1 

 

UNIVERSITATEA „SPIRU HARET”

FACULTATEA DE CONTABILITATE ŞI FINANŢE, CÂMPULUNG - MUSCEL

Masterat: Contabilitate armonizată şi managementul afacerilor

DISCIPLINA: SECURITATEA AFACERILOR ELECTRONICE

OBIECTIVE GENERALE ŞI SPECIFICE

Aprofundarea problemelor privind afacerile electronice într-o structură adecvată a activităţilor şi documentelor financiar-contabile la nivelul unităţilor regionale romanesti.

Pregătirea şi validarea competenţelor pentru exigenţe specifice de integrare, consiliere, adaptare, motivare, validare a cunoştinţelor şi aptitudinilor pe ruta profesională în consens cu nevoile agenţilor economici. Integrarea societăţilor comerciale româneşti în economia “globalizată”.

însuşirea de către masteranzi a problemelor legate de problemele securităţii informatice, de fraudarea sistemelor informatice prin stabilirea ameninţărilor şi vulnerabilităţilor reţelelor de calculatoare precum şi de criminalitate informatică. Este un curs care urmează firesc disciplinelor cu pronunţat specific informatic unde se pun bazele analizei, conceperii şi utilizării sistemelor informatice în domeniile economice.

Conectarea conceptului de “comunicare formal” corelat cu infrastructura. Detalierea mediilor de transmisie a datelor.

Accentuarea caracterului contributiv de cercetare ştiinţifică de specialitate în domeniul afacerilor electronice urmărind creşterea eficienţei economice, în general, şi în sporirea profitului, în particular

ABILITĂŢI ŞI COMPETENŢE:

Formarea de competenţe suple şi dinamice care să asigure în mod responsabil, cele mai variate şi

complexe prestaţii în domeniul profesiilor de natura economice angajate şi externalizate. Masteranzii care aprofundează pregătirea prin această disciplină îşi dezvoltă cunoştiinţe, practici

specifice şi competenţe cu relevanţă în pregătirea de înalt nivel în domeniul afacerilor derulate prin mijloace electronice.

În contextul implicării active a instituţiilor, organismelor şi a influenţelor politicilor europene de dezvoltare, absolventul de master deprinde raţionamentele necesare înţelegerii fluxurilor şi a circuitelor parcurse de datele electronice.

Se formează deprinderile strict necesare conectării masterandului la mediile de comunicare, management şi afaceri virtuale.

Din confruntarea permanentă între cunoştinţele teoretice dobândite anterior, realitatea din societăţile româneşti şi noile tehnologi informaţionale, masterandul dobândeşte competenţe în managementul activităţilor derulate la nivelul unui agent economic.

Cunoaşterea şi aplicarea afacerilor electronice oferă creşterea profesionalismului în analiza, organizarea şi perfecţionarea continuă a ansamblului agent economic-structură organizatorică-comunicare în scopul eliminării punctelor nevralgice.

2 

 

CONŢINUTUL TEMATIC DE BAZĂ: 1. Conceptele fundamentale referitoare la criminalitatea informatică, confidenţialitatea şi frauda; 2. Materializarea orientărilor UE de păstrare-prelucrare a datelor generate de serviciile de comunicaţii

electronice. Identitatea electronică 3. Definirea şi clasificarea atacurilor informatice ce pot apare în reţelele de calculatoare şi de comunicaţii

din compunerea sistemelor informatice financiar-contabile şi bancare; 3. Aspectele legislative referitoare la criminalitatea informatică. Standarde şi recomandări de securitate

pentru sistemele informatice; Modelul client-server; 4. Identificarea vulnerabilităţilor sistemelor informatice financiar-contabile şi bancare; 5. Semnătura electronică instrument al eActivităţilor 6. Securitatea în reţele: standarde în securitatea informatică; 7. Monitorizarea, filtrarea procesului de colectare de date personale confidenţiale

BIBLIOGRAFIE:

1. Boulescu Mircea, Ispir Ovidiu, Elena-Doina Dascalu - Uniunea Europeana-Institutii,buget,audit, Editura Didactică şi Pedagogică, Bucureşti, 2009

2. Boulescu Mircea - Auditul sistemelor informatice financiar-contabile, Editura Tribuna Economică, 2005

3. Huţu Carmen Aida - Cultură, schimbare, competiţie. Cazul transferului de tehnologie în firme româneşti, Editura Economică, Bucureşti, 2006

4. Mareş Marius Daniel, Mareş Valerica, Mihai Gabriel; Managementul electronic al documentelor financiar-contabile şi bancare (în pregătire), Editura Fundaţiei „România de Mâine” 2011,

5. Mareş Marius Daniel, Mareş Valerica, Fluxul informaţiilor financiar-contabile – la firme şi instituţii, 2010, Editura Tribuna Economică

6. Mareş Marius Daniel, Mareş Valerica, Documente şi evidenţe în format electronic, 2008, Editura Tribuna Economică, ISBN 978-073-688-107-7

7. Mareş Marius Daniel, Mihai Gabriel, Mareş Valerica; Fundamentele informaticii, Editura Fundaţiei „România de Mâine”, 2008

8. Mareş Marius Daniel, Mihai Gabriel, Mareş Valerica; Informatică generală, Editura Fundaţiei „România de Mâine”, 2006

9. Mareş Marius Daniel, Mareş Valerica, Mihai Gabriel; Sisteme informatice financiar-bancare, Editura Fundaţiei „România de Mâine”, 2008

10. Năstase Floarea - Arhitectura reţelelor de calculatoare, Editura Economică, Bucureşti, 2005 MODALITĂŢI DE EVALUARE A CUNOŞTINŢELOR Evaluare pe parcurs: proiect. Evaluare finală: raport de cercetare TEME DE CERCETARE

1. Dezvoltarea şi implementarea “semnăturii digitale”, confidenţialitatea datelor 2. Administraţia electronică E-Government şi implementarea serviciilor bancare electronice 3. Managementul documentelor şi realizarea arhivelor electronice de documente 4. Frauda informatică şi explorarea unor noi metode de prevenire a acesteia în sistemele informatice

financiar-contabile şi bancare 5. Implementarea, utilizarea şi dezvoltarea sistemelor de plăţi şi încasări electronice

3 

 

6. Corelarea politicilor şi a prevederilor naţionale privind modul de organizare, planificare şi derulare a activităţilor de comerţ electronic în spaţiul european

7. Căi de îmbunătăţire a activităţilor online, forme de expansiune a societăţilor multinaţionale. 8. Asigurarea controlului hardware şi software privitor la corectitudinea, mentenanţa şi protecţia datelor.

Eliminarea redundanţelor datelor. 9. Determinarea şi optimizarea fluxurilor de date specifice activităţii financiar-contabile 10. Managementul documentelor firmei în format electronic specific mediului de afaceri românesc

Precizări privind modul de întocmire a raportului de cercetare Fiecare are masterand va întocmi un Raport de cercetare pe o temă de cercetare din cele enunţate mai sus,

care va cuprinde rezultatul investigaţiei bibliografice a acestuia. Structura generală a raportului Coperta Cuprins: lista capitolelor, subcapitolelor cu paginaţia corespunzătoare acestora. Introducere: 2-5 pag., în care se va prezenta: motivaţia şi importanţa alegerii temei; obiectivele cercetării; ipotezele de lucru; Conţinutul raportului: 15-20 pag., în care se vor include: 3 capitole, cu subcapitole; figuri, diagrame,

tabele, cu menţionarea sursei de informare, trimiteri la subsolul paginilor a surselor bibliografice din care se prezintă anumite informatii, citate,

Concluzii, consideraţii personale şi propuneri: 2-4 pag. Masteranzii vor preda Raportul de cercetare listat însoţit de un cd care să conţină Raportul în

formă electronică la secretariatul facultăţii cu 10 zile înainte de data susţinerii examenului. Masteranzii de la cursurile de zi vor susţine Raportul de cercetare în faţa cadrului didactic şi a

colegilor de master.

În aprecierea raportului de cercetare se vor urmări, cu precădere, contribuţia originală, elementele de noutate aduse în tratarea temei de cercetare, atât în plan teoretic cât şi în cel practic-aplicativ, modul de validare a ipotezelor ştiinţifice, rezultatele cercetării şi propunerile de valorificare a acestora în practica organizaţiilor.

Confidenţialitatea şi frauda

În lumea reală există persoane care pătrund în case si pot fura tot ce găsesc valoros. În lumea virtuală există indivizi care pătrund în sistemele informatice si „fură” toate datele valoroase. La fel cum în lumea reala exista oaspeţi nepoftiţi si persoane care simt plăcere atunci când îşi însuşesc sau distrug proprietatea altcuiva, în lumea calculatoarelor nu putea fi lipsita de acest fenomen nefericit. Este cu adevărat detestabilă perfidia acestor atacuri. Caci daca se poate observa imediat lipsa cutiei cu bijuterii, o penetrare a serverului de contabilitate poate fi depistata după câteva luni, atunci când toţi clienţii au renunţat la serviciile firmei deoarece datele furate si ajunse la concurenta au ajutat-o pe aceasta sa le facă oferte mai bune.

Poveştile despre crackeri si viruşi periculoşi constituie deliciul cărţilor şi articolelor de securitate informatica. Poate tocmai de aceea pericolul cel mai mare în ceea ce priveşte asigurarea acestei securităţi este de cele mai multe ori neglijat. Pentru ca cele mai multe ameninţări nu vin din exterior, ci din interior.

Noţiunea de persoană din interior este oarecum greu de definit. Spre exemplu membrii unui departament se consideră reciproc drept fiind din interior, cei de la celelalte departamente fiind consideraţi ca fiind din afara. În ceea ce priveşte securitatea, o persoană din interior este cineva care este familiarizat cu procedurile si operaţiunile organizaţiei, are prieteni în interiorul grupului, având totodată acces la resursele si sistemele oferite de aceasta organizaţie.

4 

 

Ceea ce face ca persoanele din interior sa fie si mai periculoase este ca ele sunt greu de detectat. Un străin este uşor observat atunci când încearcă să treacă una din barierele dintre organizaţie si lumea exterioara, lucru pe care un membru al organizaţiei nu trebuie sa îl facă.

Sistemele de calcul sunt în general protejate la accesul persoanelor neautorizate. Exista mai multe mecanisme de autentificare si apoi autorizare a utilizatorilor autorizaţi, însa cel mai răspândit este cel bazat pe nume de utilizator si parola (username si password). Un utilizator primeşte un nume si o parola pe care le foloseşte atunci când vrea să acceseze un serviciu sau un calculator.

Perechea nume de utilizator / parola are pentru sistemele informatice rolul pe încuietoarea uşii îl are în ceea ce priveşte protejarea unei camere la intrarea străinilor. Încuietoarea este considerata drept un mijloc sigur de protecţie, însa în realitate, exista persoane capabile, pentru care aceasta nu constituie o problema atunci când doresc accesul în încăpere. Acelaşi lucru este din păcate valabil si pentru lumea calculatoarelor.

Vulnerabilitati Pentru a obţine rezultatele pe care le doreşte, un atacator trebuie sa se folosească de o vulnerabilitate a

calculatorului sau a reţelei, care este definita după cum urmează: Vulnerabilitatea (vulnerability) este o slăbiciune a sistemului care permite o acţiune neautorizata.

Acestea sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor. Acestea pot fi deci clasificate în următoarele categorii:

• Vulnerabilitate de proiectare (design vulnerability) – o eroare care apare în prima faza a vieţii unui produs, aceea de concepţie, si chiar o implementare ulterioara perfecta nu o va înlătura

• Vulnerabilitate de implementare (implementation vulnerability) – apare ca urmare a fazei de punere în practica a proiectului.

• Vulnerabilitate de configurare (configuration vulnerability) – apare ca urmare a erorilor făcute în configurarea sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere a fişierelor cu parole

Acţiunea Acţiunea poate fi definita ca un demers pe care un utilizator sau un program îl face, cu scopul de a

obţine un rezultat. Tipuri de acţiuni: • Sondare (probe) – accesarea unei ţinte cu scopul de a îi determina caracteristicile • Scanare (scan) – accesarea secvenţiala unei mulţimi de ţinte pentru a determina care dintre ele are o

anumita caracteristica • Inundare (flood) – accesarea unei ţinte în mod repetat, cu scopul de a o supraîncărca si a produce

inaccesibilitatea serviciului pe perioada inundării, serviciul fiind ocupat exclusiv cu răspunsurile la toate cererile venite in avalanşa de la expeditorul inundaţiei.

• Autentificare (authenticate) – prezentarea identităţii cuiva unui program si, daca este nevoie, verificarea acestei identităţi, cu scopul de a primi acces pe sistemul ţinta

• Evitarea (bypass) – evitarea unui proces sau program folosind o metoda alternativa de a accesa tinta.

• Simulare (spoof) – acţiunea de a falsifica caracteristicile unui sistem sau program pentru a imita o alta entitate din reţea.

• Citire (read) – obţinerea conţinutului unui mediu de date • Copiere (copy) – reproducerea ţintei fără a o modifica • Furt (steal) – preluarea posesiei unei ţinte, fără a păstra o copie în locaţia originală • Modificare (modify) – schimbarea conţinutului sau caracteristicilor ţintei • Ştergere (delete) – înlăturarea ţintei sau distrugerea capacitaţilor sale Unelte Unealta este o modalitate de a exploata vulnerabilitatea unui computer sau a unei reţele.

5 

 

Categoriile de unelte folosite sunt următoarele: • Atac fizic (physical atack) – o modalitate de a sustrage sau distruge un calculator, o retea,

componentele acestora sau sistemele de sustinere (aer conditionat, electricitate, etc.) • Schimbul de informatii (information exchange) – o modalitate de a obtine informatii fie de la alti

atacatori (spre exemplu prin IRC) sau de la oamenii care sunt atacati (inginerie sociala) • Comanda a utilizatorului (user command) – modalitate de a exploata o slabiciune pin

introducerea de comenzi într-un program. • Script sau program (script or program) – exploatare a vulnerabilitatilor prin executia unui fisier

de comenzi (script) sau a unui program. • Agent independent (autonomous agent) – folosirea unui program sau a unui fragment de program

care opereaza independent de utilizator, exemple fiind virusii si viermii de retea. o Virusii sunt mici fragmente de programe de calculator de calculator care se auto-replica sau

insereaza copii ale codului propriu în alte programe, atunci când o aplicatie infectata este rulata. Un tip diferit de virus este „viermele” (worm) care nu infecteaza fisierele de pe disc, ci se raspândeste cu ajutorul retelei.

o Troienii sunt tot fragmente de programe însa nu au capacitatea de auto-replicare, fiind inserati în programe normale. Atunci cand utilizatorul executa aceste programe, executa neintentionat si fragmentul de cod de tip „cal troian”, aproape întodeauna efectele fiind negative.

• Programe integrate (toolkit) – un pachet de programe care contine comenzi, programe sau agenti independenti care exploateaza slabiciunile sistemelor.

• Unelte distribuite (distributed tools) – unelte care sunt dispersate pe mai multe calculatoare, care pot fi coordonate pentru a conduce atacuri simultane catre aceeasi tinta.

• Interceptor de date (data tap) – mijoc de a monitoriza radiatia electomagnetica emanata de un calculator sau o retea, folosind un echipament extern

Toate aceste categorii pot proveni atât din exteriorul cât si din interiorul companiei. • Novicele este de obicei un începator singuratic. Nu are experienta în calculatoare si nici cum sa

patrunda în sisteme din afara. Novicele lucreaza singur si nu are ajutor din afara, fiind în cele mai multe ori un experimentator care nu comite ilegalitati. Este destul de usor de depistat deoarece nu este capabil sa îsi stearga urmele, ceea ce este greu este ca el sa fie considerat o amenintare. Rezultatele „muncii” acestuia pot fi gasite de regula în câteva locatii:

1. fisiere cu parole; 2. fisiere de configurare pentru utilizatori; 3. fisiere de configurare ale sistemului. Cea mai buna metoda de a combate novicii este educatia utilizatorilor, deoarece novicii profita de

lipsurile în ceea ce priveste administrarea parolelor. Aproape 80 de procente din totalul intrarilor neautorizate pe sisteme se întâmpla în acest fel.

