Analiza de Risc - Securitatea Sistemelor Informatice

ANALIZA DE RISC

Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest ansamblu de transformari afecteaza viata fiecaruia dintre noi.

Societatea Informatica – Societatea Cunoasterii va depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere, transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara acestora.

Societatea informatica – societatea cunoasterii redefineste problematica si doctrina de aparare nationala; aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri.

Securitatea infrastructurilor critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune.

“Cunoasterea”, ca atare, va deveni o “arma” de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in societatea deceniilor viitoare.

Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si consecintele negative ale propagarii dezastrelor.

Ceea ce se numeste astazi tot mai des pericole cibernetice (cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica – societate a cunoasterii.

La sfarsitul anilor ’80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: “scoate din priza calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate informatica, pentru a fi asadar vulnerabili”.

In etapa noua politica, economica si culturala in care se afla Romania, este evident ca lucrurile s-au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma “fara a fi cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economico-politica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice”.

La doi ani de la intrarea in U.E. piata Romaneasca de echipamente si sisteme de securitate si-a pastrat diversitatea deja existenta, „convietuind” produse europene, de pe piata asiatica, din tara si de pe continentul american. o constatare pozitiva este faptul ca sunt prezente si produse, solutii si tehnologii care îsi au originea în românia. Referitor la capitolul noi reglementari, remarcam completarea, în timp, a pachetului de normative si ghiduri de proiectare, cu standardele europene din familia EN 50131...50136, masura care are ca scop aducerea nivelului produselor si serviciilor nationale la nivelul celor din U.E.

Asa cum este cunoscut, în România, aplicarea standardelor este voluntara . Intrebând orice investitor sau firma, aflati în postura de beneficiar, raspunsul în general, este de agreere a achizitionarii de produse care sa respecte standardele în domeniu. Aceasta atitudine se explica prin dorinta ca produsul sa fie clar definit din punct de vedere calitativ si functional, sa aiba parametrii si caracteristicile masurabile si controlabile. Se asigura un limbaj comun între beneficiari si furnizori, privind cerintele si functionalitatile sistemelor de securitate. o asemenea maniera de abordare ofera premise pentru portabilitatea realizarii de produse si furnizarea de servicii specifice, compatibile, pe întreg teritoriul european .

Când se ajunge însa, la faza concreta de procesare a achizitiei sau a cererii de oferta , stacheta coboara de la nivelul declaratiilor, la nivelul supunerii fata de „ regele buget”, cele mai multe cazuri invocate fiind alocarea financiara redusa sau scurtarea fortata a duratei de derulare a contractului.

Implicatiile imediate sunt de domeniul calitatii, atât în functionarea curenta, cât si pe parcurs, pe toata durata ciclului de viata a produsului, cu pierderi din partea ambelor parti contractante, beneficiarul -la calitate, iar furnizorul - la credibilitate .

Primele schimbari de atitudine trebuie aplicate înca din faza de definire a cerintelor de securitate, prin încadrarea stricta în norme sau standarde.

Principalele diferente între prevederile standardelor europene si normele uzuale românesti, în faza de proiectare a sistemelor de securitate, constau în urmatoarele :

-standardele europene încadreaza echipamentele si sistemele de securitate în 4 clase de mediu, de la clasa i (conditii de functionare în mediu controlat), pâna la clasa a iv-a (functionare în aer liber, sub influenta directa a factorilor de mediu )

-echipamentele si sistemele pot fi încadrate în 4 grade de securitate :

1. Gradul 1 (risc scazut)

-echipamente care sa reziste la atacul unor infractori sau hoti cu cunostinte reduse despre acestea si detinând unelte simple;

2. Gradul 2 (risc mediu)

-echipamente care sa reziste la atacul unor infractori sau hoti cu cunostinte limitate despre acestea si detinând unelte de uz general si instrumente portabile simple;

3. gradul 3 (risc mediu spre ridicat)

-echipamente care sa reziste la atacul unor infractori sau hoti cu cunostinte serioase despre acestea si detinând o gama completa de unelte si instrumente;

4. gradul 4 (risc ridicat)

-echipamente care sa reziste la atacul unor infractori sau hoti care au abilitati si resurse sa planifice o intruziune si detinând echipamente si mijloace tehnice de substituire a unor componente de securitate.

Evident, odata stabilite clasa si gradul de securitate pentru sistem, orice componenta inclusa trebuie sa se încadreze în acestea sau sa apartina unor niveluri superioare.

De asemenea, proiectul de securitate trebuie sa contina specificatii privind procedurile necesare de mentenanta a produsului de securitate, precum si obligatia de a eticheta toate componentele, precizând clasa de mediu si gradul de securitate .

Daca la încadrarea sistemelor de securitate la clasele de mediu nu sunt dificultati deosebite (normele românesti fiind chiar mai rafinate), se pune problema cum stabilim gradul de securitate si riscul corespunzator unui obiectiv sau proces ? . De unde stim care sunt posibilii infractori si „pregatirea„ lor pentru o locatie si un obiectiv anume de protejat? In aceasta chestiune, a trata problema numai pe baza experientei anterioare, fara a gasi legatura logica între obiectiv ( bunuri, valori, continuitatea procesului predominant de activitate, informatii, credibilitate, etc ) si mediul complex unde este situat, poate conduce la solutii nesigure. de cele mai multe ori situatia este si mai complicata, din cauza faptului ca cererea de oferta este sub forma unei liste simple de echipamente, redactata de nespecialisti în securitate si bugetata ca atare, sau mai rau, însotita de cerinte de securitate inadecvate.

Solutia în aceasta situatie este efectuarea analizei de risc, activitate sustinuta numai de personal cu calificare speciala si experienta îndelungata.