Securitatea Informationala In Spatiul Cibernetic
CUPRINS
INTRODUCERE
Evoluția rapidă a tehnologiilor a determinat, de-a lungul istoriei, majoritatea schimbărilor importante ale strategiilor și doctrinelor militare, a modului de organizare și înzestrare a armatelor. Revoluția informațională a condus la apariția unui nou tip de război în care nici dimensiunea forțelor și nici mobilitatea acestora nu pot decide rezultatul. Acest fapt se datorează în primul rând noilor tehnologii, modului de colectare, stocare, procesare, transmitere și prezentare a informațiilor, iar în al doilea rând modului în care organizațiile sunt pregătite să folosească avantajul cantității uriașe de informații disponiblie în sistemele informatice și de comunicații.
Numărul utilizatorilor de INTERNET dar și proporția acestora din cadrul populației totale mondiale a crescut într-un ritm inimaginabil acum 20 de ani, ceea ce ne îndreptățește să afirmăm că tocmai am pășit în era informațională, așa după cum se
În era informațională, războiul nu mai ține exclusiv de domeniul militar. În cadrul competiției informaționale, care este la fel de veche ca și conflictul uman, statele, instituțiile și indivizii încearcă să-și mărească și să protejeze propria bază de informații, în paralel cu încercarea de a o limita pe cea a adversarului. În societatea informațională, informația – ca armă, țintă și materie primă strategică stă la baza tuturor deciziilor. Revoluția informațională a modificat ordinea și a erodat ierarhiile în cadrul unor instituții cu tradiții bine conturate. Rezultatul imediat al revoluției informaționale a constat în difuzarea și redistribuirea puterii, traversarea și redesenarea granițelor. Adaptarea la acest nou mediu, în care fluxul de informații, în timp real, este în continuă creștere, presupune înțelegerea unor riscuri în zona managementului informațional.
Războiul informațional este un domeniu care a cunoscut o cercetare și o dezvoltare ieșite din comun, căruia i se acordă o atenție și resurse de studiu și implementare tot mai mari, din SUA până în China, trecând prin lumea arabă și cea europeană, date fiind progresele rapide ale tehnologiei informațiilor din ultimele decenii. Lucrul esențial în războiul informațional este că informația este deopotrivă, resursă, țintă și armă. Utilizarea informației ca resursă de putere și ca armă cu caracter ofensiv sau defensiv, precum și evoluțiile rapide în domeniul tehnologiilor informaționale, au contribuit, în mare măsură, începând din epoca modernă, la schimbarea de paradigmă privind conflictele militare, dar și a celor subsumate acestora. Informația și modul în care a fost și este folosită a determinat o regândire a modalităților de purtare a războaielor moderne, precum și elaborarea de noi concepte, strategii și forme de acțiune, în care informația s-a dovedit la fel de eficientă ca mijloacele clasice de luptă.
Avantajele folosirii informației ca armă decurg din capacitatea celor care o dețin de a-și apăra interesele, pe de o parte prin mijloace neletale, iar pe de altă parte, prin posibilitatea de a acționa într-o manieră mai discretă, mai eficace, mai bine adaptată relațiilor actuale, fără ca vreo constrângere juridică internațională să poată, pentru moment, să-i îngrădească pe utilizatori. Progresele tehnologice au însoțit îndeaproape societatea post-industrială, numită societate informațională, în care armele clasice și chiar strategia de descurajare nucleară tind să nu mai ocupe un același loc în asigurarea unui echilibru al puterilor. Din acest motiv, actorii tradiționali ai relațiilor internaționale au găsit, în acest tip de război, mijlocul ideal pentru a-și promova interesele și a menține temporar echilibrul de putere în cadrul relațiilor inter-statale actuale.
Războiul informațional este tratat la nivel doctrinar în multe armate ale unor state puternice, iar cel puțin 30 de state și-au dezvoltat capacități ofensive în domeniu. Dacă admitem că spațiul cibernetic este un spațiu în care poate avea loc o confruntare complexă, cu importanți actori statali sau non-statali, ca în cazul terorismului internațional sau criminalității transfrontaliere, atunci conflictul din mediul cibernetic, sau războiul cibernetic este un fenomen aflat la confluența mai multor forme ale confruntării dintre acești actori, precum războiul imagologic (mediatic), războiul psihologic, război bazat pe informații/contrainformații, terorismul cibernetic, războiul bazat pe rețea, războiul electronic, criminalitatea informatică etc.
SUA consideră că amenințarea cibernetică este pe locul al treilea, în ordinea gravității, pentru securitatea națională, după terorism și proliferarea mijloacelor nucleare, iar NATO tratează amenințarea războiului cibernetic la fel de serios ca riscul unui atac cu rachetă, astfel încât apărarea cibernetică este acum menționată la cele mai înalte niveluri împreună cu apărarea anti-rachetă și securitatea energetică.
Există o multitudine de mijloace de atac informatic, pornind de la viruși, viermi și troieni, programe de culegere a datelor sensibile (spyware) și de tip trapă ascunsă (backdoors) până la intruziunea fizică și ingineria socială. Autorii acestor atacuri pot fi indivizi categorisiți în jargonul specific drept hackeri, crackeri sau phreakeri, printre aceștia din urmă numărându-se spionii guvernamentali sau ai unor corporații care realizează activități de culegere de date private sau clasificate, angajații sau foștii angajați nemulțumiți sau frustrați, angajații temporari cu drepturi limitate, concurenții, indivizi cu afecțiuni patologice, mercenarii și tinerii teribiliști.
Spațiul virtual (cyberspace) a devenit de ceva vreme a cincea dimensiune a confruntării militare, astfel încât în cadrul războiului informațional putem defini, în funcție de stările de pace, criză sau război, două faze ale confruntării cibernetice: război în rețea, pe timp de pace și pre-criză și război cibernetic, pe timp de criză, război și post-conflict.
Caracteristica comună a confruntărilor din spațiul cibernetic este raportul antagonic continuu stabilit între amenințările care se manifestă în spațiul cibernetic – terorism, spionaj, sabotaj, subversiune și crimă organizată și între securitatea informațională.
Securitatea informațională este constituită de ansamblul complex de forțe, mijloace, politici, reglementări, măsuri și operații desfășurate în scopul identificării, monitorizării, prevenirii și contracarării amenințărilor TESSO (abreviere uzuală provenită de la termenii Terrorism, Espionage, Sabotage, Subversion, Organized Crime) în spațiul cibernetic.
În acest context, lucrarea abordează întregul spectru al conflictului în spațiul cibernetic, de la atac la ofensivă, realizând un studiu introspectiv și cuprinzător asupra amenințărilor, vulnerabilităților, formelor de manifestare a atacurilor și metodelor de apărare și asigurare a securității informaționale în spațiul cibernetic.
Astfel, în capitolul unu sunt tratate în mod analitic și pe larg amenințările din spațiul cibernetic, pornind de la cadrul general și mediul de manifestare și până la clasificarea și descrierea acestora. În primul subcapitol se încearcă o delimitare și o clarificare a conceptelor cu care se operează în domeniul studiului conflictelor armate, pornind de la formele și dimensiunile confruntării și continuând cu domeniile războiului informațional precum și cu principalele doctrine ale acestuia în câteva țări capabilități dezvoltate în acest domeniu, atât la nivel conceptual, cât și doctrinar. De asemenea, au fost identificate diverse forme de conflict sau tipuri de războaie care se pot și se manifestă în mod plenar în spațiul cibernetic, autorul îmbrățișând concluzia că spațiul cibernetic este cea dea cincea dimensiune a confruntării, pe lângă cele terestră, aeriană, navală și spațială. În al doilea subcapitol se realizează o analiză multidimensională a modului de manifestare a amenințărilor din spațiul cibernetic, atât din punct de vedere al mijloacelor de atac informatic37, dar și al profilurilor autorilor și a scopurilor acestora. În fine, în ultimul subcapitol se realizează o radiografie a modului de manifestare a amenințărilor de terorism cibernetic, spionaj cibernetic, subversiune în spațiul cibernetic, sabotaj al infrastructurilor critice informaționale și criminalitate informatică, pornind de la amenințările clasice TESSO (Terrorism, Espionage, Subversion, Sabotage, Organized crime) la adresa securității internaționale și realizând o proiecție a acestora în spațiul cibernetic.
În capitolul doi al tezei sunt tratate mai multe subdomenii ale securității informaționale, ca principală formă de prevenire, dar și de contracarare, a amnințărilor din spațiul cibernetic. Astfel, în subcapitolul referitor la domeniile și cadrul de realizare a protecției informațiilor, sunt descrise și analizate normele și reglementările de protecție a informațiilor din cadrul sistemului național de protecție a informațiilor clasificate, precum și standardele și principiile de management al protecției informațiilor naționale sau ale Alianței Nord-Atlantice. Un alt subcapitol este dedicat cercetării și descrierii politicilor generale, a standardelor, principiilor și mecanismelor de securitate a sistemelor informatice și de comunicații, cunoscută și sub acronimul INFOSEC. Un rol important în prevenirea incidentelor de securitate îl joacă auditul de securitate al organizațiilor și al sistemelor informaționale pe care le dețin și le exploatează, iar în teză sunt analizate modalitatea de realizare a unui audit linear, simplu comparativ cu auditarea de sistem în conformitate cu standarde internaționale recunoscute. În consecință, lucrarea evidențiază în subcapitolul respectiv că primele două direcții majore de evoluție de la INFOSEC la securitate informațională (cunoscută în armatele țărilor membre NATO ca information assurance), sunt auditul complex de securitate al sistemelor informaționale și managementul integrat al riscurilor de securitate. Având la bază studiul aprofundat al principiilor și standardelor de management al riscurilor, autorul propune un model practic, simplificat, de management al ușor de implementat al riscurilor, bazat pe identificarea și evaluarea nivelurilor amenințărilor, vulnerabilităților, măsurilor de contracarare, dar și a probabilității de apariție și a impactului produs de fiecare risc în parte. Pe baza acestui model de management integrat, conducerea organizației va apela la o matrice și o schemă de tratare a riscurilor constând în eliminarea, diminuarea, acceptarea sau transferul către organizația ierarhic superioară a fiecărui risc în parte. O latură extrem de importantă a dezvoltării laturii preventive a securității informaționale o constituie educația de securitate, care face obiectul tratării în ultimul subcapitol, atât din punct epistemologic cât și al cerințelor de instruire, nu numai a utilizatorilor dar și a responsabililor și șefilor unei organizații.
În capitolul trei, autorul se concentrează asupra apărării cibernetice, ca o componentă de bază a securității informaționale, analizându-se atât forma reactivă de detectare și reacție la incidentele de securitate din sistemele informaționale, bazele juridice și procedurale precum și tehnologiile și metodologiile de efectuare a investigațiilor informatice, cât și cea proactivă, cunoscută și sub denumirea de operații defensive active în spațiul cibernetic, bazate pe identificarea, cunoașterea și contracararea mijloacelor, tehnicilor și autorilor atacurilor cibernetice, folosind procedee ofensive sau de înșelare a atacatorilor. De asemenea, este propus un model de capabilitate CERT departamental, de tip ierarhic, pornind de la etapele de dezvoltare și continuând cu o variantă de organigramă și un minim de echipamente și instrumente.
În finalul tezei sunt enumerate principalele concluzii rezultate în urma efortului de documentare și cercetare, dar și un set de propuneri care pot fi aplicate de către organizațiile cu responsabilități în acest domeniu sau de către responsabilii cu atribuții pe linia securității informaționale.
CAPITOLUL 1
AMENINȚĂRI LA ADRESA SECURITĂȚII INFORMAȚIONALE
ÎN SPAȚIUL CIBERNETIC
1.1. Concepte aplicate în spațiul cibernetic
Războiul viitorului pare să se înscrie într-un spectru foarte larg de acțiuni și reacții, într-un spațiu multidimensional pe care se definesc, între altele, și următoarele tipuri de acțiuni și conflicte non-cinetice: informaționale, cibernetice, psihologice, mediatice, economice, cosmice, culturale, genetice, geofizice, purtate prin mijloace militare și post-conflict. În lucrarea „Războiul viitorului, viitorul războiului” sunt enumerate și descrise succint următoarele dimensiuni ale confruntării în războiul modern:
– războiul purtat prin mijloace militare;
– operațiunile militare altele decât războiul;
– conflictul economic;
– conflictul mediatic;
– conflictul cultural;
– conflictul în spațiul cosmic;
– conflictul geofizic;
– războiul informațional;
– războiul bazat pe rețea;
– războiul cibernetic.
Războiul exprimă o stare socială critică ce afectează cultura, nivelul tehnologic, valorile, infrastructura, nivelul de organizare și nivelul educațional al actorilor implicați direct sau indirect. Extrema diversitate a formelor luate de conflicte de-a lungul timpului reprezintă una dintre cauzele lipsei unei definiții unitare și riguroase a noțiunii de război, precum și ale definirii aproximative a noțiunilor „prieten”, „aliat”, „adversar”, „inamic”, „neutru” sau „alianță”.
1.1.1. Dimensiuni și forme ale confruntării
Așa-numitul război al omului și al uneltelor s-a desfășurat pe o suprafață terestră aproximativ determinată, cu actori aproximativ definiți. Deși uneltele și informația au coexistat în această perioadă, rolul predominant l-a avut factorul uman. Războiul clasic sau războiul erei agricole a fost încadrat in timp istoric și s-a manifestat ca rezultat al confruntării voinței actorilor implicați (state, coaliții etc.). Acesta a evidențiat superioritatea militară a unei entități politico-statale, asociată ideii de posesie a anumitor resurse, ca fundament al puterii.
O nouă etapă în evoluția războiului o reprezintă războiul modern sau așa-numitul război al erei industriale, definit ca „o simplă continuare a politicii prin alte mijloace”, citându-l aici pe Klausewitz din lucrarea neterminată „On war”. Acesta presupune implicarea oamenilor și a uneltelor specifice războiului clasic, la care s-au adăugat echipamentele (tancurile, crucișătoarele și avioanele) și sistemele de infrastructură (rețelele de cale ferată, șosele, sisteme de comunicații și de transmitere a datelor). Astfel, războiul a devenit o luptă armată între state, în care fiecare încearcă să-și impună voința asupra celuilalt, prin recurgerea la forță, în scopul învingerii adversarului și al reglementării conflictului armat prin mijloace juridice, precum convenții și tratate.
Spre deosebire de formele clasice de derulare a războiului, în care amplitudinea cinetică era determinantă în confruntările moderne, o pondere importantă au avut acțiunile în planul obținerii supremației asupra psihicului și a informației. După anii '80, dezvoltarea impresionantă a mijloacelor de informare, de la INTERNET la noile tehnologii informaționale, au declanșat procesul de revizuire a ideii de „proiecție a puterii”. Schimbarea raportului dintre forța fizică și inteligența beligeranților, îndeosebi după confruntările din Golful Persic, din secolul al XX-lea și începutul secolului al XXI-lea, este rezultatul progresului tehnologic al erei nucleare. Aceasta a modificat profund natura războiului, rezumată de Raymond Aron prin formula „război improbabil, pace imposibilă”. Practic, pacea era imposibilă din cauza rivalităților prea puternice dintre cele două blocuri politico-militare, iar războiul era improbabil, deoarece efectele utilizării armelor atomice ar fi condus la un rezultat aleatoriu sau catastrofal pentru ambii adversari.
Informația reprezintă o dimensiune funcțională distinctă a conflictului dintre actori, care-l transformă într-un război silențios, bazat pe o strategie în cadrul căreia se utilizează mijloace tehnice sofisticate, nu pentru distrugerea fizică a adversarului, ci pentru controlul, anihilarea și neutralizarea acestuia, printr-o superioritate informațională, de regulă, evitându-se recurgerea la o confruntare armată directă. Astfel, dimensiunile clasice și moderne ale războiului se completează cu o nouă dimensiune, cea informațională care determină redimensionarea conceptelor de trupe, dispozitive, operații, front, teatru, dincolo de limitele lor geografice și temporale, în care forța armată (oamenii și tehnica de luptă) se află în plan secundar.
În contextul conflictelor prezente și viitoare, formele și dimensiunile războiului sunt analizate din perspectiva proliferării tehnologiilor informaționale avansate în cadrul operațiilor militare, fapt ce a revoluționat tehnica militară și, pe cale de consecință, acțiunile militare. Acest fenomen a condus la schimbarea tehnologiilor, dezvoltarea sistemelor și inovațiilor în plan operațional. Spre deosebire de perioada războiului clasic și modern, când războiul a urmărit realizarea unor obiective strict naționale, acesta a evoluat, de la stadiul de violență organizată, la cel de influențare ostilă, în care scopul principal este influențarea și controlul funcționării unui sistem socio-politic, și nu distrugerea acestuia. Informația a transformat fundamental formele clasice si dimensiunile conflictelor, astfel încât se vorbește astăzi de războiul informațional.
Teoria și practica războiului informațional se bucură, în ultimul timp, de o atenție crescândă din partea politicienilor, strategilor, oamenilor de știință, precum și a mass-media din diferite țări, în special din spațiul nord-atlantic și european, fenomen dovedit de frecvența discursurilor publice, a conferințelor și simpozioanelor, studiilor și cărților ce abordează această problemă.
Schimbările în plan conceptual și strategic produse de evoluția tehnologiilor au condus la noi forme de luptă cum ar fi terorismul cibernetic. După evenimentele din 11.09.2001 și invazia Afganistanului de către forțele militare conduse de SUA, noua armă a organizației teroriste AL-QAEDA a devenit INTERNETUL, pe care l-a folosit, inițial, ca mijloc de comunicare sigur și protejat pentru propagandă, recrutare și instructaj terorist. Odată cu recunoașterea eficienței utilizării INTERNET-ului și recrutarea de specialiști în domeniul IT&C, AL-QAEDA a devenit o prezență tot mai activă în spațiul virtual, îmbinând războiul din teren cu Jihadul Electronic.
Din perspectiva societății civile, conceptul de război informațional atrage după sine o multiplicare a raporturilor de forță, în timp ce în plan militar există o aparentă limitare a acestora (restrângerea puterii militare datorită reducerii caracterului violent al confruntărilor). Între cele două perspective există și puncte comune: în primul rând, un aliat poate fi în același timp și adversar (de unde natura duală: cooperare – concurență), iar în al doilea rând, războiul informațional stabilește un nou raport între realitățile de ordin strategic, tehnic (prezența tot mai mare a informaticii și a rețelelor informaționale) și simbolic.
Cercetătorii americani John J. Arquilla și David F. Ronfeldt de la Centrul pentru studii de apărare a Corporației RAND apreciază că „revoluția informațională va cauza schimbări atât în ceea ce privește modul în care societățile intră în conflict, cât și în modul în care forțele armate ale acestora pot angaja războiul”. Pornind de la acest fapt, se evidențiază existența a două tipuri de conflict: primul este războiul prin rețea (netwar) – desfășurat la nivelul societății civile, iar cel de-al doilea este războiul cibernetic (cyberwar) – desfășurat în plan militar.
Războiul prin rețea reprezintă o intrare nouă în spectrul conflictelor la nivelul națiunilor sau societăților, care diferă de formele clasice de război economic, politic, social și militar. Scopul principal al războiului prin rețea este de a deforma percepția populației sau a liderilor de opinie asupra unor probleme majore aflate în dispută. În termeni tradiționali, războiul prin rețea nu este un război real, dar se poate transforma, din faza timpurie, într-un instrument care să împiedice declanșarea unui război real de către adversar. Prezența în spațiul virtual a devenit o nouă formă de descurajare, la fel de importantă ca și amenințarea unei națiuni cu o puternică forță armată.
În contrast cu războiul economic, ale cărui obiective sunt producția și/sau distribuția de bunuri, sau cu războiul politic, care are ca obiective liderii și instituțiile guvernamentale, războiul prin rețea se deosebește prin țintele sale: informațiile și sistemele prin care acestea sunt vehiculate. Formele preponderente de manifestare sunt acțiunile desfășurate la nivel diplomatic, propaganda și campaniile psihologice, subversiunea politică și culturală, înșelăciunea sau manipularea mass-mediei locale, infiltrarea în rețelele de calculatoare, promovarea și susținerea mișcărilor disidente sau de opoziție prin intermediul rețelelor de calculatoare.
Un exemplu de război prin rețea, recent și ilustrativ, îl constituie atacurile cibernetice din 2007 asupra principalelor site-uri web guvernamentale și private din Estonia, care au fost ținta unor atacuri de tip „denial of services”. Conflictul electronic a început datorită neînțelegerilor apărute între Estonia și Rusia ca urmare a mutării monumentului soldatului rus din centrul capitalei Tallin, într-un cimitir militar. Conform declarației lui Jakk Aaviksoo, ministrul apărării estonian, „Aceste atacuri au fost masive, cu ținte precise și foarte bine organizate”.
Războiul informațional este un domeniu care a cunoscut o cercetare și o dezvoltare ieșite din comun, căruia i se acordă o atenție și resurse de studiu și implementare tot mai mari, din SUA până în China, trecând prin lumea arabă și cea europeană, date fiind progresele rapide ale tehnologiei informațiilor din ultimele decenii. O primă reprezentare a interferențelor dintre conceptele care operează în spațiul cibernetic este ilustrată în figura 1.1.
Figura 1.1. Interferențe între conceptele care operează în mediul cibernetic
Termenul de război informațional a fost folosit pentru prima dată în anul 1976, de către analistul politico-militar american Thomas P. Rona, care a conștientizat faptul că în toată perioada Războiului Rece s-a desfășurat un „război invizibil”, mult mai subtil decât războiul clasic.
Potrivit aprecierii sale, războiul informațional reprezintă „totalitatea acțiunilor la nivel tactic, operativ și strategic, desfășurate pe timp de pace, criză, escaladare a crizei și a conflictului, prin operațiuni specifice sau prin agresiuni informaționale care, pentru atingerea obiectivelor proprii, folosesc mijloace informaționale”.
Printre primii care au încercat definirea acestui termen, se numără și Alvin Toffler, care aprecia că „pentru a ataca o națiune, se poate obstrucționa fluxul informațiilor – tăierea legăturii dintre sediul societății multinaționale și filialele sale din străinătate, ridicarea de bariere informaționale în jurul ei etc.”.
Reflecțiile asupra erei informaționale, continuate de același autor în lucrarea Război și Anti-război. Supraviețuirea în zorii secolului XXI, au generat în Statele Unite numeroase dezbateri asupra conceptului de război informațional.
1.1.2. Domenii ale războiului informațional
Operațiile informaționale, cum sunt denumite după unii autori acțiunile de război informațional, pe timp de pace sau pre-criză, pentru a evita antagonismul dintre cele două noțiuni, constau în esență în desfășurarea permanentă a unor operații de culegere, utilizare, protecție, valorificare, interzicere sau gestionare a informațiilor provenite din următoarele infrastructuri informaționale:
– infrastructura informațională cultural-științifică;
– infrastructura informațională internațională militară;
– infrastructura informațională economică;
– infrastructura informațională financiar – bancară;
– infrastructura mass-media;
– infrastructura informațională a organizațiilor neguvernamentale;
– infrastructura informațională socială;
– infrastructura informațională politico-diplomatică.
Este de remarcat că aceste infrastructuri au devenit, în condițiile globalizării, din ce în ce mai interconectate, interdependente și influente, concomitent cu creșterea caracterului critic al acestora, în sensul că toate comunitățile care le asigură sau le compun au un nivel de dependență din ce în ce mai ridicat față de acestea, nefuncționarea lor punând într-un grav pericol însăși funcționarea comunităților respective.
O proiecție a acestor operații asupra informațiilor procesate și destinate mediilor țintă ale acestora este prezentată în anexa nr. 1. Astfel, se poate observa că toate informațiile care populează infrastructurile informaționale specifice domeniilor de activitate sunt sau pot fi supuse, în mod aleatoriu sau dirijat, în mod voit sau nevoit, proceselor de valorificare, protejare, interzicere, gestionare sau utilizare.
La ora actuală, deși nu există o definiție unanim acceptată a războiului informațional, acesta ocupă deja un loc important în cadrul doctrinelor militare. Odată ce organizațiile mari, guvernamentale și neguvernamentale, civile și militare, economice și sociale au ajuns să depindă de fluxuri masive, prompte și precise de informații, vulnerabilitățile inerente sistemelor informaționale pe scară largă trebuie luate în considerare deoarece ar putea avea implicații nedorite sau aleatoare. Ele pot fi, de asemenea, exploatate de potențialii adversari, de la hackeri rău intenționați la state ostile cu tehnologie avansată. Conceptul de război informațional cuprinde toate funcțiunile tradiționale, precum și cele mai recent recunoscute implicate în interacțiunea cu fluxul informațional al potențialilor adversari. Aceste activități/componente ale războiului informațional sunt:
– interferența fluxurilor informaționale adverse;
– manipularea acestora;
– prevenirea interferențelor cu fluxurile proprii;
– prevenirea exploatării acestora.
În figura 1.2 este prezentat un model clasic de interferență și exploatare a unui flux informațional, utilizat de toți cercetătorii din domeniu, care poate avea drept unul sau mai multe din obiectivele următoare:
– degradarea poziției inamicului;
– influențarea deciziilor inamicului;
– îmbunătățirea situației proprii.
In sens strict militar însă, războiul informațional cuprinde operații informaționale desfășurate în perioadele de criză sau de conflict, în scopul atingerii unor obiective sau al influențării unor anumite ținte.
Figura 1.2. Model generic de interferență și exploatare a unui flux informațional
Abordarea conceptului de război informațional este foarte diferită, iar clarificarea sa a fost pusă în pericol pe măsura apariției și utilizării unor noi expresii, mai mult sau mai puțin echivalente sau complementare precum:
– războiul cibernetic (cyberwar);
– războiul prin rețea (netwar);
– operații bazate pe calculatoare (computer network operations);
– războiul bazat pe rețea (network centric warfare);
– războiul hackerilor (hackers war);
– războiul comandă control (command and control warfare);
– războiul C4ISR;
– terorismul cibernetic (cyber Jihad).
De asemenea, formele de manifestare ale războiului informațional pe domenii de activitate social/economic/cultural/militar sunt mai mult sau mai puțin proeminente funcție de starea de pace, criză, război sau post-conflict în care se află doi sau mai mulți actori geopolitici, într-o anumită etapă. O reprezentare a interacțiunii între aceste forme sau domenii ale războiului informațional este ilustrată în anexa nr. 2.
În concluzie, războiul informațional are un caracter global, atotcuprinzător ca medii de manifestare și modalități de desfășurare în timp și spațiu.
1.1.3. Doctrine de război informațional
Războiul informațional a cunoscut o continuă dezvoltare conceptuală, atât în cadrul dezbaterilor teoretice dar și în cadrul unor adevărate școli de gândire sau institute de cercetare din întreaga lume. Unele națiuni au avut dezvoltări colective, instituționale ale conceptului și aplicațiilor acestuia, printre cele mai avansate fiind SUA, Marea Britanie, Franța, China, Australia și Rusia. În continuare se prezintă, în sinteză, principalele elemente ale doctrinelor de război informațional ale SUA, China și Rusia și se realizează o analiză comparată a acestora.
Principiile generale ale războiului informațional în SUA
În SUA, conceptul de război informațional a fost lansat oficial în 1992, la aproape doi ani de la Războiul din Golf, considerat a fi „războiul pilot” în care s-a folosit întreagă gamă de mijloace specifice războiului informațional. Atunci, prima definiție dată războiului informațional de către departamentul apărării a fost ca fiind „totalitatea acțiunilor desfășurate pentru împiedicarea exploatării, coruperii și distrugerii sistemelor informaționale proprii în același timp cu exploatarea, coruperea și distrugerea sistemelor informaționale ale adversarului”.
Conceptul a fost definit de către Departamentul Apărării al SUA ca „orice acțiune de a nega, exploata, distorsiona sau distruge informația inamicului și mijloacele de procesare a acestuia, protejându-le pe ale noastre împotriva acțiunilor inamicului și exploatând funcțiile informației militare”. În plan strategic, la nivelul conducerii armatei SUA, se consideră că războiul informațional este „o activitate militară de contracarare a acțiunilor specifice războiului de comandă și control, manifestată prin asigurarea integrală a securității operațiilor, folosirea inducerii în eroare a structurilor militare adversare, operațiunii psihologice de mică sau mare amploare, influențarea, degradarea și distrugerea capacităților de comandă și control al acesteia, protecția capacităților militare de comandă și control ale aliaților, contra-acțiunea adversarilor”. O analiză ulterioară a rezultatelor teoretice și practice ale armatei americane a dus la o redefinire a războiului informațional drept ”acțiunile desfășurate pentru obținerea superiorității informaționale prin afectarea informațiilor, proceselor bazate pe informație, sistemelor informaționale și rețelelor bazate pe calculatoare ale inamicului, în același timp cu apărarea propriilor informații, procese informaționale, sisteme informaționale și rețele de calculatoare”.
Astfel operațiile informaționale sunt definite în doctrina integrată JP3-13 dar și în lexiconul militar ca fiind „acțiunile întreprinse pentru a afecta informațiile și sistemele informaționale ale adversarului, concomitent cu apărarea celor proprii; capabilitățile majore de a desfășura o operație informațională, pot conține, fără să fie limitate numai la acestea, securitatea operațiilor, operațiile psihologice, inducerea în eroare militară, războiul electronic și atacuri de distrugere fizică, dar și atacuri în rețelele de calculatoare”. Războiul informațional este definit în ambele publicații sus-menționate ca „suma operațiilor informaționale desfășurate pe timp de pace, criză sau conflict pentru a atinge sau promova obiective specifice asupra anumitor adversari”.
Ultima definiție a armatei SUA pentru operațiile informaționale, care pare a fi unanim acceptată, este cea dată în manualul de luptă FM 3-13, ca fiind „angajarea capabilităților de bază de război electronic, operații în rețele de calculatoare, operații psihologice, inducerea în eroare și securitatea operațiilor în simultan cu utilizarea capabilităților de suport și de sprijin pentru a afecta sau proteja informațiile și sistemele informaționale și a influența luarea procesul de luare a deciziilor”. O ilustrare a acestor concepte doctrinare și a relațiilor lor temporale este prezentată în figura 1.3, adaptată după FM 3-13.
Figura 1.3. Locul securității informaționale în cadrul operațiilor informaționale
Verbele cele mai adecvate pentru a caracteriza elementele operațiilor informaționale sunt: a coopta, a transmite, a trata rapid o informație, a împiedica adversarul să facă același lucru, a denatura, a dezinforma sau a proteja infrastructura proprie.
În legătură cu aceste ultime definiții putem face câteva remarci:
a) războiul informațional este limitat, în principal, doar la perioadele de criză și război, pe timp de pace sau în perioada post-conflict funcțiile acestuia fiind preluate de către operațiile informaționale;
b) operațiile informaționale se desfășoară permanent și constituie o simbioză între războiul informațional, securitatea informațională și operațiile informaționale speciale, acțiunile derivate din cadrul ultimelor două componente desfășurându-se și în perioada pre-criză și post-conflict;
c) operațiile informaționale au ca suport și ca mediu de desfășurare sistemele C4, dar și sistemele de informații de toate tipurile și de contrainformații.
Statele occidentale au avut abordări legate de războiul informațional, în general bazate pe conceptele americane, într-o oarecare varietate, lucru normal dacă luăm în considerație apartenența acestora la organizații politico-militare comune cum ar fi NATO și Uniunea Europeană, dar și contribuțiile teoretice comune ale specialiștilor din aceste țări. Spre exemplu, M. Howard prezintă operațiile de război informațional utilizate de britanici pentru protecția operațiunilor militare de la El Alamein, în Sicilia și Normandia, integrate într-o adevărată campanie, care au afectat capacitatea de luptă a inamicului și au schimbat cursul acțiunilor militare. El afirmă că integrarea operațiunilor de război informațional, astfel încât să devină eficiente, trebuie să se realizeze pe trei niveluri primare:
– integrarea ofensivei și defensivei;
– integrarea tuturor operațiunilor psihologice, inducerii în eroare, războiului electronic, distrugerii fizice și securității operațiilor;
– integrarea temporală pe timpul etapelor de pace, criză, război și post-conflict.
Principiile generale ale teoriei luptei informaționale din Federația Rusă
În concepția unor strategi din Federația Rusă, lupta informațională presupune întrebuințarea procedeelor și mijloacelor speciale pentru influențarea mediului informațional al părții adverse, precum și protecția celui propriu, în scopul îndeplinirii obiectivelor propuse. Dată fiind specificitatea ei, lupta informațională reprezintă o formă de confruntare de sine stătătoare, dar și un element constitutiv al oricărui alt tip de luptă (armată, ideologică, economică etc.). Lupta informațională se desfășoară permanent, atât în timp de pace, cât și în timp de război. Ea trebuie sa aibă un caracter planificat, sistematic, bazat pe cunoașterea aprofundată a normelor și legităților luptei informaționale. Scopul luptei informaționale constă în asigurarea unui nivel propriu suficient de securitate informațională și a unei diminuări maxime a nivelului securității informaționale a părții adverse. Atingerea acestui deziderat se poate realiza printr-o serie de misiuni, dintre care cele mai importante sunt neutralizarea obiectivelor din mediul informațional al părții adverse și protecția informației proprii.
Ca urmare, conținutul luptei informaționale este determinat de numeroși factori, dintre care pot fi menționați cei politici, economici, spirituali și în special cei militari și informaționali.
Principiile luptei informaționale, adică aspectele fundamentale științifice, regulile, recomandările privind pregătirea și ducerea luptei informaționale, conducerea forțelor și mijloacelor acesteia, sunt următoarele:
– principiul general cunoscut al artei militare – necesitatea concentrării forțelor in locul și în momentul hotărâtor – este actual și pentru lupta informațională;
– pregătirea multilaterală și din timp a forțelor și mijloacelor sale;
– pregătirea permanentă a forțelor și mijloacelor specializate în lupta informațională pentru protecția informației proprii și pentru desfășurarea acțiunii distructive asupra mediului informațional al părții adverse;
– spiritul activ și fermitatea acțiunilor;
– corelarea întrebuințării în luptă a tuturor forțelor și mijloacelor luptei informaționale;
– continuitatea luptei informaționale;
– ducerea luptei informaționale cu intensitatea necesară îndeplinirii misiunilor primite;
– manevra concomitentă a forțelor și mijloacelor de luptă informațională;
– acțiuni prin surprindere, întrebuințarea unor procedee neașteptate de inamic în scopul îndeplinirii misiunii;
– luarea în considerație a factorului spiritual în scopul îndeplinirii misiunilor primite;
– asigurarea materială, tehnică și medicală;
– menținerea capacității de luptă și refacerea operativă a forțelor și mijloacelor de război informațional;
– fermitatea și continuitatea conducerii forțelor și mijloacelor luptei informaționale;
– hotărârea în atingerea scopurilor fixate, în îndeplinirea hotărârilor luate și a misiunilor stabilite;
– principiul spiritului activ și ferm al luptei;
– principiul întrebuințării de comun acord a diferitelor categorii și tipuri de forțe și mijloace ale luptei informaționale;
– principiul acțiunilor prin surprindere. Realizarea surprinderii cuprinde: păstrarea secretului privind concepțiile și planurile acțiunilor care vor avea loc; pregătirea în secret pentru întrebuințarea forțelor și mijloacelor luptei informaționale; executarea loviturilor asupra mediului informațional al inamicului acolo unde acesta nu se așteaptă; întrebuințarea, pentru îndeplinirea misiunilor, a unor categorii de armament informațional și a unor procedee necunoscute de acesta; mascarea abilă și dezinformarea.
De asemenea, conform școlii rusești din domeniu, războiul informațional cuprinde patru forme/acțiuni: acțiuni informatice; atacuri informatice; lupta informațională; operația informațională.
Principiile generale ale războiului informațional în China
Timothy L. Thomas afirmă în lucrarea Dragon Bytes că „Organismul militar din China este un competitor important și emergent în domeniul războiului informațional”. Un studiu aprofundat al modului în care China își construiește propriile teorii și practici referitoare la războiul informațional arată că această construcție a fost realizată de China în mod oarecum transparent, astfel:
a) la început ca o reacție la dezvoltările conceptuale și practice ale statelor occidentale, când timp de zece ani sute de specialiști militari și teoreticieni din mediul universitar au publicat articole și cărți despre războiul informațional, dar și despre conceptele legate de acesta (rețelistică, teoria informației, simulări, securitatea informației) foarte semnificative în ceea ce privește profunzimea analizelor și creativitatea care le-a caracterizat;
b) într-o etapă imediată, aceste dezvoltări au fost utilizate pentru a răspunde cerințelor interne de modernizare și instruire a forțelor armate, adaptate la noile circumstanțe tehnologice. Începând cu 2003, în numeroase ocazii liderii chinezi au subliniat cerința expresă pentru Armata Populară de Eliberare de a evolua de la o forță armată mecanizată la una modernă, automatizată.
O analiză a lucrărilor celor mai buni specialiști chinezi în domeniul războiului informațional, arată că teoria lor referitoare la acest domeniu este presărată de ,,caracteristici specifice culturii militare și filosofiei chinezești; un exemplu în acest sens îl constituie integrarea în mod extensiv a stratagemelor în această teorie. Stratagemele sunt definite ca scheme și metode inteligente de realizare și menținere a supremației informaționale, ca parte componentă decisivă a superiorității militare”.
În mod natural, gânditorii militari chinezi au integrat în mod rapid teoria războiului informațional în conceptul de război popular, care a fost astfel adaptat încât să cuprindă lupta armată, de gherilă a întregului popor împotriva invadatorului, dar și o „multitudine de operatori de computere care să desfășoare prin intermediul laptop-urilor personale, o bătălie ,,domestică” împotriva unui ,,invadator electronic al frontierelor chinezești”. Acest lucru devine extrem de relevant dacă luăm în considerație faptul că în 2009, pentru prima dată, numărul utilizatorilor de INTERNET, estimat la 260 de milioane, a depășit populația totală a SUA sau populația activă a Uniunii Europene.
Țintele războiului informațional chinez, conform unor gânditori militari chinezi, sunt sursele de informații, canalele, destinațiile, precum și sistemele C4I și cele de război electronic, așa cum sunt ilustrate în figura 1.4.
Figura 1.4. Componentele războiului informațional, conform teoriei chineze
Printre gânditorii militari și strategii chinezi există mai multe încercări de abordare și definire a războiului informațional. Dintre acestea pot fi enumerate următoarele:
– confruntarea în care două părți utilizează instrumente ale tehnologiei informației pentru a obține controlul și utilizarea informației;
– războiul care are ca scop capturarea spațiului informațional și deținerea / posesia resurselor informaționale;
– lupta între două grupări opuse în spațiul informațional, pe timpul unui conflict armat;
– războiul popular sub auspiciile erei tehnologiei informaționale.
Dr. Shen Weiguang, considerat părintele conceptului chinez de război informațional a definit, într-una din cărțile sale, intitulată Al treilea război mondial – războiul informațional total, războiul informațional ca fiind „războiul dintre grupuri opuse militare, dar și economice, politice, științifice, culturale și tehnologice și alte grupuri din toate domeniile de activitate ale societății pentru ocuparea spațiului informațional și controlul resurselor informaționale. În esență, acesta se referă la atingerea de către un stat a obiectivelor sale macro-strategice prin utilizarea tehnologiei informației”. De asemenea, dr. Shen Weiguang enumeră câteva din caracteristicile războiului informațional, în viziunea sa, astfel:
– atât operațiile ofensive cât și cele defensive ale războiului se desfășoară în arenele informațională și psihologică;
– obiectivul războiului informațional este capturarea și controlul informației, care asigură eficiența acțiunilor de luptă;
– războiul informațional este purtat prin intermediul armelor informaționale și a sistemelor informaționale; acestea sunt împărțite în arme letale (de înaltă precizie, teleghidate, bazate pe pulsul electromagnetic, biologice și nano-tehnologice) și arme informaționale neletale (sisteme de bruiaj electronic, fotografic sau acustic, viruși de calculatoare, echipamente de război psihologic);
– conținutul principal al războiului informațional este confruntarea între sistemele C4I dusă în scopul slăbirii, deteriorării, neutralizării sau distrugerii sistemelor inamice;
– războiul informațional este mai aproape de sensul expresiei de timp-real în ceea ce privește descoperirea, comanda, atacul, mobilizarea, asigurarea și protecția, decât alte tipuri de război;
– principalul obiectiv al războiului informațional este degradarea informațională prin atacarea, deteriorarea și interferarea cu sistemele informaționale inamice, astfel încât informația să-și piardă integritatea, confidențialitatea, autenticitatea, acuratețea, utilitatea și oportunitatea.
1.1.4. Forme de război în spațiul cibernetic
Războiul bazat pe rețea
Războiul bazat pe rețea (RBR) este un concept care are ca suport revoluția în arta militară și este războiul specific societății informaționale. Se profilează ca o nouă eră a războiului, ca un nou tip de război. Așadar, războiul bazat pe rețea este un război modern în care se folosesc sistemele C4I2SR (Command, Control, Communications, Computers, Information, Intelligence, Surveillance and Reconaissance), organizate într-o rețea centrală, o rețea a senzorilor și o rețea a platformelor de luptă, care folosesc tehnologia informației, sisteme de armamente performante și capabilități tehnice deosebite. Războiul bazat pe rețea (RBR) se fundamentează pe integrarea în rețele reale și virtuale a sistemelor (senzorilor) de culegere și prelucrare a informației, a sistemelor de comandă și control și a sistemelor de arme (platformelor de luptă) și asigură accelerarea ciclului de conducere, astfel încât decalajul între informație și lovire să fie redus la maximum, acțiunea (reacția) devenind astfel instantanee.
Prima dată s-a vorbit despre „network centric warfare“ în programele de cercetare din domeniul ciberneticii din anii ‘70-‘80. Acestea au dezvoltat un model de gândire în rețea pentru a descrie sisteme complexe și efectele asociate lor. Toate aspectele de referință, cercetate și dezvoltate, au fost reunite într-o viziune coerentă, formulată sub forma unui set de teze publicat în 1998, sub semnătura viceamiralului Arthur K. Cebrowski și John Garstka. Ideea de bază, subliniată de autori, era că SUA se află în mijlocul unei revoluții în domeniu militar de o amploare nemaivăzută din epoca napoleoniană. În acest context, „network centric warfare“ a devenit o parte integrală a strategiei de securitate națională americană.
Astfel, de la sfârșitul anilor ’90, războiul bazat pe rețea (RBR) a fost consacrat în armata americană ca dimensiunea viitoare a conflictului armat al secolului XXI. Războiul bazat pe rețea (RBR) utilizează posibilitățile epocii informaționale pentru desfășurarea mijloacelor militare și întrebuințează o infrastructură IT corespunzătoare ce asigură accesul la servicii informatice de înaltă calitate pentru toți participanții. În principiu, aceasta cuprinde:
– o rețea informațională ce asigură informații, inclusiv procesarea, salvarea, transferul și protecția pentru forțele armate întrunite sau combinate;
– o rețea de senzori ce asigură senzorii necesari pentru orice tip de misiune. Aceasta cuprinde atât senzori clasici, precum radarul, cât și senzori integrați sau sateliți;
– o rețea de producere a efectelor ce asigură legătura dintre sistemele de arme, statele majore, comandanți și trupele desfășurate în scopul realizării efectului dorit asupra țintelor.
Toate cele trei rețele se află într-o strânsă interconexiune, componentele lor principale chiar suprapunându-se uneori, așa cum este ilustrat în figura 1.5.
Figura 1.5. Interacțiunile dintre cele trei niveluri ale războiul bazat pe rețea (RBR)
Un sistem de o asemenea complexitate are ca obiectiv convertirea avantajelor din sfera informațională în avantaje militare semnificative, de natură a permite propriilor forțe, mobile și bine informate, să opereze cu succes și eficiență la mari distanțe, cu sprijinul unor rețele puternice. Mai mult, s-a realizat o viziune operațională comună prin intermediul distribuirii totale a informațiilor. Aceasta reprezintă un alt avantaj important în plan informațional față de adversar, forțele proprii putând astfel să-și pună în valoare capacitățile neîngrădit, independent de situație, pe baza unei „auto-sincronizări“ flexibile a elementelor componente. Acestea asigură o viteză de acțiune sporită și un efect operațional optimizat.
Războiul de comandă-control
În cadrul eforturilor de definire a liniilor doctrinare legate de războiul informațional și de integrare a acestora la nivel național, Statul Major Reunit al armatei americane a definit războiul de comandă și control – C2W (Command and Control Warfare) ca fiind „strategia militară care implementează războiului informațional (RI) pe câmpul de luptă. El implică utilizarea integrată a securității operațiilor, inducerii în eroare, operațiilor psihologice, războiului electronic și distrugerii fizice, toate acestea cu suport de ,,intelligence", pentru a împiedica adversarul să dispună de informații, pentru a influența, deteriora sau distruge capacitățile de comandă și control, în același timp cu protejarea capacităților proprii”.
Războiul de comandă și control este văzut de către unii autori ca ansamblul acțiunilor ofensive desfășurate de către comandanții militari pentru a afecta, în timpul crizelor și a războiului, infrastructura informațională și decizională militară a adversarului, simultan cu apărarea celor proprii. Astfel spus, războiul de comandă – control și războiul informațional se vor suprapune, mai ales pe timp de criză și război. Armata trebuie să fie pregătită pentru gestionarea C2W, să dezvolte capabilități defensive și ofensive pentru aplicarea acestora pe câmpul de luptă, iar uneori să răspundă chemării de a conduce întregul război informațional la nivel național.
Războiul bazat pe intelligence
Războiul bazat pe informații (intelligence) este o denumire dată de unii autori proiecției războiului informațional, dar și a celui cinetic, în planul tactic, la nivelul acțiunilor curente de luptă, în care culegerea oricărei informații din surse umane, de comunicații, prin foto-filmarea câmpului de luptă prin sateliți sau UAV (Unmanned Aerial Vehicle), cercetarea radio-electronică sau simpla observare a câmpului de luptă tactic, conduce la luarea unei decizii imediate de neutralizare sau distrugere a țintelor inamice, pe principiul ,,află și lovește”. Bineînțeles că la același nivel tactic și sub aceeași presiune a timpului acționează și măsurile de contracarare din domeniile înșelării inamicului – mascare, protecția radio-electronică, protecția forței și securitatea operațiilor, protecția informațiilor și nu în ultimul rând securitatea informațională și contrainformațiile.
Războiul informații-contrainformații este un război continuu, de cele mai multe ori desfășurat pe un front invizibil, cu mijloace și metode specifice, care are la bază secretul operațiunilor, conspirativitatea, mascarea și inducerea în eroare, compartimentarea, dar și integrarea și protecția surselor. Partea ofensivă a acestui război cuprinde un ciclu permanent de planificare-culegere-procesare-diseminare a datelor și informațiilor din toate sursele disponibile:
– HUMINT – informații din surse umane;
– SIGINT – informații din emisii de comunicații;
– IMINT– informații din imagini;
– ELINT– informații din surse electronice;
– MASINT– informații din surse tehnice;
– OSINT – informații din surse deschise;
– CYBERINT– informații din mediul cibernetic.
Partea defensivă cuprinde totalitatea mijloacelor, metodelor și acțiunilor de identificare, cunoaștere, contracarare și protejare a securității proprii în domenii strâns intercorelate, precum:
– protecția forței;
– inducerea în eroare;
– securitatea operațiilor;
– protecția informațiilor;
– securitatea informațională;
– contraspionaj;
– contraterorism;
– contrasubversiune;
– contrasabotaj.
Un model de interacțiune a elementelor războiului bazat pe intelligence este prezentat în anexa nr. 3.
La baza tuturor operațiunilor din cadrul războiului bazat pe informații poate sta și afirmația gânditorului militar chinez Sun Tzu potrivit căreia ,,Toate războaiele sunt bazate pe inducere în eroare. De aceea, când suntem gata de atac, trebuie să dăm impresia că nu suntem; când ne folosim forțele proprii, trebuie să părem inactivi; când suntem aproape trebuie să-l facem pe inamic să creadă că suntem departe; oferă momeli adversarului, simulează dezordinea și zdrobește-l”.
Războiul cibernetic
Conflictul cibernetic este strict legat de cel informațional și cel bazat pe rețea și reprezintă o formă concretă, particularizată pentru perioadele de criză și război, a acestuia. Conflictul cibernetic nu trebuie confundat cu acțiunea hackerilor sau cu infectarea aleatoare cu viruși informatici a unor rețele de calculatoare. El se compune dintr-un sistem de acțiuni care vizează îndeosebi perturbarea, prin toate mijloacele, a rețelelor informaționale adverse, protecția celor proprii, dezinformarea adversarului și intoxicarea informațională a acestuia, „orbirea“ lui. Principiile strategiei acestui tip de război constau în:
– principiul controlului surselor, rețelelor și purtătorilor de informații;
– principiul diversiunii informaționale;
– principiul manevrei informaționale;
– principiul securității informaționale.
Aceste tipuri de războaie, conflicte, confruntări și acțiuni, sfera lor de cuprindere, conținutul și modalitățile de desfășurare impun reguli, configurații și chiar principii noi. Acestea trebuie să se regăsească în reforma politicilor de apărare, doctrinelor și strategiilor tuturor țărilor și armatelor din lume, dar mai ales în conceptele de transformare NATO și ale națiunilor membre care dețin supremația în domeniul modernizării forțelor, mijloacelor, doctrinelor și strategiilor de întrebuințare.
Războiul cibernetic este strict legat de războiul informațional și reprezintă o formă concretă/particularizată a acestuia, care presupune executarea unui sistem complex de acțiuni ofensive și defensive asupra sistemelor informatice și de comunicații. Chiar dacă pentru desfășurarea acestor acțiuni sunt utilizate unele metode și mijloace specifice hackerilor, având în vedere că scopul războiului cibernetic este obținerea dominației informaționale, acesta nu trebuie să se confunde cu acțiunea hackerilor. Acțiunile desfășurate în cadrul războiului cibernetic sunt mai complexe și mai variate, nu sunt acțiuni individuale, acestea fiind organizate și planificate de structuri guvernamentale și neguvernamentale, precum și de entități sau grupări ideologice.
Această formă de război poate implica tehnologii diverse, în special cele utilizate atât în sistemele de comandă și control, pentru colectarea de informații clasificate care sunt procesate și distribuite în sistemele de comunicații tactice, de determinare a poziției, de identificare prieten-inamic, cât și în sistemele de armament „inteligente”. Acțiunile ofensive vizează perturbarea prin toate mijloacele a sistemelor informatice și de comunicații adverse, dezinformarea adversarului și intoxicarea informațională sau „orbirea” acestuia, în timp ce acțiunile defensive constau într-un complex de acțiuni și măsuri pentru protejarea sistemelor informatice și de comunicații proprii.
Generalul de brigadă dr. (r) Paul Vasile, scria în anul 2000 (la puțin timp după evenimentele din Iugoslavia) că „Putem accepta, cel puțin pentru această etapă, că în sens strict militar războiul informațional, la modul cel mai general, reprezintă totalitatea operațiilor informaționale, desfășurate la nivel tactic, operativ și strategic, pe timp de pace, criză, escaladare a crizei și totalitatea operațiilor informaționale, desfășurate la nivel tactic, conflictual, în scopul realizării unor obiective sau influențării unor anumite ținte. Războiul informațional integrează forme de manifestare distincte: războiul de comandă și control (forma strict militară), războiul bazat pe informații (intelligence), războiul psihologic, războiul electronic, războiul hackerilor, războiul informațiilor economice, războiul în spațiul realității virtuale”.
Între mai multe dimensiuni ale războiului există anumite suprapuneri conceptuale, ceea ce a dus la intensificarea efortului de cercetare științifică pentru delimitarea, definirea și stabilirea interferențelor între războiul informațional, războiul bazat pe rețea și războiul cibernetic. Astfel au apărut și abordări îndrăznețe în ceea ce privește dimensiunile viitorului conflict, care definesc spațiul cibernetic ca a cincea dimensiune a confruntării:
1) spațiul terestru;
2) spațiul maritim;
3) spațiul aerian;
4) spațiul cosmic;
5) spațiul cibernetic.
În mod evident, acestui spațiu cvinta-dimensional i se pot aplica, în scopul stabilirii politicilor și măsurilor sectoriale, proiecții în planurile principale ale confruntării care sunt, în esență, următoarele: planul politic, planul diplomatic, planul economic, planul militar, planul social, planul mediatic. Cele cinci dimensiuni ale
confruntării militare pot fi reprezentate ca în anexa nr. 4.
Războiul cibernetic determină și dezvoltarea unor strategii și doctrine noi de organizare și ducere a acțiunilor: ce tipuri de forțe sunt necesare, unde și cum să desfășoară, cum să lovească inamicul, unde și când se poziționează sistemele informatice și de comunicații, ce tip de computere, senzori, rețele și baze de date se utilizează. Ca inovație a războiului, războiul cibernetic a devenit pentru secolul XXI, ceea ce ,,războiul fulger” (blitzkrieg) a fost pentru secolul XX. Simplificând la minim, războiul cibernetic reprezintă o extensie a importanței acordată în trecut acțiunilor pentru obținerea informațiilor în război: deținerea superiorității cu ajutorul sistemelor de comandă control și realizarea surprinderii adversarului prin descoperirea, localizarea și inducerea în eroare a acestuia.
1.2. Tipologia amenințărilor în spațiul cibernetic
Identificarea și contracararea amenințărilor din spațiul cibernetic presupune studierea și cunoașterea autorilor, mijloacelor, metodelor și scopurilor atacurilor informatice.
1.2.1. Modul de manifestare a amenințărilor din spațiul cibernetic
Istoria consemnează primul atac informatic din 2 noiembrie 1988 ca o zi importantă pentru INTERNET. În acea zi un proaspăt absolvent al Universității Cornell din Statele Unite, Robert Morris Jr., a executat un program de tipul vierme, primul program care a afectat într-un mod foarte serios INTERNET-ul. În câteva secunde, mii de calculatoare de pe întreg teritoriul Statelor Unite au fost scoase din funcțiune de neobișnuitul program. Sute de rețele ale institutelor de cercetare, universităților, dar și ale celor câteva companii care erau conectate atunci la INTERNET au fost afectate. Deși nu a avut efecte catastrofale, INTERNET-ul fiind format din foarte puține calculatoare la acea vreme (câteva zeci de mii, față de câteva sute de milioane câte sunt acum), acest incident a tras un serios semnal de alarmă în ceea ce privește securitatea sistemelor informatice în general și a rețelelor în special.
