplu de configurare greșită este un script demonstrativ care este lăsat pe disc, deși se recomandă ștergerea acestuia.
Cea mai cunoscută vulnerabilitate este conținută de un fișier cu denumirea test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conținea o eroare care permitea intrușilor din exterior să citească conținutul directorului CGI. Și aceasta din cauza a două ghilimele („) nepuse.
Platformele Novell, cu servere HTTP, erau vulnerabile din cauza unui script cu numele convert.bas. Scriptul era scris în Basic și permitea utilizatorilor de la distanță să citească orice fișier sistem.
O altă vulnerabilitate este întâlnită la serverele IIS (versiunea 1.0) de la Microsoft
și permite oricărui utilizator de la distanță să execute comenzi arbitrare.
Vulnerabilitățile din clasa A pot fi întâlnite și la următoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger.
Există și programe care pot să prezinte vulnerabilități asociate a două clase. Am concluzionat că amenințările la adresa securității se pot clasifica în trei categorii:
■ naturale și fizice;
■ accidentale;
■ intenționate.
Amenințările naturale și fizice vin din partea fenomenelor naturale sau a altor elemente fizice care interacționează cu calculatoarele. Se pot enunța aici cutremurele, inundațiile, furtunile, fulgerele, căderile de tensiune și supratensiunile etc. Se poate acționa în sensul minimizării efectelor amenințărilor sau chiar al eliminării acestora. Se pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora.
Amenințările cu caracter neintenționat vin din partea oamenilor. Aceștia pot produce amenințări și dezastre asupra calculatoarelor din cauza neglijențelor în manipularea diferitelor componente,insuficientei pregătiri profesionale,citirii insuficiente a documentațiilor etc. Din cauza neatenției, un utilizator poate distruge la transport un suport de memorie, poate să suprascrie datele într-o bază de date sau să șteargă datele pe care el le consideră inutile pentru că nu înțelege la ce folosesc. Un administrator de sistem poate să modifice nivelul de securitate al unui utilizator sau poate să schimbe sau să anuleze parola la anumite informații vitale.
Amenințările intenționate sunt și cele mai frecvente. Aceste amenințări pot fi categorisite în:
■ interne;
■ externe.
Amenințările interne vin din partea propriilor angajați. Aceștia au acces mai ușor la informație, având de trecut mai puține bariere și știind și o parte din politica de securitate a firmei. Amenințările externe vin din partea mai multor categorii, și anume:
■ agenții de spionaj străine;
■ teroriști și organizații teroriste;
■ criminali;
■ raiders ;
■ hackeri și crackeri.
Agențiile de spionaj străine au tot interesul să intre în posesia de informații referitoare la noile tehnologii. Firmele producătoare de înaltă tehnologie sunt ținta atacurilor care vin din partea acestora. Se impune ca aceste firme să folosească tehnologii și programe de criptare foarte sofisticate pentru a proteja informațiile.
Organizațiile teroriste urmăresc cu precădere băncile de unde pot extrage fonduri necesare finanțării acțiunilor teroriste, companiile aeriene pentru a putea deturna avioane și a lua ostatici și ulterior a cere răscumpărări sau a negocia alte cerințe, organizații guvernamentale de unde se pot informa asupra acțiunilor polițiilor, ale forțelor guvernamentale sau internaționale asupra lor.Criminalii din această categorie sunt cei care, beneficiind de cunoștințe în domeniul informaticii, folosesc șantajul pentru a stoarce bani sub amenințarea distrugerii informației din sistemele-țintă.
Firmele își înregistrează în fiecare zi diferite informații pe suporturi de memorie. Acestea pot fi ținta unor atacuri din partea unor firme competitoare, în mod direct, sau de către o altă persoană care le poate vinde la concurență.
Cracherii penetrează sistemele de calcul de multe ori nu pentru câștiguri financiare sau politice, ci pentru satisfacerea orgoliului propriu în lupta cu noile sisteme de securitate. Există printre aceștia și persoane care produc uneori dezastre în sistemele de calcul.
Majoritatea mecanismelor de securitate se construiesc pentru a descuraja atacurile
care vin din afară. Studiile arată că peste 80% din atacuri vin din interiorul firmei. Un angajat tocmai concediat sau nemulțumit va putea să sustragă sau să distrugă datele la care are acces. Un angajat de bună-credință va putea fi șantajat de cineva din afara firmei pentru a sustrage sau distruge informația.
Pentru a se preîntâmpina aceasta se pot lua diferite măsuri (contramăsuri)
concretizate în metode de protecție a calculatoarelor.
O parte din aceste măsuri sunt reglementate prin legi și norme. Firmele producătoare de echipamente de tehnică de calcul nu trebuie să fabrice echipamente care să emită radiații electromagnetice peste o anumită limită. Echipamentele care vor fi vândute organizațiilor guvernamentale vor trebui să aibă implementate tehnologii de securitate. Sistemele de operare cu care sunt înzestrate aceste calculatoare vor trebui să satisfacă cerințele specificate în „Orange Book", care prevede standarde pentru acestea.
Agențiile guvernamentale folosesc software de criptare foarte performant. Echipamentele folosite trebuie să satisfacă cerințele enunțate în TEMPEST.
Legea impune ca informațiile clasificate ca fiind secrete și cele care sunt clasificate ca senzitive să fie protejate. Se includ aici informații care dacă ar fi sustrase ar putea duce la disfuncționarea economiei. Aceste informații se regăsesc la ministerele economiei, ministerele de finanțe, agenții de informații, ambasade.O categorie aparte o reprezintă domeniul militar. Aici regulile de acces la informații sunt strict reglementate. Departamentul de Apărare (DoD), agențiile de informații,partenerii comerciali din domeniu folosesc produse de securitate performante. Se pot enumera aici algoritmi de criptare practic imbatabili, sisteme de operare sigure și dedicate, echipamente conform cu TEMPEST.
Securitatea cere foarte mulți bani și măsuri laborioase. în cadrul agențiilor guverna- mentale și al armatei problemele se rezolvă ușor, existând atât fondurile necesare, cât și structuri care să permită o implementare sau reimplementare rapidă de măsuri. Firmele care au ca scop maximizarea profitului nu vor dori poate să aloce foarte mulți bani în asigurarea securității.În acest caz se poate să se ajungă la pierderi greu de recuperat.În unele cazuri, firmele nu acceptă măsuri de securitate foarte stricte pentru că s-ar limita anumite drepturi ale personalului și s-ar limita libertatea de mișcare.
Securitatea nu este o destinație. Securitatea, ca obiectiv, poate fi considerată că este o stare. Niciodată securitatea nu este perfectă, indiferent de ce măsuri se iau. întotdeauna va exista o portiță negândită prin care sistemul să fie atacat. Din cauza unui număr mare de factori, securitatea nu va fi niciodată perfectă. Atunci când se investește în securitate se pune și întrebarea „Cât investesc financiar în securitate?". Asigurarea unei securități ridicate presupune costuri uneori foarte mari, care poate nu pot fi suportate. Și dacă tot nu se poate asigura o securitate perfectă, atunci cât trebuie să investesc? Investițiile în securitate, la nivel de firmă, trebuie făcute ținând cont de nevoile financiare ale firmei și de nivelul de protecție dorit. Cheltuielile cu securitatea pot afecta pozitiv sau negativ afacerile.Pentru că securitatea este relativă, aceasta poate fi atinsă numai prin definirea obiectivelor, ca ulterior să fie reevaluată. Aceste obiective vor forma politica de securitate la nivel de firmă.
O rețea sigură este aceea în ale cărei componente (reusrse și operații) se poate avea încredere, adică furnizează servicii de calitate și corecte. Deoarece o rețea este alcătuită din componente diferite ea reprezintă o zonă convenabilă pentru diferite atacuri sau operații ilegale, lucru care conduce la concluzia că protecția a devenit unul din aspectele operaționale vitale ale unei rețele.
Securitatea și în special caracterul privat trebuie să constituie obiectul unei analize atente în cazul rețelelor. Rețelele sunt ansambluri complexe de calculatoare. Este foarte dificil să se obțină o schemă completă a tuturor entităților și operațiilor existente la un moment dat, astfel încât rețelele sunt vulnerabile la diferite tipuri de atacuri sau abuzuri.
Complexitatea este generată de dispersarea geografică, uneori internațională a componentelor (nodurilor) rețelei, implicarea mai multor organizații în administrarea unei singure rețele, existența unor tipuri diferite de calculatoare și sisteme de operare, existența unui număr mare de entități. În viitorul imediat, rețelele de calculatoare vor deveni o parte esențială din viața socială și individuală. De funcționarea lor corectă depinde activitatea guvernamentală, comercială, industrială și chiar personală.
Pe măsură ce calculatoarele personale pot fi conectate de acasă în rețele, o serie de activități pot fi făcute de persoane particulare. Trebuie avute în vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte persoane cu care pot comunica, la ce programe au acces. Tot mai multe informații memorate în fișiere devin posibil de corelat prin intermediul rețelelor. Această asociere de fișiere privind persoanele poate avea consecințe nefaste asupra caracterului privat individual.
Informația este vulnerabilă la atac, în orice punct al unei rețele, de la introducerea ei până la destinația finală. În particular, informația este mai susceptibilă la atac atunci când trece prin liniile de comunicații. Măsurile puternice de control ale accesului, bazate pe parole, scheme de protecție în sisteme de operare, fac mai atractive asupra liniilor rețelei decât asupra calculatoarelor gazdă.
Capitolul 2.
Securitatea datelor financiar-contabile
2.1. Tehnologii de securizare a datelor și administrarea acestora
Tehnologiile de restricție sunt menite să limiteze accesul la informație.Din această categorie fac parte:
■ controlul accesului;
■ identificarea și autentificarea;
■ firewall-urile;
■ rețelele virtuale private;
■ infrastructură cu chei publice (PKI35);
■ Secure Sockets Layer (SSL);
■ Single Sign On (SSO) – Semnătură doar o dată.
Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricționarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul și avea acces la datele stocate. Termenul de control al accesului (acces control) definește un set de mecanisme de control implementate în sistemele de operare de către producători pentru restricționarea accesului.De această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc.
Identificarea și autentificarea, folosindu-se de conturi și parole, permit doar accesul utilizatorilor avizați la informație. Identificarea și autentificarea poate fi făcută și cu ajutorul cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea după amprentă, voce, irisul ochiului etc.
Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din rețea și permite trecerea altuia. Firewall-ul se interpune între rețeaua internă și Internet și filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit și în interiorul propriei rețele pentru a separa subrețele cu nivele diferite de securitate.
VPN-urile (Virtual Private Network) permit comunicarea sigură între două calculatoare aflate într-o rețea. O conexiune VPN se poate realiza atât în rețeaua locală, cât și în Internet. VPN folosește tehnologii de criptare avansată a informației care face ca aceasta să nu poată să fie modificată sau sustrasă fără ca acest lucru să fie detectat.
Infrastructura cu chei publice (PKI) își propune să asigure securitatea în sisteme deschise, cum ar fi Internetul, și să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI completă, fiecare utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicație pe care o lansează este transparent și complet asociat cu utilizatorul.
Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea și autentificarea comunicațiilor Web utilizând PKI pentru autentificarea serverelor și a clienților. Lucrează foarte bine cu servere WWW. Este implementat în mai multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu de implementat.
Semnătură doar o dată (SSO) dorește să debaraseze utilizatorul de mulțimea de conturi și parole care trebuie introduse de fiecare dată când accesează și reaccesează programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de realizat datorită varietății de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor care au același tip de sisteme.
Web-ul folosește un subset SSO numit Web SSO, funcționarea fiind posibilă datorită faptului ca serverele Web folosesc aceeași tehnologie.
Pe lângă tehnologiile de restricționare, securitatea sistemelor trebuie administrată, monitorizată și întreținută.
Pentru aceasta trebuie efectuate următoarele operații:
■ administrarea;
■ detectarea intrușilor;
■ scanarea vulnerabilităților;
■ controlul virușilor.
Administrarea sistemelor de calcul presupune și controlul și întreținerea modului de acces la acestea de către utilizatori. Un utilizator care folosește o parolă scurtă sau care este ușor de ghicit va face ca acel calculator să fie ușor de penetrat. Atunci când un angajat este concediat sau pleacă pur și simplu din alte motive de la firma respectivă, trebuie schimbate denumirile utilizatorului și parola. Uneori se face greșeala ca numele de user să fie numele postului și nu un identificator al numelui angajatului.În urma concedierii angajatului se schimbă doar parola, rămânând numele de user, ceea ce face ca sistemul să fie mai vulnerabil, fostului angajat nerămânându-i decât să găsească parola, dacă acesta va dori să facă rău.
Denumirea user-ului și a parolei trebuie făcută cu foarte mare atenție și mare responsabilitate. Sarcina este de competența persoanei însărcinate cu securitatea. Parolele vor conține atât cifre, cât și litere, pentru a face ghicirea lor cât mai grea, și vor fi schimbate periodic. Divulgarea parolei altor persoane va fi sancționată administrativ.
Detectarea intrușilor trebuie făcută permanent. Pentru aceasta există programe care controlează traficul și care țin jurnale de acces. Verificarea se va face la nivelul fiecărui calculator din firmă. Trebuie făcută aici distincție între încercările de intruziune din afară și cele din interior. De asemenea, trebuie separate încercările de acces neautorizat din rețeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.
Scanarea vulnerabilității, care este de fapt o analiză a vulnerabilității, presupune investigarea configurației la nivel intern pentru detectarea eventualelor găuri de securitate. Aceasta se face atât la nivel hardware, cât și software. Un calculator care este pus în sistem dincolo de firewall va fi vulnerabil și va compromite afacerile firmei. Un calculator la care un utilizator și-a sporit drepturile și a reușit să partajeze un folder sau fișier va fi vulnerabil chiar dacă accesul la acesta din urmă este protejat de o parolă. Folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia.
Controlul virușilor se va face pentru a detecta și elimina programele malițioase din sistemele de calcul. Acestea se pot repede împrăștia la toate calculatoarele din sistem și pot paraliza funcționarea acestora sau pot produce distrugeri ale informației. Se impune obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruși să se facă cât mai des, iar scanarea pentru detectarea virușilor să se facă de oricâte ori este nevoie.
O posibilitate este ca programul antivirus să fie instalat pe un calculator central, actualizarea se va face periodic, iar scanarea stațiilor de lucru se va face de aici. Această arhitectură nu oferă însă o protecție în timp real. Ce se întâmplă dacă cineva introduce un disc flexibil care conține viruși în stația de lucru? În acest caz se impune existența unui program antivirus care funcționează local sau eliminarea introducerii de programe în stația de lucru cu ajutorul suporturilor de memorie.
Majoritatea experților recomandă ca soluție minimă de asigurare a securității parcurgerea a trei pași. În primul rând, trebuie să se facă o detectare a virușilor, apoi implementarea unei protecții firewall și în final detectarea intrușilor.
2.2.Utilizarea criptografiei în sistemele informatice de prelucrarea a datelor
Pentru asigurarea securității rețelei este importantă implementarea unor mecanisme specifice pornind de la nivelul fizic (protecția fizică a liniilor de transmisie ), continuând cu proceduri de blocare a accesului la nivelul rețelei, până la aplicarea unor tehnici de codificare a datelor (criptare), metodă specifică pentru protecția comunicării între procesele de tip aplicație care rulează pe diverse calculatoare din rețea.
Împiedicarea interceptării fizice este în general costisitoare și dificilă; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptărilor pe fibre optice este mai simplă decât pentru cablurile cu fire de cupru). De aceea, se preferă implementarea unor mecanisme de asigurare a securității la nivel logic, prin tehnici de codificare / criptare a datelor transmise care urmăresc transformarea mesajelor astfel încât să fie înțelese numai de destinatar; aceste tehnici devin mijlocul principal de protecție a rețelelor.
În cadrul sistemelor informatice economice criptografia se face simțită la următoarele niveluri: hardware, aplicație, transmisie de date, fișiere și foldere.
Criptografia tradițională
Istoria criptografiei este lungă și pitorească. Se spune că la dezvoltarea procedeelor de criptare (codificare) au contribuit: armata, corpurile diplomatice, persoanele care au ținut jurnale și îndrăgostiții. Evident, dezvoltarea tehnicilor de criptare a constiuit o prioritate pentru organizațiile militare, care utilizau frecvent asemenea procedee. Înainte de apariția calculatoarelor, volumul mare de mesaje criptate sau transmise a fost gestionat de un număr mare de funcționari "codori". Evident, tehnicile folosite erau limitate de capacitatea codorilor de realizare a transformărilor necesare și de însușirea de către aceștia a unor tehnici criptografice noi. Totuși, pericolul de capturare a codurilor de către "inamici" făcea necesară schimbarea periodică a metodei de criptare.
Modelul clasic de criptare presupune transformarea unui text sursă ("plain text") printr-o funcție dependentă de o cheie ("key"), transformare în urma căreia rezultă textul cifrat ("ciphertext"). Înainte de apariția rețelelor de calculatoare, acesta era transmis printr-un curier sau prin radio. În cazul interceptarii mesajelor cifrate, ele nu puteau fi decodificate prea ușor în absența cheii de criptare. Uneori, "intrușii" puteau nu numai să asculte canalele de comunicație (intruși pasivi), ci și să înregistreze mesajele și să le retransmită mai târziu, să introducă propriile mesaje sau să modifice mesajele legitime înainte ca ele să ajungă la receptor (intrus activ).
Domeniul care se ocupă de spargerea (decodificarea) cifrurilor se numește criptanaliză ("cryptanalysis") iar conceperea cifrurilor (criptografia) și spargerea lor (criptanaliza) sunt cunoscute global sub numele de criptologie ("cryptology").
Într-o încercare de formalizare matematică a proceselor de criptare și decriptare, se pot folosi următoarele notații: S – textul sursă, CK – funcția de criptare, dependentă de o cheie K, R – codul rezultat și DK – funcția de decriptare. Cu aceste notații, criptarea este exprimată prin formula : R = CK(S) iar decriptarea prin S = DK(R). Se observă că DK(CK(S)) = S.
O regulă de bază în criptografie stabilește necesitatea cunoașterii metodei generale de criptare de către orice criptanalist. Acest principiu are la bază constatarea că pentru a inventa, testa și instala o nouă metodă de criptare este necesară o cantitate prea mare de efort pentru ca acest procedeu să fie practic. În consecință, cel mai important element devine cheia de criptare.
Cheia constă într-un șir de caractere care definește / selectează una sau mai multe criptări potențiale. Spre deosebire de metoda generală, care, în mod tradițional, se schimba doar la câțiva ani, cheia putea fi schimbată oricât de des era necesar.
În concluzie, modelul de bază al criptării folosește o metodă generală cunoscută, care este parametrizată cu o cheie secretă, ce poate fi schimbată ușor. În mod paradoxal, publicarea algoritmului de criptare, prin faptul că dă posibilitatea unui număr mare de criptologi să spargă sistemul, îi poate dovedi stabilitatea, în caz că după câțiva ani nici unul din specialiștii care au încercat să-l spargă nu a reușit.
Componenta secretă a criptării este, în consecință, cheia, a cărei lungime devine foarte importantă. În mod evident, cu cât cheia este mai lungă lungă, cu atât elementele ei sunt mai greu de determinat. De exemplu, pentru o secvență de n cifre (0,…,9), există 10n posibilități de a o crea. Astfel, pentru determinarea unei secvențe de 6 cifre ar trebui parcurse 1 milion de posibilități. În cazul în care cheile ar conține litere, numărul de alternative crește fiindcă în alfabet există 26 de litere. Se poate deduce că lungimea cheii produce creșterea exponențială a volumului de muncă al criptanalistului. O cheie care să poată ține la distanță adversari profesioniști ar trebui să aibă cel puțin 256 de biți (cel puțin 32 de cifre), în timp ce uzual se pot folosi chei de 64 de biți (în jur de 8 cifre).
Când un criptanalist trebuie să decodifice un text, el se confruntă cu una din următoarele probleme:
problema textului cifrat ("ciphertext only problem"), când are la dispoziție o cantitate de text cifrat și nici un fel de text sursă;
problema textului sursă cunoscut ("known plaintext problem"), când are la dispozitie un text sursă și textul cifrat corespunzător;
problema textului sursă ales ("chosen plaintext problem"), dacă poate cripta la alegere zone din textul sursă (poate afla criptarea unui anumit text).
În multe situații, criptanalistul poate ghici unele părți din textul sursă, chiar dacă teoretic s-ar găsi în situația de a rezolva o problemă de text cifrat. (De exemplu, inițierea unei sesiuni de lucru într-un sistem multiutilizator va conține uzual cuvântul "LOGIN".) De aceea, pentru a asigura securitatea, criptograful trebuie să se asigure că metoda propusă este sigură, chiar dacă inamicul său poate cripta cantități arbitrare de text ales.
Există două metode tradiționale de criptare: cifruri cu substituție și cifruri cu transpoziție. Aceste tehnici de bază sunt folosite, în forme evoluate, și în sistemele moderne de criptare.
Cifrurile cu substituție.Într-un asemenea cifru, fiecare literă sau grup de litere este înlocuit(ă) cu o altă literă sau cu un grup de litere. Cel mai vechi exemplu este cifrul lui Cezar, prin care a devine D, b devine E, …, z devine C. Prin generalizare, alfabetul poate fi deplasat cu k litere în loc de 3. În acest caz, k devine cheia pentru metoda generală a alfabetelor deplasate circular.
O altă metodă de substituție este înlocuirea fiecărei litere din textul sursă cu o anumită literă corespondentă. Sistemul se numeste substituție monoalfabetică și are ca și cheie un șir de 26 de litere. Pentru o persoană neavizată, acest sistem ar putea fi considerat sigur fiindcă încercarea tuturor celor 26! de chei posibile ar necesita unui calculator 1013 ani alocând 1msec pentru fiecare soluție. Totuși, folosind o cantitate foarte mică de text cifrat, cifrul va putea fi spart cu ușurință.
Abordarea de bază pornește de la proprietățile statistice ale limbajelor naturale. Cunoscând frecvența statistică a fiecărei litere și a fiecărui grup de două sau trei litere (de exemplu, în limba română: ce, ci, ge, gi, oa, ua etc.) într-o anumită limbă, numărul mare de alternative inițiale se reduce considerabil. Un criptanalist va număra frecvențele relative ale tuturor literelor în textul cifrat și va încerca să facă asocierea cu literele a căror frecvență este cunoscută. Apoi va căuta grupurile de litere, încercând să coroboreze indiciile date de acestea cu cele furnizate de frecvențele literelor.
