Proiect Protectia si securitatea sistemelor informationale - studiu de caz

1. Prezentarea generala a organizatiei si a sistemului informatic

Organizatia care face obiectul acestui studiu de caz privind securitatea si protectia sistemului informational este un institut de cercetare in domeniul chimiei macromoleculare.

Organizatia beneficiaza de urmatoarele spatii:

- laboratoare de sinteza (72);

- laboratoare de caracterizare (37);

- birouri (15);

- o sala de conferinte;

- o biblioteca;

- alte spatii auxiliare (depozite, arhive, laborator server retea etc.).

Departamentele din cadrul acestui institut sunt exemplificate in cele ce urmeaza, astfel:

- Departamentul Polimerilor Naturali;

- Departamentul de Polimeri Bioactivi si Biocompatibili;

- Fotochimie;

- Policondensare;

- Departamentul Polimerilor Functionali;

- Departamentul Polimerilor Electroactivi;

- Materiale Polimerice;

- Polimeri Anorganici;

- Departamentul de Poliaditie;

- Chimia Fizica a Polimerilor;

- Fizica si structura polimerilor;

- Departamentul de Resurse Umane si Administratie.

Organizatia este condusa de un director (profesor doctor de specialitate) si doi vicepresedinti. De asemenea, fiecare departament are in frunte un profesor doctor in domeniu, cu exceptia celui de resurse umane si administratie, de care sunt responsabili doi absolventi de studii economice.

Numarul total al angajatilor este de 282 : cercetatori stiintifici - 108, asistenti ai acestora - 49, personal auxiliar - 66 angajati, personal tehnic - 59.

Numarul total de calculatoare din institut este de 243, din care:

228 PC-uri;

15 laptop-uri.

Structura pe departamente este urmatoarea: departamentele de cercetare detin 75% din echipamentele de calcul, iar restul de 25% apartine departamen-tului de resurse umane si administratie.

Alte echipamente IT din cadrul organizatiei (scannere, imprimante etc.)

sunt folosite in comun (partajate in cadrul retelei intranet) la nivel de departament.

Computerele sunt legate in retea intranet si Internet (80% dintre acestea). Restul de 20% reprezinta laptopuri care nu sunt conectate la retea, ci sunt folosite pentru redactari articole stiintifice, proiecte si teze de doctorat, prezentari proiecte si lucrari la diferite seminarii si conferinte din localitate sau din afara ei. Lucrul cu aceste dispozitive este permis atat in interiorul organizatiei, cat si in exteriorul acesteia.

Sistemele de calcul se folosesc de catre toti angajatii organizatiei, in functie de specificul muncii lor, in urmatoarele scopuri: stocare informatii (carti in format electronic, articole stiintifice), prelucrarea datelor experimentale, tehnoredactare

(articole, referate, recenzii, carti etc.), navigare internet (in scopul documentarii si pentru comunicari stiintifice), corespondenta electronica (e-mail), precum si pentru gestionarea resurselor institutului.

Reteaua intranet prezinta un singur server amplasat in camera speciala; topologia retelei este de tip bus (magistrala comuna), iar transmisia de date din retea se realizeaza pe baza standardului TCP/IP (Transport Control Protocol/ Internet Protocol). In retea exista si mail intern. 

Arhitectura magistrala comuna

Principalele aplicatii informatice folosite in cadrul organizatiei:

- Microsoft Office;

- Nero StartSmart;

- Adobe Reader 7.0;

- SPSS;

- WinMentor;

- Internet Explorer;

- Lotus;

- alte aplicatii tehnice dezvoltate de specialisti ai institutului.

2. Protectia si securitatea informatiilor vehiculate in institut

Calculatoarele au patruns in activitatilor tuturor tarilor, si aceasta inca de mult timp, devenind instrumente indispensabile pentru desfasurarea diferitelor activitati. Aceste dispozitive au avut un impact global asupra vietii de zi cu zi, asupra modului de desfasurare a afacerilor, de comunicare si de gestiune a informatiei, in general.