Virusul lui Morris a revelat vulnerabilitatea INTERNET-ului și a făcut să fie conștientizată nevoia de securizare a acestuia, având același efect asupra lumii informatice ca și efectul primei deturnări a unui avion de pasageri, în 1960, asupra lumii aviației și a campaniei antiteroriste.
Clasificarea tipurilor de atac asupra unui sistem informatic și de comunicații sau a unei rețele de astfel de sisteme, precum și a incidentelor provocate este destul de dificilă și uneori relativă în ceea ce privește exactitatea. În anexa nr.5, autorii B. Cronin și H. Crawford prezintă circumstanțele, indicatorii și aspectele de care trebuie să ținem cont atunci când încercăm să analizăm amploarea fenomenului de război informațional în era globalizării și a tehnologiei informației. Analiza acestor indicatori evolutivi cu implicații profunde asupra circumstanțelor și modalităților de ducere a războiului informațional ne permite să tragem câteva concluzii absolut importante:
– numărul incidentelor de securitate raportate din spațiul cyber, în mod natural mai mic decât numărul real, a crescut exponențial (de 1000 de ori în 15 ani), pe fondul sofisticării, înmulțirii și ușurinței accesării armelor de atac cibernetic și al scăderii nivelului general de protecție a calculatoarelor și rețelelor de calculatoare;
– numărul țărilor care și-au dezvoltat puternice capabilități de război informațional la nivel statal a crescut, odată cu accentuarea dependenței organizațiilor guvernamentale, private, economice și de altă natură de infrastructurile informaționale proprii;
– se remarcă o creștere constantă și semnificativă a implicării tehnologiei informaționale în spionajul economic, criminalitatea organizată și chiar activități teroriste, simultan cu o mutare a accentului din zona strict militară către cea civilă, privată, economică și individuală.
În cursul anului 2008, doisprezece specialiști în securitate cibernetică, cu cunoștințe importante despre modelele de atac în curs de apariție, au alcătuit împreună o listă a riscurilor cu cea mai mare probabilitate de a provoca daune semnificative, prezentată în ordine, astfel:
1. Atacuri din ce în ce în ce mai sofisticate care exploatează vulnerabilitățile programelor de navigare pe INTERNET – mai ales pe site-uri web de încredere.
2. Creșterea rafinamentului și a eficienței Botnet-urilor („Botnet” este un neologism în curs de asimilare care definește un grup de calculatoare dirijate de un soft nociv care rulează în comun și în mod automat pe toate stațiile componente ale rețelei infectate.
3. Cyber-spionajul realizat de organizații cu resurse însemnate care vor să extragă cantități mari de date – în special utilizând ,,phishingul cu o țintă anume”.
4. Amenințările îndreptate către telefonul mobil, în special împotriva iPhone și telefoanelor bazate pe Android, ca și VoIP (Voice over IP).
5. Atacurile din interior.
6. Furt avansat de identitate realizat de software rezident.
7. Spyware (softuri spion) din ce în ce mai agresive.
8. Exploatarea vulnerabilităților aplicațiilor Web.
9. Tehnici din ce în ce mai sofisticate de inginerie socială inclusiv combinarea phishing-lui cu VOIP și Event Phishing.
10. Atacuri în cadrul lanțurilor de distribuție comercială, infectând dispozitivele de consum larg ca memoriile externe USB, sistemele GPS ș.a.m.d., distribuite de firme de încredere.
O descriere amănunțită a acestor riscuri și a modului de manifestare a lor este prezentată în anexa nr. 6.
1.2.2. Mijloacele de atac informatic
O clasificare foarte populară a mijloacelor de atac informatic, dar tocmai din această cauză una pur descriptivă, este cea oferită în România de Ghidul de prevenire și combatere a criminalității informatice, care este dezvoltată și explicitată, după cum urmează:
– interceptarea cablurilor și a semnalelor parazite emise de sistemele informatice și de comunicații (Wiretapping, Eavesdropping on Emanations);
– căutarea prin fișierele șterse ale unui sistem informatic (Dumpster diving);
– provocarea refuzului serviciului pentru care a fost proiectat sistemul informatic (Denial-of-Service);
– hărțuirea, provocarea unor deranjamente periodice ale funcțiilor sistemului, de multe ori cu intenția de a provoca oprirea /ocolirea benevolă a serviciilor de protecție (Harassment);
– mascarea originii atacului, utilizând calculatoare gazdă de tip releu, insuficient protejate și care participă în mod neintenționat la atac (Masquerading);
– pirateria software, adică reproducerea și utilizarea unor conținuturi științifice sau artistice, cu încălcarea drepturilor de autor (Software piracy);
– copierea neautorizată de date, atât a celor personale, private, cât și a celor clasificate (Unauthorized data copying);
– degradarea calității serviciului prin provocarea scăderii parametrilor tehnici de funcționare a sistemului (Degradation of service);
– analiza traficului de rețea realizată în scopul identificării unor date sensibile neprotejate sau a unor vulnerabilități (Traffic analysis);
– instalarea și exploatarea de „uși ascunse” în scopul obținerii accesului neautorizat și realizării unui canal de comunicație ascunse, neautorizate (Trap doors, Tunneling, Covert channels);
– viruși, viermi și bombe logice, într-o mare varietate de softuri nocive care urmăresc în primul rând să se automultiplice și să se autodistribuie pentru a realiza diverse funcții dăunătoare asupra datelor, sistemelor și aplicațiilor informatice (viruses, worms and logic bombs);
– deturnarea sesiunii de lucru pe un sistem în scopul derulării unor operații ilicite, clandestine asupra sistemelor și datelor pe care acestea le stochează (Session hijacking);
– atacuri temporale care constau în modificarea și/sau alterarea ceasurilor de sincronizarea ale sistemelor, utilizate în general pentru fraude sau ascunderea urmelor atacurilor (Timing attacks);
– cal troian este denumirea dată unui software nociv care sub aparența unei utilități de sistem sau de informare ascunde operații neautorizate, derulate în ascuns în mod neautorizat (Trojan horses);
– simulare IP real, utilizată cu softuri ușor de găsit pe INTERNET în scopul mascării adevăratelor surse de atac și a îngreunării ripostei sistemelor atacate (IP spoofing);
– distrugerea datelor în cadrul unor acțiuni de sabotaj, răzbunare sau de șantaj (Data diddling);
– interceptarea parolelor cu scopul clar de accesare neautorizată a resurselor rețelei atacate (Password sniffing);
– obținerea de privilegii /drepturi excesive (Excess privileges);
– scanare sisteme, servicii și resurse pentru identificarea resurselor sistemului vizat și pregătirea tehnicilor de atac (Scanning).
Atacatorii sofisticați utilizează mai multe metode în mod combinat. Ca rezultat, dezvoltarea unei liste complete de metode de atac nu furnizează o schemă suficient de bună de clasificare. Din punct de vedere al rezultatelor urmărite sau obținute de către atacatori, atacurile informatice, potrivit aceleiași publicații, pot urmări:
– furtul de informații externe (privitul peste umăr la monitorul altei persoane);
– abuzul extern al resurselor (distrugerea unui hard disk);
– mascarea (înregistrarea și redarea ulterioară a transmisiunilor de pe o rețea);
– programe dăunătoare (instalarea unui program cu scopuri distructive);
– evitarea autentificării sau autorizării (spargerea parolelor);
– abuz de autoritate (falsificări de înregistrări);
– abuz intenționat (administrare defectuoasă intenționată);
– abuz indirect (utilizarea unui alt sistem pentru a crea un program rău intenționat).
1.2.3. Actorii și scopurile atacurilor informatice
Autorii atacurilor informatice pot fi clasificați din punct de vedere motivațional, după un studiu extins, în trei mari categorii, definite prin neologismele „hackeri”, „crackeri” și „phreakeri”. Este prezentată o scurtă descriere pentru fiecare categorie dar și subcategorie, astfel:
hackerii (pirații informatici) – sunt persoane interesate de „partea ascunsă" a oricăror sisteme de operare, cărora le place să exploreze detaliile sistemelor programabile și care caută modalități de a le extinde capacitățile, contrar utilizatorilor informaticii, care se mulțumesc să învețe minimul necesar. De cele mai multe ori hackerii sunt programatori, permanent preocupați de îmbunătățirea cunoștințelor pe care le au despre sistemele de operare, programele și limbajele de programare în care acestea sunt asamblate. Aceștia pot ajunge să cunoască „găurile" din sisteme și motivele existenței lor (cauzele). Hackerii caută în mod constant să descopere mai mult și pun, în mod gratuit, la dispoziție ceea ce au descoperit și niciodată nu distrug datele, cel puțin nu în mod intenționat, dorind să obțină informații confidențiale prin exploatarea anumitor defecte ale sistemului (Hacker de parole, Hacker de rețea); de obicei, nu sunt persoane răuvoitoare, care doresc să realizeze daune în sisteme, lăsându-și, de cele mai multe ori, semnătura pe „opera" realizată;
a) crakerii – sunt persoane care realizează breșe în securitatea unui sistem, cu scopul vădit de a provoca daune și au tendința de a se grupa în mici structuri secrete, cu vaste cunoștințe, din care desfășoară acțiuni distructive; aceștia pătrund și violează integritatea sistemelor, obținând acces neautorizat la date, provocând probleme acestor sisteme (distrugerea datelor, interzicerea accesului utilizatorilor legitimi etc.);
b) phreakerii – sunt persoane specializate în rețele de calculatoare și de telefonie care realizează activități distructive și criminale din motive politice, religioase, economice, mediatice sau personale. În rândul acestora se pot regăsi:
– spionii guvernamentali sau ai unor corporații care realizează activități de spionaj – desfășoară acțiuni prin conectarea și efectuarea transferului informațiilor de importanță deosebită, utilizând modemul;
– angajații nemulțumiți sau ex-angajații care pot realiza ușor acte de sabotaj sau pot oferi informații adversarului /inamicului, întrucât cunosc modalitățile specifice de organizare și funcționare a organizației; de obicei, acești proprietari sunt persoane care, prin poziția lor, dețin controlul asupra sistemului informatic din organizație și care pot cauza numeroase probleme;
– angajații temporari cu drepturi limitate – parteneri, consultanți sau alți specialiști folosiți în diferite proiecte și care au acces în sistemul informațional, conform activității specifice pe care o desfășoară la un proiect;
– concurenții reprezentați de firmele concurențiale sau, în cazul instituțiilor guvernamentale, persoane ale serviciilor secrete din alte țări, care desfășoară spionajul economic sau de interes guvernamental;
– indivizii conduși în mod frecvent de dorința de a distruge;
– mercenarii care acționează pentru bani, fiind implicați în diverse activități de natură criminală, pornind de la piratarea cărților de credit, clonarea telefoanelor celulare, până la atacarea unor sisteme vitale, cum ar fi: sistemele de control ale alimentării cu energie electrică a unui oraș (ceea ce poate provoca victime în spitale, accidente etc.) sau sistemele de control al traficului aerian, centrale nucleare etc.;
– copiii care demonstrează o extraordinară abilitate de a asimila înalte cunoștințe tehnice despre computere și programe și acționează fără o conștientizare clară a ceea ce fac sau dintr-o bravură copilărească, specifice vârstei.
Pentru a defini sursele, mijloacele și destinațiile atacurilor informatice trebuie să vedem care anume sunt țintele și scopurile urmărite. Fără doar și poate, primele sisteme atacate vor fi cele care deservesc legăturile critice între puterea politică, de decizie și armată, între statele majore și unitățile militare, apoi între diverse comandamente. Pe același plan se situează serverele instituțiilor guvernamentale și cele ale diverselor agenții de securitate și de informații, organisme și instituții guvernamentale. Motivul îl constituie, desigur, îngreunarea pe cât posibil a traficului prin asemenea servere și, în cel mai fericit caz pentru atacatori, blocarea ori chiar scoaterea completă din uz. Pe de altă parte, sunt atacate site-uri întregi sau doar pagini web ale unor organizații cărora li se adaugă și ținte din sectorul politic și civil: parlament, partide politice, organizații civice, organizații neguvernamentale, instituții financiare, organe mass-media. Scopul acestor din urmă atacuri îl constituie în primul rând propaganda, mai cu seamă dacă este atacat un site al mass-mediei, va reacționa imediat și va da atacului o amploare mult mai mare decât este în realitate.
Printre alte consecințe posibile ale atacurilor cibernetice se numără întreruperea alimentării cu energie, a funcționării sistemelor de comunicații de voce și date, perturbarea traficului aerian, explozii sau scurgeri în instalațiile agenților economici ce manipulează agenți de tip CBRN, perturbarea activității instituțiilor guvernamentale sau afectarea imaginii statului sau instituțiilor sale. Gravitatea consecințelor unui astfel de atac ține de extinderea interconexiunilor și securizarea lor în relațiile cu mediul extern.
Metodele de atac informatic
Autorul american, Lionel D. Alford definește o taxonomie a metodelor de atac în spațiul cibernetic. Pe lângă identificarea și descrierea acestora, el definește patru moduri de manifestare a atacurilor cibernetice:
– infiltrarea cibernetică – penetrarea măsurilor de protecție ale unui sistem controlat prin software, astfel încât sistemul poate fi manipulat, asaltat sau supus unui raid informatic;
– manipularea cibernetică – urmând după infiltrare, reprezintă deținerea controlului unui sistem prin sistemul componentei software proprii, fără afectarea stării de securitate a sistemului, dar îi utilizează capacitățile pentru a produce un prejudiciu (de exemplu, obținerea controlului unui server care gestionează o rețea de distribuție a energiei și oprirea acesteia);
– asaltul cibernetic – distrugerea, după realizarea infiltrării, a software-lui și a informațiilor de pe sistemul penetrat sau compromiterea funcțiilor sistemului (cel mai uzual prin virusarea unui sistem);
– raidul cibernetic succede infiltrării și constă în distrugerea, alterarea sau accesarea /transferul neautorizat al datelor sensibile sau clasificate (de exemplu, accesarea și transferul parolelor conturilor de email și a conținutului acestora).
În anexa nr.7 se prezintă o ilustrare grafică a celor patru metode /secvențe de atac cibernetic asupra unei rețele de calculatoare.
În lucrarea „Introducere în războiul informațional și terorismul cibernetic”, autorii prezintă mediile, serviciile și facilitățile informatice prin care se propagă atacurile, astfel:
Portalurile. Acestea sunt utilizate de atacatori ca să întoarcă sistemul împotriva lui însuși sau pentru a deturna aplicațiile astfel încât să-și atace sistemul propriu sau alte sisteme conectate.
Aplicațiile email. Poșta electronică este folosită pentru a transmite scrisori, fișiere atașate ca foi de calcul sau poze, dar și fișiere infectate cu software nociv.
Browserele Web. Uneltele de atac pot fi folosite pentru a citi și executa fișiere de pe sistemul vizitatorului, pentru a accesa informații sensibile ca detalii de login (numele de utilizator, adresă de email, niveluri de permisiuni, ultima dată când parola a fost schimbată, adresa IP etc.), pentru a strânge informații despre ultimele site-uri și fișiere accesate, sau pentru a determina setări de configurație ca versiunile și setările sistemului de operare și ale programelor folosite, precum și alte detalii care sunt stocate pe calculatorul utilizatorului.
Clienții de chat. Marea majoritate a produselor de acest tip nu au o protecție a comunicațiilor (ex.: criptarea, ascunderea adreselor de IP etc.) și sunt expuse monitorizării, deturnării și înlocuirii conținutului comunicării, pe lângă informațiile care pot fi obținute din conversația dată.
Software rulat de la distanță. Când serviciile ,,remote" sunt permise și activate, intrușii se pot folosi de ele pentru a căpăta acces la structura internă a rețelei. Aceste puncte de acces sunt de obicei un nume de utilizator și o parolă care sunt rareori criptate, în consecință pot fi expuse monitorizării externe sau atacurilor prin forță brută (generarea incrementală de caractere până se găsește o potrivire) sau cu ajutorul parolelor de dicționar (o listă cu parole posibile). Se presupune că acest portal este de departe cel mai puțin protejat și este unul din cele mai ușor de penetrat atunci când este folosit în cadrul unei organizații.
Aplicații „web-enabled". Acestea pot fi folosite de codul malițios al unui intrus pentru a transfera informații despre sistem (via FTP etc.) sau pentru a facilita răspândirea de cod rău intenționat. Alegerea și configurarea acestui tip de software trebuie făcută cu atenție.
Actualizări de software (updates). Fie că un ,,patch" este pentru un sistem de operare, un utilitar soft sau o suită de programe, este necesar un întreg proces pentru a dezvolta un ,,patch" nou, pentru a anunța utilizatorii despre acesta și pentru a-l distribui. Pe parcursul acestui proces pot fi create noi vulnerabilități de către intruși sau chiar de către utilizator. O metodă de infiltrare care este folosită în mod continuu implică trimiterea unui email aparent oficial care avertizează asupra unei legitime noi vulnerabilități și conține un „link" pentru a descărca patch-ul potrivit. Acest „patch” poate fi de fapt un vierme, patch-ul real cu un virus atașat, sau o combinație dintre cele două. Așa că aceste actualizări nu trebuiesc făcute doar la timp, ci și cu o atenție sporită. O descriere detaliată a mediilor și serviciilor de propagare a atacurilor informatice este prezentată în anexa nr. 8.
Autorii Andrew M.Colarik, Lech J. Janczewski realizează o analiză detaliată a armelor de atac cibernetic, atât a celor soft dar și a celor de tip inginerie socială sau intruziune fizică. Atacatorii încearcă să infecteze sistemele atacate cu cod malițios care va fi folosit apoi pentru a executa acțiunile lor rău intenționate. Aceste elemente distribuite au un rol cheie în rezultatul atacului. Acestea pot avea ca scop strângerea de informații legate de sistemul țintă sau crearea unei uși din dos în sistem care poate fi mai târziu folosită și exploatată. Aceste elemente distribuite pot fi, de asemenea, folosite pentru a forța un sistem să execute cod rău intenționat sau să modifice sau șterge date sau alte programe.
Cele mai comune arme de atac cibernetic sunt:
– soft-urile de tip viruși și viermi;
– soft-urile de tip troieni;
– script-uri rău intenționate;
– infiltrarea din exterior prin ingineria socială;
– infiltrarea fizică: (unitatea centrală, cablarea fizică a rețelei, retragerea echipamentul vechi, comunicațiile wireless);
– atacuri directe asupra punctelor de acces ale utilizatorului (parole, conturi de utilizator, serverele DNS (Domain Name Server), în cadrul procesului de rutare).
O descriere amănunțită a acestor arme de atac informatic precum și a modului de utilizare a lor este prezentată în anexa nr. 9.
În ultimii ani au avut loc tot mai frecvente atacuri cibernetice ale căror magnitudini și consecințe au făcut obiectul unor analize la nivel internațional și au condus la creșterea substanțială a preocupărilor, atât la nivelul Alianței Nord-Atlantice, cât și a fiecărui stat membru pentru adoptarea cadrului legislativ care să permită desfășurarea acțiunilor de contracarare a unor astfel de acțiuni. Metodele de atac a site-rilor țintă variază de la simple acțiuni de afectare a conținutului paginilor WEB (WEB defacement) și până la acțiuni complexe de atac simultan, folosind mai multe calculatoare gazdă infectate, asupra aceleiași ținte, care conduc la scoaterea din funcțiune a resursei respective. Mecanismul acestui tip de atac DDoS – Distributed Denial of Service este descris în figura 1.6.
Figura 1.6. Mecanismul de realizare a unui atac
DDoS – Distributed Denial of Service
Într-un raport al FBI, referitor la amenințările la adresa infrastructurilor critice, sunt identificate, șapte categorii de indivizi, grupuri, organizații și fenomene care generează aceste amenințări: grupurile criminale, serviciile de informații ostile, hackerii, războiul informațional, organizațiile activiste-protestatare, atacatorul din interior și scriitorii de coduri nocive. În tabelul din anexa nr. 10 sunt descrise grupurile de autori și amenințările pe care acestea le reprezintă la adresa infrastructurilor critice.
1.3. Amenințări în spațiul cibernetic
Caracteristica comună a confruntărilor din spațiul cibernetic este raportul antagonic continuu stabilit între amenințările care se manifestă în spațiul cibernetic – terorism, spionaj, sabotaj, subversiune și crimă organizată, pe de o parte și securitatea informațională pe de altă parte.
Aceste amenințări se manifestă într-un cadru foarte larg oferit de războiul informațional, într-o accentuată interferență conceptuală și acțională dintre războiul electronic, cel al hackerilor, psihologic, de comandă și control și o complexă tipologie a atacurilor informatice.
1.3.1. Terorismul cibernetic
După cum se cunoaște, mulți oficiali din cadrul Pentagon-ului consideră că în viitor inamicii nu vor mai folosi mijloacele convenționale împotriva trupelor americane, ci vor recurge la „războiul asimetric” prin care un adversar mai slab utilizează alte strategii pentru a compensa și neutraliza superioritatea tehnologică.
De asemenea, deoarece Armata SUA se bazează în mod semnificativ pe infrastructura informatică civilă, acești oficiali cred că, în viitor, conflictele vor fi caracterizate printr-o incertitudine în distingerea țintelor civile de cele militare. Ca o consecință, aceștia previzionează că sistemele informatice și de comunicații guvernamentale și civile devin tot mai mult o țintă viabilă pentru inamicii democrației, incluzând grupurile teroriste.
Astăzi, grupurile teroriste utilizează frecvent rețeaua INTERNET pentru a comunica, a obține fonduri, a face propagandă și a culege informații referitoare la viitoarele ținte. Termenul de terorism cibernetic a fost definit cu dificultate, în primul rând pentru că multe discuții despre acesta s-au purtat în mass-media, unde jurnaliștii au pus accent pe latura dramatică și de senzație și nu pe găsirea unei definiții operaționale a noilor termeni. În al doilea rând, a fost dificil de definit datorită practicii de a defini noi termeni prin plasarea unor cuvinte cum ar fi „cibernetic”, „computer” sau „informație” înaintea unui alt cuvânt. Astfel, un întreg arsenal de cuvinte – criminalitate cibernetică, războiul informației, războiul în rețea, terorism cibernetic, hărțuire cibernetică, război virtual, terorism digital, tactici cibernetice, războiul computerelor și atac cibernetic – este utilizat pentru a descrie ceea ce unii strategi politici și militari îl descriu ca pe „noul terorism” al zilelor noastre.
Eforturile de a introduce o precizie semantică mai mare s-au concretizat în mai 2000, când Dorothy Denning , a definit cyberterorismul într-un mod extrem de clar, astfel: „Terorismul cibernetic este convergența dintre terorism și spațiul cibernetic. Acesta se referă la atacuri ilegale și amenințări cu atacuri împotriva computerelor, rețelelor și a informațiilor stocate, în scopul de a intimida sau exercita presiuni asupra unui guvern sau asupra populației pentru a îndeplini anumite obiective politice sau sociale. În plus, poate fi considerat terorism cibernetic un atac cu urmări violente asupra unor persoane sau proprietăți, sau care produce daune suficiente pentru a genera teamă. Pot fi considerate exemple atacurile care conduc la moarte ori răniri de persoane, explozii ori pierderi economice semnificative. De asemenea, în funcție de impact, atacurile împotriva infrastructurilor critice ar putea fi considerate atacuri specifice terorismului cibernetic”.
Organizațiile teroriste și cyberterorismul
Grupurile de hackeri sunt numeroase și se caracterizează prin diferite niveluri de abilități tehnice. Calitatea de membru al unui grup de hackeri înalt calificați poate fi exclusivistă și limitată doar la acele persoane care dezvoltă și diseminează propriile lor seturi bine securizate de unelte sofisticate. Aceste grupuri exclusiviste de hackeri sunt preocupate să nu capteze atenția, deoarece confidențialitatea le permite să fie mai eficiente.
Unele grupuri de hackeri sunt dispersate la nivel global, având interese politice supranaționale sau interese bazate pe religie ori ideologii politico-sociale. Alte grupuri sunt motivate de obținerea unor profituri ori sunt relaționate cu crima organizată și sunt dispuși să-și vândă serviciile unor sponsori cum ar fi state sau grupuri teroriste, indiferent de interesele politice implicate. De exemplu, s-a raportat că un grup separatist indian, Hatkat-ul-Ansar, a încercat să obțină software militar de la hackeri la sfârșitul anului 1998. În martie 2000, organizația de cult Aum Shinrikyo a încheiat contracte pentru producerea de software pentru 80 de companii japoneze și pentru 10 agenții guvernamentale, inclusiv Departamentul Poliției Metropolitane Japoneze, deși nu au fost raportate atacuri informatice legate de aceste contracte.
Legăturile dintre hackeri, teroriști și statele-sponsori ai terorismului pot fi cu greu dovedite, dar activitățile de terorism cibernetic pot fi detectate printr-o monitorizare atentă a grupurilor informale, cu diverse niveluri de organizare și coeziune, în diferite medii de comunicare precum ,,chat"-uri, forumuri, ,,mesagerie instant", blog-uri din INTERNET, unde hackerii se întâlnesc într-un climat anonim pentru a schimba informații și ,,know-how".
Barry C. Collin a prezentat la al 11-lea simpozion anual internațional pe probleme de criminalitate și justiție, un interesant studiu referitor la diferențele motivaționale dar și acționale între un cracker și un cyberterorist. Astfel, un mare număr de acțiuni ale unui cracker sunt realizate doar în scopul de a se distra, de a deranja sau a se lăuda printre semeni cu performanțele sale. Atunci ce tipuri de acțiuni va întreprinde un cyberterorist? Va afecta el acțiunea unui automat de ușă de garaj sau de udat grădina? Va modifica el conținutul unui site WEB pentru a transmite mesaje de protest împotriva unui guvern sau a unei primării? Va penetra serverul unei mari companii de telecomunicații pentru a efectua convorbiri internaționale frauduloase ? Va sparge codurile de protecție ale unei aplicații software pentru a arăta cât de vulnerabilă este aceasta? În mod categoric, nu. Acesta nu este profilul acțional al unui cyberterorist, ci al unui membru obișnuit al comunităților de crackeri și hackeri, mai mult sau mai puțin amator. Profilul operațional al unui cyberterorist este cu totul diferit: el nu va altera conținutul mesageriei vocale de pe un server și nici nu va încerca să exploateze pe INTERNET cărți de credit falsificate, acțiunile sale având un cu totul alt profil și alte obiective.
Conform raportului „E-Qaeda”, elaborat de un grup de analiști americani în domeniul terorismului, AL-QAEDA depinde de INTERNET pentru suport tactic și instructaj, bazându-se pe anonimatul și flexibilitatea de a opera, pe care spațiul virtual le oferă. S-a demonstrat că celulele din Qatar, Egipt și Europa, care organizaseră atacuri teroriste, au utilizat INTERNET-ul.
SUA tratează foarte serios amenințările din spațiul cibernetic. Astfel FBI plasează atacurile cibernetice pe locul trei în topul amenințărilor pentru securitatea SUA. Celelalte două amenințări care le preced sunt războiul nuclear și armele de distrugere în masă. Un nou termen începe să fie folosit „Cybergeddon” care se referă la potențialele pierderi de proprietate intelectuală, infrastructură de informații, precum și daune provocate ramurilor industriei care se ocupă cu stocarea și schimbul de date. Țintele în ziua de azi nu sunt persoane ci datele pe care aceste persoane le posedă, nu locuri ci semnificația acestora. Shawn Henry, director adjunct al diviziei de „cybersecurity" a FBI, a precizat că teroriștii încearcă să creeze un „9/11 virtual” prin „provocarea de același tip de daune țării noastre și tuturor țărilor și rețelelor noastre, ca cele pe care le-au provocat în 2001 lovind avioane de clădiri”. Totuși, el arată că de data aceasta daunele provocate nu vor avea rezultate vizibile ale distrugerii. În timp ce Statele Unite nu a avut parte până în acest moment de un atac la această scală, se crede că hackerii ruși au lansat anii trecuți atacuri de acest gen asupra Estoniei și Georgiei. Și mai recent, câteva site-uri israeliene au fost atacate pe timpul ultimului conflict cu palestinienii.
Unul dintre principalele obiective ale Jihadului Electronic, evocat frecvent de mujahedini, este de a ajuta Islamul prin atacarea site-urilor Web care aduc ofense Islamului sau care lansează atacuri cibernetice asupra site-urilor islamice. Grupările adepte ale jihadului electronic care operează în spațiul cibernetic sunt motivate de convingeri de ordin ideologic, în contrast cu marea majoritate a hackerilor. Aceștia se autoproclamă ,,luptători ai jihadului”, care slujesc Islamul și promovează monoteismul (tawhid) prin intermediul INERNET-ului. Cel mai important aspect este faptul că mujahedinii consideră spațiul cibernetic ca fiind un câmp de luptă virtual, prin care pot obține supremația asupra lumii occidentale. „Jihadul Electronic”, a apărut la nivel declarativ și acțional în câteva etape:
a) hackerii islamici au declarat, în data de 26 august 2004, pentru prima oară „Jihadul Electronic” împotriva Israelului. Și înainte de această dată au avut loc atacuri cibernetice islamiste însă acestea nu au avut ca efect decât alterarea conținutului unor site-uri web (web defacement). De la această dată, datorită unei propagande excesive, fenomenul a luat amploare, însă efectele atacurilor au fost nesemnificative;
b) începând din 2006, islamiștii își concentrează eforturile pentru influențarea publicului și pentru protejarea intereselor proprii recurgând la două metode:
– atacul asupra site-urilor web care afișează mesaje cu caracter anti-islamic utilizând programe ale comunității hackerilor;
– utilizarea unor site-uri web în care își afișează propriile mesaje și a unor aplicații puse la dispoziție de hackerii islamiști, cum este cea din figura 1.7.
Figura 1.7. Aplicație software utilizată de hackerii islamiști
c) în iulie 2007 a apărut o nouă versiune a programului e-Jihad (vers. 2.0) și a fost lansat apelul de utilizare a acestuia împotriva unor site-uri web israeliene. Această versiune era mai ușor de folosit, iar interfața a fost tradusă și în engleză. Noua versiune a programului creează un cont pentru fiecare utilizator și înregistrează numărul de ore pe care îl petrece fiecare utilizator atacând site-urile țintă, la fiecare două săptămâni afișându-se pe site-ul Al-jinan.org un top al utilizatorilor cu cel mai mare scor. Cel mai mare scor înregistrat a fost al unui utilizator care a petrecut peste 4.200 ore (echivalentul a 70 de zile).
Pentru îndeplinirea obiectivelor, jihadiștii au început să utilizeze:
– metode mai avansate, anonime și securizate, renunțând să folosească site-uri fixe. Riscul de interceptare a comunicărilor între jihadiști s-a redus semnificativ ca urmare a utilizării forumurilor de discuții (unele dintre acestea fiind securizate) și a serviciilor de email furnizate gratuit;
– instrumente software dezvoltate pentru efectuarea atacurilor cibernetice de genul Electronic Jihad 2.0;
– atacuri cu viruși informatici asupra site-urilor anti-islamice.
În ultimii ani, s-a constatat o creștere a preciziei atacurilor, o tendință de perfecționare a metodelor de atac, precum și intensificarea acestora. O statistică a atacurilor cibernetice din anul 2007 demonstrează că:
– au fost afectate infrastructurile critice de telecomunicații (90%), precum și cele din industrie, servicii, financiare, sănătate, armată, sistemul energetic, transport, guvern (10%);
– cele mai multe atacuri a fost inițiate din țări ca SUA, China, Rusia, Germania, Franța, Marea Britanie;
– cele mai utilizate forme de atac cibernetic au fost de tipul: malware, hacking, botnets, keystroke loggers, denial of service, phishing și spoofing.
În lucrarea „Introducere în Războiul cibernetic și terorismul cibernetic” autorii și-au pus întrebarea și au încercat să răspundă la „Cum și de ce atacă teroriștii cibernetici?”. Pentru a putea construi o defensivă împotriva atacurilor cibernetice trebuie să înțelegem de ce ei lansează atacuri și pe ce se bazează. Această înțelegere este primul pas în a reduce sau elimina aceste atacuri. Motivele cele mai probabile pentru atacuri sunt:
Factorul frică. Elementul de bază care este comun majorității atacurilor teroriste este faptul că aceștia doresc să provoace frică în rândul oamenilor obișnuiți, diverselor grupuri sau societăți. Un exemplu elocvent este atacul cu bombă din 2002 asupra unui club de noapte din Bali. Acesta era doar un bar care era preferat de turiștii străini, scopul principal al atacatorilor fiind de a provoca victime în rândul lor și a răspândi frica printre aceștia. Numărul de turiști străini care vizitează Bali a scăzut semnificativ după acest atac. Același lucru este valabil și pentru atacurile IT.
Factorul spectaculozitate. Oricare ar fi daunele produse de un atac, acesta trebuie să fie de o natură spectaculoasă. Sunt considerate spectaculoase atacurile care au ca scop fie provocarea de daune directe imense, fie cele care au ca rezultat multă publicitate negativă. În 1999, site-ul Web Amazon.com a fost căzut pentru o perioadă de timp din cauza unui atac de tip „Denial of Service” (DOS). Amazon a suferit pierderi, dar subiectul a fost intens mediatizat.
Factorul vulnerabilitate. Atacurile cibernetice nu se sfârșesc întotdeauna cu pierderi financiare însemnate. Unele din cele mai efective metode de a demonstra vulnerabilitatea unei organizații este provocarea unui „Denial of Service” serverului sau chiar ceva mai simplu ca accesarea și modificarea site-urilor Web, operație denumită de obicei computer graffiti.
1.3.2. Spionajul cibernetic
Spionajul cibernetic figurează pe locul trei pe lista primelor zece amenințări de securitate în 2008. Pierderile cauzate de acest gen de activitate celor mai mari 1.000 de companii din lume se ridică la peste 45 de miliarde dolari pe an. Țintele cele mai vizate de către infractorii cibernetici sunt indicatorii despre cifrele de afaceri și preferințele clienților, informațiile despre produsele noi, datele financiare și informațiile despre procesele de fabricație.
În realitate, este destul de rar și totodată destul de dificil de identificat și documentat o operație de cyber-spionaj pur, aceasta fiind de multe ori combinate cu acțiuni de sabotaj sau din zona criminalității electronice, toate subsumându-se infracțiunilor informatice.
Momentan, conform mass-mediei occidentale, cele mai frecvente ținte sunt SUA, Germania si Marea Britanie. Spionajul cibernetic ia o amploare tot mai mare, iar atacurile hackerilor au devenit principala amenințare la adresa securității informatice. Cel mai îngrijorător este faptul că „cyber-spionajul” a început să fie practicat la nivel de instituții. Guverne și organizații din 120 de țări recurg la această metodă în încercarea de a obține informații politice, militare, economice și tehnice, potrivit unui raport al unei companii americane specializată în producția de software din domeniul securității informatice, raport realizat cu ajutorul informațiilor oferite de experți ai Alianței Nord-Atlantice, FBI și ai Organizației pentru Lupta împotriva Crimei Organizate din Marea Britanie. ,,Ceea ce a început ca o joacă a unor puști teribili și talentați s-a transformat într-un adevărat război cibernetic, iar situația se va înrăutăți dacă nu se iau urgent măsuri”, avertizează Jeff Green, vicepreședinte la una dintre diviziile McAfee.
Din păcate, conform estimărilor unor specialiști, 99% din atacuri nu sunt depistate. În ultimii ani, guvernele din Statele Unite, Germania, Marea Britanie, India, Noua Zeelandă și Australia au anunțat ca au fost ținta unor atacuri cibernetice în mai multe rânduri. Principalul suspect, China, a negat orice implicare. Experții NATO susțin că, în cele mai multe cazuri, hackerii au folosit metoda calului troian.
Principii și mecanisme ale spionajului cibernetic
Pe lângă guverne, țintele preferate ale cyber-atacurilor sunt sistemele informatice ale aeroporturilor, marilor companii și furnizorilor de utilități. Chiar dacă a respins acuzațiile, China a recunoscut că culegerea de informații prin mijloace informatice face parte din strategia sa militară pentru secolul XXI, conform doctrinei de război informațional.
În depoziția din Congresul american a generalului James E. Cartwright, comandantul Forțelor Strategice ale SUA acesta a afirmat că „China este implicată în activități cibernetice, prin atacarea rețelelor de pe teritoriul Statelor Unite, a agențiilor guvernamentale, dar și a companiilor private". Astfel, numai în 2006 China a atacat patru rețele ce aparțin de patru agenții guvernamentale distincte, toate cu rol în securitatea națională. Pe de altă parte, profesorul Peter Sommer a declarat că există semnale potrivit cărora mai multe servicii secrete din întreaga lume atacă rețelele unor guverne străine, atât pentru a culege informații, cât și pentru a-și dezvolta tehnicile de spionaj.
Mai multe penetrări severe ale sistemelor informatice și de comunicații guvernamentale americane au apărut pe parcursul ultimilor ani. În continuare sunt prezentate câteva din cele mai cunoscute cazuri:
– în decembrie 2005, mai multe calculatoare din birourile parlamentarilor britanici au fost atacate de pe calculatoare comandate din zona asiatică. „Aceștia nu erau hackeri obișnuiți. Gradul de sofisticare era extrem de ridicat. Sunt niște programatori extrem de inteligenți", declarau investigatorii de la Centrul de Coordonare a Securității Naționale. Conform acelorași investigatori, chinezii au folosit anumiți viruși, denumiți troieni, care trimiteau înapoi informații despre documentele din calculatoarele britanicilor;
– în 2006 un angajat al Departamentului de stat al SUA a deschis atașamentul unui email care conținea un soft nociv de tip „troian”, care s-a instalat pe calculatorul gazdă și i-a permis hacker-lui acces neautorizat și ascuns, iar ca răspuns departamentul a trebuit să oprească accesul la INTERNET al tuturor angajaților din regiunile Asia de Est și Pacific;
– Departamentul securității interne din SUA (Homeland Security Department) a suferit circa 850 de atacuri în perioada 2005-2006. Într-unul din cazuri au descoperit un program capabil să fure parolele utilizatorilor, instalat pe două servere de rețea;
– în 2007 un hacker neidentificat a pătruns în sistemul de poștă electronică a secretarului de stat pentru apărare Robert Gates, iar Pentagonul a trebuit să oprească 1.500 de computere;
– în 2008, mai multe state, printre care Germania, Canada și Franța, au anunțat ca au fost victimele unor atacuri similare. Un alt stat atacat cibernetic a fost Taiwanul. Conform datelor ulterioare, au fost detectate atacuri lansate de pe platforme Windows. Microsoft a avut nevoie de 178 de zile până să realizeze ,,patch"-urile necesare opririi vulnerabilității sistemului Windows;
– în luna iulie 2009, Coreea de Sud și Statele Unite au fost vizate de o serie de atacuri conduse împotriva site-urilor unor instituții, dar care nu au produs pagube majore, potrivit declarațiilor oficiale. Anchetatorii nu au putut să descopere cine s-a aflat la originea agresiunilor realizate cu ajutorul a 166.000 de calculatoare controlate de hackeri.
În 2009 hackerii au accesat rețeaua Pentagonului reușind să pătrundă și să spioneze cel mai costisitor și avansat proiect militar al Statelor Unite din toate timpurile – Joint Strike Fighter (F-35 Lightening II), în valoare de 300 de miliarde de dolari. În urma acestor atacuri, au fost copiate mai mulți terabytes de date legate de design-ul avionului și de sistemele electronice. În acest fel, apărarea împotriva unui atac din partea acestui tip de avion ar putea fi cu mult ușurată. Programele de spionaj au criptat datele care au fost furate, astfel încât anchetatorii nu pot spune exact ce fel de informații au fost copiate.
Statele Unite au avertizat de mai multe ori că spionajul cibernetic din partea Chinei se intensifică. Astfel, Kevin Chilton, șeful Comandamentului Strategic american, a explicat că rețelele computerizate militare sunt atacate tot mai frecvent pentru obținerea de informații și că majoritatea acestor atacuri vin dinspre China. Astfel, dacă în 2005, numărul atacurilor asupra calculatoarelor guvernamentale din SUA se ridica la unul sau două pe săptămână, în 2008 se înregistra o medie de 53 de atacuri pe zi.
Într-un raport bilateral comandat de Comisia de Securitate SUA – China și dat publicității la 15 noiembrie 2007, se arată că ,,Activitățile de spionaj ale Chinei asupra Statelor Unite sunt atât de extinse, încât ele reprezintă singurul mare risc la adresa securității tehnologice americane". De asemenea, analistul John J. Tracik susține într-un studiu că „Atacurile cibernetice sunt de departe cea mai importantă unealtă de spionaj a Chinei”. „Chinezii au fost primii care au folosit atacurile cibernetice în scopuri politice si militare", este și concluzia lui James Mulvenon, directorul Centrului pentru Cercetare și Informații de la Washington.
Forme de manifestare ale spionajului cibernetic
În continuare sunt prezentate în detaliu câteva operațiuni masive de spionaj cibernetic, pentru a încerca să înțelegem mecanismele și formele de manifestare a acestei amenințări.
Cea mai vastă operațiune de spionaj informatic, denumită Ghost Net, a fost declanșată, potrivit cotidianului New York Times, care citează un raport al experților canadieni, de pe teritoriul Chinei, în iunie 2007 și a vizat calculatoare ale guvernelor, ambasadelor, băncilor și chiar ale unor organizații de presă din 103 țări, inclusiv România. Ancheta a fost începută la solicitarea serviciilor lui Dalai Lama, după ce exilații tibetani au observat că le sunt furate diverse documente. Canadienii au observat că rețeaua de spionaj nu a vizat doar calculatoarele exilaților tibetani, ci pe cele din zeci de țări, relatează The Times. Sistemul de spionaj informatic Ghost Net (controlat de calculatoare aflate aproape în totalitate în China) a afectat 1295 de calculatoare din 103 de țări, dar și calculatoare de la sediul NATO. Primele computere atacate au fost chiar cele ale Pentagonului, iar lista include ministerele de externe din Iran, Letonia, Indonezia, Filipine, dar și ambasade din India, Coreea de Sud, Indonezia, România, Cipru, Malta, Thailanda, Taiwan, Portugalia, Germania și Pakistan. Experții canadieni au descoperit că au fost piratate și calculatoare ale unei firme de contabilitate din New York – Deloitte & Touche. În raportul organizației IWM se arată că „GhostNet reprezintă o rețea de calculatoare compromise, ce conțineau documente politice, economice, jurnalistice importante, aflate în numeroase țări din lume. Computerele diplomaților, atașaților militari, asistenților personali, secretarelor prim-miniștrilor, jurnaliștilor și altor categorii se aflau deja sub controlul ascuns al unor atacatori necunoscuți”.
Hackerii au dezvoltat acest sistem prin care victima este păcălită să deschidă un email care apare ca și când ar veni de la cineva cunoscut sau să acceseze anumite site-uri ori fișiere atașate care sunt infectate. Odată instalat programul-troian în calculator, el poate prelua total controlul: extrage și transmite fișiere, capturează parole și poate chiar să activeze camera web. Poate declanșa „subtil” senzorii audio și poate șterge date din calculator. Apoi, pătrunde și în listele de contacte conținute și se „auto-trimite” către noile adrese. Unul dintre serverele de unde s-au lansat atacuri se află pe insula Hainan, unde există sedii ale unor instituții guvernamentale chineze și ale unor unități ale armatei chineze. Alte două servere se găsesc în provinciile Guangdong și Sichuan.
Experții din serviciile de informații britanice au avertizat recent că hackerii chinezi ar putea declanșa o adevărată criză în Marea Britanie, având practic capacitatea de a prelua controlul asupra echipamentelor de telecomunicații. Ei ar putea pătrunde în sistemul informatic ce asigură alimentarea cu energie, apă și comunicații, potrivit The Times. Mai mult, componentele sistemului pot fi manipulate pentru a produce blocaje în transporturile și finanțele britanice, dar și pentru a spiona chiar utilizatorii acestui sistem: MI5, MI6, departamentele militare. Aceasta deoarece o parte din sistemul de comunicații britanic (ce a costat peste 10 miliarde de lire sterline) a fost cumpărat de la compania Huawei, ce a primit fonduri de la guvernul chinez, relatează The Daily Mail. Serviciile de informații din Statele Unite au indicat recent că Huawei este o piesă importantă a amenințării cibernetice venite dinspre China, având „legături strânse” cu Armata Populară de Eliberare. Înșuși americanii au fost la un pas de a introduce în propriul sistem de securitate respectiva companie chineză. Anul trecut, firma 3Com, care asigură programele de securitate informatică pentru Pentagon, era gata să fuzioneze cu Huawei. Fuziunea a fost însă blocată la timp de serviciile de informații, care au invocat rațiuni de securitate națională.
Pe timpul unei vizite la Beijing în decembrie 2007, programe spyware destinate să copie în mod clandestin informații de pe calculatoare sau alte echipamente electronice au fost descoperite pe echipamentele folosite de către membrii delegației conduse de Carlos Gutierrez, secretarul de stat al SUA pentru comerț, pentru a discuta probleme legate de dreptul intelectual, piața liberă și securitatea produselor informatice. Conform declarațiilor unor experți în securitatea IT, aceste programe spyware erau destinate să deschidă un canal de comunicație către un calculator din INTERNET și să descarce periodic datele de pe sistemele infectate. De asemenea, s-a constatat că același cod malițios a fost descoperit și pe laptop-urile unor oameni de afaceri care au călătorit în China.
Dr. Tim Brenner, fost director al NSA timp de patru ani, a afirmat că „China este o adevărată pentru contrainformații și, mai precis, o amenințare în domeniul cibernetic" și că „experiența companiilor americane este un exemplu ilustrativ asupra importanței pe care China o acordă spionajului economic în spațiul cibernetic". Brenner a mai afirmat că rețelele cibernetice sunt noua frontieră a contraspionajului american, completând că „dacă poți fura informații sau poți scoate din funcțiune o organizație prin atacarea rețelelor sale cibernetice de la distanță, ce rost mai are să antrenezi, să trimiți și să gestionezi un spion peste hotare?”
Așa cum s-a arătat anterior, primele unități chineze de specialiști în război cibernetic au fost create in 2003 de către armată, ceea ce demonstrează importanța pe care Beijingul o acordă spionajului în domeniul militar. Contraspionajul american a denumit aceste unități drept „Titan Rain". China nu face diferență între hackerii care lucrează pentru guvern sau pe cont propriu. Un analist STRATFOR a afirmat că „există un imens rezervor de persoane în China, studenți, academicieni, șomeri etc., care nu sunt descurajați să facă acest lucru". China face prea puțin pentru a-i opri aceste grupuri, care sunt, în general formate din tineri cu deprinderi IT și cu convingeri naționaliste. The Wall Street Journal relatează că Ministerul de Externe chinez, dar și Oficiul pentru Informații de stat din China au refuzat să comenteze informațiile apărute în presă, iar guvernul chinez a negat în repetate rânduri că ar sponsoriza atacuri cibernetice, însă chiar și dacă nu folosește metode atât de directe, oricum profită de pe urma celor dispuși să acceseze ilegal computere din alte state. Se pare că armata chineză s-a folosit de mai multe ori în trecut de „asociații” cu mii de membri, precum Red Hacker’s Alliance sau China Eagle Union.
1.3.3. Subversiunea în spațiul cibernetic
Delimitări conceptuale, caracteristici
Dezvoltarea accentuată din ultima perioadă a mijloacelor de informare în masă, a capacităților tehnice de transmitere a informațiilor în timp real și a canalelor de comunicare (televiziunea, INTERNET-ul, radioul, presa scrisă) au creat infrastructura necesară influențării opiniei publice și a promovării intereselor unor actori statali și non-statali (persoane, grupuri, organizații, firme transnaționale etc.). Dependența omului modern de mijloacele de informare în masă oferă condiții favorizante entităților sau indivizilor interesați să acționeze pentru schimbarea atitudinilor, convingerilor și comportamentului populației, fără a se recurge la mijloace violente.
În contextul în care receptarea, asimilarea și utilizarea curentă a informației a devenit o necesitate stringentă, a apărut și s-a dezvoltat un nou tip de agresiune, de confruntare, – războiul informațional – ale cărui caracteristici și forme de manifestare subtile și eficiente le depășesc cu mult pe cele clasice și în cadrul căruia subversiunea, prin metode și tehnici specifice (propagandă, dezinformare, intoxicări, denaturarea adevărului, zvonuri etc.) asigură îndeplinirea scopurilor propuse cu eforturi minime.
Cel mai vechi teoretician al subversiunii este Sun Tzu, cu mult timp în urmă, a descoperit modalități de compensare a decalajului în luptători și în potențial economic, prin subminarea adversarului atât în timp de pace, cât și pe timpul derulării acțiunilor militare. În epoca modernă, subversiunea este folosită ca un auxiliar al operațiilor militare clasice desfășurate pe câmpul de luptă.
Urmare a schimbării paradigmei războiului, subversiunea a devenit o armă principală. Astfel, subversiunea influențează noua concepție de desfășurare a războiului, care devine o luptă neconvențională, imposibil de încadrat în normele dreptului internațional și străină de legile militare cunoscute. Astfel, scopul principal al conflictului a rămas același: expansiunea teritorială ori extinderea influenței unei entități statale ori nestatale asupra unui obiectiv, însă mijloacele de atingere a acestuia s-au schimbat devenind mai subtile, însă și mai greu de evidențiat și contracarat.
În general, subversiunea poate influența societatea în ansamblu sau anumite componente ale sistemului social, predilecte fiind instituțiile fundamentale ale statului: armata, biserica, justiția și liderii politico-militari. Astfel, autorul interviului a afirmat că principalele ținte ale unor acțiuni cu impact negativ sunt aproape întotdeauna îndreptate împotriva liderilor. După acest nivel, sunt vizate infrastructura critică a unei țări, populația și abia apoi trupele militare. Astfel, în momentul în care se dorește exercitarea influenței asupra unei țări, îndreptarea acesteia într-o anumită direcție, se acționează asupra liderului printr-o serie de acțiuni specifice: acte murdare, manipulări, dezinformări, diversiuni etc.
Dicționarul explicativ al limbii române oferă următoarea definiție pentru subversiune: „Acțiune conspirativă întreprinsă împotriva ordinii sociale, și politice oficiale, în vederea instaurării unui nou regim politic; a ataca, a lovi (indirect, pe ascuns) pentru a slăbi, a compromite, a zădărnici sau a nimici o acțiune, o realizare (a unui adversar); care periclitează, subminează ordinea internă a unui stat, care este împotriva ideilor, a valorilor acceptate în general". Ca urmare ea poate fi văzută ca o acțiune prin care un stat urmărește răsturnarea ordinii publice, juridice si sociale a altui stat, prin incitarea la dezordini sau propagare de știri tendențioase. Are ca scop distrugerea regimului politic al unui stat și înlocuirea acestuia cu altul convenabil celui care propagă aceste acte sau ca un atac puternic, executat cu abilitate, în mare măsură de ordin psiholog asupra voinței omului, de către un grup orientat politic, cu scopul de a se distruge moralul, de a crea neîncredere și o stare generală de nemulțumire pentru a se înlocui ordinea politică existentă, prin mijloace neconstituționale, cu o alta.
Sun Tzu afirma că „toată arta războiului se bazează pe înșelătorie". Una din regulile de bază ale acestei concepții de luptă o reprezintă discreditarea a tot ce merge bine în țara inamicului cu scopul de a o cuceri fără mijloace violente: „Implicați-i pe reprezentanții claselor conducătoare ale țării adverse să întreprindă acțiuni ilegale, subminați-le reputația și la momentul potrivit, supuneți-i disprețului concetățenilor lor. Răspândiți discordia și gâlceava între cetățenii țării adverse. Întărâtați-i pe tineri contra bătrânilor. Ridiculizați tradițiile adversarilor!”.
Roger Muchielli sublinia faptul că după cel de-al doilea Război Mondial ierarhia mijloacelor de luptă a fost răsturnată complet, apărând astfel o nouă concepție asupra războiului, iar în această nouă formă de luptă mijloacele subversive au devenit o armă principală. De fapt, strategia războaielor de astăzi aproape exclude recurgerea la o intervenție armată străină: „în loc să plasăm trupe la frontiera țării pe care vrem s-o cucerim, vom iniția în interiorul acestui stat, prin acțiunea unor agenți subversivi antrenați, un proces de disoluție a autorității, în timp ce, în grupuri de partizani, prezentați ca „emanați din rândurile poporului” și constituiți „spontan”, vor angaja un nou tip de luptă, cu intenția clară de a începe un conflict”.
Pentru câștigarea aderenței la un mit, este important să fie identificate cuvintele esențiale și nu să se ofere posibilitatea analizării, în mod obiectiv, a informațiilor existente, certe. Lucrarea lui Gustave Le Bon, „Psihologia mulțimilor", aduce dezvoltări importante în acest sens: „oricare ar fi ideile sugerate, acestea nu vor avea nici un efect decât atunci când pătrund în subconștient și devin sentimente. Puterea cuvintelor este legată de imaginile pe care le evocă, independent de sensul lor real. De aici, utilitatea politică a botezării cu nume noi a lucrurilor vechi, atunci când cuvintele cu care sunt desemnate trezesc amintiri neplăcute".
În prezent, explozia mijloacelor mass-media, în special a INTERNETULUI, care facilitează informarea cetățenilor și generează audiențe largi, în special în cazul persoanelor tinere, facilitează în special dezvoltarea unor „mijloace subversive complexe” și foarte greu de contracarat:
– propaganda și agitația, demonstrațiile și protestele, distribuția de pamflete;
– utilizarea „organizațiilor de fațadă" ca acoperire pentru activitățile lor reale;
– recrutarea „agenților de influență" care operează fie conștient, fie inconștient în numele lor;
– crearea unui climat de lipsă de încredere și disoluție, care conduce la discreditarea guvernelor și indivizilor;
– răspândirea de zvonuri false sau adevăruri distorsionate, care contribuie la distrugerea încrederii în conducători sau aliați.
