Analiza Si Modelarea Riscului

7/23/2019 Analiza Si Modelarea Riscului

http://slidepdf.com/reader/full/analiza-si-modelarea-riscului 1/63

ANALIZA RISCULUI ÎN SISTEMELE INFORMATICE ŞIDE COMUNICAŢII

Bucureşti - 2005 -



CUPRINS

CAPITOLUL 1 ________________________________________________________________ 3

PR OBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEA INFORMATICĂ – SOCIETATEA CUNOAŞTERII ________________________________________________ 3

1.1. INTRODUCERE ____________________________________________________________3

1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE ÎNSOCIETATEA INFORMAŢIONALĂ – SOCIETATEA CUNOAŞTERII_____________________3

1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELORINFORMATICE ŞI DE COMUNICAŢII ________________________________________________8

CAPITOLUL2 _______________________________________________________________ 12

RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR INFORMATICE ________ 12

2.1. INTRODUCERE ______________________________________________________________12

2.2. RISCUL DE ATAC ELECTRONIC ______________________________________________12

2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI ______________________________14

2.4. ANALIZA DE RISC ___________________________________________________________15

2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI _________________________________17 A. Ameninţările fundamentale __________________________________________________________ 18 B. Ameninţări care facilitează __________________________________________________________ 19 C. Ameninţări indirecte ________________________________________________________________ 22

CAPITOLUL 3 _______________________________________________________________ 24

METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU SISTEMELE IT) 24 CAPITOLUL 4 _______________________________________________________________ 27

MODELAREA ŞI ANALIZA RISCULUI _________________________________________ 27

4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI __________________________27

4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR _____29

4.3. MODELAREA DECIZIEI ______________________________________________________30

4.4. DESCRIEREA MODELULUI RISCULUI SECURITĂŢII CALCULATOARELOR ______33

4.5. TEHNICILE DE ANALIZĂ ______________________________________________________37

REFERINŢE BIBLIOGRAFICE ________________________________________________ 40 ANEXA 1 ___________________________________________________________________ 42

MODELE ŞI METODE PENTRU ANALIZA INFRASTRUCTURII DE INFORMAŢIICRITICE ____________________________________________________________________ 42

EXEMPLU DE MODELARE MATEMATICA A RISCURILOR INCIDENTELOR DE

SECURITATE CORELATE CU OPTIMIZAREA COSTURILOR ASOCIATE _________ 59



CAPITOLUL 1

PROBLEMATICA VULNERABILITĂŢII ŞI RISCULUI ÎN SOCIETATEAINFORMATICĂ – SOCIETATEA CUNOAŞTERII

1.1. INTRODUCERE

Societatea românească se află în mijlocul unor profunde transformări politice,economice, sociale şi culturale. Acest ansamblu de transformări afectează viaţa fiecăruia dintre noi.

Societatea Informatică – Societatea Cunoaşterii va depinde cu siguranţă de performanţele infrastructurilor critice ale economiei româneşti ex. sistemele de producere, transport şi distribuţie ale energiei, sistemele de telecomunicaţie, bănci, sistemele de transport aerian, naval, pe cale ferată şi pe cale rutieră, care vor putea fi totmai mult accesate din interiorul graniţelor naţionale, dar şi din afara acestora.

Societatea informatică – societatea cunoaşterii redefineşte problematica şi

doctrina de apărare naţională; aspectele economice nu vor fi cele doar strict legate debusiness şi / sau de afaceri. Securitatea infrastructurilor critice ale societăţii româneştivor trebui asigurate la un înalt nivel de complexitate, înţelegere şi acţiune.

“Cunoaşterea”, ca atare, va deveni o “armă” de apărare împotriva riscurilor, alenoilor vulnerabilităţi ce vor apare cu siguranţă în societatea deceniilor viitoare. Prin vulnerabilitate se înţelege identificarea unui ansamblu de evenimente externe sistemelortehnice care pun în pericol existenţa infrastructurilor tehn ice, ale sistemelor informatice,cu precădere, şi reprezintă elemente de iniţiere în cadrul analizelor de risc specializate,cu luarea în considerare a probabilităţilor apariţiei elementelor de hazard şi consecinţelenegative ale propagării dezastrelor. Ceea ce se numesc astăzi tot mai des pericolecibernetice (cyberthreats) vor deveni mai prezente în etapele noi de tranziţie către o

societate informatică – societate a cunoaşterii. La sfârşitul anilor ’80, un diplomat român în una din ţările nordice declară cu

mândrie patriotică: “scoate din priză calculatoarele din societatea occidentală şi aceastava fi pierdută. Noi (românii) nu avem nevoie de o societate informatică, pentru a fiaşadar vulnerabili”.

În etapa nouă politică, economică şi culturală în care se află România, esteevident că lucrurile s-au inversat. Un diplomat român astăzi va afirma cu siguranţă că“fără a fi cuplată la Internet, fără o cultură informatică minimă, societatea românească,

întreaga ei structură economico-politică şi culturală nu va mai fi nicidecum şi nicicând compatibilă cu noile structuri euro-atlantice”.

1.2. TEZE ALE VULNERABILITĂŢII ŞI RISCURILE INFRASTRUCTURILOR CRITICE ÎN SOCIETATEA INFORMAŢIONALĂ – SOCIETATEA CUNOAŞTERII

Cunoaşterea, şi managementul acesteia, au devenit resursa principală asocietăţilor moderne actuale. Firme de mare reputaţie internaţională, înainte cu câţivaani erau producătoare de echipamente energetice de mare performanţă ca de exemplufirma elveţiano-suedeză ABB, sau firma Sultzer. Astăzi ele se declară knowledge



management companies (companii care procesează, coordonează şi conduc o micro economie bazată pe cunoştinţe).

Schimbările aşteptate în viitor, de la o societate bazată eminamente pe resurse materiale la o societate a utilizării resurselor inteligente care se profilează deja astăzi, conduce la integrarea pe scară largă a prelucrării şi managementul cunoştinţelor şi a

informaţiei. Aceasta este o schimbare structurală în condiţiile de globalizare, acces la Internet, etc. În terminologia adoptată recent, infrastructurile critice sunt definite prin:

Structurile informatice şi de comunicaţie; Băncile şi sistemul financiar ale unei ţări; Sistemele de energie, incluzând cele de producere şi transport ale electricităţii,

ale petrolului şi ale gazului natural; Structuri de distribuţie fizică ale resurselor ex.: sistemele de transport feroviare,

rutiere, navale, aeriene; Serviciile vitale suport ale activităţilor umane (sanitare, apărarea civilă, poliţia,

armata).

Vulnerabilitatea acestor sectoare, în condiţiile accentuării introducerii în managementul societăţii, a informaticii şi cunoaşterii (information and knowledge) trebuie re-evaluată şi considerată în toată amplitudinea ei.

Avantajul României este acela că va proiecta şi realiza aceste infrastructuri suportale prelucrării şi managementul informaţiilor în condiţii în care deja alte societăţi (societatea occidentală) se confruntă deja cu definirea şi managementul riscurilor specifice; aceasta are loc pe măsura asimilării de noi structuri tehnice care implică o complexitate generalizată a tehnologiei, reţelelor, sistemelor tehnologice suport.

Căderea, pentru numai o oră, a sistemului de calculatoare ale bursei din NewYork - SUA, a creat în iunie 2001 panică şi confuzie mondială.

România, ca viitor partener în structurile economice globale şi euro – atlantice, va

trebui cu precădere să-şi definească o strategie suport de identificare a vulnerabilităţilorşi minimizarea riscurilor infrastructurilor ei critice. În perspectiva accentuării, în România, a introducerii şi promovării elementelor

societăţii informatice - societatea cunoaşterii, o serie de aspecte noi trebuie identificateşi controlate:

Crescânda dependenţă faţă de infrastructurile critice ale societăţii: în perspectivă,dependenţa fiecăruia dintre noi va fi tot mai mare faţă de sistemele de producere,distribuţie şi transport ale energiei electrice, sistemele de comunicaţie şi asistemelor de calculatoare;

Va avea loc o creştere a vulnerabilităţii sistemelor infrastructurilor critice în etapele de trecere accentuată în România la societatea informatică – societatea

cunoaşterii; Se vor diversifica posibilităţile de provocare a unor daune clasice (ex.: riscurile

tehnologice provocate de sisteme active (centrale nuclearo-electrice, chimice)sau de sisteme tehnice aşa numite pasive (ex. baraje ale centralelorhidroelectrice);

Vor apare noi pericole de tip şi natură cibernetică: extinderea reţelelor decalculatoare, accesul la un computer personal (PC) şi o conexiune telefonicăclasică poate provoca intenţionat daune însemnate;



Complexitatea sistemelor tehnice şi a interdependenţelor acestora, precum şiposibila / probabila interacţiune cu catastrofele naturale vor reprezenta noielemente de vulnerabilitate pentru infrastructurile critice ale societăţii.

Spectrul pericolelor se va extinde şi poate, în principiu, să includă:

Evenimente naturale şi accidente tehnice ce pot provoca daune materiale, ecologice şi umane importante; Erori umane şi omisiuni, care prin suportul fizic al societăţii informatice –

societatea cunoaşterii, poate induce efecte transversale negative în numeroasele componente ale infrastructurilor critice. O eroare umană provocată în sistemul dedistribuţie a energiei electrice, induce nealimentarea cu energie a sistemului detransport feroviar privind transportul substanţelor periculoase. Hackerii , cei caredin numeroase motive personale sau sociale, aflaţi pe teritoriul României sau înafara acesteia, pot provoca intenţionat discontinuităţi grave ale funcţionăriiinfrastructurii informatice ale viitoarei societăţi informatice - societate a cunoaşterii;

Activităţi criminale;

Spionaj industrial; Terorism; Război informatic.

Ceea ce reprezintă astăzi vulnerabilitate şi risc pentru societăţile occidentaleavansate, ele vor reprezenta elemente de input negativ şi stres pentru societatearomânească, ca societate informatică – societate a cunoştinţelor. Bunăoară, trebuiedepuse de la început eforturi pentru cunoaşterea, localizarea şi minimizarea încă de la

început a efectelor potenţial negative ce pot apare în societatea informatică – societatea cunoaşterii, infrastructurile critice ale societăţii. În etapa actuală de proiectare astructurilor societăţii informatice – societate a cunoaşterii, trebuie accentuateurmătoarele aspecte:

Crearea unei culturi de securitate (safety culture) la nivelul publicului, specialiştilor,managerilor şi politicienilor. Noi legi trebuie adoptate şi promovate pe măsură cesocietatea informatică – societate a cunoaşterii demarează ca un proces continuuşi ireversibil;

Asigurarea unor infrastructuri manageriale corespunzătoare, diseminate la toatenivelurile şi adaptate gradual la necesităţile societăţii;

Elaborarea unui sistem de legi specifice protecţiei infrastructurilor critice, în consens cu legislaţia internaţională şi Europeană;

Elaborarea unui program de cercetare ştiinţifică şi dezvoltare care să asigure progresul în cunoaşterea şi managementul complexităţii şi interacţiunilor în cadrul infrastructurilor critice ale societăţii informatice – societatea cunoaşterii.

Necesitatea creării unui program de conştientizare şi de educaţie pentru a facefaţă cerinţelor generate de promovarea societăţii informatice – societatea cunoaşteriieste un alt aspect ce trebuie considerat cu atenţie. În acest sens, este de remarcat faptul că promovarea societăţii informatice – societatea cunoaşterii presupune un amplu program de educare, de înţelegere a dimensiunilor promovării procesului de a naviga continuu spre realizarea acestor deziderate ale societăţii informatice – societate acunoaşterii.



Industria privată sau cea cu participare publică are sarcina de a coopera şi de a schimba informaţii în vederea asigurării funcţionalităţii, în condiţii de maximă securitate ainfrastructurilor critice.

În orice societate, dar cu precădere în societatea informatică - societate acunoaşterii, infrastructurile critice pot fi caracterizate ca acelea care asigură “linia vieţii”

(lifelines infrastructures), de care societatea contemporană este astăzi pe deplindependentă. În societatea informatică – societatea cunoaşterii nu mai există frontiere, în

sensul clasic al acestei accepţiuni. Infrastructurile critice, linii ale vieţii, sunt expuse la noi tipuri de vulnerabilitate – vulnerabilităţi cibernetice – şi noi pericole, pericole cibernetice.

Modul de abordare al vulnerabilităţilor şi riscurilor societăţii informatice – societatea cunoaşterii, trebuie să adopte noile dimensiuni cibernetice specifice acestora. Acestea sunt deja concluzii pe care şi le-au asumat şi recentele studii cu rezonanţă în SUA şi Europa Occidentală. Se menţionează în aceste studii că “ceea ce este extrem de important este de a recunoaşte că atât deţinătorii cât şi cei ce operează infrastructurile informatice sunt astăzi în prima linie în ceea ce priveşte efortul pentru asigurarea

securităţii acestora. Aceştia sunt, în primul rând, cei mai vulnerabili la atacurile

cibernetice. Şi această vulnerabilitate are influenţe negative asupra securităţii naţionale,competitivitatea economică globală şi a bunăstării la nivel naţional.”

Societatea informatică - societatea cunoaşterii implică adoptarea şi negociereaunei noi geografii informatice, în care graniţele sunt irelevante şi distanţele geograficefără sens, unde inamicul potenţial poate “demola” sistemele vitale ale societăţii fără niciun act de prezenţă sau agresiune aşa numită militară.

Pe măsură ce vom face eforturi pentru a atinge scopurile şi avantajele societăţii informatice - societatea cunoaşterii, în paralel trebuie să avem în vedere că trebuie proiectate structuri şi reţele de conducere în societatea informatică – societateacunoaşterii, capabile să răspundă noii geografii a vulnerabilităţii şi riscurilor infrastructurilor critice din România.

Înainte de a atinge stadiile societăţii informatice – societăţii cunoaşterii, Româniava trebui să gospodărească inteligent şi eficace ansamblul infrastructurilor critice existente, cu vârsta lor tehnologică, gradul lor de întreţinere. Aceasta nu este o iluzie sau o simplă ipoteză de lucru, ci un deziderat extrem de serios şi din perspectiva în careforma de proprietate a acestora suferă profunde schimbări. Apoi integrarea dinamică ainfrastructurilor existente cu cele specifice societăţii informatice – societatea cunoaşteriiva presupune recunoaşterea şi managementul unor vulnerabilităţi specifice.

Analizele de risc şi vulnerabilitate pentru aceste categorii de sisteme, evoluţia lor în etape de tranziţie, ţinând cont de gradul de educaţie şi pregătire pentrumanagementul sistemelor complexe, vor avea un rol extrem de important în deceniulviitor.

O concluzie posibilă în etapa de demarare a dezideratelor societăţii informatice – societatea cunoaşterii este aceea că analiza de vulnerabilitate şi risc trebuie consideratecu precădere. Se afirma recent că “…a aştepta apariţia dezastrelor este o strategiepericuloasă. Acum este timpul pentru a acţiona în vederea protejării viitorului nostru”.

În noua geografie a riscurilor generate de existenţa infrastructurilor critice încadrul societăţii informatice – societatea cunoaşterii este necesar să învăţăm să gândim diferit asupra operabilităţii conceptelor de vulnerabilitate, siguranţă, securitate şi risc.

Referitor la definirea direcţiilor de construcţie şi coordonare a eforturilor societale



pentru societatea informatică – societatea cunoaşterii, o serie de aspecte se vorevidenţia în continuare:

Se impune cu necesitate schimbul reciproc de informaţii, date şi cunoştinţe referitor la vulnerabilitatea diferitelor sisteme de infrastructuri critice, între Guvernşi sectoarele implicate, transversal într e sectoare distincte în cadrul conceptului

de infrastructuri critice, în condiţiile societăţii informatice – societatea cunoaşterii Este necesar să se construiască în cadrul societăţii informatice – societateacunoaşterii, un sistem de responsabilităţi care să garanteze cooperarea între diferitele grupuri active în funcţionarea infrastructurilor critice

Protecţia infrastructurilor impune construirea de capabilităţi integrate în cadrul diverselor instituţii în structura generală a societăţii în România

Este necesară realizarea unei culturi de securitate (safety culture)corespunzătoare

Sistemul de legi ale societăţii informatice – societatea cunoaşterii trebuie să ia înconsiderare potenţialul de impact al pericolelor cibernetice şi reglementate în modcorespunzător

Se impune iniţierea şi coordonarea adecvată a unor activităţi de cercetare ştiinţifică care să adreseze problematica vulnerabilităţii şi securităţii infrastructurilor critice în cadrul conceptului de societate informatică – societateacunoaşterii.

În legătură cu realizarea unor studii practice care să adreseze problematica vulnerabilităţii şi riscului infrastructurilor critice se impune, ca în condiţiile României, săse:

Promoveze construirea unor bănci de date care să colecteze şi prelucreze date specifice infrastructurilor critice.

Construirea de bănci de cunoştinţe care să înglobeze cea mai bună practică (bestpractice) privind proiectarea şi funcţionarea infrastructurilor critice în lume şi în

România, în special. Promovarea unor programe de învăţământ la nivel universitar şi postuniversitar

pentru a face faţă nevoilor specifice analizei vulnerabilităţii şi risculuiinfrastructurilor critice ale societăţii informatice – societatea cunoaşterii dinRomânia.

Instituirea în cadrul structurii Academiei Române a unui grup de lucru, comisiesau task force, pentru o activitate de cercetare interdisciplinară pe problematicavulnerabilităţii şi riscului sistemelor complexe, în special al infrastructurilor criticeşi impactul lor la nivel naţional.

Se va impune cu siguranţă adoptarea unei terminologii unitare în acest domeniu Realizarea unui parteneriat la nivel naţional între domeniul public şi cel privat care

să asigure un nivel acceptabil al securităţii infrastructurilor critice în cadrul societăţii informatice – societatea cunoaşterii, fără să afecteze operabilitatea funcţiilor vitale ale economiei naţionale din România.

Promovarea în toate etapele ciclului de viaţă al infrastructurilor critice ale societăţii informatice – societatea cunoaşterii a studiilor şi analizei de risc ,promovând cea mai bună practică (best practice) şi adoptarea unor criterii de risc cu largă acceptabilitate socială (ex. principiul ALARA – As Low As Reasonable

Acceptable).



Coordonarea în cadrul sistemului de legi din România a introducerii unorprevederi care să conducă la descurajarea atacurilor critice asuprainfrastructurilor critice, dar şi includerea de elemente legislative care să

încurajeze soluţii de tip risc-beneficiu privind proiectarea, realizarea şifuncţionarea operativă a infrastructurilor critice, în condiţiile creşterii complexităţii

şi a dependenţelor acestora. Promovarea, susţinerea şi realizarea în practică a unui ansamblu de măsuri specifice creării unei conştientizări a acţiunilor în caz de urgenţă (emergency awareness) care împreună cu cele ale culturii de securitate (safety culture) să depăşească momentele posibile de criză în funcţionarea infrastructurilor criticeale societăţii informatice – societatea cunoaşterii.

Realizarea unor schimburi de informaţii şi experienţă internaţională prin crearea şide societăţi / fundaţii în România care să disemineze cea mai bună practicăprivind asigurarea continuităţii operabilităţii infrastructurilor critice (ex. FundaţiaInfosurance în Elveţia). Reţelele de calculatoare sunt în general structuri deschise la care se pot conecta

un număr mare şi variat de componente. Complexitatea arhitecturală şi distribuţiatopologică a reţelelor conduce la o lărgire necontrolată a cercului utilizatorilor cu accesnemijlocit la resursele reţelei (fişiere, baze de date, dispozitive periferice, etc.) Putemvorbi despre o vulnerabilitate a reţelelor care se manifestă pe două planuri:

posibilitatea modificării sau distrugerii informaţiilor (atac la integritatea fizică); posibilitatea folosirii neautorizate a informaţiilor.

