Recentele probleme care au afectat o parte din sistemul energetic naţional din Statele Unite au readus în actualitate problematica securităţii în cadrul acestei ramuri strategice a oricărei economii naţionale, inclusiv la nivelul sistemelor informatice. Bazându-se pe cei 10 ani de experienţă, specialiştii ROMSYS deţin expertiza şi competenţele necesare pentru preîntâmpinarea şi rezolvarea operativă a disfuncţionalităţilor legate de securitatea informatică.
În perioada 24-26 septembrie, ROMSYS a participat la lucrările “SIG 2003” – al XVIII-lea Simpozion Naţional de Siguranţă în Funcţionare a Sistemului Energetic, desfăşurat la Universitatea din Oradea.
Evenimentul a fost organizat de către Societatea Inginerilor Energeticieni din România (S.I.E.R.), Institutul de Studii şi Proiectări Energetice (I.S.P.E.), Transelectrica, Electrica, Termoelectrica, Hidroelectrica, Electrocentrale Deva, Nuclearelectrica, Smart S.A. şi Universitatea din Oradea. Au participat cu prezentări numeroase companii din sectorul energetic dar şi furnizori de servicii şi soluţii conexe pentru această industrie.
Sub auspiciile Simpozionului, ROMSYS a organizat, miercuri 24 septembrie, o masă rotundă având ca temă de dezbatere aspecte legate de securitatea sistemelor informatice, sub titlul “Vulnerabilităţile securităţii pe Internet”. Abordarea ROMSYS privind securitatea informatică a fost expusă de către domnul Victor GRĂDINESCU, Vicepreşedinte Sisteme şi Tehnologii în cadrul ROMSYS. A urmat sesiunea de întrebări şi discuţii libere între reprezentanţii companiei şi cei circa 50 de participanţi – factori de decizie din departamentele tehnice şi informatice din cadrul sediilor centrale şi sucursalelor teritoriale ale Electrica, Hidroelectrica, Nuclearelectrica, Transelectrica.
“Definirea obiectivelor, analiza riscului, definirea politicilor şi procedurilor, proiectarea şi administarea sistemului, monitorizarea şi auditul acestuia reprezintă procesele principale de administrare a securităii informatice. Ciclul de viaţă al componentelor de securitate include proiectarea, producţia, implementarea, operarea şi mentenanţa, iar în final distrugerea lor şi înlocuirea cu altele mai performante”, a explicat domnul Victor Grădinescu.
Atacurile împotriva sistemelor informatice, ce pot fi iniţiate de către hackeri, persoane rău-voitoare din interiorul organizaţiei, terorişti, organizaţii de spionaj şi crimă organizată, competitori de pe piaţă, se desfăşoară în trei paşi: diagnosticarea sistemului pentru a defini atacul, câştigarea nivelului de acces necesar şi atacul propriu-zis. Protejarea unui sistem, care înseamnă de fapt blocarea unuia dintre cei trei paşi, nu se rezumă la construirea unui singur “zid de protecţie” pentru sistem, în speranţa că atacul va veni pe acolo. Orice organizaţie trebuie să-şi alcătuiască în timp o listă cu propriile vulnerabilităţi, numită “peisajul vulnerabilităţii”. Lista trebuie actualizată permanent, cele mai comune ameninţări nefiind şi singurele. Pe măsură ce organizaţia se protejează având în vedere vulnerabilităţile din lista iniţială, apar altele, cel puţin la fel de periculoase.
Organizaţiile sunt vulnerabile deoarece sistemele de calcul şi programele au devenit foarte complexe în ultimii 25 ani, controlul calităţii şi funcţionalităţii acestora nu face faţă presiunii pieţei şi deficienţelor apărute. Pe de altă parte, există foarte puţini administratori iar aceştia gestionează un număr prea mare de sisteme. Ei sunt de multe ori insuficient şcolarizaţi, primesc prea multe cereri conflictuale în orele lor de program, iar cel mai important obiectiv al lor este să menţină sistemul “în viaţă”, în timp ce corectarea şi protejarea sistemului devin atribuţii de prioritate secundară: “când o să am timp!” sună adesea răspunsul lor. În acelaşi timp, proiectanţii atacului studiază cu atenţie codul ţintă, având apoi la dispoziţie, chiar pe Internet, numeroase instrumente de atac.
Atacurile reuşesc şi pentru că nu se închid toate “porţile”, iar dacă hackerii sunt prinşi, nu sunt pedepsiţi, fiind prea stânjenitor să admitem că am fost “loviţi”. Organizaţiile nu au politici, proceduri şi standarde de securitate, consideră că un firewall este suficient pentru protejarea sistemului, nu folosesc programe de monitorizare, înglobează în cadrul sistemelor actuale tehnologie ultramodernă fără să ia în calcul implicaţiile în securitate şi arhitectura noului sistem, iar managementul superior nu se implică în aceste aspecte.
“Există în acest moment un proiect de clasificare a vulnerabilităţilor care cuprinde descrierea fiecăreia, tipurile de sisteme afectate de aceastea, numărul de identificare unică a vulnerabilităţii Common Vulnerabilities & Exposures, modalităţi prin care se determină dacă o organizaţie este vulnerabilă, cât şi soluţiile de protejare”, a adăugat Victor Grădinescu, oferind şi câteva exemple în acest sens.
Abordarea ROMSYS privind securitatea sistemelor informatice cuprinde două direcţii majore. Prima, analiza şi evaluarea sistemelor informatice (conform standardului ISO 17799), se realizează prin detectarea riscurilor, ameninţărilor şi vulnerabilităţilor folosind “scannere” în interiorul şi exteriorul reţelei şi efectuarea testelor de penetrare. A doua etapă constă în securizarea sistemelor informatice, concretizată în definirea politicilor de securitate şi procedurilor operaţionale, securizarea propriu-zisă a sistemelor (“hardening”) şi implementarea unor măsuri tehnice de securitate. Securizarea sistemului informatic trebuie menţionată ca prioritate în bugetul oricărei organizaţii şi, în acelaşi timp, este imperios necesară prezenţa unui administrator dedicat pentru problemele de securitate.
Auditoriul a manifestat un interes deosebit faţă de acest subiect, demonstrând faptul că este pe deplin convins de importanţa problemelor abordate, de o mare actualitate în acest moment. Dezbaterile pe marginea subiectului au fost intense, deoarece tehnicienii şi informaticienii din sectorul energetic sunt conştienţi de gravitatea efectelor pe care le poate avea tratarea cu indiferenţă sau amânarea rezolvării problemelor securităţii sistemelor informatice.
Participanţii şi-au exprimat dorinţa de a aprofunda subiectul, pe de o parte la nivel teoretic, prin abordarea unor teme ca monitorizarea sistemelor şi planificarea reţelelor, securitatea datelor din cadrul aplicaţiilor de proces tehnologic, securitatea aplicaţiilor pentru gestionarea căilor de comunicaţii digitale. “Ar fi foarte interesantă prezentarea temei la nivelul SDFEE, cu participarea tuturor celor implicaţi din cadrul compartimentelor funcţionale”, a sugerat unul dintre participanţi. Pe de altă parte, din discuţiile purtate de reprezentanţii ROMSYS cu cei prezenţi în sală s-a desprins concluzia că ar fi oportună analiza reală a unei sucursale de distribuţie a energiei electrice, din punctul de vedere al vulnerabilităţii sistemului său informatic, în perspectiva funcţionării on-line a unei aplicaţii integrate de tip E.R.P. la nivel naţional.
cristian.tomescu@romsys.ro