Subversiunea în mediul cibernetic
În prezent, principalul suport prin care se pun în practică strategiile subversive este, în mod clar, mass-media. Dacă în sistemele totalitare mijloacele de informare erau controlate strict de la „centru", în cazul societăților democratice, manipularea mass-media implică elaborarea unor strategii extrem de complicate și subtile, dar cu o forță extraordinară de influențare a opiniei publice, deoarece individul are așteptări foarte mari de la jurnaliști (mai nou, de la bloggeri), pe care îi consideră imparțiali și justițiari.
Mijloacele de comunicare în masă influențează, orientează și dirijează opinia publică, interesele și motivațiile oamenilor, conștiințele, chiar dincolo de propria voință. Controlul pe care îl exercită mass-media asupra realității vieții i-a determinat pe specialiștii americani să considere funcția de informare a mass-media drept o „funcție de supraveghere”, ori prin controlul informației poate fi obținută cea mai eficientă armă subversivă pe scară largă.
Dezvoltarea tehnologiei computerelor și a INTERNETULUI a îmbunătățit viteza și volumul diseminării informațiilor pe orizontală și pe verticală. În același timp, INTERNETUL a realizat interconectarea rețelelor regionale din întreaga lume într-o rețea globală, făcând astfel din acesta un mediu ideal pentru acțiunile subversive. „Universalitatea mediului de propagare furnizează avantajul executării unor acțiuni la distanță. Odată ce este identificată rețeaua unui inamic, ea poate fi accesată de oriunde în lume. Aceasta este o schimbare radicală într-o disciplină care până acum, era centrată pe operații ce erau limitate de distanță".
Accesul rapid la rețeaua inamicului este una dintre cele mai avantajoase caracteristici ale rețelei INTERNET, întrucât făcând o analiză adecvată se poate ajunge la publicul țintă cu cele mai oportune mesaje subversive, simultan existând posibilitatea de a ținti diferite audiențe, în raport cu scopul propus. INTERNETUL prezintă și marele avantaj de a elimina constrângerile fizice și operaționale caracteristice altor suporți, legate de mărimea articolului, lățimea de bandă, distanța, durata emisiunilor, care nu vor mai fi factori limitatori ai volumului de informații transmise către inamic.
„O corectă înțelegere a rețelei informaționale care deservește ținta poate furniza un feed-back corect pentru operații psihologice non-agresive. Măsurarea eficienței operațiilor psihologice se poate realiza prin observarea la timpul potrivit a activității sistemelor informatizate ale țintei. Monitorizarea propagandei pe INTERNET poate fi un mod de a face acest lucru. Bătălia principală se va da pentru influența și / sau controla procesul decizional al adversarului. Un mod de a determina această influență este de a ataca centrul de gravitate informațională sau cel al locului fizic sau virtual”.
Cu toate aceste avantaje de netăgăduit, există însă și dezavantaje în ceea ce privește probabilitatea succesului într-o acțiune subversivă derulată prin INTERNET. Nu trebuie să uităm faptul că încă mulți ani accesul la INTERNET va fi redus, distribuit neuniform pe țări și continente, iar influența celorlalte rețele mediatice, concepte de centre de putere (influență) locale, vor fi mai mari.
Războiul cibernetic, cunoscut în literatura de specialitate sub numele de cyberwar, are ca scop penetrarea, distrugerea sau degradarea sistemelor informaționale și a bazelor de date ale unui inamic. În realizarea acestor obiective se folosesc tehnologii dintre cele mai diverse pentru întreprinderea unor acțiuni precum: colectarea de date, comunicații tactice, identificare de tipul „prieten sau dușman”, direcționarea armelor ,,inteligente", bruierea comunicațiilor inamicului, transmiterea de informații false etc.
Una din dimensiunile netradiționale este definitã de unii analiști de la RAND (o organizație de cercetare internațională non-profit) cu numele de netwar, termen care se referã la posibilitatea unui conflict extins bazat pe folosirea informațiilor între națiuni sau între societăți diferite. Scopul unui netwar este acela de a încerca deteriorarea, întreruperea sau modificarea a ceea ce populația-țintă știe sau crede că știe despre sine și despre lumea înconjurătoare. El poate fi focalizat asupra elitelor sau asupra opiniei publice, sau chiar asupra amândurora si poate implica o serie de campanii de propagandã sau psihologice, subversiuni culturale sau psihologice, transmiteri de informații false sau infiltrarea de persoane în structurile presei locale, infiltrarea unor rețele de computere și a bazelor de date, precum și eforturile de promovare a mișcărilor disidente sau de opoziție, folosind resursele specifice ale rețelelor de computere.
În cazul unui conflict militar sau non-militar, rolul subversiunii capătă aspecte decisive, atât protejarea populației proprii și a luptătorilor, cât și contra-atacul asupra adversarului, fiind elemente de bază în atingerea scopului propus. Într-o lume din ce în ce mai tehnologizată, în care INTERNETUL și mass-media sunt omniprezente și facilitează tranzitul vectorilor subversivi, atacul asupra unui obiectiv vizat prin intermediul „cyber-subversiunii” este un lucru din ce în ce mai facil. Acesta se manifestă, în special, pe timp de pace, atunci când caracteristicile unui conflict armat sau violent nu fac parte din realitatea cotidiană. Mesajele subversive conținute de anumite site-uri pot lua forma atât a unor elemente de zdruncinare a încrederii populației în lideri, valori, economie etc., cât și a unora de prezentare într-o lumină favorabilă a adversarului.
Astfel de acțiuni subversive se manifestă prin:
– folosirea unor site-uri de INTERNET (inclusiv a unora înregistrate în spațiul obiectivului vizat, pentru o mai mare credibilitate);
– transmitea unor mesaje de email cu informații false sau prelucrate având ca expeditori persoane sau instituții cât mai credibile;
– distrugerea unor elemente de infrastructură software ale instituțiilor bancare, de utilități, militare etc.
Libertatea de expresie și democrația vor fi întotdeauna elemente de suport (sau, cel puțin de tolerare) a subversiunii în general și a „cyber-subversiunii” în mod special. Tocmai această libertate a opiniei este cea exploatată de inamic, sub toate formele sale de expresie, pentru a lansa atacuri de subminare a încrederii și de inducere în eroare a adversarului. Acesta se poate trezi într-o realitate în care multitudinea de mesaje și de informații care par credibile este atât de mare, încât capacitatea sa de a discerne se reduce simțitor. În acest moment, loviturile subversive lansate din mediul electronic își pot atinge țintele cu mare ușurință, dată fiind impresia că „INTERNETUL, în general, nu poate fi manipulat, pentru că toată lumea are acces la el”. În contextul în care fiecare individ sau entitate are încredere în anumite surse de informare, creditându-le pe acestea cu capacitatea de a analiza pertinent informația, influențarea acestora și facilitarea transmiterii mesajelor subversive prin intermediul lor devine o sarcină esențială pentru un adversar serios, care devine greu de identificat și de contracarat, în special atunci când mediul de propagare este cel on-line.
Structura organizațiilor subversive este extrem de eterogenă și descentralizată, ceea ce le face aproape invizibile, acestea folosindu-se în atacurile lor de un teritoriu virtual nelimitat și foarte accesibil. Totodată, în cazul identificării și contracarării lor, structura le permite o reorganizare rapidă datorită redundanței și flexibilității rețelelor de comunicații. Globalizarea mediului electronic permite oricărui atacator să acționeze în zone îndepărtate și să poată lansa atacuri care să vizeze ținte dispersate și neomogene.
O altă modalitate de atac subversiv având ca suport mediul cibernetic o reprezintă forumurile de discuții, acolo unde personalitățile și identitățile sunt diluate la maxim, iar exploatarea anumitor slăbiciuni sau preferințe se realizează facil.
Printre avantajele majore ale unor astfel de tehnici se pot număra: gratuitatea și modul anonim de înregistrare a atacatorilor, numărul mare de membri potențiali, accesul global, investițiile minime comparativ cu presa tradițională, interesul crescut al reprezentanților media pentru sursele de informare din mediul electronic, multiplele modalități de accesare a INTERNETULUI în mod anonim, slaba reglementare a domeniului virtual etc. Modul lor de utilizare poate facilita atingerea unor scopuri importante pentru adversar:
– propagandă și prozelitism;
– prezentarea de informații trunchiate;
– dezinformare sau prezentarea unor informații (inclusiv sub formă audio și video) care pot zdruncina moralul adversarului (execuții, imagini ale unor prizonieri etc.).
În același timp, acțiunea într-un astfel de mediu oferă posibilitatea desfășurării unor acțiuni incisive de recrutare de adepți, aceștia putând furniza, la rândul lor, noi nume sau identificatori de persoane cărora li se pot adresa mesajele subversive. Dezvoltarea rețelei de INTERNET la nivel global oferă acum posibilitatea unei interacțiuni mult mai directe (chat-uri, forumuri, bloguri, VoIP, imagini în timp real), ceea ce facilitează transmiterea mesajelor și creează o impresie de familiaritate și de apartenență la grup. În general, tinerii sunt victimele cele mai vizate pentru astfel de atacuri, site-urile de socializare și cele de mesagerie electronică fiind suporturi perfecte pentru activități de recrutarea de adepți și pentru transmiterea de mesaje subversive.
Toate aceste tehnici și metode de subversiune folosind mediul cibernetic se pot aplica, desigur, și la o scară mult mai redusă, atunci când ținta sau atacatorul sunt entități economice sau politice.
1.3.4. Sabotajul infrastructurilor critice
Economia și securitatea națiunilor dezvoltate sunt dependente de tehnologiile informaționale și de infrastructura informațională. În centrul infrastructurii informaționale, de care depinde omenirea, se află INTERNET-ul, un sistem conceput inițial pentru folosirea în comun a cercetărilor neclasificate între oamenii de știință care nu erau suspectați de folosirea abuzivă a rețelei. Este același INTERNET care astăzi conectează sute de milioane de calculatoare din diferite rețele, rezolvând cele mai multe servicii de bază ale națiunilor și conducând la funcționarea infrastructurilor.
Aceste rețele de calculatoare, de asemenea, controlează obiecte fizice, cum sunt transformatoarele electrice, trenurile, stațiile de pompare, containerele chimice, radarele, bursele de valori, toate existând dincolo de spațiul cibernetic.
Infrastructurile critice
Infrastructurile critice sunt, potrivit unei definiții a Comisiei Europene, „instalațiile fizice și de tehnologia informației, rețelele, serviciile și activele care, în caz de oprire sau distrugere, pot să producă incidente grave asupra sănătății, securității sau bunăstării economice a cetățenilor sau activităților guvernelor statelor membre”.
Infrastructurile critice înglobează:
– instalații și rețele din sectorul energiei (în special instalațiile de producere a electricității, de petrol și de gaze, instalațiile de stocare și rafinăriile, sistemele de transport și de distribuție);
– sistemele de tehnologia comunicațiilor și informatică (telecomunicațiile, sistemele de radiodifuziune, rețelele de televiziune, nodurile informatice și rețelele, sistemele de radionavigație prin satelit, inclusiv INTERNET-ul etc.);
– sistemul financiar (sectorul bancar, piețele de valori și investițiile);
– sectorul de îngrijire a sănătății (spitale, instalații de îngrijire a bolnavilor și băncile de sânge, laboratoare și produse farmaceutice, servicii de urgență, de căutare și salvare);
– sectorul alimentar (securitate, mijloace de producție, distribuție și industrie agroalimentară);
– sistemele de aprovizionare cu apă (rezerve, stocuri, tratament și distribuție);
– sistemul de transporturi (aeroporturi, porturi, instalații inter-nodale, căi ferate, rețele de tranzit de masă, sisteme de control trafic);
– sistemele de producție, stocare și transport ale produselor periculoase (materiale chimice, biologice, radiologice și nucleare);
– administrația (servicii de bază, instalații, rețele de informații, active, locuri importante, monumente naționale).
Aceste infrastructuri aparțin sectorului militar sau civil, guvernamental, public sau privat și sunt interdependente. De aceea, în concepția Comisiei Europene, autoritatea publică trebuie să-și asume responsabilitatea pentru consolidarea și protecția acestor infrastructuri. Aceste interdependențe fac să crească foarte mult vulnerabilitățile întregului sistem și ale tuturor infrastructurilor. De aceea, este foarte posibil ca, în mod paradoxal, paralel cu procesul de integrare europeană, numărul infrastructurilor critice să crească. Infrastructurile critice nu au un caracter static, ci cunosc o anumită dinamică, unele putând deveni critice, altele, securizate, putând ieși din această categorie.
Ca o concluzie privind gestionarea securității infrastructurilor critice, responsabilitatea identificării, evaluării, protecției și securizării acestora, în condițiile creșterii interdependențelor, accentuării vulnerabilităților și proliferării amenințărilor la adresa infrastructurilor critice, capătă valențe și valori internaționale, devenind o chestie vitală pentru buna funcționare a societății.
Infrastructurile critice nu vor fi protejate complet și în orice moment, dar evaluarea amenințărilor la adresa acestora, a vulnerabilităților de sistem și de proces la pericole și amenințări, cooperarea internațională și realizarea unui sistem european (regional, global) de identificare, monitorizare, evaluare, securizare și protecție a infrastructurilor critice creează premise pentru ca securitatea acestora să poată fi gestionată în mod eficient.
O direcție prioritară de acțiune pentru securitatea națională a României o reprezintă necesitatea declanșării unui amplu proces de dezvoltare, modernizare și asigurare a protecției infrastructurii critice, a elementelor vitale ce vizează pregătirea teritoriului, economiei și a societății pentru a face față riscurilor și amenințărilor la adresa securității naționale. În acest scop, se va acționa pentru modernizarea și adaptarea legislației și instituțiilor, în raport cu dinamica reală a procesului, cu exigențele impuse de noile riscuri și amenințări și cerințele determinate de nevoile de cooperare în cadrul NATO, Uniunii Europene și parteneriatelor strategice.
Opțiunile strategice ale României au în vedere dezvoltarea rapidă a unor rețele de infrastructură specializate și eficiente, compatibile cu cele europene și euroatlantice, capabile să potențeze atât dezvoltarea susținută și modernizarea accelerată a economiei, cât și securitatea națională, în care scop vor fi lansate programe ample de investiții naționale, în cooperare și în parteneriat.
Un rol important revine elaborării unei strategii unitare de protecție, pază și apărare a infrastructurii critice, capabilă să asigure continuitate, coerență, unitate metodologică și procedurală, precum și o reală eficiență antiteroristă. Securitatea infrastructurii critice va viza atât contracararea riscurilor generate de acțiuni ostile, cât și a celor produse de accidente sau forțe ale naturii și trebuie să prevadă și măsurile de restabilire a funcționării activităților în cazul distrugerii sau avarierii elementelor de infrastructură.
Sectoarele/subsectoarele cu elemente de infrastructură critică conform legislației românești sunt prezentate în tabelul din anexa nr. 11.
Atacurile cibernetice asupra infrastructurilor critice pot provoca adevărate calamități sau dezastre având în vedere că toate aceste infrastructuri critice au în compunere o componentă informațională de control. Astfel unii autori, consideră că cel două pene majore de energie electrică din SUA, în anul 2003, ar fi putut avea la origine atacuri cibernetice desfășurate de hackeri de peste ocean. Un om de afaceri american a afirmat că un grup de hackeri aparținând unei puteri străine a obținut controlul asupra rețelei de comandă a sistemului de energie electrică din nord-estul Americii, accesibile de pe INTERNET și au forțat căderea întregii rețele de distribuție pe o suprafață de 20.000 de km2 , cuprinzând statele Ohio, Michigan, New-York și o zonă din Canada, când mai mult de o sută de uzine electrice au fost oprite în cascadă; aceasta s-a datorat nu unor copaci prea înalți și prea apropiați de liniile de înaltă tensiune ci unui virus informatic care a întrerupt comunicațiile între aceste uzine. A doua pană de curent din martie 2005 în Florida de est, care a fost provocată de căderea a opt uzine și a afectat 50 milioane de oameni, pare să fi fost cauzată, conform mărturiei lui Tim Bennet în fața Congresului american, de o intruziune a unui hacker din China, conform rezultatelor investigației de tip „reverse engineering” efectuate după incident, care căuta să „mapeze” schema rețelelor de distribuție a energiei, oprindu-le din greșeală. Oficial vina a fost atribuită unui operator de pe serverele rețelei, care nu a luat la timp măsurile de securitate referitoare la patching, lăsând astfel deschisă o vulnerabilitate majoră care a fost exploatată ulterior.
1.3.5. Criminalitatea informatică
Facilitățile și oportunitățile oferite de INTERNET au transformat multe activități de afaceri prin creșterea vitezei, ușurința și distanța la care se pot efectua diferite operațiuni economice și financiare, cu reduceri simțitoare de costuri. Comunitatea criminală a descoperit în același timp că INTERNET-ul poate asigura noi oportunități și o multiplicare a beneficiilor din afaceri ilicite. Partea întunecată a INTERNET-ului implică nu numai fraude online și furturi, pornografie și pedofilie, dar și organizații criminale, grupuri de crimă organizată implicate în trafic de ființe umane și de droguri, operațiuni de spălare a banilor și chiar de cyberterorism. În era globalizării comunicațiilor și calculatoarelor, „computerele și rețelele au permis totodată și crearea de capabilități criminale, insurgente și teroriste cibernetice. Aceste capabilități cibernetice au permis ca informația să fie manipulată, furată sau sechestrată și au permis criminalilor, insurgenților și teroriștilor să desfășoare operații de gherilă, și activități on-line de tip ilegal sau extremist. Facilitățile cyber au introdus în viețile noastre furtul de identitate, frauda financiară și spălarea banilor prin INTERNET”.
Criminalitatea informatică reprezintă un fenomen contemporan, reflectat în mod frecvent în mass-media. Numărul cazurilor de infracțiuni informatice este în continuă creștere. S-a estimat ca doar 5% din faptele comise ajung la cunoștința organelor de urmărire penală. Pentru a contracara această lipsă de informație, s-a recurs la procedeul sondajelor. Un sondaj efectuat de Computer Crime Institute și Federal Bureau of Investigation (FBI) în 2005 indica pierderi de 201.797.340 de dolari în cazul a 538 de firme și instituții chestionate din SUA. Un raport din 2008 al National Hi-tech Crime Unit (NHTCU) din Marea Britanie afirmă că criminalitatea electronică a generat pierderi financiare ale companiilor britanice de cca. 2,45 miliarde de lire. Într-un sondaj realizat de această unitate specializată se arată că din 200 de companii intervievate, 178 s-au confruntat în ultimul an cu o formă a criminalității informatice, iar 90% dintre acestea au constatat că sistemele lor informatice au fost penetrate și accesate ilegal, iar 88% au afirmat că au fost victime ale furtului de date confidențiale.
Ce este criminalitatea informatică ?
Se consideră că nu există o definiție unanim acceptată cu privire la ceea ce se înțelege prin infracțiuni informatice (cybercrime). Cu toate acestea, după scopul sau rolul pe care îl poate juca un sistem informatic (noțiune în care sunt incluse orice computer personal, agendă electronică digitală, telefon mobil din generația a III-a, rețele de tip INTRANET sau EXTRANET cu activele lor de rețea), în raport cu săvârșirea unei fapte penale, se pot defini trei ipostaze definitorii pentru o infracțiune informatică:
a) Computerul ca țintă a unei fapte penale (exemplu: accesarea neautorizată a datelor clasificate dintr-un server).
b) Computerul ca mijloc de realizare a unei fapte penale (exemplu: folosirea computerului pentru falsificarea unor înscrisuri oficiale).
c) Computerul ca mijloc de stocare a unor eventuale probe (exemplu: liste de email sau pagini WEB accesate, fotografii și documente).
La data de 23 noiembrie 2001, statele membre ale Consiliului Europei (având ajutorul Canadei, Statelor Unite, Japoniei și al Africii de Sud – în calitate de observatori) au redactat și semnat ,,Convenția asupra criminalității cibernetice". Ulterior, în data de 28 ianuarie 2003, s-a înaintat spre semnare statelor membre ,,Protocolul Adițional pentru Convenția asupra criminalității cibernetice, privind incriminarea actelor de natură rasială și xenofobă comise prin intermediul sistemelor informatice". România a semnat și acest Protocol Adițional la data de 9 octombrie 2003.
Convenția și Protocolul Adițional stabilesc cadrul de bază pentru anchetarea și sancționarea penală a infracțiunilor comise cu ajutorul computerului, precum și pentru cooperarea interstatală, necesară stopării acestui flagel. Convenția aduce în prim-plan necesitatea incriminării penale a unor fapte precum: accesul ilegal la un sistem informatic, interceptarea ilegală a transmisiilor informatice, falsul informatic, frauda informatică, pornografia infantilă pe INTERNET, violări ale drepturilor de proprietate și alte drepturi conexe etc.
Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției definește trei mari categorii de infracțiuni electronice:
1) Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice:
– accesul, fără drept, la un sistem informatic, săvârșită în scopul obținerii de date informatice, prin încălcarea măsurilor de securitate;
– interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic;
– interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice;
– fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept;
– transferul neautorizat de date dintr-un sistem informatic;
– transferul neautorizat de date dintr-un mijloc de stocare a datelor informatice;
– fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la aceste date;
– fapta de a produce, vinde, de a importa, distribui sau de a pune la dispoziție, sub orice altă formă, fără drept, a unui dispozitiv sau program informatic conceput sau adaptat în scopul săvârșirii uneia dintre infracțiunile prevăzute mai sus;
– fapta de a produce, vinde, de a importa, distribui sau de a pune la dispoziție, sub orice altă formă, fără drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic în scopul săvârșirii uneia dintre infracțiunile prevăzute mai sus;
– deținerea, fără drept, a unui dispozitiv, program informatic, parolă, cod de acces sau dată informatică în scopul săvârșirii uneia dintre infracțiunile prevăzute mai sus.
2) Infracțiuni informatice:
a. Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice;
b. Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul.
3) Pornografia infantilă prin sisteme informatice:
– producerea de materiale pornografice în vederea răspândirii, oferirea sau punerea la dispoziție, răspândirea sau transmiterea;
– procurarea pentru sine sau pentru altul de materiale pornografice cu minori prin sisteme informatice;
– deținerea, fără drept, de materiale pornografice cu minori într-un sistem informatic sau un mijloc de stocare a datelor informatice.
John D. Howard propune următoarele șase categorii de autori ai atacurilor informatice, în funcție de motivația acestora:
1) hackeri – persoane, mai ales tineri, care pătrund în sistemele informatice din motivații legate mai ales de provocare intelectuală sau de obținerea și menținerea unui anumit statut în comunitatea prietenilor;
2) spioni – persoane ce pătrund în sistemele informatice pentru a obține informații care să le permită câștiguri de natură politică;
3) teroriști – persoane ce pătrund în sistemele informatice cu scopul de a produce teamă, în scopuri politice;
4) atacatori cu scop economic – pătrund în sistemele informatice ale concurenței, cu scopul obținerii de câștiguri financiare;
5) criminali de profesie – pătrund în sistemele informatice ale întreprinderilor pentru a obține câștig financiar, în interes personal;
6) vandali – persoane ce pătrund în sistemele informatice cu scopul de a produce pagube.
Din păcate, odată cu progresele tehnologice progresează și criminalitatea, într-un ritm mult mai rapid chiar. Astfel, Gunter Ollmann, șeful strategiilor de securitate de la IBM, a declarat că autorii de infracțiuni în spațiul virtual vor deveni din ce în ce mai organizați și motivați de profit în anii care vor veni. Acesta descrie infractorii cibernetici de azi (și de mâine) ca „un conglomerat internațional de autori antrenați profesional și motivați de profituri ridicate”. În ziua de azi se pot cumpăra sau închiria ultimele versiuni de kit-uri de malware, care sunt mult mai avansate decât cele precedente. Gunter Ollmann a afirmat că „Malware a trecut în lumea infracțională de doar trei ani iar utilitarele noi sofisticate de malware oferite spre vânzare au multiple facilități: canale criptate de control și comandă, servicii Web integrate pentru găzduirea de conținut phishing, servere proxy folosite pentru furturile de identitate, scanere pentru hard discuri folosite pentru a capta informații care pot fi vândute, ca adrese de e-mail și informații legate de carduri de credit”.
Gunter Ollmann, de asemenea, raportează că unele kit-uri de malware sunt vândute cu garanție, precum și cu service. Câțiva producători de malware oferă chiar și sprijin tehnic clienților în mai multe limbi pentru a atrage o audiență și mai largă de infractori. Noi platforme de atac bazate pe INTERNET au fost dezvoltate astfel încât să nu mai fie necesară folosirea ingineriei sociale sau a vreunei acțiuni din partea utilizatorului. Toate aceste tendințe sunt așteptate să evolueze în continuare în anii care vin. Utilitatea cumpărării unui pachet de malware este extinsă de unele servicii oferite. Un astfel de serviciu rău intenționat este legat de spargerea de cuvinte CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Aceste cuvinte sunt folosite pentru a preveni atacurile de forță brută și crearea frauduloasă de conturi pe site-uri Web și necesită ca utilizatorii să introducă corect un șir de caractere înainte de a le fi acordat accesul. În timp ce sistemele CAPTCHA erau în continuu sparte de către atacatori, cauzând creșterea dificultății acestora, unii au văzut în aceasta o oportunitate pentru afaceri, oferind forță de muncă umană ieftină pentru a sparge cuvinte CAPTCHA. „Aceste entități operate de obicei de cetățeni ruși oferă servicii pentru prețuri de la 1$ per 1000 de cuvinte CAPTCHA sparte și oferă o structură API ușor extensibilă pentru integrarea în malware. Această abordarea combinată va crește în viitor”.
Actorii din zona criminalității virtuale, conform lui Gunther Ollmann, pot fi împărțiți în trei categorii:
– infractorii de rând care folosesc kit-uri pentru a crea tipul de softuri nocive (malware) specific de care au nevoie;
– dezvoltatori pricepuți și colective de experți care produc facilități noi pentru a fi integrate în produsele lor comerciale care creează kit-uri malware;
– ofertanți de servicii care adaugă noi funcționalități kit-urilor de softuri nocive (malware) pentru a crește propagarea acestora și a permite frauda organizată la nivel global, introducând banii câștigați în circuite deja existente de spălare a banilor.
Forme de manifestare ale criminalității informatice
Așadar, atacurile cibernetice pot avea loc folosind mai multe mijloace și tehnologii, dar au un tipar care poate fi modelat. Deși se folosesc cele mai avansate tehnologii fazele unui atac cibernetic urmează același tipar ca și criminalitatea tradițională. Acestea sunt:
1) Primă fază a unui atac sunt acțiunile de recunoaștere desfășurate asupra țintei. Se observă operațiunile normale ale țintei, se stabilesc informațiile pertinente, cele precum software-ul si hardware-ul folosit, tipul și formatul comunicațiilor folosite etc.;
2) A doua fază a atacului este pătrunderea. Până nu pătrunde în sistem, atacatorul nu poate face mare lucru în afară de a încerca să oprească unele din serviciile sau accesul utilizatorilor către ținta lui.
3) A treia fază este identificarea și creșterea capabilităților interne după infiltrare, prin creșterea drepturilor de acces către zone restricționate, de mai mare interes dintr-un sistem particular.
4) A patra fază este cea în care intrusul provoacă pagube sistemului sau confiscă datele și informațiile vizate.
5) Ultima fază poate include ștergerea oricăror dovezi ale infiltrării sau ale furtului prin acoperirea urmelor electronice ale intrusului ștergând sau modificând evidențele de acces.
În cele din urmă, un atacator dorește să finalizeze cu succes toate cele cinci etape. Totuși, acest lucru depinde complet de metoda de atac folosită, scopul final, precum și capacitățile de apărare ale țintei.
Compania de securitate informatică SYMANTEC, a realizat un studiu despre criminalitatea cibernetică, referitor la informațiile sensibile sustrase de infractori și oferite spre vânzare, în mod ilegal, pe INTERNET, ale cărui concluzii sunt prezentate în tabelul 1.1.
Tabelul 1.1.
Din totalul informațiilor comercializate ilegal 57% sunt informații personale, confidențiale din domeniul financiar-bancar, iar restul sunt informații tehnice, de asemenea confidențiale.
În același raport s-a realizat și o analiză a instrumentelor de atac și a softurilor nocive oferite spre vânzare în mod ilegal către membrii comunității de criminalitate informatică, prezentată în tabelul 1.2.
Tabelul 1.2.
În concluzie, amenințările la dresa securității informaționale, așa cum se prezintă și în anexa nr.12, reprezintă o proiecție a amenințărilor TESSO (terorism, spionaj, subversiune, sabotaj, crimă organizată) în spațiul cibernetic, rezultând terorism cibernetic, spionaj informatic, subversiune în mediul cibernetic, sabotaj infrastructuri critice, criminalitate informatică.
CAPITOLUL 2
SECURITATEA INFORMAȚIONALĂ – FORMĂ DE PREVENIRE
ȘI COMBATERE A AMENINȚĂRILOR DIN SPAȚIUL CIBERNETIC
Securitatea informației este un concept mai larg care se referă la asigurarea integrității, confidențialității și disponibilității informației. Dinamica tehnologiei informației induce noi riscuri pentru care organizațiile trebuie să implementeze noi măsuri de control. De exemplu, popularizarea unităților de inscripționat CD-uri sau a dispozitivelor portabile de capacitate mare induce riscuri de copiere neautorizată sau furt de date. Lucrul în rețea și conectarea la INTERNET induc și ele riscuri suplimentare, de acces neautorizat la date sau chiar fraudă. Dezvoltarea tehnologică a fost acompaniată și de soluții de securitate, producătorii de echipamente și aplicații incluzând metode tehnice de protecție din ce în ce mai performante. Totuși, în timp ce în domeniul tehnologiilor informaționale schimbarea este exponențială, componenta umană rămâne aproape neschimbată. Asigurarea securității informațiilor nu se poate realiza exclusiv prin măsuri tehnice, fiind în principal o problemă umană. Majoritatea incidentelor de securitate sunt generate de o gestiune și o organizare necorespunzătoare, și mai puțin din cauza unei deficiențe a mecanismelor de securitate.
Este important ca organizațiile să conștientizeze riscurile asociate cu utilizarea tehnologiei și gestionarea informațiilor și să abordeze pozitiv acest subiect printr-o conștientizare în rândul angajaților a importanței securității informațiilor, înțelegerea tipologiei amenințărilor, riscurilor și vulnerabilităților specifice mediilor informatizate și aplicarea practicilor de control. Ca și acțiunile prin care o organizație își apără angajații și bunurile, securitatea informațiilor este folosită în primul rând pentru a oferi asigurări că drepturile care derivă din proprietatea intelectuală sunt protejate în mod corespunzător.
2.1. Domeniile și cadrul de realizare a protecției informațiilor
În era informațională, războiul nu mai ține exclusiv de domeniul militar. În cadrul competiției informaționale, care este la fel de veche ca și conflictul uman, statele, instituțiile și indivizii încearcă să-și mărească și protejeze propria bază de informații, în paralel cu încercarea de a o limita pe cea a adversarului. În societatea informațională, informația – ca armă, țintă și materie primă strategică, stă la baza tuturor deciziilor.
2.1.1. Norme și reglementări de protecție a informațiilor clasificate
Clasificarea informațiilor este o practică regăsită în toate statele lumii, fapt, de altfel, cât se poate de bine cunoscut și acceptat. Informațiile, ca expresie a importantelor interese ale securității naționale, circumscrise valorilor economice, politice, tehnico-științifice și de altă natură, pe care se fundamentează existența liberă a cetățeanului, societății și statului, cunosc în toate statele și din toate timpurile o protecție juridică specială, fiindu-le stabilit un regim aparte, acela al secretului de stat.
Prin diseminarea fără control a informațiilor pot fi afectate interesele și imaginea statului (securitatea națională), ale unei organizații (persoană juridică de drept public sau privat) ori ale unei persoane fizice. Securitatea informațiilor clasificate și prevenirea scurgerii acestora în activitatea de informare publică se află în atenția autorităților publice și militare din toate țările lumii și este considerată una din condițiile asigurării securității naționale.
Până în anul 2002, securitatea (protecția) informațiilor clasificate era văzută ca un act administrativ în responsabilitatea emitenților și gestionarilor de documente secrete. Sigur că administrarea protecției acestora presupunea responsabilități, reglementări în domeniu și măsuri întreprinse de către deținătorii de documente secrete de stat. Odată cu integrarea în Alianța Nord-Atlantică se vorbește de o politică de securitate a informațiilor. Sintagma este prevăzută chiar la pct. 8 al Documentului C-M(2002)49 din 17 iunie 2002, Securitatea în cadrul Organizației Tratatului Atlanticului de Nord. Ca organizație politico-militară, NATO, prin consultarea țărilor membre, aprobă acest document în Consiliul Atlanticului de Nord, iar fiecare țară semnează și se obligă să respecte „Acordul între părțile Tratatului Atlanticului de Nord pentru securitatea informațiilor”. Desigur acordul este ratificat de fiecare țară membră și transpus în legi și standarde naționale. Similar, pentru integrarea în UE, țările își asumă din 19 martie 2001 Decizia Consiliului UE privind regulamentul de securitate al Consiliului.
În esență, politica de securitate stabilește înființarea unei autorități naționale de securitate, obligații privind marcarea, păstrarea și utilizarea informațiilor clasificate, precum și faptul că orice persoane care, în îndeplinirea îndatoririlor aferente, necesită sau pot avea acces la informații clasificate de nivel CONFIDENTIAL și mai ridicat sunt verificate înainte de a-și prelua sarcinile. Tot prin politica de securitate, fiecare țară își asumă niște standarde minime de securitate. Acestea sunt obligatorii, în ceea ce privește informațiile NATO și UE clasificate, prin acorduri bilaterale, iar cele privind informațiile naționale, prin hotărâri proprii de guvern.
Fiecare țară poate adopta standardele de protecție mai restrictive, dacă legislația națională prevede acest lucru. Pentru informațiile NATO clasificate standardele sunt dezvoltate prin Directivele AC/35-D 2002-2005, pentru informațiile UE prin Regulamentul de securitate al Consiliului UE, iar pentru informațiile naționale prin H.G. nr. 585 din 13 iunie 2002.
Legislația națională prevede și modalitățile prin care se realizează securitatea (protecția) informațiilor clasificate, astfel:
– protecție prin măsuri procedurale – ansamblul reglementărilor prin care emitenții și deținătorii de informații clasificate stabilesc măsurile interne de lucru și de ordine interioară destinate realizării protecției informațiilor; toate unitățile care dețin informații secrete de stat au obligația să stabilească norme interne de lucru și de ordine interioară destinate protecției acestor informații. Măsurile procedurale de protecție a informațiilor clasificate sunt integrate la nivelul fiecărei unități în Programul de prevenire a scurgerii de informații clasificate și Regulamentul de ordine interioară;
– protecție juridică – ansamblul normelor constituționale și al celorlalte dispoziții legale în vigoare, care reglementează protejarea informațiilor clasificate.
– protecția fizică – ansamblul activităților de pază, securitate și apărare, prin măsuri și dispozitive de control fizic și prin mijloace tehnice, a informațiilor clasificate.
– protecția personalului – ansamblul verificărilor și măsurilor de educație protectivă a persoanelor care au /vor avea acces la informații clasificate;
– protecția surselor generatoare de informații (INFOSEC) – ansamblul măsurilor și structurilor destinate protecției informațiilor clasificate elaborate, stocate sau transmise prin sistemele informatice de comunicații și al altor sisteme electronice împotriva oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității și autenticității acestora.
Cadrul normativ în România
România a adoptat cadrul legal de protecție a informațiilor clasificate în anul 2002 ca o consecință a măsurilor premergătoare aderării la Alianța Nord Atlantică. Astfel au fost elaborate, aprobate și promulgate Legea privind protecția informațiilor clasificate (Legea nr. 182 din 12 aprilie 2002), hotărârea de Guvern pentru aprobarea Normelor privind protecția informațiilor clasificate ale Organizației Tratatului Atlanticului de Nord in România (H.G. nr. 353 din 15 aprilie 2002), hotărârea de Guvern pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România (H.G. nr. 585 din 13 iunie 2002) și hotărârea de Guvern privind protecția informațiilor secrete de serviciu (H.G. nr. 781 din 25 iulie 2002).
Fiind pusă în fața mai multor „modele” internaționale, România a ales modelul NATO din 2002, inclusiv pentru informațiile naționale, în ceea ce privește domeniile securității, gestionarea informațiilor, structurile cu responsabilități în domeniu, documentele pentru acreditare etc. Acest fapt a facilitat îndeplinirea cerințelor pe linie de securitate și pentru aderarea la UE, unde standardele de securitate sunt în proporție de peste 95% similare cu cele NATO.
Cu toate acestea, țara noastră și-a menținut propriul sistem de clasificare a informațiilor, informațiile clasificate se împart, potrivit legii, în două clase de secretizare: informații secrete de stat și informații secrete de serviciu.
Informațiile secrete de stat sunt informațiile care privesc securitatea națională, prin a căror divulgare se pot prejudicia siguranța națională și apărarea țării și care în funcție de importanța lor, se deosebesc pe niveluri de secretizare, astfel:
– strict secret de importanță deosebită – informațiile a căror divulgare neautorizată este de natură să producă daune de o gravitate excepțională securității naționale;
– strict secrete – informațiile a căror divulgare neautorizată este de natură să producă daune grave securității naționale;
– secrete – informațiile a căror divulgare neautorizată este de natură să producă daune securității naționale.
Informațiile secrete de serviciu sunt informațiile a căror divulgare este de natură să determine prejudicii unei persoane juridice de drept public sau privat. Informațiile secrete de serviciu se referă la acele activități care, fără a constitui în înțelesul legii secrete de stat, nu trebuie cunoscute decât pentru îndeplinirea atribuțiilor de serviciu, divulgarea lor putând prejudicia interesul instituției.
Protecția informațiilor a căror divulgare neautorizată sau compromitere ar putea aduce daune securității naționale și persoanelor juridice se fundamentează pe Legea nr. 182/2002 privind protecția informațiilor clasificate. Potrivit legii, principalele obiective ale protecției informațiilor clasificate sunt:
– protejarea informațiilor clasificate împotriva acțiunilor de spionaj, compromitere sau acces neautorizat, a alterării sau modificării conținutului acestora, precum și împotriva sabotajelor ori distrugerilor neautorizate;
– realizarea securității sistemelor informatice și de transmitere a informațiilor clasificate.
Legea instituie sistemul național destinat protecției informațiilor a căror dezvăluire sau diseminare neautorizată este de natură să aducă daune securității naționale și apărării țării, respectiv să determine prejudicii unei persoane de drept public sau privat și precizează destinația măsurilor ce decurg din aplicarea sa:
– prevenirea accesului neautorizat la informațiile clasificate;
– identificarea împrejurărilor și persoanelor care, prin acțiunile lor, pot pune în pericol securitatea informațiilor clasificate;
– garantarea faptului că informațiile clasificate sunt distribuite exclusiv persoanelor îndreptățite, potrivit legii, să le cunoască;
– asigurarea protecției fizice a informațiilor, precum și a personalului necesar protecției informațiilor clasificate.
Legiuitorul a prevăzut că, pentru acordarea accesului la astfel de informații, este obligatorie verificarea prealabilă a onestității și profesionalismului persoanelor care exercită atribuții nemijlocite în domeniul protecției informațiilor clasificate, accesează informații secrete de stat, candidează la funcții publice ce implică lucrul cu asemenea informații sau gestionează informații NATO, potrivit echivalenței nivelurilor de secretizare prevăzute de lege.
În același context juridic s-a stabilit că răspunderea pentru aplicarea măsurilor de protejare a informațiilor clasificate revine persoanelor autorizate care le emit, gestionează sau intră în posesia lor.
Cheia mecanismului de separare a informațiilor clasificate de cele publice o reprezintă dispozițiile art. 22 și 32 ale Legii nr. 182/2002, potrivit cărora autoritățile publice sunt obligate să-și întocmească Liste proprii cuprinzând informațiile clasificate pe care le dețin – secrete de stat, pe niveluri de secretizare și, respectiv, secrete de serviciu. Listele cu informațiile secrete de stat se aprobă și se actualizează prin hotărâre a Guvernului. Listele cu informații secrete de serviciu se stabilesc de către conducătorii unităților deținătoare de astfel de informații.
Enunțarea obligațiilor, răspunderilor și sancțiunilor la regimul protecției informațiilor clasificate, cuprinse în Capitolul V al legii, are rolul conștientizării, din perspectiva interesului național, a acelor delimitări ce se constituie în măsuri necesare pentru protejarea valorilor naționale.
Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin H.G. nr. 585/2002, reglementează:
– clasificările informațiilor secrete de stat și normele privind măsurile minime de protecție în cadrul fiecărei clase;
– regulile generale privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor secrete de stat;
– obligațiile și răspunderile autorităților și instituțiilor publice, ale operatorilor economici și ale altor persoane juridice, pentru protecția informațiilor secrete de stat;
– normele privind accesul la informații clasificate, precum și procedura verificărilor de securitate;
– condițiile de fotografiere, filmare, cartografiere și executare a unor lucrări de arte plastice în obiective sau locuri de importanță deosebită pentru protecția informațiilor secrete de stat;
– regulile privitoare la accesul străinilor la informații secrete de stat;
– regulile de identificare și marcare, inscripționările și mențiunile obligatorii pe documentele secrete de stat în funcție de nivelurile de secretizare, cerințele de evidență a numerelor de exemplare și a destinatarilor, termenele și regimul de păstrare, interdicțiile de reproducere și circulație;
– normele de declasificare a informaților clasificate;
– accesul cetățenilor străini, al cetățenilor români care au și cetățenia altui stat, precum și al persoanelor apatride la informațiile secrete de stat și în locurile unde se desfășoară activități și se expun obiecte sau se execută lucrări din această categorie;
– exercitarea controlului, constatarea contravențiilor și aplicarea sancțiunilor la regimul protecției informațiilor clasificate.
Domeniile specifice activității de protecție a informațiilor cuprinde securitatea organizatorică (juridică, procedurală), securitatea personalului, securitatea fizică, securitatea documentelor, securitatea industrială și securitatea sistemelor informatice și de comunicații (INFOSEC).
Securitatea personalului reprezintă ansamblul măsurilor de protecție legate de accesul persoanelor la informații clasificate ce urmăresc să prevină accesul neautorizat, să permită identificarea persoanelor care, prin acțiunile lor, pot afecta securitatea informațiilor clasificate și să asigure accesul persoanelor la informații clasificate numai pe baza unui document special de acces (denumit generic certificat de securitate) și a respectării principiului „nevoii de a cunoaște".
Principiul „nevoii de a cunoaște" se referă la necesitatea imperioasă ca o persoană să aibă acces numai la informațiile clasificate exclusiv în scopul realizării atribuțiilor sale de serviciu, numai în momentul și numai pe durata în care accesul este absolut necesar. Nici o persoană nu este îndreptățită, doar prin rang, funcție sau prin deținerea unui certificat de securitate, să aibă acces la o anumită informație clasificată dacă acest lucru nu este absolut necesar pentru îndeplinirea sarcinilor de serviciu.
O procedură de reverificare se impune ori de câte ori este necesar să se garanteze menținerea condițiilor în baza cărora s-a eliberat documentul pentru acces la informații clasificate.
Securitatea fizică reprezintă ansamblul măsurilor de protecție aplicate în spațiile în care sunt gestionate informații clasificate ce trebuie protejate împotriva accesului neautorizat, deteriorării, distrugerii, pierderii sau compromiterii. Măsurile de securitate fizică urmăresc prevenirea pătrunderii neautorizate a persoanelor în spațiile protejate, prevenirea, descoperirea și împiedicarea acțiunilor ostile de natură să afecteze securitatea informațiilor clasificate și asigurarea condițiilor ca persoanele autorizate să intre în contact numai cu acele informații la care au dreptul pe baza certificatului de securitate și a principiului „nevoii de a cunoaște".
Programele vizând securitatea fizică cuprind măsurile active și pasive de protecție a informațiilor clasificate prin stabilirea și delimitarea zonelor speciale de securitate, paza și supravegherea acestora, reglementarea și controlul accesului.
Securitatea documentelor reprezintă aplicarea măsurilor și procedurilor de protecție pentru prevenirea sau detectarea acțiunilor ce pot conduce la pierderea sau compromiterea informațiilor clasificate, precum și pentru recuperarea informațiilor care au făcut obiectul unor asemenea acțiuni. Domeniul „securitatea documentelor" stabilește măsurile ce trebuie aplicate de către toți cei ce utilizează informații clasificate, pe întreaga durată a ciclului de viață al acestora, corespunzător cu nivelul lor de clasificare, cu privire la aspectele presupuse de gestionarea informațiilor clasificate.
Securitatea industrială se referă la ansamblul măsurilor de protecție a informațiilor clasificate vehiculate în cadrul relațiilor contractuale, în legătură cu licitarea, negocierea și derularea unor contracte clasificate. Participarea la negocieri în vederea încheierii unui contract clasificat sau derularea acestuia de către un operator economic se realizează în baza unui certificat de securitate industrială, eliberat în urma verificărilor specifice, care confirmă aplicarea măsurilor minime de securitate prevăzute în standarde.
Securitatea informațiilor în sistemele informatice și de comunicații – INFOSEC reprezintă totalitatea măsurilor de securitate destinate protecției informației procesate, stocate ori transmise prin sisteme informatice și de comunicații sau alte sisteme electronice, împotriva pierderii confidențialității, integrității, disponibilității, autenticității și non-repudierii în mod accidental sau intenționat, precum și destinate prevenirii pierderii integrității ori disponibilității sistemelor, a serviciilor și resurselor acestora.
2.1.2. Sistemul național de protecție a informațiilor clasificate
Pentru aplicarea prevederilor legale a fost creat sistemul național de protecție a informațiilor clasificate, ca parte componentă a activității de realizare a securității naționale, format din Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS) care asigură implementarea unitară, la nivel național a măsurilor de securitate a informațiilor clasificate naționale, precum și a celor care fac obiectul tratatelor, înțelegerilor și acordurilor bilaterale sau multilaterale la care România este parte, și autoritățile desemnate de securitate (Ministerul Apărării Naționale, Ministerul Administrației și Internelor, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Protecție și Pază și Serviciul de Telecomunicații Speciale), care stabilesc, pentru domeniile lor de activitate și responsabilitate, structuri și măsuri pentru coordonarea și controlul activității de protecție a informațiilor clasificate. O organigramă de relații între elementele Sistemului național de protecție a informațiilor clasificate este prezentată în anexa nr. 13.
Sistemul național de protecție a informațiilor clasificate este format din următoarele autorități investite cu atribuții și sarcini specifice, astfel:
Parlamentul, Guvernul și Consiliul Suprem de Apărare a Țării (CSAT) stabilesc structuri și măsuri proprii privind protecția informațiilor secrete de stat, potrivit legii. Consiliul Suprem de Apărare a Țării asigură coordonarea, la nivel național, a programelor de protecție a informațiilor clasificate.
Ministerul Apărării Naționale, Ministerul Administrației și Internelor, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Protecție și Pază și Serviciul de Telecomunicații Speciale stabilesc, pentru domeniile lor de activitate și responsabilitate structuri și măsuri pentru coordonarea și controlul activității de protecție a informațiilor secrete de stat, în conformitate cu prevederile legale.
Oficiul Registrului Național al Informațiilor Secrete de Stat, înființat prin O.U.G. nr. 153/2002, asigură implementarea unitară, la nivel național (pe zonele de competență militară și civilă) a măsurilor de securitate a informațiilor clasificate naționale, precum și a celor care fac obiectul tratatelor, înțelegerilor și acordurilor bilaterale sau multilaterale la care România este parte.
Stabilirea informațiilor nedestinate publicității transmise României de alte state sau de organizații internaționale, precum și accesul la informațiile acestora se realizează în condițiile stabilite prin tratatele internaționale sau înțelegerile la care România este parte.
Pentru reprezentanțele României în străinătate, coordonarea activității și controlul măsurilor privitoare la protecția informațiilor secrete de stat se realizează de către Serviciul de Informații Externe.
Coordonarea și controlul măsurilor referitoare la protecția informațiilor secrete de stat privind activitatea specifică a atașaților militari din cadrul misiunilor diplomatice ale României și a reprezentanților militari pe lângă organismele internaționale se realizează de către Ministerul Apărării Naționale.
În vederea implementării măsurilor de securitate și a organizării activității specifice protecției informațiilor clasificate, fiecare autoritate sau instituție publică, operator economic cu capital integral sau parțial de stat ori altă persoană juridică de drept public sau privat care, prin natura activității sale, are acces la informații clasificate, este obligată să constituie și să organizeze activitatea unei structuri de securitate. În situația în care unitatea deține un volum redus de informații clasificate, atribuțiile structurii de securitate pot fi îndeplinite de un funcționar de securitate.
Structura de securitate este direct subordonată conducătorului unității, șeful structurii de securitate, respectiv funcționarul de securitate, fiind un adjunct al conducătorului persoanei juridice sau un membru în consiliul de administrare al acesteia. Pentru a aplica măsurile concrete și adecvate de protecție a informațiilor clasificate, personalul structurii de securitate trebuie să aibă o pregătire specială.
Persoanele care lucrează în structura de securitate sau, după caz, funcționarul de securitate, sunt incluse în programe permanente de pregătire organizate de instituțiile investite cu atribuții de coordonare a activității și de control al măsurilor privitoare la protecția informațiilor clasificate.
Măsurile de protecție a informațiilor clasificate vor fi stabilite în raport cu clasele și nivelurile de secretizare a informațiilor, volumul și suportul informațiilor, calitatea, funcția și numărul persoanelor care au sau pot avea acces la informații, potrivit documentului de acces și cu respectarea principiului necesității de a cunoaște, precum și cu amenințările, riscurile și vulnerabilitățile ce pot avea consecințe asupra informațiilor clasificate.
2.1.3. Standarde NATO privind securitatea informațiilor clasificate
România și-a asumat responsabilitatea realizării cadrului normativ de protecție a informațiilor clasificate, având statut de țară PfP dar și pentru a accede în Organizația Tratatului Atlanticului de Nord în primul rând pentru cele NATO, cât și pentru cele naționale, adoptând standarde similare de securitate cu cele NATO.
Principiile fundamentale care stau la baza securității informațiilor NATO sunt:
a) țările NATO și organismele civile și militare trebuie să garanteze că standardele minime stabilite sunt aplicate pentru a asigura un nivel comun de protecție a informațiilor clasificate schimbate între părți;
b) accesul la informațiile clasificate este permis numai pe baza principiului ,,necesității de a cunoaște”, numai persoanelor care au fost verificate, autorizate și instruite corespunzător nivelului de secretizare al informațiilor;
c) informațiile clasificate se protejează printr-un sistem echilibrat de măsuri de securitate, incluzând securitatea personalului, securitatea fizică, securitatea documentelor și INFOSEC, care se aplică tuturor persoanelor care au acces la informații clasificate, asupra tuturor mijloacelor de transmitere și asupra tuturor zonelor în care există astfel de informații;
d) orice posibilă încălcare a măsurilor de securitate se raportează imediat structurii de securitate. Rapoartele vor fi evaluate pentru a analiza daunele produse la adresa NATO și pentru a iniția măsurile corespunzătoare;
e) informațiile clasificate se supun controlului emitentului;
f) emitenții transmit informații clasificate la NATO și țărilor membre pentru un program, proiect sau contract NATO, pe baza înțelegerii că acestea vor fi gestionate și protejate conform Politicii de Management a Informațiilor NATO (NIMP) și Politicii de Securitate NATO;
g) informațiile NATO clasificate, supuse controlului emitentului, vor fi transmise țărilor și organismelor non-NATO numai dacă au semnat un Acord de Securitate cu NATO sau au furnizat o Asigurare de Securitate Alianței Nord-Atlantice, fie direct, fie prin intermediul unei țări NATO sau al unui organism militar sau civil NATO care aprobă transmiterea. În toate aceste cazuri, va fi solicitat același nivel de protecție conform prevederilor NATO de securitate, pentru orice informație NATO clasificată transmisă.
În funcție de importanța și sensibilitatea informațiilor există următoarele niveluri NATO de clasificare a informațiilor și care au următoarea echivalență în legislația națională:
Informațiile NATO clasificate sunt gestionate numai în cadrul Componentelor Sistemului Militar de Registre (CSMR). CSMR se înființează după o procedură de acreditare de securitate și se finalizează prin eliberarea autorizației de funcționare, care certifică faptul că în cadrul acesteia sunt îndeplinite condițiile de gestionare și de asigurare a securității informațiilor NATO clasificate. Activitatea unei CSMR este coordonată și controlată de șeful structurii, structura de securitate, iar pe linia gestionării documentelor de CSMR superioară ierarhic.
Protecția informațiilor nedestinate publicității transmise României de alte state sau de organizații internaționale, precum și accesul la informațiile acestora se realizează în condițiile stabilite prin tratatele internaționale sau înțelegerile la care România este parte.
2.1.4. Principii de management al protecției informațiilor clasificate
Managementul informațiilor clasificate presupune instituirea unui cadru normativ, crearea unui sistem național de protecție, implementarea standardelor de securitate în toate structurile care gestionează informații clasificate, desfășurarea formelor adecvate de pregătire și crearea instrumentelor de control pentru prevenirea încălcărilor reglementărilor de securitate și a mecanismelor de reacție la incidentele de securitate.
La baza standardelor de securitate stau următoarele principii fundamentale:
a) accesul la informațiile clasificate se face numai pe baza principiului „necesității de a cunoaște”;
b) accesul la informații clasificate este permis numai persoanelor care au fost verificate, autorizate și instruite corespunzător nivelului de secretizare al informațiilor;
c) informațiile clasificate se protejează printr-un sistem echilibrat de măsuri de securitate, care se aplică tuturor persoanelor ce au acces la informații clasificate, mijloacelor de prelucrare, stocare și transmitere a acestora, precum și locurilor, clădirilor sau spațiilor în care sunt gestionate;
d) orice tentativă de compromitere a informațiilor clasificate sau încălcarea măsurilor de securitate se raportează imediat structurii de securitate;
e) informațiile clasificate se supun controlului emitentului.
