Protectia si Securitatea Sistemelor Informationale

7/30/2019 Protectia si Securitatea Sistemelor Informationale

1/16


2/16

1. Prezentarea generala a organizatiei si a sistemului informatic

Organizatia care face obiectul acestui studiu de caz privind securitatea siprotectia sistemului informational este un institut de cercetare in domeniulchimiei macromoleculare.

Organizatia beneficiaza de urmatoarele spatii:- laboratoare de sinteza (72);- laboratoare de caracterizare (37);- birouri (15);- o sala de conferinte;

- o biblioteca;- alte spatii auxiliare (depozite, arhive, laborator server retea etc.).

Departamentele din cadrul acestui institut sunt exemplificate in cele ceurmeaza, astfel:- Departamentul Polimerilor Naturali;

- Departamentul de Polimeri Bioactivi si Biocompatibili;- Fotochimie;- Policondensare;

- Departamentul Polimerilor Functionali;- Departamentul Polimerilor Electroactivi;- Materiale Polimerice;- Polimeri Anorganici;- Departamentul de Poliaditie;- Chimia Fizica a Polimerilor;- Fizica si structura polimerilor;- Departamentul de Resurse Umane si Administratie.

Organizatia este condusa de un director (profesor doctor de specialitate) sidoi vicepresedinti. De asemenea, fiecare departament are in frunte un profesordoctor in domeniu, cu exceptia celui de resurse umane si administratie, de caresunt responsabili doi absolventi de studii economice.

Numarul total al angajatilor este de 282 : cercetatori stiintifici 108, asistenti aiacestora 49, personal auxiliar 66 angajati, personal tehnic - 59.

2


3/16

Numarultotal de calculatoare din institut este de 243, din care:- 228 PC-uri;- 15 laptop-uri.

Structura pe departamente este urmatoarea: departamentele de cercetaredetin 75% din echipamentele de calcul, iar restul de 25% apartine departamen-tului de resurse umane si administratie.

Alte echipamente IT din cadrul organizatiei (scannere, imprimante etc.)

sunt folosite in comun (partajate in cadrul retelei intranet) la nivel dedepartament.

Computerele sunt legate in retea intranet si Internet (80% dintre acestea).Restul de 20% reprezinta laptopuri care nu sunt conectate la retea, ci sunt folosite

pentru redactari articole stiintifice, proiecte si teze de doctorat, prezentariproiecte si lucrari la diferite seminarii si conferinte din localitate sau din afara ei.

Lucrul cu aceste dispozitive este permis atat in interiorul organizatiei, cat si inexteriorul acesteia.

Sistemele de calcul se folosesc de catre toti angajatii organizatiei, in functie despecificul muncii lor, in urmatoarele scopuri: stocare informatii (carti in formatelectronic, articole stiintifice), prelucrarea datelor experimentale, tehnoredactare(articole, referate, recenzii, carti etc.), navigare internet (in scopul documentarii

si pentru comunicari stiintifice), corespondenta electronica (e-mail), precum sipentru gestionarea resurselor institutului.

Reteaua intranet prezinta un singur server amplasat in camera speciala;

topologia retelei este de tip bus (magistrala comuna), iar transmisia de date dinretea se realizeaza pe baza standardului TCP/IP (Transport Control Protocol/Internet Protocol). In retea exista si mail intern.

Arhitectura magistrala comuna

3


4/16

Principalele aplicatii informatice folosite in cadrul organizatiei:- Microsoft Office;- Nero StartSmart;- Adobe Reader 7.0;

- SPSS;- WinMentor;- Internet Explorer;- Lotus;- alte aplicatii tehnice dezvoltate de specialisti ai institutului.

2. Protectia si securitatea informatiilor vehiculate in institut

Calculatoarele au patruns in activitatilor tuturor tarilor, si aceasta inca de multtimp, devenind instrumente indispensabile pentru desfasurarea diferiteloractivitati. Aceste dispozitive au avut un impact global asupra vietii de zi cu zi,asupra modului de desfasurare a afacerilor, de comunicare si de gestiune ainformatiei, in general.

