Embed Size (px)
DESCRIPTION
IT Security: Facts & Trends Editia a VII-a ATACURILE INFORMATICE DIN PERSPECTIVA REGLEMENTARILOR LEGALE 26 Martie 2009, Silvia Axinescu & Oana Bogdan. Precizari Introductive. Criminalitatea informatica – fenomen actual in continua crestere si diversificare - PowerPoint PPT Presentation
Citation preview
IT Security: Facts & Trends
Editia a VII-a ATACURILE INFORMATICEATACURILE INFORMATICE DIN PERSPECTIVA DIN PERSPECTIVA
REGLEMENTARILOR LEGALEREGLEMENTARILOR LEGALE
26 Martie 2009, 26 Martie 2009,
Silvia AxinescuSilvia Axinescu & Oana Bogdan & Oana Bogdan
Precizari Introductive
• Criminalitatea informatica – fenomen actual in continua crestere si diversificare
• Atacurile informatice – incriminate in legislatia interna si UE
• Asigurarea securitatii sistemelor informatice - prioritara pentru insitutiile publice, societatile comerciale si consumatori
• Cooperarea internationala impotriva criminalitatii informatice
Cadrul legal actual
• Legea nr. 64/2004 pentru ratificarea Conventiei Consiliului Europei privind criminalitatea informatica, adoptata la Budapesta la 23 noiembrie 2001
• Legea nr. 161/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei – titlul III Prevenirea si combaterea criminalitatii informatice
• Legea nr. 508/2004 privind infiintarea, organizarea si functionarea in cadrul Ministerului Public a Directiei de Investigare a Infractiunilor de Criminalitate Organizata si Terorism
• Legea nr. 8/1996 privind dreptul de autor si drepturile conexe
• Regulamentul nr. 6 din 11 octombrie 2006 privind emiterea si utilizarea instrumentelor de plata electronica si relatiile dintre participantii la tranzactiile cu aceste instrumente,
• Ordinul nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor internet-banking, home-banking sau mobile-banking
• Codul de procedura penala
Propuneri legislative cu relevanta in dezbatere:
- Proiectul Legii privind Codul Penal - forma transmisa Parlamentului;
Riscuri privind atacurile informatice
• Atacuri:
i. externe – terta persoana fata de societate: furnizori/clienti, competitori, infractori profesionisti
ii. interne – persoana din cadrul societatii, familiarizata cu procedurile si operatiunile acesteia si care are acces la resurse si sistemele sale: angajati, consultanti/personal de intretinere a sistemului.
• Riscul de a nu fi depistate imediat -> posibilitatea de a pierde clienti
• Prejudiciu patrimonial si moral
• Daune-interese datorate persoanelor prejudiciate (ex: clienti)
• Afectarea imaginii societatii
Cauze ale amenintarilor
– Incidente ivite in sistem:
a) defectiuni la echipamentele sistemului;
b) erori umane;
c) functionarea defectuoasa a software-ului;
d) intreruperea sistemului de alimentare cu energie
– Factori naturali
– Factori umani:
a) atacuri deliberate;
b) atacuri accidentale.
Obiective privind securitatea datelor
• Confidentialitatea datelor – obligatii de confidentialitate, autentificarea utilizatorilor printr-o parola unica
• Pastrarea integritatii – protejarea datelor impotriva modificarilor neautorizate
• Disponibilitatea – protectia impotriva stergerii sau inaccesibilitatii datelor (asigurarea accesului la date, pentru cei autorizati, in orice moment).
Infractiuni contra sistemelor informatice (1)
• Accesul fara drept la un sistem informatic – “accesul, fara drept, la un sistem informatic constituie infractiune [..]”
• Interceptarea ilegala a unei transmisii de date informatice – “interceptarea, fara drept, a unei transmisii de date informatice care nu este publica si care este destinata unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaza in cadrul unui sistem informatic [..]”
• Alterarea integritatii datelor informatice – “fapta de a modifica, sterge sau deteriora date informatice ori de a restrictiona accesul la aceste date, fara drept [..]” si “Transferul neautorizat de date dintr-un sistem informatic [..]”
Infractiuni contra sistemelor informatice (2)
• Perturbarea functionarii sistemelor informatice – “fapta de a perturba grav, fara drept, functionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, stergerea sau deteriorarea datelor informatice sau prin restrictionarea accesului la aceste date [..]”
• Falsul informatic – “fapta de a introduce, modifica sau sterge, fara drept, date informatice ori de a restrictiona, fara drept, accesul la aceste date, rezultand date necorespunzatoare adevarului, in scopul de a fi utilizate in vederea producerii unei consecinte juridice [..]”
• Frauda informatica – “fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau stergerea de date informatice, prin restrictionarea accesului la aceste date ori prin impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a obtine un beneficiu material pentru sine sau pentru altul [..]”
Aspecte procedurale
• Conservarea datelor informatice (daca exista pericolul distrugerii/alterarii)
• Ridicarea obiectelor care contin date informatice (in scopul efectuarii de copii care pot servi ca mijloace de proba)
• Perchezitia sistemelor informatice ori a suporturilor de stocare a datelor informatice
• Interceptarea si inregistrarea comunicarilor desfasurate prin intermediul sistemelor informatice
• Competenta Directiei de Investigare a Infractiunilor de Criminalitate Organizata si Terorism (DIICOT)
• Investigatori sub acoperire
Politica europeana in domeniul securitatii informatice
• Comisia Europeana - problema atacurilor informatice asupra principalele infrastructuri informatice si de telecomunicatii din UE (in curs de pregatire – initiativa de crestere a protectie)
• Nimeni nu poate impiedica si nu poate face fata singur atacurilor de acest gen => necesitatea de a imbunatati colaborarea si cooperarea intre statele membre UE
• Consolidarea parteneriatului dintre autoritatile publice si sectorul privat in scopul combaterii criminalitatii informatice
Demersuri europene • Cadrul de baza pentru sanctionarea penala a infractiunilor comise cu ajutorul
computerului, precum si pentru cooperarea interstatal:
• Conventia asupra criminalitatii cibernetice – 23 noiembrie 2001 - statele membre ale Consiliului Europei, cu sprijinul Canadei, Statelor Unite, Japoniei si al Africii de Sud – in calitate de observatori) => incriminarea penala a unor fapte precum: accesul ilegal la un sistem informatic, interceptarea ilegala a transmisiilor informatice, falsul informatic, frauda, informatica, pornografia infantila pe Internet, violari ale drepturilor de proprietate si alte drepturi conexe etc.
• Protocolul Aditional pentru Conventia asupra criminalitatii cibernetice - 28 ianuarie 2003 => incriminarea actelor de natura rasiala si xenofoba comise prin intermediul sistemelor informatice.
• Ghidul de cooperare al Consiliului Europei – Proiectul Cybertime
Concluzii
• Atacurile informatice sunt un pericol real si permanent
• Evolutia tehnologiei – sursa de amplificare a atacurilor informatice
• Identitatea faptuitorului – dificil de stabilit
• Mediul Internet transfrontalier – diversificarea si cresterea numarului de atacuri informatice
• Constientizarea pericolului
• Luarea masurilor de securitate la toate nivelurile (producatori, operatori, utilizatori).
Intrebari?
Va multumim!