O altă abordare, aplicabilă dacă există informații despre domeniul la care se referă textul, este de a ghici un cuvânt sau o expresie probabilă (de exemplu, "financiar" pentru un mesaj din contabilitate) și de a căuta corespondentul său, folosind informații despre literele repetate ale cuvântului și pozițiile lor relative. Abordarea se poate combina cu informațiile statistice legate de frecvențele literelor.
Cifruri cu transpoziție.Spre deosebire de cifrurile cu substituție, care păstrează ordinea literelor din textul sursă dar le transformă, cifrurile cu transpoziție ("transposition ciphers") reordonează literele, fără a le "deghiza".
Un exemplu simplu este transpoziția pe coloane, în care textul sursă va fi scris literă cu literă și apoi citit pe coloane, în ordinea dată de o anumită cheie. Ca și cheie se poate alege un cuvânt cu litere distincte, de o lungime egală cu numărul de coloane folosite în cifru. Ordinea alfabetică a literelor din cuvântul cheie va da ordinea în care se vor citi coloanele.
Exemplu: Dacă textul sursă este:
"acestcursîsipropunesăprezintefacilitătiledecomunicareoferitedereteleledecalculatoare" iar cheia este "PRECIS", atunci așezarea sa pe coloane va genera următorul text cifrat:
"sîpptllmrieecaesoăniioarrllotsureieuettduraupezaăeifdlcacrrsictcceeeatcineftdnoeeele".
Spargerea unui cifru cu transpoziție începe cu verificarea dacă acesta este într-adevăr de acest tip prin calcularea frecvențelor literelor și compararea acestora cu statisticile cunoscute. Dacă aceste valori coincid, se deduce că fiecare literă este "ea însăși", deci este vorba de un cifru cu transpoziție.
Următorul pas este emiterea unei presupuneri în legătură cu numărul de coloane. Acesta se poate deduce pe baza unui cuvânt sau expresii ghicite ca făcând parte din text. Considerând sintagma "săprezinte", cu grupurile de litere (luate pe coloane) "si", "ăn", "pt", "re", se poate deduce numărul de litere care le separă, deci numărul de coloane. Notăm în continuare cu k acest număr de coloane.
Pentru a descoperi modul de ordonare a coloanelor, dacă k este mic, se pot considera toate posibilitățile de grupare a câte două coloane (în număr de k(k-1) ). Se verifică dacă ele formează împreună un text corect numărând frecvențele literelor și comparându-le cu cele statistice. Perechea cu cea mai bună potrivire se consideră corect poziționată. Apoi se încearcă, după același principiu, determinarea coloanei succesoare perechii din coloanele rămase iar apoi – a coloanei predecesoare. În urma acestor operații, există șanse mari ca textul să devină recognoscibil.
Unele proceduri de criptare acceptă blocuri de lungime fixă la intrare și generează tot un bloc de lungime fixă. Aceste cifruri pot fi descrise complet prin lista care definește ordinea în care caracterele vor fi trimise la ieșire (șirul pozițiilor din textul de intrare pentru fiecare caracter din succesiunea generată).
Problema construirii unui cifru imposibil de spart a preocupat îndelung pe criptanaliști; ei au dat o rezolvare teoretică simplă încă de acum câteva decenii dar metoda nu s-a dovedit fiabilă din punct de vedere practic, după cum se va vedea în continuare.
Tehnica propusă presupune alegerea unui șir aleator de biți pe post de cheie și aducerea textului sursă în forma unei succesiuni de biți prin înlocuirea fiecărui caracter cu codul său ASCII. Apoi se aplică o operație logică – de tip Sau exclusiv (operația inversă echivalentei: 0 xor 0 = 0, 0 xor 1 = 1, 1 xor 0 = 1, 1 xor 1 = 0) – între cele două șiruri de biți. Textul cifrat rezultat nu poate fi spart pentru că nu există indicii asupra textului sursă și nici textul cifrat nu oferă criptanalistului informații. Pentru un eșantion de text cifrat suficient de mare, orice literă sau grup de litere (diftong, triftong) va apărea la fel de des.
Acest procedeu este cunoscut sub numele de metoda cheilor acoperitoare. Desi este perfectă din punct de vedere teoretic, metoda are, din păcate, câteva dezavantaje practice:
cheia nu poate fi memorată, astfel încât transmițătorul și receptorul să poarte câte o copie scrisă a ei fiindcă în caz că ar fi "capturați", adversarul ar obține cheia;
cantitatea totală de date care poate fi transmisă este determinată de dimensiunea cheii disponibile;
o nesincronizare a transmițătorului și receptorului care generează o pierdere sau o inserare de caractere poate compromite întreaga transmisie fiindcă toate datele ulterioare incidentului vor apărea ca eronate
Câteva principii practice de criptare
Se recomandă ca informațiile criptate să conțină informații redundante, adică informații care nu sunt necesare pentru înțelegerea mesajului. Acest principiu constituie o protecție împotriva "intrușilor activi" care încearcă trimiterea unor mesaje fictive în locul celor reale, folosind structura de mesaj originală și date eronate. Astfel, o listă de comenzi de produse ale unor clienți ar putea fi înlocuită, de către o persoană rău-voitoare care cunoaște structura comenzilor, cu o listă generată aleator, pornind de la o listă parțială de nume de clienți. Dacă însă mesajele criptate ale comenzilor conțin, în afara informației utile, zone de informații redundante, atunci este mult mai puțin probabil ca mesajele generate aleator să conțină comenzi corecte.
Pe de altă parte, introducerea de informație aleatoare poate ușura spargerea mesajelor de către criptanaliști fiindcă aceștia vor putea distinge mai ușor mesajele valide de cele invalide (se simplifică spargerea sistemului de către intrușii pasivi). De aceea, se recomandă construirea aleatoare a secvențelor redundante.
Un alt principiu important urmărește împiedicarea intrușilor activi de a retransmite mesaje vechi ca fiind actuale; în acest scop, se folosesc marcaje numite amprente de timp.
Caracteristici ale criptografiei moderne. Rezolvarea problemelor legate de interceptarea, autentificarea și modificarea mesajelor
Având în vedere faptul că transmisia de date în Internet este neprotejată, a apărut necesitatea dezvoltării tehnicilor de criptare în direcția automatizării acestora și a implementării lor în rețele de calculatoare. Astfel, utilizarea unor algoritmi pentru criptarea informațiilor transmise va deveni principalul mijloc de rezolvare a problemelor de interceptare în rețele.
În descrierea unei transmisii de date prin rețea se obișnuieste să se numească generic "mesaj" un ansamblu de date trimis de un "emițător" unui "receptor". Printr-o metodă de criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel încât să poată fi înțelese doar de destinatar.
Unul din principiile mai recent apărute în criptanaliză constă în utilizarea unei alte chei pentru decodificarea mesajului decât cea folosită la codificare; această tehnică este mai eficientă dar complică puțin procedeul general și de aceea se preferă când criptarea / decriptarea se realizează automat. Evident, dimensiunea unei chei de criptare (exprimate în general în biți) este o măsură a nivelului de securitate dat de acea cheie, ea indicând rezistența mesajului cifrat la încercările de descifrare de către cineva care nu deține cheia de descifrare potrivită.
Principiile de criptare din algoritmii cu cheie secretă au evoluat odată cu apariția calculatoarelor; ele continuă însă să se bazeze pe metodele tradiționale, cum ar fi transpoziția și substituția. Algoritmii cu cheie secretă sunt caracterizați de faptul că folosesc aceeași cheie atât în procesul de criptare, cât și în cel de decriptare (Figura 2.1). Din acest motiv, acești algoritmi mai sunt cunoscuți sub numele de algoritmi simetrici; pentru aplicarea lor este necesar ca înaintea codificării / decodificării, atât emițătorul cât și receptorul să posede deja cheia respectivă. În mod evident, cheia care caracterizează acești algoritmi trebuie să fie secretă.
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impun un schimb de chei private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar un canal cu transmisie protejată pentru a putea fi transmise cheile de criptare / decriptare.
Figura 2.1. Schema de aplicare a unui algoritm simetric
Ulterior, vor apărea și algoritmi cu cheie publică, caracterizați prin faptul că criptarea și decriptarea folosesc chei diferite (Figura 2.2.). Această caracteristică a dat algoritmilor cu cheie publică și numele de algoritmi asimetrici. În acest caz, una dintre chei poate fi publică (general cunoscută – poate fi distribuită oricui) iar cealaltă va trebui să fie privată / secretă (cunoscută doar de cel care o folosește). Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj criptat cu o anumită cheie nu poate fi decriptat decât cu cheia sa pereche.
Astfel, în cazul utilizării unui algoritm asimetric în comunicarea dintre un emițător și un receptor, fiecare dintre aceștia va deține câte o pereche de chei – publică și privată. Emițătorul poate cripta mesajul cu cheia publică a receptorului, astfel încât doar acesta să poată decripta mesajul cu cheia sa privată. În cazul unui răspuns, receptorul va utiliza cheia publică a emițătorului astfel încât decriptarea să se poată face exclusiv de către emițător (cu cheia sa pereche, privată).
Cheile algoritmilor asimetrici sunt obținute pe baza unei formule matematice din algebra numerelor mari, pentru numere prime între ele, iar din valoarea unei chei nu poate fi dedusă valoarea cheii asociate. Remarcăm faptul că aplicarea în informatică a calculelor modulo numere prime s-a dovedit extrem de benefică pentru mulți algoritmi moderni.
Figura 2.2. Schema de aplicare a unui algoritm asimetric
Tradițional, criptografii foloseau algoritmi simpli asociați cu chei de securitate foarte lungi. Azi se urmărește crearea unor algoritmi de criptare atât de complecși încât să fie practic ireversibili, chiar dacă un criptanalist achiziționează cantități foarte mari de text cifrat.
O altă caracteristică a criptografiei moderne constă în automatizarea tehnicilor clasice, prin folosirea unor dispozitive special concepute. Transpozițiile și substituțiile vor fi implementate cu circuite simple, de viteză mare, care vor fi conectate în cascadă astfel încât dependența ieșirii de intrare devine extrem de complicată și dificil de descoperit.
În 1977, guvernul SUA a adoptat ca standard oficial pentru informațiile nesecrete un cifru produs și dezvoltat de IBM, numit DES (Data Encryption System), care a fost larg adoptat în industrie. DES este cel mai popular algoritm cu cheie secretă; el continuă să stea la baza unor sisteme folosite în mod curent. DES folosește (uzual) o cheie de 56 de biți; aceasta a fost în cele din urmă adoptată în locul uneia de 128 de biți, neagreată de NSA (National Security Agency), agenția "spărgătoare de coduri a guvernului", care dorea supremația în domeniul criptografic.
Din 1977, cercetătorii în criptografie au încercat să proiecteze mașini pentru a sparge DES. Prima asemenea mașină a fost concepută de Diffie și Hellman, avea nevoie de mai puțin de o zi iar costul ei a fost estimat la 20 de milioane de dolari. După aproape 2 decenii, costul unei astfel de mașini a ajuns la 1 milion de dolari iar timpul necesar spargerii codului a scazut la 4 ore. Ulterior, s-au dezvoltat și alte metode, cum ar fi folosirea unui cip DES încorporat (loteria chinezească).
În scopul decriptării s-ar mai putea folosi mecanisme soft specifice (cum ar fi algoritmul asimetric Diffie-Hellman) și resursele libere ale unor calculatoare cu destinație universală. Astfel, s-a demonstrat că rularea pe mai multe calculatoare a unor programe distribuite de criptare (uzual, pe un număr mare de mașini, de ordinul miilor sau chiar zecilor de mii) crește considerabil eficiența procesului de decriptare.
Un alt cifru renumit este IDEA (International Data Encryption Algorithm), realizat de doi cercetători la Politehnica Federală din Zürich (ETHZ). Acest algoritm folosește o cheie de 128 de biți și este inspirat din metodele anterioare – DES și cele imaginate pentru spargerea DES.
Un alt algoritm performant a fost descoperit de un grup de cercetători de la MIT – Ronald Rivest, Adi Shamir, Leonard Adelman – și s-a numit cu inițialele creatorilor lui: RSA. Algoritmul de criptare RSA folosește o cheie publică.
Se observă că utilizarea unor astfel de algoritmi de criptare a datelor asigură transmisii confidențiale de date în rețele neprotejate, rezolvând problema interceptării. De fapt, riscul de interceptare / modificare nu dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a deține cheia corespunzătoare, dacă se dispune de suficiente resurse materiale și de timp.
Evident, dimensiuni variate ale cheii asigură diferite grade de confidențialitate iar perioada de timp necesară pentru decriptare poate fi prevăzută în funcție de mărimea cheii utilizate. Totuși, dacă procesul de decriptare este lent, este posibil ca în momentul în care s-ar obține datele dorite, acestea să nu mai fie actuale sau utile.
Timpul de decriptare depinde în mod natural și de puterea procesoarelor utilizate în acest scop, astfel încât utilizarea distribuită a unui foarte mare număr de procesoare poate duce la o micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este necesară o confidențialitate strictă se utilizează chei de dimensiuni mult mai mari, chiar pentru algoritmul DES (de 256, 512, 1024 și chiar 2048 sau 4096 de biți), știut fiind că timpul necesar decriptării crește exponențial cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet-ului, cei mai convenabili algoritmi de criptare sunt cei cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de chei pe canale de transmisie protejate, ca în cazul algoritmilor cu cheie secretă. Cheia publică poate fi distribuită fără restricții pe intranet (rețeaua locală) sau Internet, iar mesajele criptate cu această cheie de un emițător vor putea fi decriptate numai utilizând cheia privată, care este deținută exclusiv de către destinatar. Astfel, nici măcar expeditorul nu ar putea realiza decriptarea mesajului trimis.
Problema autentificării
Un alt domeniu în care a evoluat criptografia modernă este cel al creării unor protocoale de autentificare – tehnica prin care un proces verifică dacă partenerul de comunicatie este cel presupus și nu un impostor. Verificarea identității unui proces de la distanță este dificilă și necesită utilizarea unor protocoale complexe, bazate pe tehnici criptografice.
Problema poate fi imaginată intuitiv sub forma a doi parteneri care comunică și a altuia care dorește să se introducă fraudulos în comunicatie, simulând pe oricare din partenerii de discuție. Ca o metodă de protecție, cei doi utilizatori pot stabili, de exemplu, o cheie secretă de sesiune, dar această metodă presupune transmiterea cheii printr-un canal sigur; de aceea, se preferă, ca și în cazul împiedicării interceptărilor, utilizarea criptărilor cu chei publice.
Unul din protocoalele de autentificare folosit în sistemele în timp real se numeste Kerberos (omonimul câinelui-paznic al lui Hades, care îi ținea pe cei nedoriți afară). Conecția securizată la un server aflat la distanță cu ssh folosește pentru autentificare un alt protocol, bazat pe algoritmul cu cheie publică RSA.
Problema autentificării impune găsirea unui corespondent electronic pentru semnăturile autorizate de pe documentele legale. Un asemenea corepondent se numește semnătură digitală și presupune existența unui sistem prin care una din părtți să poată transmite mesaje "semnate" celeilalte părți, astfel încât:
receptorul să poată verifica identitatea pe care pretinde că o are emițătorul. Această cerință este necesară, de exemplu, în sistemele financiare: calculatorul trebuie să se asigure că un ordin de cumpărare sau de plată aparține companiei cu al cărei cont bancar se va opera.
transmițătorul să nu poată renega ulterior conținutul mesajului. Această necesitate asigură protejarea băncilor împotriva fraudelor: un client necinstit ar putea acuza banca implicată în tranzacție, pretinzând, de exemplu, că nu a emis un anumit ordin (de plată).
receptorul să nu poată pregăti el însuși mesajul. În cazul unei tranzacții financiare cu o bancă, această cerință protejează clientul dacă banca încearcă să-i falsifice mesajul.
Ca semnături digitale, se pot folosi semnături cu cheie secretă sau publică dar, asa cum s-a explicat anterior, de obicei se preferă cheile publice.
În cazul mesajelor transmise prin poștă electronică, riscul legat de impersonificarea expeditorului este destul de mare fiindcă standardele utilizate pentru transmiterea poștei electronice sunt simple și în plus au fost făcute publice (ceea ce înseamnă că oricine are acces la ele și poate să le studieze). Standardul de e-mail nu are la bază nici un sistem pentru verificarea identității celui care trimite un mesaj de poștă electronică, bazându-se pe o încredere reciprocă între utilizatori. Acest neajuns ar putea fi fructificat de către persoane răuvoitoare pentru a trimite mesaje de postă electronică de pe adrese false, sau chiar de pe adrese existente, pretinzând că sunt utilizatorii care dețin acele adrese de poștă electronică. Practic, este (aproape) imposibilă identificarea unei persoane care a emis astfel de mesaje fiindcă în Internet există servere care asigură transmiterea anonimă a mesajelor ("anonymous remailers"), trimițându-le de la un server la altul de mai multe ori înainte de a le direcționa către adevărata destinație.
Pentru autentificarea expeditorului unui mesaj (de poștă electronică sau un ansamblu de date transmis prin Internet în alte scopuri) se folosește cel mai adesea un sistem cu cheie publică. Astfel, dacă expeditorul criptează mesajul cu cheia privată proprie, datele pot fi decriptate doar utilizând cheia publică pereche (Figura 2.3.), deci oricine poate verifica faptul că mesajul a fost transmis într-adevăr de expeditor, și nu de o persoană ce pretinde a fi expeditorul (după cum s-a explicat deja, mesajul criptat cu o cheie poate fi decriptat doar utilizând cheia pereche acesteia și se presupune că expeditorul este singurul care are acces la cheia sa privată).
Evident că este posibil să se realizeze o criptare a mesajelor în paralel cu autentificarea, astfel încât inclusiv datele transmise să fie codificate. În acest caz, se vor utiliza perechile de chei privată, publică nu numai pentru autentificare, ci și pentru criptarea, respectiv decriptarea mesajelor transmise. Practic, pentru codificarea și semnarea digitală a unui mesaj emis, se va realiza o criptare cu cheia privată a emitățorului și apoi o criptare cu cheia publică a destinatarului. Astfel, destinatarul va putea decripta mesajul și autentifica proveniența sa în condiții de securitate.
Având în vedere faptul că algoritmii de criptare cu cheie publică consumă foarte mult timp, în general se implementează o tehnică puțin diferită: se utilizează o criptare cu cheie publică pentru transmiterea unei chei secrete generate aleator (deci cheia secretă este criptată și eventual se poate utiliza și autentificarea expeditorului), după care datele propriu-zise vor fi transmise criptate cu un algoritm simetric utilizând cheia secretă schimbată anterior. Această metodă îmbunătățeste considerabil viteza de transmisie și de criptare / decriptare.
Figura 2.3. Semnarea digitală a mesajelor necriptate
Practic, pentru o identificare cât mai riguroasă a expeditorului se utilizează un sistem complex, bazat pe certificare, în care fiecare utilizator deține un certificat (ce are atasată o cheie publică și o cheie privată, secretă). Acesta este emis de o autoritate de certificare recunoscută, în urma examinării, pe bază de acte, a identității reale a persoanei. În momentul în care se dorește identificarea unei persoane, o căutare în baza de date a organizației respective va indica indentitatea expeditorului (pe baza cheii publice a acestuia, care este unică în lume).
Acest sistem este implementat sub forma unei structuri în care fiecare autoritate de certificare poate împuternici la rândul ei alte organizații să emită certificate de autentificare, astfel încât originea unui certificat poate fi verificată în mod complet testând validitatea certificatului, apoi validitatea certificatului deținut de organizația care a emis certificatului respectiv, și așa mai departe.
Sistemul de certificate digitale este utilizat nu numai pentru protejarea comunicațiilor, ci și pentru certificarea originii programelor. Astfel, prin folosirea unei criptări a programului de instalare cu cheia publică a firmei producătoare, utilizatorul poate verifica relativ ușor că acel program a fost creat într-adevăr de o anumită firmă și pentru a decide dacă să instaleze sau nu programul. Aceasta este practic cea mai bună soluție de rezolvare a problemei rulării de programe / coduri dăunătoare, enunțată la începutul acestui capitol.
Problema modificării mesajelor
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită tehnică hash (sau a rezumatului), care permite construirea unui cod de identificare a datelor transmise, numit "rezumatul datelor". Principiile de bază ale tehnicii hash se aplică în numeroase domenii ale informaticii. Rezumatul unui mesaj se construiește prin aplicarea, în sens unic ("unisens"), a unei funcții de transformare (functie "hash") într-o secvență de biți – de lungime mare, pentru a fi dificil "spart". Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare pe baza datelor de ieșire.
Datele ce trebuie transmise sunt utilizate ca și date de intrare, obținându-se astfel o valoarea de transformare ("hash value"). Dacă datele în tranzit sunt modificate, la destinație se va obține o altă valoarea de transformare, ceea ce va indica falsificarea datelor.
Valoarea de transformare este în general criptată ulterior prin utilizarea aceleiași chei secrete ca și pentru criptarea datelor transmise. Astfel, se formează o "semnătură digitală" a datelor, care nu mai pot fi modificate fără ca acest lucru să fie depistat.
2.3 Securitatea fizică a sistemelor informatice
Obiectivul securității fizice a sistemului informatic este împiedicarea pătrunderii în sistem a intrușilor, transmițându-le un mesaj de avertizare, iar atunci când aceasta nu este posibilă, barierele create trebuie să le stopeze sau să le întârzie atacul. Pe lângă atacurile deliberate, securitatea fizică trebuie să asigure și protecția împotriva dezastrelor naturale. Mijloacele fizice de protecție au fost, cu siguranță primele utilizate în asigurarea securității și sunt destinate apărării integrității echipamentelor și datelor. Ele au și în prezent un rol important în ansamblul măsurilor de protecție adoptate, constituind primul aliniament de apărare al sistemului de securitate. Totuși, indiferent câte măsuri s-ar lua, nu există o securitate perfectă, sistemul rămânând sub incidența unei doze de risc. Important este ca această doză să fie corect estimată. Eficiența componentelor sistemului securității fizice este apreciată pe baza următoarelor criterii:
timpul sau costul necesar intrușilor să le anuleze;
viteza cu care identifică inițiativa de atac sau intrușii existenți în sistem;
precizia cu care este identificat un intrus;
neinterferarea cu alte măsuri de protecție;
transparența față de persoanele autorizate și neafectarea funcționării normale a sistemului;
timpul necesar repunerii în funcțiune a sistemului după un incident;
impactul asupra disciplinei de lucru a personalului.