1.3. NOŢIUNI TEORETICE CE SE REFERĂ LA SECURITATEA SISTEMELORINFORMATICE ŞI DE COMUNICAŢII

Se înţelege că această stare de fapt nu poate fi tolerată, proiectarea sistemelor distribuite trebuind să satisfacă unele cerinţe fundamentale de fiabilitate, protecţie şi securitate. Pe măsură ce reţelele de calculatoare se extind ca număr de resurseconectate şi ca extindere geografică, nevoia de restricţionare şi control al accesuluicreşte.

Sub aspect fizic, resursele unei reţele trebuie protejate într-o manieră adecvată,astfel:

restricţionarea accesului la sălile cu echipamente; protejarea la furt şi distrugere a echipamentelor de comunicaţie (routere, switch-

uri, calculatoare, etc.); protejarea căilor fizice de comunicaţie prin îngroparea în paturi speciale şi

plasarea în locuri greu accesibile Atacurile de tip fizic asupra reţelelor sunt improbabile şi relativ uşor de descoperit. Mai mult, beneficiile atacatorilor sunt minime, având în vedere că de o bună perioadă de timp, valoarea echipamentului este net inferioară informaţiei vehiculată de acesta.

Sub aspect logic, controlul resurselor se face prin asigurarea identităţii participantului la schimbul de date, denumită generic autentificare. De regulă autentificarea se realizează prin ceea ce utilizatorul ştie (parolă), prin ce utilizatorul are



(smart card, cheie), sau prin ce utilizatorul este (identificare biometrică, scanare de retină, amprente)

Literatura din domeniul ştiinţei calculatoarelor în general şi cea referitoare la secur itatea informaţiei în special are un jargon specific. Dată fiind lipsa unui organism lingvistic specializat care să definească precis modalitatea de folosire a termenilor,

autorii de texte de specialitate folosesc termenii în moduri deseori contradictorii. În acestcapitol ne-am propus prezentarea celor mai importante noţiuni pentru a întrerupe tradiţia nefericită amintită.

Termenul informaţie este definit astfel: „cunoştinţe comunicate sau recepţionatecu privire la un fapt particular sau circumstanţă”, în general şi „date care pot fi codificate

pentru prelucrarea de către un calculator sau un dispozitiv similar ”, în ştiinţa calculatoarelor.

Având în vedere definiţia anterioară, termenul de tehnologia informaţiei (IT –information technology ) se referă la orice tehnologie care are legătură cu informaţia. În particular, IT se referă la stocarea, procesarea şi transmiterea datelor care codifică informaţia. Similar, termenul de securitate IT se referă la chestiuni legate de securitatea

informaţiilor, în speţă securitatea sistemelor şi a comunicaţiei dintre acestea.

Scopul securităţii calculatoarelor este de a preveni accesul neautorizat lasistemele de calcul şi de a proteja informaţiile stocate de distrugeri intenţionate,modificare sau deconspirare.

Scopul sec urităţii comunicaţiilor este de a proteja datele vehiculate într-o reţea decalculatoare sau într-un sistem distribuit. Ca sinonim se foloseşte uneori termenul desecuritatea reţelei.

Termenul de reţea de calculatoare se referă la o colecţie de sisteme autonomeconectate. Două sisteme se numesc conectate dacă sunt capabile să schimbe date întreele printr-o metodă oarecare (reţea, cablu serial / paralel, etc.). În plus, sistemele senumesc autonome dacă între ele nu se poate stabili o relaţie clară master / slave. Spreexemplu, un sistem cu o unitate de control şi mai multe unităţi slave nu reprezintă oreţea.

În literatură există o confuzie considerabilă referitoare la ce diferenţiază un sistem distribuit de o reţea de calculatoare. Lamport spune că un sistem distribuit este ocolecţie de procese separate spaţial şi care comunică între ele prin schimb de mesaje.

Tot în viziunea lui Lamport, în cazul unui sistem distribuit întârzierea introdusă de comunicaţia cu mesaje nu este neglijabilă în raport cu evenimentele din cadrul unuiproces.

În 1988, Tanenbaum arăta distincţia cheie dintre o reţea de calculatoare şi un sistem distribuit. În principiu, în cazul unui sistem distribuit existenţa sistemelor distribuite autonome este transparentă pentru utilizator. În principiu, utilizatorul poaterula un proces iar sistemul de operare poate alege cel mai potrivit procesor pe care săruleze, iar rezultatele să le direcţioneze la locul potrivit. Cu alte cuvinte, utilizatorul nutrebuie să fie conştient de faptul că în scenariu sunt mai multe procesoare, ci sistemuldistribuit arată ca un procesor virtual unic. De remarcat că în acest caz, diferenţa între oreţea de calculatoare şi un sistem distribuit rezidă în software în general şi în sistemul deoperare în special, hardware-ul jucând un rol mai puţin important.

Joint Technical Committee 1 (JTC1) care aparţine de ISO şi IEC, foloseşte termenul de partener pentru a se referi la o persoană sau entitate înregistrată şi autentificabilă de către o reţea de calculatoare sau sistem distribuit. Utilizatorii, host-urile



şi procesele sunt considerate parteneri. Un utilizator este responsabil pentru acţiunile sale în cadrul unei reţele. Un host este o entitate adresabilă în cadrul unei reţele sau unui sistem

distribuit. Adresarea se face prin nume sau adresă. Un proces este o instanţiere a unui program care rulează pe un host anume.

Modelul client / server se foloseşte în mod curent pentru a distinge un procesclient de un proces server.Un proces client cere şi în cele din urmă obţine un serviciu de reţea, pe când

o Un proces server produce serviciul. În accepţiunea de faţă serviciul se referă la ofuncţionalitate abstractă, iar serverul este în mod tipic un fir de execuţie care sespecializează în această funcţionalitate.

Modelul client / server este potrivit pentru proiectarea sistemelor distribuite şi a aplicaţiilor corespunzătoare. În forma cea mai simplă, un serviciu este deservit de un sistem unic. Adeseori însă, solicitarea serviciului poate fi atât de mare încât un sistem nu mai face faţă.

Mai mult, se pune uneori problema disponibilităţii continue a unui serviciu (server

web, supraveghere procese vitale, etc.) în condiţiile în care hardware-ul este susceptibil

de defectare după un număr de ore. În aceste cazuri serviciul poa te fi replicat, adicăimplementat de un sistem distribuit care în acest fel prezintă atât o capacitate de deservire mai mare cât şi o toleranţă la defecte mai mare. Studiul şi dezvoltareatehnicilor de replicare securizată a serviciilor a devenit un domeniu vast de cercetare.

ISO foloseşte termenul standard pentru un document convenit care conţine specificaţii tehnice sau alte criterii precise utilizate consistent ca reguli sau definiţii de caracteristici pentru a asigura că materialele, produsele, procesele şi serviciile sunt potrivite pentru scopul propus. În consecinţă, un standard de sistem deschis specifică un sistem deschis care permite fabricanţilor să construiască produse conforme.

În general, termenul de vulnerabilitate se referă la o slăbiciune car e poate fiexploatată pentru a viola un sistem sau informaţiile pe care acesta le conţine. Termenulde ameninţare se referă la o circumstanţă, condiţie sau eveniment care are potenţialulde a viola securitatea sau de a cauza stricăciuni sistemului.

Reţelele de calculatoare sunt sisteme distribuite susceptibile la o varietate deameninţări proferate fie de intruşi fie de utilizatori legitimi, de obicei mai periculoşi decâtcei din exterior pentru că au acces la informaţii nedivulgate în mod normal celor din afară. În cadrul reţelelor de calculatoare şi a sistemelor distribuite se disting mai multe tipuri de compromitere a bunei funcţionări, astfel:

Compromiterea host-ului ca urmare a subminării sale directe. Rezultatele subminării pot fi de la o simplă modificare a stării proceselor până la controlultotal asupra host-ului.

Compromiterea comunicării ca urmare a subminării liniei de comunicaţie dinsistem.Securitatea căilor de comunicaţie este foarte importantă deoarece reprezintă un

punct foarte vulnerabil î n lanţul de comunicaţie. Putem distinge două tipuri de compromitere a comunicaţiei şi anume prin atac pasiv şi prin atac activ.

Atacul pasiv ameninţă confidenţialitatea datelor transmise, situaţie ilustrată în figura 1. Datele de la transmiţător (stânga) sunt observate de un intrus (mijloc).



Fezabilitatea unui astfel de atac depinde de tipul de mediu prin care are loccomunicarea. Astfel, liniile de comunicaţie mobile sunt relativ uşor de ascultat, pe cândliniile fizice necesită acces fizic. Conductorii optici sunt şi ei susceptibili la ascultare, darcu un efort tehnologic substanţial. Este interesant de remarcat că atacul pasiv nu serealizează exclusiv la nivelul căilor de comunicaţie hardware. Pe piaţă se găsescpachete software pentru monitorizarea traficului în reţea în special în scop demanagement. Aceleaşi pachete se pot folosi pentru capturarea parolelor necriptate dinreţea.

Atacul activ ameninţă integritatea şi / sau disponibilitatea datelor, situaţie ilustrată în figura 2. În acest caz, intrusul poate observa şi controla fluxul de informaţii, putându-lmodifica, extinde, şterge şi re-trimite informaţii. În plus, intrusul poate inunda receptorul cu informaţii false pentru a cauza o întrerupere a comunicaţiei, situaţie denumită uzual Denial of Service. Adesea, atacul poate să fie atât activ cât şi pasiv. Spre exemplu, prinatac pasiv se obţin parolele de acces la un anumit serviciu, apoi prin atac activ se faceautentificarea.

Este deci clar că autentificarea prin parole nu este suficientă.



CAPITOLUL2RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR

INFORMATICE

2.1. INTRODUCERE

În mai puţin de o generaţie, introducerea calculatoarelor în virtual fiecaredimensiune a societăţii, a schimbat semnificativ modul în care oamenii şi organizaţiileobţin sau diseminează informaţii sau desfăşoară afaceri, permiţând o mai mare eficienţă,un control operaţional sporit şi un acces eficient la informaţii. Alături de multe beneficii,

însă, calculatoarele şi interconectarea acestora prezintă şi aspecte negative, cum ar fiapariţia unor noi tipuri de infracţiuni prin intermediul noilor tehnologii (spre exemplu,frauda şi falsul).

Proliferarea calculatoarelor, din ce în ce mai puternice şi disponibile la preţuri dince în ce mai mici, precum şi dramatica expansiune a interconectivităţii (inter alia), au dat

potenţialilor atacatori posibilitatea de a realiza atacuri rapide şi fără constrângerigeografice, adesea cu consecinţe serioase pentru victime şi cu probabilitate mică dedetectare sau incriminare. Deoarece atacurile electronice asupra sistemelor informaticepot produce o serie de consecinţe negative – financiare, operaţionale, legale saustrategice -, la nivel individual, de organizaţie sau chiar naţional, riscul de atac electronictrebuie bine înţeles, pentr u a fi atenuat sau chiar eliminat.

În această secţiune ne propunem să discutăm: riscul de atac electronic asuprasistemelor informatice, cine sunt potenţialii atacatori şi care sunt motivaţiile acestora,care sunt tipurile de ameninţări, vulnerabilităţi şi expuneri, precum şi modalităţi deabordare a analizei de risc.

2.2. RISCUL DE ATAC ELECTRONIC

Sistemele informatice sunt esenţiale pentru buna desfăşurare a majorităţiiactivităţilor moderne; prin urmare, securitatea acestora trebuie să fie o preocupareimportantă pentru organizaţii. O serie de factori pot fi consideraţi drept factori care aucrescut riscul de atac electronic la adresa sistemelor informatice:

dificultăţile de securizare inerente (Landwehr, 2001; Loscocco şi colab.,1998);

globalizarea crescândă; insuficienta conştientizare şi educare a utilizatorilor sistemelor informatice

(Siponen, 2000) şi atitudinile sau practicile care nu respectă procedurile defolosire (Schneier, 2000);

disponibilitatea de informaţii privind penetrarea fără autorizare a sistemelorinformatice;

r eglementări legislative neclare şi anumite dificultăţi jurisdicţionale.

Posibilitatea ca sistemele informatice ale unei organizaţii să fie insuficientprotejate împotriva anumitor atacuri sau pierderi este numită de Straub şi Welke (1998)



„risc de sistem”. Adams şi Thompson (2002) consideră că riscul este ceva subiectiv,care se referă la un viitor care există doar în imaginaţie. Conform lui Turban (1996),„riscul” este definit ca posibilitatea ca o ameninţare să se materializeze.

Riscul este, în contextul sistemelor informatice, suma ameninţărilor

(evenimentelor care pot cauza daune), vulnerabilităţilor şi valoarea informaţiilor expuse:Risc = Ameninţări + Vulnerabilităţi + Valoarea informaţiilor

Înainte de a determina ameninţările, vulnerabilităţile şi a atenua riscurile, trebuie determinat ce se încearcă a se proteja – după cum argumentează Berryman(2002),trebuie făcut un inventar complet al sistemului informatic.

Informaţiile stocate electronic au o anumită valoare. Un incident care va afectanegativ informaţiile stocate electronic va afecta şi individul sau organizaţia care depindesau foloseşte respectivele informaţii. Informaţiile sunt evaluate în acord cu posibilulimpact al unui incident care va afecta negativ informaţiile. Ameninţările, vulnerabilităţile

şi posibilul impact trebuie combinate pentru a obţine o măsură a riscului la care suntexpuse informaţiile.O reprezentare grafică sugestivă a conceptelor privind securitatea sistemelor

informatice şi relaţiile dintre acestea este propusă în standardul Common Criteria forInformation Technology Security Evaluation (adaptată în Figura 1):

Un model al efectivităţii securităţii unui sistem informatice computerizat estepropus de Kankanhalli şi colaboratorii. (2003). Conform acestui model, angajamentulmanagerilor de vârf, dimensiunea organizaţiei, eforturile de prevenire sunt considerateprintre cei mai importanţi factori.



Pentru a evalua potenţialul atacurilor posibile (importanţa şi impactul potenţial alunui incident de securitate), este necesar să fie înţelese expertiza, motivaţia şi intenţiapotenţialilor atacatori. Un atacator care selectează sistemul victimă în funcţie deinsecurităţile pe care acesta le prezintă este diferit de un atacator care selecteazăpentru atac un sistem anume, pentru a comite anumite fapte. Pentru a putea selecta şiimplementa contramăsuri adecvate riscurilor asociate cu sistemele informatice estenecesar ca ameninţările la adresa acestora să fie bine înţelese. În următoarea secţiunesunt discutate categoriile de atacatori potenţiali, motivaţia acestora şi ameninţările pusela adresa sistemelor informatice .

2.3. ATACATORI, AMENINŢĂRI ŞI VULNERABILITĂŢI

Persoanele din interiorul unei organizaţii şi accidentele şi dezastrele naturalereprezintă principalele surse de riscuri la adresa sistemelor informatice. Persoanele dinexterior reprezintă, de asemenea, o sursă importantă de risc, deoarece sunt, în unelecazuri, mai motivaţi şi mai dificil de depistat şi investigat decât persoanele din interiorulorganizaţiilor.

Conform lui Ozier (1999), organizaţiile trebuie să cuprindă în mod expliciturmătoarele elemente în orice analiză a riscurilor:

agenţii ameninţărilor; motivaţia atacatorilor; capabilităţile atacatorilor; ameninţările la adresa informaţiilor; frecvenţa ameninţărilor; impactul ameninţărilor; probabilitatea atacurilor;



vulnerabilităţile propriilor sisteme; controalele disponibile, implementabile.

Pornind de la A Preliminary Classification Scheme for Information SystemThreats (Cohen şi colab., 1998), considerăm că următorii „actori” pot cauza probleme de

securitate sistemelor informatice : Angajaţii : Aceştia sunt investiţi cu încredere şi au acces la sistemul

informatice, ceea ce le permite cunoaşterea slăbiciunilor sistemelor,efectuarea de operaţiuni care pot fi în detrimentul organizaţiilor, precum şiştergerea evidenţelor digitale(Vasiu şi Vasiu, 2004);

Personalul de întreţinere a sistemul u i : Aceştia au adesea acces la sistemulinformatice, ceea ce le permite efectuarea de diverse operaţiuni;

Furnizori Clienţi : Motivele lor economice nu sunt, în unele cazuri, aliniate cucele ale organizaţiei şi în unele situaţii, pot efectua anumite acţiuni care potreprezenta riscuri de securitate;

Competi tor i : Alţi indivizi sau organizaţii care vor avea de câştigat de pe urma

pierderilor organizaţiei cauzate de atacuri asupra sistemului informatice; Crackeri : Mercenari informatici Infractori profesionişti: Persoane care

penetrează ilegal sistemele informatice şi cauzează daune intenţionat,motivaţiile fiind divers;

Experţi în spionaj : Persoane care sunt specializate în obţinerea de informaţiide care vor beneficia alte organizaţii. Aceste persoane au un n ivel înalt decunoştinţe tehnice, sunt bine plătiţi şi adesea acţiunile lor trec nedetectate;

Accidente, dezastre naturale : Acestea pot cauza pierderea de informaţiiimportante sau indisponibilitatea acestora.

Atacatorii sistemelor informatice pot fi clasificaţi după mai multe criterii. În funcţiede motivaţie, distingem patru categorii principale (Vasiu şi Vasiu, 2001):

Motivaţie socială: Atacatorii din această categorie încearcă să obţină unsentiment de superioritate sau de control, de acceptare de către alţi atacatorisau de integrare într-un anumit grup;

Motivaţie tehnică: Atacatorii din această categorie încearcă să „învingă”sistemul, ca un fel de provocare intelectuală;

Motivaţie politică: Atacatorii din această categorie încearcă să obţină atenţiepolitică, pentru a promova o anumită cauză;

Motivaţie financiară: Atacatorii din această categorie încearcă să obţină uncâştig personal (spre exemplu, spioni, mercenari informatici, diverseorganizaţii sau chiar persoane care se ocupă cu distribuirea de informaţiiconfidenţiale etc.).

2.4. ANALIZA DE RISC

Analiza de risc este larg folosită de organizaţii (Blakley şi colab., 2002), chiardacă există autori (spre exemplu, Jacobson (1996)) care consideră că analiza de riscsubiectivă, inconsistentă sau chiar inutilă.



Conf orm lui Wilsher şi Kurth (1996), organizaţiile trebuie să abordeze problemariscului în patru etape:

Identificarea şi evaluarea informaţiilor importante; Identificarea şi evaluarea ameninţărilor; Evaluarea vulnerabilităţilor;

Evaluarea riscului.Următoarele întrebări fundamentale trebuie să-şi găsească răspunsul în cadrulunei analize de risc (Ozier, 1999):

- Ce evenimente nedorite se pot petrece?- Dacă se materializează, care va fi impactul? - Cât de des se poate petrece evenimentul nedorit?- Cât de certă este informaţia care defineşte primele trei elemente?

Berryman (2002) argumentează că organizaţiile trebuie să identifice ameninţările,vulnerabilităţile şi apoi să cuantifice impactul potenţialelor vulnerabilităţi. Pentru fiecarevulner abilitate, trebuie considerată probabilitatea ca aceasta să fie exploatată precum şi

daunele care ar rezulta dacă aceasta este exploatată. Contramăsurile pentru atenuareariscurilor trebuie identificate, iar costurile acestora trebuie determinate. Costurile propusede atenuare a riscurilor trebuie opuse costurilor pentru organizaţie dacă vulerabilitateaeste exploatată, astfel încât managerii să poată decide ce riscuri să prevină, limiteze sausă accepte.

