Cod de bune practici

pentru Securitatea Sistemelor Informatice i de Comunicaii

Bucureti 2012

CUPRINS

I.

Introducere

1.1. Scopul i audiena codului de bune practici 1.2. Obiective Dimensiunea spaiului cibernetic n cadrul Economiei Naionale

II.

2.1. Definirea spaiului cibernetic 2.2. Securitatea sistemelor informaionale 2.3. Atributele securitii informatice 2.4. Importana funciei Ofierului de securitate n cadrul organizaiei 2.5. Infrastructuri critice la nivel naional i organizaional Msuri necesare pentru asigurarea securitii informatice

III.

3.1. Securitatea fizic 3.2. Securitatea logic 3.3. Securitatea personalului 3.4. Asigurarea continuitii afacerii IV. Atacuri cibernetice i msuri de prevenire 4.1. Tipuri de atacuri cibernetice i msuri de prevenire 4.2. Dezvoltarea entitilor de tip CERT Anexa nr. 1. Termeni i definiii Anexa nr. 2. Descriere tipuri de atac i reacii de securitate la ndemna entitilor economice care dein un sistem de securitate informatic funcional

Page 2 of 34

I.

Introducere

1.1. Scopul i audiena codului de bune practici Codul de bune practici emis de Asociaia National pentru Securitatea Sistemelor Informatice ofer recomandri pentru organizaiile care doresc iniierea, implementarea sau meninerea unui sistem de securitate informatic eficient. Documentul este destinat s ofere o baz comun de standarde minimale n vederea organizrii i implementrii unor practici de management de securitate eficiente i creterea nivelului de ncredere n relaiile dintre partenerii de afaceri. Codul este ntocmit n corelare cu reglementrile legale naionale i internaionale n domeniu.

1.2. Obiective Obiectivele prezentului document circumscriu obiectivelor asociaiei: a) Contribuirea la dezvoltarea unei strategii naionale de securitate a sistemelor informatice; b) Promovarea celor mai nalte standarde etice i profesionale n domeniul securitii sistemelor informatice; c) Promovarea bunelor practici pentru a asigura confidenialitatea, integritatea i disponibilitatea resurselor informatice ale unei organizaii; d) Consolidarea culturii securitii cibernetice la nivel naional i extinderea cunotinelor i aptitudinilor n domeniul securitii informaiei; e) Facilitarea interaciunii i a educrii membrilor pentru a rspunde ntr-un mod eficient i coordonat la ameninrile cibernetice; f) Adoptarea celor mai bune de m suri de protecie a datelor, a sistemelor de comunicaie i de procesare a acestora; g) Cunoaterea riscurilor i ameninrilor la care sunt supuse activitile desfurate n spaiul cibernetic i oferirea de soluii de prevenire i contracarare a acestora.

II.

Dimensiunea spaiului cibernetic n cadrul Economiei Naionale

2.1. Definirea spaiului cibernetic Spaiul cibernetic, din perspectiva economiei naionale, reprezint reeaua integral i integrat de infrastructuri interdependente de tehnologie a informaiei, reelele de telecomunicaii i sisteme de prelucrare de date pe calculator. Din punct de vedere social i economic, spaiul cibernetic este un mediu informaional dinamic bazat pe interoperabilitate i servicii specifice societii informaionale unde organizaiile i persoanele fizice pot
Page 3 of 34

interaciona, schimba idei, informaii, s ofere asisten social, derula afaceri sau activiti artistice, politice i de mass-media, derula activiti economice i financiare, folosind sisteme electronice de plat i tranzacionare. Din punct de vedere fizic, spaiul cibernetic nglobeaz totalitatea serverelor, computerelor, echipamentelor de comunicaii, de interconectare, centrale telefonice digitale, magistrale de fibr optic, reele de cabluri de orice tip, echipamente de transmisie wireless, antene, dispozitive de stocare, prelucrare, transmitere, codare, protejare a datelor, precum i spaiile dedicate n care echipamentele sunt utilizate. Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i anonimat, genernd deopotriv, att oportuniti de dezvoltare a societii informaionale bazate pe cunoatere care insa prezinta i riscuri la adresa funcionrii acesteia. Pe msura creterii gradului de informaizare al societii romneti, aceasta este mai vulnerabil la atacuri, iar asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare major a tuturor organizaiilor (sau organismelor) implicate. 2.2. Securitatea sistemelor informaionale Securitatea sistemului informaional trebuie s fie o responsabilitate asumat de ctre structurile de conducere ale oricrei organizaii din mediul privat sau public. Structurile de conducere trebuie s asigure o direcie clar i gestionat corespunzator pentru indeplinirea obiectivelor stabilite prinpolitica de securitate, avnd n vedere urmtoarele elemente: a) revizuirea i aprobarea politicii de securitate i stabilirea de responsabiliti legate de aceasta; b) monitorizarea schimbrilor semnificative de expunere a sistemului informaional la ameninri majore; c) revizuirea i monitorizarea incidentelor de securitate a sistemului informaional; d) aprobarea msurilor de sporire a securitii informaiilor. n vederea stabilirii i meninerii politicilor de securitate este esenial implicarea specialitilor din domeniu n vederea adoptrii deciziilor privind securitatea sistemului informaional. Accesul la echipamentele de prelucrare informaiilor organizaiei de ctre tere pri trebuie s se fac sub supraveghere. Pentru accesul terilor, o evaluare a riscului ar trebui s fie efectuat pentru a stabili implicaiile de securitate i cerinele de control. Msurile de protecie trebuie s fie puse de acord i incluse ntr-un contract cu terele pri. De asemenea n acordurile/contractele de externalizare ar trebui s se abordeze riscurile, controalele i procedurile de securitate pentru sistemele informatice, reelele i / sau echipamentele de birou. Toate activele sistemului informaional ar trebui s fie contabilizate i s aib un responsabil desemnat. Responsabilitatea pentru active ajut s se asigure c protecia corespunztoare este meninut. Responsabilul unui element din sistemul informaional trebuie s poat fi identificat pentru toate activele majore i s aib responsabiliti pentru meninerea i implementarea de controale adecvate. Responsabilitile pentru control pot fi delegate. Informaiile trebuie s fie clasificate pentru a indica prioritile i gradul de protecie necesare. Informaiile au diferite grade de sensibilitate i de importan, unele dintre acestea necesitnd un nivel suplimentar de protecie sau o manipulare special. Un sistem de clasificare a informaiilor ar trebui s fie

Page 4 of 34

utilizat pentru a defini un set adecvat de niveluri de protecie, precum i necesitatea de a institui msuri speciale de manipulare. Pentru a reduce riscurile de eroare uman, furt, fraud sau de abuz de ncredere, responsabiliti de securitate trebuie s fie implementate nc din etapa de recrutare, incluse n contractele de munc i monitorizate n timpul activitii la locul de munc. Toi angajaii proprii sau terele persoane care au acces la sistemul informaional al unei companii ar trebui s semneze un acord de confidenialitate. Pentru a ne asigura c utilizatorii sunt contieni de ameninrile de securitate a informaiilor i sunt pregtii pentru a sprijini politica de securitate organizaional n cursul activitii lor la locul de munc, angajaii proprii sau terele persoane ar trebui s fie instruii cu privire la procedurile de securitate i utilizarea corect a sistemelor de prelucrare a informaiilor. Toate incidentele de securitate trebuie raportate i n acest sens trebuie implementat un sistem eficient i rapid de raportare a incidentelor de securitate, care s fie cunoscut de ctre toi angajaii. Informaiile de business critice sau sensibile trebuie s fie adpostite n locuri sigure, protejate ntr-un perimetru de securitate adecvat, cu bariere de securitate corespunztoare i controale de acces. Acestea ar trebui s fie protejate fizic mpotriva accesului neautorizat, deteriorare i interferene. Protecia oferit trebuie s fie proporional cu riscurile identificate. Echipamentele IT&C trebuie s fie protejate fizic mpotriva ameninrilor de securitate i de pericolele de mediu. Responsabiliti i proceduri pentru gestionarea i exploatarea tuturor sistemelor de prelucrare a informaiilor ar trebui s fie stabilite. Aceasta presupune dezvoltarea unor instruciuni de utilizare i proceduri de rspuns la incidente aprobate de conducerea unitii i cunoscute de ctre tot personalul . Msuri de precauie sunt necesare pentru a preveni i detecta introducerea de software ru intenionat. Software-ul i echipamentele de calcul sunt vulnerabile la introducerea de software rau intentionat, cum ar fi virui, viermi de reea, cai troieni. Utilizatorii ar trebui s fie contieni de peric olele software-ului neautorizat sau ru intenionat i managerii ar trebui, acolo unde este cazul, s introduc controale speciale pentru a detecta sau a preveni introducerea de software ru intenionat. n special, este esenial s se ia msuri de precauie pentru a detecta i a preveni infectarea cu virui informatici ale calculatoarelor angajailor. Proceduri de rutin ar trebui s fie stabilite pentru efectuarea de back-up-uri strategice, simularea periodic a restaurrii de pe copiile realizate, logarea evenimentelor i a defectelor, acolo unde este posibil i monitorizarea permanent a echipamentelor critice. Schimburile de informaii i de software ntre organizaii ar trebui s fie controlate, i trebuie s fie conforme cu legislaia n vigoare. Proceduri i standarde care s protejeze informaiile i datele n tranzit ar trebui s fie stabilite iar acestea s fie parafate n acorduri semnate de toate prile implicate.

Page 5 of 34

2.3. Atributele securitii informatice Securitatea informatic asigur cunoaterea, prevenirea i contracararea unui atac mpotriva spaiului cibernetic, inclusiv managementul consecinelor. Atributele securitii informatice sunt urmtoarele: Cunoaterea trebuie s asigure informaiile necesare n elaborarea msurilor pentru prevenirea efectelor unor incidente informatice. Prevenirea este principalul mijloc de asigurare a securitii informatice. Aciunile preventive reprezint cea mai eficient modalitate att de a reduce extinderea mijloacelor specifice ale unui atac cibernetic, ct i de a limita efectele utilizrii acestora. Contracararea trebuie s asigure o reacie eficient la atacuri cibernetice, prin identificarea i blocarea aciunilor ostile n spaiul cibernetic, meninerea sau restabilirea disponibilitii infrastructurilor cibernetice vizate i identificarea i sancionarea potrivit legii, a autorilor. Succesul activitilor desfurate pentru asigurarea securitii sistemelor informatice depinde n mod esenial de cooperarea, inclusiv n formule de parteneriat public -privat, ntre deintorii infrastructurilor cibernetice i autoritile statului abilitate s ntreprind msuri de prevenire, contracarare, investigare i eliminare a efectelor unei ameninri materializate printr-un atac. De altfel atributele enumerate mai sus se suprapun peste atributele fundamentale ale informaiei: Disponibilitatea informaiei este acea proprietate a sistemului sau reelei de a asigura utilizatorilor legali informaia complet atunci cnd acetia au nevoie de ea. Confidenialitatea este acea proprietate a sistemului sau a reelei de a permite accesul la informaii numai utilizatorilor crora le este destinat i s ofere garanii suficiente pentru a interzice accesul celorlali utilizatorilor. Integritatea informaiei este acea proprietate a sistemului sau a reelei de a asigura livrarea informaiei fr modificri accidentale sau neautorizate. Autenticitatea informaiei este acea proprietate a sistemului sau a reelei de a permi te asocierea informaiei cu sursa legal de producere a ei. Nerepudierea informaiei este acea proprietate a sistemului sau a reelei de a asocia informaiei dovada c informaia a fost transmis de o entitate identificat i a fost recepionat de o alt entitate identificat fr posibilitate de contestare. 2.4. Importana funciei Ofierului de securitate n cadrul organizaiei n cadrul fiecrei organizaii, pentru asigurarea unui nivel de securitate optim este necesar existena unei structuri de securitate care s acopere zona de securitate fizic, logic i a personalului. Din punct de vedere al securitii logice aceast funcie este n general ndeplinit de un Informaion Security Officer (ISO) sau Chief Informaion Security Officer (CISO).