Protecția informațiilor a căror divulgare neautorizată sau compromitere ar putea aduce daune securității naționale și persoanelor juridice se fundamentează pe Legea nr. 182/2002 privind protecția informațiilor clasificate și pe Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin H.G. nr. 585/2002.
Domeniile securității se prezintă separat doar teoretic, în practică acestea se întrepătrund și se abordează integrat. Astfel, securitatea fizică asigură condițiile propice personalului pentru desfășurarea activității, precum și pentru protejarea informațiilor clasificate, domeniul INFOSEC presupune măsuri de securitate a personalului, securitate fizică și securitate a documentelor, iar securitatea industrială cuprinde toate domeniile securității, acestea implementându-se în cadrul operatorului economic aflat în relație contractuală cu o instituție publică, în calitate de autoritate contractantă.
Întrucât securitatea nu este un domeniu abstract, ci se realizează pentru oameni împreună cu oamenii, este necesară realizarea educației de securitate, prin organizarea de cursuri de pregătire, convocări de specialitate, briefinguri pe teme specifice și alte forme de pregătire pentru personalul din structurile care dețin și gestionează informații clasificate, realizând-se astfel o cultură de securitate la nivelul organizației
Educația de securitate se realizează prin pregătirea și instruirea personalului care are acces /gestionează sau urmează să aibă acces / să gestioneze informații clasificate.
Pregătirea și instruirea de securitate se efectuează planificat și are caracter permanent, în scopul cunoașterii, prevenirii, contracarării și eliminării vulnerabilităților, riscurilor și incidentelor de securitate.
Pentru verificarea modului de organizare și administrare a securității în cadrul structurilor care gestionează informații clasificate, în scopul cunoașterii, prevenirii, contracarării și limitării / eliminării oricăror vulnerabilități, riscuri sau incidente de securitate se execută auditul de securitate (consiliere, inspecții, controale, investigații, cercetări etc.). Auditul vizează toate domeniile securității, activitatea structurilor cu responsabilități, precum și personalul care gestionează informații clasificate.
Auditul de securitate cuprinde, pe lângă efectuarea controalelor și evaluarea nivelurilor de risc pe domeniile securității, cât și consilierea șefilor structurilor controlate asupra nivelului riscului asumat și a măsurilor de diminuare a riscurilor evaluate în cadrul inspecției pe linia securității informațiilor. De asemenea auditul de securitate presupune și o informare reciprocă a echipei de inspecție și a conducerii structurii controlate asupra nivelurilor și formelor de manifestare a amenințărilor la adresa securității personalului, locului de dislocare și operațiilor executate de această structură în domeniile TESSO: terorism, spionaj, sabotaj, subversiune și crimă organizată.
Așadar, activitățile de audit de securitate trebuie să cuprindă, cel puțin, următoarele etape :
– briefingul de securitate;
– determinarea tipurilor și nivelurilor de amenințare la adresa securității;
– controlul specific, pe domeniile securității;
– determinarea vulnerabilităților pe linia securității;
– evaluarea riscurilor de securitate;
– elaborarea fișei riscurilor;
– stabilirea în comun a planului de măsuri pentru eliminarea deficiențelor și vulnerabilităților;
– consilierea conducerii asupra managementului riscurilor asumate.
Controlul activității privind protecția informațiilor clasificate reprezintă activitatea de verificare a modului în care este asigurată protecția informațiilor clasificate în cadrul unităților militare, în scopul prevenirii, contracarării și eliminării oricăror riscuri de securitate.
Controlul protecției informațiilor clasificate are ca scop:
– evaluarea eficienței măsurilor concrete de protecție adoptate în conformitate cu actele normative în vigoare precum și cu Programul de prevenire a scurgerii de informații clasificate existent la fiecare unitate militară;
– identificarea vulnerabilităților existente în sistemul de protecție a informațiilor clasificate, care ar putea conduce la compromiterea acestor informații, în vederea luării măsurilor de prevenire necesare;
– luarea măsurilor de remediere a deficiențelor și de perfecționare a cadrului organizatoric și funcțional la nivelul structurii controlate;
– constatarea cazurilor de nerespectare a normelor de protecție a informațiilor clasificate și aplicarea sancțiunilor contravenționale sau, după caz, sesizarea organelor de urmărire penală, în situația în care fapta constituie infracțiune.
În funcție de obiectivele urmărite, controalele pot fi:
– controale de fond, care urmăresc verificarea întregului sistem organizatoric, structural și funcțional de protecție a informațiilor clasificate;
– controale tematice, care vizează anumite domenii ale activității de protecție a informațiilor clasificate;
– controale în situații de urgență, care au ca scop verificarea unor aspecte punctuale, stabilite ca urmare a identificării unui risc de securitate.
În funcție de modul în care sunt stabilite și organizate, controalele pot fi: planificate; inopinate; determinate de situații de urgență.
Controalele sunt efectuate de echipe de control pe specialități și competențe pentru stabilirea riscurilor privind protecția informațiilor la toate structurile Ministerului Apărării Naționale.
2.2. Securitatea sistemelor informatice și de comunicații – INFOSEC
Societatea îmbrățișează din ce în ce mai mult tehnologia informației. Informația care până nu de mult avea la bază hârtia, îmbracă acum forma electronică. Informația pe suport de hârtie mai este încă rezervată documentelor oficiale, acolo unde este necesară o semnătură sau o ștampilă. Adoptarea semnăturii electronice deschide însă perspectiva digitizării complete a documentelor, cel puțin din punct de vedere funcțional. Acest nou mod de lucru, în care calculatorul a devenit un instrument indispensabil și un mijloc de comunicare prin tehnologii, precum poșta electronică sau INTERNETUL, atrage după sine riscuri specifice. O gestiune corespunzătoare a documentelor în format electronic face necesară implementarea unor măsuri specifice. Măsurile ar trebui să asigure protecția informațiilor împotriva pierderii, distrugerii sau divulgării neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informației gestionate de sistemele informatice în noul context tehnologic.
Obiectivul principal al unui program pentru protecția informațiilor îl reprezintă asigurarea încrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerințele legale și maximizarea investițiilor. Indiferent de forma pe care o îmbracă, mijloacele prin care este memorată, transmisă sau distribuită, informația trebuie protejată.
Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri, practici, standarde, descrieri ale sarcinilor și responsabilităților de serviciu, precum și de o arhitectură generală a securității. Aceste controale trebuie implementate pentru a se atinge obiectivele specifice ale securității și pe cele generale ale organizației.
Dependența din ce în ce mai mare de sistemele informaționale conduce la creșterea tipologiei vulnerabilităților cărora organizațiile trebuie să le facă față. Mai mult, problema protecției trebuie să aibă în vedere de multe ori interconectarea rețelelor private cu serviciile publice. Dacă la acest aspect mai adăugăm și problema partajării informațiilor, se conturează un tablou destul de complicat în care implementarea unor controale eficiente devine o sarcină dificilă pentru specialistul IT&C.
Multe din sistemele existente pe piață au fost proiectate după metodologia structurată dar nu au avut ca principal obiectiv și asigurarea unui anumit grad de securitate pentru că la momentul respectiv tehnologia nu era atât de dezvoltată și nici atât de accesibilă neinițiaților. Odată cu proliferarea INTERNETULUI ca și mijloc important al comunicării moderne, nevoia unor mecanisme de securitate proactivă a devenit o certitudine. În practică remarcăm că multe instituții apelează la soluții tehnice externe care să le rezolve problemele de securitate fără a căuta să-și identifice nevoile și cerințele specifice.
Identificarea controalelor interne care să asigure un grad corespunzător de securitate activelor informaționale ale unei instituții presupune o planificare riguroasă și identificarea exactă a obiectivelor respectivei instituții. Pentru a fi însă eficiente aceste controale trebuie să aibă în vedere pe toți angajații și nu doar pe cei din compartimentul IT sau care au legătură directă cu acest domeniu. Securitatea informațiilor nu este doar o problemă tehnică. Ea este în primul rând o problemă managerială. Standardele de securitate răspund nevoilor organizațiilor de orice tip, publice sau private, printr-o serie de practici de gestiune a securității informațiilor. Acestea pot fi folosite în funcție de gradul de expunere a fiecărei organizații în parte, pentru a conștientiza la nivelul conducerii aspectele legate de securitatea informației, sau pentru a crea o cultură organizațională în ceea ce privește securitatea informațiilor, sau pentru a obține certificarea sistemului de securitate.
Gradul de expunere a sistemelor informaționale variază cu industria în care activează fiecare organizație. Cu cât acest risc este mai mare, atenția care trebuie acordată securității datelor ar trebui să fie mai mare. Instituțiile financiare, industria apărării, aerospațială, industria tehnologiei informației, industria electronică sunt sectoarele cu cel mai mare grad de risc în ceea ce privește securitatea informațiilor. Tot în această categorie de risc ridicat intră și instituțiile guvernamentale, motiv pentru care adoptarea unei culturi organizaționale de securitate are un rol fundamental.
2.2.1. Politici și standarde INFOSEC
Securitatea informației în SIC – INFOSEC reprezintă atingerea și menținerea obiectivelor de securitate care constau în păstrarea confidențialității, integrității și disponibilității informației. Acestea sunt definite, conform standardului ISO/IEC 17799, astfel:
– confidențialitate – asigurarea că informațiile sunt accesibile numai persoanelor autorizate;
– integritate – asigurarea corectitudinii și completitudinii informației și metodelor de procesare ale acesteia;
– disponibilitate – asigurarea că utilizatorii autorizați au acces la informație și bunurile asociate când este necesar.
Este important ca fiecare organizație să poată să-și identifice propriile cerințe de securitate referitoare la sistemele informatice și de comunicații proprii, precum și datele pe care acestea le prelucrează, transmite sau stochează. Pentru aceasta ea trebuie să facă apel la trei surse principale:
– analiza riscurilor;
– legislația existentă;
– standardele și procedurile interne.
Folosind o metodologie corespunzătoare pentru a analiza riscurile, organizația își poate identifica propriile cerințe legate de securitate. Un astfel de proces presupune în general patru etape principale, prezentate și în figura 2.1:
– identificarea activelor (echipamente, aplicații, date) care trebuie protejate;
– identificarea riscurilor / amenințărilor specifice fiecărui activ;
– ierarhizarea riscurilor;
– identificarea controalelor prin care vor fi eliminate / diminuate riscurile.
Figura 2.1. Etapele procesului de identificare a cerințelor de securitate
Nu trebuie însă trecute cu vederea nici aspectele financiare. Fiind un obiectiv comun, dictat de cerințele de afaceri, pentru că până la urmă orice activitate derulată de o organizație are o rațiune economică, în implementarea unei arhitecturi de securitate trebuie puse în balanță costurile și beneficiile. Un mecanism de control nu trebuie să coste organizația mai mult decât bunul ce trebuie protejat.
Stabilirea cerințelor de securitate, a măsurilor necesare pentru a asigura nivelul de control dorit, are o componentă deseori subiectivă, fiind dificil de cuantificat în termeni monetari pierderea suferită în cazul unui incident de securitate. Aspectele sensibile, precum alterarea imaginii organizației pe piață, credibilitatea în fața clienților sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu de apreciat. Aceasta este și rațiunea pentru care adoptarea unor standarde și practici general acceptate, susținute de evaluări periodice independente este de recomandat. Acest proces nu este unul static, altfel spus trebuie avute în permanență în vedere schimbările care intervin în viața organizației pentru a fi reflectate corespunzător în planul de securitate. Dacă, spre exemplu, apare o modificare legislativă cu impact asupra instituției, trebuie avut în vedere din nou modelul folosit pentru evaluarea riscurilor pentru a vedea dacă acesta reflectă riscurile apărute ca urmare a acestei modificări.
În acest sens, responsabilul pentru securitate propune o serie de obiective de securitate și controale din rândul cărora specialiștii le pot selecta pe acelea care corespund organizației în care funcționează. Pe de altă parte, un obiectiv de securitate implementat nu trebuie considerat un ghid perfect al securității informațiilor, atât timp cât el oferă doar recomandări celor care răspund de implementarea și managementul unui sistem de securitate în cadrul unei organizații.
Politica de securitate
Obiectivul politicii de securitate este să ofere managementului instituției sprijinul necesar asigurării securității informațiilor din cadrul organizației. Conducerea oricărei instituții trebuie să ofere suportul necesar prin elaborarea unui document intitulat Politica de Securitate, document care trebuie adus la cunoștința tuturor angajaților. Fără un astfel de document, există riscul ca rolurile și responsabilitățile relative la asigurarea securității informaționale să fie greșit înțelese. Nedezvoltarea unui astfel de document și neaducerea la cunoștința angajaților a politicii de securitate a organizației (structurii militare) induce de cele mai multe ori o stare de superficialitate în tratarea acestor aspecte. Existența unei viziuni clare a conducerii și o comunicare efectivă a acesteia către angajați este fundamentală pentru asigurarea eficienței oricăror proceduri și măsuri de securitate specifice.
Organizarea securității
Organizarea securității are ca obiectiv asigurarea unei administrări unitare în cadrul instituției. Fiecare utilizator al sistemului informațional este responsabil cu asigurarea securității datelor pe care le manipulează. Existența unei structuri organizatorice unitare care să inițieze și să controleze implementarea mecanismelor de securitate în cadrul organizației presupune un punct central de coordonare – responsabil cu securitatea. Rolul și atribuțiile persoanei care ocupă poziția de responsabil cu securitatea informațiilor se referă la coordonarea și urmărirea respectării procedurilor și politicilor de securitate.
Organizarea securității nu se limitează doar la personalul intern, trebuie avute în vedere și riscurile induse de terți sau subcontractori care au acces la sistemul informațional. Acest risc nu este deloc de neglijat, ultimele tendințe ale pieței globale ne arată o reconsiderare a poziției organizațiilor față de externalizarea funcțiilor IT, tocmai datorită riscului mare indus de subcontractarea acestora.
Obiectivul organizării securității este și menținerea securității tuturor facilităților IT și activelor informaționale accesate de către terțe persoane, fiind recomandată stabilirea unui proces prin care accesul terților să fie controlat.
Clasificarea și controlul activelor
Măsurile de protecție sunt proiectate în funcție de gradul de sensibilitate și de semnificația economică a resurselor vizate. Perimetrele în care sunt amplasate echipamentele de procesare vor fi protejate cu bariere de acces suplimentare. La fel și telecomunicațiile cu un nivel ridicat de confidențialitate ar trebui criptate. Pentru a avea totuși o abordare coerentă asupra măsurilor specifice de protecție, în funcție de gradul de sensibilitate al fiecărei resurse în parte se practică activitatea de clasificare a informațiilor.
Clasificarea informațiilor este necesară atât pentru a permite alocarea resurselor necesare protejării acestora, cât și pentru a determina pierderile potențiale care pot să apară ca urmare a modificărilor, pierderii, distrugerii sau divulgării acestora. Obiectivul clasificării este crearea premiselor necesare asigurării unei protecții corespunzătoare importanței activelor instituției. Toate activele organizației trebuie să aibă asociat un proprietar. Politica de securitate trebuie să identifice angajații cu rol de proprietar, custode, client, utilizator.
2.2.2. Principii și mecanisme ale INFOSEC
Securitatea informațiilor în sistemele informatice și de comunicații este un domeniu al securității informațiilor în general, însă presupune și stabilește și principii și mecanisme cu o mare specificitate care trebuie preluate de către celelalte domenii ale securității informațiilor, mai ales organizarea securității, securitatea personalului și securitatea fizică, care trebuie să se adapteze la cerințele mediului de lucru electronic pentru a face măsurile de protecție cât mai eficiente.
Securitatea personalului
Cele mai multe incidente de securitate sunt generate de personal din interiorul organizației, prin acțiuni rău intenționate sau chiar erori sau neglijență în utilizarea resurselor informaționale. Din punct de vedere al securității informațiilor se tratează riscurile de natură umană ce pot fi induse din interiorul organizației prin măsuri specifice, precum includerea responsabilităților legate de securitatea informațiilor în descrierea și sarcinile de serviciu ale postului, implementarea unor politici de verificare a angajaților, încheierea unor acorduri de confidențialitate și prin clauze specifice în contractele de muncă.
Securitatea informațiilor este un aspect ce trebuie avut în vedere încă din etapa de selecție a angajaților. Angajații trebuie monitorizați, din punct de vedere al comportamentului pe linia protecției informațiilor sensibile, pe întreaga perioadă de valabilitate a contractului de muncă și trebuie să aibă cunoștință de prevederile politicilor de securitate. Clauzele de confidențialitate, definirea conflictelor de interese, distribuirea și divulgarea informațiilor trebuie avute în vedere pentru fiecare post în parte. Pentru a evita neglijența sau greșelile de operare, utilizatorii trebuie informați cu privire la amenințările la care sunt supuse informațiile manipulate. Instruirea ar trebui să ofere cunoștințele necesare asigurării securității acestora în timpul programului normal de lucru. Utilizatorii trebuie instruiți cu privire la procedurile de securitate ce trebuie urmate și utilizarea facilităților IT în conformitate cu politica organizației. Ar trebui să existe un program coerent de instruire a angajaților pe diverse niveluri de interes, pe lângă o instruire generală în gestiunea securității fiind necesare și specializări pentru administratorii sistemului informatic în tehnologii de securitate specifice. Chiar dacă securitatea unei anumite zone IT, cum ar fi securitatea rețelei, revine unei entități externe, este o practică bună ca și în interiorul organizației să existe competențele și abilitatea de a evalua cum sunt satisfăcute cerințele de securitate.
Instruirea este necesară și pentru a crea abilitatea de reacție la apariția unor incidente de securitate. Raportarea incidentelor de securitate are ca obiectiv minimizarea efectelor negative sau a incorectei funcționări a echipamentelor. Monitorizarea unor astfel de incidente permite determinarea performanței sistemelor de securitate și îmbunătățirea continuă. Politicile și procedurile de securitate trebuie implementate astfel încât să asigure un răspuns consistent la astfel de incidente.
Securitatea fizică
Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau afectarea facilităților oferite de sistemul informațional. Acest domeniu vizează mecanismele prin care se asigură securitatea fizică a imobilului în care organizația își desfășoară activitatea. Alt aspect important al securității fizice este cel legat de protecția echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii funcționării echipamentelor care pot afecta funcționarea organizației. Echipamentele de calcul trebuie să fie protejate fizic împotriva amenințărilor voite sau accidentale. În acest sens trebuie dezvoltate standarde și proceduri pentru securizarea atât a serverelor, cât și a stațiilor de lucru ale utilizatorilor. Măsurile de control al accesului, implementate la nivelul aplicației, bazelor de date sau rețelei pot deveni inutile dacă nu există și o protecție fizică corespunzătoare.
Prevenirea distrugerii mediilor de stocare al cărei efect s-ar concretiza în întreruperea serviciilor sistemului informatic s-ar putea asigura prin controlarea si protejarea mediilor de stocare. Trebuie dezvoltate proceduri prin care este controlat accesul la orice mediu de stocare și la documentația sistemului.
Controlul accesului
Confidențialitatea vizează protejarea informațiilor împotriva oricărui acces neautorizat. Uneori este interpretat în mod greșit că această cerință este specifică doar domeniului militar și serviciilor de informații care trebuie să-și protejeze planurile de luptă, amplasamentul depozitelor de muniție sau al rachetelor strategice, notele informative. Este însă la fel de importantă pentru o organizație care dorește să-și apere proprietatea intelectuală, rețetele de producție, datele despre personalul angajat, etc. Pentru o instituție publică, datorită caracterului informației pe care o gestionează, este important să asigure în primul rând integritatea și disponibilitatea datelor.
Controlul accesului începe cu stabilirea cerințelor de acordare a drepturilor de utilizare a informațiilor. Accesul la facilitățile și serviciile oferite de sistemul informațional trebuie controlat în funcție de specificul și cerințele mediului în care își desfășoară activitatea organizația. Pentru a răspunde acestor cerințe sunt în general definite o serie de reguli de acces corelate cu atribuțiile fiecărui utilizator al sistemului informatic. Menținerea acestor reguli în linie cu cerințele organizației implică un proces de gestiune a accesului utilizatorilor sistemului. Obiectivul acestui proces este să prevină utilizarea neautorizată a calculatoarelor. Trebuie să existe proceduri formale prin care să se controleze alocarea drepturilor de acces la serviciile și resursele IT. Utilizatorii autorizați trebuie instruiți cu privire la maniera în care trebuie raportate activitățile sau acțiunile considerate suspecte.
Componentele specifice de securitate ale unui sistem informatic și de comunicații – SIC, necesare asigurării unui nivel corespunzător de protecție pentru informațiile clasificate care urmează a fi stocate, transmise sau procesate într-un astfel de sistem sunt:
– funcții și caracteristici de securitate pentru hardware și software;
– proceduri de operare și moduri de operare;
– proceduri de evidență;
– controlul accesului;
– definirea zonei de operare a SIC;
– definirea zonei de operare a posturilor de lucru / terminalelor la distanță;
– restricții impuse de politica de securitate;
– structuri, dispozitive și măsuri de securitate fizică;
– mijloace și proceduri de control pentru personal și comunicații.
INFOSEC, ca disciplină care reglementează securitatea informațiilor în sistemele informatice și de comunicații are la bază următoarele principii:
– principiul analizei de risc;
– principiul convergenței măsurilor de securitate în domeniul protecției personalului, protecției fizice și protecției comunicațiilor;
– principiul acreditării de securitate;
– principiul trasabilității evenimentelor de securitate;
– principiul raportării incidentelor de securitate;
– principiul proporționalității măsurilor de securitate cu nivelul de clasificare al informațiilor procesate;
– principiul funcționării unei componente INFOSEC distincte de cele de proiectare și exploatare;
– principiul separării entităților (agenții, autorități) cu atribuții INFOSEC în trei subdomenii:
a) o autoritate / agenție pentru acordarea acreditării de funcționare în regim de securitate;
b) o autoritate / agenție care elaborează și implementează metode, mecanisme și măsuri de securitate;
c) o autoritate / agenție responsabilă cu protecția criptografică.
2.2.3. Gestionarea incidentelor de securitate
Un incident de securitate într-o rețea de calculatoare poate fi tratat în două moduri: în mod empiric și semi-manual, atunci când nu este implementată o capacitate de reacție de tip CERT (Computer Emergency Response Team) sau în mod automat, oportun și proceduralizat, în caz contrar. În cazul în care nu există o capabilitate CERT operaționalizată, detecția și reacția la incidentul de securitate se face anevoios, în mod neorganizat și nestandardizat, intervenția depinzând mai mult de profesionalismul și perseverența unui administrator de securitate, fără mecanisme și proceduri dinainte stabilite și testate.
Astfel o asemenea intervenție constă în parcurgerea următoarelor etape minimale:
1. Documentarea tuturor informațiilor. Aceasta include fiecare acțiune care este întreprinsă, orice probe și fiecare conversație cu utilizatori, posesori de sisteme și alții, în legătură cu incidentul.
2. Găsirea unui coleg care poate oferi asistență. Gestionarea incidentului va fi mult mai ușoară în cazul în care două sau mai multe persoane lucrează împreună. De exemplu, o persoană poate efectua acțiunile, în timp ce alta le documentează.
3. Analiza dovezilor pentru a confirma că s-a produs un incident. Efectuarea de cercetări suplimentare, dacă este necesar (motoarele de căutare pe INTERNET, documentația produsului software) pentru a înțelege mai bine dovezile și chiar contactarea altor tehnicieni din cadrul organizației pentru suport adițional.
4. Informarea persoanelor cu responsabilități din cadrul organizației despre incident, inclusiv a directorului responsabil cu securitatea departamentului, a administratorilor de sisteme și de securitate.
5. Informarea unor CERT-uri sau organizații de securitate, cu care organizația este în contact oficial și/sau alte organizații pentru asistență în gestiunea incidentului, după consultarea compartimentului juridic, pentru a preveni dezvăluirea de informații sensibile.
6. Stoparea incidentului dacă este în desfășurare. Cea mai obișnuită modalitate de a face aceasta este de a deconecta sistemele afectate de la rețea. În unele cazuri, configurațiile unor rutere și firewall-uri trebuie modificate pentru a opri traficul de rețea nedorit în cazul atacurilor de tip DoS.
7. Conservarea probelor incidentului, făcând imagini de disc de backup pentru sistemele afectate, precum și copii ale înregistrărilor de jurnal (loguri).
8. Eliminarea oricăror efecte ale incidentului. Printre acestea se numără infecțiile cu cod malițios, fișiere de tip troian, sau orice alte schimbări rezultate. Dacă un sistem a fost compromis în totalitate, trebuie reconstruit de la zero.
9. Identificarea și eliminarea tuturor vulnerabilităților care au fost exploatate. Incidentul a avut loc probabil profitând de vulnerabilități ale sistemului de operare și ale aplicațiilor. Este vital ca aceste vulnerabilități să fie identificate și eliminate pentru a preveni apariția unor noi incidente.
10. Confirmarea faptului că operațiunile au revenit la normal, asigurând că aplicațiile și alte servicii au revenit la funcționarea normală.
11. Elaborarea unui raport final. Acest raport trebuie să detalieze procesul de gestiune al incidentului și cum o capacitate de răspuns la incidente oficială ar fi ajutat la gestionarea situației, minimizând riscul și limitând pagubele mai rapid.
În mod ciclic, tratarea unui incident de securitate are patru etape, după cum se poate vedea și în figura 2.2.
Figura 2.2. Etapele tratării unui incident de securitate
2.3. Concepte și standarde de audit și management al riscurilor de securitate
În domeniul securității informațiilor diverse organizații naționale și internaționale, de profil sau de standardizare, vehiculează o multitudine de noțiuni, termeni, concepte și definiții care de care mai sintetice sau mai sofisticate, ceea ce face dificilă analiza acestora, iar uneori poate crea chiar confuzii. De fapt, pentru foarte puține astfel de noțiuni există accepțiuni universal valabile, operându-se cu unele general sau majoritar acceptate.
Astfel, se operează și se încearcă clarificarea și utilizarea unitară și uniformă a unor termeni, precum:
– protecția informațiilor;
– securitatea informațiilor;
– securitatea calculatoarelor (COMPUSEC);
– securitatea sistemelor de comunicații (COMSEC).
– siguranță informațională;
– securitate informațională (INFORMATION ASSURANCE);
– reziliență informațională;
– guvernanță informațională;
– continuitatea informațională a unui proces (BUSINESS INFORMATION CONTINUITY) etc.
Aceste concepte sunt interconectate, relaționate, au la bază scopul comun de asigurare a confidențialității, integrității și disponibilității, iar diferențele țin, în general, de modul de abordare a problematicii, de metodologiile utilizate și de ariile de aplicare accentuate.
2.3.1. Concepte de securitate în SIC
Prin securitatea informației se înțelege ansamblul de măsuri, proceduri și acțiuni care se adoptă de către o organizație pentru protecția informației și a sistemelor informaționale proprii de la accesul, utilizarea, compromiterea, alterarea sau distrugerea acestora.
Securitatea informației este arhicunoscută specialiștilor și nu numai, iar aceasta poate fi reprezentată sub formă grafică cu ajutorul triadei CIA – Confidentiality (confidențialitate), Integrity (integritate) and Availability (disponibilitate), ca în figura 2.3.
Referitor la elementele ilustrate mai sus trebuie făcute următoarele precizări:
– obiectivele de securitate care trebuie asigurate sunt confidențialitate, integritate și disponibilitate;
– aceste trei obiective de securitate se aplică celor trei componente majore ale unui sistem informațional: echipamente hardware, aplicații software și sistemelor de comunicații
– este evidentă aplicarea principiului apărării în adâncime pe cele trei inele: securitatea fizică; securitatea personalului și mecanisme de securitate tehnice.
Figura 2.3. Modelul triadei securității informației
Securitatea informației în SIC – INFOSEC reprezintă atingerea și menținerea obiectivelor de securitate și este asigurată prin definirea, implementarea și controlul unui set adecvat de măsuri, care pot fi politici de securitate, proceduri, practici, structuri organizatorice, echipamente și software. Aceste măsuri trebuie implementate astfel încât obiectivele specifice de securitate menționate mai sus să fie atinse și menținute la un nivel de risc cunoscut și acceptat.
Standardele de securitate prevăd măsuri de control pentru fiecare nivel al sistemului informațional, conform principiului apărării în adâncime, ilustrat în figura 2.4:
– controlul accesului la serviciile rețelei – conexiunile la serviciile rețelei trebuie controlate iar pentru obținerea accesului la astfel de servicii este recomandată implementarea unei proceduri formale;
– controlul accesului la nivelul sistemului de operare – sistemul de operare trebuie să prevadă măsuri de restricționarea accesului la date existente pe calculatoare;
– controlul accesului la aplicații – prevenirea accesului neautorizat la informațiile gestionate de aplicațiile software.
Figura 2.4. Principiul apărării în adâncime
Oricât de elaborate ar fi măsurile de control al accesului există totdeauna posibilitatea unei intruziuni sau utilizarea inadecvată a resurselor existente. Pentru a detecta potențialele activități neautorizate este necesară monitorizarea accesului și utilizării sistemului informatic. Monitorizarea are un caracter continuu și implică păstrarea și revizuirea periodică a înregistrărilor cu evenimentele de sistem, și a activității utilizatorilor.
Securitatea informațională poate fi exprimată ca fiind: ,,totalitatea măsurilor care protejează și apără informațiile și sistemele care le gestionează, asigurându-le disponibilitatea, integritatea, autenticitatea, confidențialitatea și nonrepudierea. Aceste măsuri trebuie să le includă pe cele privind asigurarea refacerii informațiilor și a sistemelor informaționale prin crearea capabilităților de protecție, detecție și reacție”, definiție adoptată de către guvernul SUA în cadrul Glosarului Național de securitate informațională.
2.3.2. Standarde generale de securitate a informației
Odată cu adoptarea de noi tehnologii, complexitatea protejării informațiilor continuă să crească. Managementul sistemelor informaționale și asigurarea securității acestora nu se poate realiza decât prin implementarea unui cadru procedural bazat pe standarde de securitate recunoscute, prin adoptarea cu succes a tehnologiilor de securitate specifice.
Unul din cele mai vechi standarde internaționale, dar încă de actualitate, standard care a stat la baza multor ghiduri de securitate IT la nivel național sau organizațional este ISO/IEC 15408:1999 denumit și Common Criteria/ ITSEC – Information tehnology Security Evaluation / Evaluation Criteria for IT Security. ISO/IEC 15408:1999 a fost publicat de către un grup de lucru ISO/IEC JTC 1 în colaborare cu Common Criteria Project Sponsoring Organization, care a avut ca membri următoarele organizații:
Canada – Communications Security Establishment;
Franța – Service Central de la Sécurité des Systèmes d’Information;
Germania – Bundesamt für Sicherheit in der Informationstechnik;
Olanda – Netherlands National Communications Security Agency;
Marea Britanie – Communications-Electronics Security Group;
SUA – National Institute of Standards and Technology and NSA.
Principalele influențe dintre standardele naționale în cadrul standardului Common Criteria sunt ilustrate în figura 2.5.
Figura 2.5. Principalele influențe dintre standardele
naționale în cadrul Common Criteria
Acest standard cuprinde trei părți, după cum urmează:
1) Introducere și modelul general – explică conceptele și principiile generale care trebuiesc luate în considerare la evaluarea de securitate a unui sistem IT. De asemenea sunt furnizate instrucțiuni pentru scrierea specificațiilor tehnice pentru produse și sisteme.
2) Cerințe funcționale de securitate – conține componentele funcționale care sunt utilizate pentru exprimarea cerințelor de securitate a sistemelor evaluate într-o manieră standardizată. Această parte este structurată în seturi de componente, familii și clase funcționale. Cele 11 clase care alcătuiesc cel mai înalt nivel al acestui catalog sunt: auditul de securitate, comunicații, suport criptografic, protecția datelor utilizatorilor, identificare și autentificare, managementul securității, confidențialitatea, protecția funcțiilor de securitate, utilizarea resurselor, accesul la resurse, canale sigure.
3) Cerințe de asigurare a securității – conține un set de cerințe de asigurare a securității sistemelor incluzând familii de profile de protecție și ținte de securitate.
Totodată, standardul Common Criteria descrie șapte criterii de evaluare a securității (Evaluation Assurance Levels – EAL), reprezentând pachete de componente de securitate. Aceste niveluri permit alocarea unui rating de securitate a produselor și serviciilor. Pentru fiecare nivel de evaluare a securității (EAL) este făcută o descriere a obiectivelor și a componentelor de securitate minimale, astfel:
EAL1 – testat funcțional;
EAL2 – testat structural;
EAL3 – testat și verificat în mod metodic;
EAL4 – proiectat, testat și revizuit în mod metodic;
EAL5 – proiectat și testat în mod semi-formal;
EAL6 – proiectare verificată și testare semi-formală;
EAL7 – proiectare verificată și testare formală.
Un standard foarte răspândit și aplicat este ISO/IEC 17799:2005 care nu este un standard tehnic, orientat pe un anume produs sau tehnologie. ISO/IEC 17799 este un ghid care sprijină implementarea mecanismelor de securitate, oferind sugestii și recomandări sub forma unei colecții a celor mai bune practici ale domeniului.
Astfel, potrivit acestui standard, implementarea unei abordări sistematice de gestiune a securității informaționale presupune implicarea conducerii organizației, selectarea și instruirea echipelor de implementare. Următorul pas foarte important este definirea scopului managementului prin realizarea unei analize de risc și evaluarea vulnerabilităților și impactului pe care le pot avea riscurile specifice asupra organizației. Pe baza acestor evaluări se pot defini specificațiile unui sistem de management al securității, incluzând politici, proceduri, scheme de organizare, dar și tehnologii specifice de securitate.
Acest standard oferă recomandări pentru managementul securității informației utilizabile de către cei responsabili cu inițierea, implementarea și menținerea securității în cadrul propriilor organizații. Intenția standardului este de a oferi o bază comună pentru dezvoltarea standardelor și a managementului proprii organizațiilor privind securitatea informației, precum și de a oferi încredere în cadrul relațiilor între diferite organizații. Recomandările din acest standard trebuie selectate și utilizate în concordanță cu legile și reglementările aplicabile.
Acest cod de practică poate fi privit ca un punct de plecare pentru dezvoltarea unui model specific de securitate a informației pentru organizație. Nu toate liniile directoare și modalitățile de control din acest cod de practică pot fi aplicabile. Mai mult, pot fi necesare modalități suplimentare de control, neincluse în acest document.
ISO/IEC 17799 a fost dezvoltat ca punct de plecare în dezvoltarea unui sistem de management al securității specific fiecărei instituții în parte. De aici rezultă caracterul său general, controalele prezentate în standard putând fi luate ca exemple pentru situații specifice fiecărei instituții în parte. În continuare sunt prezentate foarte pe scurt secțiunile standardului de securitate ISO / IEC 17799, iar o descriere mai detaliată a acestui standard se poate găsi în Ghidul informativ publicat de către MCTI în 2005.
Prima secțiune a standardului prezintă Scopul standardului ISO/IEC 17799 de a stabili rolul acestui document ca un ghid pentru domeniul securității informaționale. Prin prezentarea Termenilor și Definițiilor din secțiunea a doua, standardul asigură un limbaj comun pentru profesioniștii domeniului. Următoarele secțiuni prezintă obiectivele de control si măsurile prin care se pot atinge aceste obiective.
Politica privind securitatea este definită în secțiunea a treia a standardului și are ca obiectiv să ofere conducerii îndrumare și susținere în ceea ce privește securitatea informației. Documentul Politica de securitate trebuie aprobat de către conducere, publicat și comunicat către toți angajații. Acesta trebuie să prezinte angajamentul conducerii, precum și abordarea organizației privind managementul securității informației. Politica de securitate trebuie să aibă un responsabil pentru menținerea ei, precum și pentru verificarea și evaluarea acesteia conform cu un anumit proces de verificare. O verificare va avea loc de fiecare dată ca răspuns la orice schimbare ce afectează baza evaluării riscului (exemplu: incidente semnificative legate de securitate, noi vulnerabilități sau schimbări ale infrastructurii tehnice sau organizaționale).
În secțiunea Organizarea securității obiectivul propus este asigurarea unei administrări unitare în cadrul organizației. Fiecare utilizator al sistemului informațional răspunde de asigurarea securității datelor pe care le manipulează. Se impune crearea unei structuri organizatorice unitare care să inițieze și să controleze implementarea mecanismelor de securitate în cadrul organizației. Un alt obiectiv al organizării securității este și menținerea securității tuturor facilităților IT și activelor informaționale accesate de către terțe persoane, fiind recomandată stabilirea unor proceduri prin care să fie controlat accesul terților.
De o mare importanță este Clasificarea și controlul activelor, prezentată în secțiunea a cincea care are ca scop delimitarea zonelor și nivelurilor care trebuie controlate. Măsurile de protecție sunt proiectate în funcție de gradul de sensibilitate, și de importanța resurselor vizate. Perimetrele în care sunt amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare. La fel și telecomunicațiile cu un nivel ridicat de confidențialitate ar trebui criptate. Clasificarea informațiilor este necesară atât pentru a permite alocarea resurselor necesare protejării acestora, cât și pentru a determina pierderile potențiale care pot să apară ca urmare a modificărilor, pierderii /distrugerii sau divulgării acestora.
Secțiunea a șasea, securitatea personalului, pleacă de la premisa că cele mai multe incidente de securitate sunt generate de personal din interiorul organizației, prin acțiuni rău intenționate sau chiar erori sau neglijență în utilizarea resurselor informaționale. Standardul ISO/IEC 17799 tratează riscurile de natură umană ce pot fi induse din interiorul organizației prin măsuri specifice, precum includerea responsabilităților legate de securitatea informațiilor în fișa postului, implementarea unor politici de verificare a angajaților, încheierea unor acorduri de confidențialitate și prin clauze specifice în contractele de muncă.
Secțiunea referitoare la securitatea fizică vizează mecanismele prin care se asigură securitatea fizică a imobilului în care organizația își desfășoară activitatea. Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau afectarea facilităților oferite de sistemul informațional. Alt aspect important al securității fizice este cel legat de protecția funcționării echipamentelor prin prevenirea pierderii, distrugerii sau compromiterii care pot afecta funcționarea organizației. În următoarea secțiune – managementul comunicațiilor și al operării – se stabilește cum trebuie să se asigure funcționarea fără riscuri și în bune condiții a resurselor organizației și vizează atât echipamentele si aplicațiile software, cât și celelalte elemente necesare procesării informației și susținerii funcțiilor de afacere. Procedurile recomandate pentru asigurarea operării corecte și sigure constau în documentarea procedurilor de operare, controlul modificărilor aduse sistemului informatic, atât la nivel hardware, cât și software, formalizarea tratării incidentelor de securitate și separarea responsabilităților.
Controlul accesului este esențial, iar secțiunea corespunzătoare stabilește modul de definire a resurselor accesate de utilizatori și a drepturilor acestora de acces. Confidențialitatea vizează protejarea informațiilor împotriva oricărui acces neautorizat. Pentru o instituție publică, datorită caracterului informației pe care o gestionează este important să asigure în primul rând integritatea și disponibilitatea datelor, iar pentru instituțiile militare și de securitate națională și confidențialitatea acestora. Controlul accesului începe cu stabilirea cerințelor de acordare a drepturilor de utilizare a informațiilor. Accesul la resursele și serviciile oferite de sistemul informațional trebuie controlat în funcție de specificul și cerințele mediului în care își desfășoară activitatea organizația.
Referitor la dezvoltarea și întreținerea sistemului, standardul stabilește că aspectele de securitate nu trebuie neglijate în partea de dezvoltare și implementare, deși acestea s-ar putea să deranjeze și să nu aducă aparent nici un beneficiu. Organizațiile se expun la riscuri majore de operare ce pot rezulta în pierderi financiare semnificative prin neglijarea unor măsuri minimale de control al procesului de dezvoltare și implementare. Obiectivele de control prevăzute în această secțiune a standardului sunt menite să asigure că noile sisteme dezvoltate au prevăzute mecanisme de securitate, prin: dezvoltarea cerințelor și analiza specificațiilor de securitate, validarea datelor de intrare, controlul procesării interne, autentificarea mesajelor transmise electronic, validarea datelor de ieșire, utilizarea tehnicilor de criptare, utilizarea mecanismelor de semnare electronică, protejarea codului aplicațiilor și a fișierelor sistemului de operare. De mare importanță este planificarea continuității afacerii care trebuie să conțină o serie de măsuri de reacție în caz de urgență, de operare alternativă și de restaurare a situației în caz de dezastru, pentru a asigura disponibilitatea resurselor critice și pentru a permite continuarea activității în cazul unor incidente majore. Scopul unui plan de continuitate este de a asista organizațiile în a continua să funcționeze atunci când activitatea normală este întreruptă. Este mult mai bine ca acest lucru sa fie planificat în avans, printr-o atitudine proactivă. Asigurarea continuității afacerii presupune parcurgerea etapelor de documentare, testare și implementare a planului de continuitate a afacerii. Implementarea presupune instruirea personalului și dezvoltarea unor procese speciale de gestiune a situației de criză, precum și de actualizare periodică. În ultima secțiune – conformitatea – se prevede o serie de măsuri, precum: identificarea legislației aplicabile, utilizarea adecvată a licențelor software sau a materialelor protejate de drepturi de autor, protejarea înregistrărilor organizației (înregistrări contabile, chei de criptare, jurnale de activitate, medii de stocare, proceduri de lucru). Pentru a asigura conformitatea cu politicile și standardele de securitate ale organizației, securitatea sistemului informațional trebuie revizuită periodic pentru a reflecta schimbările tehnologice sau organizatorice.
Modelul de bază al standardului ISO/IEC 17799, denumit PDCA – „Plan – Do – Chec – Act”, aplicat proceselor de management al securității sistemelor informatice este reprezentat în figura 2. 6.
În noua renumerotare a standardelor ISO/IEC 17799 are denumirea ISO 27002.
Figura 2.6. Modelul PDCA al standardului ISO/IEC 17799
Un standard foarte cuprinzător și cu o largă aplicabilitate internațională este NIST 800-14 – Generally Accepted Principles and Practices for Securing Information Technology Systems, care este o colecție de principii și bune practici pentru a implementa și menține securitatea unui sistem. Principiile enumerate de acest standard au fost adoptate de către OECD (Organization for Economic Co-operation and Development), fiind general acceptate de statele membre și aplicate când se dezvoltă sau se întreține un sistem IT. Aceste principii și bune practici au fost adoptate pe baza următoarelor elemente cheie: trasabilitatea; prevenirea; etica; multidisciplinaritatea; proporționalitatea; oportunitatea; analiza periodică; democrația.
Principiile statuate de NIST 800-14 sunt următoarele:
– securitatea calculatoarelor sprijină misiunea organizației;
– securitatea calculatoarelor este parte a procesului de management;
– securitatea calculatoarelor trebuie să fie eficientă din punct de vedere al costurilor;
– proprietarii sistemelor IT au responsabilități de securitate și în exteriorul organizației pe care o reprezintă;
– securitatea calculatoarelor necesită o abordare cuprinzătoare și integrată;
– securitatea calculatoarelor trebuie periodic reevaluată;
– securitatea calculatoarelor este constrânsă în unele cazuri de condițiile mediului de lucru.
Bunele practici descrise în acest standard sunt descrise în mod uniform și fac parte din toate domeniile: tehnic, operațional și control managerial.
De asemenea, sunt furnizate secțiuni suplimentare cu explicații și informații suplimentare pentru fiecare caz în parte. Multe din aceste practici sunt similare sau chiar comune cu cele din standardul ISO/IEC 17799, care a fost folosit drept referință de bază la elaborarea recomandărilor din NIST 800-14.
Standardul NIST 800-14 abordează securitatea sistemelor IT prin prisma întregului ciclu de viață al unui sistem IT, definind cinci etape – inițiere, achiziție, implementare, operare și mentenanță, scoatere din funcțiune – pe parcursul cărora bunele practici și recomandările se aplică în mod diferențiat, mai mult sau mai puțin accentuate, după cum este ilustrat în anexa nr. 14.
În concluzie, cele mai importante standarde de securitate a sistemelor IT sunt utilizate atât ca standarde de dezvoltare și operare a sistemelor informaționale, cât și ca ghiduri de control managerial și audit de securitate. Pentru a realiza o comparație între principalele standarde din punct de vedere al domeniilor acoperite și al profunzimii descrierilor, controalelor sau recomandărilor a fost realizat graficul din figura 2.7, în care pe verticală este evaluată profunzimea (nivelul de detaliu) standardului din punct de vedere tehnic și operațional, iar pe orizontală este reprezentată aria generală de cuprindere a standardului.
Figura 2.7. Situația standardelor în raport cu gradele de
profunzime (detaliere) și de cuprindere
Standardele ISO/IEC de securitatea informației sunt dezvoltate în familia 2700x, după cum urmează:
– ISO/IEC 27001: tehnici de securitate a sistemelor informaționale;
– 27002: cod de bune practici pentru managementul securității sistemelor informaționale;
– 27003: ghid de implementare;
– 27004 metodologii și metrici de evaluare;
– 27005: managementul riscului (ISO 13335);
– 27006: ghid pentru acreditare.
Acest standard global va ușura procesul de standardizare în domeniu și va permite oricărei organizații să-și definească, implementeze și evalueze propriile seturi de politici de securitatea informației.
ISO/IEC 17799 nu este un standard tehnic, orientat pe un anume produs sau tehnologie. Ca și metodologie de evaluare a securității unui sistem informațional se pot utiliza și alte standarde cum ar fi ISO/IEC 15408 părțile 1,2 și 3 sau ISO 13569 pentru sectorul instituțiilor financiare. În timp ce ISO/IEC 17799 este un ghid care sprijină implementarea mecanismelor de securitate, oferind sugestii și recomandări sub forma unei colecții a celor mai bune practici ale domeniului, alte standarde precum BS 7799 – Partea a doua reprezintă un ghid pentru auditul securității pe baza unor cerințe concrete.
În ultimii ani a devenit din ce în ce mai evident că există o nevoie acută de un cadru de referință pentru control și securitate în sistemele informaționale. Organizațiile „serioase” au nevoie de o evaluare și o înțelegere fundamentală a riscurilor și constrângerilor sistemelor IT la toate nivelurile din interiorul organizației pentru a fi în măsură să-și atingă obiectivele în mod eficient și să aibă un control adecvat asupra acestora. Totodată managementul riscurilor de securitate este o acțiune asumată și executată de tot mai multe conduceri de organizații.
De la INFOSEC la securitate informațională
În ultimii ani, în multe armate din țările membre NATO, precum și în cadrul comunităților guvernamentale, de afaceri și academice, conceptul INFOSEC este înlocuit, sau mai bine zis dezvoltat cu cel de securitate informațională – INFORMATION ASSURANCE, care a adăugat la cele trei obiective INFOSEC (confidențialitate, integritate, disponibilitate) încă două:
– autenticitatea, care trebuie să asigure faptul că identitatea utilizatorilor și documentele în format electronic sunt originale și nu au fost falsificate;
– non-repudierea, care garantează faptul că o parte – entitate a unei operații / tranzacții nu poate nega faptul că a realizat acest lucru.
De asemenea, sunt introduse, dezvoltate și implementate noi concepte și principii ale securității informațiilor în sistemele informatice și de comunicații, cum ar fi:
– principiul apărării în adâncime;
– managementul strategic al riscurilor;
– mecanismul auditului de securitate;
– crearea capabilităților de detecție și reacție la incidentele de securitate – CERT (Computer Emergency Response Team);
– capabilități de investigații digitale – computer forensic;
– educație și cultură de securitate.
Controalele interne pot fi considerate, de asemenea, un instrument important care stă la baza implementării unui sistem de management al securității. Chiar dacă sursele unor astfel de măsuri pot fi destul de variate, punctul de plecare într-un astfel de demers îl reprezintă legislația aplicabilă. Este foarte important ca cel care se ocupă de implementarea unui sistem de management al securității să aibă cunoștințe despre actualele cerințe legislative. Pe lângă legislația internă trebuie avute în vedere și Convențiile internaționale și Reglementările comunitare semnate de România sau în care România este parte. Selectarea controalelor trebuie să țină cont de specificul organizației. Nu toate recomandările pot fi aplicate, cum nu toate sunt justificate din punct de vedere al costurilor.
Eficacitatea sistemului de securitate depinde de:
– stabilirea unor obiective de securitate care să reflecte cerințele organizației;
– sprijinul conducerii;
– existența abilităților necesare realizării analizei riscurilor, a vulnerabilităților și a analizei de impact;
– instruirea angajaților;
– monitorizarea controalelor implementate.
Operarea calculatoarelor trebuie să asigure funcționarea fără riscuri și în bune condiții a resurselor organizației. Această funcție vizează atât echipamentele și aplicațiile software, cât și celelalte elemente necesare procesării informației și susținerii funcțiilor de afacere. Practicile de control recomandate pentru asigurarea operării de o manieră corectă și sigură constau în documentarea procedurilor de operare, controlul modificărilor aduse sistemului informatic, atât la nivel hardware cât și software, formalizarea tratării incidentelor de securitate și separarea responsabilităților.
Dinamica mediului informațional dată de schimbările tehnologice continue cât și de apariția de noi cerințe din partea organizației supune sistemul informatic la noi dezvoltări. Realizarea și testarea modificărilor aduse sistemului existent pot cauza probleme serioase operării curente. Pentru a controla aceste riscuri sunt recomandate separări clare ale responsabilităților între dezvoltare, testare și exploatare susținute și de o separare a mediilor folosite pentru aceste activități. Accesul programatorilor pe mediul de producție nu trebuie permis, iar dacă anumite situații excepționale o cer, atunci ar trebui controlat îndeaproape.
Planificarea capacității sistemului este un alt obiectiv al operării calculatoarelor care are ca obiectiv minimizarea riscurilor întreruperii sistemului ca urmare a atingerii capacității maxime de procesare. Asigurarea unei capacități corespunzătoare de procesare implică o planificare riguroasă a activităților sprijinite de sistemul informațional. Trebuie dezvoltate proceduri și mecanisme de raportare care să identifice utilizarea necorespunzătoare a resurselor, precum și perioadele de utilizare.
Protecția împotriva software-ului malițios este un aspect important întrucât cea mai mare amenințare la adresa activelor informatice este dată de pierderea sau indisponibilitatea datelor, ca urmare a infestării cu viruși informatici. În toate sondajele, virușii se află pe primele locuri ca sursă a incidentelor de securitate. Milioane de viruși informatici sunt raportați anual. Protecția împotriva virușilor nu o asigură doar administratorul sistemului, ci și utilizatorul. Asigurarea integrității datelor și a aplicațiilor software necesită măsuri de protecție prin care să se prevină și să se detecteze introducerea unor aplicații nepermise în sistemul organizației. Aplicațiile tip antivirus trebuie instalate pe toate calculatoarele din sistem, iar utilizatorii trebuie instruiți cu privire la folosirea acestora.
Alte aspecte ce fac obiectul managementului operării și comunicațiilor vizează:
– întreținerea sistemului, incluzând realizarea copiilor de siguranță;
– întreținerea jurnalelor de operare, menținerea înregistrărilor cu erori de operare și execuție;
– managementul rețelei, necesar asigurării operării rețelelor de calculatoare;
– manipularea și securitatea mediilor de stocare, pentru a preveni întreruperea activităților organizației;
– schimbul de aplicații și date între organizații, pentru a preveni pierderea, alterarea sau utilizarea improprie a informației.
Întreținerea sistemului informațional are ca obiectiv menținerea disponibilității și integrității serviciilor IT. Trebuie dezvoltate proceduri specifice care să descrie acțiunile prin care se realizează întreținerea serviciilor și echipamentelor IT. Întreținerea sistemului trebuie să fie un proces continuu care să includă obligatoriu instalarea corecțiilor de securitate a aplicațiilor, sistemelor de operare și sistemelor de gestiune a bazelor de date, realizarea copiilor de siguranță, ținerea automată a evidenței activităților realizate, pe un registru, în și de către sistem.
Proiectarea, operarea sau gestiunea sistemelor informaționale pot face obiectul unor reglementări sau angajamente contractuale în ceea ce privește securitatea. Pentru a evita încălcarea dispozițiilor statutare sau legale, trebuie prevăzute o serie de măsuri, precum:
– identificarea legislației aplicabile;
– utilizarea adecvată a licențelor software sau a materialelor protejate de drepturi de autor;
– protejarea înregistrărilor organizației (înregistrări contabile, chei de criptare, jurnale de activitate, medii de stocare, proceduri de lucru).
Pentru a asigura conformitatea cu politicile și standardele de securitate ale organizației, securitatea sistemului informațional trebuie revizuită periodic pentru a reflecta schimbările tehnologice sau organizatorice.
Aproape mereu, atunci când e vorba de dezvoltarea și implementarea unui sistem informatic, cerințele de securitate sunt neglijate. Eforturile sunt îndreptate mai mult spre aspectele funcționale și mai puțin pe controlul riscurilor de integritate și confidențialitate a informațiilor. Organizațiile se expun la riscuri majore de operare ce pot rezulta în pierderi financiare semnificative prin neglijarea unor măsuri minimale de control al procesului de dezvoltare și implementare. Testarea aplicațiilor nu este formalizată, ceea ce nu garantează calitatea dezvoltărilor, programatorilor li se permite accesul la mediul de producție pentru corectarea unor erori nedetectate în procesul de testare, inducând riscuri de integritate și disponibilitate a datelor.
Aspectele de securitate nu trebuie neglijate în partea de dezvoltare și implementare, deși acestea s-ar putea să deranjeze și să nu aducă aparent nici un beneficiu. Fără a ține cont de recomandările de control ale acestui proces, organizația riscă să investească într-o aplicație sau echipament care să nu-i ofere nici o garanție asupra informațiilor gestionate.