Se consideră că un sistem de securitate fizică este eficient atunci când este proiectat și implementat odată cu proiectarea și implementarea sistemului informatic pe care se grefează și nu ulterior, costul și eficiența fiind net diferite.
Sistemul de securitate fizică trebuie să discearnă care sunt persoanele autorizate, cu acces în sistem și la ce nivel este permis accesul. Identificarea poate fi făcută de corpul de pază, de alte persoane care se ocupă de controlul accesului sau de sisteme automate. Legitimarea persoanelor care doresc acces se poate realiza prin una din următoarele metode :
identificarea, care stabilește cine este persoana pe cale vizuală, prin semnătură sau alte modalități;
parolele, care de asemenea stabilesc identitatea persoanei;
cartelele speciale sau cheile de acces, care se găsesc în posesia celor autorizați să acceseze sistemul.
Măsurile prin care este asigurată securitatea fizică a unui sistem informatic pot fi sistematizate astfel:
controlul accesului (proceduri care să excludă efectiv persoanele neautorizate din centrele de prelucrare automată a datelor);
asigurarea securității echipamentelor din sistem (calculatoare și echipamente periferice);
protecția împotriva dezastrelor naturale, a incendiilor sau inundațiilor;
protecția bibliotecii de suporturi de date.
Metodele de asigurare a securității fizice includ: amplasarea centrului de prelucrare a datelor într-o zonă care poate fi protejată, utilizarea unor dispozitive de încuiere a ușilor, controlul intrărilor și ieșirilor în sala calculatoarelor, utilizarea dispozitivelor de identificare prin voce, amprente a persoanelor care accesează sistemul.
Controlul accesului
Înseamnă o verificare și o evidență riguroasă a persoanelor care intră și ies din zona centrului de prelucrare automată a datelor și se concretizează, în mod obișnuit, în uși încuiate și/sau păzite. Prin intermediul măsurilor de securitate se stabilește care sunt persoanele autorizate, care sunt vizitatorii și ce drepturi au și care sunt persoanele neautorizate. Ușile sunt descuiate de un agent al corpului de pază sau prin intermediul unor chei sau cartele magnetice aflate în posesia persoanelor autorizate sau prin activarea unui dispozitiv electronic de încuiere cu ajutorul unei parole.
În legătură cu controlul accesului există câteva principii generale.
În primul rând, simpla posesie a unui element de control nu trebuie să fie automat și proba accesului privilegiat la informațiile importante, acesta putând fi dobândit la fel de bine ilegal sau putând fi contrafăcut. Un alt principiu stipulează că atunci când valorile patrimoniale care trebuie protejate sunt deosebit de importante, și mecanismele de protecție trebuie să fie la fel de bine concepute, iar persoanele cu drept de acces să fie cât mai puține. Pentru informațiile care sunt catalogate secrete trebuie aplicat principiul conform căruia niciunei persoane nu trebuie să i se garanteze accesul permanent, gestiunea sau cunoașterea tuturor informațiilor secrete, numai pentru că deține o poziție în conducerea de vârf a organizației.
Se recomandă ca fiecare centru de prelucrare automată a datelor care are mai mult de 25 de angajați să utilizeze sistemul ecusoanelor, ca măsură suplimentară de protecție. Încăperile care nu dispun de uși care să poată fi încuiate trebuie să aibă intrările supravegheate de către un agent de pază, direct sau prin sistemul de televiziune cu circuit închis. Pentru vizitatori se vor amenaja camere separate, izolate de zona centrului de prelucrare a datelor.
Obiectivul măsurilor de control al accesului este de a limita accesul la documentația programelor, la programele de aplicații și la fișierele de date, precum și la echipamentele din centrele de calcul. Accesul la documentația programelor trebuie limitat la acele persoane care au sarcini legate de aceasta și numai pe perioada exercitării acestor sarcini. De exemplu, un programator are acces la partea de documentație corespunzătoare programului la care lucrează și numai atât cât lucrează la programul respectiv. În afara sarcinilor de servici nimeni nu are acces la documentație, aceasta fiind o resursă valoroasă a sistemului, aflată în răspunderea unui responsabil din compartimentul de prelucrare automată a datelor.
Accesul la fișierele de date și programe este asigurat prin intermediul bibliotecarului, în custodia căruia se găsesc acestea.
Accesul la echipamente este, de regulă, limitat la persoanele care sunt autorizate să opereze în sistem. Riscurile modificării neautorizate sau a copierilor ilegale sunt foarte mari. Limitarea accesului numai la programul strict de lucru și numai la personalul cu sarcini clare poate asigura un grad sporit de securitate a echipamentelor.
Centrele de calcul trebuie amplasate în clădiri special construite, preferabil pe terenuri virane, cu urmărirea următoarelor aspecte: locul de amplasare să fie pe un teren solid, neafectat de cutremure, vibrații, câmpuri electromagnetice; nivelul solului față de cotele de inundație să fie mult mai ridicat; să existe un regim sigur de funcționare a curentului electric; să fie asigurată intervenția promptă în caz de nevoie a poliției, pompierilor sau stației de salvare.
La proiectarea clădirilor care vor adăposti centrul de prelucrare automată a datelor se vor urmări următoarele aspecte:
– construcția să fie ridicată din materiale neinflamabile, sala calculatorului central să nu aibă ferestre, iar pereții să fie izolați fonic și termic și să nu conțină lemn sau sticlă; sala calculatorului trebuie asigurată cu aer condiționat, cu dispozitive de control al temperaturii și umidității și sisteme de detectare a fumului;
– numărul de intrări și ieșiri trebuie să fie minim, cu respectarea normelor de prevenire a incendiilor; intrarea principală trebuie să dispună de o zonă tampon, în care să aibă loc procedurile de control și identificare pentru acordarea accesului;
– clădirile trebuie prevăzute cu sisteme de alarmă în caz de incendiu sau spargere amplasate în zona intrării principale și trebuie supravegheate, dacă este posibil, prin sistem de televiziune cu circuit închis;
– sistemele de asigurare a serviciilor de furnizare a apei, gazului metan, energiei electrice și facilitățile de comunicații trebuiesc amplasate în subteran, iar căile de acces la acestea trebuiesc blocate și supravegheate;
– se recomandă introducerea unor sisteme de controlare a prafului, în special în sala calculatorului, evitarea parchetării în favoarea pardoselilor electrostatice din policlorură de vinil, renunțarea la perdele și covoare.
Securitatea echipamentelor
Fiind o componentă de bază a sistemului informatic, partea de echipamente trebuie să fie tratată cu multă atenție din punctul de vedere al securității. Cea mai sigură cale de distrugere sau întrerupere a bunei funcționări a sistemului electronic de calcul este de natură fizică, centrele de calcul putând fi ținta unor acte de vandalism, a dezastrelor naturale, a sabotajelor. Un intrus specialist poate accesa și modifica elemente din configurația calculatorului, blocând astfel mijloacele de asigurare a securității. Pot fi modificate circuitele electronice, pot fi blocate sau distruse componentele cu rol de protecție, pot fi citite din memorie parolele sistemului etc. Un intrus nespecialist, dar rău intenționat, sau un angajat concediat, poate pur și simplu să distrugă prin lovire sau trântire echipamentele electronice.
Între măsurile care pot contribui la securitatea echipamentelor:
încuierea birourilor în care sunt echipamente;
dispersarea, pe cât posibil, a echipamentelor, mai ales atunci când se lucrează cu informații importante;
verificarea periodică a elementelor din configurația fizică a sistemului care sunt deosebit de importante, cum ar fi placa cu circuite; eventual, pot fi fotografiate la momentul verificării pentru a se determina ulterior eventualele modificări.
Echipamentele sunt predispuse la căderi funcționale datorită mai multor motive:
defecțiuni din fabricație (aceasta mai ales la echipamentele fără certificat de origine sau de calitate), instalare greșită, defectare în timpul transportului, căderi de tensiune, malfuncțiuni ale circuitelor electronice, erori ascunse ale programelor, erori datorate operatorilor. Cea mai gravă este căderea în timpul exploatării, cu efecte grave, deoarece devin inutilizabile atât echipamentele, cât și datele aflate în memoria de lucru. Blocarea sistemului electronic de calcul poate fi și urmare a intervenției unor specialiști intruși sau a celor care se ocupă cu întreținerea sistemului (de regulă externi). Toleranța la cădere/defecte este o calitate importantă pe care trebuie să o aibă calculatoarele achiziționate, aceasta contribuind la prevenirea pierderii sau denaturării datelor. Unele componente ale calculatorului sunt astfel construite încât să-și exercite unele funcții în formă de dublă (de exemplu, metoda înregistrării "în oglindă" pe disc, prin care datele sunt scrise în același timp pe două discuri, pentru a preveni pierderile de date dacă s-ar defecta capetele de citire/scriere ale unuia dintre ele). Sunt calculatoare care au două sau mai multe unități centrale de prelucrare, care prelucrează în același timp aceleași date și programe, iar în situația defectării uneia dintre ele, funcționarea normală sau minimală va fi asigurată de altă unitate centrală, până la repunerea în funcțiune a celei defecte.
Întreținerea echipamentelor ridică mai multe probleme vizavi de siguranța, securitatea și disponibilitatea datelor din sistem. Specialiștii ce asigură întreținerea și efectuează reparațiile trebuie supravegheați îndeaproape. Activitatea de întreținere trebuie să aibă un plan de realizare, în concordanță cu planul de funcționare al întregului sistem, aprobat de conducerea departamentului. Orice activitate care nu se încadrează în cele planificate trebuie aprobată în scris de către conducere (de exemplu, efectuarea unor operațiuni înainte de termenele planificate). Se poate deschide un registru de întreținere care să consemneze toate detaliile referitoare la operațiunile efectuate: data și ora, numele persoanelor implicate, motivul, acțiunile efectuate, inclusiv componentele care au fost reparate, adăugate sau înlocuite. Fiecare înregistrare va fi contrasemnată de responsabilul cu securitatea echipamentelor. Este foarte important ca specialiștii care realizează întreținerea sau reparațiile să nu aibă acces la datele speciale ale întreprinderii sau la parolele acestora. De asemenea, dacă specialiștii solicită scoaterea din întreprindere a unor componente sau a documentației sistemului, aceasta trebuie aprobată de conducere și trebuie să se asigure că acestea nu conțin date importante ale întreprinderii.
Calculatoarele electronice își pot verifica singure starea componentelor lor prin autodiagnoză, descoperind astfel dacă ceva nu funcționează normal.
Autodiagnoza este utilă pentru:
confirmarea cu precizie a identității echipamentelor, suporturilor de date și utilizatorilor;
asigurarea că utilizatorii folosesc doar echipamentele, programele și datele la care ei au drept de acces și preîntâmpinarea accesului neautorizat;
asigurarea că orice tentativă de acces sau utilizare neautorizată a echipamentelor , datelor sau programelor este blocată și este lansată o alarmă în sistem.
Unii producători de calculatoare asigură facilități de diagnoză de la distanță a stării sistemelor electronice de calcul, ceea ce în mod normal se realizează de către echipele de service, pentru a se asigura că totul funcționează normal și nu se conturează posibilitatea apariției unor defecțiuni. Este o modalitate mai avantajoasă pentru întreprindere din punctul de vedere al costurilor, dar, sub aspectul securității, se oferă șanse în plus intrușilor de a accesa elementele din configurație.
Protecția echipamentelor împotriva pericolelor descrise are un rol vital în buna funcționare a sistemului. Aceasta este asigurată, în primul rând, prin dispozitive pentru asigurarea securității, incluse în componența fiecărui echipament de către producători.
Protecția împotriva incendiilor, inundațiilor și dezastrelor naturale
Este uneori tratată neglijent de conducerea care nu este conștientă de faptul că incendiul este cea mai dură amenințare pentru un sistem electronic de calcul. Ca orice mașină electonică, și calculatorul poate lua foc din cauza unui scurtcircuit. Extinctoarele se găsesc în orice clădire, dar puțini știu că ele pot cauza mai mult rău decât incendiul. În această idee, pentru a evita pierderea completă a datelor în cazul incendiilor, trebuie să existe o procedură care să prevadă salvarea periodică a datelor, sub forma copiilor de siguranță și, mai ales, stocarea acestora într-o locație diferită de sala calculatorului central.
O modalitate de ultimă oră de protecție a clădirilor care adăpostesc centrele de prelucrare automată a datelor este utilizarea unui gaz eficient în stingerea incendiilor (numit halon), stocat în permanență, care este eliberat de sistemul de detectare a fumului în caz de producere a unui incendiu. Dezavantajul acestei metode este costul foarte ridicat al gazului care, spre deosebire de alte astfel de substanțe care pot fi utilizate, nu este otrăvitor pentru oameni.Împotriva celorlalte dezastre naturale (inundații, cutremure), măsurile de protecție trebuie avute în vedere încă din faza de proiectare a clădirilor centrului de calcul și se referă în principal la alegerea locului de amplasare a acestora (să fie la un nivel superior față de cota de inundații și pe un teren solid).
Este evident că nu se poate asigura o protecție completă împotriva dezastrelor naturale, dar se poate reduce riscul producerii lor. Utilă în aceste cazuri este și asigurarea sistemului, care compensează pierderile în cazul producerii acestor fenomene.
Protecția bibliotecii de suporturi de date
Toate suporturile care conțin date sau informații rezultate din prelucrarea automată a datelor (discuri magnetice, benzi magnetice, discuri optice etc.) trebuie să fie catalogate și să aibă un tratament similar cu al documentelor ce conțin aceleași date sau informații în condițiile prelucrării manuale. Toate materialele intermediare trebuie să fie considerate materiale auxiliare și să fie clasificate în funcție de informațiile pe care le conțin.
Ștergerea informațiilor, mai ales a celor cu un grad ridicat de importanță, este o operațiune care nu trebuie lăsată la voia întâmplării. Suporturile magnetice de date, care posedă caracteristici de remanență după ștergere trebuie tratate cu deosebită atenție începând cu faza aprobării ștergerii lor.
Există două tipuri de biblioteci de date:
biblioteca manuală, sub forma unei camere izolate în care sunt păstrate benzile, discurile magnetice sau alte medii de stocare a datelor. Aici nu au acces programatorii, operatorii sau personalul de întreținere a sistemului. Bibliotecarul are un control fizic asupra tuturor fișierelor de date, înregistrate într-un registru care include, pentru fiecare fișier, următoarele informații:
data creării;
numărul de serie al suportului pe care sunt stocate datele;
data până la care fișierul va fi păstrat / la care va fi șters;
toate persoanele care au solicitat fișierul (data, ora, locația);
localizarea copiei de siguranță.
Se păstrează, de asemenea, o evidență pe suporturi, incluzând: numărul de serie al fiecărui suport, numele tuturor fișierelor logice conținute. Bibilotecarul va elibera copii ale fișierelor solicitate de o persoană, numai pe baza autorizației scrise, și o va consemna în registrul suporturilor de date;
biblioteca automatizată (computerizată) – în multe sisteme informatice moderne, datele
și programele sunt stocate on-line, iar accesul se realizează prin terminale. Controlul este întreținut printr-un sistem de parole, prin codificarea datelor sau prin tabele de autorizare
a accesului de la terminale.
sistemul de parole cere utilizatorului să introducă o parolă pentru a putea accesa un anumit nivel al bibliotecii. Cel mai utilizat în bibliotecile de date este sistemul de parole pe trei niveluri. Primul nivel este cel de deschidere a unei sesiuni de lucru prin introducerea unui cod de identificare, acesta fiind unic pentru fiecare utilizator. La nivelul doi este solicitată parola pentru accesul în sistem, iar la nivelul trei, pentru a accesa un anumit fișier, utilizatorului îi este solicitată, după introducerea numelui fișierului dorit, o parolă. Parola poate fi unică sau pot exista două parole: una pentru citirea conținutului fișierului și alta pentru modificarea lui. La fișierele ce conțin date importante se recomandă schimbarea periodică a parolelor. Unele sisteme au și facilitatea de a memora fiecare parolă incorectă care a fost introdusă, terminalul de la care a fost lansată cererea, codul de identificare al persoanei solicitante, ora lansării. În felul acesta pot fi cercetate cazurile în care au fost introduse parole incorecte, pentru a fi izolate eventualele încercări de acces neautorizat în sistem.
tabelele de autorizare a accesului de la terminal afișează fișierele la care este permis accesul de la fiecare terminal, modalitatea de acces (citire, scriere) și, eventual, intervalul de timp sau perioada din zi în care este posibilă conectarea.
codificarea datelor se utilizează pentru datele cu caracter secret sau care sunt foarte importante pentru întreprindere. Ele sunt stocate pe suporturi într-o formă codificată, prin intermediul unor programe care asigură codarea/decodarea datelor.
În cazul bibliotecilor computerizate, oricine poate avea acces on-line la fișierele de date prin intermediul liniilor telefonice, de oriunde în lume, dacă: cunoaște numărul de telefon pentru acces; are un cod de identificare valid și cunoaște parola. Dar, chiar dacă nu posedă toate aceste elemente, un intrus hotărât poate, prin intermediul unui program
bazat pe o schemă de încercări repetate, să acceseze un sistem informatic și, implicit fișierele sale de date. Problema securității sistemelor este mai acută ca oricând.
2.4. Rolul personalului în asigurarea protecției datelor financiar-contabile
Un studiu recent publicat de Universitatea din Michigan arată că aproape toate corporațiile importante din S.U.A. au fost, în ultimii 10 ani, ținta atacurilor și fraudelor pe calculator, multe din ele executate, în primul rând și în mod repetat, de personalul propriu al organizațiilor respective. În ciuda acestor statistici alarmante, un sondaj al firmei Datapro Information Services Group arată că 40% dintre companiile americane nu aplică o politică de securitate a sistemului informatic. Studiul arată că 90% din problemele ridicate de securitatea informatică sunt cauzate de cei din interiorul firmelor. Nici o tehnologie, oricât de avansată, nu poate înlocui lipsa unei bune organizări, dar o conducere competentă poate suplini un gol tehnologic. Există tendința de a căuta soluții hardware și software fără asigurarea vreunei protecții și dacă pagubele cele mai mari ți le produc cei de aceiași parte a zidului cu tine, degeaba mărești înălțimea zidului …
Selectarea și pregătirea personalului
Succesul unui sistem informatic depinde, în ultimă instanță, de aptitudinile și nivelul de pregătire al personalului care îl deservește. Compatibilitatea caracterului și pregătirii fiecărei persoane cu cerințele funcției sale în sistem este esențială, mai ales pentru pozițiile care sunt dificil de controlat și oferă un cadru favorabil producerii fraudelor. Este cazul funcției de programator care, prin sarcinile care-i revin, are acces la programele de aplicații, ca și la programele de securitate, și dispune și de cunoștințele necesare pentru a le modifica potrivit intereselor sale. Primul caz de furt informatizat din lume care a fost descoperit se bazează tocmai pe acest aspect, al muncii programatorilor. În 1966, un programator care lucra pentru o bancă, undeva în S.U.A., a emis un cec fără acoperire. Cu meticulozitate, el a modificat programul de înregistrare a cecurilor să ignore cei 300 de dolari fără acoperire, cu intenția de a pune banii înapoi peste trei zile. Dar, constatând cu câtă ușurință a reușit să ascundă "împrumutul" său, a renunțat la acest gând și, peste patru luni, a mărit suma împrumutată la 350 de dolari. El a fost depistat atunci când calculatorul s-a defectat, dobândind astfel onoarea de a deveni primul hoț pe calculator din lume. Iată doar un exemplu care demonstrează importanța caracterului persoanei și nu doar a aptitudinilor și pregătirii foarte bune.
Selecția personalului la angajare presupune solicitarea tuturor actelor, inclusiv a unor referințe de la vechiul loc de muncă sau de la o persoană care să reprezinte o instituție credibilă. De asemenea, multe elemente edificatoare (descrierea locului de muncă anterior, a funcției deținute, evoluția profesională, motivația schimbării locului de muncă etc.) se obțin prin interviu. Sunt importante și aspectele legate de competență, punctualitate și absenteism, starea sănătății, cauza părăsirii vechiului loc de muncă, situația financiară etc. Ar fi importantă și verificarea existenței la vechiul loc de muncă a unor probleme legate de securitatea sistemului informatic. După angajare, un aspect care nu trebuie neglijat îl reprezintă discuțiile cu salariații, deoarece s-a constatat că angajații care nu sunt mulțumiți de salarii sau de condițiile de muncă recurg adeseori la acte distructive sau la fraude.
Principiile securității sistemului informatic pe linia personalului sunt:
principiul "nu trebuie să știe" face ca posesia sau cunoașterea informațiilor să fie limitată și înlesnită doar pentru cei care au autorizarea de a le ști. Statutul deosebit al unei persoane în întreprindere nu-i conferă și drepturi nelimitate de cunoaștere a informațiilor speciale;
principiul "nu trebuie să meargă" limitează accesul personalului în diferite zone de lucru ale centrelor de calcul;
principiul "cele două persoane" preîntâmpină posibilitatea ca o singură
persoană să comită acte ilegale în sistem. Chiar dacă o persoană răspunde de exercitarea unor atribuții de serviciu, ea va executa acțiunile speciale numai în prezența unei alte persoane autorizate. Cele două persoane vor fi schimbate cât mai des, pentru a preîntâmpina crearea de înțelegeri între ele;
principiul schimbării periodice a obligațiilor de serviciu presupune ca o persoană să nu exercite o perioadă prea lungă de timp aceiași sarcină de serviciu;
Atribuirea responsabilităților pe linia securității sistemului informatic se va face
ținând cont de încadrarea personalului în una din următoarele categorii:
angajați "neverificabili" – sunt cei care au un statut nu foarte clar și care nu pot fi verificați în detaliu, motiv pentru care nu li se poate acorda accesul la informațiile importante ale întreprinderii;
angajați "fără dubii" – sunt persoanele care au trecut toate verificările și li se pot oferi anumite sarcini, cu acces la o parte din informațiile importante;
angajați "extrem de credibili" – sunt persoanele asupra cărora s-au executat verificări complexe, inclusiv asupra familiei, și care au dovedit o moralitate și rezultate excepționale. Sunt considerate persoane de încredere și li se poate facilita accesul la cele mai importante informații ale întreprinderii.