Page 6 of 34

ISO / CISO este cel care coordoneaz ntreaga activitate a unui department de securitate a informaiei, realizeaz i impune politici, proceduri i cele mai bune practici privind modul n care informaiile, datele i resursele digitale sunt administrate i protejate, cu accent asupra urm toarelor obiective i responsabiliti: Obinerea acceptanei i suportului managementului pentru strategia de securitate aliniat cu obiectivele de business; Definirea politicilor de securitate IT n concordan cu strategia; Definirea standardelor de securitate pentru toate politicile relevante; Alinierea practicilor i procedurilor din cadrul organizaiei, cu politica central de securitate; Asignarea clar a rolurilor i responsabilitilor relativ la securitatea informaiei n cadrul organizaiei; Integrarea securitii IT n lanul administrrii informaiei la nivelul ntregii organizaii; Identificarea i clasificarea bunurilor informaionale n funcie de criticalitate i senzitivitate; Definirea, implementarea i mentenana unor obiective de control eficace pentru managemenul securitii; Implementarea unor procese de monitorizare eficiente ale acestor controale; Managementul incidentelor de securitate, testarea capabilitilor de rspuns; Desfurarea activitilor specifice continuitii afacerii, testarea planurilor de recuperare n caz de dezastru; Aprobarea din perspectiva securitii n cadrul proceselor de change management ; Identificarea, evaluarea, comunicarea i managementul riscurilor de securitate; Managementul proceselor de obinere i meninere a conformitii cu reglementrile obligatorii; Iniierea, facilitarea i promovarea activitilor menite s duc la sporirea contientizrii importanei securitii att n cadrul organizaiei ct i pentru parteneri, furnizori, clieni i alte structuri care au relaii directe cu organizaia; Asigurarea conformitii cu politicile i procedurile de securitate pentru toi angajaii, la nivel individual, prin impunerea regulilor stabilite; Asistarea la realizarea unor profile de securitate corecte ale personalului i meninerea unor dosare exacte cu profilele de securitate potrivite fiecarei poziii n cadrul organizaiei; Monitorizarea utilizrii eficiente a resurselor de securitate; Dezvoltarea i implementarea metricilor i a monitorizrii activitilor de securitate.

2.5. Infrastructuri critice la nivel naional i organizaional Societatea, afacerile i politica depind de funcionarea infrastructurilor. Infrastructurile n general i infrastructurile critice n special, sunt viaa societilor moderne, eficiente. Infrastructurile critice au reprezentat totdeauna domeniul cel mai sensibil, cel mai vulnerabil al oricrui sistem i al oricrui proces. Termenul colectiv - infrastructuri acoper oamenii, organizaiile, procesele, produsele, serviciile i fluxurile de informaii, precum i instalaiile tehnice i structurale i construciile care, individual sau parte a unei reele, permit societii, economiei i statului s funcioneze.
Page 7 of 34

Infrastructurile sunt considerate critice datorit: importanei vitale pe care o au, ca suport material sau virtual; rolului pe care l ndeplinesc n stabilitatea, fiabilitatea, sigurana, funcionalitatea i, mai ales, n securitatea sistemelor; vulnerabilitii sporite la ameninrile directe, precum i la cele care vizeaz sistemele din care fac parte; sensibilitii deosebite la variaia condiiilor i, mai ales, la schimbri brute ale situaiei.

Astfel de infrastructuri exist pretutindeni n lume i n cadrul fiecrui spaiu fizic, cosmic sau virtual, n toate domeniile activitii umane, practic att la nivel organizaional, naional sau internaional. Criteriile dup care se face evaluarea privind incadrarea n categoria infrastructurilor critice sunt variabile, chiar dac sfera lor de cuprindere poate rmne aceeai. Astfel de criterii pot fi urmtoarele: criteriul fizic (locul n rndul celorlalte infrastructuri, mrimea, dispersia, andurana, fiabilitatea etc.); criteriul funcional (ce anume face infrastructura respectiv); criteriul de securitate (care este rolul ei n sigurana i securitatea sistemului); criteriul de flexibilitate (care arat c exist o anumit dinamic i o anumit flexibilitate - practic unele dintre infrastructurile obinuite pot fi sau deveni, n anumite condiii, infrastructuri critice. Conform Programului European pentru Protecia Infrastructurilor Critice, acestea pot fi grupate astfel: Sectoare Administraie public Industrie nuclear chimic i Subsectoare Preedinie, Parlament, Guvern, Justiie, Administraie Instituii de cercetare Patrimoniu naional cultural Producie, transport, depozitare i procesare a produselor chimice i nucleare Conducte de transport a produselor/substanelor chimice periculoase Furnizare energie Furnizare combustibil (petrol) Furnizare gaz natural Transport i distribuie energie Bnci Companii de asigurare Centre de ngrijire medical i spitale Laboratoare Telecomunicaiile Sisteme i reele informatice Internet Sisteme de instrumentare, automatizare i monitorizare Radio i media Furnizare hranie i securitatea acesteia Furnizarea apei potabile Organizaii pentru urgene (poliie, serviciu de pompieri, urgene ngrijire medical i servicii de salvare)
Page 8 of 34

Energie

Servicii financiare Sntate Public

Tehnologia Informaiei Comunicaii

Ap i hran Siguran public, ajutoare i servicii pentru urgene

Transport

Protecie civil Fore armate Transport rutier Transport feroviar Transport aerian Transport naval Servicii potale i logistic

Potrivit Strategiei de Securitate Naional a Romniei (Capitolul XI cu titlul Dezvoltarea i sporirea gradului de protecie a infrastructurii), o direcie prioritar de aciune pentru realizarea obiectivelor acesteia o reprezint necesitatea declanrii unui amplu proces de dezvoltare, modernizare i asigurare a proteciei infrastructurilor critice, a elementelor vitale ce vizea z pregtirea instituiilor, societii, economiei i teritoriului naional pentru a face fa riscurilor i ameninrilor la adresa securitii. Protecia infrastructurilor critice (PIC) constiruie un obiectiv prioritar al Uniunii Europene, fiind unul dintre subiectele aflate din ce n ce mai frecvent pe agenda politic european, iar toate statele membre trebuie s stabileasc msurile necesare pentru a se conforma prevederilor Directivei Consiliului nr. 2008/114/EC privind identificarea i desemnarea infrastructurilor critice europene i evaluarea necesitii de mbuntire a proteciei acestora adoptat la 8 decembrie 2008 i intrat n vigoare prin publicarea n Jurnalul Oficial al Uniunii Europene. n acelai timp, protecia infrastructurilor critic e i securitatea cibernetic au devenit subiecte principale pe agenda de lucru NATO (ex. - noul concept scut cibernetic) i sunt elemente eseniale, strns legate ntre ele. PIC se bazeaz pe managementului integral al riscului, care conine, n principal, dou pri: prin prima se efectueaz o evaluare detaliat a ameninrii i a riscului, care servete apoi ca baz pentru msurile din urmtoarele domenii: prevenire (ex. msuri structural-tehnice sau zonale); pregtire (ex. urgene i planificarea continuitii afacerilor); intervenie (ex. sistem de alarmare, protecie fizic prin personalul de securitate, comunicaii standardizate n timpul crizelor); reparare (ex. restaurarea temporar a infrastructurilor); reconstrucie (ex. a infrastructurilor).

Pentru a putea utiliza eficient resursele, infrastructurile critice trebuie prioritizate. Inventarul infrastructurilor critice este cuprinztor i trebuie actualizat, n mod regulat, n cooperare cu autoritile responsabile ale administraiei guvernamentale i operatorii privai. Inventarul servete, n principal, ca baz pentru procesele de planificare i luare a deciziilor la niveluri diferite (administraie guvernamental i operatori privai). Foarte muli operatori privai dein infrastructuri critice (ex. din domeniul tehnologiei informaiei i comunicaii, serviciilor financiare, serviciilor potale, industriei alimentare etc.), dar nu tot att de multe se concentreaz

Page 9 of 34

pentru asigurarea siguranei i securitii infrastructurilor pe care le dein n acelai raport cu interesul acordat maximizrii profitului. Mai mult, la nivel mondial tendina trecerii infrastructurilor critice n proprietate privat este din ce n ce mai accentuat, autoritile asumndu-i rolurile de observare, control i reglementare. Aceast tendin se datoreaz n mare parte crizei financiare dar i importanei managementului privat n ceea ce privete asigurarea eficienei economice dovedit de rezultatele financiare obinute. Situaiile de criz, care amenin direct infrastructurile critice, pentru operatorii privai reprezint business continuity, iar pentru instituiile guvernamentale reprezint responsabilitate social. ntre aceste dou concepte trebuie s existe sinergii suficient de puternice care s conduc ctre o manier proactiv de management al riscurilor astfel nct s s fie evitate situaiile de criz. n acest sens, parteneriatul ntre operatorii privai de infrastructuri crit ice i instituiile guvernamentale, analizele de risc fundamentate, evaluarea interdependenelor i investiiile timpurii vor trebui s fie puncte cheie ale strategiei de dezvoltare durabil. Printr-un efort de corelare a reglementrilor legale cu prevederile standardelor de management se poate asigura o alocare optim a resurselor i responsabilitilor ntre instituiile guvernamentale, proprietari, operatori i utilizatori, n special n domeniul infrastructurilor critice. Operatorii privai care dein infrastructuri critice trebuie s-i evalueze i identifice riscurile i ameninrile precum i activitiile critice ale proceselor de business, s implementeze proceduri i msuri clare de siguran i securitate astfel nct s aib capacitatea de a face fa factorilor perturbatori i a reveni la stadiul iniial n cel mai scurt timp i cu pierderi minime. Standardele ISO 22301:2012 Sistemul de Management al Continuitii Afacerii i ISO 22399:2007 Securitate societal ndrumar privind pregtirea pentru incident i managementul continuitii operaionale sunt aplicabile oricrui tip de organizaie public sau privat, furnizor de produse sau prestator de servicii care dorete s: neleag contextul general n care-i desfoar activitatea; identifice obiectivele critice; neleag barierele, riscurile i ntreruperile care pot afecta obiectivele critice; evalueze risurile reziduale i tolerana la risc; neleag efectul msurilor i strategiilor de diminuare a riscurilor; planifice n ce mod organizaia i poate atinge obiectivele n situaia apariiei unui incident; elaboreze rspunsul la incident i rspunsul la situaia de urgen, rspunsul de asigurare a continuitii i revenirea dup incident; defineasc roluri i responsabiliti i s planifice resurse pentru rspunsul la incident; ndeplineasc conformitatea cu regelementrile legale, standarde i alte cerine; furnizeze asisten reciproc i asisten comunitii; coopereze cu instituiile cu responsabiliti n managementul situaiilor de urgen; promoveze formarea i dezvoltarea unei culturi organizaionale care s nteleag necesitatea gestionrii riscului ca element inevitabil n desfurarea activitii i luarea deciziilor.
Page 10 of 34

III.