Există mai multe abordări ale analizei de risc , cu toate acestea putem vorbidespre două categorii importante: canti tat ive şi cal i tat ive .

Analiza de risc cantitativă abordează probabilitatea producerii unui eveniment şipierderile probabile care s-ar produce. Acest tip de analiză de risc foloseşte „pierdereaanuală estimată„ (Blakley şi colab., 2002) sau „costul anual estimat”. Valoarea pentru unanumit eveniment este calculată prin multiplicarea pierderilor potenţiale cu probabilitatea

petrecerii evenimentului nedorit. Această abordare face posibilă ierarhizareaevenimentelor în ordinea riscului, ceea ce permite luarea unor decizii bazate pe aceastăierarhizare.

O asemenea abordare prezintă, însă probleme legate de nefiabilitatea şiinexactitatea datelor. Probabilitatea producerii unui eveniment poate fi estimată precisdoar rareori; adiţional, controalele şi contramăsurile abordează un număr de evenimentepotenţiale. Cu toate aceste minusuri, un număr important de organizaţii au adoptat cusucces analiza de risc cantitativă.

Analiza de risc ca litativă, în care se foloseşte doar valoarea pierderii potenţialeestimate, este cel mai larg folosită î n acest domeniu. Cele mai multe metodologii pentruanaliza de risc calitativă folosesc un număr de elemente corelate:

Ameninţări: Acestea sunt prezente pentru fiecare sistem şi reprezintă ceeace s-ar putea întâmpla cu un sistem sau ceea ce ar putea ataca un sistem. Ameninţările sunt foarte variate şi obiectivul atacatorului constă în obţinereade beneficii pentru sine sau pentru alţii sau în prejudicierea deţinătoruluisistemului informatic. Astfel:

1. Un posibil pericol la adresa sistemului (Kabay, 1996);2. Circumstanţă care are potenţialul de a cauza o pierdere organizaţiei

(Pfleeger, 1997; Castano şi colab., 1995; Neumann, 1995);



3. Circumstanţă sau eveniment care poate cauza violarea securităţiisistemului (Summers, 1997).

Vulnerabilităţi: Acestea se datorează inconsistenţelor sau erorilor deproiectare, implementare, operare sau întreţinere a programelor (Bishop,

1999). Acestea fac un sistem mai susceptibil de a fi atacat cu succes şi au fostdefinite după cum urmează (inter alia):1. Un punct unde sistemul este susceptibil de a fi atacat (Kabay, 1996);2. slăbiciune în sistemul de securitate care poate fi exploatată pentru a

cauza un prejudiciu sau o pierdere (Pfleeger, 1997);3. anumită slăbiciune a unui sistem care permite violarea securităţii sale

(Summers, 1997).

Controale: Acestea reprezintă contramăsuri pentru vulnerabilităţi şi trebuie săfie proporţionale cu criticitatea sistemului informatic şi probabilitatea produceriiunui eveniment nedorit. Următoarele categorii de controale pot fi identificate:

1. Controale disuasive, care reduc probabilitatea unui atac deliberat;2. Controale preventive, care protejează împotriva vulnerabilităţilor(acestea fac imposibile atacurile);

3. Controale corective, care reduc efectele unui atac;4. Controalele detective, care permit descoperirea atacurilor şi

declanşarea de controale preventive sau corective; 5. Controale recuperative, care permit restaurarea sistemului după un

atac.

2.5. TIPURI DE AMENINŢĂRI ŞI VULNERABILITĂŢI

Ameninţările trebuie bine înţelese pentru selectarea de măsuri şi controale desecuritate adecvate (Panko, 2004). Castano şi colab. (1995) clasifică ameninţările înfuncţie de modul de producere: non-frauduloase (accidentale) şi frauduloase(intenţionate).

O altă clasificare posibilă grupează ameninţările la adresa sistemelor informatice în:

Ameninţări naturale: acestea sunt numite în industria asigurărilor ca forţămajoră (spre exemplu, incendiu, furtună, trăznet, cutremur, inundaţie) (D”Arcy,2001);

Ameninţări accidentale: spre exemplu, proceduri executate incorect, căderi

de electricitate, ruperea unui cablu, căderea unui disc etc; Ameninţări intenţionate: spre exemplu, sabotaj, acces neautorizat, folosireasau ştergerea neautorizată de informaţii sau medii de stocare, plantarea decai troieni informatici sau infectarea cu viruşi informatici etc.

Buffam (2000) clasifică ameninţările la adresa sistemelor informatice: Ameninţări fundamentale; Ameninţări care facilitează; Ameninţări indirecte.



În general, atacatorul unui sistem informatic va ajunge într-o poziţie unde va

reprezenta o ameninţare fundamentală prin folosirea unei ameninţări care faciliteazăsau printr-o ameninţare indirectă.

A. Ameninţările fundamentale Ameninţările fundamentale reprezintă ceea ce un atacator vrea să facă. Acesteameninţări sunt categorizate de Buffam (2000) în divulgarea de informaţii, alterarea deinformaţii, repudierea, refuzul serviciului şi folosirea neligitimă şi sunt discutate însubsecţiunile următoare.

A.1. Divulgarea de informaţiiInformaţii importante, care ar trebui să rămână confidenţiale, sunt accesate şi

divulgate de către persoane neautorizate (sau de persoane angajate de persoaneneautorizate) sau care îşi depăşesc atribuţiile. Deoarece unele informaţii au o valoarefoarte mare, valoare care se diminuează considerabil sau se pierde prin încălcarea

confidenţialităţii, acest tip de atac poate avea consecinţe nefaste pentru organizaţii.A.2. Alterarea de inf ormaţii

Informaţiile sunt introduse în sistem fără autorizare, modificate sau suprascrise decătre persoane neautorizate (sau de persoane plătite de persoane neautorizate) saucare îşi depăşesc atribuţiile. Deoarece unele decizii sau acţiuni depind decisiv deinformaţiile obţinute, acest tip de atac prezintă un pericol deosebit pentru organizaţii.

A.3.. Repu dierea

Repudierea reprezintă capacitatea sau acţiunea unei persoane de a negaidentitatea transmiţătorului, conţinutul sau data efectuării unei comunicaţii sautransmiterii unui mesaj electronic. Deoarece unele mesaje sau comunicaţii electroniceau o importanţă mare, este important ca organizaţiile să asigure non-repudiereaacestora.

A.4. Refuzul serviciului (denial of service)

Atacurile de acest tip consumă resursele unui sistem informatice computerizat,resurse destinate servirii utilizatorilor legitimi. Există două sub-categorii principale deatacuri în această categorie: atacuri logice şi atacuri de „inundare” (flooding attacks).

A.5. Atacuri Denial-of-Service distr ibu ite (DDoS)

Reprezintă un tip de atac în care sunt folosite zeci sau chiar mii de calculatoarecompromise pentru a automatiza transmiterea de date care vor „inunda” sistemele vizate.Calculatoarele compromise sunt controlate de la distanţă prin plantarea, cel mai adesea,de cai troieni informatici, ceea ce produce un grup de calculatoare „zombi” (care voracţiona precum cei din legendele voodoo). Aceste atacuri sunt periculoase deoarecesunt foarte dificil de contracarat.



A.6. Folosirea neligitimă Informaţiile sunt folosite de către persoane neautorizate sau în scopuri

neautorizate. Deoarece unele informaţii (spre exemplu, rezultatele unor cercetări saudetaliile unor clienţi) pot avea o valoare semnificativă, această secţiune prezintă unpericol important pentru organizaţii.

B. Ameninţări care facilitează

Dacă sunt prezente măsuri de securitate, atacatorii nu vor putea, în general, sătreacă direct la ameninţările fundamentale, deci vor executa ameninţări care facilitează,pentru „poziţionare”. Acest tip de ameninţări reprezintă ameninţări care permit accesul laameninţările fundamentale. Ameninţările care facilitează pot fi clasificate după cumurmează: mascarada, programele maliţioase, eludarea măsurilor de securita te, violareaautorizării (Buffam, 2000) şi sunt discutate în subsecţiunile următoare.

B.1. Mascarada (masquerade)

Autentificarea identităţii unui utilizator se bazează pe una sau mai multe dintreurmătoarele (Frisch, 1995):

- Ceva ce utilizatorul cunoaşte (spre exemplu, o parolă secretă);

- O caracteristică fiziologică sau învăţată a utilizatorului (spre exemplu, impresiunedigitală, geometria palmei, schemă retinală, ritmul tastării sau sunetul vocii);

- Ceva ce utilizatorul posedă (spre exemplu, un card magnetic sau un chip).Mascarada este procesul prin care un intrus asumă identitatea unui utilizator

autorizat – oricine care se află în posesia caracteristicilor de identificare poate fiautentificat ca un alt utilizator (autorizat).

Playback este un alt fel de mascaradă, în care răspunsurile sau iniţierile uneitranzacţii de către un utilizator sau calculator sunt înregistrate discret şi re-luate, ca şi



cum ar veni de la utilizator. Inserarea de numere secvenţiale criptate în mesaje sau deştampile dată timp poate contracara acest tip de mascaradă.

În atacurile cunoscute ca parod ia IP ( IP spoo fing ), atacatorii pretind a folosi uncalculator de încredere (după adresa IP), exploatează aparenţa existenţei uneicomunicaţii între calculatoare care sunt folosite pentru atac pentru a obţine acces la

informaţii senzitive sau pentru a rula programe privilegiate.B.2. Programe maliţioase (malware)

Codul maliţios (malicious code - malware) este clasificat, de regulă, în funcţie demetoda de penetrare a unui sistem informatic, de propagare şi de obiectiv, înurmătoarele categorii: cal troian informatic, virus informatic, back door, vierme informaticşi spyware.

B.2.1. Cai troieni in form atici

Acest tip de program maliţios va afişa o anumită legitimitate, va „poza” ca cevautil sau autentic pentru a contamina un sistem informatice computerizat. Numit după

vechiul mit în care războinicii greci au invadat Troia prin păcălirea troienilor cu o „ofertăde pace” (calul troian de lemn, care a permis războinicilor să intre în cetate şi să ocucerească), caii troieni informatici pot avea funcţionalităţi ascunse utilizatorilor, care potduce la inserarea sau alterarea de date, la formatarea discurilor, la interceptareaparolelor, la oprirea anumitor procese, la blocarea perifericelor ş.a., în unele cazuri auto-distrugându-se după realizarea acţiunilor maliţioase.

O clasificare a cailor troieni informatici este propusă de Bontchev (1998): caltroian informatic regular, lansatori (droppers), injectori (injectors) şi germeni (germs):

Lansator i : Un cal troian informatic special prin aceea că instalează viruşi pesistemul atacat;

Injectori : Un cal troian informatic similar unui lansator cu diferenţa că acest tip

instalează cod distructiv î n memoria unui sistem informatic, nu pe disc;

Germeni: Program produs prin asamblarea sau compilarea codului sursă (saua rezultatului unei dezasamblări sau decompilări) a unui virus sau a unuiprogram infectat. Germenii mai sunt numiţi şi prima generaţie de viruşi (firstgeneration viruses).

B.2.2. Bombă logică informatică (Logic bomb)O bombă logică informatică este un set de instrucţiuni într -un program sau un

program de sine stătător care determină condiţiile sau starea în care o acţiune carefacilitează accesarea neautorizată a unui sistem informatic, distrugerea de date sau alteacţiuni neautorizate sunt declanşate. Acest tip de program distructiv este folosit sau

preferat de o anumită categorie de atacatori, care pot controla astfel când să fie

declanşată acţiunea neautorizată. Bombele logice sunt adesea introduse într -un sisteminformatic prin intermediul unui cal troian.

B.2.3. Virus in form atic

Viruşii informatici au capacitatea de ataşare la programe – gazdă, de auto-replicare şi de realizare de acţiuni neautorizate (payload), adesea distructive. Deoarece



efectele unei infecţii cu viruşi informatici pot fi foarte semnificative, în unele state (spreexemplu, California), infectarea sistemelor se pedepseşte cu închisoare sau amendă.

Vir uşii informatici pot fi clasificaţi după mai multe criterii: mediu de răspândire,sistem de operare, capacităţi distructive, durata efectului, sfera de operare,vulnerabilitatea exploatată, mobilitate, modularitate etc. Amor (2000) clasifică nivelul

daunelor produse de viruşi după cum urmează: Nivel 1: spre exemplu, afişarea de mesaje pe ecran, care nu cauzează daunesemnificative;

Nivel 2: afişează mesaje pe ecran şi previne executare unor programe, dardaunele nu sunt permanente;

Nivel 3: distrugere de informaţii pentru programul infectat, fără a altera alteinformaţii;

Nivel 4: distrugerea tuturor informaţiilor, prevenirea operării calculatoarelor etc.

B.2.4. Back Doo r

Mecanismele de securitate ale sistemelor informatice sunt implementate pentru a

preveni accesul neautorizat sau inserarea neautorizată de date sau programe. Backdoor este un mecanism care permite încălcarea restricţiilor de acces sau scriere pediscuri, ceea ce permite violarea confidenţialităţii informaţiilor, modificarea neautorizată a informaţiilor, plantarea de cai troieni informatici etc.

B.2.5. Vierme info rmatic

Viermii informatici sunt adesea confundaţi cu viruşii informatici. Chiar dacăactivitatea maliţioasă programată poate fi similară (spre exemplu, ştergerea saumodificarea informaţiilor), există o diferenţă importantă: viermii informatici nu au nevoiede un program gazdă pentru a se reproduce sau lansa în execuţie (Vasiu şi Vasiu,2004a). Viermii informatici pot fi folosiţi pentru o varietate de acţiuni distructive.

Viermii informatici pot circula prin reţelele informatice pentru a ataca saucontamina alte sisteme. Acest tip de program a fost inventat, cu titlu de experiment, deJohn Socha şi Jon Hupp de la Xerox, în Palo Alto, California, în anul 1980, cu speranţacă asemenea programe pot prelua o serie de sarcini administrative necesare într-o reţeade calculatoare (unul dintre viermii lor căuta calculatoarele nefuncţionale şi încercarezolvarea problemei). În mâinile unor persoane rău-voitoare, însă, viermii informatici potcauza probleme semnificative (Vasiu şi Vasiu, 2001).

B.2.6. Spyware

Spyware este un program plasat pe un sistem informatic, fără acordul (informat)al utilizatorilor, pentru a obţine informaţii despre sistem, pentru a captura ceea ce

tastează utilizatorii, informaţiile obţinute fiind transmise, după obţinere, către cel sau ceicare controlează programul, urmând a fi folosite pentru atacarea sistemului informatic.

B.3. Eludarea măsurilor de securitateMăsurile de securitate instalate pe sistemele informatice, în unele cazuri pot

funcţiona incorect sau incomplet sau se pot chiar bloca, ceea ce duce la posibilitateaaccesării neautorizate a unui sistem informatic.



B.4. Violarea autorizării Această ameninţare este asociată cu persoane care au un cont autorizat, dar

care realizează acţiuni neautorizate (spre exemplu, inserarea de informaţii false sauştergerea de informaţii vitale). Acest tip de atac este o ameninţare asociată cu angajaţiiunei organizaţii (insiders).

C. Ameninţări indirecte După cum argumentează Buffam (2000), acest tip de ameninţări derivă din

caracteristicile de bază ale Internet-ului şi ale infrastructurii informaţiei. Următoarele sub-categorii pot fi detectate în cadrul acestei secţiuni: interceptarea, scavenging, indiscreţiaşi eroarea administrativă.

C.1. Intercep tarea

Programele care permit „adulmecarea” parolelor (password sniffers, keyloggers)monitorizează şi înregistrează numele de utilizator şi parolele asociate. După obţinereaacestor informaţii, atacator ii se pot transforma într-un un “utilizator autorizat” şi pot

accesa informaţii confidenţiale, altera informaţiile sau lansa diferite programe sau

comenzi care pot produce daune.

C.2. Scavenging

Această acţiune constă în folosirea de utilitare pentru reconstituirea informaţiilorde pe medii magnetice, după ce acestea au fost şterse sau suprascrise. O altă formă aacestei acţiuni constă în căutarea de informaţii care ar putea fi utile în coşuri de gunoisau alte locuri unde sunt aruncate informaţ ii imprimate pe hârtie (dumpster div ing ).

C.3. Indiscreţia În această categorie sunt incluse acţiunile care duc la deconspirarea parolelor

sau tehnicilor de autentificare folosite, părăsirea calculatorului fără încheierea uneisesiuni de lucru sau social engineering – naivitate vis-a-vis de încercările de obţinere aparolelor prin tehnici de genul „Am nevoie de parola lui X pentru a efectua operaţiuni deconfigurare” sau „Sunt Y, am uitat parola”.

C.4. Eroarea administrativă Erorile de administrare ale unui sistem informatic computerizat (spre exemplu,

configurare greşită, păstrarea unui cont de utilizator pe un sistem după concediereadeţinătorului contului, setarea greşită a autorizărilor etc.) pot crea posibilitateadeclanşării de acţiuni neautorizate sau obţinerea de acces neautorizat.

D. Vulnerabilităţi şi expuneri

Prin „vulnerabilitate” se înţelege orice fapt care prezintă o problemă din punct devedere al securităţii sistemului informatice într-un anumit context. Vulnerabilităţile suntportiţele prin care se manifestă ameninţările. Common Vulnerabilities and Exposuresdezvoltată de Mitre urmăreşte standardizarea vulnerabilităţilor cunoscute.

O „vulnerabilitate universală” este definită ca o “stare” într-un sistem informaticcare fie:

Permite unui atacator să execute comenzi impersonând un utilizator autorizat;



Permite unui atacator să acceseze informaţii contrar procedurilor de acces; Permite unui atacator să conducă un atac de refuz al serviciului (denial of

service).Stoneburner şi colab. (2001) prezintă următoarele reguli de bază pentru

atenuarea riscurilor asociate cu ameninţări intenţionate. Aceste reguli sunt aplicabile, cu

excepţia celei de a treia, şi pentru atenuarea riscurilor naturale sau accidentale: Când o vulnerabilitate există, trebuie redusă posibilitate ca respectiva

vulnerabilitate să fie exploatată; Când o vulnerabilitate poate fi exploatată, trebuie implementată o protecţie pe

mai multe nivele şi controale administrative care pot minimiza riscul saupreveni exploatarea vulnerabilităţii;

Când costul unui atacator este mai mic decât câştigurile potenţiale trebuieaplicată o protecţie care descreşte motivaţia atacatorului prin creştereacostului său;

Când pierderea potenţială este prea mare, trebuie aplicate protecţii tehnice şinon-tehnice care să reducă potenţialul de pierdere.

O „expunere ” este o stare într -un sistem informatic, care nu este o vulnerabilitateuniversală, dar care fie: Permite unui atacator să realizeze activităţi pentru colectarea de informaţii

despre sistem; Permite unui atacator să îşi ascundă activităţile (nelegitime); Include o funcţionalitate care poate fi uşor compromisă; Este un punct de intrare pe care un atacator îl poate folosi pentru accesarea

sistemului sau a informaţiilor; Este considerată o problemă din punct de vedere al politicilor (procedurilor) de

folosire ale sistemului informatic.Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna

funcţionare a sistemelor informatice, problema securităţii acestor sisteme devine din ce în ce mai importantă (Kankanhalli şi colab., 2003).