Aparitia calculatorului, a deschis, inevitabil, si posibilitatea aparitiei unei

game largi de actiuni ilegale, cu un caracter extrem de sofisticat, el putand fifolosit si la comiterea sau la facilitarea comiterii unor infractiuni din cele maidiverse, cum ar fi: frauda informatica, falsul informatic, prejudiciile aduse datelorsau programelor pentru calculator, sabotajul informatic, accesul neautorizat,interceptarea neautorizata sau reproducerea neautorizata de produse software,alterarea datelor sau programelor, spionajul informatic, utilizarea neautorizata aunui echipament informatic sau a unui program protejat, plantarea de virusiinformatici, traficul cu parole obtinute ilegal etc. Astazi, putem asemanaInternetul cu o jungla informationala, in care, pentru a supravietui

numeroaselor atacuri, o organizatie trebuie sa aiba un sistem de securizare ainformatiilor foarte bine pus la punct si, in acelasi timp, flexibil, deoareceamenintarile isi schimba forma si modul de operare cu o viteza uimitoare.

4


5/16

2.1 Securitatea la nivel fizic a echipamentelor IT din organizatie

Fiecare laborator/birou din fiecare departament al organizatiei estesecurizat astfel: camere video de supraveghere, senzori de miscare activati la

terminarea programului in incinta, yale (cu doua seturi de chei: unul la portar, iarcelalalt la administratie de unde, responsabilii pe departamente le iau in fiecarezi, la inceperea programului de lucru). Exceptie fac doar laboratoarele in care segasesc echipamente speciale, instalatii tehnice moderne si unice in institut,substante rare, a caror manevrare necesita foarte mare atentie si trebuie realizatade specialisti, sau substantele periculoase a caror instrainare ar putea aduce

pagube atat institutului cat si populatiei in general, care prezinta masurisuplimentare de securitate: dublurile cheilor nu sunt acordate portarului, ci numaisupervizorului departamentului respectiv, in a carui prezenta doar se realizeaza

accesul persoanelor autorizate; autentificare acces in incaperea respectiva princod sau cartela de acces.

Au existat si exista cazuri in care echipamentele IT din cadrul organizatieise folosesc in scop personal ( vom exemplifica acest fapt in cadrul subcapitolului2.3), existand bineinteles riscul de a deteriora dispozitivele folosite, de a le faceinutilizabile pe viitor chiar. Spre exemplu, daca un bursier al institutului doreste

sa-si listeze teza de doctorat sau un proiect, articol mai amplu, va fi autorizat safoloseasca o imprimanta a institutului, insa va trebui fie sa procure hartia si tusulnecesare, fie sa achite valoarea acestora in bani. Incidente majore la acest nivel

fizic (furt de echipamente/suporturi informationale, deteriorare etc.) nu au fostsemnalate, insa putem mentiona o singura vulnerabilitate: se mai imprumutaunilor angajati diverse echipamente IT (laptop, imprimanta) numai pe baza deincrede-re, insa chiar daca acest lucru are un fundament puternic, exista riscuri cear putea eventual duce la alterarea sau disparitia acestor sisteme din patrimoniulorganizatiei (furt de catre angajat sau o alta persoana necunoscuta, cunostinteleminime sau lipsa lor in manevrarea sistemului de calcul/echipamentuluirespectiv).

2.2 Securitatea informatiilor stocate in laptopurile institutului

Organizatia are in posesie un numar de 15 laptopuri destinate tehnore-dactarii de articole, referate, proiecte, teze de doctorat, prezentarii acestora ladiverse evenimente (sesiuni stiintifice, conferinte, seminarii etc.), precum si pre-lucrarii datelor experimentale obtinute in laborator, pe cale practica. Lucrul cuaceste sisteme este permis atat in incinta institutului, cat si in afara ei.