Diviziunea funcțiunilor (sarcinilor) între persoane sau grupuri de persoane distincte astfel încât o persoană să nu aibă controlul decât asupra unei operațiuni, minimizând șansele realizării unei fraude, este o condiție esențială într-un sistem informatic. În absența unui control riguros, schimbarea programelor sau a fișierelor de date este facilă și nu lasă urme care să poată fi depistate. În primul rând, se impune delimitarea clară a activității programatorilor de cea a operatorilor. Este necesar să se asigure că programatorii nu au acces la fișierele de date, iar operatorii nu pot modifica programele. De asemenea, operatorii nu trebuie să cunoască structura bazelor de date decât în măsura în care le este necesar pentru a-și exercita atribuțiile și nu trebuie să aibă acces la procedurile de control a intrărilor/ieșirilor. Programatorii vor fi "izolați" de fișierele de date și de terminale, ei vor utiliza copii ale fișierelor de date pentru a modifica și testa programele.
Un alt mod de a menține controlul este rotirea personalului de la o funcțiune la alta și instituirea obligativității concediilor de odihnă. Dacă un angajat încearcă să comită o fraudă, este posibil, prin aplicarea măsurii precizate, să nu aibă timpul necesar să o realizeze sau aceasta să fie descoperită. Este recomandată mai ales la nivelul operatorilor și al funcționarilor care realizează controlul intrărilor/ieșirilor.
Există mai multe perechi de funcții pe linia prelucrării automate a datelor care trebuie exercitate de persoane sau echipe distincte:
operarea la calculator și programarea;
pregătirea datelor și prelucrarea lor;
operarea la calculator și gestiunea suporturilor de stocare a datelor;
recepția materialelor importante și transmiterea lor;
scrierea programelor de aplicații și scrierea programelor de sistem;
scrierea programelor de aplicații și administrarea bazelor de date;
proiectarea/modificarea programelor de securitate și implementarea lor; controlul împuternicirilor de acces și exercitarea oricărei alte funcții.
Responsabilul pe linia securității sistemului informatic poate impune respectarea unor norme interne care să instituie restricții legate de sarcinile diferitelor categorii de personal,măsuri pentru respectarea principiului de rotire a personalului și de concedii obligatorii etc. Este foarte importantă existența acestora sub formă de proceduri scrise, practica demonstrând că absența lor îi determină pe angajați să ignore normele și regulile "nescrise".
Un alt aspect legat de securitate prin prisma factorului uman marchează importanța educării și conștientizării personalului. Educația este principalul mijloc de a schimba atitudinea oamenilor vizavi de securitate. Ei trebuie să înțeleagă că accesul neautorizat, spre exemplu, chiar dacă nu este rezultatul unor intenții de fraudă, reprezintă o infracțiune. Întreprinderea trebuie să organizeze periodic cursuri de pregătire și informare a personalului asupra noilor tehnologii informaționale, a noilor măsuri legislative etc. De asemenea, se apreciază că implicarea nemijlocită a personalului în proiectarea sistemului de securitate poate contribui la conștientizarea acestuia. Astfel, personalul va înțelege că, în cele din urmă, cel care are adevărata responsabilitate pentru securitate este factorul uman, și nu programele de securitate sau dispozitivele electronice.
Capitolul 3
Prezentarea Băncii Comerciale Române Leasing IFN S.A.
3.1. Scurt istoric al BCR Leasing IFN S.A.
În cei opt ani de existență pe piața romanească, BCR LEASING IFN s-a pregătit în mod constant pentru fructificarea oportunităților conferite de o piață de leasing emergentă : și-a dezvoltat oferta de servicii, și-a extins rețeaua teritorială, acoperind toate zonele cu potențial economic ridicat, a introdus optimizări structurale și calitative, pentru a aduce un plus de valoare și siguranță clienților și partenerilor săi. Iată câteva repere, pe scurt :
În anul 2001
BCR LEASING S.A. s-a înființat în martie 2001, ca o completare a ofertei de finanțare a Grupului Banca Comercială Română destinată persoanelor fizice, persoanelor juridice și persoanelor fizice autorizate, pentru achiziționarea bunurilor de folosință îndelungată.
Capitalul social inițial al companiei a fost de 5,5 mld. ROL, realizat prin aportul următorilor acționari : BANCA COMERCIALĂ ROMÂNĂ SA (79,132%), FINANCIARĂ SA (10%), BCR SECURITIES SA (0,275%), alte persoane juridice și fizice (10,593%)
În anul 2002
Dezvoltarea de parteneriate cu dealeri/furnizori de autoturisme/vehicule comerciale, precum și furnizori de echipamente și utilaje.
Majorarea capitalului social, în luna aprilie, de la 5,5 mld. ROL la 100 mld. ROL.
În anul 2003
Inițierea programului “BCR LEASING și agențiile sale”: deschiderea unui număr de 7 agenții teritoriale în București (WTC), Iași, Craiova, Constanța, Cluj Napoca, Brașov, Timișoara;
Implementarea unui nou soft integrat pentru activitatea de leasing;
Obținerea premiului “The Most Impressive Growth in Leasing”, conferit de publicația Bucharest Business Week.
Obținerea locului 2 în Topul Național al Firmelor Private din România, după domeniul de activitate.
În anul 2004
Inaugurarea unui nou sediu administrativ, dotat la ultimele standarde de calitate, corespunzător unei companii în plină ascensiune.
Emiterea celei mari emisiuni de obligațiuni corporative, în suma de 75 mld. ROL, în luna martie 2004. Încheierea, în luna aprilie, a contractului de leasing cu numărul 10.000 și în luna decembrie, a contractului cu numărul 15.000. Încheierea de parteneriate cu organisme financiare internaționale, prin semnarea, în luna septembrie a unui acord de împrumut încheiat cu BERD, în suma de 10 mil. EUR, destinat finanțării în sistem leasing a sectorului IMM din România.
Derularea celei de-a doua etape a programului de dezvoltare teritorială, prin deschiderea unui număr de 7 noi agenții, localizate în București, Bacău, Brăila, Sibiu, Oradea, Pitești, Tg. Mureș. Obținerea locului 1 în Topul Național al Firmelor Private din România, după domeniul de activitate. Obținerea poziției de lider de piață în România, la categoria companiilor subsidiare ale băncilor, după valoarea totală a contractelor încheiate (locul 47 în Europa), conform Raportului Leaseurope 2004.
În anul 2005
Lansarea, în luna martie 2005, pe piața serviciilor de leasing imobiliar (în sistem leasing financiar sau sale-and-lease-back), pentru achiziționarea de hale industriale, spații cu destinație productivă, clădiri de birouri, centre comerciale, hoteluri și pensiuni, etc. Majorarea capitalului social, în luna aprilie, de la 100 mld. ROL la 150 mld. ROL, acțiune realizată prin încorporarea în capitalul social a unei părți din profitul net obținut în anul 2004. Încheierea, în luna mai, a contractului de leasing cu numărul 20.000 și în luna octombrie, a contractului cu numărul 25.000.
Derularea celei de-a treia etape a programului de dezvoltare teritorială, prin deschiderea unui număr de 11 noi agenții, localizate în București (Alba Iulia și Piața Romană), Arad, Ploiești, Baia Mare, Focșani, Miercurea Ciuc, Piatra Neamț, Rm. Vâlcea, Sfântu Gheorghe și Suceava;
Oferirea, în luna iunie, a primei soluții de finanțare în leasing pentru soft-uri Autodesk, utilizate în proiectarea asistată de calculator. Obținerea, în luna septembrie, a certificării sistemului integrat de management al calității și al securității informațiilor, BCR LEASING devenind prima companie de profil din România cu asemenea certificări. Înregistrarea unui record al vânzărilor BCR LEASING, în luna octombrie, ca urmare a participării societății la Salonul Internațional Automobilistic București (SIAB 2005): peste 25 mil EUR.
Obținerea premiului “Best in Leasing 2005”, conferit de publicația Piața Financiară, în cadrul Galei aniversare de 10 ani a Premiilor revistei;
În anul 2006
Martie – marcarea a 5 ani de activitate prin inițierea unei campanii de comunicare – “De ziua noastră, tu primești cadoul ” – asociate cu o ofertă excepțională – dobândă de 7% – și organizarea un eveniment corporate la Hotelul J. W. Marriott;
Mai – Compania a primit premiul “The Most Admired Leasing Company”, în cadrul Galei Leadership Awards for Leasing Industry, acordat de publicația Bucharest Business Week.
Iulie – Deschiderea a două noi agenții: Galați și Buzău. 27 iulie – Compania devine Instituție Financiară Nebancară, în conformitate cu noile reglementări ale BNR, denumirea ei fiind S.C. BCR LEASING IFN S.A.
La sfârșitul lui 2006, BCR LEASING IFN a înregistrat o valoare a bunurilor finanțate de circa 292 mil.euro. Valoarea totală a contractelor a fost de peste 355 mil.euro.
În anul 2007
Ca parte componentă a Grupului Banca Comercială Română, BCR LEASING IFN parcurge o nouă etapă a activității sale, aceea de integrare dinamică într-un grup financiar de renume – Grupul ERSTE Bank, unul dintre cei mai mari furnizori de servicii financiare din Europa Centrală. Procesul de integrare a fost inaugurat începând cu 2005, când Grupul Banca Comercială Română a devenit parte componentă a Grupului ERSTE Bank
În februarie, BCR LEASING IFN a lansat o ofertă promoțională de excepție: leasing auto pentru persoanele fizice pe o perioadă de până la 120 de luni, produs unic pe piața românească de leasing. În luna mai, BCR LEASING IFN inaugurează un nou serviciu de informare și asistență client – Serviciul Suport Clienți
Compania își extinde rețeaua națională cu două noi unități: Agenția Nicolae Caramfil, în București, și agenția Satu Mare. În 4 iunie 2007, Adunarea generală a acționarilor BCR LEASING IFN a aprobat o nouă configurație a conducerii companiei, bazată pe sistemului dualist de conducere operativă a unei societăți pe acțiuni, compus din Consiliul de supraveghere și Directorat. BCR LEASING IFN este prima societate de leasing care adoptă sistemul dualist de conducere a entității, realizând astfel un prim pas către guvernanța corporatistă așa cum este ea înțeleasă la nivel european. În 3 septembrie 2007, BCR LEASING IFN adopta oficial o nouă configurație corporativă, care marchează, prin noul logo, apartenența sa la Grupul ERSTE Bank. Octombrie: BCR LEASING IFN lansează, cu ocazia SIAB, o ofertă promoțională pentru leasingul de autovehicule, în cadrul campaniei "Leasing cu confort în versiune standard". Valoarea totală a bunurilor finanțate în intervalul ianuarie-decembrie 2007 a fost de peste 399 mil.euro, corespunzătoare unei valori totale a contractelor de peste 510 mil. euro. Structura portofoliului BCR LEASING IFN includea: 44% autoturisme (inclusiv flote), 27% vehicule comerciale, 21% echipamente și utilaje industriale și 8% leasing imobiliar. Compania înregistrează la sfârșitul lui 2007 rezultate cu 37% mai mari, față de perioada similară a anului trecut, reafirmându-și poziția solidă pe piața națională de leasing.
În anul 2008
Februarie: BCR LEASING IFN lansează, în premieră pe piața națională, un nou produs din sfera leasingului imobiliar, care include finanțarea de construcții pe stadii de execuție a proiectelor imobiliare destinate realizării de clădiri de birouri, obiective industriale și, în exclusivitate pe piața leasingului financiar, finanțării construcției de ansambluri rezidențiale.
BCR LEASING IFN lansează o ofertă promoțională pentru leasingul de vehicule comerciale de peste 3,5 tone, în cadrul campaniei "Cât de ușor se conduce o mașină grea?". Campania vizează facilitarea înlocuirii parcului național de vehicule grele.
Compania lansează un nou portal web pentru asistență clienți, menit să răspundă solicitărilor individuale de informații referitoare la contractele de leasing aflate în derulare.
La sfârșitul primului trimestru 2008, BCR LEASING IFN atinsese o valoare a bunurilor finanțate de cca. 156 milioane euro, în creștere cu 95% față de aceeași perioadă a anului trecut. Răspunzând adecvat tendințelor cererii, cea mai mare creștere a fost înregistrată pe segmentul de leasing pentru vehicule comerciale, unde s-au realizat finanțări de cca. 85 milioane euro.
BCR LEASING IFN își continuă trendul ascendent de dezvoltare, raportând, după primele șase luni ale anului, un volum total al bunurilor finanțate de circa 291 milioane EUR. Rezultatele înregistrate reflectă un ritm de creștere cu peste 65% a vânzărilor companiei față de perioada similară a anului trecut. Cu o cotă de piață de circa 10%, BCR LEASING IFN își consolidează poziția de leader pe piața românească de leasing.
Începând cu 1 septembrie 2008, BCR LEASING IFN demarează o campanie de informare și promovare a leasingului imobiliar pentru IMM-uri, sub titlul „ Afacerea ta merită un spațiu mai bun. În noiembrie 2008, datorită succesului constant obținut pe piața românească, activitatea BCR LEASING IFN a fost recompensată cu două noi premii : Premiul I, la cea de-a 15-a ediție a “Bucharest Business Awards – Top București 2007”, la categoria “Firme Mijlocii”, acordat de Camera de Comerț și Industrie a Municipiului București, și Premiul Național în “Topul Național al Firmelor”, ediția a 15-a, la categoria “Servicii-Firme Mijlocii-Activități de Creditare”, acordat de Camera de Comer și Industrie a României.
Structura acționariatului BCR LEASING este următoarea :
3.2. Angajații BCR LEASING și perfecționarea acestora
Începând cu 1 ianuarie 2008, a fost implementată o schemă de motivare a personalului din vânzări, care cuprinde indicatori specifici acestei activități, derivați din planul de afaceri al băncii. În decursul anului 2008, Erste Bank Group a derulat 2 mari proiecte de dezvoltare a talentelor, la care atât firma mamă BCR cat și sucursala BCR LEASING au participat cu un număr prestabilit de angajați, selectați în urma unor procese complexe. Aceste programe sunt :
1. TED – Top Executive Development Program, care are ca grup țintă :
– Membrii Board-ului din băncile locale
– Membrii Board-ului la nivel de Grup
– Membrii Board-ului din subsidiare (inclusiv CEO)
– Senior Manageri care au potențial pentru a intra în Board;
2. GLDP – Leadership Development Program, care are ca grup țintă :
– Middle-manageri cu experiență, cu potențial pentru poziții de senior management
– Candidați responsabili cu proiecte specifice și care au un potențial crescut.
Din partea BCR LEASING participă la aceste programe 7 persoane : 3 în programul TED (din 23 participanți în total) și 4 în GLDP (din 25 participanți). În toamna anului 2008, a fost finalizat proiectul de evaluare a tuturor pozițiilor din cadrul BCR LEASING, în cooperare cu consultantul HAY Group. Ierarhizarea pozițiilor a fost definită în funcție de importanța pentru organizație și s-a implementat o grilă de salarii corespunzătoare, corelată cu nivelurile existente pe piața bancară. În 2008, ca urmare a reconfigurării proceselor suport ale băncii, în domeniul managementului calității, s-a pus accentul pe actualizarea și implementarea standardelor de servire în domeniul de retail, precum și pe reproiectarea procesului de management al reclamațiilor, activitate nou preluată în portofoliul activităților departamentului. În contextul strategiei băncii în domeniul resurselor umane, al orientării către client și al fidelizării acestuia, Universitatea BCR s-a preocupat, pe parcursul anului 2008, de dezvoltarea capitalului uman, în sensul îmbunătățirii aptitudinilor și a atitudinilor salariaților pentru dezvoltarea afacerilor și creșterea nivelului de satisfacție al clienților. Activitatea de pregătire a urmărit prioritizarea activităților de pregătire adresate personalului și optimizarea utilizării resurselor pentru realizarea acestor activități, în vederea atingerii obiectivelor de afaceri ale BCR LEASING pentru anul 2009.
Smart Start este un program de training și inițiere, având ca scop dezvoltarea profesională a noilor angajați. Prin acest program se dorește integrarea noilor angajați și familiarizarea lor cu activitatea de retail, a clienților și a produselor BCR. Smart Start se desfășoară pe parcursul a 12 zile și presupune patru faze. În prima etapă, are loc familiarizarea cu mediul bancar, responsabil de proces fiind mentorul căruia i-a fost repartizat și managerul său direct. Următoarea fază presupune parcurgerea a patru module, pentru ca noul angajat să se familiarizeze cu modul de lucru în cadrul Erste Bank Group, să cunoască produsele băncii și modul lor de prezentare, precum și pentru a deprinde abilitățile de vânzare ale acestora. În faza a treia, participanții se familiarizează cu aplicațiile IT pentru retail, în cadrul unei agenții specializate de instruire. Ultima fază a programului este reprezentată de un workshop pentru obținerea unui feedback asupra programului.
Prin intermediul BCR,BCR LEASING a întreprins următoarele acțiuni :
1. A creat și implementat funcția de Ombudsman. Funcția specializată în procesul de management al reclamațiilor pornește de la ideea că acest proces trebuie privit în mod pozitiv, întrucât reprezintă o importantă și bogată sursă de informații pentru îmbunătățirea produselor și serviciilor, cât și a activității generale a băncii. În același an a fost demarat procesul de modificare a procedurii privind managementul reclamațiilor. Procesul face parte din susținerea post vânzare a produselor și serviciilor băncii.
2. Au fost revizuite, completate și reeditate Standardele de Servire în sectorul de retail, adaptate la standardele Grupului. Elaborarea noilor standarde de servire a avut la bază evaluarea percepțiilor clienților bancari față de calitatea servirii, în baza a 14 sesiuni de focus grupuri organizate de agenția selectată în București, în perioada martie – aprilie 2008. Totodată, agenția a realizat analize ale nivelului calității servirii în 79 de sucursale BCR din București, prin acțiuni de tip Mystery Shopping, desfășurate tot în perioada martie – aprilie 2008, rezultând un index mediu al calității servirii de 62%, noul proiect vizând îmbunătățirea semnificativă a acestui index.
3. Implementarea noilor standarde de servire a clienților de retail s-a realizat în perioada iulie – septembrie, prin programe de training al personalului din sucursale, administrarea de chestionare de autoevaluare a comportamentului salariaților în relația cu clienții și asigurarea facilităților necesare în toate sucursalele.
4. În luna decembrie a fost implementat sistemul de indicatori de performanță pentru evaluarea personalului din unitățile de retail, aplicabil începând cu trimestrul I din 2009. Acesta este calculat prin ponderarea cu coeficienți de importanță a fiecărui principiu al calității servirii, fiind măsurat la nivel de unitate teritorială sau centru imobiliar, pe baza rezultatelor obținute în urma acțiunilor de mystery shopping. Condiția minimă obligatorie pentru primirea bonusurilor aferente calității servirii la nivel de unitate teritorială sau centru imobiliar este obținerea unui ICS minim de 70%, valoarea putându-se modifica în funcție de evoluția calității servirii în mediul bancar.
3.3. Organigrama B.C.R. LEASING IFN SA
Figura de mai jos (Figura 3.1.) prezintă schema organizatorică a societății BCR LEASING .
Figura 3.1. Organigrama BCR LEASING IFN
3.4. Misiunea și strategia BCR LEASING IFN
BCR LEASING IFN își asumă misiunea de a răspunde necesităților de dezvoltare a economiei românești, prin oferirea de instrumente moderne de finanțare a investițiilor corporative și personale, în sistem leasing financiar intern. BCR LEASING IFN pune în centrul strategiei sale apropierea față de clienți, pornind de la premisa că succesul este posibil doar atunci când exista o perfectă convergență de obiective între companie și beneficiarii săi.
Prin diversificarea categoriilor de bunuri finanțate și atingerea unei cote de piață care să o plaseze în mod constant pe primele poziții pe piața românească specializată, BCR LEASING IFN își propune să devină una dintre companiile cu rol catalizator în stimularea dezvoltării mediului de afaceri din România.
3.5. Conducerea, structura și acționariatul băncii
BCR LEASING IFN este o societate administrată în sistem dualist. Conducerea executivă este asigurată de trei conducători :
1. Director General
2. Director General Adjunct
3. Director Direcția Managementul Riscurilor și Back Office
Ei colaborează cu managerii tuturor departamentelor, formând o echipă puternică și eficientă, pentru a asigura o dezvoltare durabilă a companiei.
Managementul direcțiilor este realizat prin :
Director, Direcția Economică
Director, Direcția Derulare Contracte
Director, Direcția Logistică
Director Adjunct, Direcția Vânzări și Marketing
În ședința din data de 17.01.2008, Consiliul de Supraveghere a aprobat structura organizatorică țintă pentru administrația centrală, precum și alocarea liniilor funcționale pentru coordonare de către membrii Comitetului executiv, astfel :
Președinte executiv coordonator al liniei funcționale CEO și coordonarea temporară a liniei funcționale financiar & risc, până la data la care vicepreședintele executiv, care va coordona această linie, își va prelua funcția
Vicepreședinte executiv coordonator al liniei funcționale trezorerie & piețe de capital.
Vicepreședinte executiv coordonator al liniei funcționale corporate
Vicepreședinte executiv coordonator al liniei funcționale operațiuni
Vicepreședinte executiv coordonator al liniei funcționale retail & private banking.
.
3.6. Poziția pe piață a BCR LEASING IFN
3.6.1. Piața bancară din România în 2008-2009
În 2008, evoluția sistemului bancar din România a fost marcată de trei tendințe majore : relaxarea politicii monetare, fluctuația puternică a monedei naționale față de euro după mai mulți ani de apreciere constantă și extinderea agresivă a rețelei teritoriale a băncilor. Dinamica ridicată a pieței a continuat să atragă noi investitori europeni, care au beneficiat de un acces mai ușor pe piață, odată cu aderarea României la UE.
Creditarea : accelerare puternică în recuperarea decalajelor – intermedierea financiară (ponderea creditului în PIB) a atins circa 37% anul trecut, de la 27% în 2007, după ce creditul a înregistrat un avans puternic în a doua jumătate a anului. Motorul creșterii l-au constituit creditele retail, care s-au majorat pe fondul unei mai mari accesibilități și a competiției de pe piață, propulsând ritmul anual de creștere la peste 82%, față de 80% în 2006 și aproximativ 84% în 2007. Această schimbare a fost determinată de creditul în valută, care a devenit predominant în totalul portofoliului la sfârșitul lunii decembrie 2008.