Stoneburner şi colab. (2001) sugerează bazarea programelor de atenuarea risculuiasociat cu sistemele informatice pe următoarele:

Angajarea activă a managerilor de vârf din cadrul organizaţiilor; Suportul şi participarea întregului personal; Competenţa echipei însărcinate cu analiza şi atenuarea riscurilor; Cooperarea utilizatorilor, care trebuie să respecte procedurile de folosire şi

regulile de securitate; evaluare continuă a riscurilor. Riscul de atac electronic variază în funcţie de tipul de organizaţie, potenţialul

pentru vulnerabilităţi, diverşi catalizatori, inhibitori şi amplificatori. Cu toate că riscul deatac electronic asupra sistemelor informatice nu poate fi total eliminat, o abordaresistemică şi un set de procese pentru atenuarea riscurilor care consideră vulnerabilităţilespecifice fiecărei situaţii (Austin şi Darby, 2003) pot reduce semnificativ impactul unoratacuri sau chiar elimina anumite clase de atacuri.



CAPITOLUL 3METODOLOGIA GENERALĂ DE ANALIZĂ A RISCULUI (PENTRU

SISTEMELE IT)

A. Zona de aplicabilitate Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de

securitate pentru sistemele informaţionale electronice şi la conceperea de politici şiplanuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea sepoate face pentru orice nivel de complexitate sau pentru orice dimensiunecorespunzătoare a unui sistem.

B. ObiectiveCa element de decizie pentru zona securităţii, metodologiile evaluării riscului vor

să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitatespecifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru a

furniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generalăcare include un număr de etape intermediare. Definiţiile standard ne arată careelemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă datăde ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactulrezultat al evenimentului nefavorabil.

C. Procesul de lucruMetodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi

poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice.Oricum, în scopul identificării tuturor sub-elementelor necesare, trebuie luaţi în

considerare cel puţin cinci paşi. Figura 3 prezintă nouă paşi posibili ai unei analize a

riscului.

Caracterizareasistemului

Identificareavulnerabilităţilor

Analizacontrolului

Identificareaameniţărilor

Determinarea probabilităţilor de

a ari ie

Impactul analizeidefecţiunilor

Determinareariscului

Stabilireacontramasurilor

rioritare

Recomandărilecontrolului

Pas 1 Pas 2 Pas 3 Pas 4

Pas 9 Pas 8 Pas 7 Pas 6 Pas 5

Fig.3. Etapele în metodologia de stabilire a riscului



Pasul 1 : Caracterizarea sistemuluiDefiniţia scopului efortului şi limitele sistemului evaluat. Aceasta include

identificarea tuturor resurselor, bunurilor şi informaţiilor ce constituie sistemul.

Pasul 2 : Identificarea ameninţărilor

Determinarea (1), natura ameninţărilor interne şi externe, (2) sursa lor şi (3)probabilitatea ca ele să se manifeste. Probabilitatea unei ameninţări este o măsură aprobabilităţii ca o ameninţare să se concretizeze.

Pasul 3 : Identificarea vulnerabilităţii Pasul următor este acela de a stabili o listă a vulnerabilităţilor unui sis tem care

pot fi exploatate de o potenţială sursă de ameninţare. Sunt câteva abordări sofisticate în Analiza vulnerabilităţii.

Pasul 4 : Analiza controalelor care au fost implementate sau care se doresc a fiimplementate de către organizaţie, pentru a minimiza sau elimina probabilitatea ca o

ameninţare să exploateze o vulnerabilitate a sistemului.Pasul 5 : Determinarea probabilităţii

În determinarea probabilităţii unei ameninţări, trebuie să se ia în consideraresursele de ameninţare(2), vulnerabilităţile posibile(3) şi controalele existente(4).

Pasul 6 : Analiza impactului sau pagubelorGradul de afectare a unui bun este cel mai bine determinat de către proprietar

sau manager care poate cunoaşte valoarea actuală a bunului. Impactul nefavorabil alunui eveniment de securitate poate fi descris în termeni de pierdere sau degradare aunuia sau mai multor Obiective de Securitate. Alte categorii pot fi aplicate dacă analizariscului este făcută pentru mai multe sisteme abstracte.

Pasul 7 : Determinarea risculuiStabilirea nivelului de risc al sistemului. Determinarea riscului poate fi exprimată

ca o funcţie a probabilităţii ca o sursă de ameninţare dată să încerce să exploateze ovulnerabilitate dată (pasul 5) şi mărimea impactului face ca o sursă de ameninţare săexploateze cu succes o vulnerabilitate (pasul 6). Pentru a măsura acest risc rezultat,este nevoie de o scală a riscului şi un nivel al riscului.

Pasul 8 : Evaluarea priorităţii contramăsurilor. Evaluarea contra-măsurilor exprimă diferenţa între riscul impus (de dorit ca nivelul

de risc să fie stabilit de autoritatea în domeniu) şi riscul rezultat (pasul 7) şi este utilizatăpentru a furniza un ghid în ceea ce priveşte importanţa care trebuie acordatăcontramăsurilor de securitate. Din nou, valorile şi categoriile aplicate pot varia puţin.Tabelul 1 este un exemplu de tabel de evaluare a riscului.

Pasul 9 . Recomandările de controlPrevederea de controale care pot diminua sau chiar elimina riscurile identificate.

Scopul controalelor recomandate este acela de a reduce nivelul de risc al sistemelor şidatelor lor la un nivel acceptabil.



C

o l o a n a

1

I d

e n

t i f i c a r e a

e

c h i p a m e n

t u l u i

C

o l o a n a

2

A

m e n i n ţ ă r i l e

a

s u p r a

e

c h i p a m e n

t e l o

r C

o l o a n a

3

P

r o b a

b i l i t a t e a

a m e n i n ţ ă r i i

C

o l o a n a

4

D

e f e c ţ i n i

C

o l o a n a

5

R

i s c u

l r e z u

l t a t

C

o l o a n a

6

R

i s c u

l a s u m a

t

C

o l o a n a

7

P

r i o r i t a

t e

c o n t r a m ă s u r i

Rând 1Comerţelectronic prinintermediulpaginilor web

Căderiaccidentale detensiune oriechipamentedefecte

Medium Grav Critic Absent 4

Rând 2 Acurateţeainformaţiilorpublicate peweb

Pierdereaconfidenţialităţii şi

încrederii datorităpirateriei pe web

Înalt Minor Medium Scăzut 1

Rând 3Securitateaaccesului laresurseleinterne alereţelei prinpersonalautorizat dincadrul reţelelorexterne

Pierdereadispozitivelor saua cheilornecesareaccesului lacanalelesecurizate

Foartescăzut

Serios Medium Scăzut 1

Tabelul 1. Tabel cu riscurile asumate



CAPITOLUL 4MODELAREA ŞI ANALIZA RISCULUI

4.1. SCURT ISTORIC PRIVIND PROBLEMATICA RISCULUI

În anul 1979, Biroul Naţional de Standarde a publicat Standardul Federal deProcesare a Informaţiilor (FIPS) 65, Ghidul pentru Analiza Riscului Procesării Automatea Datelor. Documentul stabileşte standardul de evaluare a riscului pentru centre mari deprocesare a datelor şi propune de asemenea o nouă unitate de măsură pentru riscurilereferitoare la calculatoare: Estimarea Pierderilor Anuale (ALE).

n

i

ii F O I ALE 1

)(

unde: nOO ,...,1 setul ameninţărilor sistemului

)( iO I impactul ameninţării i în dolari i F frecvenţa ameninţării i

Deşi ALE nu a fost niciodată un standard, mulţi l-au tratat drept o parte esenţialăa activităţii de realizare a unui model pentru managementul riscului. Abordarea metricăconstă în combinarea celor două componente ale riscului într-un singur număr. Dinpăcate, această îmbinare a cantităţilor are dezavantajul că va fi imposibil de distins întrefrecvenţele înalte, evenimentele cu impact slab şi frecvenţele joase, evenimentele demare impact. În multe situaţii, forma poate fi tolerată, însă mai târziu poate fi catastrofal.

La mijlocul anilor 80, Biroul Naţional de Standarde (acum parte a InstitutuluiNaţional de Standarde şi Tehnologie - NIST ) şi Centrul Naţional pentru SecuritateaCalculatoarelor (Informaţională) – NCST au făcut cercetări în domeniul modelării

managementului riscului securităţii calculatoarelor (informaţionale). Folosindu-se grupuride lucru formate din experţi în domeniul riscului securităţii calculatoarelor, organizaţiileau contribuit la apariţia unui nou şi dorit domeniu de cercetare. Metodologiile şipachetele software de serie (comerciale) rezultate în urma acestui efort, au constituitprima generaţie de modele de management pentru riscul securităţii calculatoarelor. Dinpăcate, la sfârşitul decadei, activitatea cercetătorilor a luat sfârşit. Oricum, muncaacestora a atras atenţia şi a pus bazele evaluării riscului securităţii calculatoarelor. Astfel,când experţi în securitate, precum Donn Parker, au criticat practica asupra evaluăriiriscului, ei au avut o metodologie specifică şi corectă în minte, ce poate fi bine înţeleasădin lucrările grupurilor NIST/NCSC.

La finalul activităţii grupurilor de lucru, a fost stabilit un cadru de lucru general

pentru managementul riscului securităţii calculatoarelor. Deşi nu a fost niciodatăformalizat ca un standard NIST, acesta reprezintă un rezumat util.Cadrul de lucru are câteva elemente de bază:

Cerinţe: j R R R ,...,1

Bunuri: k A A A ,...,1

Preocupări de securitate : sC C C ,...,1

Ameninţări: mT T T ,...,1



Măsuri de protecţie: pS S S ,...,1

Vulnerabilităţi: qV V V ,...,1

Rezultate: r OOO ,...,1 Cadrul de lucru include de asemenea şi trei cantităţi asociate:

Valorile bunurilor: kval val val A A A ,...,1

Eficacitatea protecţiei: peff eff eff S S S ,...,1

Gravitatea rezultatului: rsev sev sev OOO ,...,1

Un cadru de lucru necesar pentru o evaluare a mai multor cantităţi este un procesiterativ, aşa cum este prezentat în Fig. 1. La început, este necesară identificareacerinţelor de securitate, a bunurilor luate în considerare, a preocupărilor privindsecuritatea, ameninţările posibile, vulnerabilităţile şi a măsurilor de protecţie întreprinse.

Apoi, urmează o serie de analize. Analiza ameninţărilor implică o examinare a ameninţărilor posibile pentru fiecare

bun în parte. Ameninţările pot fi: erori umane, catastrofe naturale, erori neintenţionate,

etc. Analiza vulnerabilităţilor se referă la slăbiciunile în securitate care pot facilitasuccesul unui atac asupra bunurilor. Deşi multe acorduri au la bază cadrul de lucru,rămâne controversată discuţia asupra vulnerabilităţilor care pot reprezenta fie absenţaunor măsuri de protecţie specifice, fie nişte variabile independente.

Analiza scenariului necesită o evaluare detaliată a bunurilor, preocupărilor privindsecuritatea, ameninţărilor şi vulnerabilităţilor, în vederea generării tuturor scenariilorposibile prin care poate fi compromisă securitatea. Aceste scenarii sunt apoi folosite înfaza de estimare a riscului pentru a evalua rezultatele corespunzătoare şi de adetermina mărimea riscului.

Un test de acceptanţă compară riscul măsurat pentru nişte bunuri date cu cerinţestabilite. Sunt luate apoi decizii pentru selecţia măsurilor de protecţie, în veder easincronizării între nivelele riscurilor măsurate şi cerute. Întregul proces este apoi repetatsub un nou regim cu măsuri de protecţie, rezultând noi măsuri de estimare a risculuipentru fiecare bun. Aceste măsurări ale riscului împreună cu estimările costurilor pentruprotecţie sunt folosite apoi pentru a genera analiza cost-profit pentru fiecare măsură deprotecţie.

Acest cadru general este destul de generic în specificaţiile sale şi în consecinţă, într-o potenţială aplicaţie. Metodologia poate fi adaptată fie la estimarea risculuicantitativ, fie a celui calitativ. Analiza scenariului şi activitatea ulterioară de măsurare ariscului sunt specifice unei estimări calitative. Într -o estimare a riscului cantitativă, celedouă pot fi automat calculate, pe baza valorilor bunurilor, frecvenţei exploatăriivulnerabilităţii şi a probabilităţii unui atac reuşit.

Câteva aplicaţii software, care au fost comercializate la sfârşitul anilor 80 şi începutul anilor 90, au implementat scheme similare cadrului general. O parte dinaplicaţii, cum ar fi Risk, BDSS, CRAMM şi Buddy System sunt încă disponibile şi astăzi

în diferite stadii de dezvoltare comercială. În ciuda eforturilor celor implicaţi, cadrulgeneral şi alte aproximări ce au la bază ALE nu au câştigat acceptarea generală, iarcând a fost făcută prima consolidare de către NIST şi NCST, marea parte a activităţii demodelare a riscului s-a terminat cu ea.

După anii 90 au mai fost doar eforturi sporadice de cercetare a modelelorriscurilor în securitatea calculatoarelor, incluzând proiectele făcute de companiile



industriale mari pentru evaluarea riscului intern, activitatea în domeniul calculatoarelorfăcută la Laboratoarele Naţionale Sandia şi eforturi variate făcute de consultanţi,academicieni independenţi specialişti în securitate. Descrieri detaliate ale activităţilorindividuale nu sunt în general destinate publicării. Cea mai mare parte din activitatea dindomeniul calculatoarelor este disponibilă prin mijloace electronice (descărcarea

f işierelor). Câteva publicaţii în domeniu s-au orientat către aceste probleme, dar nu auadus îmbunătăţiri sau au rezolvat alte provocări fundamentale ale cadrului general.Modelarea şi simularea pot, la un moment dat, să capete dimensiuni mistice.

Modelele bune sunt capabile să prezică fiabilitatea unui sistem, iar prezicerea viitoruluimerită întotdeauna o reverenţă (respect). Din păcate, această reverenţă se transformă

într-o atribuire de mai mare semnificaţie şi capabilitate decât cea garantată (permisă). Încele din urmă, modelele sunt doar reflecţii ale gândurilor şi observaţiilor umane. Ele nurezolvă problemele de la sine şi necesită informaţii de intrare de calitate pentru a serealiza aşa-zisa prezicere magică. Modelarea, în absenţa unui suport de date adecvat,nu este de folos nimănui.

Această dependenţă de calitatea datelor a fost, în general, subapreciată sau

ignorată total de cei care s-au ocupat în trecut cu modelele riscului securităţiiinformaţionale. Modelele riscului ALE se bazează pe milioane de scenarii, evaluări care

pot şi vor fi realizate. Generaţia ulterioară de aproximări, deşi recunoaşte lipsa unor datede calitate, nu propune sau încurajează politici care să încerce să rezolve aceastăproblemă, ci preferă să ocolească într egul subiect.

Fără îndoială, modelarea riscului reprezintă un efort important. Aparenta lipsă dedate eficiente, relevante, nu reprezintă o scuză pentru ne-realizarea unui managemental riscului securităţii informaţionale pentru o instituţie. Deciziile referitoare la alocărileresurselor de securitate trebuie obligatoriu făcute. Oricum, datoria (scopul) unui model alriscului este acela de a informa decizia resurselor prin furnizarea celor mai bune estimăriposibile ale expunerii la risc, eficienţei opţiunii politice şi ale analizei cost-beneficiu.

În ziua de azi, modelele riscului sunt preocupate de întrebarea zadarnică ce sereferă la posibilitatea acoperirii tuturor evenimentelor posibile. De aici, controverselereferitoare la vulnerabilităţi, probabilităţi, frecvenţe, valori şi alte detalii au împiedicat, iar

în multe cazuri, au schimbat complet direcţia eforturilor de luare a deciziilor demanagement al riscurilor. În acest capitol, este propus un cadru de lucru analitic dedecizie pentru managementul riscului care ridica multe probleme în trecut, prin deviereaatenţiei de la detaliile interacţiunilor privind securitatea calculatoarelor şi orientarea eicătre decizia managementului riscului.

4.2. MODELAREA RISCULUI CA O ACTIVITATE DE CONDUCERE A DECIZIILOR

Consiliul Naţional de Cercetare al SUA, recunoscând probleme similare şi în altearii unde managementul riscului este o problemă de politică publică, recomandă o nouăorientare pentru ceea ce este numit caracterizare a riscului în Understanding Risk:Informing Decizion in Democratic Society . Conform raportului, caracterizarea riscului,sau concluzia unei analize tehnice rezultă din luarea unei decizii, care trebuie să fie oactivitate de conducere a deciziilor, îndreptate către informarea în legătură cuposibilităţile şi rezolvarea problemelor. Caracterizarea riscului, raportul în sine, trebuiesă apară în urma unui proces deliberativ-analitic, al cărui succes depinde de analiza



sistematică care trebuie să corespundă problemei, să răspundă nevoilor părţilorinteresate şi implicate, şi care tratează problema deciziei într -o măsură comprehensivă.Succesul depinde de dezbaterile care formulează problema deciziei, orientarea analizeicătre o mai bună înţelegere din partea participanţilor asupra deciziei, căutarea motivaţieipentru căutările şi incertitudinile analitice şi îmbunătăţirea abilităţilor părţilor interesate şi

implicate efectiv în procesul de decizie a riscului.Deşi raportul Consiliului Naţional de Cercetare se concentrează în special peprocesul de politică publică, lecţiile lui nu sunt mai puţin instructive pentru companiileprivate sau instituţiile statului. Privind caracterizarea riscului ca o activitate de conducerea deciziei, este recunoscut faptul că anumite politici trebuie, în mod inevitabil luate, chiardacă aceste politici nu realizează nimic. Implicit, în această decizie se fac evaluări alevariabilelor cheie şi determinări pentru valorile de schimb, rolul corespunzător modelăriiriscului fiind acela de a explicita evaluările şi determinările pentru cei care iau decizii.

Acest proces permite celor care iau decizii să înţeleagă mai bine ramificaţiile alegerilorlor, să cântărească propriile convingeri într -un cadru de lucru, şi să ia cunoştinţă deprevederile principale pe care se vor baza deciziile lor.

Analiza de conducere a deciziilor pentru probleme complexe care implicăincertitudini, date incomplete şi investiţii mari, nu sunt necunoscute pentru industriaprivată. Literatura pentru afaceri este suprasaturată cu cărţi, articole care descriumodalitatea în care companiile îşi pot conduce cercetările, tranzacţiile de produse, etc.

În acest sens, abordarea riscului din punct de vedere al afacerilor a avut ocontribuţie importantă, prin recunoaşterea şi accentuarea rolului riscului securităţiicalculatoarelor (informaţionale) printre alte riscuri operaţionale. În acest capitol, va fiprezentat un cadru de lucru al analizei deciziei cantitative pentru evaluarea şiconducerea riscurilor securităţii calculatoarelor drept un proces candidat de modelareanalitică de conducere a deciziei.

4.3. MODELAREA DECIZIEI

Aplicarea teoriei deciziei statistice la problemele de management îşi are originile în lucrările lui Raiffa şi Schlaifer din anul 1961 şi Howard, din 1966. Termenul ”analizadeciziei” a fost inventat de Howard, pentru a se referi la procedura formală pentruanaliza problemelor de decizie din articolele sau cercetările sale. În esenţă, analizadeciziei reprezintă abordarea unui model simplificator care împarte problemele dedecizie în părţi constituente: deciziile care trebuie luate, incertitudinile care îngreuneazăluarea deciziilor şi alegerile folosite pentru evaluarea rezultatelor.

Analiza deciziei oferă câteva avantaje cheie care pot fi recomandate şi în cazul problemei managementului riscului securităţii calculatoarelor. Pentru început, aşa cumreiese din nume, este nevoie de o tehnică de modelare pentru conducerea deciziei. Apoi,

încorporarea teoriei probabilităţii furnizează instrumente pentru captura, clarificarea,conducerea incertitudinilor şi a implicaţiilor acestora. În cel de-al treilea rând, şi poate celmai important, analiza deciziei utilizează diagramele de influenţă ca un limbaj graficpentru încapsularea şi comunicarea cunoştinţelor unui colectiv dintr-o organizaţie,aceasta facilitând construcţii de comun acord, în consens.