• Ucenicul este acel novice care progreseaza dincolo de fazele initiale, schimbând mesaje cu cei care li se aseamana. Nu numai ca îsi îmbunatatesc foarte mult cunostintele, dar devin parte a unei retele. Membri mai avansati sunt bucurosi sa îsi împartaseasca experienta, iar novicii devin ucenici.

Ei învata sa îsi acopere mai bine urmele si sa intre sau sa iasa din sisteme fara sa atraga atentia. Si, desi nu cunosc înca modalitatile de functionare ale sistemelor de securitate, au învatat însa cum sa procedeze astfel încât sa nu lase urme. „Ucenicii” de cele mai multe ori reusesc sa treaca de protectia prin parola a sistemelor si stiu câte ceva si despre alte sisteme de securitate, ceea ce îi face ceva mai greu de prins.

• Vizitatorul este probabil cel mai „inocent” dintre atacatori. Aceste persoane sunt simpli trecatori curiosi. Rareori se întâmpla ca ei sa compromita sistemele, în afara cazului în care întâlneste o oportunitate serioasa. Daca un vizitator va gasi un obstacol, de cele mai multe ori se va retrage, cautând alt sistem unde accesul este mai usor. O exceptie la aceasta regula, foarte rara, este situatia în care vizitatorul observa un lucru interesant si este dispus sa îsi mai petreaca ceva timp pentru a-l putea studia.

• Amatorul avansat este, spre deosebire de vizitator, capabil, greu de detectat si de cele mai multe ori cu o dorinta speciala de a face rau. Pentru multi din aceasta categorie, scopul principal este sa vada cât de mult

6 

 

pot distruge. În general ei folosesc greseli de programare a sistemului de operare pentru a ocoli mecanismele de autentificare, si a primi acces neautorizat la sistem.

• Profesionistul este diferit de toate celelalte categorii de intrusi: o persoana bine antrenata, un spion profesionist al calculatoarelor. Aceste persoane se pricep foarte bine sa intre într-un sistem de calcul (server, PC, router, etc.) si apoi sa îl paraseasca fara sa fie observati în vreun fel. Ei altereaza sau ocolesc aplicatiile de jurnalizare a activitatilor la fel de usor cum pot compromite orice parte a sistemului.

Chiar odata cu dezvoltarea comertului electronic , un mare numar de comercianti, ofertanti in cadrul

licitatiilor sau persoane, au continuat sa transmita date sensibile cum ar fi: conturi bancare, informatii despre carduri de credit sau alte date personale, folosind metode nesecurizate ca email-uri si formulare din cadrul unui site web necriptate.

Principalele tipuri de frauda sunt in stransa legatura cu: Vulnerabilitati de transport – Interceptarea datelor financiare , a numelor de user sau

parolelor transmise intr-un mediu nesigur. Traficul retelelor poate fi monitorizat si pot fi extrase date pentru utilizarea ulterioara in actiuni

frauduloase. Datele trimise in text clar intr-o retea pot fi recunoscute chiar cu ajutorul unor instrumente administrative comune sau cu ajutorul unor instrumente software de tip freeware.

Deoarece interceptia doar a unei singure tranzactii nu aduce beneficii prea mari pentru o persoana ce intreprinde actiuni frauduloase cele mai importante vulnerabilitati de transport sunt asociate cu volume mari de date.

Modificarea pretului – Modificarea frauduloasa a termenilor unei autorizatii. Datorita importantei obtinerii unei autorizatii valide din partea consumatorilor pentru realizarea de

tranzactii prin Internet, problema schimbarii pretului este una importanta. Aceasta situatie apare in momentul in care informatia HTML este alterata prin intermediul manipularii valorilor ascunse, care reprezinta o caracteristica a HTML-ului ce permite dezvoltatorilor web sa schimbe in mod rapid valorile.

Serverele web nu valideaza de obicei sursa schimbarii, ceea ce face campurile ascunse un loc riscant de pastrare a informatiilor critice. Un utilizator poate descarca pagina sursa HTML care contine campurile ascunse, sa schimbe valorile si s-o trimita inapoi serverului. Serverul va accepta schimbarea si o va procesa ca pe o cerere valida.

Furtul numelui de user si a parolei – Generarea sistematica si testarea numelui de utilizator si a parolei pentru autorizarea frauduloasa a unei operatiuni financiare.

Tehnologia de spargere a numelui de user si a parolelor pentru a a castiga fraudulos dreptul de acces la sisteme exista de foarte mult timp. Desi acest mod de autentificare al clientilor este destul de comun el prezinta un anumit grad de risc.

Folosirea in scopuri comerciale a Internetului este in continua crestere. Se anticipeaza ca aceasta

tendinta sa se accentueze in viitor. In lumea reala se poate aprecia din modul de prezentare fizica a unui magazin gradul de incredere care ii poate fi acordat. Acest lucru este mai greu de realizat in cazul cumparaturilor online. Clientii pot sa nu primeasca niciodata bunurile pe care le-au platit si detalii despre cartea lor de credit, furnizate magazinului virtual, pot sa fie dezvaluite ceea ce poate conduce la folosirea abuziva a acestor date de cate alte persoane.

Verificati politica de confidentialitate a site-ului. Daca o astfel de politica nu exista, atunci trebuie sa

aveti in vedere ca datele personale pot ajunge la alte companii rezultand receptia unui numar mare de e-mailuri nesolicitate.

Institutiile bancare realizeaza atat inspectii fizice periodice ale ATM-urilor cu scopul de a identifica

orice dispozitive atasate acestora, dar iau si masuri pentru verificarea unor functionalitati interne ale aparatelor.

7 

 

De cele mai multe ori fraudarea ATM-urilor se realizeaza cu ajutorul unui scanner specializat atasat slotului de insertie al cardului si al unei camere video de mici dimensiuni.

Scannerul captureaza numarul personal de identificare, numarul cardului si alte informatii stocate in banda magnetica in timp ce camera video inregistreaza tastarea efectiva a codului PIN de catre posesorul cardului.

Informatiiile sunt copiate si introduse intr-un alt card ATM facilitand accesul neautorizat la contul bancar. Codul PIN reprezinta un mod de protectie al contului bancar in cazul pierderii cardului ATM.

Cea mai sigura metoda de achizitionare de bunuri pe Internet este cu ajutorul cardului de credit deoarece se pot cere despagubiri in cazul unor operatiuni nereusite.

Nu furniza nimanui numarul cardului de credit online decat daca site-ul este sigur si are o buna reputatie. Uneori o mica iconita poate apare in bara de status a browserului care sa indice un nivel mai ridicat de securitate a transmiterii datelor. Aceasta iconita nu reprezinta o garantie pentru securitatea site-ului, dar poate aduce un anumit grad de siguranta.

Nu aveti incredere intr-un site doar pentru ca acesta pretinde a fi asa. Incearca sa obtii o adresa fizica, nu doar adresa unei casute postale,si un numar de telefon la care

vanzatorul poate fi contactat si verifica daca acest numar este corect si functioneaza. Trimite email pentru a verifica daca acel cont de email este activ si mentine o mare precautie fata de

vanzatorii care folosesc servicii de email gratuite, unde nu este necesar un card de credit pentru deschiderea contului. Verifica si alte pagini web cu referire la persoana compania ce realizeaza vanzarea.

8 

 

Materializarea orientărilor UE de păstrare-prelucrare a datelor generate de serviciile de comunicaţii

electronice. Directiva 24/CE/2006/ a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice vine să îmbunătăţească caracterul aplicativ al Directivei 2002/58/CE din 12 iulie 2002 privind prelucrarea datelor cu caracter personal şi protejarea confidenţialităţii în sectorul comunicaţiilor publice, în condiţiile nou create prin dezvoltările tehnologiei informaţiei se aplică datelor de trafic şi localizare, atât pentru entităţi juridice, urmărind să armonizeze dispoziţiile statelor membre privind obligaţiile furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceştia, pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării şi urmăririi penale a infracţiunilor grave Fiecare stat membru desemnează o autoritate publică responsabilă pentru monitorizarea aplicării Directivei stabilindu-se explicit faptul că nu se aplică monitorizarea pentru conţinutul comunicaţiilor electronice. Se menţionează obligaţiile statelor membre UE de păstrare a datelor, perioada de păstrare fiind de cel puţin 6 luni dar cel mult 2 ani de la momentul producerii comunicaţiei. Cronologic calendarul stabilit de Parlamentul European şi de Consiliul UE la această problematica este prezentat în continuare. Octombrie 1995 Directiva 95/46/CE a Parlamentului European din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date 12 iulie 2002 Directiva 2002/58/CE a Parlamentului European din 12 iulie 2002 asupra confidenţialităţii şi comunicaţiilor electronice stabileşte norme specifice pentru sectorul comunicaţiilor electronice aplicabile prelucrării de către furnizorii de reţele şi servicii a datelor privind traficul şi localizarea generate prin utilizarea serviciilor de comunicaţii electronice Mai multe state membre au adoptat legislaţia care prevede păstrarea datelor de către furnizorii de servicii în vederea prevenirii, cercetării, detectării şi urmăririi penale a infracţiunilor. Aceste dispoziţii de drept intern variază considerabil de la ţară la ţară datorită diferenţele juridice şi tehnice 11 septembrie 2001 atentat terorist in Statele Unite 19 decembrie 2002 Consiliului de Justiţie şi Afaceri Interne subliniază faptul că, din cauza creşterii semnificative a posibilităţilor oferite de comunicaţiile electronice, datele referitoare la utilizarea comunicaţiilor electronice sunt importante în mod special şi, în consecinţă, reprezintă un instrument valoros în vederea prevenirii, cercetării, detectării şi urmăririi penale a infracţiunilor, în special, a criminalităţii organizate. 11 martie 2004 Spania atac terorist la Madrid 25 martie 2004 Declaraţia privind combaterea terorismului, adoptată de Consiliul European 24 februarie 2005 Decizia-Cadru 2005/222/JAI a Consiliului privind atacurile împotriva sistemelor informatice 7 iulie 2005 Atentat terorist la Londra 13 iulie 2005, Consiliul European prin declaraţia sa condamnă atacurile teroriste din Londra reafirmând necesitatea adoptării, unor măsuri comune privind păstrarea datelor de telecomunicaţii Statele membre trebuie să adopte măsuri legislative pentru a se asigura că datele păstrate în temeiul prezentei directive sunt furnizate autorităţilor naţionale competente numai în conformitate cu legislaţia internă, respectând întru totul drepturile fundamentale ale persoanelor în cauză. 15 septembrie 2007 Statele membre UE asigură intrarea în vigoare a actelor cu putere de lege şi a actelor administrative necesare pentru a se conforma Directivei 15 martie 2009, termenul maxim până la care fiecare stat membru poate amâna aplicarea Directivei

9 

 

15 septembrie 2010, Comisia prezintă Parlamentului European o evaluare a aplicării prezentei directive şi impactul acesteia asupra operatorilor economici şi a consumatorilor, ţinând seama de dezvoltarea ulterioară a tehnologiei comunicaţiilor electronice şi statisticile furnizate Comisiei România este obligată prin Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de către furnizorii de reţele şi servicii de comunicaţii electronice destinate publicului şi de modificare a Directivei 2002/58/CE, publicată în Jurnalul Oficial al Uniunii Europene (JOUE) nr. L105 din 13 aprilie 2006. Guvernul ţării noastre a încercat să răspundă cerinţelor UE realizând Legea nr. 298/2008. Această lege stabileşte obligaţia furnizorilor de servicii şi reţele publice de comunicaţii electronice de a reţine anumite date generate sau prelucrate în cadrul activităţii lor de furnizare a serviciilor de comunicaţii electronice, pentru punerea acestora la dispoziţia autorităţilor competente în scopul utilizării în cadrul activităţilor de cercetare, descoperire şi urmărire a infracţiunilor grave. Legea se aplică datelor de trafic şi de localizare a persoanelor fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat, neurmărind conţinutul comunicării sau informaţiile consultate în timpul utilizării unei reţele de comunicaţii electronice. Conform acestei legi furnizorii de servicii şi reţele publice de comunicaţii electronice care alocă numerotaţie, în cazul serviciilor de telefonie fixă şi mobilă, respectiv adrese Internet Protocol IP, au obligaţia de a asigura, pe cheltuiala proprie, crearea şi administrarea unei baze de date în format electronic în care aceste elemente vor fi stocate pe o perioadă de 6 luni de zile. La sfârşitul perioadei, toate datele stocate excepţie făcând cele solicitate şi puse la dispoziţia autorităţilor competente, potrivit legii, si care au fost păstrate de către acestea, trebuie sa fie distruse prin proceduri automatizate, ireversibil Se remarcă faptul că există propunerea ca toate cheltuielile legate de crearea şi administrarea bazei de date să fie deductibile fiscal. În baza de date se vor reţine următoarele elemente a) date necesare pentru urmărirea şi identificarea sursei unei comunicări; b) date necesare pentru identificarea destinaţiei unei comunicări; c) date necesare pentru a determina data, ora şi durata comunicării; d) date necesare pentru identificarea tipului de comunicare; e) date necesare pentru identificarea echipamentului de comunicaţie al utilizatorului; f) date necesare pentru identificarea locaţiei geografice a echipamentului de comunicaţii mobile. Ministerul Internelor şi Reformei Administrative, Ministerul Public, Serviciul Român de Informaţii şi Serviciul de Informaţii Externe au obligaţia de a colecta şi de a transmite semestrial Ministerului Comunicaţiilor şi Tehnologiei Informaţiei date statistice privitoare la numărul cazurilor în care informaţiile au fost furnizate autorităţilor, perioada de timp scursă între data la care datele au fost stocate şi data la care autoritatea competentă a solicitat transmiterea; numărul de cazuri în care solicitările de date nu au putut fi îndeplinite. În continuarea procesului Ministerul Comunicaţiilor şi Tehnologiei Informaţiei va centraliza datele statistice primite de la autorităţile competente şi va transmite anual Comisiei Europene statisticile elaborate. De remarcat că aceste statistici nu vor conţine date cu caracter personal. Solicitarea transmiterii de date reţinute se realizează numai după ce a fost începută urmărirea penală, cu autorizarea motivată a preşedintelui instanţei căreia îi revine competenţa să judece cauza sau în situaţia în care sunt indicii temeinice privind pregătirea sau săvârşirea unei infracţiuni grave. Documentul pe baza căruia se solicită date de trafic şi de localizare este Autorizaţia de solicitare a datelor care trebuie să cuprindă obligatoriu, denumirea instanţei/parchetului dar şi numele judecătorului; data, ora şi locul emiterii; durata de valabilitate a autorizaţiei care nu poate fi mai mare de 15 zile; denumirea şi sediul social ale persoanei juridice care trebuie să pună la dispoziţie datele; indicarea persoanei cu privire la care se va face verificarea datelor, codul de identificare a abonatului sau a utilizatorului de servicii de Internet, numărului de telefon al abonatului la serviciile de telefonie fixă sau mobilă; temeiurile concrete care

10 

 

determină autorizarea de solicitare a datelor; perioada de timp pentru care datele stocate urmează a fi furnizate. Bineînţeles toate aceste elemente sunt certificate prin semnătura judecătorului/procurorului. Această lege a fost publicată în Monitorul Oficial, Partea I nr. 780 din 21 noiembrie 2008, atacată drept neconstituţională de către Comisariatul pentru Societatea Civilă, iar în 8 octombrie 2009 a fost declarată neconstituţională prin Decizia Curţii Constituţionale 1258 prin motivaţia că secretul corespondenţei, reglementat de art.28 din Constituţie, include în sfera sa şi protecţia asupra datelor de trafic şi de localizare a persoanelor care poartă corespondenţă. Deoarece a fost adus în prim plan termenul de adresă Internet Protocol - IP asigurat conform acestei legi de furnizorii de servicii şi reţele publice de comunicaţii electronice care alocă numerotaţie, autorii vă supun atenţiei spre informare evoluţia IP, dar şi cum se formează o astfel de adresă. Aşa cum telefoanele sunt identificate printr-un număr unic de telefon, calculatoarele conectate la Internet sunt identificate prin serii unice de numere, denumite adrese IP. Fiecare adresa IP este alcătuită structural din 4 grupări numere separate prin 3 puncte. De fiecare dată când un calculator "vorbeşte" cu un alt calculator conectat la Internet înainte să aibă loc comunicarea numele celuilalt calculator trebuie transformat într-o adresa IP. Atunci când s-au pus bazele Internet-ului, proiectanţii au calculat un număr maxim de calculatoare care se vor lega la această reţea şi cu o marjă de siguranţă s-a adoptat o modalitate de adresare bazată pe patru octeţi care permite conectarea a maxim 2554 dispozitive (observaţi că nu sa folosit termenul de calculator deoarece apar şi se dezvoltă terminalele mobile). Anul 2000 a trecut şi se constată că se termină spaţiul de adrese IP. Adresele IP sunt grupate în cinci clase: A, B, C, D, E, prezentate grafic.