Depozite : Creștere și restructurare pe categorii de clienți și produse – în 2008, comportamentul de economisire al populației s-a îmbunătățit, fonduri substanțiale atrase de la clienți „inundând” piața locală a depozitelor neguvernamentale, mai ales în a doua parte a anului și majorând considerabil ritmul anual de creștere de la 20%, la aproape 34%.
În 2008, gospodăriile populației și-au sporit nivelul economiilor, odată cu încetinirea consumului, devenind principala sursă de fonduri în monedă națională pentru bănci (52,2% din totalul depozitelor). Moneda locală a reușit să se impună ca opțiune de economisire, datorită creșterii uriașe a depozitelor la vedere, în timp ce avansul moderat al depozitelor la termen a fost determinat de resursele în valută.
Dobânzi : Îmbunătățirea structurii datoriilor în vederea reducerii costului creditelor – Competiția dintre bănci a influențat în mare masură dinamica dobânzilor practicate de acestea. Astfel, dobânzile la creditele noi în lei pentru populație au scăzut cu 192 puncte de bază (decembrie 2008 / decembrie 2007) și cu 48 puncte de bază pentru cele acordate companiilor, în timp ce dobânzile la depozite au fost destul de stabile în cazul depozitelor pentru populație (-9 puncte de bază) și au crescut pentru depozitele corporate (+116 puncte de bază). Dobânzile la creditele noi în euro pentru populație au scăzut (-100 puncte de bază, decembrie 2008 / decembrie 2007) și au crescut pentru creditele corporate (+74 puncte de bază). În ceea ce privește depozitele pentru ambele segmente de clienți, acestea au fost mai bine remunerate (+73 puncte de bază pentru retail și +94 puncte de bază pentru corporate).
La data de 31 decembrie 2008, în România erau prezente 41 de bănci, totalul activelor bancare nete ajungând la 70 de miliarde EUR.
Rapotul BNR pentru 2008, privind activitatea bancară lasă să se vadă că profitul din primul semestru a acoperit cu brio căderea din a doua parte a anului. Analiza arată că cea mai mare parte a profitului a rămas concentrată la băncile mari, cu o sursă de câștig fiind vânzarea de active din sectorul financiar, dar și mizarea pe volatilitatea cursului, care a adus bani mulți băncilor. Astfel, BCR, BRD, CEC și Banca Transilvania au încasat anul trecut câte 62 de milioane de euro net din vânzarea participațiilor la Asiban, în vreme ce BCR a mai obținut 244 milioane de euro pe divizia sa de asigurări, iar Banca Transilvania – 90 de milioane euro pe divizia sa similară, înainte ca piața de profil să se prăbușească complet la nivel internațional. Cert este că piața românească a fost generatoare de profit pentru grupurile străine ce controlează piața locală, deși multe dintre ele au raportat pierderi la nivel internațional.
3.6.2. Performanțele BCR LEASING IFN în perioada 2001-2008
BCR LEASING IFN este prezentă pe piața românească a leasingului din 2001, ca subsidiară a Băncii Comerciale Române, acum parte importantă a puternicului grup financiar central-european ERSTE. Compania oferă în prezent o gama completă de servicii de leasing financiar. Cu un numar de 30 de unitați, compania își menține cea mai largă prezență pe piața națională de leasing.
BCR LEASING IFN este o companie orientată spre viitor. Fiecare an de activitate i-a adus o creștere constantă a cifrei de afaceri, rezultat generat de accentul pe care echipa BCR LEASING IFN l-a pus pe aspectele inovative ale Leasingului și adaptarea cât mai eficientă la evolutiile pieței. Compania va continua să livreze calitate și plusvaloare pentru clienții, angajații și acționarii săi.
Mai jos se află câteva informații punctuale cu privire la performanțele companiei (Figura 3.2. și Figura 3.3.) precum și detalii cu privire la creanțele asupra clientelei,datoriile sau dobânzile de primit (Figura 3.4.,Figura 3.5. respectiv Figura 3.6.).
Figura 3.2. EVOLUȚIA VALORII BUNURILOR FINANȚATE DE BCR LEASING IFN 2004-2008 (MII EUR)
Figura 3.3. STRUCTURA BUNURILOR FINANȚATE DE BCR LEASING IFN 2004-2008
(MII EUR)
Figura 3.4. Creanțe asupra clientelei
Figura 3.5. Datorii privind instituțiile de credit
Figura 3.6. Dobânzi de primit și venituri asimilate
Cum a evoluat BCR LEASING în perioada 2001-2008 :
2001-2002
BCR LEASING IFN se afirmă ca ofertant competitiv pe piața națională de leasing.
2003
Ca o confirmare a succesului constant pe piața românească, BCR LEASING IFN primește premiul pentru cea mai impresionantă dezvoltare în domeniul leasingului – “The Most Impressive Growth in Leasing” , acordat de publicația Bucharest Business Week. În același an, BCR LEASING IFN s-a clasat pe Locul 2 în Topul Național al Firmelor Private din România.
2004
Raportul Leaseurope confirmă poziția solidă a BCR LEASING IFN : locul 47 pe piața europeană și lider pe piața românească, la categoria companiilor subsidiare, unde deține supremația din punctul de vedere al valorii totale a contractelor încheiate în 2004. Conform aceluiași Raport, BCR LEASING IFN ocupă locul 1 în România, la categoria autovehicule (autoturisme și vehicule comerciale) și locul 35 în Europa, în privința valorii totale a contractelor de leasing încheiate în 2004. Raportul Leaseurope atesta poziția de lider a companiei noastre pe segmentul leasing de echipamente, a cărui pondere in portofoliul de servicii al companiei a fost de 15 procente în 2004.
2005
Conform statisticilor Asociației Societăților de Leasing din România, BCR LEASING IFN este lider de piață în România, pe segmentul leasing financiar intern, după valoarea totală a contractelor încheiate. La sfârșitul anului 2005, BCR LEASING IFN înregistra o valoare totală a bunurilor finanțate de peste 195 de milioane euro pentru anul 2005, corespunzătoare unei valori totale a contractelor de peste 234 milioane euro. Anul 2005 ne-a adus două recunoașteri ale acestei performanțe : premiul “Best in Leasing”, atribuit de publicația “Piața Financiară” și Locul 1 în Topul Național al Firmelor Private din România, la categoria “Firme mijlocii”, acordat de CNIPMMR.
2006
La sfârșitul lui 2006, BCR LEASING IFN a înregistrat o valoare a bunurilor finanțate de circa 292 mil. euro. Valoarea totală a contractelor a fost de peste 355 mil. euro. Compania a înregistrat în primul semestru al anului rezultate cu 42 % mai mari, față de perioada similară a anului reafirmându-și poziția de leader de piață a BCR LEASING IFN după primul semestru. BCR LEASING IFN a primit premiul “The Most Admired Leasing Company”, în cadrul Galei Leadership Awards for Leasing Industry, acordat de publicația Bucharest Business Week.
2007
Valoarea totală a bunurilor finanțate în intervalul ianuarie – decembrie 2007 a fost de peste 399 mil.euro, corespunzătoare unei valori totale a contractelor de peste 510 mil. Euro. Structura portofoliului BCR LEASING IFN includea : 44% autoturisme (inclusiv flote), 27% vehicule comerciale, 21% echipamente și utilaje industriale și 8% leasing imobiliar. Compania înregistrează la sfârșitul lui 2007 rezultate cu 37% mai mari, față de perioada similară a anului trecut, reafirmându-și poziția solidă pe piața națională de leasing.
2008
BCR LEASING IFN își continuă trendul ascendent de dezvoltare, raportând, după primele șase luni ale anului, un volum total al bunurilor finanțate de circa 291 milioane EUR. Rezultatele înregistrate reflectă un ritm de creștere cu peste 65% a vânzărilor companiei față de perioada similară a anului trecut. Cu o cotă de piață de circa 10%, BCR LEASING IFN își consolidează poziția de leader pe piața românească de leasing. La sfârșitul primului trimestru 2008, BCR LEASING IFN atinsese o valoare a bunurilor finanțate de cca. 156 milioane euro, în creștere cu 95% față de aceeași perioadă a anului trecut. Răspunzând adecvat tendințelor cererii, cea mai mare creștere a fost înregistrată pe segmentul de leasing pentru vehicule comerciale, unde s-au realizat finanțări de cca. 85 milioane euro.
În noiembrie 2008, datorită succesului constant obținut pe piața românească, activitatea BCR LEASING IFN a fost recompensată cu două noi premii : Premiul I, la cea de-a 15-a ediție a “Bucharest Business Awards – Top București 2007”, la categoria “Firme Mijlocii”, acordat de Camera de Comerț și Industrie a Municipiului București, și Premiul Național în “Topul Național al Firmelor”, ediția a 15-a, la categoria “Servicii-Firme Mijlocii-Activități de Creditare”, acordat de Camera de Comerț și Industrie a României.
3.7. Dinamica indicatorilor economico-financiari pe ultimii trei ani
și strategia de dezvoltare pe următorii ani
3.7.1. Dinamica indicatorilor economico-financiari în 2006
BCR LEASING, companie situată in topul firmelor de leasing financiar intern din România, a fost desemnată drept câștigătoare a premiului "Best in Leasing" pe 2006, cu ocazia Galei de 10 ani a premiilor revistei "Piața Financiară".
Acest premiu confirmă rezultatele de excepție obținute de BCR LEASING în acest an: în perioada ianuarie-noiembrie, valoarea totală a bunurilor finanțate de companie s-a ridicat la cca. 185 milioane EUR, cifra corespunzatoare unei valori totale a contractelor de peste 220 milioane EUR. In aceste condiții, fața de perioada similară a anului trecut, compania a înregistrat o creștere de peste 120% a volumului bunurilor finanțate.
Cota de piața a BCR LEASING a crescut de la 8,1% la finele lui 2005 la 11% in 2006, calculata la o valoare estimata a pieței de 2 miliarde euro.
Cifrele exprimă sintetic eforturile de îmbunatațire a ofertei, structurii și funcționalitații interne a companiei.In 2006, BCR LEASING și-a lărgit gama de servicii financiare, abordând succesiv leasingul imobiliar pentru persoane juridice (în mai) și leasingul de produse de software Autodesk, destinate proiectării asistate pe calculator (în iulie). Pe segmentul leasing auto, a cărui pondere în portofoliul companiei este de cca. 80 %, vârful de performanța a fost atins la SIAB 2006, grație promovării unui pachet financiar extrem de competitiv.
Optimizările structurale interne au vizat crearea de compartimente specializate pentru finanțarea proiectelor complexe, pe segmentul de echipamente și imobiliar. Ponderea acestor segmente în total portofoliu a crescut de la aprox. 17% in 2005, la peste 20% in 2006, iar valoarea bunurilor finanțate pe aceste segmente s-a dublat. In același timp, extinderea acoperirii teritoriale prin inaugurarea a 10 noi agenții va permite o mai buna valorificare a oportunitaților pe piețele locale. BCR LEASING va dispune până la finele anului 2006 de o rețea de 25 de unitati teritoariale.
Tot începand cu acest an, BCR LEASING a adăugat serviciilor sale un plus de valoare: obținerea de către companie a certificării pentru un sistem integrat de management al calității și securității informațiilor, validat și certificat de Societatea Română pentru Asigurarea Calitații (SRAC) și de International Certification Network (IQ NET). Dubla certificare oferă partenerilor BCR LEASING garanția calității și siguranței tranzacțiilor.
Premiul "Best in Leasing" se adaugă celui acordat, în noiembrie a.c., de către Consiliul Național al Intreprinderilor Private Mici și Mijlocii care a desemnat BCR LEASING drept cea mai performanta firmă privată de marime mijlocie din România.
26 Octombrie 2006 – BCR LEASING IFN a înregistrat, după primele 9 luni ale acestui an, o valoare a bunurilor finanțate de peste 222 milioane euro, în contextul unei creșteri cu circa 55% a vânzărilor față de perioada similară a anului trecut.
„Valoarea totală a contractelor încheiate în intervalul ianuarie-septembrie 2006 a fost de peste 270 milioane euro, reflectând competitivitatea ofertei de servicii financiare și continuarea trendului ascendent de dezvoltare a companiei. BCR LEASING IFN își păstrează, astfel, poziția de leader în topul companiilor naționale de leasing, dupa ce, în 2005, atinsese o cota de piață de 11% și un volum total al finanțărilor de peste 234 milioane euro”, a declarat Claudiu Emanuil Stanescu, Președinte-Director General BCR LEASING.
Obținerea acestor perfomanțe a fost rezultatul încheierii, în primele 9 luni ale anului, a unui număr de peste 11.700 de contracte de leasing, depășind astfel totalul contractelor încheiate în anul 2005, în numar de 11.350.
Configurația portofoliului companiei la sfarșitul lunii septembrie cuprindea: 56% autoturisme (inclusiv flote) 15% vehicule comerciale, 27% echipamente și utilaje industriale și 2% leasing imobiliar. Orientarea mai accentuată a vânzarilor către segmentul de leasing de echipamente și dezvoltarea unor structuri specializate de vânzari, care au avut în vedere atragerea clienților din zonele și pe segmentele industriale aflate in creștere, au permis o cresștere cu 7% a acestui segment, fața de aceeași perioadă a anului trecut.
BCR LEASING IFN oferă in prezent o gamă completă de servicii de leasing financiar. Gradul de cuprindere al ofertei sale – leasing pentru autovehicule, flote, echipamente și utilaje industriale din toate domeniile, software, I.T., bunuri imobiliare (ce pot fi achiziționate in sistem leasing financiar clasic sau sale-and-lease-back), – precum și câștigarea celei mai largi prezente pe piața naționala de leasing denotă intenția companiei de a fi percepută drept cel mai important „leasing shop” de către întreprinzătorii locali, cu soluții potrivite atât pentru cerințele investiționale, cât și pentru cele de consum.
„Pe o piață in curs de reglementare, dar cu un potențial de creștere semnificativ, vom continua sa ne concentrăm pe găsirea celor mai eficiente modalități de ofertare a unor servicii de leasing la costuri atractive, pe extinderea termenelor de acordare a finanțarilor și îmbunatățirea accesului clienților la serviciile noastre. Dorim să oferim atât companiilor, cat și persoanelor fizice, soluții de finanțare care să răspundă așteptărilor lor și nevoii generale a firmelor locale de a rămâne competitive după aderare”, a adăugat Presedinte – Director General BCR LEASING.
3.7.2. Dinamica indicatorilor economico-financiari în 2007
14 Septembrie 2007 – BCR LEASING IFN se situează pe locul 60 în clasamentul european al firmelor de profil, în creștere cu șapte locuri față de aceeași perioadă a anului precedent, potrivit Raportului LEASEUROPE pe anul 2006, apărut la sfarșitul lunii august. Raportul reflectă volumul consolidat al pieței europene de leasing financiar și operațional, pe baza datelor furnizate de 207 de firme din 28 de țări.
Cu o valoare totală a contractelor încheiate anul trecut de peste 355 milioane euro, BCR LEASING IFN ocupa locul 52 în Europa, la categoria autovehicule (locul 31 la categoria automobile),în privința valorii totale a bunurilor finanțate, în creștere cu patru locuri fața de propriile performanțe din 2005. Și în cazul leasingului de echipamente, a cărui pondere în portofoliul de servicii al companiei a fost de circa 24 % in 2006, BCR LEASING IFN ocupa locul 59 in Europa, ca valoare totala a bunurilor finanțate, fața de locul 68 inregistat la aceeași categorie în statistica anului precedent. Pe segmentul de leasing imobiliar, rezultatele obținute de companie o claseaza pe poziția 47 pe piața europeana, în creștere cu opt locuri fața de 2005.
BCR LEASING IFN își menține în continuare trendul ascendent al afacerilor, înregistrând după primele opt luni ale acestui an o valoare a bunurilor finanțate de circa 236 milioane euro,în contextul unei creșteri cu aproximativ 22% a vânzărilor față de perioada similară a anului trecut. Valoarea totală a contractelor încheiate în intervalul ianuarie-august 2007 a fost de peste 305 milioane euro, reflectând competitivitatea ofertei sale de servicii financiare și intenția companiei de a fi percepută drept cel mai important „leasing shop” de către intreprinzătorii locali, cu soluții potrivite atât pentru cerinăele investiționale, cât și pentru cele de consum.
Configurația portofoliului BCR LEASING IFN la sfârșitul lunii august cuprindea: 44% autoturisme (inclusiv flote), 28% vehicule comerciale, 21% echipamente și utilaje industriale și 7% leasing imobiliar (față de 1% în anul precedent). Creșterea mai accentuată a vânzărilor pe segmentele vehicule comerciale și leasing imobiliar ilustrează deopotrivă zonele de dinamică a pieței, dar și eforturile companiei de a-și specializa structurile de vânzări pentru atragerea clienților din zonele și pe segmentele industriale aflate în creștere. Evoluții notabile ale vânzărilor s-au înregistrat pe segmentul de leasing pentru echipamente de construcții, care deține o pondere de circa 11% în portofoliul companiei, dar și in domeniul echipamentelor agricole, medicale, leasingului pentru material rulant precum și leasingului pentru software.
5 octombrie 2007 – BCR LEASING IFN lansează la SIAB oferta sa promoțională de toamnă, care se derulează în perioada 5-31 octombrie 2007, sub titlul „Leasing cu confort în versiune standard”.
BCR LEASING IFN oferă clienților săi posibilitatea achiziționării unui autoturism în leasing cu o dobândă fixă de numai 5,9 % pentru primele 6 luni de contract, urmată de o dobândă variabilă standard pentru celelalte luni de contract.
Încheierea unui contract pe perioada ofertei garanteaza beneficiul unui comision de management zero pentru un al doilea autovehicul achizitionat prin BCR LEASING IFN în afara perioadei promoției. Persoanele fizice beneficiază în continuare de o durată extinsă de finanțare ce poate ajunge până la zece ani.În acest fel, clienții BCR LEASING IFN pot să aspire la un confort mai mare, prin accesul la o mașina mai bună sau chiar la două mașini, cu eforturi financiare lunare mai mici
3.7.3. Dinamica indicatorilor economico-financiari în 2008
5 februarie 2008 – BCR LEASING IFN lansează, în premieră, începând cu luna februarie, un nou produs din sfera leasingului imobiliar, care include finanțarea de construcții pe stadii de execuție a proiectelor imobiliare destinate realizării de clădiri de birouri, obiective industriale și, în exclusivitate pe piața leasingului financiar, finanțării construcției de ansambluri rezidențiale.
Noua ofertă este rezultatul unei evaluări atente a potențialului pieței și, mai ales, a necesităților reale ale tuturor partenerilor implicați: finanțator, developer, constructor, client final. Aceștia beneficiază de o multitudine de avantaje între care regăsim flexibilitate în abordarea și derularea proiectelor, eliminarea necesitații de finanțare a TVA-ului, mai mult confort oferit clienților finali, prin asumarea responsabilității BCR LEASING IFN alături de developer. Produsul implică, de asemenea, monitorizarea lucrărilor de construcție de către finanțator în paralel cu dezvoltatorul și accesul clienților finali la toată gama de servicii de finanțare în procesul de achiziționare a unitaților locative construite.
BCR LEASING IFN oferă clienților un produs personalizat. Se pot negocia costurile, nivelul avansului și, foarte important, nivelul valorii reziduale. Se obține astfel cea mai bună concordanța între componentele de cost ale proiectului și bugetul clientului.
„Inovăm permanent pentru clienții noștri. Dorim să răspundem investitiei lor de încredere prin servicii competitive și convenabile, care presupun strategii inspirate de limitare a costului la utilizator și de menținere a profitabilitații afacerii. Valențele leasingului pe zona de rezidențial nu au fost încă exploatate pe piața românească. BCR LEASING IFN este pregatită să răspundă adecvat condițiilor existente în acest sector, aplicând cît mai bine posibil “ingredientele” performanței cerute de piață: inovația, mobilitatea, atitudinea proactiva, combinate cu o evaluare corespunzatoare a riscului financiar”, a declarat Claudiu Emanuil Stănescu, Director General al BCR LEASING IFN.
5 februarie 2008 – BCR LEASING IFN lansează, o campanie promoționala pentru finanțarea achiziționării de vehicule comerciale grele.Evoluția cererii pe piața auto în 2007 a determinat o modificare relevantă a structurii vânzărilor BCR LEASING IFN pe acest segment. Ponderea vânzărilor companiei pe segmentul leasing pentru vehicule comerciale a crescut semnificativ, de la 16% în 2006, la aproape 27% în 2007. Valoarea bunurilor finanțate pe acest segment a crescut de la circa 47 milioane euro în 2006, la aproximativ 102 milioane euro în 2007.
10 mai 2008 – BCR LEASING IFN lansează un nou portal web pentru asistență clienți, menit să răspundă solicitațiilor individuale de informații referitoare la contractele de leasing aflate în derulare.În cadrul strategiei de perfecționare continuă a dialogului companie-client, BCR LEASING IFN lansează noul său portal,https:\\suport.bcr-leasing.ro, ce permite vizualizarea de către client a situației la zi a contractului propriu de leasing și imprimarea ultimelor șase facturi emise,în format valabil pentru plată.Ca expresie a eficientizării mecanismelor interne ale companiei, portalul asigură accesul facil la informații al unui număr tot mai mare de clienți, în condițiile existenței, dar și anticipării unei creșteri substanțiale a volumului acestor solicitări în viitorul apropiat.
BCR LEASING IFN își propune, pentru 2008, o dezvoltare echilibrată a structurii portofolului de contracte, cu creșteri de până la 15% pe segmentul Real Estate, menținerea unei ponderi de circa 25% pe segmentul de vehicule comerciale și de circa 20% pe segmentul de echipamente. Compania își propune să ofere pachete de servicii cu componente integrate de consultanța și management de proiect.
12 august 2008 – BCR LEASING IFN își continuă trendul ascendent de dezvoltare, raportând, după primele șase luni ale acestui an, un volum total al bunurilor finanțate de circa 291 milioane EUR. Rezultatele înregistrate reflectă un ritm de creștere cu peste 65% a vânzărilor companiei față de perioada similară a anului trecut.
BCR LEASING IFN și-a consolidat poziția de leader având, în prezent, o cota de piața de circa 10%, cu aproximativ 1 p.p. față de compania situată pe locul secund și la mai mult de 2 p.p. față de următorii competitori.