Aparitia calculatorului, a deschis, inevitabil, si posibilitatea aparitiei unei game largi de actiuni ilegale, cu un caracter extrem de sofisticat, el putand fi folosit si la comiterea sau la facilitarea comiterii unor infractiuni din cele mai diverse, cum ar fi: frauda informatica, falsul informatic, prejudiciile aduse datelor sau programelor pentru calculator, sabotajul informatic, accesul neautorizat, interceptarea neautorizata sau reproducerea neautorizata de produse software, alterarea datelor sau programelor, spionajul informatic, utilizarea neautorizata a unui echipament informatic sau a unui program protejat, plantarea de virusi informatici, traficul cu parole obtinute ilegal etc. Astazi, putem asemana Internetul cu o "jungla" informationala, in care, pentru a supravietui numeroaselor atacuri, o organizatie trebuie sa aiba un sistem de securizare a informatiilor foarte bine pus la punct si, in acelasi timp, flexibil, deoarece amenintarile isi schimba forma si modul de operare cu o viteza uimitoare.

2.1 Securitatea la nivel fizic a echipamentelor IT din organizatie

Fiecare laborator/birou din fiecare departament al organizatiei este securizat astfel: camere video de supraveghere, senzori de miscare activati la terminarea programului in incinta, yale (cu doua seturi de chei: unul la portar, iar celalalt la administratie - de unde, responsabilii pe departamente le iau in fiecare zi, la inceperea programului de lucru). Exceptie fac doar laboratoarele in care se gasesc echipamente speciale, instalatii tehnice moderne si unice in institut, substante rare, a caror manevrare necesita foarte mare atentie si trebuie realizata de specialisti, sau substantele periculoase a caror instrainare ar putea aduce pagube atat institutului cat si populatiei in general, care prezinta masuri suplimentare de securitate: dublurile cheilor nu sunt acordate portarului, ci numai supervizorului departamentului respectiv, in a carui prezenta doar se realizeaza accesul persoanelor autorizate; autentificare acces in incaperea respectiva prin cod sau cartela de acces.

Au existat si exista cazuri in care echipamentele IT din cadrul organizatiei se folosesc in scop personal ( vom exemplifica acest fapt in cadrul subcapitolului 2.3), existand bineinteles riscul de a deteriora dispozitivele folosite, de a le face inutilizabile pe viitor chiar. Spre exemplu, daca un bursier al institutului doreste sa-si listeze teza de doctorat sau un proiect, articol mai amplu, va fi autorizat sa foloseasca o imprimanta a institutului, insa va trebui fie sa procure hartia si tusul necesare, fie sa achite valoarea acestora in bani. Incidente majore la acest nivel fizic (furt de echipamente/suporturi informationale, deteriorare etc.) nu au fost semnalate, insa putem mentiona o singura vulnerabilitate: se mai imprumuta unilor angajati diverse echipamente IT (laptop, imprimanta) numai pe baza de increde-re, insa chiar daca acest lucru are un fundament puternic, exista riscuri ce ar putea eventual duce la alterarea sau disparitia acestor sisteme din patrimoniul organizatiei (furt - de catre angajat sau o alta persoana necunoscuta, cunostintele minime sau lipsa lor in manevrarea sistemului de calcul/echipamentului respectiv).