Obiectivele de control prevăzute în acest domeniu sunt menite să asigure că noile sisteme dezvoltate au prevăzute mecanisme de securitate, prin:
– dezvoltarea cerințelor și analiza specificațiilor de securitate;
– validarea datelor de intrare;
– controlul procesării interne;
– autentificarea mesajelor transmise electronic;
– validarea datelor de ieșire;
– utilizarea tehnicilor de criptare;
– utilizarea mecanismelor de semnare electronică;
– protejarea codului aplicațiilor și a fișierelor sistemului de operare.
De asemenea, este necesară și asigurarea securității mediilor de dezvoltare și a serviciilor suport. Mediile în care se dezvoltă aplicații sau proiecte noi trebuie strict controlate. Mediul de testare trebuie separat de mediul de producție, datelor de test asigurându-li-se protecția corespunzătoare. Odată cu adoptarea de noi tehnologii, complexitatea protejării informațiilor continuă să crească.
Implementarea unei abordări sistematice de administrare a securității informaționale presupune implicarea conducerii organizației, selectarea și instruirea echipelor de implementare. Următorul pas foarte important este definirea scopului proiectului prin realizarea unei analize de risc și evaluarea vulnerabilităților și impactului pe care le pot avea riscurile specifice asupra organizației. Pe baza acestor evaluări se pot defini specificațiile unui sistem de management al securității, incluzând politici, proceduri, scheme de organizare, dar și tehnologii specifice de securitate.
Securitatea informațională este constituită de ansamblul complex de structuri organizaționale, mijloace, politici, reglementări, măsuri și operații desfășurate în scopul identificării, monitorizării, contracarării și prevenirii manifestării amenințărilor TESSO (abreviere uzuală provenită de la termenii Terrorism, Espionage, Sabotage, Subversion, Organized Crime) în spațiul cibernetic.
O reprezentare a interacțiunii dintre aceste elemente precum și abordare proactivă a securității informaționale, bazată pe tratarea unitară a amenințărilor din spațiul cibernetic și definirea unei apărări cibernetice mai active, este prezentată în anexa nr. 15.
2.4. Auditul de securitate
Auditul sistemelor informatice este un proces prin care o echipă independentă și calificată face o evaluare obiectivă a unui sistem informatic, de obicei în raport cu un standard sau cu un set de obiective propus. Există și auditul intern, proces prin care se asigură o conformitate continuă cu standardele interne. Auditul intern este verificat periodic prin auditul extern. Un caz particular al auditului informatic este auditul de securitate pentru sistemele informatice.
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată rețeaua sau numai o parte, procedurile sau întreg planul de securitate) și având un obiectiv bine definit (de exemplu: conformitatea cu standardul ISO/IEC 17799 sau pur și simplu analiza protecției printr-un dispozitiv de protecție (firewall).
Este atributul conducerii organizației să decidă cât este rezonabil să investească în controlul și securitatea sistemelor IT și cum să balanseze aceste investiții. Dacă securitatea informației și controlul asistă managementul riscului, acestea însă nu-l pot elimina. Conducerea organizației este cea care trebuie să decidă ce nivel al riscului își asumă, ceea ce este într-adevăr o decizie foarte grea, mai ales când este pus în balanță cu costurile. Din această cauză managementul are în mod evident nevoie de un cadru de lucru pentru securitatea informației general acceptat și de controale pentru a evalua sistemul IT existent. Oricum implementarea unui bun control în mediul IT este destul de neclară datorită multitudinii de ghiduri și standarde, fie ele internaționale, guvernamentale sau comerciale. În mod frecvent, firmele de audit au luat inițiativa în cadrul unor eforturi internaționale de standardizare, deoarece ele sunt primele care se confruntă cu nevoia de a-și elabora și motiva opiniile lor în fața managementului organizațiilor auditate.
Dacă se abordează auditul de securitate doar din punct de vedere metodologic simplificat, atunci acesta conține două etape majore: cercetarea sau colectarea de informații și evaluarea propriu-zisă.
Colectarea informațiilor se poate face prin trei metode:
– studiul documentației existente;
– interviuri cu persoanele responsabile;
– folosirea de unelte și tehnici specifice pentru documentare.
Evaluarea se poate face în mod rațional pe baza interpretării datelor culese sau combinat cu utilizarea unor instrumente software specializate de analiză a mediului IT&C.
Documentarea
Primul lucru care trebuie făcut când se auditează o rețea este determinarea tipului rețelei auditate – de obicei prin revizuirea diagramei și a documentației rețelei. Apoi se verifică dacă informațiile sunt actuale – acest lucru se realizează prin inspecții și discuții cu personalul. Este foarte important să existe o procedură prin care diagramele sunt actualizate – o diagramă care nu mai este actuală poate produce efecte serioase când se planifică un sistem de securitate. Pentru rețelele unde sunt puține servere și noduri de rețea într-o singură locație lucrurile sunt relativ simple, însă în rețelele mari, care acoperă mai multe zone geografice și unde există o varietate mare de servere și servicii vor trebui folosite metode speciale pentru acuratețea informațiilor. Este important ca informațiile obținute să fie cât mai complete și reale deoarece ele vor sta la baza tuturor activităților ulterioare de audit, fiind folosite ca referință pentru pașii următori.
Tot acum trebuie documentat și modul în care rețeaua auditată este conectată cu alte rețele. În majoritatea cazurilor fiind vorba de o conexiune la un furnizor care este folosită pentru comunicare cu clienți și parteneri sau pentru a asigura accesul la INTERNET. Este important să se identifice măsurile de control și monitorizare a acestor conexiuni și mai apoi a serviciilor care folosesc conexiunile pentru a putea mai apoi evalua eficiența acestora.
Deși la prima vedere pare un fapt bine cunoscut, trebuie identificat punctele unde se „termină" rețeaua locală (boundaries) și de unde pornesc conexiunile spre alte rețele (ISP, partener etc.). Măsurile și controalele, precum și natura informațiilor permise în aceste zone sunt diferite, precum și riscurile asupra elementelor aflate de o parte sau alta a baricadei sunt altele, de aceea nu trebuie trecute cu vederea.
Apoi trebuie să se răspundă la întrebarea „care sunt cele mai importante bunuri care trebuie protejate". În principiu este vorba de anumite informații care rezidă pe anumite sisteme (e-mail, ERP, baze de date etc.) sau sunt comunicate prin anumite dispozitive (rutere, conexiuni de tip VPN), dar este foarte important ca acestea să fie identificate de la bun început. Strategiile și măsurile de protecție pot fi definite eficient în măsura în care riscurile asociate cu bunurile sunt bine definite și cuantificate.
După identificarea resurselor critice, trebuie stabilit cine le poate accesa. Oricine are acces la rețea poate accesa și acele informații confidențiale? Dacă da, cine are acces la rețea? Cel mai important este să stabilim criteriile pe baza cărora cineva primește drept de acces, cum sunt impuse aceste politici și cum se urmărește eficiența politicilor? Este binecunoscut principiul „need-to-know basis” (are acces numai cine are cu adevărat nevoie), principiu care trebuie aplicat fără excepție de către orice organizație. În fine, trebuie enumerate și revizuite metodele de protecție folosite, inclusiv politici, proceduri și controale.
Evaluarea
Odată ce informațiile necesare au fost colectate, auditorul poate începe evaluarea securității sistemului informatic. Evident, sunt multe situații în care informațiile colectate nu sunt suficiente sau apare necesitatea unui alt set de informații. Colectarea informațiilor și evaluarea nu trebuie privite ca procese seriale, ele putând fi reluate în orice moment, dacă este necesar. De fapt, o bună parte din evaluare se face chiar în timpul colectării informațiilor, în baza observațiilor făcute sau a rezultatelor oferite de instrumentele automate de evaluare a stării de funcționare sau de securitate a rețelei și a serviciilor oferite.
Colectarea datelor și evaluarea se bazează pe o listă cu controalele IT. Un exemplu orientativ de astfel de listă este prezentat în anexa nr. 16.
Un alt standard folosit atât pentru managementul securității informației cât și pentru auditul sistemelor informaționale este COBIT – Control Objectives for Information and related Technology.
Aflat la a treia ediție, COBIT ajută la atingerea mai multor cerințe manageriale, prin abordarea integrată a riscurilor, nevoilor de control și aspectelor tehnice. El asigură un set de bune practici din domeniu și prezintă activitățile din acest cadru într-un structură logică și facilă, set care a fost construit pe baza consensului specialiștilor consultați. Metodologia COBIT de auditare a sistemelor informatice este prezentată în figura 2.8.
Figura 2.8. Metodologia COBIT de auditare a sistemelor informatice
Aceasta constituie, în același timp, un cadru care conține un set de 34 de obiective de control de securitate de înalt nivel, câte unul pentru fiecare proces IT identificat, grupate în patru domenii:
– planificare și organizare;
– achiziție și implementare;
– distribuție și suport;
– monitorizare.
Această structură acoperă toate aspectele tehnologice și informaționale implicate în cadrul unui proces de control adecvat al sistemului IT. Arhitectura standardului COBIT este descrisă în anexa nr. 17 și conține următoarele obiective de control grupate pe cele patru domenii:
1. Planificare și organizare:
– definirea unui plan strategic de IT;
– definirea arhitecturii informaționale;
– determinarea evoluției tehnologice;
– definirea structurii de IT și a diagramei de relații a acesteia;
– managementul investițiilor IT;
– stabilirea de către conducere a misiunii și a obiectivelor;
– managementul resurselor umane de specialitate;
– asigurarea conformității cu cerințele externe;
– evaluarea riscurilor;
– managementul proiectelor;
– managementul calității.
2. Achiziție și implementare:
– identificarea soluțiilor de informatizare;
– achiziția și mentenanța aplicațiilor software;
– achiziția și mentenanța infrastructurii de comunicații;
– elaborarea și actualizarea procedurilor;
– instalarea și acreditarea sistemelor;
– managementul schimbărilor de configurație.
3) Instalare și suport:
– definirea și managementul serviciilor asigurate;
– definirea serviciilor externalizate;
– managementul capabilităților și al performanței;
– asigurarea continuității serviciilor;
– asigurarea securității sistemelor;
– identificarea și alocarea bugetelor;
– instruirea utilizatorilor;
– asistarea beneficiarilor;
– managementul configurației;
– managementul incidentelor de securitate;
– managementul datelor;
– managementul securității fizice.
4. Monitorizare:
– monitorizare procese;
– evaluarea eficienței controlului intern;
– obținerea securității informaționale;
– asigurarea unui audit independent.
Standardul COBIT conține, de asemenea, și un set de instrumente (Implementation Tool Set), care conține lecțiile învățate de la organizațiile care deja au aplicat acest standard în cadrul propriilor rețele de calculatoare. Acest set conține două instrumente foarte puternice de asistare în analiza mecanismelor de control al mediului de tehnologia informației (IT) al unei organizații: Instrumentul de diagnostic a conștientizării manageriale (Management Awareness Diagnostic) și instrumentul de diagnostic a controalelor IT (IT Control Diagnostic), precum și alte produse descrise în figura 2.9.
Sintetizând datele studiate despre metodologiile de desfășurare a auditului de securitate, putem afirma că acesta conține cel puțin patru mari etape:
1. identificarea surselor de documentare, a evenimentelor, dependențelor și consecințelor;
2. analiza acțiunilor factorilor de conducere și a celor implicați, precum și evaluarea amenințărilor, situațiilor, vulnerabilităților, procedurilor și resurselor;
3. planificarea tratării, eliminării sau transferului riscurilor;
4. controlul post audit prin revizuire, reevaluare și raportare periodică.
Aceste elemente sunt descrise în figura 2.10 .
Figura 2.9. Setul de instrumente ale standardului COBIT
Figura 2.10. Etapele procesului de audit de securitate
În concluzie, auditul bazat pe evaluarea riscurilor este mai complet și mai eficient pentru managementul organizației decât auditul de sistem, care realizează doar o radiografie de sistem, e adevărat, multicriterială.
Cadrul legislativ din România care stabilește standardele de securitate pentru protecția informațiilor naționale și NATO clasificate a fost elaborat în perioada anterioară integrării în Alianța Nord-Atlantică, ca țară participantă la Parteneriatul pentru Pace (PfP), pe baza standardelor NATO de securitate.
2.5. Managementul riscurilor de securitate
Managementul riscului de securitate reprezintă o abordare sistematică pentru a decide care contramăsuri de securitate sunt necesare pentru a proteja informațiile, precum și resursele și serviciile auxiliare, bazate pe evaluarea amenințărilor și vulnerabilităților. Managementul riscului de securitate implică planificarea, organizarea, conducerea și controlul resurselor pentru a ne asigura că riscul se menține în limite acceptabile.
Procesul de management al riscului de securitate este destinat să ajute șefii instituțiilor guvernamentale și ai organizațiilor civile să decidă asupra măsurilor de securitate corespunzătoare necesare și reprezintă mijlocul de a-i asigura că măsurile de securitate adoptate împotriva amenințărilor la adresa mediului IT și pentru reducerea probabilității de compromitere a informațiilor sensibile sunt la un nivel acceptabil, costurile sunt justificate de nivelul de protecție asigurat, dar nu depășesc valoarea bunurilor (resurselor informaționale) protejate.
2.5.1. Principii și standarde de management al riscurilor
Procesul de management al riscului de securitate trebuie să abordeze, printre altele, următoarele aspecte: principii și responsabilități, evaluarea riscului de securitate, managementul riscului și metodologia de realizare a acestuia. Printre principiile generale ale managementului riscurilor de securitate în sistemele IT se pot enumera:
– riscul de securitate este direct proporțional cu amploarea amenințărilor și gravitatea vulnerabilităților, invers proporțional cu eficiența măsurilor de protecție și de contracarare și depinde de probabilitatea de manifestare și de impactul produs asupra sistemului;
– controalele, mecanismele, procedurile și măsurile de securitate nu sunt eficiente sută la sută împotriva tuturor amenințărilor și oricăror vulnerabilități, dar pot reduce riscul pe care amenințările și vulnerabilitățile conjugate, le pot aduce resurselor care trebuie protejate;
– măsurile cele mai eficiente din punct de vedere al costului sunt cele complementare care, atunci când sunt utilizate împreună, furnizează un regim integrat de securitate pentru reducerea riscului de compromitere / pierdere a bunurilor informaționale într-un mod echilibrat;
– balansarea dorinței de a reduce riscul de compromitere / pierdere a valorilor protejate cu costul măsurilor protective, la un nivel acceptabil, echilibrând prejudiciul (paguba) care ar putea fi cauzată cu cheltuielile.
În anexa nr. 18 este ilustrată sugestiv interacțiunea dintre factorii sistem informațional, amenințare, vulnerabilitate, risc, contracarare, așa cum este descrisă în cadrul standardului Common Criteria.
De asemenea, trebuie menționat că managementul riscului este un proces iterativ desfășurat în mod permanent, între starea de securitate curentă și cea proiectată, prin intermediul evaluărilor de risc și a managementului acestora.
Evaluarea riscului de securitate nu este o sarcină care este îndeplinită odată pentru o perioadă nedeterminată. Ea trebuie realizată periodic, corespunzător cerințelor manageriale, în scopul actualizării informațiilor și datelor deținute la un moment dat privind: schimbări în evoluția amenințărilor si vulnerabilităților, schimbări survenite în misiunea organizației, precum și în informațiile și bunurile deținute. Evaluarea riscului de securitate este procesul de cuantificare a riscurilor de securitate, în acest caz identificarea amenințărilor și vulnerabilităților, stabilind mărimea (importanța) lor și, identificând ariile care necesită protecție și contramăsuri. Evaluarea riscului de securitate își aduce contribuția la decizia privind ce măsuri de securitate vor fi necesare și dă o evaluare imparțială a riscului rezidual (acceptat). Un beneficiu care apare din evaluarea riscului este apariția unei așa-zise conștiințe de securitate crescută, care va fi vizibilă la toate nivelurile organizației.
Evaluarea inițială a riscului de securitate pentru o organizație este cea mai cuprinzătoare resursă. Actualizările ulterioare asupra evaluării riscului de securitate se pot baza pe datele evaluării inițiale, cu posibile creșteri sau descreșteri ale parametrilor acesteia, cum ar fi timpul și resursele necesare.
Succesul evaluării riscului de securitate depinde, în mare măsură, de rolul top-managementului în cadrul procesului. Trebuie să existe un acord al managementului referitor la scopul și domeniul de evaluare a riscului, cu acel sprijin care să fie exprimat la toate nivelurile organizației, revederea unor principii și obiective ale managementului și aprobarea rezultatelor evaluării riscului.
Evaluarea riscului de securitate este fundamentată pe un cumul de date și informații, iar activitatea de evaluare cuprinde următoarele acțiuni:
a) identificarea domeniului și obiectivelor evaluării riscului de securitate;
b) identificarea bunurilor fizice și a informațiilor care contribuie la îndeplinirea misiunii organizației, precum și a valorii (importanței) acestora;
c) identificarea amenințărilor și vulnerabilităților față de mediul de risc și nivelul acelor amenințări și vulnerabilități;
d) stabilirea nivelului riscului de securitate.
În literatura anglo-americană sunt dezvoltate numeroase modele de management al riscurilor, atât în mediul guvernamental cât și cele universitare și academice. Deoarece sunt foarte diverse din punct de vedere al metodologiei utilizate sau a ariei de aplicabilitate, cu riscul de a nu fi foarte riguros am stabilit un model relativ simplu, în nouă etape care valorifică mai multe elemente din modelele studiate. Unul dintre cele mai cunoscute, dar și complete este Standardul NIST 800-3071 al Departamentului de Comerț al SUA, care propune o metodologie mai completă de evaluare a riscurilor de securitate, așa cum este ilustrat în anexa nr. 19.
Managementul riscului de securitate oferă opțiuni pentru administrarea riscului, incluzând reducerea, transferul, eliminarea, evitarea și acceptarea acestuia și implică planificarea, organizarea, conducerea și controlul resurselor pentru a se asigura faptul că riscul rămâne în limite acceptabile și cu un cost optim.
Conform standardului NIST 800-3071, managementul riscului de securitate realizat include următoarele elemente:
a) selectarea măsurilor de protecție – identificarea contramăsurilor existente, stabilirea contramăsurilor necesare și care sunt recomandate. Măsurile de protecție pot acționa în moduri diferite pentru: reducerea probabilității amenințării, reducerea vulnerabilităților, reducerea impactului pierderii sau compromiterii ce poate apare, depistarea faptului că pierderea și compromiterea a avut loc, ușurarea refacerii ca urmare a pierderii sau compromiterii. Când se selectează măsurile de protecție, se vor considera un număr de factori, printre care: ușurința de aplicare a măsurilor de protecție, ciclul de viață al cerințelor, eficacitatea relativă a măsurilor de protecție, tipurile de funcții îndeplinite de măsurile de protecție – prevenire, întârziere, detecție, refacere, corectare, monitorizare și conștientizare.
b) revederea riscurilor de securitate și a contramăsurilor recomandate și luarea măsurilor manageriale și tehnice de tratare acestora. Tratarea riscurilor și adoptarea uneia din opțiunile de mai sus (prevenire, întârziere, detecție, refacere, corectare, monitorizare și conștientizare) este abordată în standardul NIST 800-30 printr-o Schemă de tratare a riscurilor.
c) întocmirea unui Raport de management al riscului, incluzând o descriere a contramăsurilor care să se implementeze și un plan de lucru pentru implementarea lor, precum și o descriere a riscului rezidual (acceptat). Trebuie să se identifice și să se documenteze toate contramăsurile existente; acestea vor trebui apoi revăzute pentru a stabili dacă sunt adecvate, inadecvate sau excesive în relație cu nivelurile riscurilor de securitate identificate. Dacă contramăsurile existente sunt evaluate ca fiind în totalitate adecvate, nu va mai fi necesară nici o acțiune ulterioară în această etapă. Dacă ele sunt inadecvate, informațiile și / sau bunurile sunt la un nivel inacceptabil de risc și este necesară o decizie asupra măsurilor ce vor trebui luate pentru a reduce riscul la un nivel acceptabil. Raport Cost / Eficiență este un aspect important când se selectează măsurile de protecție. Oricum, trebuie să fie un echilibru între dorința de a fi un cost eficient și cerința de îndeplinire a nivelului de protecție NATO cerut. De asemenea, poate fi un set echilibrat de măsuri de securitate, printre care cele de personal, fizice, securitatea informațiilor și INFOSEC.
d) examinarea periodică a procedurilor de securitate generale pentru a se asigura că acestea continuă să furnizeze un efect practic și eficient.
2.5.2. Un model practic, simplificat de management al riscurilor
Un astfel de model a rezultat din studiul standardelor existente în domeniu și din încercările de a construi un model simplificat, ușor de pus în practică în ceea ce privește reglementările, metodologiile, mijloacele, structurile, procedurile și resursele necesare, inclusiv software, pentru o implementare rapidă. Astfel s-a adoptat un model în șase etape, după cum urmează:
1) definirea obiectivelor managementului riscurilor;
2) identificarea bunurilor fizice și informaționale care trebuie protejate și a valorii acestora;
3) identificarea și evaluarea amenințărilor;
4) identificarea și evaluarea vulnerabilităților;
5) evaluare categorii și niveluri de risc;
6) tratare/asumare/transfer riscuri.
Modelul este ilustrat grafic în anexa nr. 20, iar în continuare se fac câteva aprecieri descriptive, calitative, dar și cu caracter practic asupra caracteristicilor, instrumentelor sau procedurilor care se parcurg în aceste etape.
Astfel, în etapa definirii obiectivelor de management al riscurilor, trebuie stabilit foarte clar ce nivel de risc acceptat își propune managementul organizației în acest domeniu, în ce orizont de timp și ce resurse poate și dorește să pună la dispoziție.
În a doua etapă, trebuie să fie identificate toate informațiile sensibile dintr-un domeniu al riscului de securitate, clasificate sau neclasificate, a căror compromitere poate aduce prejudicii intereselor organizației și, în plus, toate bunurile –echipamente, aplicații, facilități, proceduri – care sunt critice pentru funcționarea organizației. Evaluarea bunurilor informaționale pot fi stabilite prin consultarea proprietarilor informației sau a altor persoane care pot formula o opinie autorizată asupra bunurile informaționale. Evaluarea, care poate fi o apreciere calitativă (de exemplu scăzut, mediu sau ridicat), poate fi obținută din aprecierea furnizată de „proprietarii informației" sau reprezentanții lor, în ipoteza celui mai rău scenariu care poate rezulta la următoarele acțiuni asupra informațiilor: distrugerea, indisponibilitatea, dezvăluirea către persoane neautorizate și modificarea informațiilor de către persoane neautorizate.
În etapa de identificare și evaluare a amenințărilor trebuie să se identifice toate amenințările la adresa informațiilor și a bunurilor organizației care pot duce la pierderea confidențialității, integrității sau disponibilității; totodată, acum se efectuează și evaluarea probabilității apariției amenințărilor. Amenințările trebuie definite funcție de domeniul din care provin (terorism, spionaj, subversiune, sabotaj sau crimă organizată – TESSO), sursă, motivație, intenție, capacitate, natură, țintă, probabilitate, impact, rezultat etc.
La evaluarea vulnerabilităților trebuie avut în vedere că acestea reprezintă, în general, o slăbiciune esențială și înnăscută în mediul fizic, organizațional, de personal, management, procedural, hardware, software sau echipamente de comunicații care poate fi exploatată. Acum se estimează vulnerabilitățile care pot fi exploatate de către amenințările identificate și se evaluează ușurința lor de a fi exploatate în scopul a se obține un grad de apreciere a semnificației vulnerabilităților.
Obiectivul etapei a cincea este să stabilească și să evalueze riscul la care informațiile clasificate sau sensibile și echipamentele sunt expuse, în scopul de a alege măsurile de protecție corespunzătoare și eficiente.
Deși în alte domenii ale securității se operează cu noțiunile de amenințare, risc și pericol pe o scară a gravității graduală, crescătoare, în domeniul managementului riscurilor de securitate a sistemelor informaționale se operează, în majoritatea modelelor de management al riscurilor de securitate, cu următoarea definiție a riscului, adoptată pentru acest model simplificat:
unde: R – nivelul riscului de securitate; A – amploarea amenințării; V – gradul de vulnerabilitate; C – eficiența măsurilor de contracarare; P – probabilitatea de manifestare; I – impactul produs.
Se poate observa că o amenințare are semnificație practică doar dacă este o vulnerabilitate care poate fi exploatată prin atac. Invers, o vulnerabilitate devine importantă numai dacă există o amenințare care poate exploata acea vulnerabilitate.
Rezultatele evaluării riscului de securitate, acțiunile care se asumă pentru îndeplinirea și menținerea standardelor minime de protecție vor fi documentate într-un Raport de evaluare a riscului, care poate include:
– domeniul și obiectivele evaluării riscului de securitate;
– obiectivele de securitate ale organizației în termeni de confidențialitate, integritate și disponibilitate;
– lista cu bunurile și valorile critice care trebuie protejate;
– caracterizarea amenințărilor evaluate;
– descrierea vulnerabilităților identificate;
– nivelul de risc estimat și caracterizarea acestuia;
– propuneri de măsuri de reducere a nivelului de risc;
– modul de reevaluare a riscului;
– propuneri pentru realizarea managementului riscului.
Riscurile identificate și caracterizate în urma evaluării pot fi evidențiate într-un Registru de risc pentru a fi analizate și tratate în vederea alcătuirii Planului de management al riscurilor. Acest registru poate avea o formă ca cea prezentată în anexa nr. 21, conținând descrierea riscului inițial, a celui evaluat, acțiunea planificată, termenul și responsabilul.
În cadrul ultimei etape (a șasea din modelul prezentat), trebuie propusă, pentru fiecare risc identificat câte o soluție de tratare, care poate fi una din cele enumerate mai jos:
1) eliminarea riscului – obiectivul fiind să se elimine în totalitate vulnerabilitățile reale sau potențiale prin implementarea integrală a contramăsurilor asigurându-se prevenirea pierderii resurselor;
2) limitarea riscului pierderii bunului resurselor informaționale, obiectivul fiind să se implementeze contramăsuri într-un grad la care pierderea să fie limitată la un nivel acceptabil;
3) acceptarea riscului de pierdere /compromitere a unor resurse informaționale; poate fi luată o astfel de decizie de a accepta riscul și consecințele, de exemplu, când costul / impactul pierderii nu este semnificativ sau probabilitatea pierderii este suficient de mică sau costul contramăsurilor este mult prea mare sau nu este în echilibru cu costurile / impactul pierderilor evaluate;
4) transferul riscului către organizația ierarhic superioară, în cazul în care unele riscuri identificate nu pot fi acceptate, dar nici eliminate sau tratate cu forțe proprii.
Rezultatul evaluării riscurilor se materializează într-o matrice a riscurilor, așa cum este ilustrată în figura 2.11, care conține trei zone distincte, definite ca produsul cartezian dintre probabilitatea de manifestare și impactul produs de un risc, astfel:
– riscuri acceptate (reziduale);
– riscuri tratate (eliminate sau diminuate pentru a fi acceptabile);
– riscuri transferate (inacceptabile) către nivelul ierarhic superior.
Figura 2.13. Harta riscurilor
Acestea din urmă sunt notificate structurii ierarhice superioare și vor face parte din evaluarea riscurilor acesteia, fiind trecute în propria hartă.
O modalitate de reprezentare a procesului de realizare a managementului riscurilor de securitate corespunzător acestui model simplificat este ilustrată în figura 2.12, în care se pot observa relațiile dintre evaluarea de risc bazată pe evaluarea amenințărilor și pe evaluarea vulnerabilităților realizată pentru sistemul evaluat care conduce la aplicarea unor contramăsuri ce vor determina acceptarea unui risc rezidual (acceptabil) și punerea în aplicare a unui plan de măsuri de reducere sau eliminare a celorlalte riscuri.
Figura 2.12. Procesul de realizare a managementului riscurilor de securitate
2.6. Dimensiuni ale educației de securitate
Asigurarea securității informaționale este imposibilă în condițiile unei culturi de securitate precare sau a lipsei unei educații de securitate susținute și continue. Dacă, în cazul culturii de securitate, avem de-a face cu un cumul de precondiții și circumstanțe care țin de factorii sociali, culturali și istorici care se vor fi manifestat la nivelul național sau regional, educația de securitate este și trebuie să fie un obiectiv în permanentă atenție pentru organizațiile guvernamentale, de apărare și siguranță națională, dar și pentru cele economice și universitare. Astfel, conducerile acestor organizații trebuie să se asigure că toți utilizatorii sunt instruiți în mod adecvat despre obligațiile lor pe linia securității informațiilor, înainte de a le permite accesul la sisteme. Aceste instruiri trebuie să certifice faptul că angajații au înțeles și au deprinderi solide în aplicarea regulilor de securitate și că trebuie să solicite consultanță și ajutor la orice problemă care poate avea conotații legate de securitatea sistemelor pe care le exploatează. În plus, ei trebuie să aibă cunoștințele și deprinderile necesare pentru a identifica premisele apariției unui incident de securitate și a fi în măsură să ia primele măsuri. Acest instructaj trebuie făcut periodic, la un nivel constant și acoperitor pentru nevoile de securitate ale organizației, dar și adaptat la nivelul de sensibilitate al sistemelor și informațiilor cu care angajatul operează.
În cadrul Politicii de securitate a unei organizații este necesară prevederea unei secțiuni speciale dedicare educației de securitate, care să cuprindă cerințe largi și detaliate asupra programului de cunoaștere și respectare a măsurilor de securitate din cadrul organizației. Această secțiune trebuie să includă, printre altele:
1) roluri și responsabilități;
2) elemente programatice pentru dezvoltarea educației de securitate;
3) planul de implementare a programului de asigurare a creșterii educației de securitate;
4) modalitatea de actualizare a acestui plan și de comensurare a efectelor.
Responsabilități pe linia educației de securitate într-o organizație au toți membrii, de la simplii utilizatori ai sistemelor informaționale și până la liderul organizației. Aceste responsabilități trebuie descrise în regulamentul de funcționare al organizației și în fișele posturilor, precum și în fișele de evaluare profesională, astfel:
a) Șeful organizației:
– să numească responsabilul cu securitatea IT dintre persoanele cu funcții importante de conducere;
– să desemneze compartimentul care se va ocupa explicit de acest proces;
– să se asigure că există un plan de asigurare a educației de securitate, că el este finanțat, eficient și actualizat;
– să se asigure că personalul organizației este suficient de instruit ca să asigure securitatea sistemului informațional.
b) Responsabilul cu tehnologia informațională trebuie să:
– gestioneze instruirea personalului pe linie de securitate;
– stabilească strategia generală de realizare a educației de securitate și a programului de instruire;
– se asigure că șefii organizației, deținătorii de informații și sisteme informaționale și toți ceilalți înțeleg conceptele și strategia de securitate și de creștere a educației de securitate și sunt la curent cu desfășurarea programului;
– se asigure că programul de creștere a nivelului educației de securitate este finanțat corespunzător și continuu;
– se asigure că tot personalul implicat atinge un nivel rezonabil al educației de securitate și că mecanismele de monitorizare și raportare a mecanismelor de securitate sunt eficiente.
c) Responsabilul programului de securitate IT are deplina răspundere la nivelul operațional și trebuie să se asigure că materialele și cursurile educative sunt adecvate personalului instruit, că managerii organizației de la toate nivelurile au feed-back-ul necesar al programului de instruire de securitate și că materialul și programul educativ sunt revizuite periodic și actualizate. De asemenea, trebuie să aibă grijă că metodologia de evaluare și apreciere este eficientă.
d) Șefii de structuri / unități organizaționale au obligația de a se conforma programului de asigurare a educației de securitate pentru angajați și au ca principale atribuții pe această linie, următoarele:
– să conlucreze cu responsabilii pe linia IT și a securității pentru a îndeplini obiectivele programului de asigurare a educației de securitate;
– să acorde o atenție deosebită pregătirii de securitate a personalului propriu cu funcții cheie în acest domeniu;
– să asigure dezvoltarea unui program de instruire și certificare de specialitate a personalului specializate cu atribuții în domeniu;
– să se asigure că toți utilizatorii sistemelor informaționale și informațiilor proprii, inclusiv partenerii externi sunt instruiți la un nivel corespunzător din punct de vedere al securității;
– să ia toate măsurile necesare pentru a reduce numărul erorilor și incidentelor care se datorează lipsei sau insuficienței programului sau procesului de instruire pe linia securității sistemelor informaționale.
e) Utilizatorii reprezintă categoria cea mai reprezentativă și sunt cu adevărat cel mai important grup dintr-o organizație care poate ajuta la reducerea erorilor neintenționate și a vulnerabilităților IT. În această categorie intră angajații proprii, ai partenerilor, vizitatori, invitați, colaboratori și asociați, Aceștia au mai multe responsabilități în acest domeniu, dintre care amintim:
– să înțeleagă și să respecte politicile și procedurile de securitate ale organizației;
– să se instruiască în mod corespunzător pentru aplicațiile și sistemele pe care urmează să le exploateze;
– să actualizeze, ori de câte ori se impune, aplicațiile software de bază și aplicative;
– să fie conștienți de acțiunile pe care le pot întreprinde sau propune șefilor pentru asigurarea securității sistemelor și informațiilor prin aplicarea responsabilă a regulilor referitoare la parole, accesul la resurse, salvarea datelor, evidența corectă și la zi a documentelor, protecția antivirus, detectarea și raportarea imediată a oricăror anomalii, încălcări de procedură sau vulnerabilități de securitate.
Educația de securitate nu poate fi însă abordată doar la nivelul programelor de instruire și al responsabilităților personalului implicat în exploatarea resurselor informaționale ci și pe palierul mecanismelor și conceptelor psiho-sociale, aplicate asupra utilizatorilor acestor resurse. Cel mai bun argument pentru această abordare este ingineria socială, foarte des utilizată de hackeri pentru a depăși barierele de securitate instalate de administratorii de securitate ai sistemelor informatice și de comunicații.
Funcția fundamentală a educației este aceea de a vehicula, selecta, actualiza și valorifica experiența socială în vederea asigurării unei integrări eficiente și rapide a individului în societate și, prin aceasta, în vederea creării premiselor autodeterminării individului ca factor de progres social. Prin educație, în principal, omul trece de la starea de existență pur biologică la aceea de existență socială. În ceea ce privește procesul devenirii omului ca ființă socială nu este nici o deosebire între un copil născut într-o mare metropolă și cel născut într-un trib primitiv, întrucât amândoi trebuie să învețe totul. O parte a învățăturii este rezultatul contactului spontan al omului cu diferite aspecte ale vieții sociale, dar cea mai consistentă parte a învățăturii se acumulează prin instruire, prin forme organizate și sistematice.
Piaget Jean Piaget, renumitul psiholog elvețian, considera că școala trebuie să fie concepută ca un centru de activități reale, practice, desfășurate în comun, în așa fel ca inteligența logică să se formeze în funcție de acțiunea și de schimbările sociale. Suportul psihologic al relației educaționale este trebuința de a comunica. Se comunică nu numai cunoștințe, informații, ci și atitudini, sentimente și convingeri. Se comunică prin cuvânt, gest, mimică, prin întreaga conduită. Relația educativă este complexă, determinată de numeroși factori. Aceasta se realizează între entități globale (educator-educat). Acțiunea educatorului este directivă, intenționată, conștientă, orientată pe scopuri și obiective care anticipează transformări în comportamentul învățat al educatului. Acesta nu asimilează automat, el fixează, filtrează, prelucrează activ, include cele învățate în propriile structuri. Relația este asimetrică și se realizează între personalitatea formată a educatorului și personalitatea în formare a educatului. În acest context apar concordanțe și neconcordanțe în actul de comunicare educațională.
Idealul educațional se realizează prin intermediul componentelor educației, obiectivelor și conținuturilor acestora. Educația contemporană se referă, în principal, la următoarele cinci dimensiuni: educația intelectuală; educația morală; educația profesională; educația estetică; educația fizică.
În alte lucrări se pot găsi și alte dimensiuni ale educației: tehnologică, religioasă, artistică etc., la care trebuie să adăugăm și educația de securitate care poate consolida un anumit nivel al culturii de securitate la nivelul unei organizații care gestionează resurse informaționale importante și, în același timp, sensibile. Având în vedere că cele cinci dimensiuni ale educației educația (intelectuală; educația morală; educația profesională; educația estetică; educația fizică) se înscriu în definiția filozofică a educației conform căreia „educația este un sistem planificat de influențe de durată asupra individului și asupra unor colective de indivizi, cu scopul orientării dezvoltării fizice, morale și intelectuale potrivit unui anumit ideal educațional“ s-a considerat că educația de securitate nu este chiar o dimensiune separată, însă se adresează în mod preponderent primelor trei.
Pe lângă structură, procedee specifice și instrumente, comunicarea în domeniul educației de securitate depinde, ca și în celelalte cazuri de un anumit climat. Potrivit lui Walt Haney, o organizație din ziua de azi necesită o performanță de ordin comunicativ la un nivel de comunicare fără precedent. În acest sens, principala solicitare la care este supusă organizația este de a asigura, într-o măsură din ce în ce mai mare, un climat organizatoric corespunzător necesităților cărora trebuie să le facă față membrii acesteia.
Organizațiile diferă din punctul de vedere al climatului pe care îl asigură comunicării. În acest sens, în tabelul 2.1 este prezentată o diferențiere a tipurilor de climat, pe baza unei serii de contraste, care se potrivește destul de bine caracteristicile de rigurozitate ale unei organizații care gestionează sisteme informaționale sensibile.
Tabelul 2.1
În acest moment se impune, cu insistență, o întrebare: Educația se va dezvolta într-o cultură a ierarhiei sau într-o cultură a responsabilizării?.
Într-o cultură a ierarhiei, oamenii tind să facă ceea ce li se spune, să evite greșelile, să fugă de responsabilitate, să-și „pândească” șeful, să-i blameze pe ceilalți pentru problemele apărute și să aibă sentimentul că se află în competiție cu ceilalți. Pe de altă parte, într-o cultură a responsabilizării, oamenii au tendința să facă ceea ce consideră că trebuie făcut, să își asume riscuri și să învețe din propriile greșeli, să își asume responsabilitatea, să își verifice singuri munca, să învețe când anume nu se aplică regulile, să aibă un sentiment de colaborare cu ceilalți.
De asemenea, educația trebuie să țină seama de informația care îi este necesară organizației. După H.W. De Jong, ar exista patru strategii pentru a determina necesarul informațional, și anume:
1) chestionarea directă;
2) analiza sistemului informațional preexistent;
3) analiza organizației, în ansamblu;
4) experimentarea unui nou sistem sau prototip informațional.
Primele două strategii sunt, oarecum, de factură subiectivă, cea de-a treia este mai degrabă normativă, iar ultima reprezintă o combinație subiectiv-normativă. Rezultatul este un sistem informațional simplu și suplu, adecvat noilor condiții la care organizația trebuie să se adapteze.
Se poate conchide că experimentarea unui prototip informațional corespunde unor organizații care operează în situații complexe, dacă nu chiar incerte. În schimb, în organizațiile lipsite de complexitate, chestionarea personalului poate fi suficientă. Între cele două strategii extreme există o multitudine de combinații strategice, opțiunea pentru una sau alta dintre acestea depinzând de experiența și inteligența celui care elaborează/gestionează sistemul informațional.
Asigurarea calității educației trebuie centrată preponderent pe rezultatele învățării, iar acestea sunt exprimate în termeni de cunoștințe, competențe, valori și atitudini care se obțin prin parcurgerea și finalizarea unui nivel de învățământ sau program de studii. Astfel educația de securitate i se adresează angajatului din cel puțin trei ipostaze: utilizator al informațiilor organizației, sensibile sau clasificate, viitor responsabil în cadrul structurii de securitate, viitor șef, lider sau manager, calitate în care poartă responsabilitatea organizării activității de securitate a informațiilor de securitate.
CAPITOLUL 3
APĂRAREA CIBERNETICĂ – COMPONENTA PROACTIVĂ A SECURITĂȚII NFORMAȚIONALE
Acțiunile de natură informațională au și vor avea loc în oricare din fazele pace, criză, conflict, post-conflict. Este, așadar esențial ca instituțiile guvernamentale să dispună de capabilități permanente de avertizare, evaluare, analiză și reacție, precum și să întrețină o stare continuă de ajustare structurală și doctrinară, care să-i permită realizarea intereselor naționale în acest mediu cibernetic. În acest context statul trebuie să definească și să implementeze conceptul de apărare cibernetică, iar primul pas pe care trebuie să-l facă constă în înființarea structurilor de tip CSIRT/CERT în cadrul departamentelor cu atribuții în domeniul securității naționale care să coopereze atât în plan intern, cât și la nivelul UE și NATO pentru a fi capabile să contracareze multitudinea de atacuri cibernetice.
La ora actuală, NATO are o politică de apărare cibernetică (Cyber Defence) aprobată oficial, care să protejeze spațiul cibernetic (totalitatea infrastructurilor sistemelor de comunicații și informații) al Alianței Nord-Atlantice. Apărarea cibernetică este considerată parte a politicii de securitate în sistemele informatice și de comunicații (INFOSEC), cu accent pe monitorizarea incidentelor, precum și pe procedeele de răspuns și recuperare a sistemelor și datelor afectate. Măsurile de apărare cibernetică au un spectru larg, pornind de la securitatea criptografică și până la măsurile TEMPEST.
În iunie 2007, la Summit-ul de la RIGA, șefii de state și de guverne au decis ca NATO să-și întărească capabilitățile de apărare împotriva atacurilor cibernetice. În acest sens, a fost reactivat Grupul de lucru executiv pe probleme de securitate al Consiliului Nord-Atlantic, care a avut ca obiectiv principal elaborarea politicii NATO în domeniul apărării cibernetice și care apoi a fost supusă aprobării cu ocazia Summit-ului de la București, din aprilie 2008.
În viziunea liderilor Alianței Nord-Atlantice, politica de apărare cibernetică este strâns legată de securitatea operațiilor și are ca scop asigurarea mijloacelor de protejare a datelor și informațiilor care vin în sprijinul factorilor de decizie și al procesului decizional și menținerea libertății de mișcare a Alianței Nord-Atlantice în mediul informațional.
Unul dintre obiectivele politicii NATO în domeniul apărării cibernetice îl constituie asigurarea interoperabilității și a cadrului legal pentru cooperarea cu națiunile membre în cazul în care acestea sunt ținta unor atacuri cibernetice. Pentru realizarea acestui obiectiv trebuie definite clar acțiunile ofensive sau defensive care se pot desfășura, când se pot iniția astfel de acțiuni și care sunt responsabilitățile atât ale Alianței Nord-Atlantice, cât și ale națiunii care este supusă unui atac cibernetic.
Un loc aparte în cadrul dezvoltării acestui domeniu îl ocupă realizarea proiecției în spațiul cibernetic a măsurilor de contracarare a principalelor amenințări la adresa securității (TESSO) și anume terorismul, spionajul, sabotajul, subversiunea și crima organizată, prin identificarea conceptelor, structurilor, elementelor doctrinare, metodelor și mijloacelor specifice de combatere a acestor amenințări.
3.1. Război și apărare în spațiul cibernetic
NATO tratează amenințarea războiului cibernetic la fel de serios ca riscul unui atac cu rachetă balistică, astfel încât apărarea cibernetică este acum menționată la cele mai înalte niveluri împreună cu apărarea anti-rachetă și cu securitatea energetică, iar SUA consideră amenințarea cibernetică pe locul al treilea, în ordinea gravității, pentru securitatea națională, după terorism și proliferarea armelor nucleare.
Conform profesorului Samuel Lilles „dacă acceptăm că spațiul cibernetic nu este decât un nou câmp de luptă, atunci întreg spectrul conflictului ar trebui să se găsească pe acest teren. Ipoteza principală este că acest nou domeniu va conține toate manifestările și problemele societății moderne, inclusiv războiul. Odată cu avansarea indivizilor sociali de pe uscat pe mare, în aer și în spațiu, aceștia și-au menținut condiția și obiceiurile sociale”.
3.1.1. Incidente majore în spațiul cibernetic
În continuare, sunt prezentate cele mai semnificative exemple de atacuri cibernetice care relevă faptul că, în noua eră, conceptul de război cibernetic a căpătat consistență și a devenit realitate. Astfel actorii, scopurile, mijloacele, țintele și efectele se amplifică, se diversifică și se rafinează de la o zi la alta, în pas cu evoluțiile tehnologice, sociale, geopolitice și economice.
Războiul din Kosovo (1999-2000)
Generalul german Walter Jerz, purtătorul de cuvânt al forțelor NATO pentru Kosovo și Metohia (Iugoslavia), aprecia că atacul asupra Iugoslaviei a fost primul conflict militar din lume purtat și prin intermediul INTERNETULUI. La un simpozion internațional de specialitate s-a susținut că guvernele țărilor dezvoltate tehnologic „antrenează cyber-soldați care să atace și să spioneze inamicul prin intermediul computerelor și să efectueze lovituri la distanță asupra punctelor cheie ale unei țări inamice”. Pe de altă parte, generalul american Whesley Clark, fostul comandant al forțelor NATO pentru Europa, a afirmat că „atacul asupra computerelor sârbești ar fi putut să întrerupă epurarea etnică și să micșoreze numărul celor afectați”. Numai că, după cum încă mai susțineau la începutul lui 2001 specialiștii militari americani, asemenea atacuri nu erau avute în vedere în cadrul doctrinelor militare ale Statelor Unite ale Americii, iar problema în sine nu era încă rezolvată din punct de vedere legislativ.
A existat însă în permanență teama că hackerii din Iugoslavia, dar și din alte țări, vor ataca rețeaua informatică a Pentagonului, așa cum s-a întâmplat, de exemplu, în timpul războiului din Golf din 1991 ori a intervenției în Somalia. Chiar dacă oficialii americani au susținut că site-urile sârbești nu au fost atacate în timpul agresiunii asupra Iugoslaviei în perioada martie-iunie 1999, indexul site-ului Ministerului Afacerilor Interne iugoslav a fost „pictat” cu zvastici. Alți autori acceptă că atacul a fost opera unor simpli hackeri și nicidecum o acțiune la comanda guvernului sau a armatei americane. Însă, potrivit publicației iugoslave „Vesti”, dr. Slobodan R. Petrović, lucrător în cadrul poliției sârbe și autor al cărții Criminalitatea digitală, afirmă despre dezinteresul guvernului american pentru atacul împotriva sistemului informatic al Serbiei: „În timpul agresiunii NATO, americanii au plănuit să înceapă cyber-atacuri asupra Serbiei, dar acest lucru nu le-a ieșit la mână întrucât tehnologia informațională de la noi (prezentă în sistemul bancar, în poliție, armată etc.) nu se află într-un grad deosebit de interconectare, astfel că, din acest motiv, nu a fost interesantă pentru un asemenea gen de atacuri”.
Dar de hackeri nu au scăpat nici site-urile unor importante instituții americane. În 1999, aceștia au încercat de mai multe ori să pătrundă în baza de date a bazei aeriene din San Antonio, în care erau stocate date despre forțele americane din Bosnia și în care se găseau înregistrări și diverse documente despre atacurile aeriene asupra Irakului. Iată însă că specialiști din cadrul Centrului pentru studiul apărării din cadrul corporației RAND afirmă că „forțe mobile mici, înarmate cu date care ajung în fiecare secundă de la sateliți și de la detectoarele de pe teren, vor ataca rapid locurile din care se atacă sistemul informațional al țării lor, acolo unde nimeni nici nu se așteaptă.”
Războiul cibernetic dintre India și Pakistan
Războiul de durată dintre India și Pakistan a dus la confruntări militare și la crearea unui spirit de conflict generalizat. În era informațională, unele lupte nu se mai desfășoară doar cu arme și tancuri, ci și prin intermediul mass-mediei și INTERNETULUI. De la răspândirea tehnologiei informației în rândul țărilor din Asia de Sud, la mijlocul anilor 1990, spiritul conflictual între Pakistan și India s-au proiectat și în spațiul cibernetic.
Atacurile cibernetice între grupuri din cele două țări a început în mai 1998, când India a efectuat primele teste nucleare. Imediat după ce India a anunțat oficial efectuarea testelor, un grup de hackeri din Pakistan autointitulat „milw0rm” a atacat site-ul web al Centrului de Cercetări Atomice Bhabha și a postat mesaje anti-India și anti-nucleare. Atacurile cibernetice, de regulă, au fost limitate la acțiuni de „web defacement” asupra site-urilor ambelor părți. Acestea au continuat pe parcursul războiului Kargil din 1999 și au atins apoi momente de vârf, în perioada decembrie 2001 până în 2002, în care tensiunea dintre India și Pakistan a crescut. Prin urmare, perioada dintre 1999 – 2002 a fost crucială, când trupele au efectuat schimburi de focuri de armă la graniță, iar hackerii s-au ocupat cu atacuri cibernetice masive asupra site-urilor inamicului.
Potrivit statisticilor publicate pe site-ul www.attrition.org, atacurile asupra site-urilor indiene au crescut de la 4 în 1999 la 72 în anul 2000, în timp ce site-urile pakistaneze au fost atacate de 7 ori în 1999 și de 18 ori în 2000. În prima jumătate a anului 2001, 150 de site-uri din India au fost scoase din funcțiune.
În timpul războiului Kargil, primul site din India raportat ca fiind atacat a fost http://www.armyinkashmir.com, pe care guvernul indian publica informații concrete despre evenimentele de zi cu zi, din Valea Kashmirului. Hackerii au postat fotografii în care forțele militare indiene ucideau militanți din Kashmir. Prin imaginile postate care purtau denumiri ca „Masacrul", „Tortura", „Execuție extrajudiciară" și „Agonia represiunii", guvernul indian era acuzat pentru atrocitățile comise în regiunea Kashmir. Au urmat apoi degradarea unor numeroase site-uri guvernamentale indiene și atacuri reciproce pe site-urile pakistaneze.
Două grupuri proeminente ale hacker-ilor pakistanezi au fost „AMP” (Pakistan Hackers Club) și G-Force. Ambele organizații sunt constituite din hackeri profesioniști care aveau un singur scop: de a lupta pentru cauza Kashmirului și Palestinei. Departamentul de Justiție al SUA l-a identificat pe „Doctor Nuker" ca fiind Misbah Khan din Karachi, care a fost implicat în alterarea site-ului oficial al AIPAC (American Israel Public Affairs Committee). Dr. Nuker a acordat un interviu revistei Newsbytes prin care afirma că „marele juriu federal a greșit indicându-l pe Misbah Khan din Karachi" și că „el folosește servere-le nesigure din Pakistan doar pentru a obține anonimatul on-line".
Organizația „G-Force” era localizată în Lahore și este alcătuită din opt membri. G-Force a fost fondată în mai 1999, după efectuarea testelor nucleare, iar obiectivul lor inițial a fost atacarea site-urilor din India. După „9/11”, acțiunile acestei organizații s-au focalizat asupra site-urilor din SUA. Potrivit Zone-h.org, G-Force a neutralizat cu succes 212 site-uri. Printre „realizările" G-Force se numără site-ul National Oceanic and Atmospheric Agency, precum și trei site-uri militare asociate US Defence Test and Evaluation Professional Institute.
În cursul acestui conflict cibernetic, în decembrie 2000, o știre publicată pe „wired.com” a creat senzație deoarece se anunța că un grup de hackeri indieni intitulat „Patriotic Indians" a reușit un atac de tip defacement asupra site-ului oficial al guvernul pakistanez „pakgov.org”. Mai târziu, s-a arătat că site-ul real al guvernului pakistanez este de fapt „pak.gov.pk” și nu „pakgov.org”. De fapt, „pakgov.org” a fost domeniul înregistrat de către hacker-ul care furnizase informațiile false pentru a fi publicate.
Din partea indiană, există mai multe grupuri de hackeri care au neutralizat site-uri pakistaneze. Dintre acestea, cel mai renumit este „H2O” (Hindustan Hackers Organization). Cu toate acestea, analiștii internaționali, inclusiv cei din India recunosc că, în acest front cyber, Pakistanul a fost mai mereu câștigător, și aceasta din două motive principale. În primul rând, hackerii pakistanezi sunt organizați în grupuri, iar cei indieni acționează independent. În al doilea rând, și cel mai important, motivația religioasă a hackerilor din Pakistan, care doresc prin acțiunile lor să lupte pentru cauza fraților și surorilor musulmane din Palestina și Kashmir a fost un factor determinant.
La nivel guvernamental, ambele țări au făcut tot posibilul pentru a reduce „hacktivismul”. Astfel, National Informatics Centre (NIC) din India și Cybercrime Division of Federal Investigation Authority (CDFIA) din Pakistan au luat măsurile necesare pentru a elimina toate formele de manifestare a criminalității informatice, inclusiv de hacking.
Războiul Israel-Liban (2006)
Începând cu anul 2006, în războiul dintre Liban și Israel, în afară de victimele umane rezultate în urma conflictului armat, au fost distruse mii de site-uri web aparținând Israelului și țărilor occidentale datorită unui adevărat asalt al grupurilor de hackeri asupra acestora. Astfel, confruntarea între cele două părți a început să se desfășoare și în spațiul virtual.
"Acesta este cu siguranță cel mai mare protest cibernetic motivat politic pe care l-am văzut vreodată", apreciază Roberto Preatoni, fondator al asociației Zone-H.org și analist în domeniul criminalității informatice bazate pe web. Totodată, din studiile efectuate a rezultat că, în acest război, mai mult de 10.000 site-uri web ale societăților comerciale, agențiilor guvernamentale și militare au fost „victimele” atacurilor cibernetice.
În perioada războiului dintre Israel și Liban din anul 2006, aproape 4000 de site-uri web au fost zilnic ținta unor atacuri cibernetice, numărul acestora crescând de două ori mai mult decât ne arată statisticele pentru perioadele anterioare. Aproximativ 80% din atacurile hacker-ilor implicați au reacționat la conflictul dintre Israel și Hezbollah, acestea fiind îndreptate împotriva site-urilor web ale Israelului, site-urilor americane și a altor state occidentale.
O echipă de tehnicieni de la Zone-H a obținut și a analizat rapoartele referitoare la unele site-uri sabotate creionând un punct de vedere unic asupra activităților protestatarilor cibernetici. Marea majoritate a atacurilor au constat în tehnici de „web defacement” (alterarea conținutului), prin care pe site-urile oficiale au fost publicate mesaje care pledează pentru încetarea războiului.