În același timp, compania a înregistrat evoluții notabile ale vânzărilor pe segmentul de leasing pentru echipamente, unde construcțiile dețin supremația, iar valoarea bunurilor finanțate s-a dublat în perioada de referința față de anul precedent, ajunând la un nivel de circa 64 milioane EUR.În privința leasingului imobiliar, în primele șase luni ale anului, BCR LEASING IFN a finanțat bunuri în valoare de aproximativ 16 milioane EUR, compania oferind, în acest moment, trei tipuri de produse de leasing imobiliar: leasing financiar clasic (buy&lease), sale&lease back și leasing financiar cu finanțare pe faze de execuție a proiectului.
Volumul total al finanțărilor acordate de BCR Leasing IFN pe segmentul de leasing pentru echipamente s-a situat în jurul valorii de 93,4 milioane EUR, în creștere cu circa 14% față de anul precedent, fiind rezultatul încheierii unui numar de 1.050 contracte noi. Proiectele au avut valori individuale situate între 50.000 EUR și peste 10 milioane EUR, mare parte dintre acestea fiind încheiate în prima jumatate a anului.Leasingul de echipamente a vizat companiile din construcții, din industria petrolieră, metalurgică, a recuperării și reutilizării deșeurilor, din domeniul producției de ambalaje, prelucrării lemnului etc., care au solicitat leasing pentru retehnologizare sau pentru deschiderea unor noi linii de producție. Alte sectoare finanțate în leasing au vizat industria de agrement, turismul sau comerțul.
La nivelul întregului portofoliu al companiei, leasingul imobiliar reprezenta, la sfarșitul lui 2008, puțin peste 7% din portofoliu. BCR Leasing IFN a încheiat, pe parcursul anului trecut, un numar de 49 noi contracte, reprezentând, în principal, proiecte imobiliare din turism (hoteluri, pensiuni, restaurante), spații locative sau sedii pentru firme, precum și centre/spații comerciale. În concordanță cu evoluțiile negative ale pieței, s-a avut în vedere raportul just între profitabilitate și riscul de finanțare, urmărindu-se mai degraba proiecte viabile de dimensiuni mai mici, implicând IMM-uri cu performanțe pozitive și potențial de creștere.
Sub aspect calitativ, BCR Leasing IFN a înregistrat rezultate pozitive în direcția optimizării serviciilor post-vânzare, fiind printre primele companii de leasing care au lansat serviciul e-Care, în cadrul portalului „Suport Client”, prin care se asigură accesul partenerilor la informații în timp real privind situația plăților aferente derulării contractelor de leasing. O altă categorie de optimizări a vizat utilizarea canalelor multiple de vânzare, pentru toate categoriile de bunuri, în scopul eficientizării raportului dintre costurile de distribuiție și o buna acoperire a cererii la nivel naîional.
3.8. Strategia de dezvoltare a BCR LEASING IFN
Obiectivul principal pentru anul 2009 este creșterea permanentă a calității serviciilor acordate, pe toate zonele de competență, care va asigura un ritm de creștere a societății superior ritmului mediu de creștere a pieței leasingului financiar și păstrarea unui raport echitabil între profit, risc și cota de piața.
În anul 2009, BCR LEASING se va concentra pe dezvoltarea afacerilor, implementarea de noi sisteme și continuarea îmbunătățirii portofoliului de produse și servicii, în special pentru clienții retail, în timp ce afacerile cu clienții corporate sunt în întregime restructurate, punându-se accentul pe un management mai bun al relației cu clientul, facilitat de noua segmentare a clientelei corporate. Se va continua implementarea planului de extindere a rețelei de unități, cu orientare spre zonele cu potențial ridicat de afaceri, urmărindu-se atingerea unui număr de peste 600 de unități operaționale până la sfârșitul anului 2009 și de aproximativ 700 în 2010.
BCR LEASING IFN va acorda, în continuare, o atenție deosebită întregii piețe de leasing și va încerca sa fructifice orice oportunitate interesantă de afaceri. Existența unei structuri organizaționale flexibile și a unor profesioniști dedicați îi va permite companiei sa abordeze orice proiecte mari sau complexe, cu structuri de finanțare speciale sau pachete de produse și servicii individualizate, pe toate segmentele de leasing.
În contextul actualei situații economice, BCR LEASING IFN va căuta să eficientizeze procesele interne prin găsirea de soluții de distribuție și comunicare inovative, securizarea surselor de finanțare și asigurarea stabilitații afacerii.Se vor cauta soluții pentru eventuale sincope apărute în activitatea clienților și se vor aborda noile proiecte cu focalizare pe calitatea serviciilor, prudențialitate și selectivitate.
Momentul actual aduce după sine oportunitați majore în constituirea de flote auto pentru agenții economici ce activează în zone ce performeaza chiar și în condițiile economice actuale.
3.9. Managementul activității BCR LEASING în condițiile actuale de criză
Practicile de lucru au fost introduse de BCR LEASING în scopul asigurării securității și sănătății în muncă, a condițiilor corespunzătoare de muncă și a unui tratament bun pentru angajați. BCR acordă o mare atenție pregătirii și dezvoltării resurselor umane. Problemele clienților constituie o prioritate specială pentru bancă. BCR LEASING asigură informații relevante și transparente clienților săi, dezvoltă produse și servicii cu beneficii sociale și protejează informațiile despre clienți. Dezvoltarea societății este sprijinită susținerea creșterii economice, implicarea comunității și prin participarea (ca organizație și prin angajații săi) la activități sociale și de voluntariat.
„Profitul operațional al grupului Erste, precum și profitul BCR/BCR LEASING net dovedesc forța reală a modelului de afaceri al unei bănci de retail, chiar și în perioade dificile economice. Aceasta se bazează, de asemenea și pe faptul că, pe parcursul ultimilor 10 ani, am putut să ne extindem baza de clienți, numărul acestora depășind astăzi 17 mil., asigurându-ne astfel fluxuri de venituri foarte solide. În plus, s-a investit în economia reală, și aceasta va continua să existe atât în perioada de criză, cât și după încheierea acesteia".
Rezultatul obținut de Erste Bank în România este foarte satisfăcător, într-un context dificil, iar BCR LEASING va raporta un profit bun și în acest an. Profitul net al BCR a urcat de peste două ori în 2008. Profitul net al grupului BCR, incluzând venituri excepționale din vânzarea unor active de 745,9 mil. lei, a urcat în 2008 de peste două ori, la valoarea record de 2,032 mld. lei (541 mil. euro), în timp ce activele au avansat cu 9%, la 69 mld. lei (17,17 mld. euro). Astfel, profitul net după impozitare și plata intereselor minoritare al grupului BCR a fost în 2007 de 924,8 mil. lei (276,5 mil. Euro).
Capitolul 4.
Protecția și securitatea datelor financiar-contabile în cadrul BCR LEASING
BCR LEASING IFN este prezentă pe piața românescă a leasingului din 2001, ca subsidiară a Băncii Comerciale Române, acum parte importantă a puternicului grup financiar central-european ERSTE Group. Compania oferă în prezent o gamă completă de servicii de leasing financiar, deținând o cotă de piață de peste 9,5% și o poziție de top pe piața națională de leasing. Conform datelor statistice, furnizate de asociațiile de profil, în anul 2008, BCR Leasing a fost lider de piață pe zona finanțării segmentului auto, ocupând poziția 3 în piață pe segmentele finanțării de echipamente și de real estate.
Ca subsidiară a Băncii Comerciale Române,BCR LEASING se poate bucura de aceleași politici de protecție și securtitate a datelor in ceea ce privește domeniul financiar-bancar.
4.1. Măsurile de protecție și securitate a datelor utilizate de BCR LEASING
Informația – cel mai important activ al oricărei organizații – este expusă în prezent unui număr din ce în ce mai divers de amenințări provocate de factori interni sau externi.Conferința CYBERTHREATS 2008,organizată de Institutul Bancar Român, a reluat un subiect fierbinte pentru mediul bancar și nu numai: securitatea informației, punând în discuție tendințele și amenințările actuale, reglementări, standarde și proceduri în domeniu, implicațiile Basel II, impactul problemelor de securitate asupra riscului operațional și alte probleme privind securitatea informației în mediul bancar.
4.1.1.Reglementări privind securitatea informației
Instituțiile de credit trebuie să se conformeze unor acte legislative, norme și regulamente care conțin prevederi privind securitatea informației.Reglementări specifice sistemului bancar sunt continute de Legea bancară,precum și de norme BNR, precum Norma 16/2004, privind tehnicile echivalente pentru garantarea autenticității semnăturii,și Norma 17/2003, pentru organizarea și controlul intern al activitații instituțiilor de credit și administrarea riscurilor semnificative.
În domeniul plăților electronice, cele mai importante reglementări sunt Ordinul MCTI 218/14.06.2004 și Regulamentul BNR 6/2006 privind tranzacțiile efectuate prin intermediul instrumentelor de plata electronice și relațiile dintre participanți.
Alte reglementări privesc semnătura electronică (Legea 455/2001 a semnăturii electronice, Legea 451/2004 privind marca temporală) și comerțul electronic (Legea nr. 365/2002, cu modificările aduse de Legea nr. 121/2006). Dispunem și de legislație privind prevenirea și combaterea criminalitații informatice, Legea nr. 161/19.04.2003.
Un capitol aparte îl constituie legislația privind viața privată: Legea 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor personale, precum și Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
La toate acestea se adauga un număr important de Directive Europene în domeniul securităîii informației. Reglementările în vigoare acoperă doar parțial spectrul problemelor pe care le ridică securitatea informației, controlul în domeniul tehnologiei informațiilor, administrarea riscurilor și calitatea serviciilor informatice.
4.1.2. Standarde de securitate a informației
Pentru tot mai multe instituții bancare din România,standardele internaționale în domeniu constituie baza organizării activităților informatice și a securității. Printre cele mai importante standarde și documente publicate privind controlul securității informației se numără:
– CobiT – Control OBjectives for Information and related Technology, dezvoltat de IT Governance Institute, standard ce permite dezvoltarea de politici și bune practici pentru controlul informației și o mai buna aliniere între tehnologia informației și afacere.
– Standardele ISO / IEC
•ISO / IEC 17799 – Code of Practice for Information Security Management, ce definește principiile generale pentru implementarea sistemului de administrare a securității informației, precum și cele mai bune practici privind obiectivele de control.
•ISO / IEC 27001 – Specification for an Information Security Management System, în baza căruia pot fi certificate sistemele de administrare a securității informației. De altfel, ISO a rezervat seria 27000 pentru standarde referitoare la administrarea securității informației, unele deja publicate,altele în curs de elaborare.
•ISO / IEC 20000 – Service Management, primul standard internațional pentru administrarea serviciilor informatice, ce conține specificații de administrare a serviciilor, precum și un cod de practică.
– ITIL – Information Technology Infrastructure Library, un set de documente create cu scopul de a facilita implementarea unei structuri pentru administrarea serviciilor informatice. ITIL a fost adoptat rapid ca standard ’de facto’ pentru cele mai bune practici în furnizarea serviciilor informatice.
– NIST Special Publications, documente dezvoltate de United States National Institute of Standards and Technology, destinate agențiilor federale, printre care seria 500 – Information Technology și seria 800 – Computer Security.
– Standard of Good Practice for Information Security, dezvoltat de Information Security Forum, care privește securitatea informației din perspectiva afacerii, furnizând o baza practică pentru evaluarea sistemului de securitate a informației.
4.1.3.Securitatea informației din perspectiva riscului operațional
Riscul operațional, elementul de noutate adus de Basel II, este definit ca riscul de pierderi directe și indirecte cauzate de factori interni și de factori externi. Riscul operațional este cel mai controversat, cel mai puțin definit și cel mai probabil să evolueze major în următorii ani. Impactul riscului operațional poate afecta relația cu clienții și partenerii, iar implicațiile sale valorice sunt greu de măsurat cu precizie.
Printre factorii interni care influențeaza riscul operational putem enumera: derularea ineficientă a unor procese interne, pregătirea necorespunzatoare a personalului, calitatea sistemelor utilizate. Problemele legate de securitatea informației intră și ele în categoria factorilor care au implicații directe asupra riscului operațional: căderile parțiale sau complete ale sistemelor informatice, problemele generate de atacuri informatice sau pătrunderi neautorizate, fraudele, greșelile de operare, întreruperea activității pentru o perioadă oarecare, și multe altele.
Pentru a defini o buna practică privind asigurarea continuității operaționale a instituțiilor financiare, Joint Forum for Business Continuity – constituit în cadrul Comitetului Basel – a emis documentul consultativ High-level Principles for Business Continuity, adresat instituțiilor bancare, dar și autorităților financiare, având ca scop creșterea rezilienței sistemului financiar global.
Planificarea corespunzătoare a continuității operaționale, prin politici, standarde și proceduri pentru asigurarea menținerii sau reluării în timp util a operațiunilor în eventualitatea producerii unor intreruperi, contribuie la reducerea riscurilor organizației și adaugă valoare acesteia.
Câteva standarde care pot constitui baza pentru organizarea asigurării continuității operaționale pentru instituțiile bancare sunt Good Practice Guidelines, emis de Business Continuity Institute, PAS 56 si BS 25999, noul standard pentru administrarea continuității operaționale, emise de British Standards Institution. Prima parte BS 25999-1:2006 Code of practice for business continuity management, lansat în 2006, furnizeaza o bază pentru înțelegerea, dezvoltarea și implementarea continuității operaționale într-o organizație. Cea de a doua parte BS 25999-2:2006 – Specification for business continuity management va cuprinde cerințe pentru definirea, implementarea, operarea, monitorizarea, verificarea, întreținerea și perfecționarea unui sistem documentat de administrare a continuității operaționale.
4.1.4. Securitatea informației la nivel de sistem
Cerințele de securitate a informației cresc în contextul conectării instituțiilor de credit la infrastructuri de plăți, de decontări, la sisteme de raportări, constituite la nivel național, regional sau global. Necesitatea asigurării securității la nivel de sistem se traduce în cerințe minime de securitate pentru fiecare participant, problemele de securitate ale unui participant putând afecta funcționarea întregului sistem.
Intrarea în funcțiune a Sistemului Electronic de Plăți a impus condiții minime de securitate pentru participanți și condiții de certificare tehnică pentru participanții cu procesare integrată (STP) în sistemul SENT. Luând în considerare cerințele specifice impuse de Bank of International Settlement pentru sisteme de tipul SENT, TransFonD își propune să modifice pentru viitor condițiile de certificare tehnică STP, în sensul solicitării unui audit anual de certificare de către un auditor extern autorizat. Se va pune un accent mai mare pe analiza de riscuri și pe faptul că politica și strategiile de securitate ale fiecărei bănci trebuie să acopere această analiză de riscuri.
Noul sistem de raportări al instituțiilor de credit către BNR, devenit operațional la inceputul acestui an, va impune și un upgrade de securitate al rețelei interbancare și introducerea semnăturii digitale.Tot din 2009, raportările periodice ale băncilor către Oficiul Național de Prevenire și Combatere a Spălării Banilor, raportări facute în prezent pe suport magnetic, se vor face prin rețeaua inter-bancara, cu cerinte de securitate corespunzatoare.
In octombrie 2009, băncile din România vor efectua etapa a doua de migrare la SWIFTNet, constând în actualizarea mecanismelor de securitate și instrumentelor de administrare a relațiilor cu băncile corespondente pentru platforma SWIFTNet. Astfel, va fi introdus un model de securitate unic – bazat pe infrastructura de cheie publica (PKI) – pentru accesul la toate serviciile SWIFTNet.
Nu în ultimul rand, prin aderarea României la Uniunea Europeana, instituțiile de credit pot avea acces la infrastructuri regionale de plăți precum TARGET2, TARGET2 Securities, sistemele EBA Clearing (EURO1, STEP1, STEP2) sau alte infrastructuri de plăți, care impun cerințe specifice de securitate.
Tot în zona Euro, proiectul SEPA al zonei unice de plăți în Euro implică standardizarea instrumentelor de plată în Euro și cerințe noi pentru infrastructurile de plăți și plățile cu card-uri, incluzând și o strategie de prevenire a fraudelor cu card-uri, prin migrarea în tot spațiul Euro la standardul EMV și implementarea 3DSecure.
Fiind necesar să se conformeze acestui număr mare de reglementari, standarde și cerințe, securitatea informției trebuie considerată o problemă generală a organizației, necesită implicarea managementului la cel mai înalt nivel și trebuie să angreneze toate compartimentele de activitate ale unei organizații, de la profesioniștii în domeniu până la utilizatorii informației.Crearea unei culturi de securitate a organizației este esentială, prin educarea continuă a personalului, prin colaborarea permanentă cu partenerii în vederea unei abordări comune a problemelor de securitate, dar și prin conștientizarea clienților asupra riscurilor privind securitatea informației.
Banca Comerciala Romană este prima instituție bancară din România care obține Certificarea internațională pentru Sistemul de Management al Securitații Informației – ISO/IEC 27001: 2005, din partea prestigioasei instituții British Standards Institution (BSI).De acest privilegiu se poate bucura și BCR LEASING.BCR LEASING dispune acum de un sistem integrat de management, la nivel european, banca fiind certificată pentru managementul securității informației, managementul calității totale și managementul securității în muncă.
4.2..Prelucrarea,utilizarea,protecția și securitatea datelor în cadrul BCR LEASING
4.2.1.Prelucrarea și utilizarea datelor
BCR LEASING prelucrează datele urmatoarelor categorii de persoane fizice, în funcție de scopul prevazut la pct. II.
I.
a.Clienți/potențiali clienți, consumatori/potențiali consumatori, debitori, contractanți, membrii familiei persoanei vizate, garanți, coplatitori, deținători de titluri de participare emise de organele de plasament colectiv pentru care se desfășoară activitate de investitori în organismele de plasament colectiv și instrumentele financiare, beneficiari ai polițelor de asigurare cesionate în favoarea BCR LEASING, asigurați în contractele de asigurare intermediate de BCR LEASING, asigurați în contractele de asigurări în care banca este beneficiar, angajați, acționarii BCR LEASING , membrii Consiliului de Supraveghere si Comitetului Executiv al BCR LEASING;
b.Angajați, studenți, candidați, membrii familiei vizate, persoane juridice care au depus CV în vederea angajării în BCR, studenți care fac practică în BCR în vederea recrutării după absolvire, membrii Consiliului de Supraveghere și Comitetului Executiv al BCR;
Clienți/potențiali clienti, vizitatori, orice persoană care intră într-o unitate teritorială a băncii sau care trece prin dreptul sediilor BCR sau ATM-urilor, ASV-urilor.
II.
Conform cerințelor Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, modificată și completată și ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice BCR LEASING are obligația de a administra în condiții de siguranță si numai pentru scopurile specificate, datele personale care îi sunt furnizate despre categoriile de persoane fizice prevazute la pct.I. Scopul colectării datelor este:
Pentru persoanele prevazute la pct.I. lit. a: Prestări servicii bancare și alte scopuri corelate pentru realizarea obiectului de activitate principal, respectiv: gestiune economico-financiară, resurse umane, reclamă marketing și publicitate, taxe și impozite, furnizarea de bunuri și servicii, rapoarte de credit, colectare debite/recuperare creanțe, asigurări și reasigurări, prevenirea fraudelor, monitorizarea accesului/persoanelor în spații publice/private, securitatea persoanelor și a spațiilor publice/private, sevicii pe internet, efectuare de tranzacții cu bunuri mobile și imobile în executarea creanțelor băncii, precum și vânzarea de imobile către salariați, în condițiile legii; monitorizare video; evidența executărilor silite și litigiilor; prevenirea spălării banilor, finanțării actelor de terorism și cunoașterea clientelei; evaluarea bunurilor mobile și imobile în vederea garantării unui credit bancar, întocmirea/verificarea studiilor de fezabilitate și planurilor de afaceri pentru investiții;i supravegherea pe bază consolidată și cunoașterea clientelei. BCR LEASING este înregistrată în Registrul de evidență a prelucrarilor de date cu caracter personal sub nr.3776.
Pentru persoanele fizice prevăzute la pct. I lit.b: resurse umane și selectie și plasare forță de muncă. BCR LEASING este înregistrată în Registrul de evidență a prelucrărilor de date cu caracter personal sub nr.3773.
III.
Persoanele fizice sunt obligate să furnizeze datele, în cazurile prevăzute la pct. II , acestea fiind necesare în vederea derulării/inițierii de raporturi juridice cu BCR LEASING IFN SA, cu respectarea prevederilor legale.În cazul refuzului de a furniza aceste date, banca refuza inițierea de raporturi juridice, întrucât este în imposibilitatea de a respecta cerințele reglementărilor speciale în domeniul bancar privind cunoașterea clientelei, iar în cazul angajaților, a prevederilor dreptului muncii și dreptului fiscal.
În situațiile prevăzute la pct. II furnizarea datelor este necesară pentru îndeplinirea obligațiilor legale ale BCR LEASING prevăzute de Legea 31/1990 privind societățile comerciale, de Legea nr.333/2003 privind paza obiectivelor, bunurilor, valorilor, protecția persoanelor, HG 1010/2004 pentru aprobarea normelor metodologice și a documentelor prevăzute la art.69 din Legea nr.333/2003 .
În cazul prevăzut la pct. marketing și publicitate, furnizarea datelor este la latitudinea persoanelor fizice, iar refuzul prelucrării datelor în acest scop poate determina fie neparticiparea la promoțiile organizate de Bancă, cât și imposibilitatea ca Banca să transmită informații despre alte produse ale sale sau ale partenerilor săi în scop publicitar. În cazul în care persoanele fizice și-au dat acordul pentru prelucrarea datelor în scop de marketing și publicitate au dreptul ca ulterior să solicite excluderea din baza de date BCR LEASING constituită în acest scop. La cererea persoanelor fizice BCR LEASING confirmă dacă prelucrează sau nu date personale, în mod gratuit, pentru o solicitare pe an. Banca se obligă să rectifice, să actualizeze, să blocheze, să șteargă sau să transforme în date anonime, în mod gratuit, datele a caror prelucrare nu este conformă cu prevederile Legii 677/2001.
IV.