Diagrama de influenţă, prin aplicarea de relaţii între variabilele cheie, poate fi uninstrument puternic atât pentru comunicarea, cât şi pentru analiza factorilor principali



care influenţează luarea deciziei. Diagramele se compun din noduri, ce reprezintăvariabilele, săgeţi reprezentând influenţa între variabile. Prin convenţie, forma noduluidictează tipul de variabilă pe care o reprezintă şi tipul de influenţă reprezentat desăgeţile care pleacă sau vin în el. Vezi Fig. 4 pentru descrierea diferitelor tipuri de noduri.

Figura 4. Construirea blocurilor pentru diagramele de influenţă

Săgeata de influenţă este utilizată pentru a ilustra graficdrumul parcurs de informaţie prin model şi dependenţainformaţiei de variabilele modelului.

Nod alias Nodurile alias, în cazul nodurilor de decizie, sunt folosite pentru a clarifica influenţa într -o diagramă unde noduloriginal este localizat într-un modul diferit.

Nod modul Nodurile modul sunt folosite pentru a crea diagrame deinfluenţă ierarhice.

Nodulfuncţie

Nodurile funcţie sunt generate când sunt definite funcţiile particulare ale utilizatorului pentru a facilita calculele.

Nod obiectiv Nodurile obiectiv reprezintă rezultatele semnificative dinanaliză und esunt făcute evaluări.

Nod index Nodurile index conţin listele care descriu dimensiunilevariate ale variabilelor din analiză.

Nod de alegere Nodurile de alegere sunt utilizate pentru a reprezentavalorile de intrare probabilistice.

Nod determinist Nodurile deterministe sunt folosite pentru valorile deintrare deterministe precum şi calculele intermediare.

Nod de decizie Nodurile decizionale deţin diferite alternative decizionaleluate în considerare.



Săgeţile sunt utilizate pentru a arăta relaţiile între variabile în modelul de decizieşi deci, drumul informaţiei prin model. De exemplu, o săgeată orientată către un anumitnod sau un nod obiectiv indică faptul că nodul destinaţie este funcţie de nodul de origine(iniţial). O săgeată într -un nod oarecare denotă o dependenţă probabilistică, aceasta

însemnând că distribuţia probabilităţii nodului ales este condiţionată de valorile nodului

de origine. O săgeată care intră într -un nod de decizie reprezintă influenţainformaţională, indicând faptul că valoarea nodului de origine va fi cunoscută lamomentul deciziei şi poate astfel afecta decizia.

Construcţia unei diagrame de influenţă pentru decizie sau diagrama deciziei esteea în sine o lecţie de valoare şi un exerciţiu consistent. Primul pas este acela de a definidecizia şi toate alternativele de acţiune care pot fi luate î n luarea deciziei. Variabila estede obicei reprezentată printr -un nod de decizie rectangular, plasat pe partea dreaptă adiagramei. O dată ce decizia este exprimată, valorile şi obiectivele trebuie codificate şitrebuie stabilite sistemele de măsurare. În mod ideal, sistemele de măsurare pot fifurnizate, aceasta conducând la definirea unui singur nod obiectiv, plasat pe parteadreaptă a diagramei. Apoi, lucrând de la dreapta la stânga, de la nodurile obiectiv la celede decizie, trebuie inserate noduri în

tâmplătoare sau deterministe care să reprezinteincertitudinile, datele de intrare disponibile şi calculele intermediare. Un exemplu dediagramă a deciziilor pentru managementul securităţii riscului în domeniulcalculatoarelor este dat în Fig. 5.

Fig. 5. Exemplu de diagramă decizională

Costurisuplimentare

Selectorulmăsurilor de

protecţie

Beneficiunet

Pierderileanuale

aşteptate

Profitsuplimentar

Eveni-mente

Măsuri de protecţie

Indexul politicii

Profiturilesuplimentare

date de măsurile

de protecţie

Costulmăsurilor

de protecţie



În Fig.5, prima decizie care trebuie luată este aceea de selectare a măsurilor de

protecţie, de securitate. Apoi, după compararea tuturor măsurilor de protecţie din punctde vedere al unei baze individuale, acest model permite utilizatorului să grupezemăsurile de protecţie împreună, sau politicile, pentru a face comparaţii între ele. Aceste

denumiri de politici se află în variabila index pentru politici. Deoarece nodurile indexinfluenţează aproape orice alt nod din diagramă, săgeţile care pleacă din ele, de celemai multe ori, scad transparenţa diagramei. Nodul obiectiv Net Benefit din parteadreaptă conţine politica pentru calcularea raportului cost–beneficiu. Acest raport(schimb) depinde de trei factori: costurile (măsurilor de protecţie) implementăriisuplimentare, profiturile suplimentare aşteptate din noile oportunităţi şi pierderile anualeaşteptate. Aşa cum indică săgeţile care pornesc din nodul de decizie, aceşti factori vorvaria în funcţie de măsurile de protecţie selectate pentru fiecare politică. Cele trei noduriindex din partea de sus a diagramei conţine listele care descriu dimensiunile analizei.De ex., indexul pentru politici, aşa cum a fost menţionat mai devreme, conţinedenumirile politicilor luate în considerare; nodul indexului măsurilor de protecţie prezintă

măsurile de protecţie care pot fi selectate; nodul indexevenimente rele

conţinecompromisurile de securitate evaluate.La fel ca orice efort de modelare, trebuie să existe o balanţă între fidelitatea şi

maleabilitatea modelului. Aşa cum a fost pusă în practica profesională, analiza decizieitinde să încline această balanţă în favoarea maleabilităţii modelului. Printr -un procesiterativ de perfecţionare progresivă, modelele deciziei devin mult mai complexe decâtanaliza modelului, disponibilitatea datelor, iar importanţa datelor indică nevoia de şicapacitatea de a furniza detalii importante. Oricare dintre variabilele prezentate în Fig. 5poate fi înlocuită cu un modul, reprezentând o întreagă diagramă de influenţă compusădin alte, mai elementare cantităţi. Vezi Fig. 6 cu un exemplu în care pierderile aşteptateanual au fost transformate.

Cu astfel de diagrame de influenţă ierarhice, pot fi modelate sisteme complexe,foarte mari, fără a pierde beneficiile referitoare la eleganţă şi comunicare alediagramelor de influenţă. Aşa cum arată diagramele, pierderile anuale aşteptate depindde frecvenţa anuală aşteptată de producere a evenimentelor rele, sau a compromisurilorde securitate şi pe consecinţele aşteptate ale acestor evenimente rele. Aceste calculeintermediare sunt funcţie de factorul de reducere deterministă, estimarea probabilistică aunei valori iniţiale şi măsurile de protecţie selectate pentru fiecare politică.

4.4. DESCRIEREA MODELULUI RISCULUI SECURITĂŢII CALCULATOARELOR

Fig. 6, în plus de furnizarea unei ilustrări elementare a diagramelor de decizieierarhică, prezintă şi un sumar concis şi corect al principalelor cantităţi care trebuie luate

în considerare, fie implicit sau explicit, ori de câte ori este făcută o decizie pentrumanagementul riscului securităţii. O explorare mai atentă a acestei diagrame serveşteunui scop dual: demonstrarea procesului de construcţie a modelului şi elucidareavariabilelor fundamentale. Pentru o mai bună facilitate şi claritate matematică, vor fiutilizaţi următorii identificatori de variabile:

Bi = evenimentul grav i ,unde i = {1, 2, 3, . . ., n} (de ex., furtul de date)



S j = Măsura de protecţie j unde j = {1, 2, 3, . . ., m} (de ex., programe deavertizare, firewalls, software de criptare)

P k = Polica k, unde k = {0,1, 2, 3, . . ., l } (de ex., status quo, modificăriincrementale, îmbunătăţiri majore) (prin convenţie, k=0 reprezintă status quo)

R(S j ) = noi profituri disponibile prin adoptarea măsurilor de protecţie S j

I k (S j ) = Funcţie binară ce indică dacă măsura de protecţie S j este inclusă înpolitica P k F 0 (Bi ) = Estimarea iniţială a frecvenţei de apariţie a evenimentelor grave Bi D0 (Bi ) = Estimarea iniţială a consecinţelor sau efectelor produse de apariţia

evenimentelor grave Bi E f (Bi ,S j ) = Reducerea fracţională în frecvenţă a apariţiei evenimentelor grave Bi ,

ca urmare a implementării măsurilor de protecţie S j E d (Bi ,S j ) = Reducerea fracţională în consecinţele rezultate din evenimentele grave

Bi , ca urmare a implementării măsurilor de protecţie S j C(S j ) = Costul implementării măsurilor de protecţie S j

ALE k = Pierderile anuale aşteptate în cazul politicii P k

Începând cu decizia, Selectorul Măsurilor de Securitate este în esenţă o matrice cu zeroşi unu, indicând dacă o măsură de protecţie particulară este inclusă într -o politică sau nu.

Figura 6. Diagramele decizionale ale managementului riscului securităţii calculatoarelor

Costsuplimentar

Selectorulmăsurilor de

protecţie Beneficiu

netModulul pierderiloranuale

Profitsuplimentar

Eveni-mentegrave

Măsuri de protecţie

Index de politică

Profiturisuplimentaredate demăsurile de

Costulmăsurilor de

protecţie



Astfel, problema deciziei constă în compararea politicilor alternative, măsurilor deprotecţie, pentru a determina care politică este mai bună.

Criteriul pentru această determinare este uneori numit funcţie utilă şi reprezintăpreferinţele unui individ sau ale unui grup responsabil de luarea unei decizii. Funcţiautilă pentru diagrama din Fig. 6 este capturată în nodul obiectiv Net Benef it, care are

ecuaţia: l k ofit Added AddedCost Benefit NetBenefit k k k k ,...,2,1...Pr

Notă: Deoarece decizia este văzută ca o alegere făcută între politicile concurente,calcularea pentru net benefit trebuie făcută pentru fiecare politică Pk.

Coeficienţii sau alte operaţii funcţionale pot fi introduse într-o funcţie utilă pentru aexprima toleranţa riscului, timp-valoare a banilor sau alte preferinţe. Astfel, valorile utilede cele mai multe ori nu au nici un înţeles, fiind utile doar într -un cadru de lucrucomparativ. Pentru această analiză, cadrul de lucru a fost menţinut simplu, omiţându -seaceşti factori adiţionali, prin asumarea neutralităţii riscului şi menţinând bani reali pentruunităţi.

Calcularea beneficiilor politicii de securitate poate deveni foarte rapid un exerciţiu

complex şi controversat. Când oamenii au început să ia în considerare concepteintangibile, cum ar fi reputaţia, încrederea, au realizat şi valoarea securităţii dincolo desalvările calculate care rezultă din evitarea breşelor de securitate.

Oricum, greutatea dată acestor atribute poate varia semnificativ şi să depindă depreferinţele individuale sau de grup. Deoarece cu primul ciclu în analiza deciziei trebuiesă fie uşor de lucrat, valorile intangibile sunt lăsate pentru iteraţiile ulterioare. Astfel,diferenţele în cazul pierderilor anuale aşteptate pentru diferite politici, relative la statusquo (k 0), furnizează o estimare largă a beneficiilor aşteptate şi de aici, a evaluărilorsuplimentare ale securităţii.

l k ALE ALE Benefit k k ,...,2,1...0

Aşa cum s-a discutat în capitolul anterior, ALE este rezultatul frecvenţei cu care

au loc anual incidente, respectiv pierderi corespunzătoare acestora. Valorile actualepentru aceste cantităţi constituente vor fi analizate mai atent în capitolul următor.

Pierderile, în general, includ toate costurile adiţionale cre decurg în mod direct dinproducerea unui incident. De ex., plăţile legale care decurg din prevederile legale,penalităţile date în urma dezvăluirii de informaţii, pierderile rezultate în urma întârzieriirelizării unui produs, pierderile datorate afectării reputaţiei pot fi toate incluse înpierderile totale estimate pentru un incident.

Deoarece premiile pentru asigurări depind de ALE, ALE poate deveni un sistemde măsurare standard. Un alt avantaj reiese din natura riguroasă şi aditivă a calculelor.Spre deosebire de valorile intangibile subiective şi de cele mai multe ori, controversate,

ALE dă pierderile şi salvările reale sub diferite politici de securitate. Astfel, deciziile de

conducere bazate pe ALE pot fi justificate din punct de vedere al costurilor, chiar dacănu sunt luate în calcul toate riscurile posibile, deoarece riscurile considerate vor garantaacţiunile întreprinse. Obstacolul principal în utilizarea ALE ca o măsură exclusivă ariscului este, aşa cum am menţionat şi mai devreme, lipsa de abilitate în diferenţiereaevenimentelor cu consecinţe scăzute, frecvenţe înalte de evenimentele cu consecinţegrave, frecvenţe scăzute. Pentru multe companii, primul caz poate fi dirijat printr -un costincremental, în timp ce al doilea caz poate fi dezastruos. Aceasta, dacă analiza includeun tip de eveniment recent, analistul ar trebui să prefaţeze căutările evaluărilor de



securitate cu o explicaţie asupra dezavantajelor sistemului de măsurare ALE. Ecuaţiapentru variabila Pierderi anuale aşteptate este dată în continuare:

n

i

m

j

jk jid jk ji f iik S I S B E S I S B E B D B F ALE 1 1

00 ,1,1

Conceptul de eficienţă a măsurilor de protecţie este necesară pentru a măsuracosturile şi beneficiile diferitelor politici de securitate. Măsura eficienţei corespunzătoareprimei generaţii de metodologii se manifestă în evaluări multiple realizate sub diferiteprevederi de politică.

În Fig.6, eficienţa este modelată explicit sub forma unor factori de reducerefracţională în frecvenţă şi consecinţe ale evenimentelor grave, Ef şi respective, Ed .

Aceşti factori de reducere sunt relativi la status quo. De ex., dacă Ef(Bi,Sj) = 0.4 pentru i, j , atunci implementarea măsurilor de securitate Sj va reduce frecvenţa de producere aevenimentelor grave Bi la 60 la sută din valoarea iniţială. Când sunt implementatecâteva măsuri de protecţie, factorii de reducere sunt aplicaţi cu succes. De ex., dacădouă măsuri de protecţie, care au factorii de reducere Ef(Bi,S1) = 0.4 şi Ef(Bi,S2) = 0.2,care au fost implementaţi, atunci frecvenţa anuală de producere a evenimentelor graveBi vor fi reduse cu 48 la sută din valoarea status quo.

În ultimii ani, una din cele mai importante propoziţii despre valoarea securităţii,este aceea conform căreia securitatea este văzută la baza creării de noi oportunităţi deafaceri. Internetul folosit pentru creşterea vânzărilor, extinderea capacităţilor decomunicare au condus la nevoia unei mai buni securităţi a calculatoarelor.

Pe baza raportului cost-beneficiu, aceste noi oportunităţi pot fi mai mult decât justificate pentru costurile suplimentare necesare securităţii. Capturarea acestor efecte în modelul riscului nu este un lucru facil. Modelarea unei afaceri este un lucru destul decompletat. În prima iteraţie a modelului riscului securităţii, este suficientă o simplăestimare a profiturilor viitoare, într-un interval de nesiguranţă corespunzător. Dacăanaliza ulterioară arată că noile câştiguri sunt de bază pentru decizie, atunci poate fi

încorporat în iteraţiile ulterioare mai mult de un model. Ecuaţia de bază pentru ProfiturileSuplimentare este dată în cele ce urmează:

m

j

jk j l k S I S Rt Addedprofi1

,...,3,2,1...

La variabilele cheie, costul este probabil cel mai rapid cuantificabil. În costurilepentru măsurile de protecţie sunt incluse iniţial investiţiile în echipamente şi software,salariile angajaţilor, costuri de întreţinere, etc. Însă, nu toate costurile pot fi estimate uşor.

Măsurile suplimentare de securitate pentru calculatoare pot afecta moralulangajaţilor, consuma resursele calculatoarelor sau reţelelor şi împiedica bunul mers alproiectelor, toate acestea conducând la o scădere a productivităţii. La fel ca şi în cazul

Beneficiilor şi Profiturilor Suplimentare, costurile dificil de măsurat trebuie lăsateiteraţiilor ulterioare din ciclul analizei. Dacă decizia trebuie să se orienteze pe costuri,atunci trebuie luaţi în considerare alţi factori. Ecuaţia pentru Costurile Suplimentare estedată în continuare, precum şi ecuaţia completă pentru Beneficiul Net (Net Benefit).



m

j

jk j jk j

n

i

m

j

jk jid jk ji f iik

m

j

jk jk

S I S RS I S C

S I S B E S I S B E B D B F NetBenefit

S I S C AddedCost

1

1 1

00

1

,1,11

4.5. TEHNICILE DE ANALIZĂ

O dată ce diagrama de influenţă şi evaluările corespunzătoare sunt completsatisfăcătoare, urmează faza de analiză. Cât timp procesul de realizare a diagramelorare la bază cunoştinţe instituţionale şi încurajează concurenţa de opinii, faza de analizărezolvă dedesubturile cunoştinţelor şi direcţionează eforturile de modelare viitoare.

Setul de instrumente analitice pentru analiza modelului deciziei include o analizăsensibilă de categorie nominală, o analiză sensibilă parametrizată, o analiză stohasticăşi valoarea calculelor informaţiei.

Analiza sensibilă de categorie nominală dezvoltată ca o tehnică de filtrare pentruidentificarea variabilelor cheie care au mare influenţă asupra deciziei. Evaluările suntfăcute pe baza unor nivele mai mari sau mai mici pentru toate incertitudinile, de obiceicorespunzând unor procente de 10 şi 90 la sută. Funcţia obiectiv este apoi calculatăpentru fiecare nivel mai mare sau mai scăzut, individual, pentru o variabilă dată,

împreună cu toate celelalte variabile menţinute la valorile lor nominale sau lavalorile ”ghicite cel mai bine”. În general, aceste variabile găsite pentru a afecta în maremăsură funcţia obiectiv vor reapare în discuţie în analizele ulterioare şi într -ocaracterizare mai detaliată în alte iteraţii ale procesului de modelare.

Analiza sensibilă par ametrizată, aşa cum reiese chiar din nume, parametrizeazăo variabilă dată şi examinează modul în care decizia optimă se schimbă într -o serie devalori. De interes sunt punctele transversale, unde cea mai bună decizie se schimbădintr-o alternativă a deciziei în alta. Această analiză sensibilă ne dă măsura robusteţiialternativei alese.

Dacă cea mai bună alternativă de decizie se schimbă, cu mici variaţii, într -ovariabilă particulară, atunci acea variabilă trebuie luată în considerare într -o modelare şistrângere de informaţii mai detaliate.

După ce analiza sensibilă a identificat variabilele importante, analiza stohasticăexaminează rolul incertitudinii în luarea unei decizii. Regulile dominantei stohastice sereferă la tehnici pentru alternative de decizie treptate bazate pe distribuţiile lorprobabilistice complete şi pe principalele preferinţe în luarea deciziilor. Dominantelestohastice de primul, al doilea şi al treilea nivel sunt criterii de succes, judecând dinpunct de vedere al superiorităţii alternativelor de decizie. Următorul set de ecuaţiifurnizează regulile pentru dominanta stohastică.

Fiind date: A1[X] = P[X<=x], pentru Alternativa 1 : A2[X] = P[X<=x], pentru Alternativa 2 :U = Funcţia utilă



Dominanta stohastică de primul nivel: A2[X] domină A1[X], dacă şi numai dacă A2[X] <= A1[X] , pt. orice X

cu inegalitate strictă pentru cel puţin o valoare a lui X. Presupunem că : U nu este descrescătoare, astfel U’>= 0.