Deoarece acțiunea comună a unor grupuri de hackeri dispersate (izolate) de a ataca site-urile web în numele unei cauze comune nu mai este de noutate, ciocnirile militare între israelieni și palestinieni, războiul din Irak și conflictul Pakistan-India pentru Kashmir au generat în ultimii ani proteste cibernetice ample. Tehnica de web defacement utilizată de hackeri pentru atingerea obiectivelor acestora, respectiv de a publica mesaje de protest care să fie vizualizate la nivel global, este o formă de mare impact pentru propagandă.
Protestele cibernetice dintre Israel și Liban au produs daune colaterale mult mai mari site-urilor web ale unor afaceri mici care au reprezentat o țintă ușoară pentru alterare conținut (defacement) Totodată, un număr mare de site-uri web bine protejate / securizate au fost ținta atacurilor cibernetice, cum ar fi un site web al NASA, al Universității Berkeley, precum și alte site-uri web militare.
Aceste confruntări cibernetice au avut scopuri limitate, iar rezultatul a fost că numărul site-urilor distruse a fost relativ redus, dar natura și severitatea atacurilor a început să se schimbe după februarie 2006, ca urmare a republicării caricaturilor daneze reprezentându-l pe profetul Mohammed.
JIHADUL electronic
După evenimentele din 11.09.2001 și invazia Afganistanului de către forțele militare conduse de SUA, noua armă a organizației teroriste a devenit INTERNETUL, folosindu-l, inițial, ca mijloc de comunicare sigur și protejat pentru propagandă, recrutare și instructaj terorist. Odată cu recunoașterea eficienței utilizării INTERNETULUI și recrutarea de specialiști în domeniul IT&C, AL-QAEDA a devenit o prezență tot mai activă în spațiul virtual, îmbinând războiul din teren cu Jihadul Electronic. La sfârșitul anului 2005 s-a estimat că existau aproximativ 4.500 de site-uri de factură jihadistă.
Unul dintre principalele obiective ale Jihadului Electronic, evocat frecvent de mujahedini, este de a ajuta Islamul prin atacarea site-urilor Web care aduc ofense Islamului sau care lansează atacuri cibernetice asupra site-urilor islamice. Conform anunțurilor publicate pe site-urile Web, grupările adepte ale jihadului electronic care operează în spațiul cibernetic sunt motivate de convingeri de ordin ideologic, în contrast cu marea majoritate a hackerilor. Mujahedinii dezaprobă acțiunile hackerilor care „sunt orientate spre sabotaj sau sunt motivate din dorința de publicitate”. Aceștia se autoproclamă „luptători ai jihadului” care slujesc Islamul și promovează monoteismul („tawhid”) prin intermediul INERNETULUI. Cel mai important aspect este faptul că mujahedinii consideră spațiul cibernetic ca fiind un câmp de luptă virtual prin care pot obține supremația asupra lumii occidentale.
În urmă cu câțiva ani, site-urile Web islamiste radicale au constituit o evidență clară a faptului că hackerii islamiști nu operau izolat, aceștia efectuând atacuri coordonate asupra site-urilor Web. Așa cum reiese din analiza informațiilor publicate pe site-urile islamiste radicale, coordonarea atacurilor este realizată de grupuri dedicate Jihadului electronic. Au fost identificate șase grupuri principale: Hackboy, Ansar Al-Jihad Lil-Jihad Al-Electroni, Munazamat Fursan Al-Jihad Al-Electroni, Majmu'at Al-Jihad Al-Electroni, Majma' Al-Haker Al-Muslim și Inhiyar Al-Dolar. Aceste grupări, cu excepția Munazamat Fursan Al-Jihad și Inhiyar Al-Dolar, dețin site-uri proprii prin intermediul cărora recrutează voluntari pentru a participa la atacuri electronice, menținerea contactelor cu alte persoane angajate în Jihadul electronic, coordonarea atacurilor și facilitarea realizării discuțiilor (chat) private / sub anonimat între membrii grupărilor.
Preocupările pentru perfecționarea modului de organizare a grupărilor implicate în Jihadul electronic s-a materializat prin inițiativa lansată în 03 ianuarie 2007 prin care pe site-urile islamiste a fost postat un anunț prin care mujahedinii care operează în INTERNET erau invitați să semneze un pact denumit „Hilf Al-Mujaharin” (Pactul imigranților). Conform acestui pact, aceștia sunt de acord „să fie uniți sub steagul Brigăzilor Imigranților în scopul promovării războiului cibernetic” și „să jure loialitate liderului”. Totodată, aceștia jură să „urmeze necondiționat toate instrucțiunile liderului, fără contestarea acestuia, să-și utilizeze toată energia pentru desfășurarea jihadului în mass-media și să lanseze permanent atacuri asupra site-urilor Web care sunt împotriva Islamului și a musulmanilor…”.
În 11 noiembrie 2007 nu a fost pentru prima oară când s-a declarat „Jihadul electronic”, astfel, mai pot fi amintite și alte evenimente de aceeași natură. Pe 26 august 2004, hackerii islamici au declarat pentru prima oară „Jihadul electronic” împotriva Israelului. Și înainte de această dată au avut loc atacuri cibernetice islamiste radicale însă acestea nu au avut ca efect decât alterarea conținutului unor site-uri web (web defacement). De la această dată, datorită unei propagande excesive, fenomenul a luat amploare, însă efectele atacurilor au fost nesemnificative. Începând cu 1 noiembrie 2006, islamiștii radicali își concentrează eforturile pentru influențarea publicului și pentru protejarea intereselor proprii, recurgând la două metode:
– atacul asupra site-urilor web care afișează mesaje cu caracter anti-islamic utilizând programe ale comunității hackerilor;
– utilizarea unor site-uri web în care își afișează propriile mesaje și a unor aplicații puse la dispoziție de hackerii islamiști.
În primul caz, atacurile erau în principal de tip DoS sau defacement. Atacul asupra site-urilor web Jawa Report (mypetjawa.blogspot.com) și Aarons Rantblog (blackflag.wordpress.com), s-a efectuat cu două unelte de tip DoS ce au fost puse la dispoziția doritorilor prin intermediul site-ului Al-jinan.org.
Pe 1 decembrie 2006, un grup de islamiști, asociat cu AL-QAEDA, a anunțat un atac masiv asupra serviciilor financiare din SUA. Acest mesaj a avut ca efect crearea unei echipe în cadrul US Computer Emergency Readiness Team, ce a avut ca principal rol anunțarea tuturor serviciilor financiare asupra pericolului și realizarea unui plan de contramăsuri defensive. Dar, încă odată, se pare că semnalul a fost fals.
Conflictul cibernetic din Estonia (2007)
Începând cu data de 26.04.2007, ora 22.00, când a fost depistate primele intruziuni, principalele site-uri Web guvernamentale ale Estoniei, precum și unele private au fost ținta unor acțiuni cu atacuri de tip „Denial of Services”, prin care un site țintă este bombardat cu atât de multe cereri de informații încât acesta se blochează și trebuie închis.
Conflictul electronic a început datorită neînțelegerilor apărute între Estonia și Rusia generate de mutarea monumentului soldatului rus din centrul capitalei Tallin, într-un cimitir militar. În economia Estoniei, IT-ul joacă un rol foarte important, precum gazul și petrolul în economia Rusiei. Pe 29 aprilie, după două nopți de dezordine, o mulțime de mesaje aleatoare au fost trimise pe serverele de e-mail ale Parlamentului, rezultatul fiind blocarea acestora. Un alt atac a constat în acțiuni de tip „defacement”, hackerii postând pe site-ul web al Partidului Reformator o scrisoare falsă cu scuze de la primul ministru Andrus Ansip.
La studierea acestui atac au participat 300 specialiști IT estonieni din cadrul companiilor furnizoare de servicii de INTERNET, băncilor, agențiilor guvernamentale și poliției. De asemenea, s-au stabilit legături cu experți din Finlanda, Germania, Slovenia și alte țări cerându-se ajutorul pentru a depista și bloca adresele de INTERNET suspicioase și oprirea traficului pentru calculatoarele ale căror interogări erau din afara granițelor țării.
La începutul atacurilor cibernetice a fost folosită tehnica cunoscută ca „Distributed Denial of Services – DDoS”, prin bombardarea site-urilor cu date, atacatorii afectând disponibilitatea serviciilor serverelor din țară, ruterelor, switch-urilor și dispozitivelor speciale care direcționează traficul în rețea.
Prin atacuri de tip DDoS serviciile furnizate de un server devin indisponibile pentru utilizatori, prin bombardarea serverului cu cereri de acces false, venite din partea unor calculatoare aflate sub controlul unor persoane rău-intenționate. Servere-le devin ocupate sau se blochează, fiind temporar inaccesibile pentru majoritatea utilizatorilor. De regulă, calculatoarele care iau parte la acest gen de atac o fac fără știrea proprietarilor, fiind infectate cu aplicații de tip virus / worm, cai troieni, backdoors.
Pentru a amplifica atacul, hackerii au infiltrat în calculatoare din întreaga lume un software cunoscut ca „bots”, grupându-le într-o rețea virtuală pentru a îndeplini această incursiune. Într-o primă fază, atacatorii au trimis o explozie uriașă de date pentru a determina capacitatea rețelei. Apoi, câteva ore mai târziu, date din multiple surse au fost introduse în sisteme, atingând rapid limita superioară de încărcare a ruterelor și switch-urilor.
Aproape de sfârșitul primei săptămâni, estonienii, cu ajutorul autorităților din alte țări, au devenit experți în filtrarea datelor rău intenționate. În ziua de 9 Mai, ziua victoriei asupra armatei naziste, pe INTERNET erau răspândite planuri pentru marcarea ocaziei prin oprirea rețelelor estoniene.
Alte atacuri au provenit din partea așa numitelor „botnets”, care au fost responsabile pentru 99,9% din toate atacurile DDoS – lanțuri de calculatoare care au fost infectate cu viruși care preiau controlul acestora și lansează atacuri fără cunoștința proprietarilor. Aceste botnet-uri au fost create sau, în unele cazuri, chiar cumpărate, astfel că atacurile de acest gen nu au venit numai din Rusia, ele putând fi rutate și prin țări membre NATO. Pentru a amplifica impactul atacului lor, atacatorii au folosit o rețea gigantică de bots (computerele infectate), formată din mai mult de un milion de computere.
În general, termenul de „bot” se referă la un computer compromis, infectat cu software nociv, care poate fi controlat de la distanță. Mai multe astfel de calculatoare sunt grupate în lanțuri și pot comunica între ele printr-un nod de comandă și control ce se poate muta de pe un computer compromis pe un altul pentru a evita detectarea. Odată ce un calculator infectat este transformat într-un „bot”, acesta poate fi folosit pentru un atac sau poate fi gazda unor scripturi sau aplicații de tip „keylogger” prin intermediul cărora se înregistrează toate activitățile desfășurate pe / cu ajutorul computerului sau „sniffer” (monitorizarea traficului din rețea, furt de date și informații, foarte greu de detectat) care să le permită încărcarea și descărcarea informațiilor pe și de pe anumite calculatoare vizate din rețea. Se poate, de asemenea, să fie împiedicată actualizarea produselor antivirus cu ultimele semnături de viruși, pot fi redirecționate serverele DNS (Domain Name System) către site-uri de tip „phishing” sau pot fi folosite pentru trimiterea de Spam-uri (97% din spam-urile livrate zilnic având la bază această cauză).
În dimineața zilei de 9 mai, traficul a depășit de o mie de ori fluxul normal, iar pe 10 mai cea mai mare bancă din Estonia a fost forțată să-și oprească serviciile on-line mai mult de o oră, cu pierderi estimate de peste un milion de dolari. În final, în după amiaza zilei de 10 mai atacurile de tip „botnets” au încetat brusc. Cele mai intense 10 atacuri au generat un flux de aproximativ 90 de megabiți pe secundă în rețelele Estoniei, cele mai intense dintre acestea durând mai mult de 10 ore fiecare, echivalent cu descărcarea întregului sistem de operare Windows XP la fiecare 6 secunde timp de 10 ore. Ultimul atac major a fost pe 18 mai, ulterior situația fiind luată sub control, dar rămânând milioane de log-uri (fișiere cu înregistrări de audit) ale serverelor atacate și date ce au fost analizate pentru a descoperi cum au decurs atacurile.
După analiza adreselor IP, Estonia a comunicat că există cereri, înregistrate în log-urile unui server, de la calculatoare legate la rețeaua guvernamentală a Rusiei. Pe perioada conflictului aceștia chiar au postat anunțuri în limba rusă pe forumuri prin care se dau informații exacte despre modul în care se pot desfășura atacuri de tip „Denial of Services” asupra site-urilor estoniene, precum și liste complete cu site-uri Web estoniene care puteau fi atacate. Guvernul Rusiei a negat permanent acuzațiile formulate de Estonia cu privire la atacurile cibernetice. Controversa privind originea atacurilor a fost un subiect de discuție pe timpul summit-ului UE-Rusia și a fost un punct fierbinte pe agenda de stagnare a procesului de îmbunătățire a relațiilor între cele două părți.
Deși atacurile provocate asupra Estoniei nu au afectat sistemele NATO operaționale din această țară, NATO a trimis doi experți în război electronic pentru a sprijini Estonia în găsirea unor soluții eficiente de reacție și prevenire a extinderii atacurilor asupra sistemelor Alianței Nord-Atlantice. Trebuie menționat că, din punct de vedere al legislației internaționale, NATO prin intermediul NCIRC nu poate efectua acțiuni reactive în acest caz. Administratorii site-urilor afectate din Estonia au limitat accesul – vizitarea din afara țării – ca măsură temporară de protecție, până în momentul în care au putut instala filtre care să blocheze doar calculatoarele atacatorilor.
Succesul apărării organizațiilor împotriva propriilor calculatoare, transformate în „bots”, depinde de nivelul de complexitate a software-ului nociv folosit pentru crearea acestora și abilitățile de evitare a detectării, o armă foarte eficace fiind Intrusion Prevention System (IPS) implementat cu partea specializată de hardware.
Companiile trebuie să-și instaleze ultimele patch-uri de securitate și să-și mențină produsele antivirus actualizate la zi, să monitorizeze atent nu numai traficul de intrare, ci și traficul de ieșire din rețea, avându-se în vedere software-ul nociv depistat care poate fi folosit pentru a recruta „bots” suplimentare. Metoda cea mai uzuală, când într-o rețea au loc atacuri de tip „botnet”, este de a opri traficul către oricare server țintă, aceasta fiind mai mult o cale de apărare a organizațiilor afectate, decât de rezolvare a problemei. Mai eficientă, dar și mai dificilă este crearea cadrului legal în vederea cooperării între victimele atacurilor de tip „botnet”.
Atacurile cibernetice au fost în ultimul timp asociate cu starea de insecuritate din Orientul mijlociu și cu conflictele militare din diverse regiuni ale lumii. Mulți oameni de știință, cercetători și jurnaliști au susținut, invocând diverse mărturii ale unor experți, că sunt indicii că există unele țări care finanțează programe în domeniul războiului informațional ofensiv. S-a stabilit necesitatea unei reglementări internaționale, care să definească mai precis conflictele generate de atacurile cibernetice și să ofere baza juridică pentru acțiuni comune de reacție în cazul unui astfel de atac asupra unei țări. Aceasta poate fi elaborată printr-un efort comun, obligând furnizorii de servicii INTERNET din întreaga lume să coopereze cu agențiile guvernamentale în vederea blocării atacurilor DDoS venite de la abonații acestora.
În acest sens se fac demersuri importante la nivelul ONU, OECD, Uniunii Europene sau al Alianței Nord-Atlantice, pentru construirea unui sistem de reglementări unitar și coerent în acest domeniu.
Războiul din Georgia (2008)
În vara anului 2008, în cadrul conflictului ruso-georgian nu s-au derulat numai atacuri convenționale pe calea aerului, terestru și maritim, dar și în spațiul cibernetic, demonstrând încă o dată că atacurile cibernetice sunt o formă de război în secolul XXI. Noile tehnologii informatice și abilitățile on-line sunt acum disponibile fără costuri în spațiul cibernetic pentru guvernele cu intenții ostile, crima organizată și organizațiile teroriste și pot fi utilizate pentru a destabiliza economia unei țări și infrastructurile vitale pentru securitatea acestora. Acțiunea militară din Georgia a fost, într-o anumită măsură, precedată de o serie de atacuri cibernetice, care par să se fi dezvoltat ca parte integrantă a atacului armat, din data de 7 august 2008.
Conform analiștilor din domeniu au rezultat următoarele aspecte referitoare la acest conflict:
– a existat o sincronizare a atacului cibernetic cu operațiunile terestre, maritime și aeriene desfășurate;
– atacul cibernetic a fost planificat ca parte integrantă a atacului armat;
– atacurile cibernetice au realizat și unele misiuni care ar fi trebuit îndeplinite de aeronavele militare sau de artilerie;
– unii specialiști din cadrul Institutului pentru Cercetarea Consecințelor Cyber din SUA consideră că multe capabilități de atac cibernetic au fost dezvoltate înainte de război de către specialiști în război cibernetic, cu alte cuvinte aceste capacități ofensive au fost pregătite și utilizate în completarea acțiunilor militare propriu-zise;
– atacurile cibernetice împotriva Georgiei s-au bazat pe tehnici mai rafinate decât cele utilizate împotriva Estoniei în primăvara anului 2007.
Cele mai multe dintre atacuri au fost de un tip Distributed Denial of Service (DDoS) la fel ca și cele din Estonia. În acest caz, cele mai multe dintre botnet-uri folosite împotriva Georgiei au fost cele care erau folosite, în mod curent, pentru activități infracționale. Mulți specialiști suspectează faptul că guvernul rus a coordonat atacurile cibernetice cu ajutorul unor orgnizații ale crimei organizate din Rusia.
Un alt instrument folosit a constat în postarea pe site-uri web a unor instrucțiuni pentru persoanele cu abilități de utilizare a calculatorului limitate, prin care acestea ar fi putut contribui la eforturile atacurilor cibernetice. Acest gen de acțiuni au fost atât de productive încât, în afară de cele 11 site-uri web care au fost ținta crimei organizate prin intermediul botnet-urilor, cel puțin alte 43 de site-uri web vizate au fost blocate sau închise prin această metodă. Șefii grupurilor criminale au operat de la distanță, profilându-se o ierarhie bine stabilită a agenților care au produs atacurile cibernetice, astfel:
– „soldații" la vârful piramidei – planificatori, informaticieni și ingineri. Experții și analiștii internaționali au acuzat în mod direct Moscova pentru sponsorizarea atacurilor avându-se în vedere că amploarea unei astfel de acțiuni nu putea fi susținută decât cu resurse semnificative care puteau fi asigurate doar de un stat-sponsor;
– „mercenarii" la nivelul următor – constituiți în organizații criminale plătite pentru a realiza anumite elemente de producere a atacurilor. Au existat argumente puternice privind implicarea fostei organizații criminale autointitulată „Russian Business Network”;
– „voluntarii"- persoane fizice cu PC-uri care au fost recrutați prin intermediul rețelelor sociale pentru a spori atacurile.
S-a constatat că multe dintre atacurile cibernetice au corelate cu operațiunile militare, sugerând o anumită coordonare între ciocnirile armate și atacatorii cibernetici. Există indicii că script-urile necesare atacurilor cibernetice au fost scrise înaintea atacurilor. Totodată, înregistrarea de noi domenii și realizarea site-urilor web pentru lansarea atacurilor au avut loc în avans.
Atacurile cibernetice au avut ca efecte majore perturbarea, pentru câteva zile a funcționării sistemelor de comunicații ale guvernului georgian, tranzacțiilor financiare, conexiunilor INTERNET și comunicațiilor telefonice celulare. Atacul din Georgia a reprezentat o nouă etapă a dezvoltării războiului cibernetic. Dacă în urmă cu câțiva ani, ideea războiului cibernetic era contestată de mulți specialiști, atacul cibernetic asupra Georgiei a demonstrat că, în prezent, această formă de confruntare a devenit realitate și oricând orice țară se poate confrunta cu atacuri cibernetice. Pentru a fi relevante pentru noua realitate, țările și organizațiile internaționale trebuie să se concentreze mai mult pe crearea de mecanisme de prevenire a războiului cibernetic.
Atacurile cibernetice pot fi asociate cu zonele de conflict sau cu acțiunile ostile de culegere neautorizată de date confidențiale. Motivația poate fi atât militară cât și politco-ideologică, psihologică sau pur și simplu economică. Atacurile din spațiul cibernetic se pot desfășura independent sau sincronizat cu alte dimensiuni ale confruntării sau evenimentelor.
3.1.2 Conceptele de război și apărare în spațiul cibernetic
Război cibernetic
Dacă admitem că spațiul cibernetic este un spațiu în care poate avea loc o confruntare complexă, cu importanți actori statali sau non-statali, ca în cazul terorismului internațional sau criminalității transfrontaliere, atunci conflictul din mediul cibernetic, sau războiul cibernetic este un fenomen aflat la confluența mai multor forme ale confruntării dintre acești actori, așa cum este prezentat în figura nr. 3.1., astfel:
– război imagologic (mediatic);
– războiul psihologic;
– război informații / contrainformații;
– terorism cibernetic;
– război bazat pe rețea;
– război de comandă și control;
– război electronic;
– criminalitate informatică etc.
Figura 3.1. Interacțiunea războiului cibernetic cu alte forme
ale războiului informațional
Astfel, în spațiul virtual, în cadrul războiului informațional putem defini, în funcție de stările de pace, criză sau război, două faze ale confruntării cibernetice:
– război în INTERNET, pe timp de pace și precriză;
– război cibernetic, pe timp de criză, război și postconflict.
Dar există într-adevăr război cibernetic sau este doar o născocire a teoreticienilor sau a unor organisme militare în acțiunea lor de a atrage mereu noi resurse financiare pentru înzestrare? NATO spune că războiul cibernetic prezintă o amenințare la fel de gravă ca un atac de rachetă. Această îngrijorare este larg răspândită după loviturile hackerilor în cadrul așa-numitei operații „Titan Rain” și odată cu constatarea că agresiunile „online" provocate de state ale lumii este în creștere. Astfel la o conferință din Londra, s-a spus că spionajul și terorismul „online" reprezintă acum unele din cele mai grave amenințări pentru securitatea globală, iar NATO tratează amenințarea războiului cibernetic la fel de serios ca riscul unui atac cu rachetă. Cu aceeași ocazie, Suleyman Anil, șeful centrului de răspuns pentru incidente de securitate în rețele de calculatoare, afirma: „Apărarea cibernetică este acum menționată la cele mai înalte niveluri împreună cu apărarea anti-rachetă și securitatea energetică. Am văzut din ce în ce mai multe atacuri de acest fel și nu credem că această problemă va dispărea în curând. Dacă nu sunt luate măsuri la nivel global, poate deveni o problemă mondială”.
Există însă și specialiști în domeniu care nu sunt de acord că nivelul acestor amenințări în spațiul cibernetic este așa de ridicat. Astfel, Kevin Poulsen, un fost hacker care a devenit ulterior editor la revista Wired, a acuzat politicienii și media că exagerează, creând un factor de frică. „În unele feluri, atacurile îndreptate împotriva Estoniei au fost mai puțin sofisticate decât războaiele cibernetice de dinainte – cele dintre hackerii israelieni și palestinieni, India și Pakistan, China și Statele Unite”, a precizat el. „Chiar și atacurile menționate anterior nu au ajuns până la stadiul de terorism cibernetic, cel puțin așa cum l-au definit experții. Sunt sceptic că adevăratul război cibernetic, sau terorism cibernetic, o să se întâmple vreodată”.
Studiul mijloacelor și metodelor de atac informatic, precum și identificarea scopurilor acestor acțiuni ofensive ne permite analiza și caracterizarea amenințărilor din spațiul cibernetic, pornind de la domeniile amenințărilor clasice TESSO proiectate în spațiul cibernetic.
Printre principalele amenințări se numără terorismul cibernetic, în care atacatorii încearcă închiderea rețelelor de comunicare „online" sau folosesc INTERNET-ul pentru a ataca instituții guvernamentale. Deși unii au avertizat asupra acestui lucru încă din anii 80, doar în ultimii ani această problemă a intrat sub atenția conducerii țărilor dezvoltate. De asemenea, Suleyman Anil avertizează că unele țări ar putea sponsoriza atacuri lansate pe INTERNET asupra membrilor NATO: „Sunt țări care nu lucrează doar la capabilitățile de apărare, ci au și capabilități de atac”.
David Davis, un oficial britanic responsabil cu combaterea criminalității, a afirmat că „Criminalitatea cibernetică este o amenințare în creștere pentru oamenii de rând și societățile comerciale și pentru sistemul de guvernământ”.
Perspectiva unui ,,război online" a fost adusă în atenție după o serie de atacuri internaționale de anvergură. În 2007 a fost descoperit faptul că un grup de hackeri, despre care se crede că erau de pe teritoriul Chinei, au infiltrat rețelele de calculatoare de la Pentagon și au lansat atacuri asupra rețelelor guvernamentale din Marea Britanie, Germania, India și Australia. Oficiali ai Statelor Unite, care au denumit grupul Titan Rain, i-au acuzat că operează cu sprijinul unor oficiali din Beijing. Atacul care a avut loc în Estonia, țară care are unele din cele mai ,,high-tech" instituții de guvernământ, a fost atribuit unor hackeri care ar fi fost sprijiniți de unele comunități de pe teritoriul rus. Totuși, până acum a fost arestat doar un adolescent estonian în legătură cu acest incident.
Apărarea cibernetică
În ciuda lipsei dovezilor concrete asupra naturii or identității teroriștilor cibernetici, amenințarea este considerată destul de serioasă astfel încât Casa Albă să aloce 6 miliarde de dolari în anul 2008 pentru întărirea sistemelor sale împotriva atacurilor. Aceste planuri au fost caracterizate de către critici ca o potențială încălcare a libertăților civile. Secretarul de stat pentru „Homeland Security”, Michael Chertoff a declarat că securitatea informațională este „un domeniu în care avem multă treabă de făcut”.
Odată cu apariția războiului cibernetic, ca răspuns imediat la agresiunile informatice, specialiștii au căutat să definească noi soluții de apărare cibernetică, care s-au concretizat într-un set complex de acțiuni ofensive și defensive. În cadrul acestuia, cel mai bine s-au dezvoltat și implementat atât la nivelul societății civile, cât și în domeniul militar acțiunile defensive pentru răspuns la incidentele de securitate IT, desfășurate de structuri specializate cunoscute sub denumirea de Computer Emergency Response Team (CERT).
În formularea strategiilor de apărare cibernetică trebuie să se aibă în vedere următoarele aspecte:
– multidisciplinaritatea domeniului INFOSEC: abordează aspecte privind securitatea personalului, fizică și a documentelor, securitatea IT și cea industrială;
– capacitatea de reacție să fie aptă să răspundă la cele mai diverse și imprevizibile forme de agresiune cibernetică;
– apărarea cibernetică reprezintă și o formă complementară de cooperare între persoane, organizații, alianțe și state pentru combaterea criminalității cibernetice.
Apărarea împotriva atacurilor cibernetice este deosebit de complexă și presupune mult mai mult decât folosirea unor proceduri simple sau unui sistem de protecție singular. Ca răspuns imediat la agresiunile informatice, specialiștii au căutat să definească noi soluții de apărare cibernetică, care s-au concretizat într-un set complex de acțiuni ofensive și defensive.
Dacă acțiunile ofensive țin mai mult de domeniul militar, este recunoscut faptul că măsurile defensive sunt rezultatul unei colaborări eficiente a societății civile cu organizațiile militare. Astfel, la ora actuală se poate afirma că cel mai bine s-au dezvoltat și implementat atât la nivelul societății civile, cât și în domeniul militar, acțiunile defensive pentru răspuns la incidentele de securitate IT. În prezent, NATO și statele membre sunt expuse riscului de atacuri cibernetice care pot afecta activele lor fizice sau informaționale, acțiunile acestora derulate în plan internațional sau imaginea publică a acestora. Astfel de atacuri se pot desfășura în scopul dezinformării, spionajului electronic pentru obținerea avantajului competitiv global, modificării clandestine a datelor sensibile din cadrul teatrelor de operații sau pentru alterarea sau întreruperea funcționării unor infrastructuri critice naționale, cum ar fi cele de energie, apă, combustibil, comunicații, bancare sau transport, care sunt esențiale pentru funcționarea societății și economiei. În plan militar acestea pot urmări sabotajul, subversiunea, spionajul sau terorismul și sunt concretizate în exploatarea / provocarea de scurgeri de informații, împiedicarea desfășurării misiunilor, provocarea unor anomalii în cursul de desfășurare al operațiilor etc.
De regulă, astfel de acte pot fi motivate de obținerea unor câștiguri ilicite sau a unor avantaje politice și pot fi comise de persoane, organizații sau state care au capabilitatea de a executa, induce, transporta, transmite sau susține o amenințare, desfășurând acțiuni și folosind procese automate pentru a sprijini / dezvolta această capabilitate. În funcție de actorii implicați, precum și de motivația lor, atacurile cibernetice pot fi categorisite drept acte de criminalitate informatică, terorism cibernetic sau război cibernetic.
Tehnologia informației și comunicațiilor constituie o parte tot mai importantă din viața noastră, și de aceea sistemele și serviciile au devenit vitale pentru economiile și societățile noastre. Deși autoritățile guvernamentale au recunoscut gravitatea teoretică a amenințărilor generate de atacurile cibernetice asupra acestor infrastructuri de peste un deceniu, evenimentele din ultimii ani au demonstrat că atacurile cibernetice pot provoca reale disfuncționalități economice, politice și militare, fiind necesar ca această problemă să fie abordată urgent. Pe scurt, infrastructurile noastre digitale au devenit active naționale de nivel strategic, iar acum sunt expuse unor riscuri majore de securitate. Natura expediționară a misiunilor armatelor moderne, desfășurarea operațiunilor pe baza noii doctrine bazate pe capabilitățile facilitate de rețea NEC – Network Enabled Capability, pentru a permite interoperabilitatea coalițiilor, aduce o nouă eră a amenințărilor și provocărilor la adresa securității operațiilor militare.
Caracteristicile atacurilor din spațiul cibernetic și cele ale operațiilor militare asimetrice sunt foarte asemănătoare:
– diversitatea motivațiilor și tacticilor atacatorilor;
– resurse disproporționate între atacatori și „forțele de securitate”;
– abilitatea atacatorilor să aleagă timpul și locul pentru un atac și să se ascundă apoi într-o comunitate virtuală anonimă.
În acest context, utilizarea Sistemelor Informatice și de Comunicații (SIC) distribuite pe arii geografice extinse reprezintă potențiale uși deschise pentru o gamă diversă de amenințări cibernetice. Conștientizând aceste pericole, NATO a întreprins o serie de măsuri atât la nivel de reglementare, cât și tehnic, pentru prevenirea, detectarea și reacția rapidă la atacurile cibernetice asupra SIC-urilor proprii.
Prima încercare de definire a strategiilor apărării cibernetice a avut loc la sfârșitul anului 2001, după prezentarea raportului „Lecțiile învățate privind aplicarea INFOSEC” în războiul din provincia KOSOVO. Acestea au fost identificate astfel:
1) atacurile cibernetice acompaniază atacurile fizice;
2) atacurile cibernetice cresc în volum, nivel de sofisticare și capacitate de coordonare;
3) atacatorii din mediul cibernetic sunt atrași de țintele de mare valoare militară, politică, economică sau socială
Astfel, raportul stabilește că principalii atacatori din spațiul cibernetic asupra SUA și națiunilor aliate sunt: teroriștii, statele implicate în conflict, protestatarii anti SUA și teribiliștii în căutare de notorietate.
Au fost identificate principalele scopuri ale atacurilor în spațiul cibernetic, astfel:
1) alterarea conținutului site-urilor din SUA și țările aliate și desfășurarea acțiunilor de propagandă și dezinformare;
2) interzicerea accesului legitim la rețelele proprii de calculatoare ale SUA;
3) intruziuni neautorizate în site-uri ale SUA sau aliaților cu efecte potențiale negative asupra bunei funcționări a unor infrastructuri critice.
Schimbarea produsă după acest raport a constat în identificarea vulnerabilităților, stabilirea priorităților de reducere / eliminare a acestora, precum și în crearea unei structuri NATO de răspuns la incidente informatice în vederea creșterii capacității de apărare a Alianței Nord-Atlantice împotriva atacurilor cibernetice.
3.1.3. Politici și strategii NATO în domeniul apărării cibernetice
Summit-ul de la Praga din 2002 a marcat prima sarcină a NATO cu privire la activitățile în domeniul apărării cibernetice. La acest summit, liderii NATO au aprobat punerea în aplicare a unui Program de apărare cibernetică.
Bazându-se pe realizările tehnice puse în aplicare în urma întâlnirii de la Praga, liderii aliați au recunoscut la Summit-ul NATO de la Riga în noiembrie 2006, necesitatea de a proteja SIC-urile pe termen lung. Un atac cibernetic major asupra instituțiilor publice și private din Estonia, în aprilie și mai 2007, a determinat NATO să analizeze cu și mai mare urgență și atenție domeniul apărării cibernetice, în ceea ce privește capabilitățile de care dispune și modul de utilizare a acestora. Până la atacurile cibernetice asupra Estoniei, în primăvara anului 2007, acțiunile NATO s-au focalizat, în primul rând, pentru protejarea sistemelor proprii, iar eforturile pentru a asigura suport aliaților nu au fost prioritare. Aceste eforturi, într-o mare măsură, au constat în protejarea canalelor de comunicații prin sisteme criptate autorizate de către autoritatea responsabilă din NATO și implementarea unui sistem automatizat pentru managementul securității SIC destinate informațiilor clasificate.
Atacurile asupra Estoniei, care au fost efectuate prin intermediul INTERNET-ului și au avut ca țintă site-uri publice, nu au reprezentat o nouă amenințare la adresa acestora, însă nici nu au fost luate măsuri de protejare pentru evitarea acestora. Aceste acțiuni au servit ca un „memento” al vulnerabilităților la acte ostile ale sistemelor guvernamentale deschise spre INTERNET ale societăților moderne. În acest fel, atacurile au demonstrat necesitatea adoptării unei politici de apărare cibernetică în cadrul Alianței Nord-Atlantice care ar trebui să abordeze cooperarea cu națiunile membre pentru protejarea nu numai a sistemelor clasificate securizate prin mecanisme de criptare, ci și sistemele critice de comunicare.
La reuniunea miniștrilor apărării din statele membre NATO desfășurată în 14 iunie 2007 s-a convenit că domeniul apărării cibernetice este prioritar și trebuie urgentate măsurile de implementare a conceptului. Ca urmare, NATO a efectuat o evaluare în detaliu a abordării sale a domeniului apărării cibernetice care s-a finalizat, în octombrie 2007, printr-un raport al miniștrilor apărării. Raportul a recomandat roluri specifice pentru Alianța Nord-Atlantică, precum și punerea în aplicare a unui număr de noi măsuri ce vizează îmbunătățirea protecției împotriva atacurilor cibernetice. Raportul a cerut, de asemenea, dezvoltarea unei politici de apărare cibernetică a NATO. Această politică a fost convenită la începutul anului 2008 și stabilește principiile de bază și oferă direcția către organismele civile și militare ale NATO în scopul asigurării unei abordări comune și coordonate în domeniul apărării cibernetice, precum și acțiunile de răspuns la atacuri cibernetice. Aceasta conține, de asemenea, recomandări pentru fiecare țară NATO privind protecția SIC naționale. Politica NATO în domeniul apărării cibernetice a fost sub procedură „silence” până în ianuarie 2008, iar în aprilie a fost aprobată de șefii de stat și de guvern cu ocazia desfășurării Summit-ului de la București. Organismele și comitetele militare și tehnice relevante ale Alianței, precum și individual, fiecare stat membru, sunt în prezent angajate în acțiuni pentru punerea în aplicare a politicii. În conformitate cu direcțiile de acțiune stabilite în politică a fost înființat în Estonia un Centru de excelență al NATO pentru cooperarea în domeniul apărării cibernetice, iar Comitetul Militar al NATO a aprobat Concepția NATO în domeniul apărării cibernetice care definește programe de acțiune concrete pentru punerea în practică a politicii globale.
Organisme și instituții NATO pentru apărarea cibernetică
Consiliul Nord-Atlantic al NATO este organismul politic de luare a deciziilor, acesta deținând controlul total asupra politicilor NATO și activitățile cu privire la domeniul apărării cibernetice. În scopul coordonării acțiunilor împotriva posibilelor atacuri asupra infrastructurilor critice ale NATO și națiunilor membre, în martie 2009, a fost înființată Autoritatea pentru Managementul Apărării Cibernetice (Cyber Defence Management Authority – CDMA) care are sediul în Bruxelles. Capabilitățile NATO de alertă și răspuns la atacurile cibernetice vor coopera cu elemente naționale și din sectorul privat sub coordonarea CDMA.
Această nouă organizație a NATO are responsabilitatea de a analiza și coordona capabilitățile în domeniul apărării cibernetice, abordând în special amenințările de tip „cyber” la adresa NATO, gestionarea riscurilor de securitate, evaluarea vulnerabilităților și asigurarea condițiilor de punere în practică a planurilor de continuitate în operare în situații de urgență a SIC-urilor care sunt critice pentru misiunile Alianței Nord-Atlantică. CDMA are responsabilitatea exclusivă de a acționa ca o autoritate a NATO la nivel de management în domeniul apărării cibernetice, precum și de a iniția și coordona imediat acțiuni, după caz. Pentru prima dată, Alianța Nord-Atlantică se adresează domeniului apărării cibernetice dintr-o perspectivă cu adevărat corporativă.
În cazul unor atacuri cibernetice asupra sistemelor critice ale membrilor Alianței, la solicitarea acestora, pe baza unui Acord de Înțelegere (Memorandum of Understanding – MoU), CDMA va asigura suport în vederea realizării unui răspuns oportun și eficient la apariția unor astfel de acțiuni ostile. De asemenea, CDMA are responsabilitatea de a elabora standarde și proceduri pentru structurile NATO și organizațiile naționale de tip CERT în scopul prevenirii, detectării și descurajării atacurilor cibernetice asupra sistemelor proprii.
Agenția pentru Comandă, Control și Consultare (NATO’s Consultation, Control and Command Agency – NC3A) și autoritățile militare ale NATO (NATO Military Authorities – NMA) sunt structurile care au responsabilitatea de aplicare a noii politici.
O altă structură din cadrul NATO cu responsabilități în domeniul apărării cibernetice este Agenția pentru Sisteme Informatice și de Comunicații „Communication and Information Systems Services Agency – NCSA). Conform gl.lt. Ulrich Wolf, director al acestei agenții, NCSA a reprezentat factorul conducător pentru îmbunătățirea capabilităților operaționale ale NATO în domeniul apărării cibernetice, concomitent cu asigurarea suportului de specialitate atât la nivel politic, cât și strategic.
Rolul NCSA este acela de a „asigura furnizarea de servicii informatice și de comunicații securizate „end-to-end” necesare triadei Consultare, Comandă și Control (C3) folosind SIC-urile în modul cel mai rentabil". De aceste servicii beneficiază peste 100.000 de utilizatori din America de Nord, Europa și Asia, atât în teatrele de operații, cât și la comandamentele NATO, fiind asigurată o mobilitate ridicată de utilizare a acestora. NCSA sprijină operațiile curente în Afganistan și Balcani.
Centrul Tehnic al NCIRC are un rol-cheie în desfășurarea cu mijloace și proceduri specifice a acțiunilor pentru asigurarea unui răspuns oportun și eficient la orice tip de agresiune cibernetică împotriva Alianței Nord-Atlantică. Cooperarea centrului cu NCSA este vitală pentru protejarea infrastructurilor critice ale Alianței Nord-Atlantică. Centrul Tehnic pentru Securitatea Informațională a NATO (Information Security Technical Centre – NISTC) este autoritatea operațională a NCSA pentru asigurarea securității informațiilor și este structura responsabilă pentru furnizarea de comunicații și servicii informatice securizate în cadrul SIC-urilor. Centrul combină cele două discipline de securitate a informațiilor: securitatea comunicațiilor și securitatea calculatoarelor în scopul blocării / interzicerii accesului neautorizat la informațiile vehiculate în rețelele de telecomunicații și calculatoare ale NATO.
Centrul Tehnic al NCIRC asigură o gamă de servicii informatice foarte specializate, inclusiv detectarea incidentelor, răspunsul și recuperarea datelor și SIC-urilor afectate de atacuri cibernetice. Aceste servicii sunt asigurate pentru toate SIC-urile Alianței Nord-Atlantică indiferent de locul de dispunere în care acestea funcționează și sunt disponibile atât pe timp de pace, cât și în cadrul operațiilor militare.
Centrul de excelență pentru cooperare în domeniul apărării cibernetice
Având în vedere „lecțiile învățate” și noile amenințări din domeniul cibernetic, NATO a sprijinit, începând cu anul 2006, inițiativa Estoniei de a înființa Centrul de Excelență pentru Cooperare în domeniul Apărării Cibernetice (CCD COE). Ca urmare a demersurilor făcute și a negocierilor cu statele membre NATO, Estonia a semnat în luna mai 2008, împreună cu alte șapte națiuni sponsor (Germania, Italia, Letonia, Lituania, Slovacia, Spania și Ungaria), memorandumul de înțelegere privind modul de administrare și operare a CCD COE. După semnarea acordului cu Comandamentul Aliat pentru Transformare – Allied Command Transformation (ACT), în anul 2009, centrul a fost acreditat de NATO și a devenit operațional.
Centrul este o entitate de nivel multinațional care oferă expertiză în beneficiul Alianței Nord-Atlantice, în special sprijin pentru transformare a acesteia din domeniul de competență. Obiectivul major al CCD COE este de a spori capacitatea de cooperare în domeniul apărării cibernetice dintre NATO și statele membre NATO, îmbunătățind astfel interoperabilitatea Alianței Nord-Atlantică în domeniul apărării cibernetice.
Principalele misiuni ale centrului sunt:
– să contribuie la dezvoltarea practicilor și standardelor în domeniul apărării cibernetice cu NATO și statele PfP și non-NATO;
– să contribuie la definirea scopului și responsabilităților forțelor armate în desfășurarea acțiunilor de apărare cibernetică;
– să organizeze și să desfășoare antrenamente de pregătire, campanii de conștientizare a amenințărilor, întâlniri de lucru și cursuri în domeniul apărării cibernetice;
– să dezvolte scenarii și să organizeze exerciții de apărare cibernetică;
– să crească abilitatea NATO de a asigura suport de apărare cibernetică pentru exerciții;
– să asigure abilitatea NATO de testare și validare în domeniul apărării cibernetice.
Centrul asigură expertiză în următoarele domenii:
a) juridic și politic:
– asistența juridică pentru implementarea obiectivelor NATO în domeniul apărării cibernetice;
– studierea, diseminarea și dezvoltarea reglementărilor NATO și naționale în domeniul apărării cibernetic;
– analiza implicațiilor implementării politicii NATO în plan juridic.
b) concepte și strategii:
– concepte și strategii de dezvoltare a operațiunilor cibernetice strategice (ofensive, defensive, de exploatare):
– analiza tendințelor în domeniu.
c) la nivel operațional și tactic:
– cercetări privind soluții tehnice de securizare a sistemelor mobile din teatrele de operații, sisteme tehnice pentru prevenirea și detectarea atacurilor cibernetice, soluții de monitorizare etc.;
d) informații privind protecția infrastructurilor critice:
– metodologii de evaluare a riscurilor de securitate;
– tehnici de simulare și modelare, exerciții de apărare cibernetică și formare profesională.
Beneficiarii produselor centrului sunt: NATO (prima prioritate); națiunile sponsor; națiunile membre NATO; alți beneficiari.
3.1.4. Direcții de evoluție în apărarea cibernetică
În condițiile actuale, în care războaiele nu se mai duc cu arme clasice și odată cu apariția unor noi forme de manifestare a acestora, inclusiv în spațiul cibernetic, era de așteptat ca sistemele informatice și de comunicații ale NATO să devină ținta unor atacuri cibernetice. Cu ocazia Congresului „e-Crime” din anul 2008, Suleyman Anil – șeful Centrului de Coordonare al Capabilității NATO pentru Răspuns la Incidente de Securitate IT (NCIRC) a avertizat că „terorismul bazat pe calculator reprezintă aceeași amenințare la adresa securității naționale ca un atac cu rachete”, iar un atac cibernetic on-line asupra infrastructurii critice unei țări ar fi „practic imposibil să se oprească".
Suleyman Anil a declarat că atacurile asupra Estoniei din anul 2007, care au afectat sistemele financiar-bancare și de stat, a demonstrat că cyber-terorismul îndreptat asupra infrastructurilor naționale poate avea „consecințe foarte grave". Acesta consideră că amenințarea va continua să crească odată ce grupurile teroriste conștientizează potențialul de a cauza pagube maxime la costuri minime. În accepțiunea NATO „Războiul cibernetic poate deveni o metodă foarte eficientă la nivel global, deoarece prezintă un risc scăzut, costuri foarte mici, eficiență maximă și ușor aplicabil la nivel global. Este aproape o armă ideală pe care nimeni nu o poate ignora".
În ceea ce privește transformarea domeniului INFOSEC în securitate informațională direcțiile de acțiune pentru viitor sunt:
a) conceptual și organizatoric:
– adoptarea conceptului la nivel NATO și revizuirea reglementărilor privind securitatea informațiilor;
– elaborarea concepției pentru implementarea Imaginii Comune de Apărare a Rețelelor în cadrul Coaliției (CNet-DCOP-Coalition Network Defence Common Operational Picture). Trebuie identificate ce informații trebuie partajate în cadrul coaliției pentru îmbunătățirea situației de avertizare, care sunt interfețele și modulele comune.
b) tehnic:
– perfecționarea și dezvoltarea SIC-urilor și a mecanismelor de securitate pentru protejarea acestora;
– implementarea unor soluții în vederea trecerii de la măsuri defensive la acțiuni ofensive pentru asigurarea securității SIC;
– îmbunătățirea interoperabilității produselor;
– creșterea ponderii industriei în dezvoltarea capabilităților;
– prioritizarea programelor de înzestrare;
– intensificarea schimburilor informaționale bidirecționale între NATO și industrie pentru identificarea breșelor de securitate și implementarea unor servicii de securitate informațională. Trebuie avut în vedere că standardele civile sunt mult mai relaxate din punct de vedere al cerințelor de securitate ale NATO.
Așa cum s-a menționat, una dintre prioritățile NATO o reprezintă accelerarea eforturilor pentru contracararea potențialelor amenințări cu atacuri cibernetice asupra națiunilor membre. În acest sens, NATO a creat un nou concept de „echipă de intervenție rapidă” (Rapid Reaction Team – RRT) care constă în constituirea unei echipe de experți din mai multe domenii pentru a asigura, la cerere, suport de specialitate unei națiuni în caz de atacuri cibernetice majore.
Într-un comunicat de presă al NATO se afirmă că „A treia etapă constă în integrarea lecțiilor învățate de la fazele anterioare, precum și utilizarea celor mai recente măsuri de apărare cibernetice pentru consolidarea poziției NATO în domeniul apărării cibernetice".
La începutul anului 2009, la Summit-ul NATO de la Strasbourg, Franța și Kehl, Germania, țările membre NATO au declarat că „rămân angajate în consolidarea sistemelor de comunicații și informaționale, care sunt de o importanță critică în cazurile atacurilor cibernetice împotriva Alianței Nord-Atlantică și entitățile statale și non-statale și pot încerca să exploateze încrederea crescândă a Alianței Nord-Atlantică și a aliaților față de aceste sisteme". Politica de apărare cibernetică a NATO convenită la Summit a stabilit constituirea unei Autorități pentru Managementul Apărării Cibernetice, a unei Capabilități Operaționale de Răspuns la Incidente de Securitate în Calculatoare și a unui Centru de Excelență de Cooperare în domeniul Apărării Cibernetice, cu sediul în Estonia.
John Osterholz – președinte emerit al consiliului tehnic al Rețelei Consorțiului de Operațiuni Industriale Centric (NCOIC) și vicepreședinte de acțiuni și apărare cibernetice pentru BAE Systems, a declarat că NATO trebuie să aibă în vedere trei provocări operaționale:
– asigurarea dinamică a situației centralizate cu avertizări de securitate, care să furnizeze în timp real existența unor amenințări și vulnerabilități la adresa SIC-urilor NATO pentru prevenirea atacurilor cibernetice;
– să identifice soluții prin intermediul cărora NATO și națiunile pot menține operaționale infrastructurile critice la atacurile cibernetice;
– partajarea informațiilor referitoare la atacurile cibernetice.
John Osterholz a subliniat necesitatea dezvoltării unui set de standarde și soluții arhitecturale pentru schimbul internațional de informații despre atacurile cibernetice, precum și importanța managementului identității actorilor implicați în schimbul de informații în spațiul virtual, astfel încât să se asigure „o reală relație de încredere între parteneri".
În același timp, NATO a lansat o dezbatere largă privind cadrul juridic internațional referitor la legitimitatea intervenției Alianței Nord-Atlantice în sprijinul unui stat membru în cazul unui atac cibernetic, în baza Tratatului Nord-Atlantic. Într-un discurs din 08 iunie 2009, Ivo Daalder – Ambasadorul SUA la NATO, în cadrul Sesiunii de Securitate și Apărare, a întrebat dacă acest angajament ar acoperi, de exemplu, „agresiunile care pot afecta infrastructurile energetice, atacurile cibernetice sau cele cu arme biologice fără să se cunoască originea acestora". "Părinții fondatori ai NATO nu ar fi putut prevedea aceste amenințări în 1949, dar asemenea acțiuni au devenit realitate" și „aplicabilitatea articolului 5, ca răspuns la noile amenințări trebuie să fie la fel de sigur și credibil, așa cum a fost din 1949", a spus Daalder.
Summitul NATO de la Lisabona din 2010 a situat securitatea cibernetică ca o primă prioritate a noilor provocări de securitate la care NATO trebuie să răspundă, iar noua Divizie pentru provocările de securitate emergente este organismul NATO nou creat în acest scop. Atât Noul concept strategic, cât și Declarația summit-lui de la Lisabona au relevat că rapida evoluție și creștere a nivelului de rafinare a atacurilor cibernetice au stabilit că o sarcină urgentă a Alianței Nord-Atlantice este aceea de a proteja rețelele de comunicații și informatice aliate. Summit-ul a furnizat orientările necesare și sarcinile pentru domeniul securității cibernetice, solicitând o revizuire profundă a politicii curente cu actualizări relevante, precum și un plan de acțiune pentru implementarea noii politici.
Astfel, în mai 2011, cadrul pentru o nouă concepție în domeniul apărării cibernetice a fost deja aprobat la nivelul miniștrilor apărării și va constitui punctul de plecare pentru revizuirea Politicii de apărare cibernetică a NATO, până în iunie 2011.
3.1.5. Proiectarea, dezvoltarea și implementarea CERT
Conform practicilor internaționale există două modele viabile de dezvoltare a unui CERT:
– piramidal: constă într-un CERT constituit la nivel național, cu atribuții de coordonare, urmat de cele constituite la nivel departamental și extins la nivelul organizațiilor;
– rețea: constituită într-o rețea de CERT-uri la nivel departamental dintre care cel mai dezvoltat preia și funcția de coordonare a lor.
Universitatea Carnegie-Mellon, specializată în studii și dezvoltări de concepte și instrumente pentru apărarea cibernetică consideră că sunt necesari 5 pași în proiectarea și implementarea unei capabilități de reacție la incidente de securitate, ilustrați în figura 3.2, astfel:
1) convingerea autorităților despre necesitatea unui astfel de proiect;
2) planificarea dezvoltării;
3) implementarea;
4) operarea propriu-zisă;
5) colaborarea cu celelalte CERT-uri.
Figura 3.2. Etapele implementării unui CERT
Acțiunile principale de reacție la incidentele de securitate IT, ca modalitate de răspuns la atacuri cibernetice, conform modelului CERT sunt:
a) de reacție: asigurarea unui punct unic de raportare a evenimentelor / incidentelor, asigurarea suportului tehnic administratorilor de sistem și de securitate pentru rezolvarea incidentelor de securitate, investigarea incidentelor de securitate, detectarea și tratarea vulnerabilităților;
b) proactive: publicarea anunțurilor / buletinelor de securitate, urmărirea evoluției tehnologiei securității în domeniul IT, diseminarea informațiilor referitoare la securitatea IT;
c) preventive: analizarea riscurilor de securitate, planificarea operațiunilor de recuperare în caz de dezastru, asigurarea consultațiilor de securitate, crearea unei culturi de securitate la nivelul utilizatorilor.
Recomandările NIST (National Institute of Standards and Technology) cuprinse într-un ghid de gestionare a incidentelor de securitate din rețelele de calculatoare au consacrat un ciclu de viață al răspunsului la incident care conține patru faze, conform figurii 3.3, care a fost preluat de marea majoritate a organizațiilor care au proiectat, dezvoltat și operaționalizat un CERT.
Figura 3.3. Ciclul de viață al răspuns la un incident de securitate
De asemenea, pentru simplitate și formalizare sunt stabilite următoarele mari categorii de incidente de securitate:
a) stoparea serviciilor – DoS;
b) cod malițios – viruși, viermi, cai troieni etc.;
c) acces neautorizat la resursele rețelei;
d) utilizare neadecvată a resurselor IT;
f) incident mixt, multiplu.
Organizarea capabilității de răspuns la incidente de securitate informatică presupune stabilirea unei capacități de răspuns la incidente eficientă, dimensionată ca număr de angajați, dar și timp de operare, în funcție de tipul rețelei care trebuie protejate, numărul și pregătirea specialiștilor angajați și, bineînțeles de resursele financiare care pot fi alocate.