2.2 Securitatea informatiilor stocate in laptopurile institutului

Organizatia are in posesie un numar de 15 laptopuri destinate tehnore-dactarii de articole, referate, proiecte, teze de doctorat, prezentarii acestora la diverse evenimente (sesiuni stiintifice, conferinte, seminarii etc.), precum si pre-lucrarii datelor experimentale obtinute in laborator, pe cale practica. Lucrul cu aceste sisteme este permis atat in incinta institutului, cat si in afara ei. Angajatii/bursierii organizatiei, ce se folosesc de laptop in exteriorul spatiilor din institut, nu au semnat in prealabil nici un gen de document ce ar fi reprezentat o asigurare pentru institut in cazul anumitor daune sau chiar disparitiei sistemului de calcul. Consider acest lucru o vulnerabilitate a securitatii echipamentelor IT, deoarece iesirea din unitate a dispozitivului si acordarea acestuia unui angajat se realizeaza pe incredere si numai pe incredere, neavandu-se in vedere probabili-tatea (fie ea si foarte mica) ca acel echipament sa sufere anumite prejudicii, sa devina inutilizabil, sau chiar sa dispara (furt), in ciuda responsabilitatii si seriozitatii angajatului respectiv.

Deoarece organizatia este conectata la Internet si comunicarea pe mari distante fiind astfel posibila, s-a renuntat la ideea conectarii laptopurilor si, prin urmare, acestea din urma nu prezinta nici un tip de conexiune (intranet sau Internet), stiut fiind faptul ca in domeniul retelisticii wireless exista inca mari

probleme la nivelul securitatii.

Firma producatoare (TOSHIBA) acorda cumparatorilor, oricare ar fi ei (distribuitori de calculatoare, persoane fizice sau juridice ce achizitioneaza echipamente IT in vederea desfasurarii activitatii - stocare informatii, prelucrari date etc.), si unele din cele mai intalnite si necesare programe (Microsoft Office, Nero, Total Commander etc), cu licenta, insa le protejeaza impotriva instalarii lor in alte dispozitive de calcul (cu exceptia celor produse de Toshiba, care sunt recunoscute prin program); acestea pot fi copiate insa, fara a fi instalate, dar nu functioneaza la parametrii normali. Un astfel de caz a fost semnalat, atunci cand un doctorand a incercat sa instaleze un astfel de program pe PC-ul de acasa, insa nu a reusit, si a sfarsit prin a-l copia pur si simplu. Masuri insa nu prea pot fi luate in legatura cu acest caz sau altele asemanatoare.

O alta sursa de pericole o constituie procesul invers, si anume "copierea" sau instalarea altor programe software in laptopuri, cu scopul facilitarii/imbuna-tatirii prelucrarilor de date experimentale. Un program ce este preluat dintr-o sursa nesigura, neverificabila, poate introduce in sistem virusi, viermi ce ar putea ataca, modifica, sterge continutul informational al computerului, iar acest lucru reprezinta un adevarat pericol, mai ales in redactarea, stocarea, prelucrarea datelor unei teze de doctorat, de a caror corectitudine si procesare coerenta depinde totul. Vom da ca exemplu urmatorul caz: un angajat a instalat programul Winamp pe laptop, preluat de la un "prieten", si a introdus o data cu programul si un virus ce realiza inchiderea tuturor programelor, documentelor, in timpul sesiunii de lucru, exact dupa 30 de secunde. A fost necesara o scanare a computerului cu programul antivirus si stergerea fisierului infectat.

Desigur, este instalat un program anti-virus (Kaspersky - Antiviral

Toolkit Pro), care in ciuda faptului ca este o solutie antivirus eficienta, prezinta doua mari vulnerabilitati, ce tin de organizatie si de gestionarea personala a acestui program si nu de program in sine: versiunea este ceva mai veche (2005) si, neexistand conexiune Internet, nu-si poate realiza "update-ul" periodic si eficient.

Alte pericole ce ameninta confidentialitatea si integritatea datelor stocate in laptop sunt:

Concurenta;

Mentalitatea angajatilor;

Lipsa de fairplay;

Insuficienta instruirii utilizatorilor.