Informațiile înregistrate sunt destinate utilizării de către operator și sunt comunicate numai următorilor destinatari:
În cazul prevăzut la pct.II : Persoana vizată, reprezentanții legali ai persoanei vizate, angajați ai operatorului, împuternicitul operatorului, alte persoane fizice/juridice care prelucreaza datele personale în numele operatorului, cu excepția împuternicitului, partenerii contractuali ai operatorului, alte companii din același grup cu operatorul, autoritate judecatorească, autoritați publice centrale, politice, societăți bancare, birouri de credit, agenții de colectare a debitelor,/recuperare a creanțelor, societăți de asigurare/reasigurare, BNR, Societăți de decontare/compensare, Fonduri de garantare și alte instituții abilitate de lege sa solicite informații, AEGRM, ONPCSB, CNVM, Comisia de Supraveghere Pensii Private, Societăți de administrare a investițiilor, Societăți de servicii de investiții financiare, emitenți Bursa de Valori București, Depozitarul Central, Registre Independente, Case de Compensare, Organe de urmărire penală și alte instituții abilitate de lege să solicite informații.
Deasemenea tot la pct.II. lit. b): persoana vizată, angajați ai operatorului, autoritate judecătorească,autorități publice centrale,autorități publice locale,angajatorul / potențialul angajator al persoanei vizate, Oficiul Național al Registrului Comerțului, Monitorul Oficial, Consiliul de Supraveghere și Comitetul Executiv al BCR LEASING IFN SA, Inspectoratul Teritorial de muncă.
V.
Conform Legii nr. 677/2001, persoanele fizice beneficiază de dreptul de acces, de intervenție asupra datelor, dreptul de a nu fi supus unei decizii individuale și dreptul de a se adresa justiției. Totodată, au dreptul sa se opună prelucrării datelor personale care îi privesc și să solicite ștergerea datelor, cu excepția situațiilor prevăzute de lege când prelucrarea de către bancă a datelor este obligatorie.
4.2.2.Identificarea și analizarea riscurilor la care s-ar putea expune BCR LEASING
Datorită schimbărilor rapide intervenite în tehnologia informatică, băncile se confruntă cu riscuri specifice activităților de bancă electronică și monedă electronică.
La acest nivel, se pare că riscul operațional, riscul reputațional și riscul juridic reprezintă cele mai importante categorii de riscuri atât pentru BCR LEASING cât și pentru restul băncilor.
Riscul operațional apare dintr-o potențială pierdere datorată unor deficiențe semnificative în integritatea și viabilitatea sistemului.Considerentele de securitate sunt supreme, dacă băncile sunt subiecte de atac extern sau intern asupra produselor și sistemelor lor. Riscul operațional poate apărea din neutilizarea corectă a sistemelor de bani electronici sau bancă electronică, precum și din realizarea sau implementarea neadecvată a acestor sisteme. În această categorie riscurile la care se poate expune BCR LEASING sunt:
Riscul de securitate. Accesul neautorizat la rețea ar putea conduce la pierderi directe, adăugarea unor datorii clienților, etc. Ar putea, de asemenea, avea loc o varietate a problemelor de autentificare și acces specific. De exemplu, controalele neadecvate ar putea conduce la atacuri reușite ale hacker-ilor care operează prin Internet, care ar putea accesa, salva și utiliza informații confidențiale despre clienți. În lipsa unor controale adecvate, o terță persoană ar putea avea acces la sistemul computerizat al băncii și ar putea să-l viruseze. Pe lângă atacurile externe, băncile sunt expuse riscului operațional în ceea ce privește frauda angajaților. Angajații ar putea achiziționa clandestin date legate de autentificare în vederea accesării conturilor clienților sau pentru furarea cardurilor cu valoare înmagazinată. Erorile datorate angajaților ar putea, de asemenea, compromite sistemele băncii. O importanță deosebită pentru autoritățile de supraveghere o prezintă riscul contrafacerii banilor electronici, faptă care potrivit codului penal reprezintă infracțiuni. Acest risc poate fi mărit dacă băncile eșuează în încorporarea măsurilor adecvate pentru descoperirea și împiedicarea contrafacerilor.O bancă se confruntă cu riscul operațional din falsificări și devine datoare cu suma soldului banilor electronici falsificați.
Riscuri legate de proiectarea, implementarea și întreținerea sistemelor. Banca este expusă riscului unei întreruperi sau încetiniri a sistemelor sale, dacă banca electronică sau banii electronici aleși de bancă nu sunt compatibile cu cerințele utilizatorului.
Riscuri care apar datorită folosirii necorespunzătoare de către clienți a produselor și serviciilor bancare. Riscul este mărit atunci când o bancă nu își educă corespunzător clienții cu privire la precauțiile de securitate. În plus, în lipsa existenței unor măsuri adecvate de verificare a tranzacțiilor, clienții ar putea să respingă tranzacțiile pe care le-au autorizat în trecut, creându-i astfel băncii numeroase pierderi financiare. Clienții care folosesc informații personale (informații de autentificare, numere de cărți de credit etc.) într-o transmitere electronică neasigurată poate permite persoanelor rău intenționate să obțină accesul la conturile clienților. Ca urmare, banca poate suferi pierderi financiare din cauza tranzacțiilor neautorizate. Spălarea banilor poate fi o altă sursă de îngrijorare.
Riscul reputațional este riscul datorat unei opinii publice negative semnificative care constă într-o piedere critică a fondurilor sau clienților băncii. Riscul reputațional poate apărea atunci când acțiunile băncii produc o piedere majoră a încrederii publicului în abilitatea băncii de a îndeplini funcții critice pentru a-și continua activitatea. Riscul reputațional este important nu numai pentru o singură bancă, ci acesta este important pentru întreg sistemul bancar.
Riscul juridic apare prin violarea sau neconformarea cu legile, regulile, reglementările sau practicile prescrise, sau atunci când drepturile și obligațiile legale ale părților participante la o tranzacție nu sunt stabilite corect. Băncile angajate în activitățile de “e-banking” sau “e-money” se pot confrunta cu riscuri juridice referitoare la dezvăluirea unor informații privind clienții și la protecția secretului bancar.
4.2.3. Gestionarea și controlul riscurilor în cadrul BCR LEASING
După stabilirea riscurilor și a toleranțelor acestora, conducerea băncii trebuie să le gestioneze și să le controleze.
Băncile își măresc abilitatea în controlul și gestionarea riscurilor inerente în orice activitate atunci când toate acestea sunt stabilite prin proceduri și sunt la îndemâna întregului personal.
Politici și măsuri de securitate la BCR LEASING.
Securitatea informațiilor este realizată în cadrul băncii printr-o combinație de sisteme, aplicații practice și control intern utilizate pentru a pune la adăpost integritatea, autenticitatea și confidențialitatea datelor și procedeelor de operare.
Astfel în vederea reducerii riscurilor BCR LEASING a luat urmatoarele măsuri de securitate :
realizarea unei infrastructuri tehnice puternice,sigure,constituită din sisteme hardware de ultimă generație, software-ul de calitate și rețeaua internă de comunicații
programele aplicative sunt elaborate luându-se în considerare și securitatea datelor.Nu se folosesc programe piratate, ori aplicații create de nespecialiști care nu numai că nu au elemente de securitate încorporate, dar, în anumite cazuri, funcționează și defectuos, alterând datele.
baza informațională,care cuprinde printre altele și datele supuse prelucrării,este protejată. Nu oricine poate avea acces la date. Pentru aceasta, datele au primit diferite clasificări și se indică cine și cum are acces la ele.
nu toate datele sunt făcute publice.Anumite date nu pot fi extrase din datele publice. Acest lucru este făcut de către personal specializat care proiectează programele de aplicații la nivelul firmei sau programele de aplicații comerciale.
BCR LEASING nu se poate mulțumi să blocheze accesul nedorit la datele importante doar printr-o banală parolă.
firma organizează activități de pregătire a personalului în domeniul tehnicii de calcul în sine și deasemenea se insistă pe securitate. Activitatea de pregătire în domeniul securității nu este limitată numai la nivelul de facilități oferite de produsele hardware și software utilizate.
departamentul de IT&C este însărcinat cu toate atribuțiile legate de configurare, instalare, întreținere a echipamentelor de tehnică de calcul, politică de securitate.
personalul care se ocupă doar de securitatea informației în cadrul BCR LEASING formează un departament aparte,departamentul CSO,paralel, față de departamentul de IT&C și are atribuții stricte ocupându-se cu asigurarea securității, testarea periodică a calculatoarele din firmă pentru descoperirea golurilor de securitate, și raportarea către conducere a eventualelor nereguli.
echipa de management general a firmei BCR LEASING are rolul cel mai important, și cel mai critic, în securitatea calculatoarelor. Ea este de fapt proprietarul de resurse. Oricât de pregătit ar fi personalul IT&C angajat, nu va înțelege pe deplin cât de importantă este informația financiară a firmei, stocată în sistemele de calcul, pentru că nu va putea să înțeleagă pe deplin afacerea,de aceea echipa de management realizeaza cât de importante sunt anumite date pentru derularea afacerilor, dar mai ales cât de importante pot fi dacă acestea ajung la persoane neavizate.
persoanele implicate în activitatea de securitate (CSO) sau persoanele angajate în activitatea de prelucrare a informației (IT&C) sunt cele care consilieză echipa de management general cu informații și sfaturi în asigurarea securității. Decizia finală aparține însă conducerii.Aceasta realizează o analiză de riscuri.
personalul angajat al BCR LEASING are pregătirea necesară utilizării calculatorului. Fiind o firmă mare BCR LEASING își permite să angajeze personal cu calificare înaltă. Se fac eforturi pentru pregătirea și instruirea periodică a angajaților.
Politica de securitate a BCR LEASING conturează responsabilitățile pentru modelarea, implementarea și întărirea măsurilor de securitate a informației,stabilește procedurile pentru întărirea măsurilor disciplinare și pentru raportarea violării securității.
4.2.4. Securitatea fizică a sistemului informatic BCR LEASING
BCR LEASING deține un sistem de securitate fizică eficient,proiectat și implementat odată cu proiectarea și implementarea sistemului informatic pe care se realizează operațiunile bancare,raportul dintre cost și eficiență fiind net mai bun.
Sistemul de securitate fizică poate să discearnă care sunt persoanele autorizate, cu acces în sistem și la ce nivel este permis accesul. Identificarea poate fi făcută de corpul de pază, de alte persoane care se ocupă de controlul accesului sau de sistemele automate.
Legitimarea persoanelor care doresc acces la serverele centrale BCR LEASING se realizează prin :
identificare pe cale vizuală, prin semnătură;
parole de acces;
cartele speciale,chei de acces, care se găsesc în posesia celor autorizați să acceseze sistemul.
Alte măsuri de securitate fizică a sistemului informatic BCR LEASING :
controlul accesului (proceduri care exclud efectiv persoanele neautorizate din centrele de prelucrare automată a datelor).
asigurarea securității echipamentelor din sistem (calculatoare și echipamente periferice);
protecția împotriva dezastrelor naturale, a incendiilor sau inundațiilor;
protecția bibliotecii de suporturi de date.
Deasemenea pentru a asigura o protecție maximă împotriva riscurilor de ordin fizic au mai fost luate măsuri precum:
amplasarea centrului de prelucrare a datelor într-o zonă bine protejată;
utilizarea unor dispozitive de încuiere a ușilor;
controlul intrărilor și ieșirilor în sala calculatoarelor;
utilizarea dispozitivelor de identificare prin voce sau amprente a persoanelor care accesează sistemul.
În cadrul băncii se desfășoară o permanentă verificare și o evidență riguroasă a persoanelor care intră în zona centrului de prelucrare automată a datelor,concretizată,în uși încuiate și păzite. Prin intermediul măsurilor de securitate se stabilește care sunt persoanele autorizate, care sunt vizitatorii și ce drepturi au și care sunt persoanele neautorizate.
Accesul la documentația programelor este limitată la persoanele care au sarcini legate de aceasta și numai pe perioada exercitării acestor sarcini.Programatorii au acces la partea de documentație corespunzătoare programului la care lucrează și numai atât cât lucrează la programul respectiv.În afara sarcinilor de servici nimeni nu are acces la documentație, aceasta fiind o resursă valoroasă a sistemului, aflată în răspunderea unui responsabil din compartimentul de prelucrare automată a datelor.
Accesul la echipamente este limitat la persoanele care sunt autorizate să opereze în sistem. Riscurile modificării neautorizate sau a copierilor ilegale sunt foarte mari.De aceea limitarea accesului numai la programul strict de lucru și numai la personalul cu sarcini clare poate asigura un grad sporit de securitate a echipamentelor.
Fiind o componentă de bază a sistemului informatic BCR LEASING,partea de echipamente este tratată cu multă atenție din punctul de vedere al securității. Cea mai sigură cale de distrugere sau întrerupere a bunei funcționări a sistemului electronic de calcul este de natură fizică,centrele de calcul putând fi ținta unor acte de vandalism, a dezastrelor naturale, a sabotajelor.Un intrus specialist poate accesa și modifica elemente din configurația calculatorului, blocând astfel mijloacele de asigurare a securității.Pot fi modificate circuitele electronice, pot fi blocate sau distruse componentele cu rol de protecție, pot fi citite din memorie parolele sistemului etc.Un intrus nespecialist, dar rău intenționat, sau un angajat concediat, poate pur și simplu să distrugă prin lovire sau trântire echipamentele electronice.De aceea BCR LEASING a trebuit să adopte măsuri de prevenire precum :
încuierea birourilor în care sunt echipamente;
dispersarea echipamentelor, mai ales atunci când se lucrează cu informații importante;
verificarea periodică a elementelor din configurația fizică a sistemului care sunt deosebit de importante, cum ar fi placa cu circuite; eventual, pot fi fotografiate la momentul verificării pentru a se determina ulterior eventualele modificări.
Protecția împotriva incendiilor, inundațiilor și dezastrelor naturale este tratată atent de conducerea BCR LEASING care este conștientă de faptul că incendiul este cea mai dură amenințare pentru un sistem electronic de calcul. Ca orice mașină electonică, și calculatorul poate lua foc din cauza unui scurtcircuit.În această idee, pentru a evita pierderea completă a datelor în cazul incendiilor,există o procedură care prevede salvarea periodică a datelor, sub forma copiilor de siguranță și, mai ales, stocarea acestora într-o locație diferită de sala calculatorului central.O altă modalitate de protecție a clădirilor și implicit a sistemului de prelucrare automată a datelor este utilizarea sistemului de detectare a fumului în caz de producere a unui incendiu.
Este evident că nu se poate asigura o protecție completă împotriva dezastrelor naturale,în schimb prin metodele adoptate BCR LEASING poate reduce riscul producerii lor.
4.3. Securitatea serviciilor internet în cadrul BCR LEASING
Rețelele de calculatoare locale și de arie largă au schimbat aspectul utilizării calculatoarelor. Astăzi în cadrul BCR LEASING spre deosebire de trecutul nu prea îndepărtat, în care calculatoarele erau separate și distincte, rețelele permit personalului bancii să străbată instantaneu camere, țări sau întregul glob pentru a schimba mesaje electronice, pentru a accesa fișiere sau baze de date sau pentru a lucra pe calculatoare situate la mari distanțe. Un aspect crucial al rețelelor de calculatoare, în special al comunicațiilor prin internet, îl constituie securitatea informațiilor, devenită una din componentele majore ale internet-ului.
Conectarea unui calculator din cadrul BCR LEASING la internet presupune, în general, folosirea sistemului de operare UNIX și a suitei de protocoale TCP/IP. Aceste componente au propriile lor probleme de securitate.Accesul la internet presupune, însă, și folosirea unui set de câteva zeci de servicii, programe, cu numeroase probleme de securitate, fie datorită unor erori în software, fie datorită neîncorporării unor facilități de securitate potrivite.
Astfel au fost luate măsuri de securitate adecvate la conectarea în rețea precum securitatea prin firewall.
În cadrul BCR LEASING firewall-ul nu este reprezentat printr-un simplu ruter sau un calculator gazdă care asigură securitatea rețelei.Firewall-ul utilizat este un sistem care impune o politică de control al accesului între rețeaua internă a BCR și rețeaua externă mai exact Internetul.
Pentru a monitoriza comunicațiile dintre o rețea internă a BCR și o rețea externă. firewall-ul poate jurnaliza (monitoriza, înregistra)seviciile folosite și cantitatea de date transferată prin conexiuni TCP/IP între propria organizație și lumea exterioară;
De asemenea firewall-ul mai poate fi folosit pentru interceptarea și înregistrarea tuturor comunicațiilor dintre rețeaua internă și exterior.Accesul la internet fiind asigurat prin linii de fibră optică ce permit viteze de până la 100 Mbps prin utilizarea cablurilor sau 54 Mbps prin utilizarea routerelor wireless(fără fir).În condițiile în care banda ar fi folosită 100% din timp,s-ar putea transfera zilnic informații de ordinul zecilor de GB,traficul pe câteva zile fiind stocat pe hard disk-uri.
BCR LEASING beneficiază de mai multe rețele, separate din punct de vedere geografic, fiecare având câte un firewall.Există posibilitatea programării acestor firewall-uri pentru a cripta automat conținutul pachetelor transmise între ele. în acest fel, pe suportul internet, organizația își poate realiza propria rețea virtuală privată.
4.4. Identificarea deficiențelor și propuneri de îmbunătațire
Una dintre cele mai utilizate metode de atac informatic folosite împotriva BCR LEASING și a alotor bănci este phishing-ul.
Phishing-ul este o metodă de furt de identitate prin care clienții unei organizații sunt determinați să dezvăluie date personale sau confidențiale care pot fi folosite ulterior de o manieră ilegală pentru a efectua tranzacții în contul clientului respectiv.Pentru aflarea datelor confidențiale ale clientului atacurile de phishing se folosesc de un canal electronic de comunicatie (e-mail, telefon) sau de un program rău intenționat, cal troian, care exploatează vulnerabilitațile sistemului pentru a fura date.
Daca se folosește e-mail-ul: un mesaj electronic este trimis clienților pretinzând a fi din partea unei surse legitime (banca în cazul nostru), mesaj prin care se solicită introducerea de date confidențiale folosind un link către un site indicat în textul mesajului. Acest link direcționează clienții către un site fals dar care reproduce foarte bine pagina originală a băncii sau a produsului e-Banking folosit. Prin introducerea datelor personale confidențiale și validarea lor atacatorii intra în posesia acestora și le pot folosi pentru a derula operațiuni în contul identității furate.
Atacul de tip phishing poate fi realizat și prin telefon: o persoană pretinde că sună din partea băncii și, invocând probleme tehnice (de ex. în sistemul de plăți), solicită informații confidențiale cum sunt codul PIN, numărul contului, parola.
În cazurile în care sunt utilizate online produse sau servicii bancare din partea băncii, trebuie verificată autenticitatea paginilor în care sunt completate datele cu caracter personal sau financiar, prin consultarea valabilității certificatelor digitale și a adresei Internet la care acestea sunt localizate.
Una din cele mai mari amenințări asupra clienților BCR LEASING a fost în anul 2008,când unii posesori de carduri de la Banca Comerciala Română (BCR) au fost ținta unei tentative de fraudă de tip phishing, motiv pentru care banca își avertizează clienții să nu divulge informații confidențiale dacă primesc astfel de solicitări electronice.
Mai multe persoane au primit un mesaj e-mail de la adresa falsă [anonimizat], prin care li se cereau date de identificare confidențiale privind cardul – numărul de card, codul PIN, codul CVV al cardului sau parola de securitate.
Atacul a fost depistat la primele ore ale dimineții si a fost oprit, pagina electronică de colectare a datelor fiind dezactivată în mai puțin de trei ore.Atât BCR cât și subsidiara BCR LEASING sau orice altă bancă nu solicită niciodată astfel de informații de identificare sau actualizare a datelor clienților. Mai mult, banca recomandă permanent utilizatorilor de card sa nu divulge nimănui, sub nici un motiv, date precum codul PIN sau parole de securitatei.
De la începutul anului trecut până în prezent,și clienți ai altor bănci – printre care Bancpost, Piraeus Bank sau BRD-SocGen – au fost ținta unor atacuri de tip phishing.
Multe organizații neglijează importanța securitații wireless. Este evident că, prin natura lor, daca aceste rețele nu sunt corespunzator protejate, ele se transformă ușor într-o ușa deschisă pentru oricine este interesat de datele și informațiile din rețeaua internă a organizației. Daca dispune de echipament adecvat, un individ poate accesa rețeaua organizației de la o distanța de aproape un kilometru, atât pentru a se folosi de informațiile acesteia, cât și pentru a lansa atacuri către alte organizații din Internet. Tot ca urmare a naturii lor, deosebit de vulnerabile sunt și dispozitivele portabile (asistenții personali digitali, telefoanele mobile, laptop-urile).
BCR LEASING conștientă de pericolele ce decurg din furturile de identitate informatică, se angajează ferm să asigure confidențialitatea datelor clienților săi și a tranzacțiilor acestora. Concomitent cu eforturile băncii pentru securizarea datelor, datorită creșterii riscurilor privind atacurile ilegale, atât online cât și prin alte mijloace și a metodelor din ce în ce mai sofisticate, este necesar ca și clienții să fie conștienți de potențialele amenințări, să poată identifica o acțiune răuvoitoare și să aplice măsurile de protecție corespunzatoare.
Pentru păstrarea confidențialității datelor personale și a securității activității desfășurate online, BCR LEASING comunică clienților să NU spună informații cu privire la identitatea personală, conturile,numar de card, data expirării, codul PIN sau alte produse și servicii bancare deținute. BCR LEASING asigură clienții ca nu le va solicita asemenea informații.
BCR nu va trimite niciodată mesaje e-mail în care să fie incluse link-uri către site-uri unde clienților li se cere să introducă informații cu privire la identitatea personală, conturile, număr de card, data expirării, codul PIN sau alte produse și servicii bancare deținute.