Dominanta stohastică de ordin doi: A2[X] domină A1[X], dacă şi numai dacă:

X

a

X

a

X dt t Adt t A ...12

cu o inegalitate strictă pentru cel puţin un X0 aparţinând intervalului [a,b].

Presupunem că: U nu este descrescătoare, U’>0 şi U exprimă creşterea riscului,U’’<=0.

Dominanta stohastică de ordin trei: A2[X] domină A1[X], dacă şi numai dacă:

b

a

b

a

X

a

z

a

X

a

z

a

dX X AdX X A

X dtdz t Adtdz t A

12)2(

...12)1(

cu strictă inegalitate pentru cel puţin un X în prima condiţie sau strictă inegalitate în condiţia 2.

Dominanta stohastică este probabil mai uşor de înţeles, dacă se urmărescgraficele (diagramele) distribuţiei probabilităţii cumulative corespunzătoare alternativelorde decizie concurente, din Fig. 7.

În primul grafic, dominanta stohastică de nivel unu (FSD) poate fi obţinută prininspectare, deoarece curba distribuţiei dominante corespunzătoare Alternativei 2 estecomplet la dreapta curbei pentru Alternativa 1.

O modalitate de a înţelege acest rezultat este aceea de a considera că pentruorice valoare utilă, probabilitatea de a obţine acea valoare sau una mai mare este

întotdeauna mai mare cu Alternativa 2.De aici, presupunerea referitoare la FSD conform căreia funcţia utilă nu este

descrescătoare.Dacă respectivele curbe de distribuţie se intersectează, atunci FSD nu ar exista.

În acest caz, se poate privi la dominanta stohastică de nivel doi, comparând aria(suprafaţa) dintre curbe. Aşa cum este arătat în al doilea grafic din Fig. 7, alternativa 2are dominantă stohastică de nivel doi peste Alternativa 1, deoarece zona doi este maimare ca zona unu. Presupunerile pentru SSD: funcţia utilă nu este descrescătoare şiarată aversiunea riscului. Interpretarea intuitivă a SSD este că o persoană care ia deciziiva prefera alternativele de risc mai r edus, cu variaţii mici, în locul celor cu mare risc, cuvariaţii mari. Al treilea grafic din Fig. 7 arată un exemplu de dominantă stohastică denivel trei (TSD).

Am putea fi tentaţi să gândim că SSD există aici deoarece suma ariilor I şi III esteevident mai mare decât aria II. Oricum, aria II este mai mare decât aria I şi , deoarece



definiţia SSD solicită ca inegalitatea să fie păstrată pentru toate X, SSD nu esteprezentă.

În mod grafic, TSD necesită ca suma ariilor I şi III să fie mai mare ca suprafaţa II,iar aria II să nu f ie de trei ori mai mare ca aria I. Presupunerile pentru SSD: funcţia utilă

nu este descrescătoare, arată aversiunea riscului şi demonstrează caracterul oblicpozitiv. O interpretare intuitivă a TSD este aceea că, pentru alternative date cu variaţii şimijloace egale, o persoană cu drept de decizie va prefera alternativa cu un risc inferior,mai scăzut, aşa cum este manifestat în caracterul oblic-pozitiv.

În absenţa oricărei dominante stohastice, un mai mare efort de modelare şiculegere de informaţii poate ajuta la micşorarea incertitudinii asupra variabilelor cheie şipoate duce la o mai bună înţelegere asupra dominantei. Analiza pentru valoareainformaţiei este ajutătoare în scopul determinării resurselor care trebuie cheltuite pentru

informaţii suplimentare. În general, idea conform căreia informaţia are o valoare esteindiscutabilă. Stabilirea unui număr precis acelei valori este departe de a fi contestată. Încontextul deciziei, acest proces devine dintr-o dată mai corect. În funcţie de măsura încare descoperirea de informaţii adiţionale despre incertitudine poate schimba o decizie,acestă informaţie are valoare. Cunoaşterea unei variabile cu certitudine schimbăutilitatea aşteptată a fiecărei alternative de politică. Din diferenţa între utilitatea decizieicu noua informaţie şi utilitatea deciziei fără noua informaţie, se poate deduce valoareapentru acea informaţie nouă.



REFERINŢE BIBLIOGRAFICE

1. Adams, J. and Thompson, M. (2002). “Taking account of societal concernsabout risk: framing the problem”, Health and Safety Executive, ResearchReport 035

2. Amor, D. (2001). The E-Business (R)evolution: Living and Working in anInterconnected World (2nd Edition), Prentice Hall

3. Austin, R. and Darby , C. (2003). The myth of secure computing. HarvardBusiness Review, 81(6):120-126

4. Berrryman, P. (2002). Risk Assessment: The Basics5. Bishop, M. (1999). Vulnerabilities Analysis, in Proceedings of the Second

RAID Conference6. Blakley, B., McDermott, E. and Geer, D. (2002). Information security isinformation risk management, in Proceedings of NSPW, Cloudcroft, NewMexico, USA

7. Bontchev, V.V. (1998). Methodology of Computer Anti-Virus Research,PhD thesis. University of Hamburg, Germany

8. Buffam, W.J. (2000). The Fundamentals of Internet Security, Unisys9. Castano, F., Phillips, C., Swiler, L.P., Gaylor, T., Leary, P., Rupley, F., Isler,

R. and Dart, E. (1998). A Preliminary Classification Scheme for InformationSystem Threats, Attacks, and Defenses: A Cause and Effect Model andSome Analysis Based on That Model, Sandia National Laboratories

10.D’Arcy, S.P. (2001). Enterprise Risk Management. Journal of RiskManagement of Korea, 12 (1)11. Frisch, E. (1995). Essential System Administration, Second Edition.

O’Reilly & Associates, Inc., CA, USA 12. Jacobson R.V. (1996). CORA Cost-of-Risk Analysis, in Proceedings of

IFIP ”96 WG11.2. Samos, Greece 13. Kabay, M.E. (1996). Enterprise Security: Protecting Information Assets.

McGraw-Hill14. Kankanhalli, A., Teo, H.-H., Tan, B. C. Y. And Wei, K.-K. (2003). An

integrative study of information system security effectiveness. InternationalJournal of Information Management 23: 139-154

15. Landwehr, C. E. (2001). Computer security. International Journal ofInformation Security, 1:3 – 13

16. Loscocco, P. A. , Smalley, S.D. , Muckelbauer, P. A., Taylor, R. C. , Turner,S. J. and Farrell, J.F. (1998). The Inevitability of Failure: The Flawed

Assumption of Security in Modern Computing Environment. In Proceedingsof the 21 st Natioanl System Security Conference

17. Neumann, P. G. (1995). Computer related risks. ACM Press18. Ozier, W. (1999). A Frameworkfor an Automated Risk Assessment Tool,

The Institute of Internal Auditors



19. Panko, R. R. (2004). Corporate computer and network security. NewJersey: Prentice Hall

20. Pfleeger, C. P. (1997). Security in Computing. Addison Wesley21. Schneier, B. (2000). Secrets and Lies: Digital Security in a Networked

World. Wiley: New York

22. Siponen, M. T. (2000). A conceptual foundation for organizationalinformation security awareness. Information Management and ComputerSecurity, 8/1: 31-41

23. Stallman, R.M. (1984). Letterto ACM Forum. Communication of the ACM,27 (1), January: 8-9

24. Stoneburner, G., Goguen, A. and Feringa, A. (2001). Risk ManagementGuide for Information Technology System, National Institute ofStandardsand Technology

25. Straub, D. W. and Welke, R. J. (1998). Coping with system risk: securityplanning models for management decision making. MIS Quarterly, 22,4 :441-64

26. Summers, R. C. (1997). Secure Computing: Threats and Safeguards.McGraw-Hill

27. Vasiu, L. and Vasiu, I. (2004). Dissecting Computer Fraud: FromDefinitional Issues to a Taxonomy, in Proceedings of the 37 th HawaiiInternational Conference on System Sciences, Hawaii, USA, IEEEComputer

28. Vasiu, L. and Vasiu, I. (2004a). A Taxonomy of Malware Use in thePerpetration of Computer – related Fraud. In U.E. Gattiker (Ed.), EICAR2004 Conference CD-rom: Best Paper Proceedings. Copenhagen:EICARe.V.

29. Vasiu, I. si Vasiu, L. (2001). Totul despre hackeri. Editura Nemira,Bucuresti

30. Wilsher, R. G and Kurth, H. (1996). Security assurance in informationsystems. In Sokratis K. Katsikas si Dimitris Gritzalis (Eds.) (1996).Information Systems Security: Facing the information society of the 21stcentury, Chapman and Hall

31.Critical Foundations. Protecting America’s Infrastructures. The Report ofthe President’s Commission on Critical Infrastrucutre Protection,Washington DC, October 1997

32. Infosurance, Zürich, 2001.33. Critical Information Infrastructure Protection, ETH,2002.34. A Risk-Management Approach to Computer Security, Kevin J. Soo Hoo,

2000.35. Analiză de risc şi de vulnerabilitate pentru infrastructurile critice ale

societăţii informatice – societate a cunoaşterii, Adrian V. Gheorghe,2002.36.Stadiul actual al dezvoltării sistemelor de securitate pentru reţele de

calculatoare de înaltă siguranţă, Referat nr. 1, ing. Valer BOCAN, prof. dr.ing. Vladimir CREŢU, Timişoara, 2002.



ANEXA 1

MODELE ŞI METODE PENTRU ANALIZA INFRASTRUCTURIIDE INFORMAŢII CRITICE

INTRODUCERE

Sectoarele (zonele) cheie ale societăţii moderne, inclusiv cele vitale pentrusecuritatea naţională şi pentru funcţionarea esenţială a economiei, industriei depind deun spectru de interdependenţă ridicată între software-ul de nivel naţional şi internaţionalşi sistemele de control, pentru operarea continuă, fără întreruperi.

Această infrastructură de informaţii stă la baza multor elemente ale infrastructur iicritice (CI) şi de aici, rezultă şi denumirea infrastructură de informaţii critice (CII). CII faceun continuu schimb între noi tipuri de interacţiune cu societăţile, fiind evidentă folosirea

tot mai mare a sistemelor deschise pentru monitorizarea şi controlul operaţiilor CI,precum şi convergenţa mass-mediei, a tehnologiei informaţiei şi a comunicaţiilor cătreinformaţii şi comunicaţii integrate (ICT).

Creşterea valorii informaţiei şi disponibilitatea mijloacelor electronice pentruprelucrarea unui volum din ce în ce mai mare de informaţii, nu fac din informaţii şisistemele de informaţii doar bunuri fără preţ, ci şi importante ţinte. Deşi oportunităţileICT sunt bine ştiute şi exploatate, consecinţele legăturii CI cu CII nu sunt suficient

înţelese. Sistemele de informaţii sunt expuse defecţiunilor, sunt ţinte atractive pentruatacuri răuvoitoare şi sunt susceptibile la efectele distructive în cascadă. Aceste noitipuri de riscuri şi vulnerabilităţi au devenit o problemă de securitate majoră la nivelmondial.

Ca subiect de cercetare, un număr de aspecte (probleme) indică o nevoie urgentă dea asigura o protecţie continuă a CII. Aceste aspecte de referă la:

- legăturile în CI;- consecinţele interdependenţelor între diferitele subsisteme ale CI;- posibile efecte distructive în cascadă ale defecţiunilor; - noi situaţii de urgenţă cu apariţia unor noi vulnerabilităţi insuficient înţelese.

În ultimii ani, multe ţări au făcut paşi către o mai bună înţelegere a vulnerabilităţilor şiameninţărilor ce afectează CII şi au întocmit planuri cu soluţii posibile pentru protecţiaacestor bunuri critice (protecţia infrastructurii de informaţii critice, CIIP). Toate acesteeforturi de protecţie la nivel naţional, reprezintă subiectul care va fi dezbătut încontinuare.

Este de dorit (dar foarte greu de obţinut) să se facă o distincţie între cei doi termeniCIP (protecţia infrastructurii critice) şi CIIP (protecţia infrastructurii de informaţii critice)

În publicaţiile oficiale, cei doi termeni sunt folosiţi inconsistent. De cele mai multe orirămâne neclar dacă articolele de specialitate se referă la CIP sau CIIP, din moment ceambele concepte sunt în mod frecvent schimbate într-o manieră ne-sistematică.

Mai curând, folosirea în paralel a celor doi termeni reflectă stadiul discuţiilor politicedin ţările care au abordat aceste probleme.

Oricum, există cel puţin o caracteristică pentru a face distincţia între cele douăconcepte. În timp ce CIP cuprinde toate sectoarele critice ale infrastructurii unei ţări, CIIP



este doar un subset al unui efort de protecţie detaliată, care se orientează cătreinfrastructura informaţiilor critice.

Scopul pe care îl urmărim este acela de a furniza o p rivire de ansamblu asuprapracticilor de protecţie ale CII ţări cum ar fi: Austria, Canada, Germania, Olanda, Suedia,Norvegia, Elveţia şi Statele Unite. Analiza pe care o efectuăm se ghidează după două

întrebări: - Ce prevederi naţionale referitoare la protecţia infrastructurii de informaţii criticeexistă?

- Ce metode şi modele sunt folosite în ţările respective pentru a analiza şi evaluadiferite aspecte ale infrastructurii de informaţii critice?

MODELE PENTRU ANALIZA CII

INTRODUCERE

Acest capitol se referă la modele şi metode

le utilizate pentru analiza CII pentru unnivel generic. Sunt abordate următoarele modele:

1. Tehnologie IT – modele de securitate;2. Metodologia de analiză a riscului; 3. Modelul analizei riscului de infrastructură; 4. Modelele de bază Leont ief ale riscului;5. Modele pe zone şi nivele; 6. Analiza pe zone;7. Analiza tehnologiei şi procesului; 8. Analiza Interdependenţei Dimensionale.

Pentru fiecare analiză şi aproximare, sunt luate în considerare trei elemente:Zona aplicaţie: la ce nivel de analiză sau la ce componentă a analizei CII poate fi

aplicată aproximarea respectivă (ex., nivelul sistemelor tehnice, componenta deinfrastructură, infrastructura, zona de infrastructură, sistemul infrastructurii complexe,critice).

Obiect ivul : Care este obiectivul declarat al aproximării? Procesul de lucru : Ce paşi, etape include aproximarea? (Dacă nu este

disponibilă o descriere a procesului, această etapă este omisă)

TEHNOLOGIA IT – MODELE DE SECURITATE

Aria de aplicabilitateTehnologia IT – modele de securitate care să asigure securitatea la nivelul

sistemelor tehnice.

ObiectivePredominant, această categorie de modele acoperă măsurile aplicate local cu

precădere în domeniul afacerilor, agenţiilor sau militar în contextul unei organizaţii.



Modelele au la bază idea conform căreia o protecţie suficientă la nivelulsistemului tehnic elimină ameninţările pentru sistemul infrastructurilor critice. Manualelede protecţie tehnică recomandă măsuri de securitate pentru anumite sisteme IT.

Scopul acestor recomandări este acela de a se asigura un nivel de securitatepentru sistemele IT, cât mai convenabil şi adecvat pentru satisfacerea cerinţelor de

protecţie, de la cele normale, la cele mai ridicate nivele de protecţie. Alte recomandărifurnizează modele pentru proiectare, dezvoltare sau implementarea de sisteme ITsigure, care să ia în considerare cel puţin patru obiective de securitate.

Institutul Naţional de Standarde şi Tehnologie (NIST) furnizează un număr deghiduri şi recomandări pentru securitatea tehnologiei informaţiei. Modelele tehnicepropuse furnizează o descriere a elementelor de bază tehnice care subliniazătehnologia securităţii informaţiei şi intenţionează să fie modele care trebuie să fie luate

în considerare la proiectarea şi dezvoltarea capabilităţilor securităţii tehnice. Manualul pentru protecţia de bază în IT conţine prevederi de securitate standard,

prevederi referitoare la implementare şi elemente ajutătoare pentru numeroaseconfiguraţii IT corespunzătoare acestor tipuri de sisteme. Aceste pr evederi urmăresc să

aducă soluţii rapide pentru problemele de securitate comune, de a ajuta la creştereanivelului de securitate pentru sistemele IT şi de a simplifica apariţia politicilor desecuritate IT.

METODOLOGIA DE ANALIZĂ A RISCULUI (PENTRU SISTEMELE IT)

Zona de aplicabilitate Analiza/evaluarea riscului ajută la luarea în considerare a implicaţiilor de

securitate pentru sistemele informaţionale electronice şi la conceperea de politici şiplanuri pentru a se asigura că sistemele sunt protejate corespunzător. Evaluarea sepoate face pentru orice nivel de complexitate sau pentru orice dimensiunecorespunzătoare a unui sistem.

ObiectiveCa element de decizie pentru zona securităţii, metodologiile evaluării riscului vor

să ne asigure că măsurile luate pentru contracararea ameninţărilor de securitatespecifice sunt adecvate pentru risc. Rezultatele analizei riscului sunt utilizate pentru afurniza un model pentru zonele cu risc înalt. Analiza riscului este o aproximare generalăcare include un număr de etape intermediare. Definiţiile standard ne arată careelemente trebuie incluse în proces: riscul este o funcţie a probabilităţii ca o sursă datăde ameninţări să se manifeste ca o vulnerabilitate particulară, potenţială, şi impactulrezultat al evenimentului nefavorabil.

Procesul de lucruMetodologiile evaluării riscului sunt deseori procese pas cu pas. Numărul de paşi

poate varia puţin şi pot fi ajustaţi, adaptaţi la nevoile specifice. Oricum, în scopul identificării tuturor sub-elementelor necesar e, trebuie luaţi în

considerare cel puţin cinci paşi. Figura 1 prezintă nouă paşi posibili ai unei analize ariscului.



Pasul 1 : Caracterizarea sistemuluiDefiniţia scopului efortului şi limitele sistemului evaluat. Aceasta include

identificarea tuturor resurselor, bunurilor şi informaţiilor ce constituie sistemul.

Pasul 2 : Identificarea ameninţărilorDeterminarea (1), natura ameninţărilor interne şi externe, (2) sursa lor şi (3)

probabilitatea ca ele să se manifeste. Probabilitatea unei ameninţări este o măsură aprobabilităţii ca o ameninţare să se concretizeze.

Pasul 3 : Identificarea vulnerabilităţii Pasul următor este acela de a stabili o listă a vulnerabilităţilor unui sistem care

pot fi exploatate de o potenţială sursă de ameninţare. Sunt câteva abordări sofisticate în Analiza vulnerabilităţii.

Pasul 4 : Analiza controalelor care au fost implementate sau care se doresc a fiimplementate de către organizaţie, pentru a minimiza sau elimina probabilitatea ca oameninţare să exploateze o vulnerabilitate a sistemului.

Pasul 5 : Determinarea probabilităţii În determinarea probabilităţii unei ameninţări, trebuie să se ia în considerare

sursele de ameninţare(2), vulnerabilităţile posibile(3) şi controalele existente(4).

Pasul 6 : Analiza impactului sau pagubelorGradul de afectare a unui bun este cel mai bine determinat de către proprietar

sau manager care poate cunoaşte valoarea actuală a bunului. Impactul nefavorabil alunui eveniment de securitate poate fi descris în termeni de pierdere sau degradare aunuia sau mai multor Obiective de Securitate. Alte categorii pot fi aplicate dacă analizariscului este făcută pentru mai multe sisteme abstracte.