Msuri necesare pentru asigurarea securitii informatice

3.1. Securitatea fizic a. Inventarierea echipamentelor autorizate i neautorizate O practic frecvent a grupurilor infracionale const n utilizarea tehnicilor de scanare continu a spaiilor de adrese IP ale organizaiilor int, urmrind conectarea sistemelor noi i/sau neprotejate, ori laptop-uri cu definiii sau pachete de securitate (patch-uri) neactualizate datorit faptului c nu sunt conectate frecvent la reea. Unul din atacurile comune profit de sistemele nou instalate i care nu sunt configurate i securizate din punct de vedere al pachetelor de securitate dect n ziua urmtoare, fiind uor de identificat i exploatat prin intermediul Internetului de ctre atacatori. n ceea ce privete sistemele informatice aflate n interiorul reelelor protejate, atacatorii care au obinut deja acces pot viza i compromite acele sisteme insuficient sau necorespunz tor securizate. O atenie deosebit trebuie acordat echipamentelor i sistemelor care nu sunt incluse n inventarul organizaiilor, cum ar fi diversele dispozitive mobile personale, sisteme de test, etc. i care nu sunt conectate n mod permanent la reea. n general, aceste tipuri de echipamente tind s nu fie securizate n mod corespunzator sau s nu aib controale de securitate care s rspunda cerinelor de securitate. Chiar dac aceste echipamente nu sunt utilizate pentru a procesa, stoca sau accesa date sau informaii critice, odat introduse n reea, pot oferi atacatorilor o cale de acces spre alte resurse i un punct de unde pot fi lansate atacuri avansate. Meninerea unui inventar precis i actual, controlat prin monitorizare activ i managementul configuraiei, poate reduce ansele ca atacatorii s identifice i s exploateze sistemele neprotejate. Procedurile de inventariere stabilesc proprietarii de informaii i sisteme informatice, documentnd responsabilitile pentru meninerea inventarului pentru fiecare component a sistemelor. n funcie de complexitatea fiecrei organizaii, se pot utiliza instrumente specializate de monitorizare i inventariere a resurselor sistemelor informatice, care pot efectua descoperirea de noi sisteme, odat conectate la reeaua sistemului informatic, prin intermediul datelor obinute de la echipamentele de reea. De asemenea, se pot utiliza instrumente de identificare pasiv a resurselor (care ascult n mod pasiv la interfeele de reea echipamentele care i anun prezena prin modificarea traficului). Aceste instrumente de monitorizare i inventariere ar trebui s includ funcionaliti precum: Identificarea echipamentelor noi neautorizate conectate la reea ntr-un interval de timp predefinit; Alertarea sau transmiterea mesajelor de notificare ctre o list predefinit cu personal administrativ; Izolarea sistemului neautorizat; Identificarea locaiei n care s-a efectuat conectarea.

Page 11 of 34

b. Inventarierea aplicaiilor i sistemelor de operare autorizate i neautorizate Grupurile infracionale utilizeaz tehnici de scanare a spaiilor de adrese ale organizaiilor vizate n scopul de a identifica versiuni vulnerabile de software care pot fi exploatate de la distan. Astfel de atacuri pot fi iniiate prin distribuirea de pagini de web ostile, documente, fiiere media i alte tipuri de coninut web prin intermediul propriilor pagini web sau al altor pagini web demne de ncredere. Atacurile complexe pot fi i de tipul zero-day, exploatnd vulnerabiliti n aceeasi zi sau nainte ca acestea sa fie cunoscute public. Fr cunotinele corespunztoare sau controlul software-ului implementat n organizaie, nu se poate asigura protecia necesar pentru resursele informatice. Capacitatea de inventariere i controlul neadecvat asupra programelor care sunt instalate i autorizate a rula pe echipamentele organizaiilor, fac mai vulnerabile aceste medii informatice. Astfel de echipamente inadecvat controlate sunt pasibile s execute software care nu este necesar pentru specificul activitii, inducnd bree poteniale de securitate sau rulnd programe de tip malware induse de ctre un atacator, dup ce sistemul a fost compromis. Odat ce un echipament a fost exploatat, adesea este utilizat ca i un punct de plecare pentru atacuri ulterioare i pentru colectarea de informaii sensibile din sistemul compromis i din alte sisteme conectate la acesta. Echipamentele vulnerabile sunt utilizate ca puncte de lansare pentru avansarea n reea i reele partenere. Organizaiile care nu utilizeaz inventarierea complet a pachetelor software nu vor reui s descopere sistemele pe care ruleaz software vulnerabil sau maliios i mai departe s reduc problemele sau atacurile. Software-ul comercial i instrumente specializate de inventariere a resurselor informatice sunt utilizate pe scar larg pentru a facilita verificarea simultan a aplicaiilor utilizate n organizaii, extragnd informaii despre nivelul pachetelor de update al fiecrui program software instalat pentru a se asigura utilizarea celei mai recente versiuni. Sistemele de monitorizare utilizate ar trebui s includ i funcionaliti precum: Capacitatea de identificare a software-ului neautorizat prin detectarea tentativelor de instalare sau executare a acestuia; Alertarea personalului administrativ ntr-un interval de timp predefinit; Blocarea instalrii, prevenirea executrii sau trecerea n carantin.

c. Controlul echipamentelor wireless n absena unor msuri eficiente de securitate implementate pentru reelele fr fir, se pot iniia atacuri care vizeaz n principal furtul de date importante pentru orice tip de organizaie. Deoarece reelele fr fir nu necesit conexiuni fizice directe, echipamentele wireless ofer atacatorilor un vector convenabil pentru obinerea accesului n mediul int.Tehnicile de atac dezvoltate pot fi iniiate din exterior, evitandu-se perimetrele de securitate ale organizaiilor. Astfel, echipamentele portabile pot fi infectate prin exploatare la distan n intervalul n care acestea sunt scoase din perimetrul de securitate n afara organizaiei i apoi utilizate ca back doors odat intoarse n organizaie i reconectate la reea. Msurile de protejare impotriva atacurilor desfurate prin intermediul reelelor fara fir vizeaz utilizarea att a instrumentelor de scanare, detectare i decoperire a reelelor ct i a sistemelor de detectare a intruziunilor. Echipa de securitate trebuie s efectueze captura traficului wireless desf urat n zonele de perimetru pentru a
Page 12 of 34

determina dac sunt utilizate protocoale mai permisive de transmitere sau criptare dec t cele impuse. n plus, se pot utiliza instrumente de administrare de la distan n cadrul reelelor pentru a colecta informaii despre capabilitile wireless ale dispozitivelor conectate la sistemele administrate. Instrumentele utilizate trebuie s includ urmtoarele funcionaliti: capacitatea de a identifica configuraiile dispozitivelor autorizate sau dispozitivele wireless neautorizate din cadrul ariei de acoperire a organizaiei i care sunt conectate n aceste reele; identificarea dispozitivelor fr fir noi, neautorizate, conectate recent; alertarea personalului administrativ; identificarea zonei i izolarea punctului de acces n reea. d. Proiectarea securitii reelelor Msurile de securitate, chiar bine implementate la nivelul sistemelor informatice, pot fi eludate n reele concepute deficitar. Fr o arhitectura de reea atent planificat i implementat n mod corespunztor, atacatorii pot ocoli msurile de securitate din diferite sisteme, ptrunznd n reea pentru a obine acces ctre sistemele int. Atacatorii vizeaz n mod frecvent hrile reelelor pentru a identifica conexiuni neutilizate ntre sisteme, filtrare necorespunztoare i reele fr segregare. Prin urmare, o arhitectur de reea robust i securizat poate fi realizat prin implementarea unui proces care s furnizeze i msurile de securitate necesare. Pentru a se asigura un mediu robust i uor de securizat, arhitectura fiecrei reele trebuie s se bazeze pe modele care descriu structura general a acesteia i a serviciilor pe care le ofer. Organizaiile trebuie s documenteze diagrame pentru fiecare reea n care s fie evideniate componentele de reea mpreun cu grupurile semnificative de servere i sisteme client. e. Limitarea i controlul porturilor de reea, a protocoalelor de comunicaie i a serviciilor Atacurile pot fi lansate i prin intermediul serviciilor de reea accesibile de la distan care sunt vulnerabile n faa exploatrilor. Exemple comune includ servere web configurate neadecvat, servere de email, servicii de fiiere i imprimare, servere DNS instalate n mod prestabilit pe o varietate de echipamente, de multe ori f r a se ine cont de nevoia de business pentru serviciile oferite. Multe pachete software instaleaz i pornesc servicii ca parte a instalrii pachetului de baz fr a informa utilizatorul sau administratorul despre faptul c serviciile au fost activate. Atacurile urm resc descoperirea de conturi, parole sau coduri prin scan ri i ncercri de exploatare a serviciilor expuse. Asemenea tipuri de atac pot fi prentmpinate prin utilizarea de instrumente de scanare a porturilor pentru a determina serviciile care ascult reeaua pentru o serie de sisteme int. Pentru a determina porturile deschise, instrumentele de scanare pot fi configurate pentru identificarea versiunii de protocol i serviciul care ascult pe fiecare port deschis descoperit. Serviciile descoperite i versiunile acestora sunt comparate cu inventarul serviciilor necesare organizaiei pentru fiecare echipament.

Page 13 of 34

f.

Protejarea zonelor de perimetru (sau boundary defense)

Atacurile pot fi concentrate asupra exploat rii sistemelor care pot fi accesate din Internet, inclusiv sistemele aflate n DMZ (termen derivat din Demilitarized Zone, cunoscut i ca perimeter networking), ct i asupra sistemelor client (staii de lucru, laptop) care acceseaz coninut din Internet prin zona de perimetru a reelei. Tehnicile de atac lansate de grupurile criminale uzeaz de punctele de slbiciune din configurarea sau arhitectura perimetrului, a sistemelor de reea i a echipamentelor client pentru a obine acces iniial n interiorul organizaiei. Odat obinut accesul, atacatorii vor ptrunde mai adnc n interiorul reelei n vederea furtului sau schimbului de informaii, ori de a stabili o baz pentru atacuri ulterioare mpotriva sistemelor gazd interne. n multe cazuri, atacurile apar ntre reele ale partenerilor de business, uneori calificate ca i extranet, atacurile mutndu-se din reeaua unei organizaii n reelele altor organizaii, exploatnd sistemele vulnerabile gzduite n perimetrele din extranet. Pentru a controla fluxul de trafic efectuat prin reelele de perimetru i a asigura evidenele n vederea depistrii atacurilor efectuate pe sistemele compromise, protejarea zonelor de perimetru trebuie s fie multi-stratificat, utiliznd echipamente i aplicaii Firewall, Proxy, reele DMZ, sisteme de prevenire i detectare a intruziunilor la nivel de reea tip IPS i IDS, precum i filtrarea traficulul n i dinspre interiorul reelelor. Sistemele de prevenire i detectare a intruziunilor la nivel de perimetru trebuie s includ urmatoarele caracteristici: s aib capacitatea de identificare a pachetelor neautorizate/nelegitime trimise nspre sau primite dinspre o zon sigur; blocarea pachetelor neautorizate/nelegitime; alertarea personalului administrativ. g. Accesul fizic n locaii Asigurarea unui mediu de securitate adecvat, ncepe chiar de la accesul fizic n cldireile/spaiile/locaiile care trebuiesc protejate. Pentru eficientizarea sistemelor de paz i aprare mpotriva ptrunderii neautorizate, msurile de securitate fizic ar trebui cuprinse ntr -un Plan de securitate fizic, iar implementarea acestor msuri s fie bazat pe principiul aprrii n adncime, urmrindu-se stabilirea: spaiului care trebuie protejat; unor dispozitive exterioare de securitate destinate s delimiteze zona protejat i s descurajeze accesul neautorizat (gardul de perimetru, barier fizic care protejeaz limitele locaiei, paz cu personal specializat); unor dispozitive intermediare de securitate destinate s descopere tentativele sau accesul neautorizat n zona protejat (sisteme de detectare a intruziunilor - SDI, iluminat, televiziune cu circuit nchis TVCI); unor dispozitive interioare de securitate destinate s ntrzie aciunile eventualilor intrui (controlul accesului - electronic, electromecanic sau prin alte mijloace). Controlul accesului personalului n zonele protejate se efectueaz de personal de paz sau prin sisteme electronice, avndu-se n vedere urmtoarele:
Page 14 of 34

accesul fiecrui angajat se realizeaz prin locuri anume stabilite, pe baza permisului de acces; permisul de acces poate specifica n clar identitatea organizaiei emitente sau locul n care deintorul are acces, ins acest aspect nu este recomandat pentru zonele n care sunt gestionate infromaii clasificate (Practic la nivelul fiecrei persoane juridice care gestioneaz informaii clasificate se pot stabili reguli suplimentare proprii privind accesul);

pentru accesul angajailor agenilor economici contractani care efectueaz diverse lucrri de reparaii i ntreinere a cldirilor sau mentenan, organizaiile beneficiare vor elibera, pe baza actelor de identitate, la solicitarea reprezentanilor autorizai ai agenilor n cauz, documente de acces temporar.