Propuneri de rezolvare a atacurilor datelor financiar-contabile
În vederea implementării unor mecanisme de securitate eficiente în rețelele de calculatoare de arie largă, în particular – Internet-ul,BCR LEASING urmarește rezolvarea următoarele aspecte :
bombardarea cu mesaje – așa numitul spam – trimiterea de mesaje nedorite, de obicei cu un conținut comercial.Acest fenomen este neplăcut în cazul unui număr mare de mesaje publicitare nedorite și poate avea efecte mai grave în cazul invadării intenționate cu mesaje ("flood"), uzual cu un conținut nesemnificativ.Există programe de poștă electronică care permit vizualizarea antetelor mesajelor primite înainte ca acestea să fie aduse pe calculatorul local, selectarea explicită a mesajelor care se doresc transferate și ștergerea celorlalte. În plus, programele de e-mail pot încorpora facilități de blocare a mesajelor de tip "spam" prin descrierea de către utilizator a unor acțiuni specifice de aplicat asupra mesajelor, în funcție de anumite cuvinte cheie sau de adresele (listele de adrese) de proveniență.
rularea unui cod (program) dăunător, adesea de tip virus – acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc.Asemenea programe sunt în general blocate de navigatoarele moderne dar au ajuns să se răspândească ca fișiere atașate mesajelor de mail, un caz renumit în acest sens fiind cel al virusului "Love Letter" (care deteriorează fișiere de tip sunet și imagine) și mutanților lui, mai distructivi decât prima versiune.În general marile firme care produc navigatoare testează riguros riscurile impuse de programele dăunătoare rulate de pe site-uri web, uneori create cu intenții distructive,și intervin în general prin versiuni superioare imediat ce un astfel de risc a fost descoperit și corectat. În plus, cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza cărora să se decidă dacă un anumit program va fi rulat sau nu, și cu ce restricții de securitate (decizia se realizează în general pe baza "încrederii" indicate în mod explicit de utilizator).
infectarea cu viruși specifici anumitor aplicații – se previne prin instalarea unor programe antivirus care detectează virusii, devirusează fișierele infectate și pot bloca accesul la fișierele care nu pot fi "dezinfectate". În acest sens, este importantă devirusarea fișierelor transferate de pe rețea sau atașate mesajelor de mail, mai ales dacă conțin cod sursă sau executabil, înainte de a le deschide / executa.
accesarea prin rețea a calculatorului unui anumit utilizator și "atacul" asupra acestuia.. La nivelul protocoalelor de rețea, protejarea accesului la un calculator sau la o rețea de calculatoare se realizează prin mecanisme de tip fire-wall, prin comenzi specifice; acestea pot fi utilizate și în sens invers, pentru a bloca accesul unui calculator sau a unei rețele de calculatoare la anumite facilități din Internet.
interceptarea datelor în tranzit și eventual modificarea acestora – snooping. Datele se consideră interceptate atunci când altcineva decât destinatarul lor le primește. În Internet, datele se transmit dintr-un router în altul fără a fi (uzual) protejate. Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele în tranzit. Realizarea unei astfel de operații este destul de dificilă, necesitând cunoștinte speciale de programare în rețele și Internet, dar există numeroase programe (de tip hacker) care pot fi utilizate în aceste scopuri, ceea ce duce la creșterea riscului de interceptare a datelor.Transmisia protejată a datelor trebuie să garanteze faptul că doar destinatarul primește și citește datele trimise și că acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea realiza în mod intenționat, de către o persoană care atentează la securitatea rețelei sau printr-o transmisie defectuoasă
expedierea de mesaje cu o identitate falsă, expeditorul impersonând pe altcineva (pretinde că mesajul a fost trimis de la o altă adresă de poștă electronică)’spoofing’. Această problemă se revolvă prin implementarea unor mecanisme de autentificare a expeditorului.
BCR LEASING se angajează să asigure cel mai înalt standard de securitate referitor la sistemele proprii, dar și clienții în calitate de utilizatori finali,joacă un rol important în asigurarea securității informațiilor transmise pe Internet. De accea aceștia sunt rugați să se asigure că:
utilizează regulat programe anti-virus, anti-spyware acualizate
folosesc opțiunile de securitate ale PC-ului, ca browser-ul folosește cea mai puternică metodă de criptare disponibilă
sistemul și browser-ul sunt actualizate cu ultimele patch-uri de securitate care vor asigura o protecție sporită
previn accesului neautorizat la PC
schimbă parolele de access cat mai des,folosind parole complexe și greu de ghicit de alții
nu deschid e-mail-uri suspecte și nici nu încearcă să acceseze link-uri sau butoane din interiorul acestora deoarece în cazul unor asemenea acțiuni pe calculator se pot instala de o manieră transparentă aplicații rău intenționate (cai troieni, viruși,coduri care spionează, etc.) care pot duce la alterarea sau furtul datelor.
Toate măsurile de securitate trebuie să corespundă nivelului de securitate dorit și valorii estimate a infomației pentru organizația respectivă. Altfel apare fenomenul feature creep, în care se implementează tehnologie de dragul tehnologiei și se investesc foarte mult în măsuri de securitate costisitoare, scapând din vedere resursele cu adevărat importante sau neținând cont de strategia securității pe ansamblu.
Planuri de măsuri proactive aplicate de BCR LEASING:
Securizarea serverelor și a stațiilor pentru a reduce suprafața de atac
Managementul patch-urilor de securitate pentru a elimina vulnerabilitățile cunoscute
Securizarea perimetrului rețelei
Implementarea de software antivirus
Monitorizarea și auditarea sistemelor critice
Aplicarea unor politici de securitate cu Group Policy și Active Directory
Crearea de politici și proceduri de securitate pentru utilizatori și administratori
Realizarea frecventă de copii de siguranță ale informației;
Utilizarea, pe cât posibil, a unor parole pentru securitatea informației din computer –care să nu fie salvate de catre acesta și care sa nu fie folosite de utilizator și pentru accesul în alte sisteme.
Scopul final al securizării rețelei îl reprezintă protecția informațiilor și resurselor din rețea.
4.5. Cele mai importante evenimente de securitate a informației în cadrul BCR LEASING din anul 2008
Odată cu sfârșitul de an, specialiștii din IT ai BCR încep să privească înapoi la tendințele de top din domeniul securității informației din cadrul BCR pe anul 2008, utilizând această informație pentru a “prezice” care ar fi amenințările de top din 2009.Răufăcătorii își modifică în mod constant tacticile și strategiile pentru a-și face atacurile cât mai dăunătoare posibil. Cibercriminalii își unesc tot mai mult eforturile, dezvoltându-și propria “Underground Economy”, care a devenit capabilă să se autosusțină.
Cibercrima și outsourcing-ul au fost identificate ca fiind îngrijorările de top security, potrivit unui nou studiu solicitat de BCR. Studiul a scos în evidență faptul că 50% din profesioniștii operațiunilor IT din cadrul BCR văd outsourcing-ul ca pe un risc iminent și critic, iar peste 75% dintre aceștia au evidențiat cibercrima ca fiind o chestiune de importanță majoră – în pofida eforturilor conjugate, din ultimii ani, de a contracara hacking-ul.
În urma investigațiilor amănunțite s-a ajuns la următoarele concluzii :
• IT-ul outsoursat reprezintă o îngrijorare majoră pentru BCR deoarece aceasta caută să reducă costurile pe baza factorilor economici din anul 2009, outsourcing-ul continuă să fie o opțiune atractivă pentru obținerea eficienței. Riscurile de securitate asociate outsourcing-ului sunt însă imense, potrivit datelor studiului. Riscurile de top impuse de outsourcing sunt – conform unui procent de 50% din respondenții experți în securitatea IT și unui procent de 59% din respondenții experți în operațiunile IT – expunerea informațiilor sensibile către terțe părți și amenințarea că acele date vor fi protejate în mod necorespunzător la tranzit.
• Breșele de date și cibercrima sunt în creștere: rezultatele studiului indică faptul că cea mai mare îngrijorare legată de pierderea datelor financiar-contabile din cadrul BCR este amenințarea că datele vor ajunge în mâinile ciberhoților (46% din respondenții experți în securitatea IT și 24% din respondenții experți în operațiunile IT), lucru care provoacă pagube nu doar clienților ale căror date sunt furate, ci și organizațiilor responsabile pentru respectivele date furate. Participanții IT la studiu au raportat că 92% din organizații s-au confruntat cu un ciber-atac. Pagubele, ca rezultat al unui incident major de pierdere de date, sunt critice, mai ales pe fondul unei scăderi a activității economice BCR.
• Apariția tehnologiilor – Web 2.0, P2P, virtualizarea și cloud computing-ul – și larga răspândire a Cloud computing dă naștere unor noi îngrijorări: influxul de noi tehnologii – atât tehnologii de business, cât și de consum – a dat prilejul ciberhoților de a fura secrete comerciale și informații de business confidențiale. Cloud computing-ul s-a clasat primul în topul îngrijorărilor legate de apariția noilor tehnologii – potrivit unui procent de 61% din respondenți. Virtualizarea in cadrul BCR a fost percepută ca fiind cea mai mică îngrijorare la momentul actual, deși respondenții studiului au citat toate aceste tipuri de tehnologii ca reprezentând îngrijorări cheie pentru anul ce abia a început, datorită creșterii accentuate a riscului de expunere a datelor sensibile.
Iată și câteva din modalitățile de atac folosite asupra BCR LEASING în anul 2008:
1. Noi variante de malware sau familii de amenințări: Hackerii au trecut de la distribuirea în masă a unui număr mic de amenințări la distribuirea la scară mai redusă a familiilor mari de amenințări. Aceste noi specii de malware constau în milioane de amenințări distincte ce se transformă pe măsură ce se extind rapid. Trojan.Farfli, descoperit prima oară în iulie 2007, este o astfel de familie de amenințări care a manifestat asemenea caracteristici.
2. Aplicații contrafăcute și care induc în eroare: programele contrafăcute de securitate sau utilitare, cunoscute de asemenea și sub denumirea de „scareware“, promit securizarea sau curățarea computerului utilizatorului. Aceste programe sunt instalate împreună cu un program de tip “cal Troian”, care furnizează rezultate false și mențin controlul asupra computerului afectat până în momentul în care utilizatorul plătește pentru a remedia presupusele amenințări.
3. Atacuri web-based: site-urile web de încredere au reprezentat ținta unei mari părți din activitatea malițioasă. În anul 2008, specialiștii au observat că web-ul este în prezent canalul principal pentru activitatea hackerilor.
4. Underground Economy: Această economie “subterană” s-a maturizat, transformându-se într-o piață eficientă, globală, în care bunurile furate și serviciile legate de fraude valorând miliarde de dolari sunt cumpărate și vândute în mod regulat.
5. Breșe ale datelor: Volumul tot mai mare de breșe de date a scos în evidență importanța tehnologiilor și strategiilor de prevenire a riscurilor pierderii datelor critice. În condițiile în care fuziunile și achizițiile au devenit tot mai obișnuite, urmare a climatului economic actual, prevenirea breșelor de securitate devine tot mai importantă pentru protejarea informațiilor sensibile ale unei companii, inclusiv a proprietății intelectuale.
6. Spam: În 2008 nivelul de spam au crescut până la 76 procente. Deși filtrele anti-spam folosite de catre specialistii din cadrul BCR au devenit tot mai sofisticate în anul ce tocmai s-a încheiat și amenințările de spam au apărut și s-au disipat, rămâne totuși clar faptul că spammer-ii nu renunță la acest tip de luptă.
7. Phishing: Phishing-ul a continuat să fie activ în anul 2008 când mai multi clienți BCR au fost păcăliți prin tehnici și echipamente de atac eficiente. Uneltele de phishing continuă, de asemenea să contribuie la această problemă.
8. Vulnerabilități ale browser-ului sau plug-in: Vulnerabilitățile specifice site-urilor sunt deseori folosite în combinație cu vulnerabilitățile browser-ului sau plug-in, utile pentru realizarea atacurilor web-based sofisticate.
4.6.Obiectivele urmărite de BCR LEASING în vederea protecției datelor în anul 2009
1. Explozia variantelor malware: Atacurile recente includ forme noi de malware care constau în milioane de amenințări distincte ce se propagă ca una singură. Aceasta creează un număr nelimitat de exemple malware unice. Datele obținute au arătat, de asemenea, că am ajuns la un punct de curbură. În prezent, există mai multe programe malițioase create decât programe legitime. Aceste amenințări noi au dat naștere nevoii de metode noi, complementare, de detecție, cum ar fi abordările de securitate pe bază de reputație.
2. Amenințări web avansate: Deoarece numărul serviciilor web disponibile este în creștere, iar browser-ele continuă să conveargă spre un standard de interpretare uniform pentru limbajele scripting, specialiștii se așteaptă ca numărul noilor amenințări web-based să crească în continuare.
3. Criza economică: Criza economică globală va reprezenta baza mai multor atacuri noi care vor ameninta securitatea informatiilor financiar-contabile din cadrul BCR. Este vorba despre atacuri de phishing (ca de exemplu, cele a căror premiză fictivă se învârte în jurul închiderii BCR). În mod similar, atacurile pot exploata alte tipuri de activitate frauduloasă, ca de exemplu chestiuni economice, și anume email-uri în care se promite posibilitatea de a obține mai ușor o ipotecă sau o refinanțare. Este de așteptat creșterea scam-urilor care vânează oamenii ce au casele ipotecate sau care țintesc persoanele șomere, precum și o creștere a spam-ului care imită site-urile dedicate ofertelor de muncă.
4. Rețele sociale: În anul 2008 s-a observat o creștere a amenințărilor în ceea ce privește site-urile de networking social. Aceste amenințări au implicat phishing-ul conturilor de acces sau folosirea contextului social ca și modalități de sporire a „ratei de succes“ a amenințărilor online. Spammerii din anumite regiuni au promovat masiv site-urile de social networking. Aceste amenințări vor deveni tot mai importante pentru organizațiile IT, deoarece forța de muncă nou intrată accesează deseori respectivele unelte utilizând resursele corporative.
5. Securitatea virtuală: Virtualizarea tehnologiei va fi încorporată în soluțiile de securitate pentru a furniza un mediu izolat, protejat de haosul unui mediu de lucru corporativ normal. Această tehnologie va furniza un mediu sigur pentru tranzacțiile sensibile precum o infrastructură bancară sau o infrastructură de protecție critică, și anume componentele de securitate ce protejează mediul de lucru corporativ.
CONCLUZII
Standardele de securitate informatică își focalizeazǎ atenția asupra existenței acestui proces de avertizare asupra pericolelor și nu asupra conținutului sǎu. Directorii de IT din România sunt tot mai preocupați de problemele de confidențialitate, integritate și disponibilitate a datelor. Însă strategiile de IT sunt dezvoltate sau aplicate cel mai adesea în baza metodologiilor aprobate la nivel de grup de fiecare companie multinațională în parte.
Acolo unde structura corporativă o permite sau o impune, însă cel mai adesea politica de securitate depinde de factori interni precum bugetul sau disponibilitatea de personal intern specializat. Iar acest lucru se întâmplă în condițiile în care România se află, în continuare, în topul statelor care "furnizează" atacuri informatice.
Aproape 15% din bǎncile din România au servicii de Internet Banking insuficient protejate, cu erori de concepție a aplicației de administrare a serviciului, care permit exploatarea acesteia, cu condiția însǎ sǎ fii clientul bǎncii respective. Această condiție este motivată de faptul cǎ o vulnerabilitate în logica software poate fi identificatǎ numai prin utilizarea constantǎ a unui serviciu bazat pe o aplicație software.În afară de erorile din aplicație, vulnerabilitatea unui serviciu bancar disponibil online depinde și de nivelurile de protecție a accesului.
Un singur nivel, nume plus parola, este insuficient și trebuie dublat de token (dispozitiv care genereaza parole aleatorii de unica folosința) și/sau certificate digitale (pe baza de infrastructura de chei publice-private). De altfel, clientul este principala cale de acces a unui hacker în orice sistem informatic. Problema este ca mai puțin de 50% dintre bǎncile de la noi monitorizeazǎ aplicarea corectǎ a politicilor de securitate.
Chiar și în prezent , sunt companii, printre care și banci, în care nu se respecta politica de securitate, cu diferite implicații. De exemplu, nu se respectă regimul controlului porturilor USB, ceea ce permite conectarea la sistemul informatic a oricǎrui echipament de stocare mobila și descǎrcarea neautorizata de date.
O a doua vulnerabilitate o reprezintǎ angajații, care sunt, de cele mai multe ori, calea de acces a hackerilor în sistemele informatice ale companiilor.În general, măsurile de securitate, procedurile și politicile sunt prea relaxate tocmai fațǎ de omul din interior, care are tot timpul din lume să studieze vulnerabilitatile și căile de acces în toate componentele sistemului informatic
O altă problemǎ o reprezintǎ foile uitate în imprimantă sau lăsate pe mese. De asemenea, sunt companii sensibile, unde politica de înnoire a parolelor este ignorată de unele persoane.
În ceea ce privește BCR LEASING faptul că aceasta dispune de un sistem informatic bine protejat atât împotriva atacurilor de natură fizică cât și împotriva atacurilor electronice,tot ceea ce poate face societatea este să continue în permanență să îmbunătațească sistemul de protecție a datelor,învățând din greșelile altor societăți care din pricina neacordării atenției suficiente au avut de suferit pierderi importante în rândul clientelei și a imaginii.
BIBLIOGRAFIE
Andrew S. Tanenbaum – "Rețele de calculatoare", Ed. Computer Press Agora,Tg Mureș 2004.
Băduț, Mircea – “Informatica pentru manageri”, Ed. Teora,București 2005
Barnoschi, Adriana – “Era informaticii”, Ed. Dareco,București 2007
Baruch, Zoltan Francisc – “Sisteme de intrare/ieșire ale calculatoarelor”, Ed. ALBASTRA,București 2007
Buckley, Peter – “Internet – ghid complet”, Ed. LITERA INTERNATIONAL, București 2006
Cojocaru N.C. – “Contabilitate de gestiune”,Ed. Moldavia,București 2002
Dumitriu,Florin – „Sistemul informațional contabil în întreprinderea modernă”, Ed. Tiparul, Iași 2001
Gralla, Preston –„Cum funcționează internetul”,Ed. ALL,București 2006
Held G., Hundley K. – “CISCO – arhitecturi de securitate”, Editura Teora, 2002
2006
Lars Klander, "Anti-hacker.Ghidul securității rețelelor de calculatoare", Ed. ALL Educational, București 2002;
Lungu, Ion – “Sisteme informatice. Analiză, proiectare și implementare”, Ed. ECONOMICA,București 2007
McClure S., Scambray J., Kurtz G. – “Securitatea rețelelor”,Ed. Teora,București 2003
McClure, Stuart – “Securitatea datelor”, Ed. Teora,București 2006
Ogletree T.W. – “Firewalls. Protecția rețelelor conectate la Internet”, Ed. Teora,București 2003
Oprea,Dumitru – “Securitatea fizică a sistemelor de prelucrare automată a datelor “, Ed.Tribuna Economică,Iași 2001
Oprea, Dumitru – „Sisteme informaționale pentru manageri” Ed POLIROM,2007
Patriciu V. – “Securitatea informatică”, în PC World,2000
Patterson, David A. – “Organizarea și proiectarea calculatoarelor. Interfața Hardware/Software”,Ed. ALL,București 2007
PC-Magazin., 2005-2008
SamsNet – “Securitatea în internet”, Ed. Teora,București 2002
Stoleru V., Stoleru P. – “Protecția datelor”, în Computerworld, nr. 12/2001
Tribuna Economică,2000-2002
Ursăcescu, Minodora – “Sisteme informatice. O abordare între clasic și modern”, Ed. ECONOMICA,București 2006
www.bcr.ro
www.idc.com
www.wikipedia.org
Ziegler,R.L. – “Firewalls. Protejarea sistemelor Linux”, Ed. Teora,București 2004
Zota, Răzvan Daniel – “Rețele de calculatoare în era Internet” ,
Ed. ECONOMICA ,București 2007
Zota, Răzvan Daniel – “Sisteme de operare pentru rețele de calculatoare”,
Ed. ECONOMICA,București 2006
BIBLIOGRAFIE
Andrew S. Tanenbaum – "Rețele de calculatoare", Ed. Computer Press Agora,Tg Mureș 2004.
Băduț, Mircea – “Informatica pentru manageri”, Ed. Teora,București 2005
Barnoschi, Adriana – “Era informaticii”, Ed. Dareco,București 2007
Baruch, Zoltan Francisc – “Sisteme de intrare/ieșire ale calculatoarelor”, Ed. ALBASTRA,București 2007
Buckley, Peter – “Internet – ghid complet”, Ed. LITERA INTERNATIONAL, București 2006
Cojocaru N.C. – “Contabilitate de gestiune”,Ed. Moldavia,București 2002
Dumitriu,Florin – „Sistemul informațional contabil în întreprinderea modernă”, Ed. Tiparul, Iași 2001
Gralla, Preston –„Cum funcționează internetul”,Ed. ALL,București 2006
Held G., Hundley K. – “CISCO – arhitecturi de securitate”, Editura Teora, 2002
2006
Lars Klander, "Anti-hacker.Ghidul securității rețelelor de calculatoare", Ed. ALL Educational, București 2002;
Lungu, Ion – “Sisteme informatice. Analiză, proiectare și implementare”, Ed. ECONOMICA,București 2007
McClure S., Scambray J., Kurtz G. – “Securitatea rețelelor”,Ed. Teora,București 2003
McClure, Stuart – “Securitatea datelor”, Ed. Teora,București 2006
Ogletree T.W. – “Firewalls. Protecția rețelelor conectate la Internet”, Ed. Teora,București 2003
Oprea,Dumitru – “Securitatea fizică a sistemelor de prelucrare automată a datelor “, Ed.Tribuna Economică,Iași 2001
Oprea, Dumitru – „Sisteme informaționale pentru manageri” Ed POLIROM,2007
Patriciu V. – “Securitatea informatică”, în PC World,2000
Patterson, David A. – “Organizarea și proiectarea calculatoarelor. Interfața Hardware/Software”,Ed. ALL,București 2007
PC-Magazin., 2005-2008
SamsNet – “Securitatea în internet”, Ed. Teora,București 2002
Stoleru V., Stoleru P. – “Protecția datelor”, în Computerworld, nr. 12/2001
Tribuna Economică,2000-2002
Ursăcescu, Minodora – “Sisteme informatice. O abordare între clasic și modern”, Ed. ECONOMICA,București 2006
www.bcr.ro
www.idc.com
www.wikipedia.org
Ziegler,R.L. – “Firewalls. Protejarea sistemelor Linux”, Ed. Teora,București 2004
Zota, Răzvan Daniel – “Rețele de calculatoare în era Internet” ,
Ed. ECONOMICA ,București 2007
Zota, Răzvan Daniel – “Sisteme de operare pentru rețele de calculatoare”,
Ed. ECONOMICA,București 2006
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Protectia Si Securitatea Datelor Financiar Contabile In Bcr Leasing (ID: 145545)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.