In institut, exista mai multi doctoranzi bursieri ce isi desfasoara activitatea de cercetare in domeniu, si, daca nu au teme din acelasi domeniu chiar, cel putin se intampla ca unele sa fie asemanatoare, si niste informatii in plus sau rezultate intermediare niciodata nu "strica", asa ca unii se mai "inspira", daca au sau li se ofera ocazia, din teza colegilor. Cum se poate intampla aceasta? Simplu: avand in vedere faptul ca instruirea angajatilor/bursierilor in domeniul securitatii informatiilor si informaticii, in general, este minima sau chiar lipseste, acestia nu isi protejeaza optim datele si printr-o simpla neatentie, pot fi vizualizate usor. A existat un astfel de caz, cand un doctorand, in timp ce-si introducea datele celui mai recent experiment realizat, a fost chemat de profesorul indrumator pentru acordare de indicatii, si, in graba, a uitat sa inchida documentul; la intoarcere si-a surprins un coleg incercand sa-i vizualizeze ultimele date introduse, insa dandu-si seama ca timpul scurs de la plecarea sa a fost mult prea scurt si datele n-au fost supuse inca prelucrarii finale, nu a sesizat conducerea departamentului, ci si-a mustrat doar colegul si, bineinteles a devenit mult mai prudent. Fiecare persoana isi creeaza propriul cont pe laptop, atunci cand lucreaza, protejat de o parola. In acest domeniu iarasi, regasim drept vulnerabilitate, stabilirea parolelor, care, pentru a nu fi uitate reprezinta date personale ale posesorului contului (cel mai frecvent prenumele). Un alt lucru pe care as dori sa il mentionez aici este ca, de cele mai multe ori, nu se realizeaza copii de siguranta ale documentelor realizate pe laptopuri, iar acest lucru tine tot de slaba instruire a personalului.

In concluzie, informatiile stocate, prelucrate, pe aceste sisteme portabile

sunt fie confidentiale (proiecte, referate, articole, la care lucreaza majoritatea personalului unui departament de cercetare), fie strict secrete (teze de doctorat, la care au acces,in primul rand intreprinzatorul cercetarii - doctorandul, si apoi profesorul-indrumator; rareori se intampla ca doctorandul sa primeasca ajutor si de la alti profesori, insa chiar si atunci nu toate informatiile sunt divulgate). Existenta numai a acestor doua tipuri de informatii, ce tin strict de domeniul de cercetare a institutului, se datoreaza faptului ca fiecare angajat lucreaza pe contul propriu, protejat de parola. Ulterior, atat articolele, proiectele cat si tezele de doctorat sunt declasificate si prezentate publicului avizat sau larg.

2.3 Securitatea in reteaua intranet si Internet a organizatiei cu exemplificari de informatii aferente acesteia, atacuri si vulnerabilitati ale sistemului de securitate.

Tipurile de informatii vehiculate in organizatie sunt din domeniul cercetarii, administratiei si gestionarii resurselor umane. Fara a avea pretentia sa acoperim vasta arie informationala a institutului, prezentam urmatoarea clasificare:

a)      informatii publice - accesibile oricarui utilizator (intern sau extern);

nu produce efecte asupra institutiei, sau daca le produce acestea sunt

nesemnificative:

adresa institutului, numarul de telefon si de fax, pagina web;

misiunea organizatiei;

presedintele organizatiei si vicepresedintii;

structura organizatiei (numarul si denumirea departamentelor, precum si directorii acestora - nume, functie);

programe de cercetare, articole publicate, carti editate;

proiecte contractate (denumire proiect, autoritatea contractanta, termen de finalizare, provenienta subventiei si valoarea acesteia, institutele partenere - daca este cazul, si unitatea conducatoare);

teze de doctorat finalizate;

situatiile financiare anuale;

personal (numar si structura, nume, functii si eventual adrese e-mail);

licente, brevete obtinute;

informatii privind istoricul institutului, premii obtinute de-a lungul timpului, membri parteneri, membri de onoare;

descrierea activitatii generale de cercetare;

anunturi referitoare la desfasurarea anumitor evenimente de marca (simpozioane, seminarii, conferinte, prezentari proiecte, comunicari stiintifice, aniversari etc.) - data, locul, tema, participanti, conditii de participare; cooperari internationale s.a ;

programul de functionare a institutului;

planul de evacuare in caz de incendiu;

alte informatii - aviziere;

posturile vacante din institut;

tematicile si bibliografia de concurs pentru ocuparea posturilor vacante etc.