Planul de securitate fizic cuprinde descrierea tuturor msurilor de securitate fizic implement ate pentru protecia locaiilor i poate fi structurat astfel: delimitarea, marcarea i configuraia zonelor care trebuiesc protejate; sistemul de paz i aprare; sistemul de avertizare i alarmare; controlul accesului, al cheilor i combinaiilor de cifru; modul de aciune n situaii de urgen; modul de raportare, investigare i eviden a nclcrii msurilor de securitate; responsabilitile i modul de implementare a msurilor de pregtire i instruire pe linie de securitate fizic; responsabilitile i modalitile de realizare a verificrilor, inspeciilor i controalelor sistemului de securitate; msuri suplimentare de protecie fizic.

3.2. Securitatea logic a. Configuraii de securitate a componentelor hardware pentru echipamente mobile, staii de lucru i servere Asupra reelelor Internet ct i a celor interne deja compromise de atacatori, programe automate de atac informatic caut n mod constant reele int pentru a gsi sisteme care au fost configurate cu software vulnerabil instalat. Configuraiile implicite sunt adesea orientate pentru a uura exploatarea, utilizarea sistemelor, nefiind ns securizate i lsnd servicii inutile exploatabile n starea implicit a acestora. Tehnicile de atac, ncearc s exploateze n acest fel att serviciile accesibile via reea, ct i software-ul de navigare al clientului. Msurile de protecie mpotriva acestor tehnici de atac includ achiziia de componente pentru sisteme i reea cu configuraii de securitate deja implementate, instalarea sistemelor preconfigurate pentru securitate, actualizarea configuraiilor periodic i urmrirea acestora n cadrul unui sistem de management al configura iilor. Aceste msuri se pot implementa prin crearea de imagini ale sistemelor i stocarea pe servere securizate mpreun cu utilizarea instrumentelor de management al configuraiilor. n funcie de soluia adoptat, aceste

Page 15 of 34

instrumente pot monitoriza n mod activ devierile de la configuraiile implementate, furniznd informaiile necesare pentru asigurarea utilizrii configuraiilor stabilite i vor include urm toarele funcionaliti: Identificarea oricror modificri/schimbri n cadrul unei imagini securizate care pot include modificri aduse pentru fiiere cheie, porturi, fiiere de configuraii sau pentru software-ul instalat; Compararea imaginii fiecrui sistem cu imaginea oficial stocat n mod securizat n cadrul sistemului de management al configuraiilor; Blocarea instalrii i prevenirea executrii odat cu alertarea personalului administrativ.

b. Configuraii de securitate pentru echipamente de reea Firewall, Router, Switch Atacatorii profit de o practic des ntalnit n configurarea nivelului de securitate pe anumite echipamente de reea: utilizatorii solicit excepii temporare din considerente specifice, de business, aceste excepii sunt aplicate dar nu i ndeprtate imediat ce necesitatea de business dispare. n unele situaii i mai grave, riscul de securitate al unei astfel de excepii nu este nici analizat corespunztor nici evaluat din punct de vedere al necesitii. Atacatorii caut breele din firewall-uri, routere i switch-uri i apoi le folosesc n scopul penetrrii sistemului. Atacatorii au exploatat deficienele acestor echipamente de reea pentru a obine accesul n mediile vizate, pentru a redirecta traficul nspre o alt reea sau un sistem maliios ce se anun ca un sistem de ncredere, i pentru a intercepta i altera informaii pe msur ce acestea sunt transmise. Cu astfel de aciuni atacatorul obine acces la date sensibile, altereaz informaii importante sau chiar utilizeaz un sistem compromis pentru a poza ntr-un alt sistem de ncredere din reea. Anumite organizaii utilizeaz unelte comerciale de evaluare a setului de reguli de pe echipamentele de filtrare din reea, cu scopul de a determina m sura n care acestea sunt consistente sau conflictuale. Se face astfel o verificare automat a strii filtrelor de reea i se caut erori n seturile de reguli sau n listele de control al accesului (Access Control List - ACL) care ar putea permite servicii nedorite pe acele echipamente. Astfel de unelte ar trebui utilizate la fiecare modificare semnificativ a setului de reguli de pe firewall-uri, a ACL-urilor de pe router sau pe alte tehnologii de filtrare. Funcionalitile minim recomandate pentru meninerea unui control optim la nivel de echipamente de reea: Identificarea oricrei modificri la nivel de echipamente de reea, inclusiv routere, switch-uri, firewall-uri i sisteme IDS i IPS (orice schimbare n fiierele cheie, servicii, porturi, fiiere de configuraie sau orice alt software instalat pe echipamente Configuraia fiecrui sistem trebuie comparat cu baza de date master cu imagini pentru a verifica orice modificare n configuraie din punct de vedere al impactului asupra securitii. c. Modaliti de protejare mpotriva malware-ului Software-ul maliios constituie un aspect periculos al ameninrilor din mediul Internet, care vizeaz utilizatorii finali i organizaiile prin intermediul navigrii, ataamentelor email, dispozitivelor mobile precum i prin utilizarea altor vectori. Codul maliios poate s interacioneze cu coninutul sistemului, s captureze date sensibile i s se rspndeasc la alte sisteme. Malware-ul modern urmrete s evite detectarea bazat pe
Page 16 of 34

semnturi i cea comportamental i poate dezactiva instrumentele anti-virus care ruleaz pe sistemul int. Software-ul anti-virus i anti-spyware, denumite colectiv ca instrumente anti-malware, ajut la aprarea mpotriva acestor ameninri prin ncercarea de a detecta programele malware i blocarea executrii acestora. Instrumentele anti-malware, pentru a fi eficiente, necesit actualizri periodice. Bazndu-se pe politici i aciuni ale utilizatorilor pentru meninerea instrumentelor anti-malware actualizate, acestea au fost discreditate pe scar larg deoarece muli utilizatori nu s-au dovedit capabili s aplice n mod consecvent aceste sarcini. Pentru a asigura actualizarea periodic i eficient a intrumentelor anti-malware, sunt utilizate soluii care automatizeaz aceste sarcini. Aceste soluii, numite i suite de end-point security, utilizeaz funcionaliti de administrare integrate pentru a verifica activitatea instrumentelor anti-virus, anti-spyware i host-based IDS pe fiecare sistem gestionat. Zilnic sau la intervale predefinite, ruleaz evaluri automate i efectueaz revizuiri ale rezultatelor pentru identificarea sistemelor care au dezactivate instrumentele de protec ie, precum i a sistemelor care nu sunt actualizate cu ultimele definiii malware. Pentru creterea nivelului de siguran pentru sistemele protejate, ct i pentru sistemele care nu sunt acoperite de soluiile de management ale organizaiilor, se folosesc tehnologiile de control al accesului n reea prin intermediul crora sunt testate echipamentele din punct de vedere al conformitii cu politicile de securitate nainte de a permite accesul n reea. Unele organizaii implementeaza honeypot-uri comerciale sau gratuite i instrumente de ademenire cunoscute ca tarpit tools pentru a identifica atacatorii n mediul lor. Personalul de securitate trebuie s monitorizeze permanent aceste instrumente pentru a determina cnd traficul este direcionat ctre atacatori i sunt efectuate tentative de conectare. Odat identificate aceste evenimente, personalul de securitate trebuie s obina sursa adreselor de unde este generat traficul i alte detalii asociate atacului pentru a furniza datele necesare activitilor de investigare. Instrumentele anti-malware vor include urmtoarele funcionaliti: Identificarea instalrii de software maliios, a tentativelor de instalare, executare sau a tentativelor de executare; Blocarea instalrii i prevenirea executrii sau trecerea n carantin a software-ului maliios odat cu alertarea personalului administrativ. d. Securitatea aplicaiilor Printre prioritile recente ale grupurilor criminale se num r atacurile asupra vulnerabilitilor aplicaiilor webbased precum i asupra aplicaiilor n general. Aplicaiile care nu fac verificri asupra volumului intrrilor generate de utilizator, nu reuesc s sanitizeze intrrile prin filtrarea secvenelor de caractere care nu sunt necesare sau potenial maliioase sau nu iniiaz curarea variabilelor n mod corespunzator, fiind astfel vulnerabile la compromiterea de la distan. Atacurile pot fi efectuate prin injectarea de exploatri specifice incluznd buffer overflows, atacuri de tip SQL injection, cross-site scripting, cross-site request forgery, i click jacking de cod pentru obinerea controlului asupra sistemelor vulnerabile. Pentru prevenirea unor asemenea atacuri, aplicaiile dezvoltate intern ct i aplicaiile third-party trebuie testate riguros pentru a identifica deficienele de securitate. Pentru aplicaiile third-party, organizaiile trebuie s se asigure c furnizorii au efectuat testri riguroase de securitate pentru produse, iar pentru aplicaiile dezvoltate

Page 17 of 34

intern, organizaiile trebuie s efectueze testrile de securitate sau s angajeze servicii de specialitate pentru efectuarea de astfel de testri. Tool-urile ce testeaz cod surs sau acelea pentru scanarea securitii aplicaiilor web s-au dovedit a fi utile n vederea securizrii, alturi de verificrile de securitate tip penetration testing efectuate manual de specialiti cu vaste cunotine de programare i expertiz n testarea de aplicaii. Funcionaliti recomandate n sistemul de securitate al aplicaiilor: Detectarea i blocarea ncercrilor de atac la nivel de aplicaie; Testarea periodic, sptmnal sau chiar zilnic; Mitigarea tuturor vulnerabilitilor cu risc mare din aplicaiile web accesibile din Internet identificate cu scannere de vulnerabiliti, instrumente de analiz statice i instrumente de revizuire a configuraiilor automate din bazele de date fie prin modificarea fluxului, fie prin implementarea unui control compensatoriu.