Reprezentarea structurală a modului de formare a adresei IP

Se observă că o adresă IP se compune din două părţi: prima reprezintă adresa reţelei iar a doua reprezintă adresa dispozitivului din interiorul reţelei. Formatul adresei de clasă A permite conectarea la Internet a maxim 126 reţele de acest tip, fiecare reţea putând avea 16 milioane de dispozitive. Formatul adresei de clasă B permite conectarea a maxim 16.382 retele, fiecare cu aproximativ 65.536 dispozitive. Formatul adresei de clasă C permite conectarea a 2.097.152 reţele, cu u număr maxim de 256 dispozitive în reţea. Adresele de clasa D sunt pentru adrese multicast iar cele din clasa E sunt rezervate pentru utilizari viitoare. În momentul actual se remarcă două mari tendinţe ale Internetului, ambele ducând la necesitatea reproiectării sistemului de adresare în Internet. Tendinţa de a lega la Internet alte tipuri de aparate decât calculatoare, de aici apărând necesitatea altor miliarde de adrese IP, dar şi dezvoltarea în sfera comercială a Internet-ului prin oamenii de afaceri sau alţi utilizatori care se află într-o permanentă mişcare, care nu au un loc fix de unde sa acceseze Internet-ul. Una dintre soluţiile rezolvării problemei adreselor de IP este CIDR (Classless InterDomain Routing - dirijarea fără clase între domenii), conform căreia lumea a fost împărţită în patru mari zone, astfel: adresele: 194.0.0.0 - 195.255.255.255 Europa, adresele: 198.0.0.0 - 199.255.255.255 America de Nord, adresele: 200.0.0.0 - 201.255.255.255 America de Sud şi Centrală, adresele: 202.0.0.0 - 203.255.255.255 Asia şi Pacific.

11 

 

În 1990 a început activitatea de dezvoltare a unei noi versiuni de IP. Obiectivele noului Ip sunt: 1. să dispună de un spaţiu de adrese practic nelimitat (care să nu se termine nici peste sute de ani), 2. să reducă, pe cit posibil, dimensiunea tabelelor de routare, 3. să asigure o securitate, autentificare şi confidenţialitate mai bună. 4. să simplifice protocolul, astfel încât routerele să poată procesa mai eficient pachetele de date, 5. să acorde o mai mare atenţie tipului de serviciu prin care datele aplicaţiilor în timp real să aibă

prioritate mai mare, 6. să creeze condiţiile pentru ca un calculator gazdă host să poată migra în alte spaţii geografice, fără

schimbarea adresei sale, 7. să permită coexistenţa noului şi vechiului protocol pentru câţiva ani.

Soluţia IPv6 are adrese cu o lungime de 16 octeti (faţă de 4 la IPv4), care duc la un total de 2128 adrese, sau 3*1038 suficiente pwentru o perioadă mare de timp de acum înainte. Majoritatea calculatoarelor preiau adresa IP din reţeaua la care sunt conectate, aceasta fiind atribuită în mod dinamic, se poate schimba oricând fiind destinata echipamentelor ce nu necesită conexiune permanentă la Internet,de către un Furnizor Servicii Internet (ISP - Internet Service Provider) sau de către departamentul IT al companiei. Dezavantajul unei adrese IP alocată dinamic este ca aceasta se schimbă de fiecare dată când apare comexiunea la Internet. În cazul în care este necesară o conexiune permanentă la Internet, furnizorul de servicii poate aloca o "adresă IP statică" care va identifica PC-ul pe Internet, utilizând aceeaşi adresa IP atâta timp cât utilizatorul este abonat la acelaşi ISP. Adresa IP statică este necesară atunci când calculatorul trebuie să furnizeze servicii Internet, precum e-mail sau web hosting. Câteodată este util a cunoaşte adresa IP. Acest lucru este necesar a fi cunoscut când se configurează un calculator într-o reţea, la instalarea software-ului de comunicaţii sau pentru a identifica o problemă privind conexiunea la Internet. Mulţi utilizatori de PC-uri nu cunosc faptul că adresa de IP în format numeric este transformată în cuvinte, care se reţin uşor prin intermediul unei componente Nume Domeniu / Sistem DNS (Domain Names / Domain Name System). Se remarcă şi tratează în continuare modul în care un utilizator poate verifica dacă pagina WEB pe care o vizitează este întradevăr cea oficială, dar şi situaţia în care calculatorul se află în spatele unui firewall. Firewall-ul poate ascunde adresa actuală a calculatorului astfel încât aceasta să nu fie vizibilă. Se poate face în acest moment următoarea analogie: dacă se cunoaşte de către o persoană CNP-ul şi alte date personale ale altei persoane este extrem de uşor ca prima persoană să substituie identitatea celeilalte; respectiv numele calculatoarelor utilizate. Legea privind stocarea şi prelucrarea datelor cu caracter personal şi protectia vietii private în sectorul comunicaţiilor electronice a fost publicată în Monitorul Oficial, Partea I nr. 780 din 21 noiembrie 2008, atacată drept neconstituţională de către Comisariatul pentru Societatea Civilă, iar în 8 octombrie 2009 a fost declarată neconstituţională prin Decizia Curţii Constituţionale 1258 prin motivaţia că secretul corespondenţei, reglementat de art.28 din Constituţie, include în sfera sa şi protecţia asupra datelor de trafic şi de localizare a persoanelor care poartă corespondenţă.

Crearea cadrului de interoperatibilitate şi dezvoltarea de servicii publice interactive şi personalizate.

În vederea accelerării tranziţiei către Societatea Informaţională şi Economia Bazată pe Cunoaştere această lege stabileşte drepturile şi obligaţiile operatorilor sistemelor informatice prin care se oferă servicii publice electronice. Se urmăreşte creşterea eficienţei, eficacităţii sistemelor informatice prin care se oferă servicii publice electronice, implicit utilizarea mai eficientă a fondurilor publice; îmbunătăţirea securităţii sistemelor informatice ale administraţiei publice locale şi centrale; multipla reutilizare a resurselor oferite prin sisteme informatice; îmbunătăţirea colaborării între instituţiile administraţiei publice; creşterea conformatului cetăţeanului şi facilitarea colaborării la nivel european şi internaţional. Legea 157 din 8 mai 2009 priveşte crearea şi asigurarea cadrului naţional de interoperatibilitate.

12 

 

Acest cadru naţional stabileşte condiţiile minim necesare pentru facilitarea procesului de comunicare, a securităţii, a schimbului de date-informaţii dintre: administraţie locală şi administratie la nivel national (G2G Goverment to Goverment), administraţie şi cetăţean (G2Citizen, C2G), administraţie şi societăţile comerciale din mediul privat (G2B, B2G), adminisţratia română şi alte administraţii ale statelor membre sau instiutii UE (G2UE, UE2G). Se demarează proiectul SUNA (Sistem Unic Naţional de Autentificare) prin care se crează sistemul informatic care permite autentificarea sigură a utilizatorilor serviciilor publice electronice pe baza datelor de autentificare, nume de utilizator şi parolă, sau certificat digital, înfiinţându-se în acelaşi timp Depozitarul Naţional de Documente care va permite stocarea securizată a documentelor persoanelor fizice şi juridice. Beneficiari ai acestui proiect sunt persoanele fizice sau juridice care vor intra în posesia datelor de autentificare proprii prin solicitarea eliberării datelor, verificarea identităţii solicitantului, confirmarea datelor de autentificare prin legătură electronică sau prin scrisoare recomandată cu confirmare de primire. Operatorii sistemelor informatice prin care se oferă servicii publice electronice şi instituţiile publice însărcinate cu gestionarea registrelor naţionale unice vor asigura acceptarea şi procesarea solicitărilor transmise de cetăţeni prin intermediul Sistemului Electronic Naţional sau a altui sistem informatic prin care se oferă servicii publice, asigurând în acelaşi timp transmiterea de solicitări către alte sisteme, precum şi preluarea automată a informaţiilor deja existente în cadrul registrelor naţionale unice. Orice persoană înregistrată în sistem va beneficia de un spaţiu de stocare securizat, în care va putea păstra documente proprii, în format electronic, accesul la documentele stocate va fi posibil după autentificarea şi acceptarea persoanei respective. Principalele avantaje oferite de acest sistem constau în simplificarea proceselor adminsitrative prin identificarea caracteristicilor comune şi standardizarea acestora, utilizarea formularelor standardizate la nivel naţional / comunitar concomitent cu o creştere a numărului de utilizatori prin consolidarea Punctului Central de Acces la Servicii Publice Electronice. În anul 2010 sa planificat să se realizeze migrarea serviciilor publice electronice la nivelul Punctului Unic de Acces prin utilizarea bazelor de date unice asigurându-se interoperabilitatea la nivel european prin implementarea standardelor de securitate al sistemelor informatice. În 2011 se urmăreşte extinderea şi generalizarea Punctului Unic către toate serviciile publice. Responsabilitatea realizării, implementării şi dezvoltării acestui sistem revin Ministerului Comunicaţiilor şi Societăţii Informaţionale, Agenţia pentru Serviciile Societăţii Informaţionale, Ministerul Administraţiei şi Internelor, Ministerului Finanţelor Publice şi Ministerului Justiţiei şi Libertăţilor Cetăţeneşti. La nivelul UE miniştrii s-au angajat să dezvolte serviciile publice on-line inteligente adresate cetăţenilor şi întreprinderilor mici până în 2015, urmărindu-se a realiza o guvernare electronică mai accesibilă, mai interactivă şi personalizată. La Malmö (Suedia) miniştrii UE au subliniat necesitatea existenţei unei viziuni comune şi armonizarea priorităţilor de politică privind modul în care aceasta ar trebui să fie disponibile Guvernarea electronică reprezintă un pas important către stimularea competitivităţii în Europa, care va produce în timp economii de costuri pentru cetăţenii şi întreprinderile din întreaga Europă. Angajamentul de a trecerea de la un sistem "one-size-fits-all" priveşte o abordare personalizată este mult mai probabil pentru a satisface nevoile utilizatorilor şi va a deschide calea pentru mai multă interactivitate, pentru eficientizarea serviciilor transfrontaliere şi finalizarea pieţei unice. Pentru ca astfel de servicii să devină o realitate pentru majoritatea cetăţenilor ecuaţia guvern-economii, în climatul economic actual, trebuie să fie o prioritate. Investiţiile făcute în guvernarea electronică trebuie să fie optimizate urmărind ca viaţa cetăţenilor şi a întreprinderilor să fie din ce în ce mai uşoară. Aceştia vor putea beneficia de la servicii publice eficiente pornind de la simpla înregistrare a evenimentelor de viaţă, cum ar fi Naşteri şi Şedere, la servicii orientate spre afaceri, cum ar fi înregistrarea societăţii comerciale, aplicaţii privitoare la impozitare, TVA sau Declaraţii vamale. Obiectivele-cheie pe care statele membre împreună cu Comisia pentru atingerea scopului până în anul 2015 sunt:

13 

 

să se împuternicească, prin intermediul serviciile de guvernare electronică să fie concepute în jurul nevoilor utilizatorilor, întreprinderi şi cetăţeni pentru un mai bun acces la informaţii, dar şi implicarea lor activă în procesul de elaborare a politicilor UE; facilitarea mobilităţii pe piaţa unică prin servicii de guvernare electronică pentru înfiinţarea unor afaceri, pentru studiu, pentru activitate productivă de lucru la domiciliu; maximizarea contribuţiei spre o economie durabilă cu emisii reduse de carbon prin sporirea eficacităţii şi a eficienţei serviciilor guvernamentale prin reducerea sarcinilor administrative, îmbunătăţirea proceselor organizatorice ale administraţiilor şi utilizarea tehnicilor de calcul, îmbunătăţirea eficienţei energetice la nivelul regiunilor europene.

Responsabilizarea cetăţenilor şi a întreprinderilor este deja susţinută astăzi de către un număr mare de servicii de guvernare electronică. Cifrele recente din Raportul de evaluare comparativă opt comandat de către Comisia Europeană privitor la e-guvernare în Europa, indică faptul că disponibilitatea şi calitatea serviciilor guvernamentale on-line au fost în creştere în Europa în ultimii doi ani, astfel că 71% din serviciile publice on-line analizate sunt disponibile prin portaluri sau site-uri web, în 2007 acest procent a fost de numai 59%. Statistic state precum Austria, Malta, Portugalia, Anglia, Suedia, Slovenia şi Ungaria sunt ţări lider în disponibilitatea serviciilor publice on-line. Polonia, Slovacia, Lituania şi Letonia înregistrează progrese importante, dar diferenţele în întreaga Europa rămân semnificative. Se constată un grad sporit de interacţiune între furnizorii de servicii şi utilizatori, în 2009 de 83%, comparativ cu 76%, în 2007. Achiziţiile publice electronice în 2009 sunt de aproximativ 60%, depărtate de ţinta de 100% pentru anul 2010, stabilită prin planul de acţiune pentru e-guvernare. E-guvernarea efectivă, permite tuturor cetăţenilor, întreprinderilor şi organizaţiilor să realizeze contactul cu guvernul mult mai uşor, mai rapid şi la costuri mai mici implicând regândirea modului de organizare al proceselor sociale, corelat cu schimbarea comportamentului guvernamental. Serviciile de guvernare electronică oferă o îmbunătăţire semnificativă a conexiuni guvern-utilizator, cetăţean şi întreprindere, apărând ca strict necesară îndeplinirea condiţiei ca organismele guvernamentale diferite, atât în interiorul unei ţări dar şi din diferite state membre ale UE să aibă posibilitatea de a partaja informaţii cu uşurinţă şi să coopereze în deservirea cetăţenilor. Iniţativa UE în acest domeniu al e-guvernare se materializată printr-un Plan de acţiune care este orientat spre următoarele direcţii:

E-guvernare incluzivă Eficienţă şi eficacitate Servicii cu impact major E-guvernare integrată Comunitatea prin e-Participare

Dezvoltarea e-guvernare incluzivă propune “Nici un cetăţean lăsat în urmă” se manifestă ca element structural major al procesului de îmbunătăţire a furnizării serviciilor publice pentru cetăţeni fiind esenţial ca oamenii care nu au acces la tehnologiile informaţiei şi comunicaţiilor, sau care nu posedă abilităţile de a le utiliza să poată beneficia de ele. În cadrul acestui proiect se elaborează măsuri specifice pentru a se putea furniza servicii publice, dezideratul fiind conectarea la societatea globalizată a grupurilor vulnerabile şi expuse riscului de excluziune. Guvernele la nivel naţional, regional şi local, împreună cu reprezentanţii lor teritoriali şi prin participarea altor intermediari (ONG-uri, societăţi civile, asociaţii de voluntariat), care furnizează servicii publice trebuie să integreze în procesele lor tehnologia informaţiei atât în activitatea internă a acestora, cât şi în momentul realizării comunicării cu publicul prin interfeţe prietenoase. În timp ce serviciile de guvernare electronică reduc gradul de dificultate aferent informării cetăţenilor şi al agenţilor economici, există pericolul ca persoanele care nu au acces facil la tehnica de calcul să nu fie informate corect, complect sau să nu aibă acces la nici un canal de informare guvernamental.