Acest tip de informatii este afisat pe site-ul institutului, eventual la avizier.

b)     informatii interne - informatii care circula in interiorul institutului:

regulamente de ordine interioara;

informari cu privire la evenimente ce privesc strict institutul (sedinte interne, consilii, testari ale angajatilor etc.), modificari ale anumitor regulamente interne sau reglementari legale ce privesc in mod expres organizatia;

manual de utilizare al retelei intranet, manual proceduri de securitate al retelei intranet sau instructiuni ce au in vedere lucrul cu anumite programe create de angajati specialisti ai institutului;

numerele de telefon ale angajatilor, eventual adrese e-mail;

programarea concediilor si graficul zilelor libere;

schimbari ale politicii de acces la anumite resurse si/sau echipamente informatice etc.

Aceste informatii sunt afisate la avizier, in reteaua intranet (vizibila doar utilizatorilor retelei); stocate pe CD-uri, DVD-uri, dischete, stick-uri, hartie, registre; incluse in diferite aplicatii informatice (manual proceduri).

c)     informatii confidentiale (secrete) - aici se includ informatiile care, datorita valorii economice sau sociale, nu trebuie facute publice; dezvaluirea lor aduce pierderi organizatiei:

planul cladirii (pentru protejarea unor zone secrete);

clauze contractuale;

conturi si parole folosite pe serverele institutului (contabilitate, gestiune etc.);

salariile, primele acordate personalului;

informatiile din interiorul departamentului, sau schimbate, prelucrate de partenerii unui proiect de cercetare;

anumite articole, referate, lucrari la care participa un departament, sau un numar restrans de persoane din cadrul institutiei;

produse nelivrate inca partii contractante sau in curs de prelucrare (nedifinitivate) etc.

Acestea sunt stocate pe HDD, CD-uri, DVD-uri, stick-uri, dischete, microfilme, hartie, registre, documente electronice parolate etc.

d)     informatii strict secrete - informatiile care, datorita valorii lor economice sau sociale, nu trebuie facute publice, fiind folosite de 1-3 persoane. Divulgarea, utilizarea sau distrugerea acestor date poate intra sub incidenta Codului Civil, Penal sau Legislatiei fiscale:

configuratia si codurile sistemului de alarma;

conturi administrative de pe serverele de gestiune;

parolele utilizatorilor retelei intranet;

codurile sursa ale programelor proiectate de angajatii institutului;

date despre pregatirea profesionala si alte date personale ale angajatilor;

rezultatele de la evaluarile psihologice ale angajatilor;

indicatori de performanta stabiliti pentru fiecare angajat;

chei criptografice;

retete de productie ale unor produse realizate in interiorul institutului;

procese, informatii privind cercetarile de creare noi produse in curs de realizare;

proiecte necontractate inca - in curs de negociere;

teze de doctorat etc.

Aceste informatii sunt fie memorate, fie stocate pe harddiskul serverului, in documente electronice parolate, dosare confidentiale, CD-uri, DVD-uri, stick-uri, microfilme, marcate corespunzator.

Protectia informatiilor se realizeaza, in functie de natura lor, la nivel general, prin intermediul totalitatii solutiilor de securitate a sistemului informational implementate de institut. Se mai realizeaza si o protectie la nivel de individ sau departament a documentelor prin decizia de a le include in fisierele din retea sau nu ("share") si prin parole la deschidere, la modificare, stergere, dupa caz. De asemeni, pentru a asigura securitatea informatiilor secrete si strict secrete, se mai apeleaza, in afara contractului de confidentialitate, la emiterea autorizatiei de acces la informatii secrete de serviciu, si la intocmirea listelor cu angajati autorizati sa aiba acces la astfel de informatii (departamentul de resurse umane si administratie).