3.3. Securitatea personalului a. Utilizarea controlat a privilegiilor de administrare O prim metod de atac cu scopul de a se infiltra n reeaua unei organizaii o reprezint utilizarea eronat a privilegiilor administrative. Dou metode comune de atac profit de lipsa de control asupra acestor privilegii administrative: n prima metod, un utilizator al unei statii de lucru, folosind un cont privilegiat, este pclit s deschid un ataament maliios din email, descrcnd i deschiznd un fiier de pe un website maliios, sau pur i simplu navignd pe un site web ce gzduiete coninut periculos care poate exploata browserul. Fiierul sau exploit-ul conine cod executabil ce ruleazp pe maina victimei fie automat, fie convingnd utilizatorul sp execute coninutul. Daca acest cont de utilizator are privilegii administrative, atacatorul poate prelua complet controlul asupra sistemului victimei i poate instala tool-uri precum keystroke loggers sau keyloggers ( aplicaie ce reine ntr-un fiier tot ce se tasteaz), sniffers (intercepteaz i decodific traficul de reea) i software de control la distan pentru a identifica parole de administrare i alte informaii sensibile. Atacuri similare au loc i prin intermediul emailului: un administrator deschide un email ce conine un ataament infectat, acesta fiind mai apoi utilizat pentru a obine un punct de acces n reea i de a ataca i alte sisteme. O a doua metod o reprezint elevarea de privilegii ghicind i sprgnd o parol a unui cont administrativ, pentru a obine acces la o main int. Dac privilegiile administrative sunt folosite pe scar larg n interiorul organizaiei, atacatorul va obine mai usor i mai repede controlul asupra sistemelor, ntruct sunt disponibile mai multe conturi cu privilegii administrative de ncercat. O situaie comun specific unui astfel de atac este aceea a privilegiilor administrative de domeniu n mediile complexe Windows, atacatorul avnd astfel un control semnificativ asupra unui num r mare de maini i asupra datelor coninute de acestea. Un management optim al conturilor administrative se realizeaz cu o serie de funcionalitati sau activiti precum:

Page 18 of 34

extragerea listei de conturi privilegiate, at t pe sistemele individuale ct i la nivel de controllere de domeniu i verificarea periodic n lista cu servicii active dac vreun browser sau serviciu de email folosete privilegii ridicate (utilizarea de scripturi ce caut anumite browsere, servicii de email i programe de editare a documentelor);

conturile administrative pot fi configurate s utilizeze un proxy web n anumite sisteme de operare i s nu aib acces la aplicaia de pot electronic. Setarea lungimii minime acceptabile a parolei de exemplu la 12 caractere, setarea unui algoritm de complexitate corespunzator.

b. Controlul accesului n baza principiului Need to Know Unele organizaii nu i identific i separ cu atenie datele sensibile de cele mai puin sensibile sau disponibile public n reelele interne. n multe medii, utilizatorii interni au acces la toate sau la majoritatea informaiilor din reea. Odat ce atacatorul a penetrat o astfel de reea, pot gsi i transmite n exterior informaii importante, fr eforturi considerabile. Chiar n cteva situaii de ptrundere din ultimii ani, atacatorii au reuit s obin accesul la date sensibile cu acelai cont de acces ca i pentru datele obinuite, stocate pe servere comune. Este vital ca fiecare organizaie s neleag care sunt informaiile sale importante, unde sunt situate i cine are nevoie s le acceseze. Pentru a ajunge la nivelele de clasificare, organizaiile trebuie s treac n revist tipurile cheie de date i importana lor la nivel de organizaie. Aceast analiz poate fi util n creionarea schemei de clasificare a informaiilor la nivelul ntregii organizaii. n cel mai comun caz, schema de clasificare conine dou nivele: informaii publice (neclasificate) i private (clasificate). Odat ce informaiile private au fost identificate, acestea pot fi ulterior mprite pe subclase n funcie de impactul n organizaie, dac ar fi compromise. Ce putem face pentru a aplica principiul ct mai eficient: Identificarea datelor, clasificarea pe nivele, corelarea cu aplicaiile de business; segmentarea reelei astfel nct sisteme de aceeai sensibilitate s fie pe acelai segment de reea; accesul la fiecare segment de reea trebuie controlat de firewall i eventual criptat traficul de pe un segment de reea cu acces nesecurizat; Fiecare grup de utilizatori sau angaja i ar trebui s aib clar specificate n cerinele postului ce tip de informaii trebuie sau au nevoie s acceseze n scopul ndeplinirii atribuiilor. n funcie de cerinele postului, accesul se va permite doar pe segmentele sau serverele necesare pentru fiecare post n parte. Fiecare server ar trebui s nregistreze logurile detaliate, astfel nct accesul s poat fi urmrit, iar situaiile n care cineva acceseaz date la care nu ar trebui s aib acces s poat fi examinate; Sistemul trebuie s fie capabil s detecteze toate ncercrile de acces fr privilegii corespunzatoare i s aib capabiliti de alertare. c. Monitorizarea i controlul conturilor de utilizator Atacatorii descoper frecvent i exploateaz conturi de utilizator legitime dar nefolosite pentru a impersona utilizatorii legitimi, fcnd astfel dificil depistarea atacului de ctre sistemul de securitate al reelei. Sunt des
Page 19 of 34

ntlnite cazurile n care conturile de utilizator ale contractorilor sau angajailor care au finalizat colaborarea cu organizaia rmn active. Mai mult, actualii angajai ru voitori sau foti angajai au accesat conturile vechi i mult dup expirarea contractului, meninand accesul la sistemele organizaiei i la datele sensibile, n scopuri neautorizate i uneori maliioase. Monitorizarea i controlul conturilor de utilizator sunt activiti ce revin personalului administrativ i au n vedere cel puin funcionaliti precum: Activarea funciei de logare a informaiilor legate de utilizarea conturilor, configurarea astfel nct s genereze date coerente i detaliate; Folosirea de scripturi sau instrumente dedicate pentru analiza de log astfel nct s se poat evalua profilul accesrii pe anumite sisteme; Managementul conturilor, cu atenie sporit pe cele inactive; Sistemul trebuie s fie capabil s identifice conturile de utilizator neautorizate, atunci c nd acestea exist n sistem. d. Evaluarea abilitilor i instruirea de securitate Fiecare organizaie ce se crede pregatit s identifice i s reacioneze eficient n faa atacurilor este datoare n faa angajailor i contractorilor s observe deficienele n cunotine i expertiz, i s susin acoperirea acestora prin exerciiu i instruire. Un program solid de evaluare a abilitilor poate oferi managementului informaii solide despre zonele n care trebuie mbuntit contientizarea n domeniul securitii, i devine util pentru determinarea alocrii optime a resurselor limitate cu scopul de a mbunti practicile de securitate. Strns legat de politici i contientizare este i activitatea de instruire a personalului. Politicile comunic angajailor ce sa fac, instruirea le ofer metodele i abilitile n vederea ndeplinirii, iar contientizarea schimb atitudini i comportament astfel nct personalul s urmeze prerogativele politicilor. Instruirea trebuie ntotdeauna corelat cu necesitile de cunotine pentru a ndeplini o sarcin dat. Dac dup instruire, utilizatorii nu respect o anumit politic, aceasta ar trebui evideniat prin contientizare. 3.4. Asigurarea continuitii afacerii Orice organizaie depinde de resurse, personal i activiti care sunt efectuate zilnic, n scopul de a rmne operaional i profitabil. Cele mai multe organizaii au resurse tangibile, proprieti intelectuale, angajai, calculatoare, legturile de comunicare, cldiri pentru sedii principale i puncte de lucru. Dac oricare dintre aceste elemente este deteriorat sau inaccesibil pentru un motiv sau altul, compania i serviciile furnizate de aceasta pot fi grav afectate. n funcie de gravitatea cazurilor, organizaia poate reveni la capacitatea de funcionare normal mai repede sau mai greu, dar exist i situaii n care companiile nu sunt niciodat n msur s i reia activitatea i s-i menin clienii n urma diferitelor dezastre care pot apare. Ca o consecin benefic implementrii planului de recuperare n caz de dezastru, s-a constatat c organizaiile care au planificate msuri de recuperare n caz de dezastru au o ans mult mai mare de a-i relua activitatea n timp util i de a rmne n pia.
Page 20 of 34

Scopul implementrii unui plan de recuperare n caz de dezastru este acela de a minimiza efectele unui dezastru i pentru a se asigura c resursele, personalul, i operaiunile ii vor relua funcionarea ntr-un timp util. Un plan de recuperare n caz de dezastru este aplicat atunci cnd intervine o situaie de nefuncionare i tot personalul este preocupat de a repune sistemele critice din nou online. Un plan de continuare a afacerii (BCP), are o abordare mai larg a problemei. Acesta include activarea i funcionarea sistemelor critice n alt locaie n timp ce se lucreaz la rezolvarea problemelor i repornirea sistemelor n locaia principal. De asemenea, este important de notat c o societate poate fi mult mai vulnerabil, dup un dezastru, pentru c serviciile de securitate folosite pentru protecia fizic sau logic pot fi indisponibile sau ntr-o stare de operare la capacitate redus. Disponibilitatea este una dintre temele principale ale planificrii continuitii (planului de recuperare n caz de dezastru i a planului de continuarea afacerii) n care se asigur c exist resursele necesare pentru a menine operaionalitatea organizaiei n orice condiii. Atunci cnd se are n vedere planificarea continuitii activitii, unele companii se concentreaz n principal pe backup de date i existena hardware-ului redundant. Dei aceste elemente sunt extrem de importante, ele sunt doar pri mici din imaginea de ansamblu. Echipamentele au nevoie de oameni pentru a le configura i le utiliza, iar datele sunt de obicei nefolositoare dac nu sunt accesibile pentru alte si steme i entiti, eventual, din exterior. Planificarea trebuie s aib n vedere prezena oamenilor potrivii la locul potrivit, documentarea configuraiilor necesare, stabilirea de canale alternative de comunicaii (voce i date), puterea de alimentare necesar i asigurarea c toate dependinele, inclusiv procesele i aplicaiile, sunt corect nelese i luate n considerare. De exemplu, n cazul n care liniile de comunicaie sau n cazul n care un serviciu este indisponibil pentru orice perioad semnificativ de timp, trebuie s existe o modalitate rapid i testat de restabilire a comunicaiilor i serviciilor afectate. Incidentele i ntreruperile pot apare din multe cauze: Umane angajai nemulumii, revolte, vandalism, accidente, furt, etc; Tehnice ntreruperi, virui, viermi, hackeri, probleme de alimentare cu energie electric, fiabilitatea echipamentelor, etc; Naturale cutremure, furtuni, incendii, inundaii, etc. Minor operaiunile sunt indisponibile pentru o perioad redus de timp, de pn la cteva ore, sau mai puin de o zi; Mediu operaiunile sunt indisponibile pentru mai mult de o zi. n acest caz o locaie secundar poate fi util pentru continuarea operaiunilor; Major acest tip de eveniment apare n urma unei catastrofe iar locaia principal nu mai poate fi utilizat. Este necesar o locaie auxiliar pentru continurarea operaiunilor pn se va reactiva locaia principal. Cele mai importante operaiuni care trebuiesc luate n considerare de ctre o organizaie, n procesul de funcionare normal sunt urmtoarele: Fiecare din aceste situaii pot cauza probleme de funcionare de tipul:

Page 21 of 34

a. Prevenirea pierderii datelor i capabilitatea de recuperare n cadrul operaiunilor zilnice este foarte important s se aibe n vedere se curitatea i protecia datelor prelucrate. Datorit faptului c sigurana datelor procesate este esenial n orice organizaie, prevenirea pierderii datelor i recuperarea acestora n caz de dezastru este critic. Obiectivul principal al unui plan de salvare a aplicaiilor i datelor critice este acela de a permite restaurarea acestora ntr -un timp foarte scurt i cu pierderi minime. n cadrul unui astfel de plan vor fi incluse urmtoarele puncte: Identificarea datelor i aplicaiilor care trebuiesc salvate; Tipul de salvare pentru diferite seturi de date (salvare complet, parial, incremental, continu); Regularitatea cu care se vor face salvrile; Unde vor fi pstrate salvrile; Cine are acces la salvrile efectuate; Perioada de timp necesar pentru a fi pstrate datele pn vor fi distruse.