Angajatii/bursierii organizatiei, ce se folosesc de laptop in exteriorul spatiilor din

5


6/16

institut, nu au semnat in prealabil nici un gen de document ce ar fi reprezentat oasigurare pentru institut in cazul anumitor daune sau chiar disparitiei sistemuluide calcul. Consider acest lucru o vulnerabilitate a securitatii echipamentelor IT,deoarece iesirea din unitate a dispozitivului si acordarea acestuia unui angajat serealizeaza pe incredere si numai pe incredere, neavandu-se in vedere probabili-tatea (fie ea si foarte mica) ca acel echipament sa sufere anumite prejudicii, sadevina inutilizabil, sau chiar sa dispara (furt), in ciuda responsabilitatii siseriozitatii angajatului respectiv.

Deoarece organizatia este conectata la Internet si comunicarea pe maridistante fiind astfel posibila, s-a renuntat la ideea conectarii laptopurilor si, prinurmare, acestea din urma nu prezinta nici un tip de conexiune (intranet sauInternet), stiut fiind faptul ca in domeniul retelisticii wireless exista inca mari

probleme la nivelul securitatii.Firma producatoare (TOSHIBA) acorda cumparatorilor, oricare ar fi ei

(distribuitori de calculatoare, persoane fizice sau juridice ce achizitioneazaechipamente IT in vederea desfasurarii activitatii stocare informatii, prelucraridate etc.), si unele din cele mai intalnite si necesare programe (Microsoft Office,

Nero, Total Commander etc), cu licenta, insa le protejeaza impotriva instalarii lorin alte dispozitive de calcul (cu exceptia celor produse de Toshiba, care suntrecunoscute prin program); acestea pot fi copiate insa, fara a fi instalate, dar nufunctioneaza la parametrii normali. Un astfel de caza fost semnalat, atunci candun doctorand a incercat sa instaleze un astfel de program pe PC-ul de acasa, insanu a reusit, si a sfarsit prin a-l copia pur si simplu. Masuri insa nu prea pot fi

luate in legatura cu acest caz sau altele asemanatoare. O alta sursa de pericole o constituie procesul invers, si anume copiereasau instalarea altor programe software in laptopuri, cu scopul facilitarii/imbuna-tatirii prelucrarilor de date experimentale. Un program ce este preluat dintr-osursa nesigura, neverificabila, poate introduce in sistem virusi, viermi ce ar puteaataca, modifica, sterge continutul informational al computerului, iar acest lucrureprezinta un adevarat pericol, mai ales in redactarea, stocarea, prelucrareadatelor unei teze de doctorat, de a caror corectitudine si procesare coerentadepinde totul. Vom da ca exemplu urmatorul caz: un angajat a instalat programul

Winamp pe laptop, preluat de la un prieten, si a introdus o data cu programul siun virus ce realiza inchiderea tuturor programelor, documentelor, in timpulsesiunii de lucru, exact dupa 30 de secunde. A fost necesara o scanare acomputerului cu programul antivirus si stergerea fisierului infectat.

Desigur, este instalat un program anti-virus (Kaspersky AntiviralToolkit Pro), care in ciuda faptului ca este o solutie antivirus eficienta, prezintadoua mari vulnerabilitati, ce tin de organizatie si de gestionarea personala aacestui program si nu de program in sine: versiunea este ceva mai veche (2005)si, neexistand conexiune Internet, nu-si poate realiza update-ul periodic sieficient.

6


7/16

Altepericole ce ameninta confidentialitatea si integritatea datelor stocate inlaptop sunt:

- Concurenta;- Mentalitatea angajatilor;- Lipsa de fairplay;- Insuficienta instruirii utilizatorilor.