Pasul 7 : Determinarea riscului

Caracterizareasistemului

Identificareavulnerabilităţilor

Analizacontrolului

Identificareaameniţărilor

Determinarea probabilităţilor de

a ari ie

Impactul analizeidefecţiunilor

Determinareariscului

Stabilireacontramasurilor

rioritare

Recomandărilecontrolului

Pas 1 Pas 2 Pas 3 Pas 4

Pas 9 Pas 8 Pas 7 Pas 6 Pas 5

Fig.1. Etapele în metodologia de stabilire a riscului



Stabilirea nivelului de risc al sistemului. Deter minarea riscului poate fi exprimatăca o funcţie a probabilităţii ca o sursă de ameninţare dată să încerce să exploateze ovulnerabilitate dată (pasul 5) şi mărimea impactului face ca o sursă de ameninţare săexploateze cu succes o vulnerabilitate (pasul 6). Pentru a măsura acest risc rezultat,este nevoie de o scală a riscului şi un nivel al riscului.

Pasul 8 : Evaluarea priorităţii contramăsurilor. Evaluarea contra-măsurilor exprimă diferenţa între riscul impus (de dorit ca nivelul

de risc să fie stabilit de autoritatea în domeniu) şi riscul rezultat (pasul 7) şi este utilizatăpentru a furniza un ghid în ceea ce priveşte importanţa care trebuie acordatăcontramăsurilor de securitate. Din nou, valorile şi categoriile aplicate pot varia puţin.Tabelul 1 este un exemplu de tabel de evaluare a riscului.

Pasul 9 . Recomandările de controlPrevederea de controale care pot diminua sau chiar elimina riscurile identificate.

Scopul controalelor recomandate este acela de a reduce nivelul de risc al sistemelor şidatelor lor la un nivel acceptabil.

C o

l o a n a

1

I d e n

t i f i c a r e a

e c

h i p a m e n

t u l u i

C o

l o a n a

2

A m e n i n ţ ă r i l e

a s u p r a

e c

h i p a m e n

t e l o

r C o - l o a n a

3

P r o

b a

b i l i t a t e a

a m e n i n ţ ă r i i

C o

l o a n a

4

D e f e c ţ i n i

C o

l o a n a

5

R i s c u

l r e z u

l t a t

C o

l o a n a

6

R i s c u

l a s u m a

t

C o

l o a n a

7

P r i o r i t a

t e

c o n

t r a m ă s u r i

Rând 1Comerţelectronic prin

intermediulpaginilor web

Căderiaccidentale detensiune ori

echipamentedefecte

Medium Grav Critic Absent 4

Rând 2 Acurateţeainformaţiilorpublicate peweb

Pierdereaconfidenţialităţii şi

încrederii datorităpirateriei pe web

Înalt Minor Medium Scăzut 1

Rând 3Securitateaaccesului laresurseleinterne alereţelei prinpersonalautorizat dincadrul reţelelorexterne

Pierdereadispozitivelor saua cheilornecesareaccesului lacanalelesecurizate

Foartescăzut

Serios Medium Scăzut 1

Tabelul 1. Tabel cu riscurile asumate



MODELUL ANALIZEI RISCULUI UNEI INFRASTRUCTURI (IRAM)

Zona de aplicabilitateIRAM este modelul analizei riscului unei infrastructuri probabile şi furnizează o

metodă analitică pentru cuantificarea (determinarea cantitativă) a riscului şi un processistematic pentru conducerea modelării, evaluării riscului şi managementulcomponentelor unei infrastructuri specifice sau al unor sectoare întregi dintr-oinfrastructură (de exemplu militară).

ObiectiveIRAM este o abordare complexă a modelului de interconectare şi

interdependenţă a unui sistem cu infrastructură. Se pune accent pe aspectele demodelare şi evaluare şi furnizează metode de calculare a măsurilor critice şi relevanteale eficacităţii necesare pentru alocarea câtorva resurse pentru îmbunătăţirea securităţiisistemului.

Datorită modelării văzute ca un risc extrem, IRAM furnizează activităţi alesistemului sub limita normalului, drept activităţi neobişnuite.

Procesul de lucruProcesul IRAM constă în patru faze, arătate în Fig. 2.

ConducereEchipamenteModelIdentificare

Faza I Faza II Faza III Faza IV

- Descompunerefolosind MHI - Identificarea şiratavulnerabilităţilor

- Identificarea şirataameninţărilor - Valorilecomponentelor importante

- Descoperirea

scenariilor deameninţări - Ordineaimportanţei - Construirea

modelului derisc

- Generarealternativă şicrescătoare - Analizaschimbăriiconducerii- Creştere

- Calcul- Pierderi aşteptate- Pierderi foartemari- Infrastructurăsigură

Fig.2. Cele patru faze ale modelului analizei riscului de infrastructură



Faza I : Identificarea ameninţărilor şi vulnerabilităţilor Identificarea riscurilor unei infrastructuri se poate realiza prin structurarea sistemului(Fig.3) Structurarea este realizată pr in folosirea Modelului Holografic Ierarhic (MHI), astfel

încât infrastructura este împărţită în:

- Componente: structurale (statice), de operare (dinamice) şi componente

fluctuante ale infrastructurii.- Structura ierarhică: se referă la relaţia între componentele aflate în diferiteierarhii, cum ar fi super-sistemele, sistemele laterale, şi subsistemele.

- Funcţie: descrie (în fraze cu verbe de mişcare). În termeni de acţiune pe fiecarecomponentă, element sau parte componentă a unui subsistem.

- Star e: stări variate (inutil, ocupat, etc.) ale unui sistem la un anumit moment detimp.

- Vulnerabilitate: identificată pentru orice sistem şi referită în termeni ai expunerii,accesului şi ameninţării.

Faza I culminează cu un număr de vulnerabilităţi pentru evaluarea următoare: O

dată ce sistemul a fost analizat şi au fost identificate vulnerabilităţile şi ameninţările,rezultatele sunt ordonate într-un sistem. Apoi, sunt definite sursele de risc. Aceastădecizie poate fi bazată pe rezultatele cercetării, studii sau alte resurse.

Faza II : Modelul risculuiPrimul pas în Faza II este dezvoltarea scenariilor pentru modele. Scopul

modelului riscului este acela de a furniza informaţii în urma consecinţelor unui scenariu

Economic Ameninţări

Componente Structură Funcţiuni Stare Vulnerabilităţi

PoliticTemporar

Infrastructura

StaticDinamicFlux

SuperiorLateralSubsistem

ExpunereAcces

Fig.3. Descompunerea unui sistem generic



executat împotriva unui sistem aflat în studiu. Faza II se termină prin construirea unuimodel probabilistic de evaluare a riscurilor asociate cu un scenariu dat.

Ca şi în Faza I, scenariul este clasificat, iar experţii decid care scenariu va servidrept iniţiator de evenimente pentru modelul riscului.

Faza III : Pierderile evaluării Faza III este faza evaluării, unde securitatea infrastructurii, însemnând pierderipreconizate şi pierderi majore care sunt calculate folosind metoda partiţionării peobiective multiple a riscului (PartitionedMulti-objective Risk Method (PMRM)). Aceastanu permite doar să fie observată mărimea pagubelor aşteptate, dar ajută la înţelegereaprobabilităţii scăzute a evenimentelor de mare impact. Este şi un instrument util pentru ademonstra securitatea sistemului.

Faza IV : Conducerea (managementul)Faza IV este faza de management, în care sunt generate alternativele şi

reevaluat modelul riscului pentru a anticipa performanţa infrastructurii. Culminează cu o

fază de analiză pe obiective multiple (Multi-Objective Trade-off Analysis), care

furnizează informaţii pentru a determina nivelul riscului acceptat.

MODELUL LEONTIEF – MODELUL RISCULUI ÎN INFRASTRUCTURILECOMPLEXE INTERCONECTATE

Domeniul de aplicaţie Prin abordarea intrărilor -ieşirilor dinamice din sistemele cu infrastructură

complexă se acordă o atenţie deosebită interdependenţelor şi efectelor la schimbareacomponentelor.

ObiectiveScopul acestui model constă în îmbunătăţirea înţelegerii operativităţii

infrastructurilor critice în toate condiţiile posibile pentru a putea prevedea efectul înlocuirii unui segment cu altul. Acest lucru se realizează atât prin explorarea izolată afiecărei infrastructuri cât şi prin analizarea structurilor interconectate între ele.

Modelul original al intrărilor -ieşirilor constituie un cadru pentru studiereadezechilibrelor unei economii. Modelul lui Leontief presupune că intrările de bunuri câtşi de resurse necesare pentru producerea oricăror bunuri sunt proporţionale cu ieşirilede bunuri. În plus, ieşirile oricăror bunuri sunt folosite fie ca intrări pentru producţie, fiepentru satisfacerea cererii de consum.

Modelul adaptat consideră un sistem format din infrastructuri interconectatecomplexe în care ieşirile reprezintă riscul neoperativităţii lor, neoperativitate care poate fideclanşată de apariţia a uneia sau a mai multor erori. Î ntreruperi datorate complexităţiisistemelor, accidentelor, dezastrelor naturale sau actelor teroriste. Intrările în sistem poteşua datorită accidentelor, dezastrelor naturale sau actelor teroriste. (Fig. 4)



Sistemul este într-o condiţie perfectă atunci când toate componentelefuncţionează perfect (ireproşabil). În acest caz, sistemul este într -o stare de echilibru.

Metoda de lucruUnitatea folosită de modelul intrărilor -ieşirilor (Leontief) spre exemplu pentru

economie o reprezintă dolarul. Modelul cu infrastructură adaptată foloseşte unităţi derisc al neoperativităţii, unde riscul de neoperativitate este măsurat ca probabilitate şigrad (procente) al neoperativităţii sistemului.

La aplicarea modelului pentru orice sistem cu infrastructură specifică, o primăsarcină o reprezintă definirea, pentru fiecare infrastructură, a neoperativităţii şi a

riscurilor asociate în aşa fel încât să descrie modul de comportare al infrastructurii câtmai precis posibil.

În primul rând, trebuie definită neoperativitatea pentru fiecare dintre subsisteme, în aşa fel încât să cuprindă esenţa şi caracteristicile tuturor subsistemelorcorespunzătoare obiectivelor problemei pe care o reprezintă. Neoperativitatea uneiinfrastructuri poate fi definită folosind diferite criterii, de exemplu: factori geografici,funcţionali, temporali sau politici. Fiecare poate justifica elaborarea unui model diferit detip Leontief, model cu dimensiuni specifice.

După definirea clară a neoperativităţii, următorul pas constă în determinareamatricii de echilibru a lui Leontif. Problema alocării resurselor este introdusă în modeluleconomic de Leontief ca singur obiectiv, avînd la bază modelul programării liniare, în

care produsul naţional brut este maximizat ţinînd cont de constrângerile impuse delimitele resurselor. În modelul lui Leontief cu infrastructură liniară pot fi analizate multipleobiective. Un exemplu constă în minimizarea neoperativităţii pentru mai mult de oinfrastructură. Următoarele întrebări sunt: cum putem obţine echilibrul sau cum arreacţiona sistemul la o perturbare iniţială. Aceasta este totodată şi întrebarea legată deevoluţia în timp a infrastructurii.

Fig.4. Relaţiile de intrare-ieşire

Infrastructura

Ieşire n

Ieşire 2

Ieşire 1

Intrare x

Intrare n

Intrare 2

Intrare 1



MODELE SECTORIALE ŞI ZONALE

Domeniul de aplicaţie Modelele sectoriale şi zonale analizează părţi din infrastructura sistemelor sau

toate elementele critice din cadrul unei infrastructuri şi relaţiile dintre acestea şi adesea

sunt folosite ca ilustrare a interdependenţelor dintre elemente.Obiective

Aceste modele sunt folosite în principal pentru ilustrarea modului de organizare alinfrastructurilor critice sau sunt utilizate ca bază pentru paşii suplimentari necesarideterminării interdependenţelor. Aceste utilizări diferă de la ţară la ţară.

Modelele sectoriale simple nu scalează în mod diferit sectoarele după importanţalor, dar pot fi arătate interdependenţele dintre sectoare.

Modelul canadian analizează responsabilităţile sectoriale la nivel internaţional,federal, provincial, municipal şi la nivelul sectorului privat. Aceste zone deresponsabilitate sunt constituite pe trei niveluri: (1) nivelul operaţiilor, (2) nivelul

aplicaţiilor tehnice şi nivelul de control. Întregul sistem, al rândul său se bazează pedouă nivele de bază. Modelul german este centrat pe infrastructurile informaţiilor şi a tehnologiei

comunicaţiilor şi organizează segmentele analizate în ordinea importanţei lor. A bazapiramidei se situează sursele de putere iar în vârf valoarea adăugată a serviciilor caredepinde de disponibilitatea şi integritatea nivelelor inferioare. Aceasta indică odependenţă verticală, plus nivelul informaţiilor orizontale şi informaţiile referitoare laservicii leagă împreună un public diferit şi actori privaţi, individuali şi societatea ca un tot.

ANALIZA SECTORIALĂ

Domeniul de aplicaţie Analiza sectorială contribuie la înţelegerea funcţionării sectoarelor singulare prin

sublinierea diferitelor aspecte importante ale fiecărui sector.

ObiectiveSunt mai multe aspecte care pot fi analizate la sectoarele individuale. Cercetătorii

germani au dezvoltat patru modele cu diferite puncte de vedere pentru ordonarea şiclarificarea rolului diferiţilor participanţi (actori) precum şi diversitatea, interdependenţeleşi vulnerabilităţile existente. Pentru înţelegerea sectorului investigat, alte cercetări(Australia) iau în considerare în principal mediul economic şi trăsăturile esenţiale aleinformaţiilor industriale cum ar fi tendinţele, punctele limită şi vulnerabile, impactulmediului exterior şi rolul forţelor competitive (concurenţa). Ca metode de lucru suntfolosite PEST, cercetările lui Porter şi cercetările SWOT.

Analiza PEST (Politic, Economic, Social, Tehnologic) O analiză PEST este de obicei efectuată pentru obţinerea şi înţelegerea modului

în care mediul macro afectează afacerile sau sectoarele analizate (factori politici,economici, sociali şi tehnologici). Conceptul analizei PEST constă în analiza factorilor



externi care influenţează mediul de afaceri. Tabelul 2 conţine un exemplu de analizăPEST.

Politic Economic Social TehnologicVedere

generală

- Globale

- Private

- Dezvoltare

economică - Inflaţie - Şomaj

- Populaţie

- Educaţie

- Introducerea

de PC-uri- Suport pentrustructura dechei şisistemeletehnologice- Acces laINTERNET

Driverespecificefiecărui sector

- Ministere- Organizaţii

- Importanţaindustriei- R&D

- Creştereacalităţii vieţii - Comunitatea

globală - Schimb decunoştinţe

- Noutăţitehnologice

Tabelul 2. Model de analiză PEST.

Cecetările lui Porter Analizele lui Porter iau în calcul forţele competitive dintr -o industrie sau sector

particular. Un criteriu important în această analiză o are intensitatea rivalităţilor;competitorii, embargourile, ameninţarea apariţiei de înlocuitori, sursele auxiliare şiputerea de cumpărare. Fig.5 conţine un model Porter cu 5 forţe analizate.

Concurenţi industriali

Furnizori

Intrări posibile

Înlocuitori

Cumpărători

Ameninţări

Ameninţări

Fig.5. Modelul celor cinci forţe al lui Michael Porter ’s

Putere de tranzacţie

Putere de tranzacţie



SWOT (Forţe, Slăbiciuni, Oportunităţi, Ameninţări) O astfel de analiză, care pune accentul pe forţe, slăbiciuni, oportunităţi şi

ameninţări este de obicei desfăşurată la nivel micro sau la nivelul unei afaceri dar poatefi dezvoltată şi la nivel sectorial. Tabelul 3 conţine o foaie de calcul tipică pentru oanaliză SWOT.

Analizele de mediuOportunităţi (1) Oportunităţi 1 (2) Oportunităţi 2 (n) Oportunităţi n

Ameninţări (1) Ameninţări 1 (2) Ameninţări 2 (n) Ameninţări n

Situaţii

analizate

Tărie (1) Tărie 1 (2) Tărie 2 (n) Tărie n

SO StrategiiExemple:S101: Strategie specifică S1SnO1: Strategie specifică

...

ST StrategiiExemple:S1S3T2: Strategie specifică ...

Slăbiciune (1) Slăbiciune 1 (2) Slăbiciune 2 (n) Slăbiciune n

WO StrategiiExemple:W10102: Strategiespecifică ...

WT StrategiiExemple:W2T2: Strategie specifică ...

Tabelul 3. Foaie de lucru tipică SWOT.

ANALIZA PROCESELOR ŞI TEHNOLOGIEI

Domeniul de aplicaţie Analiza proceselor şi a tehnologiei contribuie la identificarea dependenţelorcritice din infrastructurile sectoarelor în infrastructura informaţională.

Obiective Această analiză evaluează diferite paliere ale unui sector prin examinarea

dependenţelor din informaţii şi tehnologia comunicaţiilor dintr -un sector critic şi apoitraversează mai multe sectoare prin evidenţierea funcţiilor esenţiale, a componentelorde bază şi a interdependenţelor acestora.

Modul de lucru

Analiza constă dintr -un proces din şase paşi. (Fig.6)Paşii 1-4 sunt realizaţi pentru fiecare sector definit ca sector critic. După cefuncţiile de bază şi procesele esenţiale au fost identificate pentru fiecare sector, paşii 5şi 6 contribuie la definirea dependenţelor din alte sectoare şi la evaluarea modului derealizare a dependenţelor.

Pasul 1: Identificarea funcţiilor esenţiale ale unui sector



Pentru identificarea funcţiilor de bază, este necesară o înţelegere a şirului devalori şi funcţii dintr -un sector.

Pasul 2: Identif icarea necesare pentru executarea funcţiilor Informaţiile necesare pot fi împărţite în două grupuri funcţionale: (1) Informaţii de

management al unei afaceri: definim tipul de informaţii de care trebuie să dispunem tot

timpul pentru asigurarea funcţionării sectorului, (2) Managementul sistemului şi alserviciilor: definim disponibilitatea sistemelor, performanţele etc. şi definim funcţiile ITnecesare.

Pasul 3: Identificarea componentelor ICT de bază

Acest pas caută să identifice “punctele singulare de eşec” şi componenteleimportante din infrastructura individuală a unui sector.

Pasul 4: Stabileşte interdependenţele dintre componentele ICT de bază

Se definesc dependenţele dintre componentele de bază ale unei infrastructuri,dependenţe care pot să conducă, în cascadă, la întreruperi şi erori.

Pasul 5: Stabileşte dependenţele din partea altor sectoare Gradul de dependenţă poate fi determinat prin identificarea nodurilor şi legăturilor

dintre sectoare. Următoarele întrebări trebuie să primească un răspuns:

Ce dependenţe există între funcţiile diferitelor sectoare? Ce dependenţe există între componentele infrastructurii diferitelor sectoare?

Pasul 6: Stabilirea gradului de dependenţăPentru î nţelegerea corectă a interdependenţelor, definim gradul de dependenţă

dintre sectoare pentru fiecare interfaţă ţinând cont de următoarele criterii: Tipul de dependenţă: există o dependenţă funcţională sau directă? Impactul dependenţei: ce se întâmplă dacă funcţiile sunt parţial disponibile? Timpul de transfer: cât timp trebuie să treacă până când impactul devine vizibil? Redundanţa: ce tip de redundanţe există între diferitele sectoare?