Salvrile efectuate trebuiesc depozitate, iar accesul la acestea trebuie sa fie rapid i uor. Locaia n care sunt depozitate salvrile de siguran poate avea un impact major n procesul de restaurare a datelor i a serviciilor afectate. Din acest motiv este util ca salvrile de siguran s se regseasc n dou locaii diferite, astfel nct riscul de pierderea a lor s fi diminuat semnificativ. b. Capabilitatea de a rspunde la incidente n crearea planului de rspuns n cazul unui dezastru trebuie avut n vedere att capabilitatea de a rspunde la incidente ct i identificarea obiectivelor pe termen scurt i pe termen lung, dup cum urmeaz: Identificarea funciilor critice i prioritile pentru restaurare; Identificarea sistemelor suport necesare funciilor critice; Estimarea potenialelor probleme care pot apare i identificarea resurselor minime necesare pentru recuperare n caz de dezastru; Alegerea strategiei de recuperare i identificarea elementelor vitale necesare pentru reluarea activitii (personal, echipamente, sisteme, etc); Identificarea persoanei (persoanelor) care vor conduce reluarea activitii i procesul de testare; Calcularea fondurilor necesare pentru atingerea acestor obiective.

Planul va trebui sa detalieze i modul de contactare i mobilizare a angajailor, comunicarea ntre angajai, interfaarea cu furnizori externi. c. Mentenanta, monitorizarea i evaluarea jurnalelor de audit Dup finalizarea procedurilor de testare a planului de recuperare n caz de dezastru, este important ca acesta s fie ntreinut, actualizat i evaluat n continuu. Aceste activiti constau n: Responsabilizarea personalului fia postului a persoanelor responsabile de planul de recuperare n caz de dezastru trebuie s conin detalii despre responsabilitilre acestor n cadrul planului de recuperare n caz de dezastru;

Page 22 of 34

Revizuirea performanelor realizarea (sau nerealizarea) aciunilor de ntreinere a planului de recuperare n caz de dezastru n cadrul unor ntlniri bianule cu persoanele responsabile; Auditare echipa de auditare trebuie sa verifice planul i s se asigure c este actualizat i n conformitate cu realitatea. Totodat, echipa de audit va trebui s inspecteze toate locaiile suplimentare n care sunt depozitatea copiile de siguran, politicile de securitate, configuraiile, etc.

De asemenea, implicaiile planului de recuperare n caz de dezastru n cazul intreinerii, monitorizrii i recuperrii trebuie luate n considerare n orice discuii referitoare la achiziionarea de echipamente noi, modificarea celor existente sau a infrastructurilor critice ale organizaiei.

d. Teste de penetrare Testarea securitii reprezint un element important n procesul de asigurare a continuitii activitii organizaiei i const ntr-o analiz cuprinztoare a comportamentului sistemelor i aplicaiilor organizaiei n condiiile unor scenarii prestabilite de atac informatic. Scopul testelor de penetrare este acela de a analiza comportamentul aplicaiilor n contextul diferitelor atacuri informatice, fiind analizate vulnerabilitile care pot exista n aplicaiile dezvoltate sau utilizate. Un test de penetrare complet cuprinde att teste automate ct i manuale. Testele automate identific neglijene sau erori de programare n aplicaiile utilizate i sunt efectuate cu ajutorul unor programe specializate (vulnerability scanners, fuzzers, code scanners, etc). Testele manuale sunt folosite pentru a analiza aspecte ale aplicaiilor care necesit intuiia uman, identificndu-se erori logice de programare. Este recomandat ca un test de penetrare (extern i intern) s fie efectuat anual. Testele de penetrare nu rezolv problemele aplicaiilor i sistemelor informatice, ci doar le identific. Dup fiecare test de penetrare sunt necesare aciuni de corectare i actualizare a sistemelor i aplicaiilor n testate. e. Evaluari de securitate periodice i modaliti de remediere Lumea securitii informatice este n continu dezvoltare. Exist o multitudine de metode de atac i aprare care pot fi utilizate att pentru a ataca un sistem informatic ct i pentru aprarea acestuia. Evaluarea securitii sistemelor informatice se poate realiza prin: Revizuirea politicilor de securitate politicile de securitate sunt utilizate pentru a verifica prezena i rigurozitatea controalelor de securitate implementate; Scanare periodic pentru identificarea vulnerabilitilor informatice (vulnerability scanning) aceste programe sunt utilizate pentru a descoperi problemele aplicaiilor informatice, configuraii eronate i vulnerabiliti de securitate; Remedierea problemelor de securitate se realizeaz pe baza rapoartelor rezultate n urma testelor de scanare periodic de securitate. Remedierea se realizeaz prin implementarea patch -urilor de securitate furnizate de catre productorii de software, actualizarea la ultima versiune a aplicaiilor, reconfigurarea sistemelor informatice vizate, etc. Teste de penetrare sunt utilizate n principal pentru evaluarea msurilor de remedierilor implementate n urma scanrilor de securitate.
Page 23 of 34

IV.

Atacuri cibernetice i msuri de prevenire

4.1. Tipuri de atacuri cibernetice i msuri de prevenire Romnia se confrunt n prezent cu ameninri provenite din spaiul cibernetic la adresa infrastructurilor critice, avnd n vedere interdependena din ce n ce mai ridicat ntre infrastructurile cibernetice i infrastructuri precum cele din sectoarele energie, telecomunicaii, transport, financiar-bancar, i aprare naional. Globalizarea spaiului cibernetic este de natur s amplifice riscurile la adresa acestora afectnd n aceeai msur att sectorul privat, ct i pe cel public. Ameninrile specifice spaiului cibernetic se caracterizeaz prin asimetrie i dinamic accentuat i caracter global, ceea ce le face dificil de identificat i de contracarat prin msuri proporionale cu impactul materializrii riscurilor. Ameninrile la adresa spaiului cibernetic se pot clasifica n mai multe moduri, dar cele mai frecvent utilizate sunt cele bazate pe factorii motivaionali i impactul asupra societii. n acest sens, putem avea n vedere criminalitatea cibernetic, terorismul cibernetic i rzboiul cibernetic, avnd ca surs att actori statali, ct i non-statali. Ameninrile din spaiul cibernetic se materializeaz prin exploatarea vulnerabilitilor de natur uman, tehnic i procedural cel mai adesea n: atacuri cibernetice mpotriva infrastructurilor care susin funcii de utilitate public ori servicii ale societii informaionale a cror ntrerupere / afectare ar putea constitui un pericol la adresa securitii naionale; accesarea neautorizat a infrastructurilor cibernetice; modificarea, tergerea sau deteriorarea neautorizat de date informatice ori restricionarea ilegal a accesului la aceste date; spionajul cibernetic; cauzarea unui prejudiciu patrimonial, hruirea i antajul persoanelor fizice i juridice, de drept public i privat. Pericolele i ameninrile din spaiul virtual vizeaz, n general, reelele, no durile de reea i centrele vitale, mai exact, echipamentele i sistemele fizice ale acestora (calculatoare, providere, conexiuni i noduri de reea etc.), precum i celelalte infrastructuri care adpostesc astfel de mijloace (cldiri, reele de energie electric, cabluri, fibr optic i alte componente). n aceeai msur, ele vizeaz i centrele de date, sistemele de nmagazinare, de pstrare i de distribuie a informaiei, suportul material al bazelor de date i multe altele. ns, nainte de toate, asemenea pericole i ameninri vizeaz sistemele IT (ntreprinderi, linii de producie, sisteme de aprovizionare cu materiale strategice, infrastructuri de resurse i de piee, institute de cercetri, sisteme de comunicaii). Din categoria pericolelor i ameninrilor mpotriva infrastructurilor critice ale spaiului cibernetic fac parte i urmtoarele:

Page 24 of 34

dezvoltarea reelelor subversive i neconvenionale IT; activitatea tot mai intens a hacker-ilor; ciberterorismul.

Fr un sistem de securitate implementat i funcional, sistemele informatice, de telecomunicaii i datele prelucrate, stocate sau trasportate de acestea pot fi oricnd supuse unor atacuri informatice. Unele atacuri sunt pasive - informaiile sunt monitorizate sau copiate, iar alte atacuri sunt active - fluxul de informaii este modificat cu intenia de a corupe sau distruge datele sau chiar sistemul sau reeaua n sine. Sistemele informatice i de telecomunicaii, reelele formate de acestea i informaiile pe care le dein sunt vulnerabile la numeroase tipuri de atacuri dac nu sunt aprate de un plan de securitate informatic eficient. O descriere a tipurilor de atac i reacii de securitate la ndemna entitilor economice care dein un sistem de securitate informatic funcional se poate consulta n Anexa 2 a prezentului document. 4.2. Dezvoltarea entitilor de tip CERT Contextul actual din domeniul securitii sistemelor informatice i de comunicaii la nivel global, ne arat c interconectarea reelelor publice cu cele private, convergena domeniilor media, IT i comunicaii i folosirea comun a resurselor au crescut considerabil dificultatea de a proteja sistemele informatice i de comunicaii. Protejarea acestora este esenial pentru fiecare sector al economiei, iar obiectivele urmrite sunt: prevenirea aciunilor ndreptate mpotriva sistemelor informatice i reelelor de comunicaii, reducerea vulnerabilitii la aceste atacuri, minimizarea pagubelor i a timpului de recuperare n urma atacurilor.

Entitile de tip CERT (Computer Emergency Response Team) au n vedere prevenirea i detectarea ameninrilor de securitate la adresa sistemelor informaionale i rspunsul la ameninri, pe ct de obiectiv i eficient posibil, dar i informarea n legtur cu acestea. Entitile de tip CERT coopereaz prin asigurarea de informaii legate de incidente de securitate pentru utilizatorii sistemelor informaionale prin intermediul Internetului. Dei pe termen scurt securitatea presupune ndeplinir ea atributelor de integritate, disponibilitate i confidenialitate, pe termen lung, pentru protecia valorilor organizaiilor i asigurarea continuitii serviciilor sunt necesare urmatoarele msuri:

Preventive: implementarea de controale n cadrul organizaiilor; informarea i contientizarea publicului; coduri de conduit; instruirea utilizatorilor. msuri tehnice de protecie, utilizarea de echipamente i dispozitive securizate; reglementri;
Page 25 of 34

Protective:

planuri de recuperare n caz de dezastru. crearea i specializarea organismelor abilitate de lege; rspuns prompt i coerent al autoritilor la incidente; cooperare ntre sectorul public i cel privat; cooperare internaional.