In institut, exista mai multi doctoranzi bursieri ce isi desfasoara activitatea de

cercetare in domeniu, si, daca nu au teme din acelasi domeniu chiar, cel putin seintampla ca unele sa fie asemanatoare, si niste informatii in plus sau rezultateintermediare niciodata nu strica, asa ca unii se mai inspira, daca au sau li seofera ocazia, din teza colegilor. Cum se poate intampla aceasta? Simplu: avandin vedere faptul ca instruirea angajatilor/bursierilor in domeniul securitatiiinformatiilor si informaticii, in general, este minima sau chiar lipseste, acestia nu

isi protejeaza optim datele si printr-o simpla neatentie, pot fi vizualizate usor. Aexistat un astfel de caz, cand un doctorand, in timp ce-si introducea datele celuimai recent experiment realizat, a fost chemat de profesorul indrumator pentruacordare de indicatii, si, in graba, a uitat sa inchida documentul; la intoarcere si-asurprins un coleg incercand sa-i vizualizeze ultimele date introduse, insa dandu-siseama ca timpul scurs de la plecarea sa a fost mult prea scurt si datele n-au fostsupuse inca prelucrarii finale, nu a sesizat conducerea departamentului, ci si-amustrat doar colegul si, bineinteles a devenit mult mai prudent. Fiecare persoanaisi creeaza propriul contpe laptop, atunci cand lucreaza, protejat de oparola. In

acest domeniu iarasi, regasim drept vulnerabilitate,stabilirea parolelor, care,pentru a nu fi uitate reprezinta date personale ale posesorului contului (cel maifrecvent prenumele). Un alt lucru pe care as dori sa il mentionez aici este ca, decele mai multe ori, nu se realizeaza copii de siguranta ale documentelorrealizate pe laptopuri, iar acest lucru tine tot de slaba instruire a personalului.

In concluzie, informatiile stocate, prelucrate, pe aceste sisteme portabilesunt fie confidentiale (proiecte, referate, articole, la care lucreaza majoritatea

personalului unui departament de cercetare), fiestrict secrete (teze de doctorat, lacare au acces,in primul rand intreprinzatorul cercetarii doctorandul, si apoi

profesorul-indrumator; rareori se intampla ca doctorandul sa primeasca ajutor side la alti profesori, insa chiar si atunci nu toate informatiile sunt divulgate).Existenta numai a acestor doua tipuri de informatii, ce tin strict de domeniul decercetare a institutului, se datoreaza faptului ca fiecare angajat lucreaza pe contul

propriu, protejat de parola. Ulterior, atat articolele, proiectele cat si tezele dedoctorat sunt declasificate si prezentate publicului avizat sau larg.

7


8/16

2.3 Securitatea in reteaua intranet si Internet a organizatiei cu exemplificari

de informatii aferente acesteia, atacuri si vulnerabilitati ale sistemului de

securitate.

Tipurile de informatii vehiculate in organizatie sunt din domeniul cercetarii,administratiei si gestionarii resurselor umane. Fara a avea pretentia sa acoperimvasta arie informationala a institutului, prezentam urmatoarea clasificare:

a) informatii publice accesibile oricarui utilizator (intern sau extern);nu produce efecte asupra institutiei, sau daca le produce acestea suntnesemnificative:

- adresa institutului, numarul de telefon si de fax, pagina web;- misiunea organizatiei;- presedintele organizatiei si vicepresedintii;

- structura organizatiei (numarul si denumirea departamentelor, precum sidirectorii acestora - nume, functie);

- programe de cercetare, articole publicate, carti editate;- proiecte contractate (denumire proiect, autoritatea contractanta, termen de

finalizare, provenienta subventiei si valoarea acesteia, institutele partenere daca este cazul, si unitatea conducatoare);

- teze de doctorat finalizate;- situatiile financiare anuale;- personal (numar si structura, nume, functii si eventual adrese e-mail);

- licente, brevete obtinute;- informatii privind istoricul institutului, premii obtinute de-a lungul

timpului, membri parteneri, membri de onoare;- descrierea activitatii generale de cercetare;- anunturi referitoare la desfasurarea anumitor evenimente de marca

(simpozioane, seminarii, conferinte, prezentari proiecte, comunicaristiintifice, aniversari etc.) data, locul, tema, participanti, conditii de

participare; cooperari internationale s.a ;- programul de functionare a institutului;

- planul de evacuare in caz de incendiu;- alte informatii aviziere;- posturile vacante din institut;- tematicile si bibliografia de concurs pentru ocuparea posturilor vacante etc.