AUTORIZATIE DE ACCES LA INFORMATII SECRETE DE SERVICIU

Seria _____________ numarul________________

Prin prezenta se autorizeaza accesul la informatii secrete de serviciu al domnului/doamnei __________ ______ ____ , CNP_____ _______ ______ ______,

angajat/angajata al/a unitatii noastre in functia de__________ ______ ____ __.

Prezenta autorizatie este valabila pana la data de_____ _______ ______ _______________.

Seful unitatii,

_____ _______ ______ ________

( semnatura si stampila) Seful structurii de securitate,

Functionarul de securitate,

_____ _______ ______ _________

LISTA

persoanelor care au acces la informatiile secrete de serviciu

Fiecare angajat dispune de o partitie pe server, neavand insa acces la partitia C a calculatorului, pe care este instalat sistemul de operare si alte programe (inclusiv firewall-ul si programul antivirus). Au insa acces si la informatii pe care nu le pot modifica (informatii generale, politici de securitate etc.) Accesul in retea este acordat prin intermediul contului si parolei fiecarui utilizator in parte.

Pana in luna mai a anului 2007, institutul folosea ca solutie antivirus

Kaspersky - Antiviral Toolkit Pro, insa din cauza anumitor vulnerabilitati ale acestuia (interfata grafica nu prea usor de utilizat; multe alarme false; nesilentios; intreruperea temporara si neanuntata a serviciului de update) a fost inlocuit cu un nou sistem.

In prezent institutul foloseste ca program antivirus Symantec AntiVirus Corporate Edition 10.1, care ofera protectie in timp real pentru statii de lucru si servere impotriva virusilor si spyware-urilor, adware-urilor si asigura stergerea automata a acestora.Temporar, s-a instalat si programul de protectie pentru mesageria instant: BitDefender for Yahoo! Messenger (free software). Desi nu este un program necesar activitatii de cercetare in chimie, Yahoo Messenger si-a dovedit utilitatea, facilitand transmiterea de anunturi, notificari, date stiintifice in timp real. Desigur, exista si dezavantajul utilizarii

acestui serviciu in scopuri personale, dar nu reprezinta o problema majora.

Deoarece exista si conexiune Internet, s-a impus existenta unui sistem de securitate intre intranet si Internet, care sa stabileasca ce pachete de date pot circula intre cele doua retele. Un asemenea siatem este firewall-ul, care este implementat pe un calculator de mare putere (serverul organizatiei in acest caz) si care ruleaza un software special, fiind implantat intre reteaua institutului si Internet. El examineaza fiecare pachet de date care trece din intranet catre Internet si invers. Sistemul firewall este o aplicatie inteligenta, care poate fi setata sa blocheze accesul persoanelor neautorizate, dar si anumite servicii internet pentru utilizatorii interni. Institutul foloseste Symantec Client Firewall 5.1.1 , acesta blocand traficul Internet suspicios si prevenind ca informatiile confidentiale sa fie trimise de pe calculator fara cunostinta utilizatorului.

Alte masuri de securitate:

realizarea de copii de siguranta (backup);

protejarea suportilor informationali la scriere;

parolare la dezarhivare/decriptare fisiere;

programul de e-mail intern incorporeaza facilitati de blocarea a mesajelor de tip "spam" prin descrierea de catre utilizator a unor actiuni specifice de aplicat asupra mesajelor (in functie de anumite cuvinte cheie sau de adresele de provenienta);

tehnologii de criptare a mesajelor (folosirea cheii publice dintr-un certificat pentru stabilirea unui canal de comunicatie criptat are ca rezultat faptul ca doar entitatea mentionata in certificat, cea care este si detinatoarea cheii private, va fi capabila sa decripteze mesajele criptate).

Nu s-au raportat pierderi informationale majore bazate pe pericole naturale.