14 

 

Serviciile publice conform principiului e-guvernare trebuie să fie disponibile în condiţii egale pentru toţi şi, prin urmare, autorităţile publice trebuie să ţină cont de interesele tuturor utilizatorilor potenţiali de servicii. De exemplu, înregistrarea naşterii unui copil implică o deplasare, suplimentară, la Biroul local de evidenţă a persoanei pentru a realiza declaraţia. Se intenţioneză ca în scurt timp să fie funcţional transferul datelor copilului direct de la spital la Biroul de evidenţă a populaţiei prin intermediul unor terminale instalate în unităţile sanitare. Se are în vedere şi posibilitatea ca părinţii copilului să poată declara naşterea acestuia on-line prin intermediul unui formular electronic. Dar sunt foarte frecvente situaţiile în care părinţii nu au acces facil la tehnica de calcul, iar cazul acesta se află o parte semnificativă a populaţiei nu are niciun beneficiu de pe urma acestui serviciu specific de e-guvernare. Telecentrele sunt gândite a facilita accesul la informare, implicit la serviciile de guvernare electronică. Se constată în urma studiilor efectuate că aproximativ 30% din populaţia Europei nu utilizează nici un serviciu de guvernare electronică, acest lucru se datorează, în parte, aşa-numitului "decalaj digital", respectiv diferenţa între persoanele cu acces sigur şi eficient la tehnologia informaţiei şi cele care sunt lipsite de această facilitate. Mulţi dintre aceşti cetăţeni excluşi social, beneficiari în cel mai bun caz de ajutor de şomaj sunt printre cei care au nevoie de mai mult pe sprijin guvernamental, respectiv de mai multe şanse decât restul societăţii. Se urmăreşte ca diferenţele sociale şi geografice să fie depăşite prin existenţa unei societăţi incluzivă digitală care să ofere oportunităţi pentru toţi. Simplificarea gestionării şi furnizării de servicii publice implică reducerea costurilor pentru cetăţeni, dar şi pentru micile firme sau organizaţii care nu folosesc în activitatea lor tehnica de calcul. De exemplu posibilitatea de a completa declaraţiile fiscale on-line are valoare limitată, recurgîndu-se la serviciile unui contabil care poate completa declaraţiile în numele lor. Eficienţa şi eficacitatea urmăresc accelerarea e-guvernării europene prin implementarea noilor tehnologii informaţionale care pot îmbunătăţi radical serviciile publice, reducerea birocraţiei, identificarea şi aplicarea unor modalităţi mai rapide de a realiza o activitate iar efectul sau rezultatul vor majora nivelul de satisfacţie. Obiectivul UE pentru statele membre de a reduce un sfert din cheltuielile lor administrative, până în 2012 ar putea economisii aproximativ 150 miliarde € din banii contribuabililor. Utilizarea tehnicii de calcul va ajuta cu siguranţă şi va reduce costurile administraţiilor, respectiv presiunea exercitată asupra contribuabililor, cu respectarea condiţiei ca integrarea e-guvernare în procesele publice să fie bine organizată. Statele membre vor fi câştigătorii, cetăţenii mulţumiţi şi activitatea agenţilor cu sarcini administrative mai uşoară, îmbunăţindu-se eficienţa sectorului public, transparenţa şi responsabilitatea. UE va favoriza desfăşurarea eficientă şi mai eficace serviciilor de guvernare electronică, promovând cooperarea şi schimbul de bune practici şi standarde tehnice, prin analize comparative şi prin evaluarea impactului respectivelor servicii. Eforturile se vor axa pe dezvoltarea de documentele electronice care să poată fi recunoscute, autentificate şi prelucrate de către organisme guvernamentale diferite; şi pe stimularea creării unei structuri unice adresată furnizării de servicii de asistenţă socială, de multe ori prestate de agenţii diferite, astfel încât să ofere un serviciu mai bun pentru cetăţenii care se bazează pe ele. Companiile, în special IMM-urile, alocă resurse considerabile pentru elaborarea, administrarea declaraţiilor fiscale periodice. Îmbunătăţirea eficienţei şi a eficacităţii în orice fel de activitate presupune o cunoaştere a situaţiei actuale şi unor măsuri specifice de îmbunătăţire, de multe ori stabilite într-un anumit domeniu prin comparaţie cu omologii. În guvernarea electronică, UE joacă un rol principal în dezvoltarea tehnicilor de măsurare şi stabilirea valorillor de referinţă. În acest fel, guvernele şi autorităţile publice din întreaga Europă pot îmbunătăţi instrumentele de guvernare electronică, care direct vor produce efecte reale pozitive pentru cetăţeni şi întreprinderi. Comisia Europeană se implică în acordarea de sprijin statelor membre prin evaluarea progresul înregistrat şi a indicelui de referinţă. Pentru a se asigura comparaţii coerente, Comisia şi experţii din statele

15 

 

membre au convenit în mai 2006 indicatorii specifici pentru fiecare dintre cele cinci direcţii de acţiune pentru guvernarea electronică publicaţi în Observatorul guvernării electronice. Indicatorii includ măsuri de disponibilitate a unor servicii publice on-line, precum şi de utilizare de către cetăţeni şi întreprinderi a serviciilor de guvernare electronică, în interacţiunea lor cu autorităţile publice. Un prim pas constă în cuantificarea măsurii în care servicii pot fi accesate on-line, respectiv sunt disponibile dar se ţine cont şi de personalizarea acestora. Această măsură vizează intervalul de timp exprimat în secunde în care utilizatorul fie cetăţean, fie agent economic poate completa on-line în întregime formularul aflat pe site. O altă etapă de dezvoltare va fi urmărirea nivelului în care administraţiile crează şi dispun de site-uri pro-active site-uri care să ofere servicii personalizate pentru cetăţenii sau companii. Se urmăreşte situaţia în care aceste servicii sunt accesibile prin intermediul canalelor de comunicaţie alternative, cum ar fi centrele de apel, telefoane mobile, info-chioşcuri publice. Un alt aspect pozitiv este faptul că funcţionarii guvernamentali, dar şi agenţiile responsabile cu furnizarea serviciilor publice, au posibilitatea de a compara performanţa lor faţă de cea a omologilor lor din alte regiuni şi ţări. Direcţia de acţiune privind serviciile cu impact major urmăreşte extinderea serviciilor-pilot, sau proiectelor pilot la scară largă asigurând disponibilitatea acestor la nivel naţional, precum şi la întregul teritoriu UE. Implementarea globală a acestor servicii se adresează cu prioritate întreprinderilor europene. De exemplu, utilizarea declaraţiilor de impozit pe venit on-line ar economisii într-un an 100 de milioane de ore. Dacă toate declaraţiile de TVA-ului ar fi realizate on-line, economiile pentru toate întreprinderile din UE în fiecare an ar putea fi de 500 milioane de euro. Deoarece guvernele europene cumpăra în medie anual bunuri şi servicii în valoare de până la o cincime din produsul lor intern brut, achiziţiile publice prin e-Procurement reprezintă o prioritate în cadrul planului de acţiune pentru guvernarea electronică deoarece oferă posibilităţi pentru întreprinderi să-şi vândă bunurile şi serviciile lor pentru agenţiile publice şi guverne, permiţând reducerea costurilor de achiziţie. eGuvernarea integrată urmăreşte coordonarea dezvoltării serviciilor de guvernare electronică şi interoperabilitatea acestora. Se remarcă faptul că actele de identitate electronice trebuie să fie recunoscute de către toate ţările, urmărindu-se reducerea costurilor prin înlocuirea documentelor tradiţionale cu cărţile de identitate electronice. Acest format al documentelor va permite circulaţia persoanelor fizice, iar agenţilor economici le va facilita oriectarea şi dezvoltarea afacerilor spre mediul on-line. Cadrul european de interoperabilitate încearcă să abordeze deficienţele de comunicare dar şi neconcordanţe între servicii, departamente, regiunile şi ţările UE, astfel încât serviciile de guvernare electronică pan-europene să poată fi cu adevărat interoperabile. Managementul identităţii componentă esenţială pentru accelerarea afacerii on-line reprezintă o problemă care trebuie să fie depăşită atunci când se urmăreşte punerea în aplicare a gamei complete de servicii de guvernare electronică, adresându-se atât cetăţeanului cât şi agenţilor economici. Tranzacţiile personale şi cele comerciale se desfăşoară pe cale electronică doar atunci când există documentele în format digital deoarece părţile trebuie să fie sigure de identitatea unei persoane sau a unei organizaţii. Comunitatea prin e-Participare reprezintă calea prin care se urmăreşte conectarea oamenilor obişnuiţi cu politica, familiarizarea acestora cu procesul de elaborare al legilor, ţintind spre o mai uşoară înţelegere a procesului decizional european prin utilizarea noilor tehnologii informaţionale şi a comunicaţiilor. Guvernele şi instituţiile UE sunt interesate spre interacţionarea cu cetăţeni spre identificarea şi testarea căilor potrivite spre dezideratul de a putea organiza şi derula efectiv prin consultări publice privind noua legislaţie. Proiectul va folosi tehnologiile informatice urmărind schimbul de informaţii şi idei în timp real, între cetăţeni şi reprezentanţii aleşi ai acestora. Pe altă parte reprezintă un test care abordează problema dezangajării cetăţeanului de la procesele decizionale.

16 

 

Identitatea electronică

Identitatea electronică, reprezintă cheia care permite cetăţenilor să acceseze o serie de servicii

interactive şi tranzacţionale care solicită identificarea securizată, cum ar fi TVA-ul, fişele fiscale, serviciile sociale, cereri de eliberare de paşaport. Cetăţenii utilizează un sistem trimite întrebări, sugestii şi reclamaţii la entităţile publice cu privire la serviciile pe care le oferă. Sistemul electronic care leagă toate ministerele, departamentele, agenţiile, consiliile locale, şcolile, secţiile de poliţie, bibliotecile publice, spitalele, centrele de sănătate, oficiile care oferă servicii sociale şi ambasadele a fost creat, astfel încât fiecare situaţie semnalată de utilizator să fie prelucrată şi investigată în modul cel mai eficient. Pentru agenţii economici se oferă participarea la sistemul de achiziţii publice prin publicarea ofertelor emise de către Departamentul de contract. Informaţiile sunt grupate în documente interactive care permit descărcarea, plata on-line, efectuarea unor căutări, oferind un serviciu de alertare prin e-mail şi SMS adresat participanţilor. În continuare se prezintă o reprezentare grafică care exprimă gradul de conectare al gospodăriei cetăţeanului din cele 6 state ale UE în interacţiunea cu mediul extern.

Modul şi nivelul de conectare al gospodăriei cetăţeanului din România, Cehia, Ungaria, Grecia, Austria,

Polonia Referitor la informarea cetăţeanului prin utilizarea tehnicii de calcul, autorii vă supun atenţiei o reprezentare grafică care exprimă gradul de conectare al cetăţeanului cu administraţiile publice din cele 6 state ale UE, urmărindu-se ca elemente de analiză structurală informarea persoanei prin tehnica electronică de calcul, posibilitatea acestuia de a-şi aduce pe calculator formulare electronice pe care să le studieze şi bineânţeles finalizarea activităţii de completare a formularului, depunerea sa.

17 

 

Informarea şi interacţionarea cetăţeanului cu formularele electronice

În continuare autorii vă supun atenţiei o reprezentare grafică, care exprimă gradul de conectare al unui agent economic din cele 6 state ale UE la mediul extern prin intermediul Internet-ului, precum şi nivelul de comenzi primite de respectivul agent prin căile oferite de tehnica de calcul.

Modul şi nivelul de conectare al întreprinderilor din România, Cehia, Ungaria, Grecia, Austria, Polonia la

Internet Autorii vă supun atenţiei figura care exprimă gradul de conectare al întreprinzătorului agent economic din cele 6 state ale UE cu administraţiile publice, urmărindu-se ca elemente de analiză structurală informarea prin tehnica de calcul, posibilitatea de a-şi aduce pe calculator formulare electronice şi bineânţeles finalizarea activităţii de completare a formularului, depunerea sa.

18 

 

Nivelul de conectare al întreprinzătorului agent economic din cele 6 state ale UE cu administraţiile publice

Semnătura electronică instrument al eActivităţilor

În ultimii ani guvernul României a manifestat un interes deosebit cu privire la sistemul comerţului

electronic şi în particular la sistemul achiziţiilor electronice. “La 27 august 2001, în Camera Deputaţilor au fost votate Legea pentru protecţia persoanelor în

privinţa prelucrării datelor cu caracter personal şi libera circulaţie a acestor date şi Legea privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.

Prin Legea nr.102/3 mai 2005 s-a pus bazele “Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu caracter personal”, document publicat în Monitorul Oficial nr.391/9 mai 2005. Cum toate tranzacţiile financiare realizate în urma serviciilor electronice se fac prin intermediul organismelor bancare, în anul 2004, prin Ordinul 218 din 14 iunie s-a stabilit procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor Internet-banking şi mobile-banking, document ce a fost publicat în Monitorul Oficial cu nr.579/30 iunie 2004, acesta venind în completarea Regulamentului nr.4/13 iunie 2002, privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi a relaţiilor dintre participanţii la aceste tranzacţii, act emis de Banca Naţională a României şi publicat în Monitorul Oficial nr.503/12 iulie 2002.

Şi în acest domeniu, România a luat parte şi a aderat la convenţiile statelor europene, cu privire la serviciile electronice, cel mai aprins subiect fiind “criminalitatea informatica”. Prin convenţia din 23 noiembrie 2001 de la Budapesta, desfăşurată sub conducerea Consiliului Europei, a fost recunoscută importanţa promovării cooperării între statele europene, pentru necesitatea urmăririi şi aplicării unei politici penale comune, de a proteja interesele legitime în utilizarea şi dezvoltarea tehnologiei informaţiilor, considerând că nu se poate ajunge la eficienţă în acest domeniu ce depăşeşte graniţele fizice, decât prin cooperarea între state. Această convenţie a avut drept rezultat, elaborarea legii nr.64/24 martie 2004, publicată în Monitorul Oficial nr.343/20 aprilie 2004 privind ratificarea Convenţiei Consiliului Europei ce trateaza criminalitatea informatică, adoptată la Budapesta la 23 noiembrie 2004. Deşi la noi în ţară, încă nu e utilizată pe o scară largă precum în ţările Consiliului European, în anul 2001, pe data de 18 iulie, a fost adoptată Legea nr.455, privind semnătura electronică, document ce a fost publicat în Monitorul Oficial, nr. 429 partea I, din 31 iulie 2001, prin intrarea în legalitate a acestei metode de identificare, s-a deschis premizele utilizării tehnicii de calcul ce oferă această posibilitate, în speţă Pocket Pc-urile, ce dispun de semnătură digitală, precum şi de a soluţiilor software de creare şi identificare a semnăturii digitale, un important rol în mediatizarea acestui fapt la avut şi seminariile TechNET 2002 organizat la Bucureşti de compania Microsoft.

19 

 

Totodată, prin parteneriatul cu concernul american Microsoft, guvernul României a pus în funcţiune sistemul de achiziţitii şi licitatii on-line, considerându-se o unealtă de luptă împotriva corupţiei, acest lucru realizându-se în pricipiu prin intermediul a 2 site-uri: www.e-guvernare.ro şi www.e-licitaţie.ro.

Scopul lor este acela de a asigura transparenţa actelor întreprinse de oficialităţile statului român, prin afişarea în mod public a datelor de interes general, a facilitării achitării impozitelor către organismele statului prin utilizarea plăţilor electronice.