Acest tip de informatii este afisat pe site-ul institutului, eventual la avizier.

b) informatii interne informatii care circula in interiorul institutului:- regulamente de ordine interioara;- informari cu privire la evenimente ce privesc strict institutul (sedinte

interne, consilii, testari ale angajatilor etc.), modificari ale anumitor

8


9/16

regulamente interne sau reglementari legale ce privesc in mod expresorganizatia;

- manual de utilizare al retelei intranet, manual proceduri de securitate alretelei intranet sau instructiuni ce au in vedere lucrul cu anumite programecreate de angajati specialisti ai institutului;

- numerele de telefon ale angajatilor, eventual adrese e-mail;- programarea concediilor si graficul zilelor libere;- schimbari ale politicii de acces la anumite resurse si/sau echipamente

informatice etc.

Aceste informatii sunt afisate la avizier, in reteaua intranet (vizibila doarutilizatorilor retelei); stocate pe CD-uri, DVD-uri, dischete, stick-uri, hartie,registre; incluse in diferite aplicatii informatice (manual proceduri).

c) informatii confidentiale (secrete) aici se includ informatiile care, datoritavalorii economice sau sociale, nu trebuie facute publice; dezvaluirea loraduce pierderi organizatiei:

- planul cladirii (pentru protejarea unor zone secrete);- clauze contractuale;- conturi si parole folosite pe serverele institutului (contabilitate, gestiune

etc.);- salariile, primele acordate personalului;- informatiile din interiorul departamentului, sau schimbate, prelucrate de

partenerii unui proiect de cercetare;- anumite articole, referate, lucrari la care participa un departament, sau un

numar restrans de persoane din cadrul institutiei;- produse nelivrate inca partii contractante sau in curs de prelucrare

(nedifinitivate) etc.Acestea sunt stocate pe HDD, CD-uri, DVD-uri, stick-uri, dischete,microfilme, hartie, registre, documente electronice parolate etc.

d) informatii strict secrete informatiile care, datorita valorii lor economicesau sociale, nu trebuie facute publice, fiind folosite de 1-3 persoane.Divulgarea, utilizarea sau distrugerea acestor date poate intra sub incidentaCodului Civil, Penal sau Legislatiei fiscale:

- configuratia si codurile sistemului de alarma;- conturi administrative de pe serverele de gestiune;- parolele utilizatorilor retelei intranet;- codurile sursa ale programelor proiectate de angajatii institutului;- date despre pregatirea profesionala si alte date personale ale angajatilor;- rezultatele de la evaluarile psihologice ale angajatilor;

- indicatori de performanta stabiliti pentru fiecare angajat;

9


10/16

- chei criptografice;- retete de productie ale unor produse realizate in interiorul institutului;- procese, informatii privind cercetarile de creare noi produse in curs de

realizare;- proiecte necontractate inca in curs de negociere;- teze de doctorat etc.

Aceste informatii sunt fie memorate, fie stocate pe harddiskul serverului, in

documente electronice parolate, dosare confidentiale, CD-uri, DVD-uri, stick-uri, microfilme, marcate corespunzator.

Protectia informatiilor se realizeaza, in functie de natura lor, la nivel general,prin intermediul totalitatii solutiilor de securitate a sistemului informationalimplementate de institut. Se mai realizeaza si o protectie la nivel de individ

sau departament a documentelor prin decizia de a le include in fisierele dinretea sau nu (share) si prin parole la deschidere, la modificare, stergere,dupa caz. De asemeni, pentru a asigura securitatea informatiilor secrete sistrict secrete, se mai apeleaza, in afara contractului de confidentialitate, laemiterea autorizatiei de acces la informatii secrete de serviciu, si la intocmirealistelor cu angajati autorizati sa aiba acces la astfel de informatii(departamentul de resurse umane si administratie).