Erori insa au existat din abundenta, mai ales la nivel uman, neatentia angajatilor si o slaba instruire a acestora, contribuind deseori la acest lucru.

Oferim spre exemplu cateva situatii:

Un angajat, distras fiind de conversatia pe care o avea pe messenger, necoordonandu-si bine ferestrele deschise in acel moment, a trimis din greseala, partenerului de conversatie, un intreg paragraf dintr-un articol pe care il redacta la momentul respectiv.

Un altul, ce avea atentia indreptata numai asupra unui joc pe calculator, a uitat complet de raportul la care lucra, uitand sa il salveze.

Un alt caz: in timpul lucrului la un proiect amplu, nerealizandu-se nicio copie de siguranta, si incercandu-se sa se plaseze o imagine in document, neurmandu-se pasii necesari, intreg documentul a fost sters, ramanand doar imaginea.

Un angajat, aducand copilul in varsta de 6 ani in vizita la serviciu, a trebuit sa inlocuiasca tastatura calculatorului la care lucra, deoarece copilul a varsat din neatentie cana de cafea a mamei exact peste tastatura sistemului de calcul.

In perioada 2005-2006 a fost necesara efectuarea a 6 reinstalari a SO Windows ca urmare a actiunilor angajatilor de instalare a unui soft nelicenziat.Acestia au facut rost de soft-uri de ultima ora ce se aflau in posesia unor "amici" si le-au instalat fara permisiunea administrato-rului. S-ar fi putut evita aceste incidente prin instruirea personalului si interzicerea utilizarii oricaror materiale ce nu se afla in posesia legala a organizatiei.

Un alt caz mai grav, ce a dus la pierderea tuturor informatiilor stocate pe o statie a fost defectarea HDD - utilizatorul, nefiind atent la mutarea hardului, l-a scapat.

Alte incidente mai putin importante referitor la lucru incorect a diferitor aplicatii, reinstalarea microsoft office si altele.

Exemple de virusi activati din neatentia angatilor:

dupa ce a fost reconfigurata reteaua interna (28 ianuarie 2004) un angajat, prin intermediul postei electronice, a "importat" virusul Novarg care inca nu avea antivirus elaborat.Pagubele au fost mari, pierzandu-se date importante de pe server.Acest virus este considerat periculos pentru ca se raspandeste la cote alarmante, blocand serverele si adresele de e-mail, ca efect al traficului mare generat. De asemenea, lasa in calculatorul infectat un "back door" (cal troian) prin care un hacker poate avea acces la informatiile stocate pe sistemul infectat.

deschiderea unui e-mail din partea unei organizatii anti SIDA a provocat o bombardare continua cu mesaje de la aceeasi adresa, facand inutila orice actiune a utilizatorului;

un link activat pe messenger a provocat restartarea continua a sistemului de calcul;

activarea unui alt link a provocat deschiderea in cascada a aceleiasi pagini web, blocand orice alta actiune a utilizatorului.

In cazul defectiunilor in sistemul de alimentare cu energie electrica, nu exista riscul de a pierde informatiile in curs de introducere/prelucrare, deoarece institutul beneficiaza de un UPS - Uninterruptible power supply - care actioneaza ca o baterie de rezerva la caderile de curent, oferind timp personalului sa salveze documentele si sa inchida propriu sistemele de calcul aflate in functiune. In perioada 2005 - 2006 a avut loc pierderea unor rapoarte in forma electronica, destul de importante pentru institut, ca urmare a lipsei UPS-ului. Restabilirea rapoartelor a adus organizatiei cheltuieli suplimentare.Lipsa UPS-ului a determinat si arderea surselor de alimentare a 2 computere (in urma fluctuatiilor tensiunii electrice), care insa fiind procurate pe garantie au fost reparate gratuit. Daca institutul ar fi achizitionat UPS-ul odata cu inceperea activitatii pierderea informatiilor nu s-ar fi produs deoarece cu ajutorul acestuia sunt rezolvate variatiile de tensiune si de frecventa.