Implementarea și funcționarea unei structuri CERT necesită resurse semnificative umane, echipamente și de infrastructură. Personalul trebuie să aibă experiență în a lucra cu rețele de calculatoare, să aibă capacități de analiză și comunicare și cunoștințe de programare de nivel mediu. Nu trebuie să știe în detaliu cum se scriu codurile de tip „malicious codes", ci cum funcționează acestea și cum se dezvoltă în general. Trebuie de asemenea să fie la curent cu evoluția din domeniul securității IT. Un CERT centralizat la nivel de organizație trebuie să conțină următorul personal:
– manager care răspunde de planificarea, dezvoltarea și implementarea strategiilor operaționale, a inițiativelor, politicilor și programelor;
– specialist în domeniul vulnerabilităților IT. Sarcinile acestuia includ cercetarea în detaliu a vulnerabilității software, corespondență cu vânzători de software, cercetători, sponsori și alții, crearea de specificații și dezvoltarea de instrumente și procese pentru îndeplinirea scopului echipei, conducerea activităților de stabilire a direcțiilor de strategie în remedierea vulnerabilității și identificarea și implementarea de noi abordări pentru identificarea, analizarea și prevenirea vulnerabilităților de software;
– analist securitate Internet. Acesta este responsabil de asigurarea conducerii tehnice și strategice în cercetarea, examinarea și analizarea tendințelor și subiectelor legate de securitatea IT. El elaborează documente care descriu cele mai bune practici pentru sistem și pentru administratorii de rețea, managerii tehnici, alți tehnicieni. Tot el analizează și identifică tendințele în domeniul securității pe baza incidentelor, inclusiv analiza incidentelor și acțiunilor în timpul unor evenimente majore, analiza informațiilor publice și colaborarea cu alți experți în domeniul securității;
– inginer/ specialist de securitate IT. Acesta trebuie să aibă capacitatea de a citi și înțelege cod de asamblare x86, cunoștințe despre rețele și protocoale TCP/IP. Trebuie să aibă o experiență în programare C/C++ pe platforme MS Windows și/ sau Linux, shell scripting, programare PERL și /sau Python;
– specialist în comunicare și relații publice. Pentru acesta sunt necesare cunoștințe solide de limbă română și engleză, capacități de editare/ manipulare și cunoștințe generale de design/ dezvoltare de web. El va lucra la dezvoltarea și predarea practicilor de îmbunătățire a securității și la crearea de programe de instruire în asigurarea securității informațiilor pentru administratorii de sistem și rețea.
Un minim de resurse și instrumente necesare pentru dezvoltarea și funcționarea unui CERT poate fi văzut în tabelul din anexa nr. 22, astfel:
– facilități (spații);
– echipamente și canale de comunicații;
– hardware și software pentru analiza incidentelor;
– resurse informaționale pentru analiza incidentului;
– software pentru combaterea incidentelor.
La crearea unei capabilități de top CERT, primul pas major constă în crearea politicii de răspuns la incidente, a planurilor și procedurilor operaționale, astfel:
– crearea unei politici de răspuns la incidente;
– dezvoltarea unui plan de răspuns la incidente, bazat pe politica de răspuns la incidente aprobată;
– dezvoltarea procedurilor de răspuns la incidente;
– stabilirea procedurilor și politicilor privind schimbul de informații în legătură cu incidentul;
– furnizarea informațiilor pertinente asupra incidentelor către organizațiile de răspuns la incidente, specializate.
CERT este o componentă a domeniului securității informaționale care asigură capabilitatea de a răspunde rapid și eficient la amenințări la adresa securității sistemelor informatice. Obiectivul principal al CERT este acela de a micșora efectele potențiale ale unei probleme grave de securitate. Pentru a realiza acest obiectiv, CERT trebuie să implice și să coopereze cu tot personalul organizației.
Capabilitatea de reacție la incidente de securitate nu trebuie să fie singulară, CERT trebuie să dispună de resursele necesare de alertă și informare a utilizatorilor. Cooperarea cu utilizatorii este necesară pentru ca toate incidentele să fie raportate și rezolvate astfel încât viitoarele incident să poată fi prevenite. CERT nu acționează numai reactiv, ci este necesar ca acesta să furnizeze și o funcție proactivă pentru a reduce riscurile de securitate.
Rolurile și scopurile echipei CERT sunt grupate în trei clase: de reacție, proactive și preventive.
A. Scopurile de reacție ale unei capabilități CERT sunt următoarele:
1) prevenirea și detectarea incidentelor de securitate IT. Diseminarea informațiilor care descriu intruziuni, vulnerabilități, viruși ai calculatoarelor sau viermi și furnizarea unei strategii de evitare a acestor tipuri de incidente de securitate;
2) rezolvarea incidentelor de securitate, care presupune primirea, analiza incidentelor și evenimentelor, precum și răspunsul la cererile sau rapoartele primite referitoare la incidentele de securitate. Acest serviciu este organizat pe baza tipurilor de activități efectuate și pe baza tipurilor de asistență furnizate în:
– analiza incidentelor de securitate IT: colectarea, păstrarea, documentarea și analiza probelor obținute de la sistemele compromise pentru determinarea schimbărilor apărute în sistem și reconstruirea evenimentelor ce au fost compromise;
– răspuns la incidente „on site": analiza directă, în timp real a sistemelor afectate și conducerea acțiunii de reparare și recuperare a sistemelor;
– suport pentru incidente de securitate: asistarea și îndrumarea victimelor unui atac pentru recuperarea dintr-un incident prin telefon, e-mail, fax sau documentație;
3) tratarea vulnerabilităților presupune primirea de informații și rapoarte despre vulnerabilitățile hardware și software, analizarea originii, mecanismelor și efectelor vulnerabilităților și dezvoltarea de strategii pentru detectarea și repararea vulnerabilităților. Acest serviciu este organizat pe baza tipurilor de activități efectuate și pe baza tipurilor de asistentă furnizate:
– analiza vulnerabilităților: analiza tehnică și examinarea vulnerabilităților hardware și software;
– răspuns la vulnerabilități: determinarea unui răspuns adecvat pentru micșorarea efectelor sau îndepărtarea vulnerabilităților;
4) tratarea urmelor/amprentelor informatice. O amprentă informatică este orice fișier sau obiect găsit pe un sistem implicat în probarea unui atac asupra sistemelor sau rețelei sau care este folosit pentru înlăturarea măsurilor de securitate. Acest serviciu este organizat pe baza tipurilor de activități efectuate și pe baza tipurilor de asistență furnizate. Analiza amprentelor presupune identificarea tipului de fișiere, a structurii acestora, compararea cu cele deja existente sau cu alte versiuni ale aceleași amprente pentru a vedea similarități și diferențe, dezasamblarea codului pentru a determina scopul și funcționarea programului informatic.
O descriere amănunțită a activităților subsecvente acestor patru faze este prezentată în anexa nr. 23, iar un model de arhitectură a unor capabilități CERT în anexa nr. 24.
B. Scopurile proactive ale unei capabilități CERT sunt următoarele:
1) anunțuri; acestea cuprind în general alerte de intruziune, avertizări ale vulnerabilităților și rapoarte de securitate. Aceste anunțuri vor informa continuu despre noi dezvoltări cu impact mediu-lung, cum ar fi noile vulnerabilități descoperite sau unelte de intruziune;
2) urmărirea tehnologiei, care presupune monitorizarea și observarea noutăților în dezvoltarea tehnică a sistemelor, a activității intrușilor și a diferitelor direcții ce pot ajuta la identificarea viitoarelor vulnerabilități;
3) audit de securitate. Există mai multe tipuri de audit de securitate ce pot fi furnizate:
– examinarea infrastructurii: examinarea manuală a configurației hardware și software, a servere-lor, a stațiilor client, a echipamentelor de rețea pentru a verifica dacă acestea îndeplinesc cerințele impuse de politicile de securitate și configurației standard existente în organizație;
– examinarea procedurilor de securitate: interviuri cu utilizatorii, cu administratorii de sistem și cu administratorii de rețea pentru a determina dacă procedurile de securitate folosite e potrivesc cu cerințele de securitate ale organizației;
– scanarea: utilizarea de echipamente hardware și software pentru determinarea vulnerabilităților și a virușilor la care sistemele și rețelele sunt vulnerabile;
– testare contra intruziunilor: testarea unui site din punct de vedere al securității prin atacul dirijat asupra sistemelor și rețelelor vizate. Aceste teste presupun atacuri din punct de vedere al ingineriei sociale, cât și fizic, precum și cel prin rețea.
4) servicii de detectare a intruziunilor, care presupun analizarea unor jurnale (log-uri) deja existente de securitate și inițierea unui răspuns pentru orice eveniment care îndeplinește cerințele unei amenințări, sau întoarcerea unei alarme în concordanță cu amenințarea vizată;
5) diseminarea informațiilor referitoare la securitatea IT, care poate consta într-o colecție complexă și accesibilă cu informații utile ce ajută la îmbunătățirea securității IT. Asemenea informații pot include:
– ghid de raportare a incidentelor de securitate și informații de contact a CERT;
– arhivarea alertelor, alarmelor și a altor tipuri de anunțuri;
– documentații referitoare la „bunele practici";
– îndrumător general de securitate a calculatoarelor;
– politici și proceduri de securitate;
– informații despre noile patch-uri apărut și modalitatea lor de distribuție legături către site-urile furnizorilor de software și hardware, statistici și direcții în raportarea de incidente;
– alte informații care pot îmbunătății securitatea sistemelor.
C. Scopurile preventive ale unei capabilități CERT pot fi următoarele:
1) analiza riscului, care poate îmbunătăți abilitatea organizației de a evalua amenințări reale, poate furniza evaluări cantitative și calitative ale riscurilor și poate stabili strategii de răspuns la incidente și de protecție la amenințări;
2) Plan de recuperare în caz de dezastru. Având la bază incidentele de securitate IT trecute și predicția viitoarelor incidente sau amenințări de securitate, experiența și recomandările CERT, se pot elabora planuri de protecție împotriva vulnerabilităților și a intruziunilor sau planuri de recuperare în caz de dezastru. Aceste planuri vor descrie modul optim de răspuns la asemenea incidente astfel încât să se asigure continuitatea în funcționarea sistemelor;
3) Consultanță de securitate. O echipă CERT poate furniza rapoarte / sfaturi și ghiduri de securitate IT. Acestea conțin recomandări sau cerințe pentru cumpărarea, instalarea sau securizarea noilor sisteme, echipamentelor de rețea, aplicațiilor software. Aceste consultații de securitate ajută la constituirea unor politici de securitate mai bune și eficiente;
4) Crearea unei culturi de securitate a organizației. Echipa CERT va identifica personalul care are nevoie de mai multe informații și sfaturi pentru o mai bună înțelegere și acceptare a practicilor și politicilor de securitate IT. Crearea unei culturi privind securitatea nu îmbunătățește numai percepția angajaților asupra securității IT, dar îi ajută pe utilizatori să-și efectueze operațiile de zilnice într-o manieră mai sigură, ei fiind capabili să conștientizeze și să identifice din timp riscurile și amenințările de securitate. Echipa CERT va putea dezvolta cultura de securitate prin publicarea de articole, afișe, site-uri WEB sau alte resurse informaționale care să explice cele mai bune practici de securitate IT;
5) educarea și instruirea utilizatorilor implică furnizarea de informații utilizatorilor despre problemele de securitate ale calculatoarelor prin seminarii, cursuri, laboratoare și tutoriale. Acestea includ informații despre modalitatea de raportare a incidentelor, metode de răspuns rapid la incidente, unelte de răspuns la incidente, metode de prevenire a incidentelor, precum și alte informații necesare pentru protejarea, detectarea, raportarea și răspunsul la incidentele de securitate ale calculatoarelor;
6) evaluarea sau certificarea unor produse. Componenta CERT poate participa la evaluarea sau certificarea unor produse software ce urmează a fi instalate pe sistemele conectate la SIC. Îndeplinirea acestor roluri conduc la următoarele obiective principale:
– recuperarea sigură, rapidă și eficientă din incidentele de securitate a sistemelor afectate;
– minimizarea impactului datorat pierderii sau furtului de informație (clasificată sau neclasificată) sau întreruperea din funcționare a unor servicii și resurse critice de sistem atunci când incidentele apar;
– rezolvarea sistematică, urmând anumite proceduri și planuri pentru descreșterea riscurilor asociate cu reapariția riscurilor.
– asigurarea de informații și consultanță privind eforturile de prevenire a incidentelor;
– elaborarea și publicarea de statistici pentru îmbunătățirea muncii de prevenire;
– stabilirea unui sistem de schimb de informații privind incidentele IT între organizațiile comunității și echipă.
Experiența organizațiilor de tip CERT dovedește faptul că pentru îndeplinirea obiectivelor prevăzute în misiunea CERT este esențial a avea o bună relație de colaborare cu alte echipe pentru incidente IT din țară și străinătate, dar și cu furnizorii de soluții de securitate, precum și cu instituțiile cu atribuții în domeniul securității naționale.
3.2. Investigațiile digitale
Domeniul de analiză a infracțiunilor în spațiul cibernetic „Cyber forensics” a evoluat continuu, iar metodele sale aplicate în mediul definit generic cyber, cât mai ales, meticulozitatea datorată termenului „forensics”, l-au făcut să fie catalogat drept mai mult o artă, decât o știință. Cum tehnologia evoluează prin mutații definitive, într-un ritm alert, normele care reglementează aplicarea investigațiilor informatice în domeniile de audit, de securitate și de aplicare a legii, se schimbă, de asemenea, dar mult mai lent, astfel că în foarte multe cazuri rămân descoperite din punct de vedere legal foarte multe aspecte ale acestui domeniu. Aproape zilnic, noi tehnici și proceduri sunt destinate să ofere specialiștilor metode mai bune de a descoperi și analiza probele electronice, de a le colecta și conserva, urmând să fie prezentate în justiție, în cadrul unui probatoriu, pentru utilizarea ca probe în cursul desfășurării urmăririi penale a celor care făptuiesc infracțiuni cu ajutorul tehnicii informatice.
Dezvoltarea fără precedent în domeniul tehnologiei informatice, la nivel mondial, are și o parte negativă: producerea unor fapte antisociale, denumite „criminale” atât în dreptul internațional penal, cât și în rapoartele prezentate de specialiști ai informaticii. Toate aspectele legate de faptele săvârșite în domeniul informatic sunt denumite generic „criminalitate informatică” sau „infracționalitate informatică”.
Investigațiile digitale reprezintă o activitate deosebit de complexă, interdisciplinară, aflată la intersecția dintre știința calculatoarelor, securitatea informației, justiție și criminalistică. Ele urmăresc descoperirea, prelevarea, documentarea și utilizarea probelor digitale în instanță, pentru dovedirea unor infracțiuni. Caracterul multidisciplinar este ilustrat și în figura 3.4. în care sunt reprezentate principalele subdomenii ale investigațiilor digitale, astfel:
– descoperirea probelor electronice;
– investigațiile calculatoarelor;
– managementul probelor digitale;
– suport în administrarea probelor digitale în instanță.
Figura 3.4. Principalele subdomenii ale investigațiilor digitale
3.2.1.Verificările de securitate în cadrul investigației preliminare
Orice investigație informatică începe cu o listă completă, dar adaptată situației, de verificări de securitate în sistemul informatic și de comunicații care face obiectul investigației. Astfel, se verifică și se stabilesc o suită de date, elemente și parametri tehnici care sunt absolut necesare pentru reușita investigației, cum ar fi:
– stabilirea configurației hardware și software a sistemului;
– stabilirea elementelor de acces la resurse, conturi, parole, etc.
– stabilirea elementelor de istoric al activității, proceselor, aplicațiilor, datelor rulate pe sistem;
– verificarea jurnalelor de sistem și de securitate;
– identificarea dispozitivelor periferice conectate;
– stabilirea conexiunilor la rețele de calculatoare sau INTERNET etc.
Stabilirea profilului criminalului informatic concură la reușita investigației finale, iar utilizarea tuturor informațiilor colectate de pe sistemele exploatate de atacator conduc la alcătuirea unui portret robot al făptuitorului, împrumutând aici, terminologia din criminalitatea clasică, dar adaptată specificului informatic. Primele întrebări ale căror răspunsuri necesită imperios formularea sunt:
„Cum a fost obținut accesul?”
„Ce cunoștințe și abilități tehnice au fost necesare?”
„Cum s-a comportat intrusul pe sistemul în cauză?”
„A șters informații?”
„A furat date?”.
Psihologia investigațională va creiona motivația atacatorului și abilitățile tehnice ale acestuia, iar ulterior aceste detalii vor ajuta la stabilirea comportamentului și identității acestuia.
Scopul investigației informatice este de:
– a asigura că toate informațiile de tip registru automat de evidență a accesului sunt colectate și conservate;
– a stabili cum a reușit atacatorul să pătrundă în sistem și de ce a ales acest sistem;
– a obține informații care să clarifice vulnerabilitățile exploatate și posibilele locații virtuale, menționând aici adresa / adresele de IP folosite de intrus;
– a colecta cât mai multe date cu privire la intruziune, date de acces și de modificare a fișierelor, stabilire a timpilor de activare / dezactivare a anumitor servicii de securitate, iar uneori se impune chiar stabilirea tuturor persoanelor care au avut acces fizic la sistemul exploatat;
– a documenta toate pagubele produse de atacul informatic;
– a aduna cât mai multe informații pe baza cărora să se stabilească dacă vor fi implicate structurile de aplicare a legii.
Obiectivul imediat al unei investigații informatice este de a conserva probele. Ulterior, se va proceda la identificarea locațiilor fișierelor de audit al accesului și activităților de sistem, colectarea acestor date și stabilirea informațiilor afectate.
Etapele procesului de investigație digitală, în general acceptate de majoritatea metodologiilor specifice sunt cele prezentate în figura 3.5.
Figura 3.5. Etapele unei investigații digitale
Procedura standard, succintă, de colectare a probelor de pe un sistem informatic impune următoarele etape de urmat:
– înlăturarea oricăror alte persoane de lângă sistemul/ sistemele care fac obiectul investigației;
– examinarea conexiunilor de comunicație – modem, rețea, avându-se în vedere și posibile conexiuni de tip wireless;
– observarea ecranului spațiului de lucru și fotografierea acestuia;
– deconectarea conexiunilor de comunicație;
– documentarea și aplicarea etichetelor pe toate conexiunile computerului;
– deconectarea de la rețeaua de alimentare cu tensiune prin scoaterea cablului de alimentare din sistemul de calcul considerat probă;
– încărcarea unui sistem de operare de pe o sursă externă (dischetă, CD, memory-stick) și efectuarea imaginilor tuturor hard-disk-urilor interne ale sistemului;
– identificarea și documentarea celorlalte echipamente periferice.
În practica judiciară, procedura implică fotografierea și înregistrarea în detaliu a probelor, sigilarea acestora, întocmirea unui proces verbal de ridicare, transportarea probelor colectate astfel încât să se asigure integritatea acestora.
Cel mai important aspect al procedurii preliminare îl constituie efectuarea imaginilor suporților magnetici de pe computerele / sistemele victime, cu respectarea normelor de efectuare a acestor operațiuni, prin efectuarea unor amprente digitale de tip hash, atât a întregului sistem, cât și a blocurilor de date, în scopul asigurării veridicității, integrității și autenticității datelor imaginilor sau a celor extrase.
Tipurile de date ce pot fi preluate din sistemele informatice:
– date volatile – memoria unui sistem informatic. Datele volatile sunt cel mai greu de preluat și de prelucrat. Acestea reprezintă de fapt conținutul tuturor adreselor de memorie, utilizate de programele care rulează la un moment dat, dar și datele reziduale, rămase în anumite locații de memorie ca urmare a execuției unor programe. Acestea pot rămâne stocate în locațiile de memorie neutilizate la un moment dat, până la reutilizarea locațiilor de memorie de către alte programe;
– date non-volatile – datele înscrise pe un suport de stocare a datelor (hard-disk, CD/DVD, carduri de memorie, SIM-uri, EPROM).
În funcție de complexitatea cazului, se recurge la recrearea incidentului în laborator, prin folosirea unor sisteme-oglindă, virtuale. Reconstrucția incidentului poate fi realizată pe trei niveluri, astfel:
– nivelul fizic, unde se folosesc clonele sistemelor implicate, cu aplicabilitate în cazul calculatoarelor independente;
– nivelul logic, unde se folosesc sisteme similare, în rețelele proprii sau virtualizate și unde avem acces la întreaga rețea sau la detaliile tehnice ale rețelelor;
– nivel teoretic, unde se construiesc ipoteze de funcționare ale sistemelor. Acest nivel se impune acolo unde nu se pot accesa toate sistemele informatice.
În mai 1998, Institutul Național de Justiție al SUA, în colaborare cu mai multe organizații din domeniul tehnologiei informației și instituții academice, a emis un document oficial ce cuprinde proceduri și practici în domeniu. În anexa nr. 25 este prezentat un model de algoritm pentru prelevarea probelor digitale. Documentul se adresează investigatorilor (chiar dacă nu dețin cunoștințe în domeniul IT) de la fața locului, în scopul colectării cât mai precise și complete a probelor, fără a le deteriora sau modifica conținutul.
Problema spinoasă cu care se confruntă investigatorii informatici este cea reprezentată de descoperirea probelor, a detaliilor incriminatoare, a datelor care să clarifice incidentul produs. Tehnologiile evoluează și odată cu acestea și posibilitățile și metodele noi și inovative de ascundere intenționată a activității malware pe sistemele informatice. Criminalii informatici au dezvoltat metode diverse de sustragere a identității și utilizarea lor în scopuri ilicite, iar mass-media ne informează, în mod curent, cu exemple de astfel de acțiuni. Hackerii au dezvoltat unelte software de ascundere a urmelor informatice, denumite generic anti-forensics tools. Metodele utilizate presupun utilizarea spațiului liber sau a celui de tip swap, de pe hard-disk. De asemenea, aceștia recurg la utilizarea criptografiei și steganografiei pentru transmiterea datelor prin rețea, cu precădere în INTERNET.
3.2.2. Aspecte juridice privind investigațiile informatice
Cooperarea internațională este pusă în fața unei provocări continue produsă de creșterea criminalității informatice transnaționale. Din ce în ce mai multe state au procedat la armonizarea propriilor legislații în vederea combaterii criminalității informatice, însă rezultatele sunt doar mulțumitoare și nu se va putea vorbi de o eradicare a acestui fenomen.
Organizația pentru Cooperare Economică și Dezvoltare (OECD) a fost una dintre primele organizații internaționale care a realizat un studiu privind armonizarea legislației în domeniu și în anul 1983, a publicat un raport prin care a propus diferite recomandări legislative statelor membre ale Uniunii Europene, precum și o minimă listă de activități care trebuie pedepsite: fraudarea și falsificarea realizată prin calculator, alterarea programelor de calcul și a datelor, dreptul de autor, interceptarea comunicațiilor sau a altor funcții ale unui calculator, accesul și utilizarea neautorizată a unui calculator.
În completarea raportului OECD, Consiliul Europei a inițiat propriul studiu de caz pentru dezvoltarea cadrului legal privind combaterea criminalității informatice, adoptând Recomandarea R(89)9 care reprezintă un ghid de acțiune în domeniul criminalității informatice pentru statele membre ale Uniunii Europene. Organizația Națiunilor Unite s-a implicat la rândul său în acest domeniu și a publicat în anul 2000 raportul „Provocarea fără frontiere: CyberCrime – eforturi internaționale pentru combaterea crimei organizate transnaționale”.
În ceea ce privește formalizarea criminalității informatice, statele membre ale Uniunii Europene au ajuns la un numitor comun, fiind identificate patru activități:
– activități care aduc atingere vieții private: colectarea, stocarea, modificarea și dezvăluirea datelor cu caracter personal;
– activități de difuzare a materialelor cu conținut obscen și/ sau xenofob: materiale cu caracter pornografic (în special cele legate de minori), materiale cu caracter rasist și care incită la violență;
– criminalitatea economică, accesul neautorizat și sabotajul, activități prin care se urmărește distribuirea de viruși, spionajul și frauda realizată prin calculator, distrugerea de date și programe sau alte infracțiuni: programarea unui calculator de a „distruge” alt calculator.
– încălcarea dreptului de proprietate intelectuală.
Recomandarea Consiliului Europei, R(89)9, privind unele norme care trebuie aplicate de statele membre pentru combaterea criminalității informatice are meritul de a fi realizat o primă definire a faptelor ilegale în legătură cu sistemele informatice, în paralel cu o împărțire a acestora în două secțiuni intitulate sugestiv: lista minimală și lista facultativă. Lista minimală cuprinde frauda informatică, falsul informatic, prejudiciile aduse datelor sau programelor pentru calculator, sabotajul informatic, accesul neautorizat, interceptarea neautorizată, reproducerea neautorizată de programe pentru calculator, reproducerea neautorizată a unei lucrări artistice protejate. Lista facultativă este alcătuită din alterarea datelor și programelor pentru calculator, spionajul informatic, utilizarea neautorizată a unui calculator, utilizarea neautorizată a unui produs software.
Convenția Consiliului Europei asupra Criminalității Informatice, semnată la Budapesta la 23 noiembrie 2001, încearcă, în principal, să armonizeze dispozițiile de drept substanțial cu caracter penal în domeniul informatic, să implementeze dispoziții procedurale necesare pentru investigarea și urmărirea unor asemenea infracțiuni și să pună la punct un sistem rapid și eficient de cooperare internațională. Convenția definește nouă infracțiuni grupate în trei categorii diferite. Astfel, în prima categorie sunt considerate infracțiuni aducând atingere confidențialității, integrității și disponibilității datelor și sistemelor informatice: accesarea ilegală (art.2), interceptarea ilegală (art.3), alterarea integrității datelor (art.4), alterarea integrității sistemului (art.5) și abuzurile asupra dispozitivelor (art.6), falsificarea informatică (art.7) și frauda informatică (art.8). O a doua categorie de infracțiuni se referă la pornografia infantilă (art.9), iar ultima categorie face referire la infracțiuni care aduc atingere proprietății intelectuale și drepturilor conexe (art.10).
Aspecte de procedură privind investigațiile informatice
Ca în orice infracțiune sau „crimă”, indiferent dacă este vorba de cele clasice sau de cele în mediul informatic, problema principală este securizarea locului faptei și culegerea probelor, conform unor proceduri aprobate. Temele principale legate de procedurile aplicate la colectarea și administrarea probelor în mediul informatic sunt:
– competența autorităților în ceea ce privește administrarea de probe;
– problemele juridice specifice relativ la obținerea, înregistrarea și inter-conexiunea datelor cu caracter personal în cursul procesului penal;
– admisibilitatea probelor constând în date informatice în cadrul procedurilor penale.
Punerea sub supraveghere a liniilor de telecomunicații sau a sistemelor informatice poate facilita investigațiile judiciare, mai ales în cazurile în care fie datele sunt numai transmise și nu stocate în mod permanent, fie datele nu fac decât să traverseze o țară, fie trebuie observate în permanență telecomunicațiile sau activitățile informatice.
Admisibilitatea în justiție a mijloacelor de probă provenind din înregistrări informatice depinde în mare parte din principiile fundamentale care determină administrarea probelor în țara la care ne referim. Legile mai multor țări – ca Austria, Danemarca, Germania, Finlanda, Franța, Grecia, Italia, Japonia, Norvegia, Portugalia, Spania, Suedia, Elveția și Turcia – pornesc de la principiul liberei evaluări a probelor („sistemul intimei convingeri”). În aceste țări, tribunalele pot accepta, în principiu, toate tipurile de probe și ele trebuie să aprecieze în ce măsură pot să se încreadă în ele sistemele juridice fondate pe asemenea principii. Nu există, în general, probleme în admiterea înregistrărilor informatice ca mijloace de probă. Pe de altă parte, țări precum Australia, Canada, Marea Britanie și SUA, se caracterizează, în mare măsură, printr-o procedură orală și contradictorie. În aceste țări, un martor nu poate face o depoziție decât referitor la ceea ce cunoaște el personal, declarațiile sale putând astfel fi verificate cu ajutorul unui contra-interogatoriu. Informațiile care provin de la terțe persoane, din cărți sau din dosare, sunt considerate vorbe (hear-say) și sunt, în principiu, inadmisibile. Există mai multe excepții de la această regulă, mai ales „excepția documentelor comerciale” sau „excepția copiilor fotografice”. Excepția documentelor comerciale, de exemplu, permite ca un astfel de document stabilit în cursul unei activități comerciale să fie produs ca probă chiar dacă nici o persoană fizică nu poate stabili proveniența propriilor informații.
O armonizare internațională a legislației în materie de probe este necesară pentru procedura penală și cooperarea judiciară internațională, deoarece sunt din ce în ce mai multe cazuri transfrontaliere unde reproducerile sau înregistrările efectuate într-o țară sunt prezentate ca mijloc de probă într-o altă țară.
Analiza și prezentarea probelor în justiție
Analiza imaginilor suporților magnetici de pe computerele / sistemele victime, care au fost realizate în deplin acord cu normele de efectuare a acestor operațiuni, utilizându-se amprentele digitale de tip hash, ale întregului sistem cât și a blocurilor de date, revin autorităților cu atribuții în domeniu, recunoscute și avizate de justiție. În unele state chiar și setul de echipamente hardware-software, precum și procedurile de analiză sunt avizate de către Ministerul Justiției, pentru a se preîntâmpina eventualele vicii de procedură și a se elimina contestațiile cu privire la autenticitatea rezultatelor analizelor informatice și respectiv a probelor.
Analizele probelor trebuie să nu conțină elemente de prezumție care să nu poată fi susținute și demonstrate. Investigatorii trebuie să prezinte foarte clar modalitatea în care s-a produs infracțiunea, etapele producerii ei, acțiunile întreprinse de utilizator, precum și pagubele produse asupra sistemului victimă.
Din practică reiese că avocații apărării, de obicei, încearcă să pună la îndoială autenticitatea probelor, respectiv a înregistrărilor și analizelor, pe baza viciilor sau greșelilor de procedură în colectarea datelor de evidență a infracțiunilor. Astfel, investigatorii trebuie să poată dovedi, în orice moment, că nu au alterat informațiile originale, iar analiza lor a fost efectuată în conformitate cu procedurile operaționale avizate. Greșelile specialiștilor sunt exploatate de avocați, putând avea drept consecință anularea acuzațiilor.
Deși societatea, în ansamblul ei, plătește pentru toate daunele economice cauzate de criminalitatea informatică, aceasta continuă să se bazeze pe sistemele computerizate în aproape toate domeniile vieții sociale: de la domeniul aerospațial, la controlul traficului aerian, al trenurilor și metrourilor, de la coordonarea serviciului medical la cel al securității naționale. O singură breșă realizată în operarea acestor sisteme poate pune în pericol vieți omenești, ceea ce denotă faptul că dependența societății de sistemele informatice a căpătat o dimensiune mult mai profundă decât cea intuită inițial. Dr. Robert Rowlingson a formulat nevoia parcurgerii a zece pași pentru a asigura pregătirea necesară unei organizații pentru a-ți crea o capabilitate de investigare digitală în cazul incidentelor de securitate și nu numai, astfel:
1) definirea scenariilor și proceselor în cadrul cărora organizația ar avea nevoie de investigații digitale;
2) identificarea surselor disponibile și a diferitelor probe digitale potențiale;
3) determinarea cerințelor de colectare a probelor digitale;
4) proiectarea unei capabilități de a colecta probe digitale în mod sigur și legal;
5) stabilirea unei proceduri pentru stocarea și manipulare securizată a probelor;
6) asigurarea faptului că monitorizarea este menită să preîntâmpine producerea incidentelor de securitate;
7) specificarea circumstanțelor în care se poate trece la urmărirea penală, cu folosirea probelor digitale proprii;
8) antrenarea tuturor utilizatorilor pentru a înțelege scopul și sensibilitatea obținerii și lucrului cu probe digitale;
9) documentarea unui caz bazat pe probele digitale și impactul acestora;
10) asigurarea revederii continue a procesului din punct de vedere al legalității.
3.2.3. Cooperarea internațională
Cooperarea internațională dintre diversele tipuri de unități CERT din diverse țări și continente devine esențială în activitatea de securitate informatică. Schweitzer Douglas a afirmat că „există relații strânse între actualele unități CERT, dar și cele noi sunt binevenite în această familie și pot beneficia de experiența și expertiza deja obținute în acest domeniu”.
Structurile de tip CERT de importanță majoră de cooperare internațională sunt:
a) FIRST (Forum al Echipelor de Răspuns la Incidente de Securitate) are 170 membri care formează o comunitate închisă și de încredere, de echipe care împărtășesc resurse tehnice dar și informații vitale în prevenirea și combaterea incidentelor de securitate prin Internet și rețele de calculatoare. În cadrul FIRST, organizațiile se consideră colaboratori mai degrabă decât competitori. În cadrul FIRST, unitățile CERT își unesc eforturile în protejarea propriilor nume, a reputației și datelor organizațiilor lor individuale;
b) TF-CSIRT este un Task Force stabilit sub auspiciile TERENA, un program tehnic de promovare a colaborării între CSIRT (Computer Security Incident Response Teams) din Europa. Scopul acestui Task Force este de:
– a asigura un forum pentru schimb de experiență și cunoștințe;
– a stabili servicii pilot pentru comunitățile europene CSIRT;
– a promova standarde și proceduri comune de răspuns la incidente;
– a ajuta la stabilirea de noi unități CSIRT și la instruirea personalului acestora. Activitățile TF-CSIRT se concentrează în Europa, în concordanță cu Specificațiile aprobate de Comitetul Tehnic TERENA la 15 Septembrie 2004.
TF-CSIRT are de asemenea disponibilă o listă extinsă a tuturor unităților CSIRT europene. Toate datele sunt prezentate fără nici un fel de garanție și sunt păstrate în mod pasiv de TERENA, cu excepția acelor date ale CSIRT-urilor „acreditate” conform cerințelor prevăzute în RFC 2350 .
Împărtășirea lecțiilor învățate cu ceilalți parteneri internaționali, este principalul factor de cooperare pe această linie între organizații sau instituții specializate. O hartă la zi a celor mai importante capabilități de tip CERT din lume este prezentată în anexa nr. 26.
Organizațiile și instituțiile cu care o unitate CERT interacționează pe timpul tuturor celor patru faze ale gestionării unui incident de securitate IT, sunt dintre cele mai diverse, pornind de la operatori de telecomunicații și până la mass-media.
3.3. Metode proactive în securitatea informațională
În anexa nr. 27 se prezentată o diagramă reprezentând delimitările și interferențele conceptelor de securitate informațională, INFOSEC, apărare cibernetică, audit de securitate și managementul riscurilor de securitate. Metodele proactive de securitate informațională se manifestă într-un cadru foarte larg oferit de războiul informațional, într-o accentuată interferență conceptuală și acțională dintre războiul electronic, cel al hackerilor, psihologic, de comandă-control și o complexă tipologie a atacurilor informatice.
3.3.1. Metode de identificare a atacurilor informatice
În mediul cibernetic, care se extinde zilnic în mod considerabil, măsurile clasice de securitate, de obicei reactive, dar chiar și cele preventive, precum auditul de securitate și educația de securitate, asigură un grad de protecție ridicat, însă nu întotdeauna suficient. Acest deficit de securitate poate fi însă compensat prin politici, măsuri tehnologii și mijloace proactive. Aceste măsuri și mijloace proactive pot completa deficitul de securitate, se adresează în special amenințărilor și nu vulnerabilităților și impun anumite schimbări ale politicilor și procedurilor de securitate la nivelul managerial. Astfel pentru a îmbunătăți securitatea sistemelor IT și a face față amenințărilor și inamicilor de pe frontul virtual, trebuie să-i cunoaștem.
Un hacker poate găsi și penetra un calculator în circa 30 de minute de la conectarea acestuia în rețea. Atacatorii scanează permanent rețelele în căutarea vulnerabilităților și a porturilor deschise, așadar fără a cunoaște inamicul nu este posibilă o apărare eficientă.
Pentru mulți specialiști, honeypot este un concept nou de securitate, însă acest concept este deja unul de largă răspândire. Așa cum afirma Sun Tzu, „dacă iți cunoști adversarul mai bine decât pe tine însuți, nu vei cunoaște niciodată înfrângerea”. Există multe discuții și cercetări legate de conceptul de honeypot la nivel mondial, existând și produse comerciale, pe piață aflându-se multe honeypot-uri puțin active și foarte active. În organizațiile care își pot permite o libertate de utilizare și o flexibilitate mai ridicată în domeniul politicilor și mecanismelor de securitate sunt implementate și sisteme honeypot proprii. Sistemele honeypot sunt cu siguranță un instrument de valoare pentru organizațiile care se confruntă des cu atacuri cibernetice. Pentru a înțelege mai bine tehnicile și tiparele de atac, precum și instrumentele folosite de hackeri sau alți atacatori, cum interacționează și ce instrumente folosesc, organizațiile pot și trebuie să implementeze sisteme honeypot. Prin intermediul acestor sisteme, cu ajutorul informațiilor culese de către acestea, pot fi dezvoltate și implementate sisteme de securitate noi, superioare, pentru a proteja infrastructura IT. Totodată, sistemele honeypot nu trebuie niciodată tratate ca sisteme „plug-n-play”, adică doar achiziționate și implementate în rețeaua informatică, ci configurate și operate de către specialiști în cadrul unor operații planificate și conduse permanent. În schimb, trebuie luat în calcul riscul implicat de implementarea sistemelor honeypot, iar în acest sens, trebuie implementate măsuri de securitate corespunzătoare, precum achiziția unor sisteme honeypot actualizate la zi, mecanisme corespunzătoare pentru controlul accesului și al fluxului de date, precum și punerea în aplicare a celor mai bune practici în securitate. Sistemele honeypot sunt un concept relativ nou și cu timpul vor fi îmbunătățite atât din punct de vedere conceptual, cât și operațional, având în vedere că, pe măsură ce atacurile hackeri-lor cresc în complexitate și tehnologia honeypot trebuie îmbunătățită pentru a rămâne cu un pas înaintea acestora.
O astfel de abordare a securității informaționale conține aspecte care țin de activitatea și de procedurile clasice de contrainformații aplicate în domeniul asigurării protecției informațiilor sensibile sau clasificate, precum și a sistemelor pe care acestea se procesează și stochează și a personalului care le exploatează. Astfel, șeful comitetului național de contrainformații, Joel Brenner a afirmat la un congres în 2009 că abordarea unui concept sau a unei operații este diferită din punct de vedere contrainformativ, față de cel al securității. Astfel, dacă un responsabil de securitate observă o vulnerabilitate sau o breșă într-un sistem informațional, el nu face decât să acopere breșa și să elimine vulnerabilitatea, punctual. Abordarea contrainformativă constă în a stabili și a înțelege cine a creat acea breșă de securitate, cum este utilizată vulnerabilitatea și cum poate fi transformată într-un instrument de contracarare a adversarului care vrea să o utilizeze.
Combinarea conceptelor, procedurilor, tehnicilor și mijloacelor specifice domeniului securității informației cu cele de protecție și contracarare specifice activităților contrainformative, a condus la apariția termenului de cyber- counterintelligence, care este definit în dicționarul militar al Departamentului de Apărare al SUA ca „ansamblul de măsuri care permit identificarea, penetrarea sau neutralizarea operațiilor desfășurate de organizații sau persoane ostile în mediul cibernetic, precum și evaluarea acțiunilor desfășurate de agențiile străine ostile pentru culegerea de informații din acest spațiu”. O evaluare realistă a amenințărilor de securitate se întemeiază pe informații oportune și precise rezultate din studierea agențiilor de culegere a informațiilor, a grupărilor teroriste, subversive și criminale și a mijloacelor și metodelor folosite de acestea, inclusiv prin studierea sistemelor cibernetice ale acestora.
Majoritatea specialiștilor de securitate înțeleg că cele trei concepte ale securității IT sunt prevenirea, detectarea și reacția și, de asemenea, lipsa unui echipament de securitate „end-to-end” care să poată acoperi două sau toate aceste concepte. De exemplu, firewall-ul și software-ul anti-virus intră în categoria prevenirii, sistemele de descoperire a intruziunilor la categoria de detectare, iar echipele de reacție la incidente de securitate intră la categoria reacție. Soluțiile de securitate cuprinzătoare includ mai multe componente hardware și software. Totuși sistemele honeypot se încadrează în două categorii majore – detectare și reacție, dar intră și în categoria măsurilor proactive datorită caracterului anticipativ și a celui de contracarare a amenințărilor. Sistemele honeypot au ca scop principal acela de a strânge cât mai multe informații despre un atac. Honeypot-ul trebuie să lucreze camuflat astfel încât atacatorul să nu știe despre prezența lui și, în consecință, informațiile strânse să ofere un avantaj de securitate pentru prevenirea atacurilor și protejarea sistemelor informaționale.
Un honeypot este o resursă de securitate a cărei valoare constă în crearea și implementarea ei pentru a fi cercetată, atacată, sau compromisă de către potențialii atacatori. Honeypot este un instrument de detectare și de răspuns, mai degrabă decât unul de prevenire, domeniu în care are o importanță mai mică. Deoarece un honeypot nu poate împiedica o intruziune specifică sau răspândirea de viruși sau viermi, acesta se limitează să colecteze informații și să detecteze modele de atac. Personalul de securitate poate reacționa cu ajutorul acestor dovezi prin construirea unei apărări mai bune și implementarea unor contramăsuri împotriva amenințărilor de securitate viitoare. Un sistem honeypot este un instrument folosit pentru a colecta probe sau informații și pentru a obține cât mai multe cunoștințe posibile, în special despre modele de atac, scopul și motivațiile hacker-ilor și programele utilizate frecvent de ei. Din toate informațiile primite, putem afla mai multe despre aptitudinile hackerilor și în mod deosebit despre cunoștințele lor tehnice, modul de operare și zona din care declanșează atacurile. Se poate spune că acesta este obiectivul principal al unui honeypot.
Cu toate acestea, există multe utilizări ale sistemelor honeypot. Acestea pot fi de asemenea folosite pentru a prinde hackeri în timp ce aceștia sunt în rețea, dar și de a redirecționa hackerii de la sistemele informaționale protejate către sistemul de tip honeypot. Personalul care gestionează sisteme de tip honeypot trebuie să aibă cunoștințe extinse în trei domenii critice – securitate, sisteme și rețele. Proiectat și operat cum trebuie, un honeypot poate fi un instrument eficient pentru colectarea de informații. Dacă este exploatat superficial, de către operatori lipsiți de experiență, un honeypot poate deveni un sistem infiltrat necontrolat și un instrument oferit în mod gratuit pentru comunitatea de hackeri. Pentru organizațiile care pun în aplicare sisteme honeypot trebuie amintit un lucru important – sistemele honeypot nu protejează rețeaua unei organizații ci mai degrabă atrage hackeri în rețea. Sistemele honeypot sunt instrumente de securitate care nu au nici o valoare reală sau de producție. Dacă sunt detectate activități sau trafic către honeypot, acest lucru poate fi suspectat ca o intruziune, acces neautorizat sau o tentativă de scanare/ cercetare.
Sistemele honeypot pot fi împărțite în două categorii generale: de producție și de cercetare. Un sistem honeypot de producție este folosit pentru a ajuta o organizație la protejarea infrastructurii sale interne de IT, iar un honeypot de cercetare este folosit pentru a acumula dovezi și informații cu scopul de a studia motivele și modelele de atac ale hackerilor. Dar, așa cum s-a menționat anterior, sistemele honeypot nu au o valoare importantă în prevenirea atacurilor, în sensul că nu vor ține hackerii în afara rețelei. Organizația trebuie în continuare să aplice politicile de securitate, precum dezactivarea serviciilor neutilizate, managementul patch-urilor și de punere în aplicare a mecanismelor de securitate cum ar fi: firewall, sisteme de detectare a intruziunilor, software anti-virus și mecanisme de autentificare sigure pentru a menține hackerii în afara infrastructurii IT a organizației. Este necesar să se asigure că honeypot-ul de producție este construit în mod corespunzător, altfel, dacă este incorect pus în aplicare, un hacker poate ajunge cu ușurință la sistem. Sistemele honeypot de producție sunt valoroase pentru organizații, în special pentru cele comerciale, deoarece ajută la reducerea riscului cu care o anumită organizație se confruntă.
Sistemele honeypot de producție consolidează securitatea organizației protejând mediul IT pentru a identifica atacurile. Aceste sisteme honeypot de producție sunt utile în prinderea hackerilor cu intenții infracționale. Implementarea acestora este relativ mai ușoară decât cea a sistemelor honeypot de cercetare. Unul dintre motive este acela că sistemele honeypot de producție au un scop mai restrâns și necesită mai puține funcții. În consecință, sistemele honeypot de producție oferă totodată mai puține dovezi despre modelele de atac și mobilul hackerilor.
Folosind sisteme honeypot de producție putem afla originea hackerilor, precum și ce fel de stații sau sistem de operare folosesc, țara din care aceștia sunt, tipul de instrumente folosit și tipurile de mecanisme de compromitere lansate. În schimb, deși prezintă un risc mai mic în exploatare, prin instalarea și exploatarea sistemelor honeypot de producție este posibil ca modul în care hackerii interacționează unii cu alții și modul în care aceștia creează arme de atac să nu fie dezvăluit. Conceptul de honeypot de producție implică asumarea riscului de a permite hackerilor să petreacă timp și să consume resurse în atacarea sistemelor honeypot în zona sistemelor de producție ale organizației. Atacatorul este păcălit, înșelat și indus în eroare să atace sistemele honeypot, protejând astfel sistemele de producție ale organizației. În prezent, atacurile devin din ce în ce mai automatizate și inovative. Totuși se pare că înșelarea atacatorilor prin utilizarea sistemelor honeypot nu are întotdeauna succes împotriva a două dintre cele mai comune atacuri de astăzi; pachetele de instrumente automatizate și viermii. Aceste unelte automate vor sonda, ataca, și exploata orice vulnerabilități găsite.
Sistemele honeypot de cercetare sunt instrumente mai complexe. Ele sunt concepute pentru a colecta cât mai multe informații despre hackeri și activitățile lor. Misiunea principală a acestor sisteme este de a cerceta amenințările cu care organizația se poate confrunta, cum ar fi:
– cine sunt atacatorii;
– modul în care aceștia sunt organizați;
– ce fel de instrumente utilizează pentru a ataca alte sisteme;
– de unde au obținut aceste instrumente.
În timp ce sistemele honeypot de producție operează mai mult ca un sistem polițienesc, sistemele honeypot de cercetare acționează ca un sistem de culegere de informații tip intelligence, având misiunea de a colecta informații despre comunitatea hackerilor. Informațiile adunate de sistemele honeypot de cercetare vor ajuta organizația să înțeleagă hackerii mai bine – modele de atac, motivele și modul în care funcționează. Având toate aceste cunoștințe despre potențialele amenințări însușite, organizația se poate pregăti mai bine pentru a se dota cu mecanismele și procesele de apărare necesare. Sistemele honeypot de cercetare sunt, de asemenea, un instrument excelent pentru a capta atacurile automate cum ar fi cele de tip auto-rooters sau warms. Cu ajutorul sistemelor honeypot de cercetare, responsabilii cu securitatea pot înțelege mai bine cele trei concepte importante în securitate: prevenirea, detectarea și reacția. Însă, pentru o mai bună organizare a infrastructurii de securitate, organizația ar trebui să folosească sistemele honeypot de producție, acestea fiind mai ușor de gestionat și pus în aplicare.
Pentru a utiliza cât mai bine sistemele honeypot de cercetare, organizația trebuie să „ofere” hackerilor sisteme de operare reale, protocoale și aplicații cu care aceștia să interacționeze. Prin urmare, sistemele honeypot de cercetare pot constitui un dezavantaj, deoarece sunt dificile și greu de implementat, prezintă un nivel de risc ridicat și de asemenea necesită personal foarte bine calificat. Totul depinde de obiectivul pe care și-l propune organizația. Dacă-și propune să-și protejeze infrastructura IT și sistemele informaționale prin detectarea și blocarea atacatorilor, atunci este recomandată folosirea unui honeypot de producție. Însă, dacă organizația dorește să-și întărească securitatea IT prin monitorizarea tehnicilor de atac, a uneltelor folosite și a activităților hackerilor pe honeypot-ul infiltrat, precum și de a-i urmări apoi în justiție, atunci este recomandată folosirea unui honeypot de tip cercetare.
Sistemele honeypot pot fi clasificate de asemenea în trei tipuri: cu interacțiune limitată; cu interacțiune medie; cu interacțiune mare.
Din punctul de vedere al instalării, configurării, și al mentenanței, sistemele honeypot cu interacțiune limitată sunt cele mai ușor de implementat. Sunt emulate serviciile de bază, precum Telnet sau FTP, iar hackerul este limitat în a interacționa doar cu aceste servicii preconfigurate. Obiectivul principal al acestui tip de honeypots este de a detecta încercările de accesare și de sondare/ examinare/ scanare.
Sistemele honeypot cu interacțiune medie nu au încă un sistem de operare real, dar serviciile emulate oferite sunt mult mai sofisticate din punct de vedere tehnic. Odată cu complexitatea sistemelor honeypot cresc și vulnerabilitățile și riscurile asociate. Pentru a construi acest tip de honeypot sunt necesare personalizarea și asigurarea unui nivel semnificativ de dezvoltare, deoarece se creează un mediu virtual care să acționeze la fel ca un sistem de operare real din mediul de producție.
Cele mai avansate sisteme honeypot sunt cele cu mare interacțiune, însă proiectarea, administrarea și mentenanța acestora necesită mai mult timp. Dintre cele trei tipuri de sisteme honeypot, acest ultim tip prezintă un risc imens, dar informațiile și probele colectate pentru analiză sunt numeroase. Scopul unei honeypot cu interacțiune mare este de a oferi acces atacatorului la un mediu de operare real, caz în care, nimic nu este simulat sau restricționat. Cu alte cuvinte, organizația sau individul care construiește acest tip de honeypot vrea ca atacatorul să poată obține drepturi de utilizator privilegiat la sistem. Acest tip de honeypot este în mod normal conectat la INTERNET non-stop. Cu acest tip de honeypot se poate afla ce fel de instrumente folosesc hackerii, țara de proveniență, mecanismele de compromitere, ce fel de vulnerabilități vizează, cunoștințele lor în hacking și modul lor de interacționare cu sistemul de operare.
Deoarece hacker-ul trebuie să compromită honeypot-ul pentru a obține acces privilegiat și posibilitatea de a acționa în libertate în sistemul de operare, acest sistem nu mai este sigur. Prin urmare, acest sistem trebuie să fie monitorizat constant, iar pentru că nivelul de risc crește, acesta trebuie diminuat prin instalarea unui „paravan de protecție” înainte de acest sistem honeypot de înaltă interacțiune. Deoarece, în cazul în care hackerul a câștigat controlul asupra sistemului de calcul, el are drepturi exclusive la sistem și poate compromite alte sisteme sau lansa atacuri de tip Distribuited Denial of Service (DDoS) împotriva altor sisteme, la nivelul firewall-ului trebuie configurate reguli pentru a permite atacatorului să pătrundă în mediul honeypot, dar să nu permită controlul total asupra sistemului și ieșirea din sectorul honeypot. Ca atare, proiectarea acestei arhitecturi și configurarea firewall-ului necesită un volum de muncă semnificativ, precum și mult timp și experiență.
În ceea ce privește plasarea acestor sisteme honeypot, acestea trebuie să fie implementate într-o locație ideală. În cazul în care organizația dorește să detecteze hackeri care pătrund în rețeaua lor privată, sistemul honeypot poate fi plasat în INTRANET, însă dacă organizația este îngrijorată mai mult de atacurile provenind din INTERNET, sistemul honeypot trebuie implementat înainte de firewall, zona demilitarizată sau înainte de firewall-ul de nivelul doi. În acest caz trebuie luate măsuri de precauție suplimentare pentru un honeypot poziționat în fața firewall-ului, deoarece acesta poate fi compromis. Sistemul honeypot implementat în fața firewall-ului va genera trafic ridicat, cum ar fi scanarea de porturi și încercări neautorizate de pătrundere. Sistemele honeypot care sunt plasate înainte de firewall, prezintă un risc crescut a de a fi atacate și compromise, dar poate descuraja pe unii hackeri, atunci când aceștia își dau seama că atacă un sistem honeypot.
O arhitectură tipică cu sisteme honeypot amplasate înainte de primul firewall (F/W1), zona demilitarizată (DMZ) sau după al doilea firewall (F/W2) este ilustrată în figura 3.6.
Plasarea honeypot (2) în DMZ (zona demilitarizată) este o idee bună deoarece DMZ este o rețea care are risc ridicat de a fi atacată. Prin plasarea sistemului honeypot (2) înainte de firewall-ul F/W2, traficul va fi mai scăzut. Numai traficul legitim este permis să treacă prin firewall-ul F/W2, iar în cazul în care se constată trafic sau utilizarea unor protocoale neautorizate cum ar fi Telnet și FTP către honeypot (2) devine evident faptul că s-a produs o intruziune. Scopul principal al introducerii unui honeypot (3) în spatele firewall-ului F/W2 este de a detecta și înregistra atacurile provenind din interior.
Figura 3.6. Arhitectura de principiu a unei rețele conținând honeypots
3.3.2. Sisteme de (counter)inteligence în spațiul cibernetic
Sun Tzu a acordat o importanță așa de mare culegerii și prelucrării informațiilor încât întreg capitolul final al lucrării sale Art of War este dedicat spionajului, care este considerat resursa cea mai importantă a suveranului sau manipularea divină a „sforilor”. Costurile culegerii de informații sunt atât de mici în comparație cu operațiile cinetice, încât este inuman să o ignori. Prin urmare „un general este câștigător în atac atunci când adversarul său nu știe ce să apere mai întâi, iar în apărare este câștigător atunci când adversarul său nu știe ce să atace cu succes”.
Proiectând reflecțiile gânditorului chinez Sun Tzu în spațiul cibernetic de astăzi, Kenneth Geers din serviciul armatei americane Naval Criminal Investigative Service (NCIS) a afirmat că „activitatea de cyber-intelligence a adversarului trebuie făcută cât mai dificil cu putință. Adversarii trebuie să lucreze din greu pentru informațiile culese și trebuie să aibă îndoieli serioase dacă informația „capturată” este și exactă. Ei trebuie forțați să piardă timp prețios, să intre în capcane digitale și să-și deconspire datele referitoare la propria identitate și intenții”.