AUTORIZATIE DE ACCES LA INFORMATII SECRETE DE SERVICIU

Seria _____________ numarul________________

Prin prezenta se autorizeaza accesul la informatii secrete de serviciu al

domnului/doamnei _______________________________, CNP_____________________,

angajat/angajata al/a unitatii noastre in functia de_________________________________.Prezenta autorizatie este valabila pana la data de______________________________.

Seful unitatii,

_______________________( semnatura si stampila) Seful structurii de securitate,

Functionarul de securitate,

________________________

10


11/16

LISTA

persoanelor care au acces la informatiile secrete de serviciu

Nr.crt. Numele si prenumele Seria si nr. autorizatiei Semnatura de primire a

autorizatiei

1 Seria A nr.01

2 Seria A nr.02

3 Seria B nr.01

4 Seria B nr.02

5 Seria B nr.03

6 Seria B nr.047 Seria B nr.05

Fiecare angajat dispune de o partitie pe server, neavand insa acces lapartitia C a calculatorului, pe care este instalat sistemul de operare si alteprograme (inclusiv firewall-ul si programul antivirus). Au insa acces si lainformatii pe care nu le pot modifica (informatii generale, politici desecuritate etc.) Accesul in retea este acordat prin intermediul contului si

parolei fiecarui utilizator in parte.Pana in luna mai a anului 2007, institutul folosea ca solutie antivirus

Kaspersky Antiviral Toolkit Pro, insa din cauza anumitor vulnerabilitati aleacestuia (interfata grafica nu prea usor de utilizat; multe alarme false;

nesilentios; intreruperea temporara si neanuntata a serviciului de update) afost inlocuit cu un nou sistem.

In prezent institutul foloseste ca program antivirus Symantec AntiVirusCorporateEdition 10.1, care ofera protectie in timp real pentru statii de lucrusi servere impotriva virusilor si spyware-urilor, adware-urilor si asigura

stergerea automata a acestora.Temporar, s-a instalat si programul de protectiepentru mesageria instant:BitDefender for Yahoo! Messenger(free software).Desi nu este un program necesar activitatii de cercetare in chimie, YahooMessenger si-a dovedit utilitatea, facilitand transmiterea de anunturi,

notificari, date stiintifice in timp real. Desigur, exista si dezavantajul utilizariiacestui serviciu in scopuri personale, dar nu reprezinta o problema majora.

11


12/16

Deoarece exista si conexiune Internet, s-a impus existenta unui sistem desecuritate intre intranet si Internet, care sa stabileasca ce pachete de date potcircula intre cele doua retele. Un asemenea siatem este firewall-ul, care esteimplementat pe un calculator de mare putere (serverul organizatiei in acestcaz) si care ruleaza un software special, fiind implantat intre reteaua

institutului si Internet. El examineaza fiecare pachet de date care trece dinintranet catre Internet si invers. Sistemul firewall este o aplicatie inteligenta,care poate fi setata sa blocheze accesul persoanelor neautorizate, dar sianumite servicii internet pentru utilizatorii interni. Institutul folosesteSymantec Client Firewall 5.1.1 , acesta blocand traficul Internet suspicios si

prevenind ca informatiile confidentiale sa fie trimise de pe calculator fara

cunostinta utilizatorului.Alte masuri de securitate:- realizarea de copii de siguranta (backup);- protejarea suportilor informationali la scriere;- parolare la dezarhivare/decriptare fisiere;- programul de e-mail intern incorporeaza facilitati de blocarea a mesajelor

de tip spam prin descrierea de catre utilizator a unor actiuni specifice deaplicat asupra mesajelor (in functie de anumite cuvinte cheie sau deadresele de provenienta);

- tehnologii de criptare a mesajelor (folosirea cheii publice dintr-un certificatpentru stabilirea unui canal de comunicatie criptat are ca rezultat faptul cadoar entitatea mentionata in certificat, cea care este si detinatoarea cheii

private, va fi capabila sa decripteze mesajele criptate).

12


13/16

Nu s-au raportat pierderi informationale majore bazate pepericolenaturale.