La baza desfăşurării tuturor serviciilor Intrenet stă însă incertitudinea identităţii persoanei ce apelează la aceste servicii, în acest scop a fost dezvoltată şi implementată semnătură digitală, “digital signature”. Semnătura digitală constituie o metodă sigură în a dovedi autenticitatea unei persoane care va trimite un oarecare document sau mesaj e-mail, cu avantajul că oferă posibilitatea de a insera un cod special (amprentă digitală) în momentul semnării, poate indica dacă mesajul a ajuns intact la destinaţie sau dacă a fost alterat pe parcursul livrării. Conceptul de semnatură digitală se bazează pe 2 categorii de semnături:

a. Semnături cu cheie secretă, care presupun existenţa unei autoritţăi centrale care "ştie totul" şi în care trebuie să avem încredere deplină. În această situaţie doar utilizatorul respectiv si autoritatea cunosc cheia utilizatorului. Mesajul semnat trimis de un utilizator altui utilizator va fi expediat autorităţii care la cererea utilizatorului receptor va autentifica faptul că expeditorul mesajului este chiar cel care a emis comunicarea respectivă. În corpul fiecărui mesaj,există o amprentă de timp pe baza căreia se poate stabili un termen de valabilitate pentru fiecare mesaj.

b. Semnaturile cu cheie publică care au dezavantajul că secretul unui mesaj este păstrat atâta timp cât nu se ştie cheia, dar deoarece cheia este cunoscută de mai multe urechi care trebuie să ştie cheia, secretul mesajului este foarte greu de păstrat. În momentul în care o persoana neagreată a aflat cheia, poate descifra uşor mesajele distribuite la mai multi utilizatori. Semnăturile digitale sunt utilizate frecvent în combinaţie cu aplicaţii software de cifrare complexă,

pentru a crea un canal de comunicare securizat, în care atât datele personale cât şi identitatea sunt protejate. Odată cu reglementarea activităţilor de emitere şi de transmitere a facturilor în forma electronică, Legea nr. 260 din 19 iulie 2007 aduce în atenţia agenţilor economici noţiunea de semnatură electronică. Legea 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice se aplică numai persoanelor stabilite în România şi care desfăşoară activităţi economice pe teritoriul României Atat factura în formă electronică, cât şi bonul fiscal sau chitanţa în formă electronică trebuie să îndeplinească toate condiţiile impuse de lege, ca şi cele de pe suport de hârtie, dar trebuie să poarte în plus marca temporală şi să fie semnate cu semnatură electronică. Agenţii economici pot opta fie pentru facturarea pe format de hârtie, fie pentru cea electronică, în acest caz existând obligativitatea de a garanta autenticitatea, originea şi integritatea conţinutului. Autoritatea Naţională pentru Reglementare în Comunicaţii şi Tehnologia Informaţiei (ANRCTI) elaborează Reglementările referitoare la normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică. Factura electronică respectă formatul şi conţinutul stabilite de actele normative speciale şi conţine marca temporală care certifică momentul emiterii şi semnătura electronică a emitentului. Certificatul aferent semnăturii electronice a emitentului va conţine informaţii privind identificatorul fiscal şi numărul notificării înregistrate la Ministerul Economiei şi Finanţelor. Pentru a emite o factură electronică, persoana nu poate folosi decât un sistem informatic omologat de ANRCTI, care va verifica conformitatea acestora cu normele de securizare a informaţiei prelucrate şi arhivate. După verificare se emite un certificat de omologare a sistemului informatic, care poate fi retras în cazul în care se constată că sistemul informatic nu mai îndeplineşte criteriile prevăzute în normele de asigurare a informaţiei prelucrate sau arhivate. Activitatea de emitere, transmitere a facturilor în formă electronică, precum şi cele de arhivare a facturilor în formă electronică pot fi realizate şi de către alte persoane decât emitentul de drept al facturii electronice, dacă există un contract valabil încheiat între emitentul de drept al facturii electronice şi un

20 

 

furnizor de servicii de emitere a acestora. Evidenţa facturilor electronice emise se va ţine cu ajutorul unui Registru electronic. Certificatul aferent semnăturii electronice a persoanelor care prestează servicii de emitere, transmitere sau arhivare a facturilor în formă electronică va conţine informaţii privind calitatea de furnizor de servicii şi datele sale de identificare. Conversia facturilor emise pe suport de hârtie în facturi electronice se poate realiza, la cererea beneficiarului, numai după factura în original. "Factura în formă electronică rezultată dobândeşte calitatea de document justificativ numai după înscrierea precizării: «prezenta factură este conformă cu originalul emis iniţial pe suport de hârtie având seria .... nr. .... din data de ...., emisă de .....» şi ataşarea semnăturii electronice a furnizorului de servicii de emitere a facturilor în formă electronică, precum şi a mărcii temporale certificând momentul conversiei, atât în cazul facturilor individuale, cât şi în cazul în care conversia se face pentru un pachet sau lot de facturi". Referitor la anularea facturilor emitentul acesteia şi beneficiarul încheie în trei exemplare un act juridic prin care se specifică anularea de comun acord a facturii sau a facturilor respective. Acest act trebuie să conţină seria şi numărul fiecărei facturi anulate, data emiterii fiecărei facturi anulate, data transmiterii fiecărei facturi anulate, data anulării şi semnătura olografă a părţilor şi ştampila. Urmează ca după ce anularea este operată în toate documentele care au avut la bază facturile respective, emitentul să notifice acţiunea către Ministerul Economiei şi Finanţelor, detaliind elemtele de identificare ale facturilor şi precizând data la care a fost întocmit documentul prin care s-a convenit anularea. Pe durata arhivării, persoanele care au responsabilitatea arhivării vor lua măsuri ca orice factură în formă electronică să poată fi accesată numai de către emitent, beneficiar sau organele abilitate prin lege. Arhivarea facturilor în formă electronică se poate face şi de alte persoane decât emitentul acestora, în condiţiile în care acestea sunt autorizate şi îndeplinesc condiţiile tehnice şi de personal. În cazul chitanţelor electronice se aplică toate prevederile legale care fac referire la factura electronică. Marca temporală, conform Legii nr. 451/2004 este o colecţie de date în formă electronică, ataşată în mod unic unui document electronic. Colecţia de date ataşată documentului electronic reprezintă acea informaţie cu ajutorul căreia documentul poate fi identificat în mod unic, dar care nu permite modificarea conţinutului documentului respectiv. Marca temporală certifică faptul că anumite date în formă electronică au fost prezentate la un moment de timp determinat către furnizorul de servicii de marcară temporală. Marca temporală dispune de un certificatul asociat care reprezintă este acea informaţie cuprinsă în marca temporală prezentabilă sub o formă inteligibilă conţnând cel puţin numele furnizorului de servicii de marcare, numărul de ordine alocat din Registrul furnizorului precum şi informaţia care reprezintă momentul de timp corelat cu baza de timp. Baza de timp reprezintă etalonul sau sistemul unitar de referinţă temporală la care se raportează toţi furnizorii de servicii de marcare. Marca temporala trebuie generată de un sistem informatic sigur, care îndeplinşte, cumulativ următoarele cerinţe de securitate:

a) asigură că este imposibil să fie emisă o marcă corectă pentru un alt timp decât momentul când a fost primit documentul sau să se schimbe ordinea în care mărcile de timp sunt emise;

b) asigură continuitatea furnizării serviciului de marcare temporală Structura mărcii temporale trebuie să respecte următoarele cerinţe:

a) să conţină amprenta ataşată documentului electronic supus marcării; b) să releve data şi momentul de timp aferente documentului supus marcării, informaţii exprimate în

etalonul timp universal; c) identificatorul unic al furnizorul de servicii de marcare; d) numărul de ordine din Registrul furnizorului de servicii de marcare.

21 

 

Furnizorii de servicii de marcare temporale au obligaţia de a crea şi de a întreţine un Registru electronic operativ de evidenţă care trebuie să releve momentul de timp la care au fost emise mărcile temporale. Binînţeles că se vor supune necondiţionat legislaţiei română referitoare la protecţia datelor cu caracter personal. Furnizorii de servicii de marcare temporală au următoarele obligaţii:

a) să menţină înregistrări ale mărcilor temporale emise pe o perioadă de 10 ani; b) să păstreze documentaţia aferentă algoritmilor şi procedurilor de generare a marcilor temporale emise; c) să asigure posibilitatea obţinerii şi verificării on-line a mărcilor temporale; verificarea se face gratuit d) să asigure accesarea permanentă a bazei de timp.

Semnatura electronică este de fapt un cod personal unic, alcătuit din informaţii în format electronic, generate şi stocate pe un dispozitiv securizat care se ataşează calculatorului. Semnarea electronică se realizează prin ataşarea codului unic la documentele de pe calculator care trebuie semnate. Confidentialitatea datelor este asigurată prin criptare. Conform Normelor metodologice, România a adoptat un sistem de criptare asimetric. Acesta presupune utilizarea unei perechi de chei distincte: cheia publică, care este pusă la dispoziţia celor ce sunt destinatarii mesajului criptat, şi cheia privată este este păstrată sub controlul exclusiv al expeditorului. Cheia privată reprezintă un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat. Cheia publică este un cod digital, perechea cheii private necesară verificării semnăturii electronice. Cheia privată reprezintă datele de creare a semnăturii electronice, iar cheia publică - datele de verificare ale acesteia. Cheia privată nu poate fi dedusă în nici un fel din cheia sa publică pereche. Cheia privată este păstrată într-un dispozitiv deţinut de persoana care deţine semnătura digitală, iar accesare şi utilizarea acesteia poate fi realizată doar de cel care cunoaşte parola de acces. Atunci când se semnează un document se realizează automat criptarea informaţiei cu cheia privată. Destinatarul primeste documentul, împreună cu certificatul eminentului putând decripta informaţia folosind doar cheia publică. Atunci când sunt expediate informaţiile, acestea sunt criptate de expeditor folosind cheia publică de pe certificat. Decriptarea nu se poate realiza decât cu cheia privată pereche, asigurând în acest mod confidenţialitatea informaţiei expediate. Legislaţia românească utilizează două tipuri de semnături: semnătura electronică şi semnătura electronică extinsă. Semnătura electronică are rolul de a indica apartenent documentului neavând valoare juridică. Semnătura electronică extinsă este recunoscută ca echivalent al semnăturii olografe (de mână) avînd valoare juridică. Numai semnătura electronică extinsă, bazată pe un Certificat Calificat şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii este asimilată cu semnatura olografă. Realizarea Certificatului Calificat presupune existenţa în prealabil a unui Certificat Digital. Certificatul Digital reprezintă o colecţie de date în formă electronică care atestă conexiunea dintre datele de verificare a semnăturii electronice şi o anumită persoană, având rolul de a confirma identitatea persoanei. Certificatul Digital devine Certificat Calificat atunci când este eliberat de către prestatorul de servicii de calificare agreat de Autoritatea de Certificare din Romania prin generarea şi stocarea pe un dispozitiv securizat (smart card sau e-token). Doar în acest moment Certificatul are recunoaştere legală fiind valabil pe o perioadă de un an după care este reânoit. Furnizorul de servicii de certificare trebuie să dovedească Autorităţii că dispune de resursele financiare, echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat, pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării activităţi de certificare şi că este capabil să acopere pierderile suferite de către o persoană care îşi întemeiază conduita pe efectele juridice ale certificatelor calificate. Riscul asigurat este pentru fiecare prejudiciu produs. Furnizorul depune o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţă de asigurare încheiată la o societate de asigurări, în favoarea Autorităţii cu o valoare cel puţin egală cu echivalentul în lei al sumei de 500.000 euro.

22 

 

Semnătura electronică extinsă este recunoscută legal şi trebuie să îndeplinescă următoarele condiţii: Unicitate- este unică pentru fiecare utilizator; Identificabilitate - asigură identificarea celui care semnează. Trebuie reţinut faptul că documentele semnate electronic nu mai pot fi alterate, orice modificare ulterioară duce la invalidarea semnăturii implicit a documentului. Excepţie face cazul în care modificările sunt produse de nimeni altcineva decât semnatarul care deţine semnătura electronică extinsă. Smartcard-ul reprezintă un card electronic care se conformează cheii publice ISO 7816, multi-aplicaţie cu posibilitatea de a se folosii la o schemă de multi-servicii sau multi-management. Smart card-ul foloseşte un procesor criptografic, incorporat care are funcţii de criptare. Caracteristicile sale de înaltă securitate asigură faptul ca diferitele aplicaţii folosite pe card sunt izolate faţă de mediul extern. Trebuie reţinut faptul ca pentru utilizarea unui smart card trebuie sa existe un cititor smart card. eToken reprezintă un dispozitiv portabil de autentificare care oferă o metodă de cost-eficacitate pentru autentificarea utilizatorului atunci când acesta accesează o reţea, urmărind securizarea aplicaţiilor de afaceri electronice. eToken asigură generarea şi stocarea de informaţii despre utilizatori, cheile private, parolele şi Certificatele Digitale într-un mediu protejat de cipul SIM-ul al smart card-ului. Persoana interesată să semneze electronic documente trebuie să se prezinte cu cartea de identitate sau buletinul la un furnizor de servicii de certificare în domeniul semnăturii electronice. Acesta are rolul unui martor virtual care confirmă identitatea unei persoane. În urma plăţii unei sume stabilite de furnizor se intră în posesia un dispozitiv securizat, necesar pentru a vă putea semna electronic, eToken sau smart card. Pentru a accesa aceste dispozitive trebuie tastat un cod PIN care poate fi schimat şi care bineânţeles este cunoscut doar de proprietarul semnăturii. Dispozitivul securizat se conectează fie la calculatorul furnizorului de servicii de certificare, fie la calculatorul proprietarului semnăturiis. sau la orice alt calculator. În continuarea procedurii iniţiatoare se accesează site-ul furnizorului şi se completează formularul pentru obţinerea certificatului digital. În urma acestei acţiuni se primeşte prin e-mail un cod de identificare care va permite eliberarea Certificatului. Certificat digital atestă dreptul de a semna electronic şi conţine cheia publică corelată cu datele personale. Certificatul digital emis este semnat electronic de către furnizorul de servicii de certificare, cu cheia lui privată. Mecanismul de creare a semnăturii electronice este materializat prin dispozitivul specializat care conţine un microprocesor ce generează cele două chei: publică şi privată. Modalitatea de semnare electronică este demarată prin se aplicarea unui algoritm asupra documentului, obţinându-se un şir de biţi, respectiv amprenta acestuia. Amprenta documentului intră în dispozitivul securizat unde printr-un alt algoritm se aplică cheia privată peste amprenta documentului, rezultând semnătura electronică. Cheia privată rămâne în memoria eTokenului, nu părăseşte niciodată dispozitivul, rezultând că aceasta poate să fie utilizată doar de posesorul dispozitivului. Semnatura electronică se poate aplica unui document în format electronic, redactat sau obţinut prin intermediul anumitor programe informatice, cum ar fi:

documente MS Word (contracte, documente, notificări, reţete medicale) documente Excel (rapoarte financiare, state de plată a salariilor, note de comandă) documente Adobe Acrobat –PDF- similare cu MS Word, dar care sunt superioare ca aspect şi

securitate a integrităţii informaţiilor fotografii digitale (constatări, mostre, comandă de produse) programe executabile sau proiecte realizate prin programe informatice specifice programe expert de gestiune a documentelor (documente ale administraţiei publice centrale şi locale,

documente care urmează să fie arhivate în cadrul Arhivelor electronice din cadrul unor Data Centre) documente rezultate din prelucrarea datelor contabile şi fiscale (declaraţii de impunere, documente de

plată către Bugetul de Stat)

23 

 

Utilizarea semnăturii electronice produce economii semnificative de timp, bani şi efort prin posibilitatea realizării de tranzacţii la distanţă, precum şi prin eliminarea lucrului cu documente tradiţionale hârtie. Semnatura electronică permite în condiţii de perfectă confidenţialitate, vizualizarea dosarului fiscal, plata impozitelor, certificarea că o înştiinţare venită de la o autoritate provine chiar de la aceea autoritate, sau legalitatea şi acordul liber al părţilor unui contract dintre doi parteneri de afaceri. Utilizarea semnăturii electronice la nivelul unei firme mici înseamnă economii substanţiale, deoarece aceasta depune lunar documente în cel puţin patru zone – Inspecţia muncii, Administraţiile financiare, Casele de pensii şi de sănătate -, ceea ce înseamnă patru drumuri în locuri diferite. În plus, pentru documentele semnate electronic nu mai este necesară depunerea fizică a documentelor. Referitor la cadrul legal care guvernează semnătura electronică, autorii remarcă Directive, Decizii sau Recomandãri ale Comisiei Comunităţii Europene. Directiva 1999/93/EC - privind cadrul comunitar pentru semnătura electronică, are drept scop facilitarea semnăturii electronice şi recunoaşterea legalã a acesteia. Directiva 2000/31/EC - privind comerţul electronic stabileşte cadrul pentru legislaţiile naţionale privind serviciile informatice destinate pieţei interne, în special privind regimul transmisiilor comerciale şi al contractelor, răspunderea intermediarilor, soluţionarea litigiilor, cooperarea între statele membre pe această problemă. Pentru a corespunde asteptărilor comercianţilor, aceste reglementări internaţionale orientative promoveazã 4 principii de bază:

1. reglementarea cadru - şi nu una strictă, riguroasă şi detaliată, considerentele fiind că în mod cert realitatea informatică va fi mai complexă decât capacitatea imaginativă a legiuitorului.

2. echivalenţa funcţională - astfel încât înregistrările electronice de date să aibă aceeaşi recunoaştere legală de care se bucură înscrisurile utilizate în comerţul tradiţional.

3. neutralitatea tehnologică- legea nu trebuie să facă deosebiri între formele de comerţ funcţie de tehnologia utilizatã sau de suportul pe care este redată informaţia.