Dupa cum am vazut, cele mai multe pierderi informationale le provoaca personalul (din neatentie, slaba instruire), insa institutul se confrunta si cu atacuri externe. Spre exemplu:

la 2 zile dupa efectuarea unei plati online (taxa de participare la un seminar din Turcia), utilizatorul primeste un mesaj cum ca plata nu a fost finalizata din cauze tehnice, cerand repetarea acesteia. Acest lucru fiind suspect, s-a luat legatura cu institutia respectiva, cerandu-se lamuriri. Evident, nu au fost probleme cu acea plata, mailul fiind de fapt o incercare de a sustrage bani din contul organizatiei.

Un alt atac a fost sesizat in urma cu o luna de angajatii institutului insarcinati cu administrarea retelei, posta electronica interna necesitand o reproiectare, din cauza patrunderii in sistem a unui hacker (probabil prin substituirea identitatii unui angajat).

Prima mare vulnerabilitate ar fi accesul la Internet al organizatiei. Desi un intranet nu necesita conectarea la Internet, acesta din urma ofera mari avantaje institutului ( in activitati de cercetare, parteneriate cu alte institute, informari academice, comunicare etc.). Orice legatura intre sistemele institutului si Internet comporta un risc major din punct de vedere al securitatii. O data realizata aceasta legatura, orice navigator pe Internet poate teoretic sa comunice cu orice calculator din intranet care ruleaza TCP/IP.

Desigur, in consecinta, trebuie si sunt luate masuri de securitate (program antivirus, firewall etc.) dar niciodata nu se va putea reduce riscul in aceasta problema la 0.

O vulnerabilitate pe care o intalnim in acest caz o reprezinta chiar stabilirea parolelor, carora majoritatea angajatilor nu le acorda prea mare atentie, si din teama de a nu le uita stabilesc drept parole date personale, si cel mai frecvent exemplu este prenumele. Aceasta se datoreaza, in special slabei instruiri a personalului in ceea ce priveste riscurile informatice si modul de a le preveni.

Mentionam aici si intervalele la care sunt schimbate parolele, ca o vulnerabiliatate a sistemului: 4 luni in cadrul departamentelor de cercetare si 2 luni in departamentul de resurse umane si administratie. O vulnerabilitate la nivelul parolelor creste simtitor sansele unei patrunderi neautorizate in sistemul de securitate prin scanarea retelei (pentru a-i identifica structura), ce survine in urma spargerii unei parole (prin programe speciale) si substituirii identitatii utilizatorului respectiv.

De asemenea, efectuarea unor plati online este destul de periculoasa, riscand ca institutul sa cada in plasa unor crackeri priceputi si sa piarda fonduri banesti importante.

3.Propuneri/recomandari in vederea imbunatatirii sistemului de securitate al institutului

Propuneri/ recomandari:

Fiecare departament sa dispuna de un responsabil de securitate a informatiilor;

Efectuarea unor programe de training a angajatilor in scopul constientizarii importantei datelor pe care le au in gestiune;

Imbunatatirea procedeelor prin care se realizeaza auditul la nivel de securitate informationala in institut (clauze contractuale s.a.);

Reevaluarea periodica a solutiilor de securitate a sistemului;

Investitii in instruirea personalului specializat in informatica din cadrul institutului (participare cursuri, conferinte in domeniu);

O atentie marita in activitatea de selectie a personalului.

Securitatea informationala din institut revine ca responsabilitate conducatorului institutiei. Dar, cea mai mare contributie o are de fapt utilizatorul resurselor informationale, adica angajati, doctoranti. Acestia trebuie sa aiba capacitatea de a constientiza importanta datelor cu care lucreaza, sa aiba grija in manipularea, salvarea, clasificarea sau stergerea lor. Deasemenea, gestiunea suporturilor informationale (in special, CD-uri, DVD-uri) prezinta o importanta deosebita.