Conceptul de rețea capcană – honeynet – a apărut în 1999 atunci când Lance Spitzner, fondatorul „Proiectului Honeynet” a publicat o lucrare numită „To Build a Honeypot”. În această lucrare Spitzner propune ca în locul dezvoltării unor tehnologii care simulau sisteme singulare pentru a atrage atacatorii, să fie implementate sisteme reale în spatele unor sisteme firewall. În accepțiunea de bază un honeynet este un tip de honeypot cu interacțiune mare. Astfel, nimic nu este emulat, toate aplicațiile, serviciile și sistemele de operare fiind reale, ca în orice mediu de lucru. O caracteristică importantă care separă un honeypot de mare interacțiune de un honeynet este faptul că un sistem honeynet conține mai multe sisteme de tip honeypot. Un honeynet este o rețea de multiple sisteme care conferă iluzia unei rețele normale. Monitorizarea, înregistrarea și combaterea activităților atacatorilor are loc prin această rețea, mai exact prin dispozitivele de acces la rețea. Pe baza acestor lucruri se poate formula următoarea definiție pentru un sistem de tip honeynet. Așadar, un sistem honeynet este o rețea compusă din sisteme honeypot de mare interacțiune care simulează o rețea normală și este configurată astfel încât orice activitate să fie monitorizată și înregistrată și într-o oarecare măsură controlată, prin implementarea unui mediu de lucru atent supravegheat. Toate aplicațiile și serviciile sunt reale, deși sistemele din cadrul acestui honeynet sunt considerate sisteme honeypot. La nivelul sistemelor nu e făcută nici o modificare, precum instalarea unor unelte de monitorizare sau implementarea unor medii de lucru închise. Acest lucru face ca rețelele honeynet să fie cele mai autentice, precum și interactive, dintre toate sistemele honeynet. Sunt posibile mai multe tipuri de implementări, în funcție de nevoi, acest lucru făcând rețele de tip honeynet mai flexibile și mai eficiente, având posibilitatea de a captura informații cuprinzătoare despre aplicații, servicii sau oricare sisteme care se află in mediile de lucru normale.
Ca și în cazul sistemelor honeypot, scopul principal al unei rețele honeynet este cel de a strânge informații despre metodele, tehnicile și motivația atacatorilor. Însă, datorită arhitecturii extensive și a flexibilității sale, o rețea honeynet este ideală pentru monitorizarea rețelelor foarte mari. Cheia arhitecturii unui honeynet este poarta de intrare – gateway, care este practic dispozitivul ce controlează accesul în rețea, izolând sistemele honeypot de restul rețelei. Spre deosebire de sistemele honeypot în care mecanismul de captură și control este aflat pe sistemele honeypot, la nivelul unei rețele honeynet acest mecanism este reprezentat de interfața honeynet gateway. Aceasta are rolul de a colecta și de a controla fluxul de date de intrare și ieșire și trebuie să îndeplinească două cerințe critice: controlul și captarea datelor. Controlul datelor implică izolarea acțiunilor atacatorilor la nivelul sistemului honeynet, acesta contribuind la diminuarea riscurilor. Deoarece rețelele honeynet reprezintă practic sisteme honeypot cu interacțiune mare, atacatorii interacționează cu sisteme reale și au o libertate de mișcare ridicată și de aceea mai multe informații pot fi aflate urmărind activitățile acestora. Această situație prezintă o dilemă neobișnuită, între a se oferi libertate de mișcare atacatorilor pentru a afla mai multe date despre aceștia sau a li se limita activitățile pentru a preveni compromiterea altor sisteme care nu fac parte din honeynet. Trebuie eliminată posibilitatea ca atacatorul să atace sau să compromită sisteme din afara rețelei honeynet, în caz contrar sistemul honeynet nu a dat doar greș, ci a devenit chiar un risc de securitate.
A doua cerință a rețelelor capcană honeynet este captarea datelor constând în monitorizarea și înregistrarea tuturor acțiunilor. Este recomandată folosirea mai multor mecanisme de captare a datelor pentru redundanță, pentru că aceste activități asigură marea majoritate a datelor folosite pentru îmbunătățirea securității sistemelor informatice și de comunicații.
Conform unor lucrări de specialitate, există mai multe tipuri de rețele de tip honeynet, în funcție de arhitectura fizică și logică a acestora:
– rețele honeynet standard;
– rețele honeynet distribuite;
– rețele honeynet virtuale.
Astfel, rețele honeynet standard sunt limitate din punct de vedere geografic și logic, în timp ce rețelele honeynet distribuite sunt compuse din mai multe rețele honeynet și sunt implementate în rețele întinse în întreg spațiul INTERNET. Rețelele de tip honeynet virtuale sunt rețele limitate fizic și implementate într-un singur sistem. Fiecare tip de sisteme sau rețea capcană reprezintă un anumit raport între complexitatea instalării și operării și completitudinea datelor obținute despre atacatori în vederea contracarării amenințărilor pe care le reprezintă acțiunile lor.
Având în vedere că pe lângă creșterea exponențială a numărului de incidente de securitate din spațiul cibernetic, a crescut în mod proporțional și complexitatea atacurilor dar, mai ales, gradul de sofisticare a mijloacelor și tehnicilor de atac, în ultimul timp au apărut și dezvoltat metode, instrumente și procedee de apărare cibernetică activă. Astfel, componenta reactivă și cea preventivă referitoare la incidentele de securitate cauzate de amenințările TESSO din spațiul cibernetic sau dovedit a nu mai fi suficiente pentru asigurarea securității informaționale în mediul cibernetic și a trebuit să fie completată cu forme proactive de luptă defensivă în spațiul cibernetic. Astfel în acest subcapitol au fost identificate și descrise cel puțin două forme proactive de apărare cibernetică activă: prima este bazată pe principiul identificării adversarului prin culegerea de informații despre potențialul atacator, țintele care îl interesează și mijloacele folosite (intelligence), iar a doua se bazează pe cunoașterea tehnicilor adversarului și pe interacțiunea cu acesta prin aplicarea principiilor înșelării și al interacțiunii disimulate, care să conducă la contracararea cauzelor atacurilor (counterintelligence).
Aplicarea acestor două metode este mai riscantă dar, în același timp, mai productivă în ceea ce privește efectele pe termen mediu asupra stării de securitate informațională.
CONCLUZII ȘI PROPUNERI
În domeniul și în zonele adiacente securității informaționale, există o multitudine de concepte cu care se operează, ceea ce a necesitat un efort aparte pentru clarificarea și utilizarea unitară și uniformă a unor termeni precum: protecția informațiilor clasificate (PIC), securitatea informațiilor, securitatea calculatoarelor (COMPUSEC), securitatea informațiilor în sisteme informatice și de comunicații (INFOSEC), siguranță informațională, securitate informațională (Information Assurance), reziliență informațională, guvernanță informațională, continuitatea informațională a unui proces (Business Information Continuity), etc.
Aceste concepte sunt interconectate, întrepătrunse și uneori chiar parțial suprapuse, dar au la bază scopul comun de asigurare a confidențialității, integrității și disponibilității informației, iar diferențele țin, în general, de modul de abordare a problematicii, de metodologiile utilizate și de ariile de aplicare studiate.
Domeniul tratat în teză ”Securitatea informațională în spațiul cibernetic” este unul multidisciplinar, care conține mai multe fațete ale unor discipline sau procese diferite care concură la realizarea stării de securitate informațională: de la politici și strategii de securitate până la mecanisme de implementare, de la reacția la incidente până la educație de securitate, de la mijloace de atac informatic până la instrumente de contracarare a acestora, de la proceduri de acreditare până la metodologii de audit, de la analiza amenințărilor și vulnerabilităților din spațiul cibernetic până la managementul integrat al riscurilor și de la spionaj și terorism în spațiul virtual până la investigații digitale (computer forensic), toate proiectate în dimensiunea spațiului cibernetic.
În contextul conflictelor prezente și viitoare, formele și dimensiunile războiului sunt analizate din perspectiva proliferării tehnologiilor informaționale avansate în cadrul operațiilor militare, fapt ce revoluționează tehnica militară și, pe cale de consecință, acțiunile militare. Acest fenomen a condus la schimbarea tehnologiilor, dezvoltarea sistemelor și inovațiilor în plan operațional. În perioada războiului clasic și modern, războiul a urmărit realizarea unor obiective strict naționale, însă în condițiile globalizării acesta a evoluat, de la stadiul de violență organizată, la cel de influențare ostilă, în care scopul principal este determinarea și controlul funcționării unui sistem socio-politic, și nu distrugerea acestuia. În acest mod, informația a transformat fundamental formele clasice, mijloacele, scopurile și dimensiunile conflictelor, astfel încât astăzi se vorbește demult despre războiul informațional.
Din punct de vedere conceptual, războiul informațional a cunoscut o continuă dezvoltare, atât în cadrul dezbaterilor publice dar și în cadrul unor adevărate școli de gândire dezvoltate în institute de cercetare din întreaga lume. Unele națiuni au avut dezvoltări colective, instituționale ale conceptului și aplicațiilor acestuia, printre cele mai avansate fiind SUA, Marea Britanie, Franța, China, Australia și Rusia. Astfel, la nivelul conducerii armatei SUA, se consideră că războiul informațional este, în plan strategic „o activitate militară de contracarare a acțiunilor specifice războiului de comandă și control, manifestată prin asigurarea integrală a securității operațiilor, folosirea inducerii în eroare a structurilor militare adversare, operațiunii psihologice de mică sau mare amploare, influențarea, degradarea și distrugerea capacităților de comandă și control al acesteia, protecția capacităților militare de comandă și control ale aliaților, contra-acțiunea adversarilor”. Ultima definiție a armatei SUA pentru operațiile informaționale, care pare a fi unanim acceptată, este cea dată în manualul de luptă FM 3-13 (Information Operations: Doctrine, tactics, Technics and Procedures, 2003), ca fiind „angajarea capabilităților de bază de război electronic, operații în rețele de calculatoare, operații psihologice, inducerea în eroare și securitatea operațiilor în concomitență cu utilizarea capabilităților de suport și de sprijin pentru a afecta sau proteja informațiile și sistemele informaționale și a influența luarea procesul de luare a deciziilor”.
Conflictul cibernetic este strict determinat de cel informațional și cel bazat pe rețea și reprezintă o formă concretă, particularizată pentru perioadele de criză și război, a acestuia. Conflictul cibernetic nu trebuie confundat cu acțiunea hackerilor sau cu infectarea aleatoare cu viruși informatici a unor rețele de calculatoare. El se compune dintr-un sistem de acțiuni care vizează îndeosebi perturbarea sau „orbirea“, prin toate mijloacele, a rețelelor informaționale adverse, protecția celor proprii, dezinformarea adversarului și intoxicarea informațională a acestuia. Conform gl.dr. Mircea Mureșan, gl.bg.(r) dr. Ghe. Văduva, în lucrarea Războiul viitorului, viitorul războiului, principiile strategiei acestui tip de război constau în controlul surselor, rețelelor și purtătorilor de informații, diversiunea informațională, manevra informațională, și cel al securității informaționale.
Războiul cibernetic determină și dezvoltarea unor strategii și doctrine noi de organizare și ducere a acțiunilor, în măsură să răspundă unor noi întrebări de genul: ce tipuri de forțe sunt necesare, unde și cum se desfășoară, cum pot lovi inamicul, unde și când se poziționează sistemele informatice și de comunicații, ce tip de computere, senzori, rețele și baze de date se utilizează. Ca inovație a războiului, războiul cibernetic a devenit pentru secolul XXI, ceea ce ,,războiul fulger” (blitzkrieg) a fost pentru secolul XX. Simplificând la minim, războiul cibernetic reprezintă o extensie a importanței acordată în trecut acțiunilor pentru obținerea informațiilor în război: deținerea superiorității cu ajutorul sistemelor de comandă control și realizarea surprinderii adversarului prin descoperirea, localizarea și inducerea în eroare a acestuia.
Clasificarea tipurilor de atac asupra unui sistem informatic și de comunicații sau a unei rețele de astfel de sisteme, precum și a incidentelor provocate este destul de dificilă și uneori relativă în ceea ce privește exactitatea. În lucrarea Information warfare: Its applications in military and civilian contexts, autorii B. Cronin și H. Crawford au prezentat circumstanțele, indicatorii și aspectele de care trebuie să ținem cont atunci când încercăm să analizăm amploarea fenomenului de război informațional în era globalizării și a tehnologiei informației. Analiza acestor indicatori evolutivi cu implicații profunde asupra circumstanțelor și modalităților de ducere a războiului informațional a permis autorilor să tragă câteva concluzii absolut importante:
numărul incidentelor de securitate raportate din spațiul cibernetic, în mod natural mai mic decât numărul real, a crescut exponențial (de 1000 de ori în 15 ani), pe fondul sofisticării, înmulțirii și ușurinței accesării armelor de atac cibernetic și al scăderii nivelului general de protecție a calculatoarelor și rețelelor de calculatoare
numărul țărilor care și-au dezvoltat puternice capabilități de război informațional la nivel statal a crescut, odată cu accentuarea dependenței organizațiilor guvernamentale, private, economice și de altă natură de infrastructurile informaționale proprii;
se remarcă o creștere constantă și semnificativă a implicării tehnologiei informaționale în spionajul economic, criminalitatea organizată și în activitățile teroriste, simultan cu o mutare a accentului din zona strict militară către cea civilă, privată, economică și individuală.
Caracteristica comună a confruntărilor din spațiul cibernetic este raportul antagonic continuu stabilit între amenințările care se manifestă în spațiul cibernetic – terorism, spionaj, sabotaj, subversiune și crimă organizată, pe de o parte și securitatea informațională pe de altă parte. Aceste amenințări se manifestă într-un mediu foarte larg, oferit de războiul informațional, într-o accentuată interferență conceptuală și acțională între războiul electronic, cel al hackerilor, cel psihologic, economic și între o tipologie complexă a atacurilor informatice.
Terorismul cibernetic se manifestă la convergența dintre terorism și spațiul cibernetic. Acesta se referă la atacuri ilegale și amenințări cu atacuri împotriva computerelor, rețelelor și a informațiilor stocate, cu scopul de a intimida sau a exercita presiuni asupra unui guvern sau asupra populației pentru a îndeplini anumite obiective politice sau sociale. În plus, poate fi considerat terorism cibernetic un atac cu urmări violente asupra unor persoane sau proprietăți, sau care produce daune suficiente pentru a genera teamă. Pot fi considerate ca exemple atacurile care conduc la moarte ori răniri de persoane, explozii ori pierderi economice semnificative. De asemenea, în funcție de impact, atacurile împotriva infrastructurilor critice ar putea fi considerate atacuri specifice terorismului cibernetic.
Spionajul cibernetic care se adresează deopotrivă organismelor militare, figurează pe locul trei din primele zece amenințări de securitate în 2008 guvernamentale, economice și individuale. Pierderile cauzate de acest gen de activitate celor mai mari 1.000 de companii din lume se ridică la peste 45 de miliarde dolari pe an. Țintele cele mai vizate de către infractorii cibernetici sunt indicatorii despre cifrele de afaceri și preferințele clienților, informațiile despre produsele noi, datele financiare și informațiile despre procesele de fabricație.
Subversiunea în mediul cibernetic are la bază câteva avantaje majore ale manifestării unor tehnici subversive în acest spațiu, dintre care se pot număra: gratuitatea și modul anonim de înregistrare a atacatorilor, numărul mare de membri potențiali receptori, accesul global, investițiile minime comparativ cu media tradițională, interesul crescut al reprezentanților media pentru sursele de informare din mediul electronic, multiplele modalități de accesare a INTERNETULUI în mod anonim, slaba reglementare a domeniului virtual etc. Modul de utilizare poate facilita atingerea unor scopuri importante pentru adversar: propagandă și prozelitism, prezentarea de informații trunchiate, dezinformare sau prezentarea unor informații, inclusiv sub formă audio și video, care pot zdruncina moralul adversarului (execuții, imagini cu prizonieri, etc.).
Sabotajul infrastructurilor critice este la fel de facil de realizat în mediul cibernetic, având în vedere dependența acestora de sistemele informaționale proprii, de către grupuri criminale, servicii de informații ostile, hackeri, organizații activiste, operații ale războiului informațional și atacatori din interior.
Criminalitatea informatică poate avea trei ipostaze definitorii: computerul ca țintă a unei fapte penale (ex.: accesarea neautorizată a datelor clasificate dintr-un server), computerul ca mijloc de realizare a unei fapte penale (ex.: folosirea computerului pentru falsificarea unor înscrisuri oficiale) sau computerul ca mijloc de stocare a unor eventuale probe (ex.: liste de email sau pagini WEB accesate, fotografii și documente).
Protecția informațiilor prin clasificarea acestora este o practică regăsită în toate statele lumii. Informațiile, ca expresie a importantelor interese ale securității naționale, circumscrise valorilor economice, politice, tehnico-științifice și de altă natură, pe care se fundamentează existența liberă a cetățeanului, societății și statului, cunosc în toate statele și din toate timpurile o protecție juridică specială, fiindu-le stabilit un regim aparte, acela al secretului de stat. Prin diseminarea fără control a informațiilor pot fi afectate interesele și imaginea statului (securitatea națională), ale unei organizații (persoană juridică de drept public sau privat) ori ale unei persoane fizice. Securitatea informațiilor clasificate și prevenirea scurgerii acestora în activitatea de informare publică se află în atenția autorităților publice și militare din toate țările lumii și este considerată una din condițiile asigurării securității naționale.
Managementul informațiilor clasificate presupune instituirea unui cadru normativ, crearea unui sistem național de protecție, implementarea standardelor de securitate în toate structurile care gestionează informații clasificate, desfășurarea formelor adecvate de pregătire și crearea instrumentelor de control, pentru prevenirea încălcărilor reglementărilor de securitate și a mecanismelor de reacție la incidentelor de securitate. Activitatea de protecție a informațiilor cuprinde următoarele domenii specifice: securitatea organizatorică (juridică, procedurală), securitatea personalului, securitatea fizică, securitatea documentelor, securitatea industrială și securitatea sistemelor informatice și de comunicații (INFOSEC).
În România, Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin H.G. nr. 585/2002, reglementează regulile generale privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor secrete de stat, normele privind accesul la informații clasificate, precum și procedura verificărilor de securitate precum și obligațiile și răspunderile autorităților și instituțiilor publice, ale operatorilor economici și ale altor persoane juridice, pentru protecția informațiilor secrete de stat. Totodată aceste standarde naționale stabilesc cadrul legal privind: clasificările informațiilor secrete de stat, normele privind măsurile minime de protecție în cadrul fiecărei clase și declasificarea, condițiile do fotografiere, filmare, cartografiere și executare a unor lucrări de arte plastice în obiective sau locuri de importanță deosebită pentru protecția informațiilor secrete de stat, regulile privitoare la accesul străinilor la informații secrete de stat, regulile de identificare și marcare, inscripționările și mențiunile obligatorii pe documentele secrete de stat în funcție de nivelurile de secretizare, cerințele de evidență a numerelor de exemplare și a destinatarilor, termenele și regimul de păstrare, interdicțiile de reproducere și circulație precum și modalitățile de exercitare a controlului, constatare a contravențiilor și aplicare a sancțiunilor la regimul protecției informațiilor clasificate.
Securitatea informației în SIC – INFOSEC reprezintă atingerea și menținerea obiectivelor de securitate care constau în păstrarea confidențialității, integrității și disponibilității informației. Acestea sunt definite astfel: confidențialitate – asigurarea că informațiile sunt accesibile numai persoanelor autorizate; integritate – ocrotirea corectitudinii și completitudinii informației și metodelor de procesare ale acesteia; disponibilitate – asigurarea că utilizatorii autorizați au acces la informație și bunurile asociate când este necesar. INFOSEC, ca disciplină care reglementează securitatea informațiilor în sistemele informatice și de comunicații, are la bază următoarele principii, conform HG 585 / 2002 privind Standardele naționale de protecție a informațiilor clasificate: principiul analizei de risc, principiul convergenței măsurilor de securitate în domeniul protecției personalului, protecției fizice și protecției comunicațiilor, principiul acreditării de securitate, principiul trasabilității evenimentelor de securitate, principiul raportării incidentelor de securitate, principiul proporționalității măsurilor de securitate cu nivelul de clasificare al informațiilor procesate, principiul funcționării unei componente INFOSEC distincte de cele de proiectare și exploatare.
Foarte important este principiul separării entităților cu atribuții INFOSEC în trei subdomenii, entități, agenții, autorități: o autoritate / agenție pentru acordarea acreditării de funcționare în regim de securitate, o autoritate / agenție care elaborează și implementează metode, mecanisme și măsuri de securitate și o autoritate / agenție responsabilă cu protecția criptografică.
În ultimii ani, în multe armate din țările membre NATO, precum și în cadrul comunităților guvernamentale, de afaceri și academice, conceptul INFOSEC este înlocuit, sau mai bine zis dezvoltat cu cel de securitate informațională – INFORMATION ASSURANCE, care a adăugat la cele trei obiective INFOSEC încă două: autenticitatea, care trebuie să asigure faptul că identitatea utilizatorilor și documentele în format electronic sunt originale și nu au fost falsificate, și non-repudierea, care garantează faptul că o parte – entitate a unei operații / tranzacții nu poate nega faptul că a realizat acest lucru. De asemenea sunt introduse, dezvoltate și implementate noi concepte și principii ale securității informațiilor în sistemele informatice și de comunicații, cum ar fi: principiul apărării în adâncime, managementul strategic al riscurilor, mecanismul auditului de securitate, crearea capabilităților de detecție și reacție la incidentele de securitate – CERT (Computer Emergency Response Team), capabilități de investigații digitale – computer forensic, educație și cultură de securitate.
Definiția adoptată în toată literatura de specialitate pentru securitatea informațională, este ca fiind ,,totalitatea măsurilor care protejează și apără informațiile și sistemele care le gestionează, asigurându-le disponibilitatea, integritatea, autenticitatea, confidențialitatea și non-repudierea. Aceste măsuri trebuie să le includă pe cele privind asigurarea refacerii informațiilor și a sistemelor informaționale prin crearea capabilităților de protecție, detecție și reacție”.
Pentru verificarea modului de organizare și administrare a securității în cadrul structurilor care gestionează informații clasificate, în scopul cunoașterii, prevenirii, contracarării și limitării / eliminării oricăror vulnerabilități, riscuri sau incidente de securitate se execută auditul de securitate (consiliere, inspecții, controale, investigații, cercetări, etc.). Auditul de securitate vizează toate domeniile securității, activitatea structurilor cu responsabilități, precum și personalul care gestionează informații sau sisteme informaționale. auditul de securitate a informațiilor are ca scop evaluarea eficienței măsurilor concrete de protecție adoptate în conformitate cu actele normative în vigoare precum și cu Politica de securitate existentă la fiecare organizație dar și identificarea vulnerabilităților existente în sistemul de protecție a informațiilor, care ar putea conduce la compromiterea acestor informații, în vederea luării măsurilor de prevenire necesare. Alte obiective importante ale auditului de securitate sunt luarea măsurilor de remediere a deficiențelor și de perfecționare a cadrului organizatoric și funcțional la nivelul structurii controlate și constatarea cazurilor de nerespectare a normelor de protecție a confidențialității, integrității și disponibilității informațiilor și aplicarea sancțiunilor contravenționale sau, după caz, sesizarea organelor de urmărire penală, în situația în care fapta constituie infracțiune.
Auditul de securitate cuprinde, pe lângă efectuarea controalelor și evaluarea nivelurilor de risc pe domeniile securității, cât și consilierea șefilor structurilor controlate asupra nivelului riscului asumat și a măsurilor de diminuare a riscurilor evaluate în cadrul inspecției pe linia securității informațiilor. De asemenea auditul de securitate presupune și o informare reciprocă a echipei de inspecție și a conducerii structurii controlate asupra nivelurilor și formelor de manifestare a amenințărilor la adresa securității personalului, locului de dislocare și operațiilor executate de această structură. Așadar, activitățile de audit de securitate trebuie să cuprindă activități precum briefingul de securitate, determinarea tipurilor și nivelurilor de amenințare la adresa securității, controlul specific, pe domeniile securității, determinarea vulnerabilităților pe linia securității, evaluarea riscurilor de securitate, elaborarea fișei riscurilor, stabilirea în comun a planului de măsuri pentru eliminarea deficiențelor și vulnerabilităților și consilierea conducerii asupra managementului riscurilor asumate.
Securitatea informațională (information assurance) este strâns legată de securitatea informației (information security), dar are o cuprindere mai largă și include conceptele de siguranță informațională (information reliability) și, în mod special pe cel de management strategic al riscurilor, pe lângă mecanismele, instrumentele și procedurile de securitate. Pe lângă stabilirea măsurilor și acțiunilor de apărare împotriva atacurilor informatice, securitatea informațională mai include și alte elemente tipice guvernanței unei organizații, cum ar fi continuitatea procesului (business continuity), recuperarea datelor în cazul unor dezastre sau calamități, acceptanță și compatibilitate, etc. Pe de altă parte, dacă securitatea informației poate fi privită ca o proiecție specifică a științei calculatoarelor în domeniul securității în general, atunci securitatea informațională poate fi considerată ca un set de proiecții multidisciplinare, incluzând teoria managementului, criminalistică, justiție, antiterorism, standarde de auditare, ingineria sistemelor, etc. Așadar, securitatea informațională nu se poate suprapune doar cu securitatea calculatoarelor sau cu INFOSEC, deoarece conține elemente de securitate care nu implică calculatoarele sau mijloacele de comunicații.
În continuare s-a realizat o identificare, delimitare, definire și o descriere a principalelor concepte din domeniul securității informaționale, precum și evidențierea diferențelor, suprapunerilor și complementarității acestora. Totodată s-a făcut o trecere în revistă a principalelor standarde de securitate a informației, pe baza comparației domeniului de reglementare, a ariei de aplicare, a criteriilor și normelor de evaluare stabilite atât pentru auditarea sistemelor informaționale existente, cât și pentru proiectarea celor noi. Aceste standarde de securitate sunt de asemenea și un instrument foarte puternic la dispoziția managementului organizațiilor, pentru care auditul de securitate și managementul riscurilor reprezintă resurse importante pentru conducerea eficientă a organizațiilor
Măsurile de protecție a informației și de asigurare a securității reprezintă un sistem organizat de măsuri defensive dar și proactive, instituit și menținut la nivelul echipei de conducere a unei organizații, pentru contracararea amenințărilor de securitate. Prin măsurile de protecție a securității se realizează demascarea încercărilor de penetrare a sistemului de securitate, prevenirea culegerii de informații și a acțiunilor cu caracter terorist, subversiv, diversionist sau criminal, furnizarea standardelor minime de securitate care să fie aplicate în organizații, prevenirea accesului neautorizat la informații sensibile sau clasificate, a distrugerii / alterării informațiilor în sistemele de comunicații și informatice precum și asigurarea sprijinului necesar investigațiilor de specialitate în cazul incidentelor de securitate.
Întrucât securitatea nu este un domeniu abstract, ci se realizează pentru oameni și împreună cu oamenii, este necesară realizarea educației de securitate, prin organizarea de cursuri de pregătire, convocări de specialitate, briefinguri pe teme specifice și alte forme de pregătire pentru personalul din structurile care dețin și gestionează informații clasificate, realizând-se astfel o cultură de securitate la nivelul organizației. Educația de securitate se realizează prin pregătirea și instruirea personalului care are acces/ gestionează sau urmează să aibă acces/ să gestioneze informații clasificate. Pregătirea și instruirea de securitate se efectuează planificat și are caracter permanent, în scopul cunoașterii, prevenirii, contracarării și eliminării vulnerabilităților, riscurilor și incidentelor de securitate.
Toate organizațiile recunosc nevoia de a răspunde strategic la noile forme de amenințare apărute din domeniul cibernetic, unde s-au înregistrat salturi majore privind dezvoltarea tehnologiilor utilizate, atât din preocuparea pentru protecția sistemelor și datelor proprii, cât și din dorința de a instrumenta acest nou mediu pentru avantaje competitive. Din această perspectivă, unul din principalele obiective în domeniul securității informațiilor în sistemele informatice și de comunicații – INFOSEC, îl constituie găsirea unei soluții viabile de contracarare a acțiunilor de tip cyberwar. Ca formă de reacție, apărarea cibernetică (cyber defence) se constituie ca un set complex de măsuri și acțiuni defensive în vederea prevenirii acțiunilor ofensive și asigurarea răspunsului eficient și prompt la atacuri cibernetice.
În formularea strategiilor de apărare cibernetică trebuie să se aibă în vedere aspecte care țin de multidisciplinaritatea domeniului INFOSEC care abordează aspecte privind securitatea personalului, fizică și a documentelor, securitatea IT și cea industrială, de capacitatea de reacție care trebuie să fie aptă să răspundă la cele mai diverse și imprevizibile forme de agresiune cibernetică. Totodată, apărarea cibernetică reprezintă și o formă complementară de cooperare între persoane, organizații, alianțe și state pentru combaterea terorismului și criminalității cibernetice. Apărarea împotriva atacurilor cibernetice este deosebit de complexă și presupune mult mai mult decât folosirea unor proceduri simple sau unui sistem de protecție singular. Ca răspuns imediat la agresiunile informatice, specialiștii au căutat să definească noi soluții de apărare cibernetică, care s-au concretizat într-un set complex de acțiuni ofensive și defensive.
Dacă acțiunile ofensive țin mai mult de domeniul militar, este recunoscut faptul că măsurile defensive sunt rezultatul unei colaborări eficiente a societății civile cu organizațiile militare. Astfel, la ora actuală se poate afirma că s-au dezvoltat și implementat atât la nivelul societății civile, cât și în domeniul militar, acțiunile defensive pentru răspuns la incidentele de securitate IT în majoritatea țărilor dezvoltate. Aceste acțiuni sunt desfășurate de structuri specializate cunoscute sub denumirea de Computer Emergency Response Team (CERT). În prezent, NATO și statele membre sunt expuse riscului de atacuri cibernetice care pot afecta activele lor fizice sau informaționale, acțiunile acestora derulate în plan internațional sau imaginea publică a acestora. Astfel de atacuri se pot desfășura în scopul dezinformării, spionajului electronic pentru obținerea avantajului competitiv global, modificării clandestine a datelor sensibile din cadrul teatrelor de operații sau pentru alterarea sau întreruperea funcționării unor infrastructuri critice naționale, cum ar fi cele de energie, apă, combustibil, comunicații, bancare sau transport, care sunt esențiale pentru funcționarea societății și economiei. În plan militar acestea pot urmări sabotajul, subversiunea, spionajul sau terorismul și sunt concretizate în exploatarea/provocarea unor scurgeri de informații, împiedicarea desfășurării misiunilor, provocarea unor anomalii în cursul de desfășurare al operațiilor, etc.
Dezvoltarea fără precedent în domeniul tehnologiei informatice, la nivel mondial, are și o parte negativă: producerea unor fapte antisociale, denumite “criminale” atât în dreptul internațional penal, cât și în rapoartele prezentate de specialiști ai informaticii. Toate aspectele legate de faptele săvârșite în domeniul informatic sunt denumite generic „criminalitate informatică” sau „infracționalitate informatică”. Investigațiile digitale reprezintă o activitate deosebit de complexă, interdisciplinară, aflată la intersecția dintre știința calculatoarelor, securitatea informației, justiție și criminalistică. Ele urmăresc descoperirea, prelevarea, documentarea și utilizarea probelor digitale în instanță, pentru dovedirea unor infracțiuni. Scopul unei investigației informatice este de a colecta cât mai multe date cu privire la intruziune, drepturi de accesare și de modificare a fișierelor, stabilire a timpilor de activare / dezactivare a anumitor servicii de securitate, de a obține informații care să clarifice vulnerabilitățile exploatate și posibilele locații virtuale, menționând aici adresa / adresele de IP folosite de intrus și chiar stabilirea tuturor persoanelor care au avut acces fizic la sistemul exploatat. Totodată, investigația informatică trebuie să stabilească cum a reușit atacatorul să pătrundă în sistem și de ce a ales acest sistem, să documenteze toate pagubele produse de atacul informatic și să colecteze cât mai multe informații pe baza cărora să se stabilească dacă vor fi implicate structurile de aplicare a legii.
În general, reglementările, procedurile, structurile și activitățile legate de protecția informațiilor clasificate, securitatea informațiilor în sistemele informatice și de comunicații (INFOSEC) și chiar de securitatea informațională (information assurance) au un caracter preponderent reactiv, deși insistă foarte mult pe și pe latura preventivă prin audit de securitate, managementul riscurilor și educație de securitate. Ceea ce este insuficient este o abordare proactivă a securității informaționale, care trebuie să implementeze și concepte, mijloace și proceduri care țin de activitatea clasică de contrainformații, aplicate în domeniul asigurării protecției informațiilor sensibile sau clasificate precum și a sistemelor pe care acestea se procesează și stochează și a personalului care le exploatează. Astfel, șeful Comitetului Național de Contrainformații (National Counterintelligence Executive) al SUA, Joel Brenner a afirmat la o conferință în 2009 că abordarea unui concept sau a unei operații este diferită din punct de vedere contrainformativ, față de cel al securității. Astfel, potrivit spuselor sale „dacă un responsabil de securitate observă o vulnerabilitate sau o breșă într-un sistem informațional, el nu face decât să acopere breșa și să elimine vulnerabilitatea, punctual. Abordarea contrainformativă constă în a stabili și a înțelege cine a creat acea breșă de securitate, cum este utilizată vulnerabilitatea și cum poate fi transformată într-un instrument de contracarare a adversarului care vrea să o utilizeze.”
Combinarea conceptelor, procedurilor, tehnicilor și mijloacelor specifice domeniului securității informației cu cele de protecție și contracarare specifice activităților contrainformative, a condus la apariția termenului de cyber-counterintelligence, care este definit în dicționarul militar al Departamentului de Apărare al SUA (DoD Dictionary of military and associated terms) ca ”ansamblul de măsuri care permit identificarea, penetrarea sau neutralizarea operațiilor desfășurate de organizații sau persoane ostile în mediul cibernetic, precum și evaluarea acțiunilor desfășurate de agențiile străine ostile pentru culegerea de informații din acest spațiu”. O evaluare realistă a amenințărilor de securitate se întemeiază pe informații oportune și precise rezultate din studierea agențiilor de intelligence, a grupărilor teroriste, subversive și criminale și a mijloacelor și metodelor folosite, inclusiv prin studierea sistemelor cibernetice ale acestora.
Majoritatea specialiștilor de securitate sunt de acord că cele trei concepte fundamentale ale securității IT sunt prevenirea, detectarea și reacția și, de asemenea, că lipsește un echipament de securitate end-to-end care să poată acoperi măcar două sau toate aceste concepte. De exemplu sistemul tip firewall și software-ul anti-virus intră în categoria prevenirii, sistemele de descoperire a intruziunilor la categoria de detectare, iar echipele de reacție la incidente de securitate intră la categoria reacție. Din această cauză s-au dezvoltat soluții și tehnologii de securitate cuprinzătoare, care să includă mai multe componente hardware și software, să acopere măcar două din cele trei concepte fundamentale ale securității informației și să permită și aplicare unor proceduri proactive. Astfel, în această categorie pot fi incluse sistemele honeypot care se adresează la două concepte fundamentale – detectare și reacție, dar intră și în categoria măsurilor proactive datorită caracterului anticipativ și a celui de contracarare a amenințărilor. Sistemele honeypot au ca scop principal acela de a strânge cât mai multe informații despre un atac. Un sistem honeypot trebuie să lucreze în mod camuflat, astfel încât atacatorul să nu știe despre prezența lui și, în consecință, informațiile strânse să ofere un avantaj informațional pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice, realizând astfel protejarea sistemelor informaționale.
Proiectând în spațiul cibernetic de astăzi, reflecțiile gânditorului chinez SUN TZU referitoare la importanța culegerii și exploatării informațiilor într-o bătălie, Kenneth Geers, din serviciul de Investigații al Marinei Americane (Naval Criminal Investigative Service – NCIS) al armatei americane a afirmat că „activitatea de cyber-intelligence a adversarului trebuie făcută cât mai dificil cu putință. Adversarii trebuie să lucreze din greu pentru informațiile culese și trebuie să aibă îndoieli serioase dacă informația „capturată” este și exactă. Ei trebuie forțați să piardă timp prețios, să intre în capcane digitale și să-și deconspire datele referitoare la propria identitate și intenții”.
În această idee, conceptul de rețea capcană – honeynet – a apărut în 1999 atunci când Lance Spitzner, fondatorul „Proiectului Honeynet” a publicat o lucrare numită „To Build a Honeypot”, în care propune ca în locul dezvoltării unor tehnologii care simulau sisteme singulare pentru a atrage atacatorii, să fie implementate sisteme reale în spatele unor sisteme firewall. Astfel un sistem honeynet este un tip de honeypot cu interacțiune mare, în care nimic nu este emulat, toate aplicațiile, serviciile și sistemele de operare fiind reale, ca în orice mediu de lucru. Din această cauză un honeynet este o rețea de sisteme multiple care oferă iluzia unei rețele normale. Monitorizarea, înregistrarea și combaterea activităților atacatorilor are loc prin această rețea, mai exact prin dispozitivele de acces la rețea. Așadar, un sistem honeynet este o rețea compusă din sisteme honeypot de mare interacțiune care simulează o rețea normală și este configurată astfel încât orice activitate să fie monitorizată și înregistrată și intr-o oarecare măsură controlată, prin implementarea unui mediu de lucru atent supravegheat. Toate aplicațiile și serviciile sunt reale, deși sistemele din cadrul acestui honeynet sunt considerate sisteme honeypot. La nivelul sistemelor nu e făcută nici o modificare precum instalarea unor unelte de monitorizare sau implementarea unor medii de lucru închise, iar acest lucru face ca rețelele honeynet să fie cele mai autentice și mai interactive dintre toate sistemele honeynet. Sunt posibile mai multe tipuri de implementări, în funcție de nevoi, acest lucru făcând rețele de tip honeynet mai flexibile și mai eficiente, având posibilitatea de a captura informații cuprinzătoare despre aplicații, servicii sau oricare sisteme care se află in mediile de lucru normale.
În concluzie, elementele de specificitate și, într-o anumită măsură, chiar de noutate, abordate în lucrare sunt, în principal, următoarele:
tratarea integrată a amenințărilor din spațiul cibernetic folosind modelul TESSO;
analiza multicriterială a tipurilor de atac din spațiul virtual, având în vedere mijloacele, tipurile, autorii dar și motivația acestora;
considerarea infrastructurii de comunicații și de transmitere de date drept cea mai importantă infrastructură critică ce trebuie protejată împotriva terorismului, sabotajului și subversiunii;
realizarea unui model de management al riscurilor de securitate informațională, teoretic și practic simplificat, ușor de implementat;
descrierea unui model de dezvoltare a unei capabilități simple, practice, ierarhice de detecție și reacție la incidentele de securitate IT;
ilustrarea acestui model simplu de CERT (Computer Emergency Response Team) prin propuneri de organigramă, necesar de specialiști, instruire și minimul necesar de echipamente, aplicații software și proceduri;
descrierea aspectelor legate de baza normativă și procedurală referitoare la investigațiile digitale;
identificarea, descrierea și propunerea de dezvoltare a unor soluții și sisteme de apărare cibernetică proactive, care să acopere, pe lângă acțiunile de prevenire, detectare și reacție la incidentele de securitate și pe cele de identificare, cunoaștere și contracarare a amenințărilor din spațiul cibernetic și cel al infrastructurilor critice.
În continuarea acestor elemente de specificitate cercetate pe parcursul documentării și a elaborării lucrării, precum și ca o dezvoltare a lor, se poate extrage un set propuneri, recomandări sau direcții de acțiune, la nivel departamental și chiar național, care să conducă la o mai bună cunoaștere a domeniului și la dezvoltarea unor capabilități reale de apărare cibernetică, prin elaborarea unor reglementări și crearea unor structuri și dezvoltarea unor inițiative care să conteze cu adevărat în cadrul efortului național de asigurare a securității informaționale.
În primul rând, toate instituțiile importante ale statului – ministere, agenții cu responsabilități în domeniu, componentele sistemului național de ordine publică și securitate, instituțiile din mediul academic și universitar precum și reprezentanții industriei din domeniul tehnologiei informației și comunicațiilor trebuie să participe la o inițiativă națională de definire și elaborare a unei Strategii de apărare cibernetică care să definească nivelul național de ambiție în acest domeniu, obligațiile și nevoile de cooperare ce decurg din calitatea de membru al NATO și UE, amenințările, vulnerabilitățile și riscurile din spațiul cibernetic, principiile și mijloacele de apărare cibernetică în România.
În baza acestei Strategii naționale de securitate în mediul cibernetic se va putea elabora o Lege a apărării cibernetice precum și o Hotărâre de Guvern subsecventă, care să stabilească atribuțiile ce revin tuturor structurilor care trebuie implicate în domeniul securității informaționale, modul de coordonare și cooperare între ele, structurile de specialitate care vor gestiona acest domeniu, precum și modul de asigurare a resurselor necesare acestui demers.
La nivel departamental, fiecare organizație guvernamentală sau neguvernamentală, instituție academică sau universitară și operatori economic trebuie să-și elaboreze propria Concepție de apărare cibernetică precum și ordine sau dispoziții interne care să reglementeze modul de implementare a concepției.
Centrele de cercetare din cadrul instituțiilor și agențiilor guvernamentale, din unitățile de învățământ și academice sau cele private din industria românească trebuie încurajate și stimulate să se implice într-un efort național de implementare și dezvoltare a standardelor și tehnologiilor de securitate din mediul cibernetic, în cadrul unui sistem de parteneriat reciproc avantajos din punct de vedere al beneficiilor economice și al celor din domeniul securității naționale.
Educația de securitate trebuie să devină o prioritate a fiecărei organizații care deține resurse informaționale importante pentru activitatea proprie, securitatea națională sau pentru protecția datelor personale ale clienților, clasificate sau sensibile. Această educație trebuie desfășurată la toate nivelurile și în toate domeniile de activitate, de la învățământul preuniversitar până la cursurile și specializările postuniversitare, de la utilizatorii sistemelor informatice până la membrii conducerii organizațiilor și de la operatorii economici și agențiile nonguvernamentale până la autoritățile și instituțiile sistemului național de apărare, ordine publică și siguranță.
Reglementarea și instituționalizarea în cadrul organizațiilor guvernamentale a funcției de Director pentru tehnologia informației, pe o poziție de conducere imediat sub șeful/președintele organizației care să asigure implementarea coerentă și eficientă a politicilor organizației în ceea ce privește modernizarea proceselor operaționale și administrative, optimizarea fluxurilor și resurselor informaționale, asigurarea confidențialității, integrității și disponibilității resurselor informaționale critice sau obișnuite, dezvoltarea și implementarea standardelor și a mecanismelor proprii de securitate, inclusiv a celor de apărare cibernetică, precum și asigurarea unui nivel suficient al educației de securitate a utilizatorilor și a conducerii organizației pentru a preveni și contracara eficient pierderea sau compromiterea unor informații importante.
La nivelul Ministerului Apărării Naționale vor trebui revizuite doctrinele de război electronic, război psihologic și C4I, precum și alte regulamente de linie și de armă pentru a implementa prevederile viitoarei Concepții de apărare cibernetică în domeniul militar, în sensul creării și integrării mecanismelor, entităților, resurselor și procedurilor specifice apărării cibernetice.
În acest sens structurile de securitate din unitățile militare trebuie adaptate și uniformizate pentru a răspunde la cerințele apărării cibernetice a resurselor informaționale ale armatei și pentru a permite dezvoltarea unei culturi de securitate suficiente pentru prevenirea incidentelor de securitate, precum și pentru managementul riscurilor de securitate bazat pe identificarea, cunoașterea și contracararea amenințărilor, diminuarea vulnerabilităților și adoptarea unor strategii și măsuri de diminuare a riscurilor.
În cadrul exercițiilor militare strategice, operative și tactice, naționale sau internaționale, la nivelul ministerului sau al SNAOPS, generale sau de specialitate, desfășurate real sau prin simulare, trebuie prevăzute elemente de scenariu care țin de atacurile și apărarea în spațiul cibernetic, pentru a dezvolta și valida modele conceptuale, procedurale și tehnice de asigurare a securității informaționale și a securității operațiilor. Scenariile și organizarea acestor exerciții trebuie să conțină entități și acțiuni de tipul „blue cells” și „red cells” pentru a asigura o veridicitate, pragmatism și complexitate cât mai mari ale exercițiilor.
Pentru a răspunde necesităților actuale de apărare cibernetică și a cerințelor de interoperabilitate cu structuri similare din cadrul NATO, activitatea de răspuns la incidente în cadrul unor autorități guvernamentale din România, inclusiv Ministerul Apărării Naționale trebuie organizată piramidal, pe trei niveluri, astfel: a) nivelul 1 – de coordonare, nivelul 2 – tehnic și nivelul 3 – operațional.
Misiunile elementelor de pe nivelul 1 sunt de elaborare a politicilor și procedurilor de răspuns la incidentele de securitate IT și de cooperare cu alte centre de coordonare și asigurare a interfeței cu instituțiile guvernamentale cu responsabilități în investigarea și cercetarea cazurilor generate de incidentele de securitate IT.
Entitățile de pe nivelul 2 trebuie să asigure managementul centralizat al evenimentelor și incidentelor de securitate, suportul pentru răspunsul la incidente și sprijin pentru Punctele Operaționale, investigații de securitate IT și activități de recuperare după producerea incidentelor de securitate IT, sprijin de specialitate în cercetarea incidentelor de securitate IT și testarea și evaluarea vulnerabilităților în sisteme și rețele. Managementul incidentelor de securitate IT la nivelul 2 se realizează printr-o Echipă de Răspuns la Incidente de Securitate (CERT) care trebuie să dispună de instrumente pentru identificare și evaluarea vulnerabilităților, platformă tehnologică pentru detectarea intruziunilor și răspunsul la incidentele de securitate IT, mijloace și proceduri de investigații digitale, precum și mijloace de comunicare cu componentele din cadrul nivelului 3 și cu alte entități de tip CERT naționale și internaționale.
Elementele de apărare cibernetică de nivel 3 trebuie să aibă responsabilități și capabilități pe linia detecției intruziunilor, raportării vulnerabilităților, evenimentelor, incidentelor către Centrul Tehnic Principal, asigurarea măsurilor preventive împotriva software-ului nociv, precum și a efectuării investigațiilor preliminare ale incidentelor de securitate IT.
Definirea, proiectarea și implementarea unor capabilități proactive de apărare cibernetică în cadrul sistemelor de securitate informațională va crea un plus de eficiență și eficacitate operațională în cadrul conflictelor cibernetice, deoarece de multe ori metodele clasice de cunoaștere a vulnerabilităților prin audit de securitate, implementare a unor mecanisme și proceduri bazate pe standardele de securitate sau metodele reactive de răspuns de tipul prevent-detect-react nu sunt suficiente pentru că se adresează în mod preponderent vulnerabilităților. O modalitate mult mai eficientă de diminuare a riscurilor o reprezintă abordarea bazată pe identificarea, cunoașterea și contracararea amenințărilor din spațiul cibernetic, bazată pe realizarea proiecției în spațiul cibernetic a măsurilor de contracarare a principalelor amenințări la adresa securității (TESSO) și anume terorismul, spionajul, sabotajul, subversiunea și crima organizată, prin identificarea conceptelor, structurilor, elementelor doctrinare, metodelor și mijloacelor specifice de combatere a acestor amenințări. Combinarea conceptelor, procedurilor, tehnicilor și mijloacelor specifice domeniului securității informației cu cele de protecție și contracarare specifice activităților contrainformative, cunoscută ca cyber-counterintelligence va permite o complementaritate a măsurilor și mecanismelor de securitate a informațiilor cu măsuri, procedee și mijloace ofensive, proactive de abordare a acestei bătălii tridimensionale: amenințare – vulnerabilitate – contracarare. O evaluare realistă a amenințărilor de securitate se întemeiază pe informații oportune și precise rezultate din studierea agențiilor de culegere a informațiilor, a grupărilor teroriste, subversive și criminale și a mijloacelor și metodelor folosite de acestea, inclusiv prin studierea sistemelor cibernetice ale acestora. O astfel de abordare completează măsurile de securitate pasive și preventive cu unele active de genul investigațiilor digitale sau al proiectării, instalării și operării unor sisteme sau rețele capcană tip honeypot sau honeynet pentru a-i atrage pe potențialii atacatori, a le studia mijloacele și metodele de atac, precum și pentru a obține și conserva probele digitale – computer forensic – care să dovedească caracterul infracțional al activităților desfășurate în spațiul virtual.
O altă direcție de acțiune importantă trebuie să fie cooperarea interdepartamentală, la nivel național și internațional în domeniul apărării cibernetice. Astfel, unul dintre obiectivele politicii NATO în domeniul apărării cibernetice îl constituie asigurarea interoperabilității și a cadrului legal pentru cooperarea cu națiunile membre în cazul în care acestea sunt ținta unor atacuri cibernetice. Pentru realizarea acestui obiectiv trebuie definite clar acțiunile ofensive sau defensive care se pot desfășura, când se pot iniția astfel de acțiuni și care sunt responsabilitățile atât a alianței, cât și a națiunii care este supusă unui atac cibernetic.
În acest sens, NATO și-a intensificat eforturile de identificare a posibililor parteneri în domeniul securității cibernetice și exploatarea potențialului de cooperare practică în acest domeniu. Această cooperare va fi dezvoltată treptat, începând cu schimburi de informații cu privire la principiile de bază ale politicii apărării cibernetice.
===
BIBLIOGRAFIE
A. ACTE NORMATIVE,
a) Internaționale
b) România
B. PUBLICAȚII
C. LUCRĂRI DE AUTOR
D. ALTE DOCUMENTE
E. ADRESE INTERNET
LISTA ABREVIERILOR
LISTA ANEXELOR
Anexa nr.1
INFRASTRUCTURILE ȘI PROCESELE VIZATE DE RĂZBOIUL INFORMAȚIONAL
Anexa nr. 2
INTERACȚIUNEA TEMPORALĂ A DOMENIILOR RĂZBOIULUI INFORMAȚIONAL
Anexa nr.3
MODEL DE INTERACȚIUNE A ELEMENTELOR RĂZBOIULUI BAZAT PE INTELLIGENCE
Anexa nr.4
MODELUL CVINTA-DIMENSIONAL AL CONFRUNTĂRII MILITARE
Anexa nr.5
ANALIZĂ COMPARATIVĂ A CARACTERISTICILOR INCIDENTELOR DIN SPAȚIUL CIBERNETIC
Anexa nr.6
DESCRIEREA RISCURILOR DE SECURITATE DIN MEDIUL CIBERNETIC
Anexa nr.7
SECVENȚELE UNUI ATAC CIBERNETIC
Anexa nr.8
DESCRIEREA MEDIILOR/SERVICIILOR DE PROPAGARE
A ATACURILOR INFORMATICE
Anexa nr.9
DESCRIEREA ARMELOR DE ATAC INFORMATIC
Anexa nr.10
DESCRIEREA GRUPURILOR DE AUTORI
ȘI A AMENINȚĂRILOR CIBERNETICE
Anexa nr.11
INFRASTRUCTURILE CRITICE CONFORM LEGISLAȚIEI ROMÂNEȘTI
Anexa nr.12
PROIECȚIA AMENINȚĂRILOR DE SECURITATE
ÎN SPAȚIUL CIBERNETIC
Anexa nr.13
Anexa nr.14
CICLUL DE VIAȚĂ AL SISTEMELOR IT&C,
DIN PUNCT DE VEDERE AL SECURITĂȚII
Anexa nr.15
O NOUĂ ABORDARE A INTERACȚIUNILOR DIN SPAȚIUL CIBERNETIC ÎN SENSUL UNEI SECURITĂȚI INFORMAȚIONALE PROACTIVE
Anexa nr.16
LISTĂ ORIENTATIVĂ DE VERIFICARE PENTRU AUDITUL DE SECURITATE AL SISTEMELOR INFORMATICE ȘI DE COMUNICAȚII
Anexa nr.17
ARHITECTURA STANDARDULUI DE SECURITATE
INFORMAȚIONALĂ COBIT
Anexa nr.18.
MODEL
DE INTERACȚIUNE AMENINȚARE – VULNERABILITATE – CONTRAMĂSURI – RISC ÎNTR-UN SISTEM INFORMAȚIONAL (ADAPTAT DUPĂ COMMON CRITERIA
Anexa nr.19
Anexa nr.20
UN MODEL SIMPLIFICAT DE MANAGEMENT AL RISCURILOR UNUI SISTEM DIN PUNCT DE VEDERE AL SECURITĂȚII INFORMAȚIONALE
Anexa nr.21
UN MODEL DE REGISTRU PENTRU EVIDENȚA ȘI MANAGEMENTULUI RISCURILOR
Anexa nr.22
DESCRIEREA INSTRUMENTELOR ȘI RESURSELOR NECESARE
PENTRU SPECIALIȘTII DINTR-UN CERT
Anexa nr.23
ACTIVITĂȚILE CE SE DERULEAZĂ ÎNTR-UN CERT
Anexa nr.24
MODEL ARHITECTURĂ A UNUI SISTEM IERARHIC DE DETECȚIE
ȘI REACȚIE LA INCIDENTELE DE SECURITATE
Anexa nr.25
MODEL DE ALGORITM PENTRU PRELEVAREA PROBELOR DIGITALE
Anexa nr.26
RĂSPÂNDIREA GEOGRAFICĂ A ENTITĂȚILOR CERT NAȚIONALE SAU DEPARTAMENTALE
(http://www.cert.org/csirts/csirt-map.html, 21 apr 2011)
Anexa nr.27
DIAGRAMA RELAȚIILOR STRUCTURALE, CONCEPTUALE ȘI TEMPORALE ÎNTRE AMENINȚĂRILE TESSO DIN SPAȚIUL CIBERNETIC, RĂZBOIUL CIBERNETIC ȘI SECURITATEA INFORMAȚIONALĂ
Pagină albă
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Informationala In Spatiul Cibernetic (ID: 123823)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.