4. compatibilitatea internaţională - chiar dacă legislaţia statelor reglementează diferit aceleaşi aspecte ale comerţului tradiţional, legislaţia care guvernează comerţul electronic trebuie să ţină cont de necesitatea existenţei de compatibilitate pe plan internaţional.

5. securitatea mediului în care se desfasoarã - elementul cheie care asigurã certificarea originii mesajului, integritatea sa şi confidenţialitatea.

România din anul 2001 a introdus o legislaţie care acordă semnăturii electronice aceeaşi valoare ca şi semnăturii olografe. Practic, un document semnat electronic corespunde unui contract, unei scrisori de intentie sau unui ordin de achiziţie semnat pe document tradiţional hârtie, în prezenţa tuturor părţilor implicate. Datorită semnăturii digitale este posibilă realizarea prin Internet a oricarui tip de tranzacţie comercială, economică legală, facilitând dezvoltarea şi întreţinerea relaţiilor pe cale electronică cu Administraţia Publică. În România activează 500.000 de întreprinderi mici şi mijlocii şi 17.000 de companii mari. Deocamdată, autorităţile publice au fost principalii clienţi ai celor patru furnizori, iniţiali de semnatură electronică, dar există o cerere în creştere exponenţială din partea sectorului particular. În anul 2008 la nivelul ţării nostre au existat patru furnizori de Certificate de semnatură electronică - E-Sign, DigiSign, Trans Sped şi Internet DomReg. Primul furnizor de Servicii de Autoritate de Certificare de pe piaţa românească a fost E-Sign România, care prin produsul inovativ “e-sign®”, aduce semnatura electronică în viaţa fiecărui cetăţean permiţând afacerilor şi consumatorilor o comunicare bazată pe încredere prin intermediul reţelelor digitale. "e-sign®" constă dintr-un certificat digital de semnatură electronică şi un Smartcard. Soluţia E-Sign este înregistratã oficial ca Furnizor de Servicii de Certificare. E-Sign România a emis până în anul 2008 aproximativ 5.000 de certificate. Remarcăm că aproximativ 40% din clienţi sunt autorităţi de stat, restul companii private.

24 

 

Un al doilea operator pe piaţa serviciilor de semnătură electronică este DigiSign S.A. care este certificat prin Ordinul Ministrului Comunicaţiilor şi Tehnologiei Informaţiei în anul 2005 ca furnizor acreditat de servicii de certificare calificată. DigiSign SA este o autoritate de certificare din România care foloseşte tehnologii Verisign şi care permite afacerilor şi consumatorilor să comunice şi să încheie cu încredere tranzacţii prin reţelele digitale. Comisia de supraveghere a asigurărilor din România colaborează cu DigiSign care asigură un sistem securizat de transfer şi monitorizare a asigurărilor RCA efectuate de diferiţi agenţi asiguratori din ţară. Sistemul urmărreşte centralizarea poliţelor de asigurare RCA încheiate pe teritoriul României. Desfăşurarea activităţii este generatoare de documente care, la rândul lor, parcurg mai multe etape pentru avizare, aprobare şi expedire către beneficiar. Un sistem de management al fluxurilor şi documentelor oferă un acces simplu şi rapid la informaţiile stocate, un management al informaţiilor nestructurate, gestionează fluxurile de documente, asistă fiecare angajat pentru a-şi organiza activitatea cu documentele şi pentru a gestiona datele în mod unitar. Remarcăm faptul că prin “Soluţia securizată de Management al Fluxurilor şi Documentelor” se urmăreşte evitarea supraîncărcarii informaţionale, localizarea în timp scurt a informaţiilor de valoare, filtrarea şi stocarea informaţiilor într-un mod sigur. Alt operator ca Autoritate de Certificare (AC), emitentă de certificate digitale calificate este TRANS SPED . Serviciile Trans Sped sunt oferite prin colaborare cu compania TC TrustCenter din Germania, membră a concernului Cybertrust. Internet Domreg a reprezentat al patrulea furnizor de certificate digitale autorizat. Certificatele furnizate de INTERNET DOMREG sunt folosite pentru realizarea unui canal de comunicaţie securizat între serverul de WEB şi browser-ul clientului, funcţionând ca o semnatură electronică. Certificatele furnizate sunt emise de Secure Business Services, sau de autoritatea de certificare Geotrust din SUA Începând cu ianuarie 2008, a intrat în vigoare Decizia Preşedintelui 31/2008 privind procedura de acreditare a furnizorilor de servicii de certificare care stabileşte procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, precum şi conţinutul, durata de valabilitate şi efectele suspendării sau retragerii deciziei. Furnizorii de servicii de certificare pentru semnătura electronică pun la dispoziţia publicului certificatele digitale care sunt folosite pentru generarea semnăturii electronice. Furnizorii de srevicii de certificare agreaţi de Ministerul Economiei şi Finanţelor sunt Sign, DigiSign, Trans Sped. Până la luna mai a anului 2008 ANAF a fost autorizată să emită certificate digitale care mai sunt valabile până în luna mai a anului 2009. Din 2008, este obligatorie transmiterea Registrului salariaţilor în formă electronică. Aceasta presupune ca toate firmele să folosească semnatura electronică. Însă, la trei ani de când au fost lansate în România primele servicii de furnizare a semnaturii electronice, mai puţin de 20.000 de entităţi utilizează acest sistem.

Reţele de calculatoare.

Legătura dintre calculatoarele electronice şi telecomunicaţii a dat naştere la un domeniu nou, menit să satisfacă cererea crescândă de servicii şi echipamente de comunicaţii furnizate de reţelele publice şi private. Reţelele de calculatoare au apărut din necesitatea partajării datelor, şi a resurselor hardware, existente într-o societate între mai mulţi utilizatori. În fiecare societate există un număr de calculatoare, fiecare lucrând independent. Cu timpul aceste calculatoare, pentru a putea fi utilizate într-un mod mai eficient, au fost conectate prin intermediul unor dispozitive, dând astfel naştere la o reţea de calculatoare.

Astfel putem defini o reţea de calculatoare ca fiind un ansamblu de calculatoare interconectate prin intermediul unor medii de comunicaţie, asigurându-se în acest fel utilizarea în comun de către un număr mare de utilizatori a tuturor resurselor fizice (hardware), logice (software şi aplicaţii de bază) şi informaţionale (baze de date) de care dispune ansamblul de calculatoare conectate. Prin reţea de calculatoare înţelegem o colecţie de sisteme electronice de calcul autonome interconectate între ele. Două calculatoare că sunt interconectate dacă sunt capabile să schimbe informaţii între ele.

25 

 

Un criteriu de clasificare a reţelelor de calculatoare este reprezentat de mărimea lor fizică. Astfel, reţelele pot fi împărţite în:

reţele locale (LAN - Local Area Networks), reţele private localizate într-o singură clădire sau într-un campus de cel mult câţiva kilometri. Rolul acestora fiind de a conecta şi a facilita schimbul de informaţii între staţiile de lucru ale unei firme sau instituţii. Caracteristica mediului de transmisie este ca vitezele de transmisie a datelor nu depaşeşte 10 - 100 Mb/s;

reţele metropolitane (MAN - Metropolitan Area Networks), versiunea extinsă a LAN-urilor, folosite pentru transmisii de date şi voce, întinderea lor localizându-se la nivelul unui oraş sau judeţ;

reţele extinse (WAN - Wide Area Networks), care pot fi la nivelul unei ţări sau continent. Internetul sau reţea de reţele nivelul de acoperire fiind global.

Din punctul de vedere al administrării, reţelele de calculatoare pot fi clasificate în: reţele publice, administrate de companii de telefonie publice care deţin avantajul unei infrastructuri destul

de dezvoltate reţele private, administrate chiar de utilizatori. reţele comerciale, aparţinând mai multor corporaţii.

Fiecare dintre aceste tipuri de reţele se caracterizează prin evoluţie istorică, detaliile tehnice de proiectare, mediul de transmisie, serviciile şi facilităţile oferite precum şi prin grupul de utilizatori pe care îl deserveşte.

Intranet În general, organizaţiile permit utilizatorilor din Intranet să aibă acces la Internet prin intermediul

serverelor (firewall, proxy, aplicaţii ce asigură managementul traficului de informaţii pe internet.) care oferă un schimb de informaţii securizat. Intranet-ul este un spaţiu virtual privat care oferă angajaţilor dintr-o companie posibilitatea de a organiza şi accesa rapid informaţii, de a colabora eficient şi a folosi alte aplicaţii interne. Managementul informaţiilor, proiectelor, datelor se face online şi este bazat pe protocoluri Internet şi browsere web. Accesul la informaţii se face de regulă protejat prin utilizator şi parolă, ierahizat după nivele prestabilite. O aplicaţie de tip Intranet este utilă şi poate fi instalată în orice fel de organizaţie: companii mici, medii sau mari, instituţii de învăţământ, instituţii guvernamentale şi administrative. Intranet-ul răspunde funcţiei informative a reţelei prin furnizarea către membrii organizaţiei de informaţii specifice sau generale, cum ar fi:

Informaţii generale legate de companie (istoric, misiune, structură, management, implicare în societate);

Elemente de contact, cum ar fi numere de telefon şi adrese de e-mail utile interne şi externe; Anunţuri privind posturi noi şi avansări; Comunicate interne şi noutăţi; Evenimente ce urmează să aibă loc grupate într-un calendar; Bibliotecă de documente corporate importante: proceduri, formulare, modele de corespondenţă,

etc; Alte informaţii generale actualizabile din surse externe: curs valutar, prognoza meteo, dicţionare

online, revista presei, evoluţii bursiere. O altă funcţie a Intranet este comunicarea şi colaborarea , prin care are indeplineşte rolul de a substitui metodele tradiţionale de comunicare, cum ar fi faxul şi telefonul şi de a oferi un mediu lucru partajat. Fişierele pot fi transferate online, pot fi editate şi urmărite versiuni în funcţie de drepturile alocate. O aplicaţie de mesagerie instant serveşte la comunicarea internă în timp real. Îndeplinirea funcţiei de resurse umane (HR) şi recrutare prin Intranet permite gestionarea bazeilor de date ale angajaţilor, baze care în principal conţin date personale, numere de telefon, evaluări. Departamentul HR poate publica şi întreţine oferta de posturi noi cu caracteristici şi cerinţe, asigurând totodată angajaţilor facilităţile eLearning prin materiale de training, teste, chestionare online. Funcţionalitatea de afaceri reprezintă o altă facilitate oferită de Interanet, prin care se pot integra proceduri automate de preluare şi prelucrare comenzi, gestiune, evidenţă sau expediere a produselor. Baza de

26 

 

articole disponibile poate fi deasemenea gestionată unitar, acestora putându-li-se ataşa pliante, prospecte, documentaţii. Costurile implementarii unui Intranet sunt reduse în comparaţie cu beneficiile şi economiile realizate:

Creşterea eficienţei muncii prin accesul rapid la informaţie. Fluidizarea transferului de informaţie în cadrul organizaţiei. Un control mai bun şi urmărirea activităţii angajaţilor. Securizarea unitară a datelor şi a altor aplicaţii integrate.

Serviciile asigurate de Intranet sunt pachete software, puse la dispoziţia angajaţilor de o organizaţie pentru a fi folosite într-o reţea Intranet şi au un scop bine definit. În principiu, ele sunt instalate pe un server şi sunt accesate de toţi membrii unei companii. Accesul la aceste servicii se poate face printr-o aplicaţie client sau printr-un browser (Internet Explorer sau Netscape). În acest ultim caz, serviciul se numeşte Serviciu Web. În general, o aplicaţie Web satisface unul sau mai multe servicii Web.

Avantajele folosirii unui Intranet sunt: comunicaţii mai rapide, asigurarea unui management facil de reţea, obţinerea uşoara a informaţiilor, acces liber sau controlat la bazele de date ale corporaţiei, economii financiare majore, creşterea productivităţii angajaţilor, sursă de date unică, interfaţă client universală. Extranetul extinde accesul la conţinutul corporate (informaţii şi servicii) şi unui număr oarecare de membrii externi organizaţiei (clienţi, furnizori, consultanţi, etc). Poate integra pentru clienţi un sistem de tichete pentru gestionarea problemelor (reclamaţii) şi pentru furnizori un sistem de preluare a comenzilor şi a informaţiilor despre produse. Extranet-ul este o reţea similara cu internetul care utilizeaza sistemul public de telecomunicatii si este destinata partajarii informatiilor si desfasurarii operatiunilor unei companii cu furnizorii, intermediarii, partenerii si clientii sai.Este o percepere a internetului de catre o companie ca modalitate de desfasurare a afacerilor cu alte companii sau de vanzare a produselor clientilor.Un extranet necesita securitate si protectia informatiilor proprii. Acest lucru implica utilizarea firewall-urilor, emiterea de certificate digitale, criptare etc. Diferenţa dintre Intranet şi Internet este aceea cã reţeaua Intranet este o reţea privatã şi internã a unei companii. Extranet-ul, în cele mai multe cazuri oferă un acces limitat la reţeaua Intranet a organizaţiei. Diferenţa majoră între Extranet şi Internet constă în aceea că Extranetul este o reţea exterioară corespunzătoare anumitor firme, reţea ce permite şi accesul limitat la reţeaua Intranet a acestor firme, pe când Internetul nu permite accesul la reţeaua Intranet a firmelor. Reţelele de tip Intranet şi Extranet pot avea sau nu şi acces la Internet. Dacă ele sunt conectate la Internet, atunci ele trebuie să fie protejate împotriva accesului neautorizat din Internet. Internetul nu este considerat parte constituentă a unui Intranet sau Extranet. Totuşi el poate servi drept cale de acces la unele porţiuni ale Extranet-urilor. Ţinând cont de experienţa şi practica universitară a autorilor în ceea ce priveşte învăţarea de distanţă1 se prezintă în continuare câteva consideraţii privitoare la acest subiect. e-Learning este asemănat cu e-training sau e-cursuri, presupunând că informaţia furnizată în cursuri este pur şi simplu transpusă într-un format de pagină Web. Se constatată rapid că lipsa de interactivitate face ca interesul participanţilor să fie din ce in ce mai redus. Învăţarea asincronă sau sincronă poate fi condusă prin intermediul Internet-ului, intranet-ului, Extranet-ului sau altor tehnologii bazate pe Internet. E-learning include diferite metodologii de livrare care includ conţinut personalizat, clase virtuale, simulări, forumuri, discuţii focalizate. În momentul de faţă e-learning presupune: evaluarea pre-curs necesară în vederea stabilirii vitezei de parcurgere a cursului şi a nivelului potrivit, exerciţii care conduc la interacţiune şicare dinamizează învăţarea, întrebări care presupun diferite tipuri de răspunsuri în vederea testării cunoştinţelor, simulări în care se folosesc cunoştinţele dobândite, discuţii on-line cu mentorii care pot răspunde unor întrebări care apar pe

                                                            1 Mareş Marius Daniel, The Binomial Information and Communications Technology- the Lifelong Education, Universitatea “Spiru Haret”, 2009, indexată BDI http://ideas.repec.org/p/ris/sphedp/2009_086.html

27 

 

măsura parcurgerii cursului, timp real de acces la diferite tipuri de resurse (cărţi, articole), evaluări pe parcurs pentru a determina nivelul de înţelegere şi asimilare a materialului parcurs. E-learning nu este numai "o modă". Este cert că acest mod de dezvoltare a angajaţilor trebuie să devină o componentă a afacerii. Programele de e-learning presupun existenţa a patru factori esenţiali: echipamente performante, instruire la toate nivelele, servicii multimedia şi conţinut la standarde de calitate ridicate, dezvoltarea centrelor de însuşire a unor cunoştinţe şi crearea reţelelor de centre.

Securitatea reţelelor

Problemele de securitate a reţelelor pot fi împărţite în patru domenii: Confidenţialitate - păstrarea informaţiei departe de utilizatorii neautorizati; Autentificare - determinarea identităţii persoanei cu care se comunică înainte de a dezvăluii informaţtiile; Ne-repudiere-implică semnături, Controlul integrităţii - cum putem fi siguri că mesajul primit este cel trimis cu adevărat, nu unul înlocuit pe traseu sau chiar trimis în numele expeditorului de o altă persoană. Criptografia este un domeniu de foarte mare importanţă, acest lucru datorându-se în special cantităţii mari de informaţie vehiculată între persoane aflate la mare distanţă. În telecomunicaţii axate pe voce sau pe date, criptografia este necesară atunci când comunicarea are loc printr-un mediu nesigur, adică aproape orice reţea, dar în special în Internet. Există trei tipuri de metode criptografice folosite în mod uzual:

criptografia cu cheie secretă, numita criptografie simetrică; criptografia cu cheie publică, sau asimetrică; funcţiile hash.