ANALIZA INTERDEPENDENŢELOR DIMENSIONALE

Domeniul de aplicaţie Această analiză se raportează la şase dimensiuni ale interdependenţelor

infrastructurii.Obiective

Analiza dimensională a interdependenţelor este o descriere aproximativă pentruidentificarea uşoară, înţelegerea şi analiza acestora. Ea furnizează baza pentru

înţelegerea unui set de interdependente ortogonale în sistemul metric. Vizează unnumăr mare de factori şi condiţii de sistem reprezentaţi şi descrişi î n termenii celor şase

Pas 6

Gradul dedependenţă

Pas 4

Interdepen-denţa între

compo-nenteleICT primare

Pas 3

Compo-nentele ICT

primare

Pas 2

Informaţiiledorite pentru

executiafuncţiilor

Pas 1

Funcţii primare

Pas 5

Dependenţede alte

sectoare

Într-un sin ur sector Între sectoare

Fi .6. Pa i în analiza rocesului i tehnolo iei



dimensiuni. (Fig. 7)Dimensiunile includ următorii factori care afectează operaţiile asupra

suprastructurii: factori tehnici, economici, de afaceri, social/politici, legali, politica publică,sănătate şi securitate. Cele şase “dimensiuni” care pot fi remarcate:

Mediul înconjurător , Cuplare / Răspuns;

Caracteristicile infrastructurii; Tipuri de interdependenţe; Starea operaţiilor; Tipuri de întreruperi.

Prin mediul înconjurător înţelegem tot ceea ce influenţează funcţionarea normalăa sistemului, operaţiile de urgenţă executate în cazuri de întreruperi sau în perioade desolicitare maximă, şi operaţiile de reparaţii şi revenire a sistemului. Rangul de cuplare alinfrastructurilor influenţează modul lor caracteristic de operare. Unele legături sunt mailejere şi relativ mai flexibile, în timp ce altele sunt stricte, fără flexibilitate faţă de sistem,cu un răspuns strict care pot să exacerbeze probleme apărute propagându-le chiar de lao infrastructură la alta. Aceste legături pot fi fizice, cibernetice, referitoare la locaţiigeografice sau logice. Infrastructurile interdependente au de asemenea o arie spaţialămare, caracteristici temporale, operaţionale şi organizaţionale care pot să afectezecapacitatea lor de adaptare la schimbarea condiţiilor din sistem.

În final, interdependenţele şi topologiile infrastructurilor rezultate pot creaingenioase interacţiuni şi mecanisme de răspuns care adesea conduc la răspunsurineaşteptate în timpul unor întreruperi (disfuncţionalităţi).

Interdependenţa dimensiunilor

Mediu:- Afaceri

- Economic- Legislativ- Securitate publică - Securitate- Sănătate - Tehnic- Social- Politic

Caracte-ristica

infrastruc-turii:- Organi-zational- Operati-onal- Temporal- Spaţial

Stareaoperaţiilor:

- Normal- Reparare- Restaurare- Întrerupte- Solicitate

Tip dedefecţiuni:

- Cauzecomune- În cascadă - În creştere

Tipuri deinterdepen-

dente:- Fizice- Virtuale- Logice- Geografice

Tip decompor-

tament:- Adaptiv- Inflexibil- Liniar- Complex- Slab- Rezistent

Fig.7. Interdependenţa dimensiunilor



CONCLUZII

În general, un număr mare de metode şi modele sunt disponibile pentru analizainformaţiilor critice al infrastructurii. Oricum, fiecare cercetare sau element metodologic

poate fi aplicat doar anumitor aspecte ale unei probleme, ceea ce înseamnă că nu estesuficientă o singură metodă pentru a putea acoperi aria de presiuni efectuate asupraCIIP. Acest lucru necesită o combinare a diferitelor elemente metodologice ceea ce aufăcut toate ţările studiate.

Aplicaţiile şi gradul de complexitate ale metodelor şi modelelor diferă mult. Unelese bazează pe sistemele tehnice sau pe reţele, altele pe elemente singulare saucomponente din cadrul infrastructurii sistemului, sau pe analiza unei infrastructurisectoriale, în timp ce marea majoritate încearcă să se raporteze la complexitateainfrastructurii critice a întregului sistem. Această diversitate face foarte dificilăcomparaţia metodelor.

Eforturile Naţionale pentru analiza CII

Ţări precum Australia şi Canada şi-au dezvoltat un proces complex din mai mulţipaşi pentru protecţia infrastructurii, în conformitate cu propriile lor nevoi. Oricum,cercetările efectuate pentru condiţii specifice în analiza CII sunt sărace şi majoritateaelementelor metodologice derivă din analiza şi modelarea riscurilor.

În toate ţările au fost implicaţi cu precădere specialişti. De aici rezultă căelementele cruciale le deţin specialiştii care adesea sunt în afara sferei de influenţă astatului. De asemenea, instituţiile academice au rol minor în comparaţie cu experţii şiconsultanţii din domeniul CIIP.

În Australia, un proces specific de apărare în mai mulţi paşi a fost dezvoltatimplicând un număr variat de experţi din industrie şi apărare.

În Canada, un prim efort rezultat în structurarea profilelor infrastructurii, includeefectuarea de studii critice privind probabilitatea de apariţie a unui eşec. Pe aceastăbază, a fost dezvoltat un proces cuprinzător de protecţie a infrastructurii cu atenţiedeosebită pe identificarea interdependenţelor. Matricea dependenţelor şi algoritmiisunt folosiţi pentru măsurarea şi modelarea efectelor de undă a dependenţelordirecte.

În Olanda, doi consultanţi au tratat prin segmente infrastructura ICT şi Internet-ul. Aceste studii dezvoltă un număr de modele prin care clarifică rolul participanţilorimplicaţi, la fel ca sporirea gradului de înţelegere a interdependenţelor.

În Norvegia, programul guvernamental pentru protecţia societăţii foloseşte un modelmulti-criterial pentru efectuarea analizei de tip cost-eficacitate, pentru studiereavulnerabilităţilor în sistemele de telecomunicaţii şi sugerarea costurilor efective alemăsurilor de reducere a acestor vulnerabilităţi.

În Elveţia, analiza pas cu pas cu şapte elemente rămâne ipotetic el ne-avândimplementări cantitative. Oricum, schiţa procesului şi analizei tehnologice a fostrealizat pentru diferite sectoare de reprezentanţele InfoSurance.

În SUA, cercetările privind inderdependenţele afacerilor sunt în continuă dezvoltare.Simulările pe calculator sunt dezvoltate de curând, pentru prognoza interacţiunilordintre elementele critice ale infrastructurii. Pe lângă Departamentul Energiei care



este foarte activ în acest domeniu, un apreciat proces privind vulnerabilitatea a fostdezvoltat de CIAO pentru departamentele şi agenţiile federale civile.

Toate ţările sunt în stadii foarte diferite în dezvoltarea propriilor CII iar forţa demuncă şi resursele alocate variază foarte mult. Multe ţări recunosc necesitatea pentru ocercetare mai amănunţită şi o cuprinzătoare dezvoltare a modelelor şi metodelor de

analiză a diferitelor aspecte ale propriilor CII naţionale.

Modele pentru analiza CII Toate obiectivele metodelor şi modelelor prezentate au rolul de a spori

securitatea sistemelor informaţionale. În plus, ele diferă foarte mult. În principal,cercetările tehnice tind să asigure că obiectivele securităţii IT, şi anume disponibilitatea,integritatea, confidenţialitatea şi accesibilitatea sunt permanent realizate.

Alte cercetări, cum ar fi modelele pe niveluri şi matricea interdependenţelor suntbine descrise şi servesc adesea la ilustrarea interdependenţelor. Metodologia analizeiriscurilor apare sub diferite forme, unele dezvoltate special pentru analiza CII (cum ar fiIRAM, modelul riscurilor al lui Leontief). În general, analiza riscurilor are un grad mare deaplicabilitate, de la identificarea riscurilor şi impunerea nivelului sistemelor tehnice pânăla analiza unor infrastructuri complexe ale sistemelor.

Una din problemele presante dar mai puţin înţeleasă în CIIP suntinterdependenţele. Analiza dimensională a interdependenţelor, de exemplu, care descriediferite tipuri şi caracteristici ale interdependenţelor reprezintă un punct de pornirepentru viitoarele cercetări. Modelele sectoriale descriu adesea interdependenţele dintresectoare şi de asemenea pot să constituie baza pentru alte analize.

Matricile Dependenţelor şi Independenţelor pot servi ca unelte pentruinterdependenţele între diferite sectoare. Alte cercetări nu se referă la acest subiect: deexemplu, modelele de securitate tehnică cu un anumit grad de protecţie pot preveniameninţările pentru sisteme mari şi complexe şi aici nu sunt implicate interdependenţele.Metodologia de analiză a riscurilor în general de asemenea omite interdependenţeledirecte. Oricum, modelul modificat al lui Leontief privind riscurile includeinterdependenţele prin prognozarea efectelor schimbărilor unui element al infrastructuriicu altul.

Tabelul următor prezintă o imagine finală a celor mai importante modele şimetode discutate, aria lor de aplicaţie şi obiectivelor lor.



Modele pentru analiza CII

Model / Metodă Zona de aplicabilitate ObiectivMatricea de dependenţă/

interdependenţă Sistemul unei infrastructuricomplexe, care vizează în specialinterdependenţele

Vizualizarea puternicelorinterdependenţe între sectoare

Analiza interdependenţeidimensionale

Sistemul unei infrastructuricomplexe, care vizează în specialinterdependenţele

Identificare, înţelegere şi analizainterdependenţelor

Modelare holografică

ierarhică

Sistemul unei infrastructuri

complexe

Modelarea la scală mare, sisteme

complexe

Profile de infrastructură Infrastructură individuală Descriere detaliată asupra

diferitelor caracteristici ale

infrastructurii

Modelul de Analiză a

Riscului Infrastructurii

(IRAM)

Componenta infrastructurii sausectorul unei infrastructuri întregi

Abordarea analizei risculuispecial creat pentru analiza CIP

Modelul Leontief alriscurilor

Sisteme cu infrastructură individualăsau complexă, care vizează înspecial interdependenţele

Prevederea efectului unui aspectal schimbării asupra altuia

Analiza procesului şi

tehnologieiSector (izolat) al unei infrastructurişi interdependenţele între sectoare

Identificarea dependenţelor între

diferite nivele ale sectorului şiîntre diferite sectoare

Metodologia analizei

riscului

De la nivelul sistemelor tehnice la

sistemele cu infrastructuri maicomplexe

Identificarea riscurilor, riscurievaluate şi paşii pentru reducerea

riscurilor la un nivel acceptabil

Tehnica scenariului De la nivelul sistemelor tehnice la

sistemele cu infrastructuri mai

complexe

Generarea de scenarii pentru a

determina strategiile

Analiza sectorului Sectorul unei infrastructuri

individuale

Mai buna înţelegere afuncţionării sectoarelor

Model pentru sector saunivel

Părţi ale sistemelor cu infrastructură

complexă sau totalitatea

infrastructurilor critice ale unei ţări

Vizualizarea interdependenţelor

între elementele unei

infrastructuri

Modele de securitate ITtehnice

Nivelul sistemelor tehnice Protecţia optimă a bunurilor IT,

locale, din natură

Evaluareavulnerabilităţii

De la nivelul sistemelor tehnice lasistemele cu infrastructură mai

complexă

Fie partea analizei riscului(expunerea la ameninţări), fie o

combinaţie între analiza riscului

şi evaluarea managementului deurgenţă

Schema profiluluivulnerabilităţii

Sisteme cu infrastructură individualăsau complexă, care vizează în

special interdependenţele

Reprezentare vizuală a gradelor

de vulnerabilitate



ANEXA 2

EXEMPLU DE MODELARE MATEMATICA A RISCURILORINCIDENTELOR DE SECURITATE CORELATE CU OPTIMIZAREA

COSTURILOR ASOCIATE

1. DEFINIRE NOŢIUNI TEORETICE

Vom nota cu: : variabila aleatoare (v.a.) ce defineşte durata între două incidente de

securitate consecutive ce pot apare la un echipament (sau bunuri) informatic.Vom considera că incidentul de securitate apare în mod întâmplător cu o anumită

funcţie de repartiţie discretă, cu valorile 0,1,2,3,...., ca multipli ai unui interval de timp Tfixat (ex. o zi, o săptămână, o lună etc.) şi cu probabilităţile n p .

Repartiţia pentru fiecare tip de incident de securitate se poate deduce cu

aproximaţie din baza de date care înregistrează aceste tipuri de evenimente. Prin urmare, pentru cazul discret, vom defini următoarele relaţii:

1,01

n

nn p p

nn P

(1)

Prin apariţia unui incident de securitate, asupra unui echipament informatic, esteposibil ca acesta să nu mai corespundă din punct de vedere tehnic scopului iniţial (ex.afectarea hard-ului, a memoriilor calculatorului, afectarea hardisk-ului etc.). În aceastăsituaţie spunem că echipamentul informatic devine nereparabil sau scos din uz şi trebuie

înlocuit. Pentru alte tipuri de incidente de securitate, ce acţionează asupra unui

echipament informatic, se pot lua anumite măsuri astfel încât echipamentul să revină înstarea iniţială (este cazul acţiunii anumitor viruşi informatici care pot fi detectaţi şi scoşidin funcţionare). Incidentele din această clasă pot fi clasificate ca fiind minore şi majore.

Un echipament informatic (operabil din punct de vedere tehnic) care poate suferiun incident îl putem descrie ca având o funcţie de repartiţie a incidentelor t F , unde cut vom nota timpul. Această funcţie o putem reprezenta din punct de vedere matematic,astfel:

,0, t t P t F (2)

Funcţia t F reprezintă probabilitatea ca echipamentul informatic să funcţionezecel mult t unităţi de timp după instalare (t poate fi considerat continuu sau discret). Înaceastă situaţie, putem scrie:

n

i

i

t n

n

N n pt F

N n pt F

0

,

,

(3)

Vom defini mărimea coeficient de securitate al unui echipament informatic t S cafiind probabilitatea ca echipamentul să funcţioneze fără incidente de securitate înintervalul de timp t ,0 . Atunci:



t F t S 1 (4)Pentru cazul discret, vom avea:

1

,

ni i

t n

n

pt S

N n pt S

(5)

Dacă F are o funcţie de probabilitate f, atunci rata incidentelor de securitate r lamomentul t este:

t F

t f

t S

t f t r

1 (6)

Mărimea dt t r reprezintă probabilitatea ca un echipament la un moment t să aibăun incident de securitate în intervalul de timp dt t t , .

Pentru cazul discret:

N n

nS

pr n

n ,1

(7)

Se observă că: nS nS pn 1 (8)

În această situaţie, se poate demonstra imediat că:

1

1

nS

nS nS r n (9)

Urmare a relaţiilor de mai sus, putem scrie că:

n

i

inn

n

i

i

n

i

i

r r p

r n F

r nS

1

1

1

1

11

1

(10)

Vom defini durata medie pentru viaţa unui echipament informatic fără incidentede securitate, astfel:

a) în cazul continuu

t dF E t D

t tdF E

2

2

(11)

b) în cazul discret

2

11

22

01

nn

n

nn

n

nS pn D

nS np E

(12)



Vom presupune că duratele între două incidente de securitate sunt v.a.independente şi identic repartizate. În această situaţie, momentul apariţiei celui de -al n-lea incident este:

n

i

in

1

(13)

Se observă că:

N k nik P i P k P

pn P n P

n

k

i

nn

n

,2,0

1

11

(14)

Vom nota cu t numărul de incidente în intervalul de timp t ,0 şi atunci:

t daca

t dacat n n

t

1

1

..........0

........:max

(15)

Se notează cu 1,0, nk p k probabilitatea ca numărul incidentelor în intervalul

de timp n,0 să fie egal cu nk . Atunci:

n

i

i

k

n

k

n

nn

p p p

nS p p

0

1

1

0 1

(16)

Rata apariţiei incidentelor de securitate se poate scrie şi sub altă formă, date fiindproprietăţile derivatei logaritmului:

dt

t S d t r

ln (17)

şi atunci prin integrare:

10.......exp0

S cudx xr t S

t

(18)

Prin derivare rezultă:

t

dx xr t r t f 0

exp (19)

De asemenea:1. media v.a. a duratei între două evenimente consecutive este:

0

dt t S E (20)

2. iar dispersia v.a. a duratei între două evenimente consecutive devine:

2

00

2 2

dt t S dt t S t D (21)

2. MODELUL MATEMATIC AL RISCURILOR ASOCIATE INCIDENTELOR DESECURITATE

În continuare vom a analiza modelul riscului prin prisma a 2 politici de securitate.Măsurile de securitate se pot lua fie imediat la apariţia unui incident de securitate, fieperiodic după verificarea echipamentului la un interval de timp pe care îl vom nota cu .



Acest interval de timp poate fi asociat momentului schimbării cheilor de criptare,schimbării algoritmilor de criptare, testarea echipamentului împotriva viruşilor etc.

1. Politica A.Vom studia cazul în care măsurile de securitate sunt luate periodic. În acest caz,

chiar dacă un incident de securitate poate apare, măsurile de securitate sunt luate la

momentele de timp prestabilite. Este situaţia în care incidentele de securitate suntdescoperite la momente prestabilite de timp când se face testarea, din punct de vedereal securităţii, a echipamentului.

Vom nota cu perioada de timp maximă pentru care un echipament îlconsiderăm sigur din punct de vedere al securităţii.

Durata între două măsuri de securitate consecutive o vom nota cu şi o vom

definii ca fiind: ,min (22)

Pentru acest caz securitatea echipamentului este:

t pentru

t pentrut S t P S

.......0

0.......,min (23)

Funcţia de repartiţie a intervalului măsurii de securitate este:

t pentru

t pentrut F F

......1

0...... (24)

Prin definiţie media şi dispersia duratei intervalului de securitate se poate scrie cafiind:

0

dt t S E (25)

0

2

0

2 2 dt t S dt t S t D (26)

În continuare vom determina costul optim prin implementarea politicii de securitate.Vom nota cu:- a: costul implicat de măsurile de securitate luate la apariţia unui incident (măsurile

sunt luate periodic);- b: costul implicat de măsurile periodice de securitate.Vom defini:

A(t) : numărul de incidente de securitate în intervalul t ,0 .

B(t) : numărul măsurilor periodice de securitate în intervalul t ,0 .

Costul mediu în intervalul de tip t ,0 este:

t B E bt A E at C 1 (27)

Costul mediu pe unitatea de timp se poate scrie:

t

t B E bt A E a

t

t C 1 (28)

Prin aplicarea politicii de securitate se urmăreşte minimizarea costurilor necesareimplementării acesteia. Rezultă că:

11 min~

C C (29)Se demonstrează că:



0

1

~

dt t S

S b F aC (30)

2. Politica B.V

om studia cazul în care măsurile de securitate sunt luate periodic şi suplimentarla apariţia unui incident de securitate. Vom nota cu:- a: costul implicat de măsurile de securitate luate imediat la apariţia unui incident; - b: costul implicat de măsurile per iodice de securitate.

Vom nota cu 2C costul mediu determinat de implementarea politicii de

securitate B în intervalul de timp ,0 .De asemenea, vom nota cu:

- H funcţia de reînnoire (având semnificaţia numărului mediu al măsurilor desecuritate luate în intervalul de timp ,0 );

- h densitatea de reînnoire asociată funcţiei de reînnoire a funcţiei H .Din teoria matematică a proceselor de reînnoire avem următorul rezultat:

b H aC

2

(31)

Vom pune condiţia de minimizare a costului măsurilor de securitate şi anume: 0)( 2 C (32)

rezultă că:

a

b H h (33)

Vom nota cu ~ soluţia ecuaţiei de mai sus şi o vom înlocui în relaţia prin care amdefinit costul, rezultând următoarea relaţie:

~~2 haC (34)

Interpretarea acestui rezultat ne conduce la următoarele observaţie: 1. minimizarea costurilor măsurilor de securitate prin aplicarea politicii B depinde în

cea mai mare măsură de costurile rezultate la apariţia incidentului de securitate.

Analiza Si Modelarea Riscului

Documents

Transcript of Analiza Si Modelarea Riscului