Erori insa au existat din abundenta, mai ales la nivel uman, neatentiaangajatilor si o slaba instruire a acestora, contribuind deseori la acest lucru.Oferim spre exemplu cateva situatii:

Un angajat, distras fiind de conversatia pe care o avea pe messenger,necoordonandu-si bine ferestrele deschise in acel moment, a trimis din

greseala, partenerului de conversatie, un intreg paragraf dintr-un articolpe care il redacta la momentul respectiv.

Un altul, ce avea atentia indreptata numai asupra unui joc pe calculator,a uitat complet de raportul la care lucra, uitand sa il salveze.

Un alt caz: in timpul lucrului la un proiect amplu, nerealizandu-se niciocopie de siguranta, si incercandu-se sa se plaseze o imagine indocument, neurmandu-se pasii necesari, intreg documentul a fost sters,ramanand doar imaginea.

Un angajat, aducand copilul in varsta de 6 ani in vizita la serviciu, atrebuit sa inlocuiasca tastatura calculatorului la care lucra, deoarececopilul a varsat din neatentie cana de cafea a mamei exact peste

tastatura sistemului de calcul.

In perioada 2005-2006 a fost necesara efectuarea a 6 reinstalari a SOWindows ca urmare a aciunilor angajatilor de instalare a unui softnelicenziat.Acestia au facut rost de soft-uri de ultima ora ce se aflau in

posesia unor amici si le-au instalat fara permisiunea administrato-rului. S-ar fi putut evita aceste incidente prin instruirea personalului siinterzicerea utilizarii oricaror materiale ce nu se afla in posesia legala aorganizatiei.

Un alt caz mai grav, ce a dus la pierderea tuturor informatiilor stocatepe o statie a fost defectarea HDD utilizatorul, nefiind atent la mutareahardului, l-a scapat.

Alte incidente mai puin importante referitor la lucru incorect a diferitoraplicaii, reinstalarea microsoft office i altele.

13


14/16

Exemple de virusi activati din neatentia angatilor:

dupa ce a fost reconfigurata reteaua interna (28 ianuarie 2004) unangajat, prin intermediul postei electronice, a importat virusul Novargcare inca nu avea antivirus elaborat.Pagubele au fost mari, pierzandu-se date importante de pe server.Acest virus este considerat periculos

pentru ca se raspandeste la cote alarmante, blocand serverele si adresele

de e-mail, ca efect al traficului mare generat. De asemenea, lasa incalculatorul infectat un back door (cal troian) prin care un hacker

poate avea acces la informatiile stocate pe sistemul infectat.

deschiderea unui e-mail din partea unei organizatii anti SIDA aprovocat o bombardare continua cu mesaje de la aceeasi adresa, facand

inutila orice actiune a utilizatorului;

un link activat pe messenger a provocat restartarea continua asistemului de calcul;

activarea unui alt link a provocat deschiderea in cascada a aceleiasipagini web, blocand orice alta actiune a utilizatorului.

In cazul defectiunilor in sistemul de alimentare cu energie electrica, nu

exista riscul de a pierde informatiile in curs de introducere/prelucrare, deoareceinstitutul beneficiaza de un UPS Uninterruptible power supply careactioneaza ca o baterie de rezerva la caderile de curent, oferind timp personaluluisa salveze documentele si sa inchida propriu sistemele de calcul aflate infunctiune. In perioada 2005 2006 a avut locpierderea unor rapoarte in formaelectronica, destul de importante pentru institut, ca urmare a lipsei UPS-ului.Restabilirea rapoartelor a adus organizatiei cheltuieli suplimentare.Lipsa UPS-

ului a determinat si arderea surselor de alimentare a 2 computere (n urmafluctuatiilor tensiunii electrice), care ns fiind procurate pe garanie au fostreparate gratuit. Daca institutul ar fi achizitionat UPS-ul odata cu incepereaactivitatii pierderea informatiilor nu s-ar fi produs deoarece cu ajutorul acestuia

sunt rezolvate variatiile de tensiune si de frecventa.