Funcţiile hash (tocătură), denumite şi "message digests" (digest - rezumare; trunchiere) sau metode de criptare sens unic "one -way", sunt algortmi care, în unele cazuri nu folosesc nici o cheie. În loc de aceasta, ele transformă textul normal printr-o metodă matematică astfel încât conţinutul şi lungimea textului normal să nu poată fi recuperat din textul cifrat. Mai mult, există o probabilitate foarte mică ca două texte normale prin criptare să producă acelaşi rezultat. Algoritmi hash sunt folosiţi în mod normal pentru a furniza o amprentă digitală a conţinutului unui fişier, în cele mai mult cazuri scopul fiind să asigure că fisierul nu a fost modificat sau atacat de un virus. Funcţiile hash sunt de asemenea folosite de multe sisteme de operare pentru a cripta parole. Printre cele mai populare funcţii hash folosite la ora actuală în aplicaţii criptografice comerciale se numără o familie de algoritmi "Message Digest" (MD), toţi reprezentând metode care produc valori pe 128 biţi dintr-un mesaj de lungime variabilă. Concluzionăm că fiecare dintre cele 3 metode de criptare este optimizată pentru anumite aplicaţii. De exemplu, funcţiile hash sunt potrivite pentru a asigura integritatea datelor pentru ca orice modificare adusă conţinutului unui mesaj va produce o valoare calculată de către destinatar diferită de cea trimisă de expeditor. Este evident că şansele ca două mesaje diferite să ducă la aceeaşi valoare hash sunt foarte mici, rezultând că integritatea datelor este de un nivel ridicat. Criptografia cu cheie secretă este perfectă pentru criptarea mesajelor. Expeditorul poate genera o cheie pe baza unui mesaj trimis anterior; iar destinatarul poate avea aceaşi cheie fără să fie nevoie să o trimită pe canale nesigure. Schimbul de chei reprezintă o aplicaţie a criptografiei cu cheie publică. Metodele asimetrice pot fi folosite şi pentru autentificare; dacă destinatarul descifrează textul criptat folosind cheia publică a expeditorului, înseamnă că expeditorul a trimis mesajul din moment ce e singurul ce are cheia privată. Criptografia cu cheie publică poate fi folosită şi pentru criptarea mesajelor Criptografia utilizează 5 elemente specifice : textul în clar, mesajul ce trebuie criptat; text cifrat sau ieşirea procesului de criptare care va fi trimisă destinatarului; cheiea sau funcţia de criptare care aplicată textului clar va avea ca rezultat textul cifrat; criptografie sau procesul prin care se concep cifruri noi; criptanaliza, procesul de a sparge cifruri.

28 

 

Elementele esentiale ale criptării unui mesaj sunt cheia şi algoritmul de criptare. În general, algoritmul de criptare nu este considerat secret, fiind considerat de domeniu public deoarece se urmăreşte "incitarea" unor persoane pasionate de spargeri de sisteme, să descopere o breşă în algoritmul respectiv. Secretă trebuie să fie cheia care reprezintă un şir de caractere în care lungimea acestuia este de o mare importanta. Metodele de criptare se divid în două categorii: cifruri cu substituţie, cifruri cu transpoziţie. Cifrurile cu substituţie presupun ca fiecare literă sau grup de litere să fie înlocuit cu o altă literă sau grup, proces numit deghizare. Unul dintre cele mai vechi cifruri de acest fel este atribuit lui Julius Caesar cifru prin care se făcea prin deplasarea fiecărei litere cu trei locaţii mai la dreapta, în şirul alfabetic. Această metodă, la prima vedere, poate fi considerată destul de sigură, dar ţinând seama de faptul că altfabetul este compus din 26 litere care oferă 4*1026 chei posibile. Descoperirea cheii depinde doar rabdare şi perseverenţă, folosinduse proprietăţile statistice ale limbajelor naturale. Acest sistem este foarte nesigur realizându-se o corespondenţă între fiecare literă şi frecvenţa de apariţie a ei în cadrul textului. Cifrurile cu transpoziţie folosesc principiul conform căruia literele se re-ordonează dar nu se deghizează, ca în cazul cifrurilor cu substituţie, care deghizau doar literele, păstrând ordinea lor din textul clar. În 1976 se propune un cripto-sistem bazat pe concepte radical schimbate în care cheile de criptare şi decriptare sunt diferite, iar cheia de decriptare nu poate fi dedusă din cheia de criptare. Acest procedeu, cu cheie publică, se mai numeşte criptografie cu cheie publică sau criptografie cu cheie asimetrică, faţă de procedeul cu cheie secretă care se numeşte criptografie cu cheie simetrică.

Confidenţialitatea datelor la nivelul sistemelor informatice Importanţa datelor prelucrate cu ajutorul calculatorului personal poate transforma securitatea acestora într-un element cheie. Pentru ca acestea să nu devină publice, se recomandă existenţa unor proceduri de raportare.

În cadrul sistemelor informatice managerul va urmări obţinerea unui compromis între funcţionalitate şi securitate. Se poate sesiza o adevărată contradicţie între nevoia de comunicaţie şi conectivitate pe de o parte şi necesitatea asigurării confidenţialităţii şi autentificării datelor din calculatoare şi reţele pe de altă parte. Pentru rezolvarea acestei probleme, se vor căuta soluţii tehnice performante, fiind domeniul securităţii informatice. Comitetul de Cercetare pentru Securitatea Sistemelor Informaţionale Automatizate (C.O.R.S.I.A.) din Franţa propune următoarea definiţie: „Securitatea reprezintă intersecţia a patru poli de interese divergente: responsabilii decidenţi, informaticienii care servesc sistemul, utilizatorii care se servesc de acesta şi auditul ce controlează”. Putem constata că lipsa de securitate este fructul absenţei de interacţiune şi reflexie comună între părţile menţionate anterior. În ţara noastră, cel puţin teoretic, multe firme îşi doresc o securitate puternică şi uşor de controlat a „zonei contabile”. În acelaşi timp, urmăresc dezvoltarea loialităţii contabililor şi aplicarea unor mijloace proprii pentru protecţia resurselor de care dispun. Cu toate acestea, de cele mai multe ori, securitatea sfârşeşte prin a fi ultima pe lista de priorităţi. Una din cauzele esenţiale ale neadaptării mijloacelor de securitate la nevoile reale ale unei organizaţii o constituie tocmai preocupările tardive ale acesteia. Securitatea sistemului informatic costă mult şi trebuie să devină „o problemă a tuturor, nu numai a unei elite de specialişti”. Evaluarea acesteia are în vedere, atât aspectele organizaţionale, cât şi funcţionale, tehnice, psiho-sociologice şi economice. În funcţie de tipul informaţiei va căuta să se determine „nivelul de securizare”, dar şi riscurile potenţiale ce o privesc. Asistenţa tehnică va fi asigurată în totalitate de Departamentul de Consultanţă şi Service Informatic (D.C.S.I.). Ar trebui să existe şi echipe de audit care să evalueze nivelul riscurilor, să urmărească eficacitatea mijloacelor de prevenire şi protecţie folosite. Se pot descoperi în timpul unui control mari pericole într-un dispozitiv care avea o reputaţie excelentă. Factorii de risc din sistemul informatic financiar – contabil se impun a fi evaluaţi şi urmăriţi, deşi nu se poate vorbi de o determinare exhaustivă a lor.

29 

 

Modalităţile de protejare a datelor pot fi: - acces fizic restricţionat - adoptarea unei politici de parolare corespunzatoare - stabilirea drepturilor utilizatorilor - copierea datelor în mod regulat - criptarea fişierelor de lucru - folosirea programelor antivirus - folosirea programelor de securitate de tip firewall.

Vom pune în evidenţă câteva stări de fapt întâlnite în cadrul agenţilor economici din ţara noastră. În primul rând fraudei informaţionale potenţiale (deşi are dimensiuni relativ mici) i se acordă puţină importantă; neexistând nici o cuantificare a celorlalte tipuri de pierderi. „Capitalul informatic” poate fi asigurat – echipamente şi programe şi neasigurat – date financiar – contabile, fişiere. Firmele sunt puţin interesate în dezvoltarea unor relaţii speciale cu societăţile de asigurări pentru prima categorie. În domeniul legislativ, deşi a fost adoptată Legea Copyright-ului, consider că alte zone importante nu sunt încă reglementate; astfel „pirateria informatică”, din ce în ce extinsă, nu este încă pedepsită. Bineînţeles că producerea de dovezi împotriva „atacatorilor” spaţiului informatic financiar – contabil este extrem de dificilă. Ar trebui şi în România să existe o lege care să privească delictele şi sancţiunile, după modelul „Legii Godfrain” din Franţa. Aceasta analizează frauda pe patru nivele: simplu acces, ştergere şi modificare de date, procedeele destinate să perturbe funcţionarea sistemului, falsificarea documentelor informatizate.

Evoluţiile rapide şi complexe din domeniul tehnologiei importanţa patrimoniului informaţional financiar – contabil, impun acordarea unei mai mari atenţii modalităţilor de securizare a acestora. Consider că în acest sens, una din cele mai spinoase probleme o va constitui definirea unor norme de securitate riguroase şi bine fundamentate. După părerea mea ar trebui să existe o normalizare generală, admisă în domeniu care să vizeze în special aspectul informatic, pur tehnologic şi una particulară care să aibă în vedere probleme informaţionale şi organizaţionale specifice. În cadrul firmei propunem să existe norme valabile pentru toate structurile, dar şi norme specifice fiecărui domeniu, printre care şi cel al contabilităţii informatizate. Normele de securitate pun jaloane solide în faţa riscurilor de violare a integrităţii datelor financiar – contabile. În general, organizaţiile din ţara noastră se rezumă să acorde o anumită atenţie doar specificaţiilor de protecţie a muncii, care desigur nu sunt suficiente pentru a avea o securitate informaţională puternică. Managerul şi subordonaţii săi îşipot construi un ansamblu de reguli (care să vizeze nu doar tehnologia, informaţia, ci şi umanul din sistem); vor întocmi un chestionar prin care să se înţeleagă gradul de solidaritate al mijloacelor de protecţie puse în funcţiune (punctele forte sau slabe ale acestora); vor defini mai multe grupe de factori generali ce vor sta la baza normelor.

Postul de lucru informatizat din compartimentul financiar – contabil este locul de convergenţă a echipamentelor, programelor, oamenilor şi informaţiilor. Între acestea există legături deosebit de complexe, astfel încât „defectarea” uneia va avea consecinţe grave asupra celorlalte. Întreruperea în funcţionarea unui calculator va determina un anumit impact atunci când este vorba de răspuns în timp real şi un altul atunci când va exista la dispoziţia utilizatorului un interval de timp suficient. Un program care nu a luat în considerare toate posibilele incidente determină descoperirea a posteriori de anomalii ce vor fi dificil de redresat. Falsificarea de date (exemplu: virarea diferenţei dintre calculul exact şi rotunjirea salariului net într-un cont al „hoţului”) poate trece neobservată şi nu provoacă decât reacţii cel mult tardive!

Considerăm că există o evoluţie a riscurilor (voluntare sau nu, din interiorul sau exteriorul organizaţiei), precum şi o pierdere de fonduri datorate erorilor contabililor, întreruperii în alimentarea cu energie electrică, fraudelor. Foarte importantă este analiza pe care ar fi necesar să o faci managerul şi care să vizeze numărul de incidente, valoarea pierderii globale, dar şi pentru fiecare caz. Insecuritatea sistemului informatic financiar-contabil, paradoxal este legată de tehnologie, dar doar în măsura în care contabilul şef şi utilizatorii decidenţi nu sunt preocupaţi de posibilităţile de protecţie oferite de aceasta (precum şi de riscurile pe care poate să le determine).

Apreciem că firmele din ţara noastră aplică mai ales măsuri "curative", când ele ar trebui să fie de fapt „preventive”. Foarte important pentru stabilirea nivelului „lipsei de securitate "este estimarea costului

30 

 

potenţialelor "sinistre informatice" ce sunt datorate mai ales erorilor, factorului uman, dar şi a resurselor materiale.

Contabilul şef, pe lângă observarea atentă a echipamentelor şi programelor consider că trebuie şi urmărească în primul rând "comportamentul" utilizatorului decident, dar şi al personalului din celelalte segmente ale firmei. Care ar fi motivaţiile unui eventual "atac" din partea acestora? Iată câteva: aspectul financiar, sentimentele personale – sfidare, frustare. Există patru categorii de comportamente pe care pot să le reliefez în legătură cu frauda informatică:

economic (se acţionează asupra datelor financiar - contabile şi a sistemului de operare; există o mare dorinţă de câştiguri financiare)

egocentric (este vorba de „piraţii” datelor şi programelor, „atacatorii” parolelor; se vrea recunoaşterea socială).

dezechilibrat (se doreşte distrugerea completă a tuturor componentelor sistemului informatic financiar – contabil).

ideologici (există înclinaţie spre utilizarea de viruşi, bombe logice şi spre furturi). Probabilitatea de realizare a unui „atac” depinde şi de următoarele condiţii: câştigul aşteptat în caz de succes, intervalul de timp avut la dispoziţie, nivelul complexităţii operaţiunii, costul de realizare a acesteia, cunoştinţele tehnice cerute.

Este important să fie descrise exact "punctele nevralgice" la intrarea şi la ieşirea informaţiilor în şi din sistem. Compartimentul financiar - contabil preia date de la "furnizorii" interni (serviciul comercial, secţiile de producţie, serviciul personal), dar şi externi (clienţi, banca). Dacă acestea sunt nefiabile atunci oricâte mijloace de performanţă vom folosi, rezultatele nu au calitatea dorită. Apreciez că utilizatorii decidenţi şi contabilul şef trebuie să acorde toată atenţia "porţilor de intrare" a datelor, astfel spus modalităţilor de validare a lor. O anomalie de culegere care nu este sesizata şi remediată în timp util are consecinţe grave, atât asupra zonei contabile informatizate cât şi asupra managementului general al firmei şi a puterii de informare a terţilor. De exemplu: faptul de a înscrie un zero suplimentar la o cantitate comandată de materiale de la un furnizor are influenţe negative, mai ales într-un sistem integrat.

 

Politici de securitate ale sistemelor informatice  

Un element cheie utilizat în controlul intern al agentului economic îl reprezintă politica de securitate aplicată sistemelor informatice. Aceasta repezintă un cadru general din care derivă toate celelalte metode şi recomandări de securitate privind agenţii economici.

Politicile de securitate reprezintă un cadru de securitate de nivel înalt care precizează scopurile agenţilor economici referitor la realizarea controlului şi a securităţii sistemelor informatice. Politicile trebuie să precizeze responsabilităţiile personalului implicat în exercitarea controlului şi sunt de regulă stabilite de manageri de pe diferite nivele şi aprobate de consiliul director al agenţilor economici.

Politicile stabilesc măsurile şi regulile ce trebuie respectate pentru a preveni şi asigura securitatea la nivel fizic (al componentelor hardware) şi la nivel logic (pentru software) şi la nivelul datelor împotriva accesului neautorizat, al distrugerilor şi dezastrelor ce pot interveni. În cadrul politicilor nu se detaliază metodele de asigurare a securităţii, cum sunt de exemplu, condiţiile pe care trebuie să le respecte parolele sau modul de acces al utilizatorilor etc.

Modificările intervenite în cadrul politicilor trebuie discutate şi aprobate de consiliul director, comunicate şi aplicate de către personalul agentului economic.

În cadrul politicii de securitate care priveşte un agent economic trebuie să existe căteva secţiuni distincte care să reglementeze modul de realizare şi implementare a controlului pe diferite nivele.

Aceste secţiuni sunt următoarele:

31 

 

1. Obiectivele de securitate şi moduri de realizare 2. Dezvoltarea şi achiziţionarea de sisteme informatice 3. Securitatea echipamentelor şi informaţiei 4. Monitorizarea sistemelor informatice şi acordarea asistenţei tehnice.