De reacie / combatere:

De revizuire i perfecionare continu: controale periodice; urmrirea progreselor tehnologice; adaptarea la noile tehnologii.

n prezent, exist n lume diferite tipuri de entiti CERT n diverse tipuri de organizaii. Acestea s-au format n sectorul privat, n sectorul public i printr-un parteneriat ntre sectorul privat i cel public. Constituirea capabilitilor operaionale aferente unei entiti de tip CERT, care s poat asigura funcii specifice managementului securitii sistemelor informatice i de comunicaii la nivel naional i organizaional, necesit eforturi bugetare semnificative, context n care operaionalizarea unei astfel de structuri la un nivel minim de funcionare este dificil de realizat. Pentru a fi operaional i s poat dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele cibernetice, o structur de tip CERT necesit o dezvoltare pe trei paliere strategice: I. Definirea i crearea capabilitilor tehnice necesare atingerii obiectivelor. Definirea, pe principii funcionale, a componenelor tehnice ale sistemului de alert timpurie i informare n timp real privind incidentele cibernetice astfel nct s poat asigura operaionalizarea acestuia. Clasificarea incidentelor de securitate n baza unei analize de risc realizate n domeniul securitii cibernetice, adaptate la riscurile i ameninrile ce se manifest / se pot manifesta la adresa sistemelor informatice i de comunicaii naionale, coroborat cu contextul internaional pe aceast dimensiune a securitii globale (din punct de vedere geo -politic i de securitate / militar). Definirea aciunilor concree derulate pe diverse scenarii de manifestare a incidentelor de securitate cibernetic, n raport cu severitatea i impactul acestora, stabilirea concret a nevoilor acionale i asigurarea capabilitilor tehnice corespunztoare/adaptate de intervenie/reacie/rspuns. Definirea unor politici privind asigurarea cadrului de int eroperabilitate tehnic a sistemelor ce se vor interconecta la infrastructura CERT n vederea asigurrii unor forme inteligibile de detecie/raportare/avertizare i rspuns/reacie la incidente de securitate cibernetic, att la nivel naional ct i asigurarea posibilitilor tehnice necesare conectrii infrastructurii tehnice la structuri constituite la nivel internaional (ENISA ECG, TERENA, FIRST, etc.).

Page 26 of 34

Politic de achiziii orientat spre capabiliti tehnologice multi -vendor i asigurarea exploatrii la maxim a tehnologiilor create pe teritoriul naional (mediul academic, companii autohtone n domeniu etc.).

Asigurarea capabilitilor tehnice necesare derulrii de investigaii digitale ale incidentelor de securitate cibernetic dup mecanisme tehnologice i procedurale ce permit utilizarea acestora de ctre organele de aplicare a legii.

II.

Asigurarea personalului specializat pentru managementul proceselor interne, precum i pentru utilizarea capabilitilor tehnice create. Definirea competenelor necesare personalul propriu, pe toate palierele de activitate ale structuii de tip CERT (Ex: analiz de risc, asigurarea funcionrii continue i recuperare n caz de dezastre, managementul securitii sistemelor informatice i de comunicaii, operarea sistemului de alert, investigaii digitale, etc.) prin utilizarea vastei expertize accesibile n acest domeniu, n special n mediul privat i cantitii semnificative de informaii pe acest subiect accesibile prin intermediul unor canale media specializate; Crearea unui cadru de recunoatere a organismelor/entitilor naionale/internaionale formatoare de competene n domeniul securitii sistemelor informatice i de comunicaii (mediul academic, organisme private interne i internaionale, etc.). Ex: La nivel internaional, pe lng mediul universitar, mai multe organisme/entiti, de regul private, furnizeaz competene n domeniu, unele recunoscute de industrie (ISACA, ISC2, CE Council, SANS INSTITUTE, BSI), altele fiind create de productori/furnizori de tehnologii n domeniu. Selectarea de personal cu competene recunoscute n domeniul securitii sistemelor informatice i de comunicaii, n baza unor evaluri riguroase. Asigurarea cadrului de reglementare necesar legalitii i funcionalitii proceselor instituionale n raport cu teri. Promovarea unor propuneri legale fundamentate prin date conc ree (analize de risc, analize de impact, analize de fenomen etc.), care s creeze obligativitatea participrii, cel puin a deintorilor de sisteme informatice i de comunicaii critice, n cadrul sistemului de alert timpurie i informare n timp real, cu precizarea procedurilor concree i evidenierea investiiilor necesare acestui demers. Definirea procedural a cooperrii cu instituiile de aplicare a legii i limitele acionale n raport cu atribuiile structurilor de tip CERT. Asigurarea statutului juridic necesar formrii de competene profesionale n domeniul securitii sistemelor informatice i de comunicaii la nivelul structurilor de tip CERT.

III.

Page 27 of 34

La nivel naional exist Centrul Naional de Rspuns la Incidente de Securitate Cibernetic (CERT-RO), ca structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, aflat n coordonarea Ministerului Comunicaiilor i Societii Informaionale. CERT-RO i desfoar activitatea n conformitate cu legislaia n vigoare i cu regulamentul propriu de organizare i funcionare, n scopul realizrii prevenirii, analizei, identificrii i reaciei la incidente n cadrul infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO nu are competene n domeniul infrastructurilor cibernetice destinate procesrii, stocrii sau transmiterii informaiilor clasificate care se afl n administrarea instituiilor din domeniul aprrii, ordinii publice i siguranei naionale. Pentru aceste infrastructuiri, C ERT-RO ndeplinete doar atribuiile de cooperare, n baza unor acorduri dedicate, ncheiate cu structurile de tip CERT din cadrul acestor instituii. Practic, CERT-RO reprezint un punct naional de contact cu structurile de tip CERT care funcioneaz n cadrul instituiilor sau autoritilor publice ori al altor persoane juridice de drept public sau privat, naionale ori internaionale.

Page 28 of 34

Anexa nr. 1. Termeni i definiii Infrastructuri cibernetice infrastructuri de tehnologia informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice. Spaiul cibernetic mediul generat de infrastructurile cibernetice interconectate ntr -o reea global, incluznd coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de utilizatori n acesta. Securitate cibernetic starea de normalitate rezultat n urma aplicrii unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n format electronic, a resurselor i serviciilor publice sau private, din spaiul cibernetic. Ameninare cibernetic orice circumstan sau eveniment care constituie un pericol potenial la adresa securitii cibernetice. Atac cibernetic orice aciune ostil desfurat n spaiul cibernetic de natur s afecteze securitatea cibernetic. Incident cibernetic orice eveniment survenit n spaiul cibernetic de natur s a fecteze securitatea cibernetic. Rzboi cibernetic desfurarea de aciuni ofensive n spaiul cibernetic de ctre un stat n scopul distrugerii sau perturbrii funcionrii infrastructurilor critice ale altui stat, concomitent cu desfurarea de aciuni defensive i contraofensive pentru protejarea infrastructurii cibernetice proprii. Terorism cibernetic activitile premeditate desfurate n spaiul cibernetic de ctre persoane, grupri sau organizaii motivate politic, financiar, ideologic sau religios ce pot determina distrugeri materiale sau victime de natur s determine panic sau teroare. Spionaj cibernetic aciuni desfurate n spaiul cibernetic, cu scopul de a obine neautorizat informaii confideniale n interesul unui stat. Criminalitatea informatic totalitatea infraciunilor comise prin utilizarea reelelor de comunicare electronice i a sistemelor de informare sau mpotriva unor astfel de reele sau de sisteme. Vulnerabilitate - o slbiciune n proiectarea i implementarea infrastructurilor cibernetice sau a msurilor de securitate aferente care poate fi exploatat de ctre o ameninare. Riscul de securitate - probabilitatea ca o ameninare s se materializeze, exploatnd o anumit vulnerabilitate specific infrastructurilor cibernetice. Managementul riscului - un proces complex, continuu i flexibil de identificare, evaluare i contracarare a riscurilor la adresa securitii cibernetice, bazat pe utilizarea unor tehnici i instrumente complexe, pentru prevenirea pierderilor de orice natur. Managementul identitii - metode de validare a identitii persoanelor cnd acestea acceseaz anumite infrastructuri cibernetice. Reziliena infrastructurilor cibernetice capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic i de a reveni la starea de normalitate. Societatea informaional - este societatea n care producerea i consumul de informaie este cel mai important tip de activitate, informaia este recunoscut drept resurs principal, tehnologiile informaiei i

Page 29 of 34

comunicaiilor sunt tehnologii de baz, iar mediul informaional, mpreun cu cel social i cel ecologic un mediu de existen a omului. CERT Centru de rspuns la incidente de securitate cibernetic entitate organizaional specializat care dispune de capabilitile necesare pentru prevenirea, analiza, identificarea i reacia la incidentele cibernetice. SQL Injection - Este o tehnic de atac asupra aplicaiilor des utilizat pentru atacarea unei baze de date prin intermediul unui site web. Tehnica exploateaz vulnerabilitile de securitate ale site -ului web care fac posibil accesarea informaiilor din baza de date sau modificarea acestor a prin inserarea de instructiuni SQL n anumite cmpuri din paginile web, care insuficient validate sau incorect proiectate, vor permite executarea de cod n baza de date a aplicaiei. Cross-site scripting (XSS) - Este o tehnic de atac asupra aplicaiilor care exploateaza vulnerabilitile de securitate informatic n special din aplicaiile web, cum ar fi browserele web, care permit atacatorilor s injecteze propriul cod n paginile web accesate de ali utilizatori ai aplicaiei. DNS spoofing (DNS poisoning) - Este o tehnic de atac la nivel de servicii care const n hackingul unui computer, astfel ncat acesta va reruta requesturile catre anumite servere cu adrese web ctre alte adrese, de regul ctre computere controlate de atacator. ISACA - Informaion Systems Audit and Control Association ISC2 - International Informaion Systems Security Certification Consortium CE Council - Council on Continuing Education SANS INSTITUTE - SysAdmin, Audit, Network, Security Institute BSI - British Standard Institution

Page 30 of 34

Anexa nr. 2. Descriere tipuri de atac i reacii de securitate la ndemna entitailor economice care dein un sistem de securitate informatic funcional
Nr. Crt.
1.

Tip

de

atac

informatic
Atacuri ce vizeaza exploatarea vulnerabilitilor serviciilor aplicaiilor sau

Descriere
Acest gen de atacuri vizeaz servicii i aplicaii ale cror versiuni sau sunt cunoscute a avea vulnerabiliti configurate. De regula acest tip de atac este precedat de scanarea porturilor masinilor tinta, pentru a determina versiunile sistemelor de operare i a serviciilor rulate. Rezultatul acestor atacuri poate consta n acces neautorizat la date sau la resurse, execuie neautorizat de cod, indisponibilitate a serviciilor sau a aplicaiilor. Vulnerabilitile provin din erori de proiectare sau programare (buffer overflows, pointeri iniializai sau folosii n mod eronat), lipsa unei verificri a datelor introduse de utilizatori n aplicaii (formatarea greit a stringurilor, prelurarea incorect a caracterelor speciale, SQL injection, code injection, e-mail injection, HTTP header injection, HTTP response splitting, directory traversal i cross-site scripting n aplicaiile web) sau rularea unor aplicaii cu drepturi ce permit escaladarea de privilegii, premind unui eventual atacator s preia controlul asupra unor resurse ale sistemului informatic vizat. Phishing-ul este comportamentul infracional prin care se ncearc obinerea de informaii (i, uneori, n mod indirect, de bani), cum ar fi nume de utilizator, parole, detalii despre carduri de credit prin falsificarea unei entiti legitime ntr-o sunt necorespunztor

Masuri de prevenire i de eliminare a efectelor producerii atacului

1. Elaborarea i implementarea de politici de securitate care s reglementeze i s automatizeze procesele de update pentru produsele software folosite n cadrul organizaiei, multe din aceste actualizri viznd remedierea unor vulnerabiliti 2. O mentenan riguroasa a hardware-ului, n sensul unei corecte configurri din punct de vedere a securitii i a actualizrii firmware-ului de fiecare dat cnd apar noi versiuni 3. 4. 5. Teste periodice de penetrare i audituri de securitate Testarea aplicaiilor dezvoltate in-house Folosirea de echipamente specializate n detecia i prevenirea acestor tipuri de atacuri (IDS i IPS - tehnologii ce se bazeaz pe recunoaterea atacurilor), web application firewall sau web filtering 6. Folosirea unui SIEM - software de analiza a evenimentelor de securitate i a comportamentelor anormale din reea ce sunt extrase din jurnalele aplicaiilor i sistemelor i echipamentelor din reea 7. Implementarea de msuri de protecia datelor prin proceduri de back -up, replicare i disasterrecovery care s asigure disponibilitatea datelor n orice condiii.