14


15/16

Dupa cum am vazut, cele mai multe pierderi informationale le provoacapersonalul (din neatentie, slaba instruire), insa institutul se confrunta si cuatacuri externe. Spre exemplu:

la 2 zile dupa efectuarea unei plati online (taxa de participare la unseminar din Turcia), utilizatorul primeste un mesaj cum ca plata nu afost finalizata din cauze tehnice, cerand repetarea acesteia. Acest lucrufiind suspect, s-a luat legatura cu institutia respectiva, cerandu-se

lamuriri. Evident, nu au fost probleme cu acea plata, mailul fiind defapt o incercare de a sustrage bani din contul organizatiei.

Un alt atac a fost sesizat in urma cu o luna de angajatii institutului

insarcinati cu administrarea retelei, posta electronica interna necesitando reproiectare, din cauza patrunderii in sistem a unui hacker (probabil

prin substituirea identitatii unui angajat).

Prima mare vulnerabilitate ar fi accesul la Internet al organizatiei. Desiun intranet nu necesita conectarea la Internet, acesta din urma ofera mariavantaje institutului ( in activitati de cercetare, parteneriate cu alte institute,informari academice, comunicare etc.). Orice legatura intre sistemeleinstitutului si Internet comporta un risc major din punct de vedere alsecuritatii. O data realizata aceasta legatura, orice navigator pe Internet poateteoretic sa comunice cu orice calculator din intranet care ruleaza TCP/IP.

Desigur, in consecinta, trebuie si sunt luate masuri de securitate (programantivirus, firewall etc.) dar niciodata nu se va putea reduce riscul in aceasta

problema la 0.O vulnerabilitate pe care o intalnim in acest caz o reprezinta chiarstabilirea

parolelor, carora majoritatea angajatilor nu le acorda prea mare atentie, si dinteama de a nu le uita stabilesc drept parole date personale, si cel mai frecventexemplu este prenumele. Aceasta se datoreaza, in special slabei instruiri a

personalului in ceea ce priveste riscurile informatice si modul de a le preveni.Mentionam aici si intervalele la care sunt schimbate parolele, ca o

vulnerabiliatate a sistemului: 4 luni in cadrul departamentelor de cercetare si 2luni in departamentul de resurse umane si administratie. O vulnerabilitate lanivelul parolelor creste simtitor sansele unei patrunderi neautorizate insistemul de securitate prin scanarea retelei (pentru a-i identifica structura), cesurvine in urma spargerii unei parole (prin programe speciale) si substituiriiidentitatii utilizatorului respectiv.De asemenea, efectuarea unor plati online este destul de periculoasa, riscandca institutul sa cada in plasa unor crackeri priceputi si sa piarda fonduri

banesti importante.

15


16/16

3.Propuneri/recomandari in vederea imbunatatirii sistemului de

securitate al institutului

Propuneri/ recomandari:

Fiecare departament sa dispuna de un responsabil de securitate ainformatiilor;

Efectuarea unor programe de training a angajatilor in scopul constientizariiimportantei datelor pe care le au in gestiune;

Imbunatatirea procedeelor prin care se realizeaza auditul la nivel desecuritate informationala in institut (clauze contractuale s.a.);

Reevaluarea periodica a solutiilor de securitate a sistemului;

Investitii in instruirea personalului specializat in informatica din cadrul

institutului (participare cursuri, conferinte in domeniu); O atentie marita in activitatea de selectie a personalului.

Securitatea informationala din institut revine ca responsabilitate conducatoruluiinstitutiei. Dar, cea mai mare contributie o are de fapt utilizatorul resurselorinformationale, adica angajati, doctoranti. Acestia trebuie sa aiba capacitatea de aconstientiza importanta datelor cu care lucreaza, sa aiba grija in manipularea,salvarea, clasificarea sau stergerea lor. Deasemenea, gestiunea suporturilorinformationale (in special, CD-uri, DVD-uri) prezinta o importanta deosebita.

16

Protectia si Securitatea Sistemelor Informationale

Documents

Transcript of Protectia si Securitatea Sistemelor Informationale