2.

Atacuri phishing

de

tip

1.

Imbunatairea autenticitii site-ului.

Rdcin a problemei acestui tip de nelciune este c utilizatorii nu sunt capabili s identifice dac site -ul este original sau fals. Privind URL-ul i certificat-ul SSL atent i poi da seama uor de fals n cele mai multe cazuri, dar nu toi utilizatorii au timp i nici aptitudini tehnice pentru a analiza i a lua hotrrea corect. O metod eficient este de a personaliza pagina de conectare pentru fiecare utilizator. Conectarea se poate

Nr. Crt.

Tip

de

atac

informatic

Descriere
comunicare electronic. Mesajul transmis victimei simuleaza c ar proveni de la site-uri bancare, de licitaii, procesatori de pli online sau administratorii IT i sunt de obicei utilizate pentru a atrage publicul neavizat. Phishing-ul este de obicei efectuat prin e-mail spoofing sau mesaje instant, i de multe ori direcioneaz utilizatorii s introduc detalii confideniale pe un site fals al crui aspect este aproape identice cu cel legitim. Mai nou a aprut conceptul de spearphishing. Acesta este similar cu phishing-ul, diferena major constnd n faptul ca atacul vizeaz inte clar identificate i este combinat cu elemente de inginerie social, n scopul de a induce ideea c mesajul provine de la o persoan cunoscut n cadrul organizaiei vizate.

Masuri de prevenire i de eliminare a efectelor producerii atacului

face n dou etape. n primul rnd utilizatorul introduce doar user-ul i nu parola. Odata ce user-ul este regsit, serverul returneaz o pagin n cazul n care utilizatorul primete pentru a vedea o imagine pe care el a ales-o, la momentul nregistrrii. n cazul n care imaginea este potrivit el furnizeaz parola i totul este ok. Dac imaginea nu este corect se ridic o alert i clientul nu furnizeaz parola. Atacatorul nu poate ti ce imagine va trebui artat utilizatorului. atacatorului. 2. Parole intr-o singur incercare Transmiterea parolei este insoita de un cod furnizat de un token care este valabil doar o perioada foarte scurta de timp de regula 60 de secunde. Nici aceast metod nu este 100% infailibil dar ingreuneaz misiunea atacatorului dac nu folosete datele furnizate n cele 60 de secunde. O metod puin diferit este reconfirmarea accesului cu un cod trimis prin al t sistem (sms) dar acest lucru induce o serie de dificulti de costuri i de limitare a accesului. 3. Parole separate pentru acces i tranzacionare Personalizarea comunicrilor pe email Userul va trebui s utilizeze o parol pentru acces i alt parol pentru tranzaciile pe care le efectueaz . 4. Phishing-ul ncepe cu un e-mail. Cum vor diferenia utilizatorii un mail de phishing fa de unul la un centru autorizat? Dac putem personaliza email-urile autorizate s includ unele detalii la care atacatorii nu vor avea acces la, exist o ans ca userii s identifice e-mail-urile de phishing care nu au oricare dintre aceste detalii. Unele detalii care ar putea fi incluse n comunicrile prin e-mail sunt numele Clientului complet i ultimele 4 cifre ale numrului contul su. 5. Educarea utilizatorilor Poate cel mai bun mecanism de protectie, dar cel mai greu de pus n aplicare. Dac putem educa utilizatorii despre cum s detecteze un e-mail/site de phishing i cum poate accesa site-ul web original n siguran, o mulime de atacuri de tip phishing nu ar reui. Am putea pune aceaste informaii pe pagina de login sau l putem trimite ca e-mailuri. Metoda variaz n funcie de tipul de activitate i de canalele disponibile pentru a ajunge la utilizator. Mai dificil de contracarat este atacul de tip phishing dac faptuitorul acioneaz de pe teritoriul altor ri, n acest caz autoritile romne au posibilitatea de a colabora cu instituii internaionale sau cu cele din rile n care atacatorii acioneaz. De asemenea organizaia atacat are posibilitatea de a solicita ISP-ului care furnizeaza gzduirea Page 32 of 34 Metoda nu este 100% infailibil dar ingreuneaz misiunea

Nr. Crt. 3.

Tip

de

atac

informatic
Software (malware) nociv

Descriere

Masuri de prevenire i de eliminare a efectelor producerii atacului

domeniului pentru atacator sa-i blocheze acestuia site-ul falsificat.

Malware" este un termen general folosit pentru a se referi la o varietate de forme de software conceput n scopul de a aduna informaii viruii,

1.

Elaborarea i implementarea de politici de securitate care s reglementeze i s automatizeze procesele de update pentru produsele software folosite n cadrul organizaiei Implementarea unei politici privind implementarea i actualizarea a produselor anti-virus i antimalware, folosind mecanisme automatizate. Limitarea drepturilor utilizatorilor, prevenind instalarea de software neautorizat sau ncercrile nelegitime de escaladare a drepturilor. Avnd n vedere ca tendina de propagare a malware-ului se manifest pregnant din direcia traficului web i e-mail, filtrarea acestui tip de trafic folosind tehnologii de web&e-mail filtering ce includ motoare anti-malware, mecanisme anti-spam, DNSBL i URL-categorization

2.

confideniale sau de a obine acces neautorizat la resurse informatice. Aici putem include viermii, troienii, spyware, adware, 3.

rootkit-uri, 4.

keyloggere.

Urmtoarea este o list de strategii comun pentru protecia datelor: 1. 2. Copiile de rezerv facute pe band s fie trimise periodic la o alt locaie Copii de rezerv pe disk s fie fcute la locaie i copiate pe alt disk la alt locaie sau copiate direct la alt locaie 3. 4. Acest tip de atac consta n interceptarea ilegala a comunicaiilor de voce sau de date vehiculate printr-o reea de transmisii de voce sau de date. Replicarea datelor eseniale la o alt locaie n multe cazuri, se poate alege s se apeleze la un furnizor extern specializat pe recuperare care s ofere un stand-by site care s fie folosit n caz de dezastru.

4.

Interceptarea comunicatiilor (passive wiretapping)

Sistemele, reelele, echipamentele i informaiile sensibile sau critice pentru o organizaie ar trebui s fie protejate fizic intr-un perimetru de securitate delimitat, cu bariere de securitate adecvate i mecanisme de control al accesului. Mecanisme speciale pot fi necesare pentru a proteja mpotriva riscurilor sau accesului neautorizat i pentru a proteja instalaiile de suport, cum ar fi alimentarea cu energie electric i

infrastructura de cablare. Protecia oferit trebuie s fie proporional cu riscurile identificate. Instituirea unei politici de clear-desk este recomandat pentru a reduce riscul de acces neautorizat. Totodata, pentru acele reele de comunicaii prin care sunt vehiculate informaii sensibile, se pot implementa mecanisme de criptare i, n general, se recomand folosirea unor versiuni criptate (secure) a protocoalelor de comunicaii, acest lucru fiind posibil att pentru comunicaiile voce, ct i date, avnd n vedere serviciile de unified-communications oferite de actorii din piaa TELCO. Dac comunicaiile v sunt interceptate luai legatura cu compania care va furnizeaza serviciile de transfer Page 33 of 34

Nr. Crt.

Tip

de

atac

informatic

Descriere

Masuri de prevenire i de eliminare a efectelor producerii atacului

de date. Compania va inspecta liniile pentru a identifica dispozitivele de interceptare. Dac sunt gsite astfel de dispozitive, compania va verifica pentru a vedea dac acestea sunt autorizate. Compania v va avertiza dac interceptarea este ilegal. Aceasta va notifica, de asemenea, organele legii i va inltura dispozitivul. Dac o companie sau organizaie identific interceptarea n mod intenionat a comunicaiilor are mijloace legale pentru o aciune n justiie. Dac avei sau compania de telefonie a gsit un dispozitiv de interceptare ilegal, trebuie s fie notificate autoritaile naionale n vederea lurii msurilor adecvate de aplicare a legii.

5.

Atacuri de tip Distributed Denial-

n atacurile de tip Distributed DoS (DDoS), un atacator instaleaz un agent sau un demon pe numeroase computere. Atacatorul trimite o comand pentru a lansa atacul unui computer master, care poate fi oricare dintre multele computere gazde. Masterul comunic cu agenii resideni n alte servere pentru a ncepe atacul. Atacurile DDoS sunt mai greu de combatut, deoarece blocarea unei singure adrese IP sau de reea nu va opri atacul. Atacurile pot proveni de la sute sau chiar mii de sisteme individuale i, uneori, proprietarii computerelor nu sunt mcar contieni de faptul c mainile lor sunt parte a unui atac informatic. Un atac DDoS se soldeaz cu suprancrcarea aplicaiilor cu sute de cereri invalide sau, cel mai frecvent, pe transmiterea unui volum mare de trafic aparent legitim (de ordinul Gbps), care satureaz banda de acces a clientului final, ducnd la imposibilitatea accesrii oricrui serviciu.

Organizaia interesat n a se proteja mpotriva atacurilor de tip DDoS poate opta pentru soluii informatice specializate care se bazeaz pe echipamente hardware performante, dotate cu interfee de reea specializate. Un astfel de serviciu are rolul de a monitoriza n permanen logurile i nivelul de trafic ctre adresele IP ale clientului, iar n cazul detectrii unui atac traficul este redirecionat prin echipamente de curare. n faa atacurilor de acest tip, majoritatea furnizorilor de Internet aleg ca metod de protecie traffic blackholing. Mai exact, adresele IP atacate sunt anunate n mod automat furnizorilor de nivel superior, care blocheaz n totalitate traficul spre acestea pentru un interval de timp. Metoda este simpl, protejeaz restul capacitii de acces Internet, att a clientului, ct i a furnizorului, ns serviciile de pe serverele atacate rmn indisponibile pe toat durata aplicrii acestor filtre (exist cazuri n care atacurile dureaz zile ntregi). Necesitatea asigurrii continuitii serviciilor a fcut ca un numr n cretere de furnizori s adopte metode de tip traffic cleaning - filtrare a traficului de tip flood i livrarea ctre client doar a traficului legitim. Practic, n momentul detectrii unui atac ctre o adres IP, traficul este redirecionat prin echipamente specializate aflate n data center-ele furnizorului, unde se identific tipul atacului i se aplic filtre care l blocheaz sau i reduc intensitatea. Durata acestor operaii este de ordinul a ctorva secunde, iar impactul asupra utilizatorilor serviciului este minim, de multe ori insesizabil. Acest tip de protecie implic, ns, investiii importante din partea furnizorului. Pentru a putea susine atacuri de intensiti mari (de ordinul Gbps), furnizorul de Internet trebuie s i supradimensioneze capacitile de acces metropolitane i internaionale, pentru a lsa loc vrfurilor de trafic care apar n astfel de situaii. Un alt cost important este cel al echipamentelor de protecie care, n funcie de capacitatea filtrat, tipurile de atacuri recunoscute i posibilitile de upgrade pot ajunge la preuri foarte ridicate.

of-Service (DdoS)

Page 34 of 34