Obiectivele de securitate şi modurile de realizare se referă la sistemele informatice şi de telecomunicaţii şi presupun: definirea şi specificarea diverselor tipuri de echipamente hard şi sisteme informatice şi de

telecomunicaţie necesare în procesarea informaţiilor cu care operează agentul economic; a modului în care aceste sisteme trebuie implementate şi controlate pentru asigurarea eficienţei şi

calităţii; identificarea punctelor cheie din cadrul proceselor organizaţiei; stabilirea personalului responsabil pentru asigurarea controlului.

Dezvoltarea şi achiziţionarea de sisteme informatice. În această secţiune se stabilesc necesităţile şi cerinţele pentru implementarea sistemelor informatice precum şi modul de realizarea a acestora. În cazul sistemelor dezvoltate în cadrul agenţilor economici se stabilesc etapele de realizare şi

obiectivele fiecărei faze, urmărind ciclul de viaţă al sistemelor; Specificarea cerinţelor pentru fiecare etapă şi fază a sistemului informatic; Soluţii alternative care pot fi luate în calcul atunci când există mai multe posibilităţi pentru o etapă sau

fază; Analiza sistemului informatic; Proiectare; Implementare; Testare; Monitorizare. In cazul sistemelor achiziţionate se specifică modul de achziţionare, implementare, testare,

monitorizare şi evaluare a performanţelor precum şi modul de licenţiere a acestora. Verificarea acestor faze conduce la sporirea securităţii modului de folosire cât şi a cadrului legal în care sistemele informatice respective au fost achiziţionate.

Securitatea echipamentelor şi informaţiei specifică trei nivele de securitate: Controlul şi securizarea echipamentelor hardware şi a mediului de lucru; Securitatea informaţiei şi a comunicaţiei la nivel logic; Politici de realizare a copiilor de siguranţă şi a recuperării datelor în caz de distrugeri.

Monitorizarea sistemelor informatice şi acordarea asistenţei tehnice presupune stabilirea departamentelor sau a personalului implicat în monitorizarea şi evaluarea performanţelor sistemelor informatice precum şi modul de acordare a asistenţei tehnice.

Politicile de securitate a sistemelor informatice trebuie să prevadă cel puţin aceste puncte cheie. În funcţie de profilul şi de activitatea companiei se pot identifica şi alte cerinţe de securitate ce pot fi incluse în cadrul politicilor de securitate. În anul 2010 guvernul României şi Ministerul Comunicaţiilor şi Tehnologiei Informaţiilor au depus la Parlamentul României un Proiect de lege privind măsurile minime de securitate ale sistemelor informatice din administratia publică. Aceast proiect de lege se referă la definirea şi înfiinţarea unui sistem de minime măsuri de securitate ale sistemelor informatice din administraţia publică care să permită descrierii de elemente organizatorice, măsurile fizice şi de securitate IT pentru protejarea datelor. Se are în vedere stabilirea claselor de securitate care să fie conforme cu obiectivele de securitate, alegerea măsurilor de securitate adecvate conform cu direcţiile generale pentru punerea în aplicare a unui sistem de securitate de bază pentru sistemele de informare, dar şi modul de aplicare al acestora. Clasa de securitate aflată sub forma generală FxIxCx apare în urma stabilirii importanţei datelor exprimată pe 4 nivele codificate.

32 

 

Structurarea clasei de securitate ca sistem de minime măsuri aplicate sistemelor informatice din administraţia

publică Primul caracter F se stabileşte în funcţie de fiabilitate, respectiv de nivelul de posibilă suspendare a activităţii într-o săptămână exprimat în ore, astfel F0 - fiabilitatea şi performaţa nu sunt cuantificate, F1 - fiabilitatea 90% numărul de 24 ore de suspendare, F2 - fiabilitate 99% sunt admise doar maxim 2 ore de suspendare; F3 - fiabilitate 99,9% timp total de suspendare de maxim 10 minute. Integritatea claselor caracterul I se stabileşte tot pe 4 nivele în fucţie de sursa de informaţii, detectarea alterării sau distrugerii, verificarea corectitudinii, astfel: I0 - - nu are importanţă; I1 - sursa de informaţii, detectarea alterării sau distrugerii trebuie să fie detectabile dar verificarea corectitudinii nu se realizează; I2 - sursa de informaţii, detectarea alterării sau distrugerii trebuie să fie detectabile, realizându-se o verificare periodică a corectitudinii; I3 - sursa de informaţii, detectarea alterării sau distrugerii trebuie să aibă valori bine definite, iar verificarea corectitudinii se face în timp real. În funcţie de confidenţialitatea datelor, caracterul C distingem: C0 – accesul este public, nu este limitat dreptul de a citi modifica date; C1 - informaţii pentru uz intern, accesul este permis cu condiţia ca persoana care solicită acces să aibă un interes legitim; C2 - informaţii confidenţiale, accesul este permis doar anumitor grupuri de utilizatorii legitimi; C3 - informaţii secrete la care este permis accesul numai anumitor utilizatori. Securitatea informaţiei dintr-un sistem informatic al administraţiei publice, măsurile de securitate trebuie să fie conforme cu clasele de securitate şi să fie stabilite în urma analizei de securitate care să evalueze importanţa datelor dar şi a dunelor care pot apare.

Monitorizarea, filtrarea procesului de colectare de date personale confidenţiale Un Firewall sau zidul de foc poate ţine la distanţă traficul Internet cu intenţii rele, hackerii, viermii şi anumite tipuri de viruşi, înainte ca aceştia să pună probleme sistemului de calcul. În plus, firewall-ul poate evita participarea computerului conectat în permanenţă la Internet la un atac împotriva altora, fără cunoştinţa posesorului. Un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul implementării unei politici de filtrare. Această politică poate însemna: protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare, Internet, identificând posibilii "musafiri" nepoftiţi, oprind atacurile lor asupra PC-ului sau reţelei locale; controlul resurselor pe care le vor accesa utilizatorii locali. Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal. Utilizând o aplicaţie din ce-a de a doua categorie veţi putea preîntâmpina atacurile care încearcă să acceseze prin mijloace tehnice resurse de pe PC-ul, un firewall personal vă va oferi un plus de siguranţă transmisiilor de date, mai ales în situaţia măririi lăţimii de bandă a conexiunii la Internet care facilitează posibilitatea de strecurare a intruşilor.

33 

 

Astfel, un firewall este folosit pentru două scopuri: pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi cibernetici, hackeri, crackeri) pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea.

Înainte de a alege, implementa un firewall trebuie hotărâtă politica sa, pentru a şti care va fi funcţia sa şi în ce fel se va implementa această funcţie. Politica firewall-ului se poate definii avînd în vedere următoarele elemente: alege ce servicii va deservi firewall-ul stabilirea grupuri de utilizatori care vor fi protejaţi definirea tipului de protecţie necesar fiecărui grup de utilizatori şi a serviciului protejat pentru fiecare

grup redactarea unui document declaraţie care să prevadă expres modalităţile autorizate de acces, precum şi

formele de access interzise Politica va deveni tot mai rafinată cu timpul, dar la început este bine să fie simplă şi la obiect. Un firewall poate să: - monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o mai bună monitorizare a traficului şi o mai uşoară detectare a încercărilor de infiltrare; - blocheze la un moment dat traficul în şi dinspre Internet; - selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în documente, mesaje sau comunicări. - permită sau interzică accesul la reţeaua publică, de pe anumite staţii de lucru bine specificate; - izola spaţiul privat de cel public şi realiza interfaţa între cele două. De asemeni, o aplicaţie firewall nu poate: - interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a acţiunii răuvoitoare a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele); - interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul, utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.) - preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli. Reţelele de calculatoare, Intranet-ul, Internet-ul oferă oportunităţi de neegalat în domeniul informării şi comunicării însă unul dintre efectele negative este faptul ca permit proliferarea în masă a viruşilor, a viermilor informatici, a cailor troieni şi a altor programe nedorite. Virusii informatici existau încă de acum câteva decenii când proliferau mai ales prin intermediul disketelor dar răspandirea lor era limitată ca arie şi extrem de lentă. In prezent insă, un calculator conectat la Internet, şi care nu este dotat cu firewall, nu are toate update-urile sistemului de operare la zi sau nu are soft anti-virus si/sau antispyware instalat, poate fi infectat în doar cateva secunde fără ca utilizatorul să viziteze vreun site, Infestarea se realizează prin atacuri aleatoare asupra adreselor de IP. Persoanele care descarcă fişiere primite prin e-mail din surse necunoscute, cei care viziteaza site-uri cum sunt cele pentru adulţi sau care încalcă proprietatea intelectuală sau ale reţelelor de hackeri riscul de infectare a calculatorului cu viruşi şi cai troieni este mult mai ridicat, aproape garantat. Un suflu nou în răspandirea virusilor care exploatează vulnerabilităţilor aplicaţiilor de web mai ales ale celor proiectate open-source, care permit ca sistemele de calcul infectate să lanseze atacuri asupra site-urilor din Internet, iar prin găsirea unor vulnerabilităţi in realizarea site-urilor respective, să introducă în paginile lor anumite secvenţe de cod care vor infecta calculatoarele vizitatorilor ulteriori ai respectivelor site-uri. Acestea la rândul lor vor lansa atacuri asupra altor site-uri şi aşa mai departe, răspândirea virală a programelor respective fiind rapidă şi globalizată. General vorbind, un virus este un program care se auto-copiază şi infectează un calculator fără permisiunea utilizatorului. De multe ori aceste programe produc pagube pe calculatorul gazdă prin ştergerea de fişiere, defectarea programelor legitime, ocup resursele calculatorului încetinind funcţionarea celorlaltor programe, afişa diverse mesaje, imagini sau chiar reformatarea hard-diskului.

34 

 

De multe ori viruşii se ataşează de anumite fişiere gazdă, iar cănd acestea sunt rulate, este rulat şi virusul, care foloşeşte ocazia pentru a infecta alte fişiere. Din punct de vedere strict tehnic, un virus informatic este considerat a fi o categorie diferita de program fata de un vierme sau de un cal troian. Viruşii sunt numai acele programe care se mută de pe un calculator exclusiv prin mutarea fisierelor gazdă infectate, în vreme ce viermii se pot răspandii singuri pe alte calculatoare fără a constituii o parte dintr-un alt fişier. Un cal troian este un program care dă aparenţa că îndeplineşte o funcţie folositoare, dar în realitate execută funcţii ascunse dăunătoare. Un exemplu clasic de cal troian este un program download manager, pe care cineva îl pune pe un site şi oferă posibilitatea de al descărc gratuit. În realitate, atunci cand se execută în afară de funcţia de faţadă, programul respectiv poate să deschidă anumite porturi pe calculator, să dezactiveze programele antivirus/antispyware/firewall, să descarce şi să instaleze fără aprobarea utilizatorului programe de spionaj al tastelor, pentru a afla parolele şi numărul cardului, poate trimite e-mailuri nesolicitate (spam), sau sa lanseze atacuri DDOS (Distributed Denial Of Service) o avalanşă de cereri către anumite servere sau echipamente în scopul de a le bloca. Caii troieni pot permite autorilor să execute comenzi pe calculatorul infectat, pot afişa reclame nesolicitate, pot seta modemul să apeleze numere de telefon cu taxă din strainatate. Protejarea împotriva acestora se realizează prin limitarea numărul de programe pe care le descărcăm din Internet, asigurarea de fiecare dată ca producătorul respectivului program este o companie sau o persoana în care putem avea încredere, instalarea unui program anti-virus/antispyware actualizat cât de des posibil, scanarea calculatorul periodic, sau când se observăi erori suspecte şi/sau când apare sentimentul că sistemul funcţionează mai lent decât de obicei. Programele spyware înregistrează tastele apăsate, punând la dispoziţie către cel care a produs programul, textul introdus de utilizator, parolele şi numerele de card, sau care transmit periodic imagini cu ce este afişat pe ecran, înregistrează paginile de web vizitate, conţinutul e-mailurilor transmise. Programele spyware pot instala viruşi, pot modifica setările calculatorului astfel încât utilizatorul să fie redirectat către anumite site-uri, înlocuiesc anumite părţi din site-urile vizitate de utilizator cu reclame, din a căror afişare beneficiază producătorul programului spyware. De regulă, programele spyware nu se auto-multiplică în mod direct ca viruşii sau viermii informatici, iar un calculator infectat nu încearcă să transmită infecţia altui calculator. De cele mai multe ori, aceste programe sunt instalate prin înşelarea utilizatorului prin tehnica cal troian. Uneori aceste programe sunt instalate pentru a monitoriza pe ascuns activitatea electronică a partenerului. Exemple de programe spyware: Loverspy, CoolWebSearch dirijează utilizatorul calculatorului pe anumite site-uri, modifică rezultatele returnate de motoarele de căutare, Internet Optimizer redirijează paginile de eroare ale Internet Explorer către pagini cu reclame, Zlob înregistrează căutările în Internet, site-uri vizitat transmiţând aceste informaţii către serverul de control. Uneori şi producătorii software cu renume recurg la tehnici asociate în mod tradiţional cu programele spyware. Spre exemplu, începând din 25 aprilie 2006 aplicaţia Genuine Advantage Notification instalată pe majoritatea PC-urilor Windows drept update de securitate cu importanţă critică transmite date zilnic către Microsoft scopul fiind să asigure faptul ca sistemul de operare nu este pirat.Modul in care functionează ea are foarte multe similitudini cu programele spyware. Alexa Toolbar, un plug-in pentru Internet Explorer, publicat de Amazon.com, este un exemplu deoarece înregistrează lista site-urilor vizitate şi transmite aceste informaţii către producător, Google Toolbar, un plug-in gratuit oferit de motorul american de căutare Google Inc., transmite lista tuturor paginilor accesate de utilizatori, motivul declarat este asigurarea functionalităţii privind stabilirea şi afişarea valorilor de top privind cele mai vizitate pagini. Un vierme informatic este un program care se auto-multiplică, de obicei prin intermediul unei retele. Viermii au nevoie de un alt fişier de obicei executabil pe care să-l infecteze şi cu ajutorul căruia să se răspândească. Unii viermi nu sunt foarte periculoşi, nu fac decât să se răspândească şi sî consume lăţimea de

35 

 

bandă a reţelei. Percepţia generală este ca viermii nu sunt atât de periculosi ca viruşii care aproape întotdeauna strică sau distrug fişiere, dar viermii informatici servesc drept mecanism de transport şi de răspandire pentru secvenţe de cod care produc pagube prin ştergerea de fişiere, spionajul tastelor, trimiterea de e-mailuri cu documentele gsite pe hard-disk, rularea de comenzi la distanţă, folosirea calculatorului pentru atacuri. Utilizarea programelor Firewall gratuite se manifestă de obicei prin aplicaţia Windows Firewall gratuită şi integrată în sistemul de operare. Acesta insă nu este cea mai sigură, şi de accea se recomandă instalarea unui alt firewall, care oferă o securitate mai ridicată. O altă aplicaţie gratuită este Zone Alarm (www.zonealarm.com), dar trebuie să avem grija să descărcam şi să instalăm versiunea care este într-adevăr gratuită, deoarece există şi alte versiuni care sunt contra cost a căror interfaţă de instalare este făcută în aşa fel încât să păcălească prin folosirea unei versiuni de test care după o anumită perioadă trebuie platită. Alte opţiuni gratuite includ Avast Home Edition (www.avast.com), care este şi antivirus, Ashampoo FireWall (www.ashampoo.com), PC Tools Plus Free Edition (www.pctools.com/firewall), Comodo Pro (comodo.com), Online Armor Personal Firewall (www.onlinearmorpersonalfirewall.com), Filseclab Personal Firewall Professional Edition (www.filseclab.com). Autorii au inclus şi adresele web ale producătorilor pe care vă recomandă să le consultaţi adrese la care puteţi găsii toate detaliile privitoare la versiunile oferite, compatibilităţile cu sistemele de operare, eventual limba de comunicare a utilizatorului cu respectivul program. În acest moment accentuăm faptul că sunt extrem de puţini producători majori de astfel de instrumente gratuite care au localizat geografic şi tradus în limba romănă meniurile, instrucţiunile de utilizare, dar pe foarte multe site-uri care permit descărcarea gratuită apar disponibile versiuni localizate geografic. Recomandăm să nu accesăm la astfel de oferte deoarece există un risc major ca respectivele aplicaţii să se transforme din elemente care să ajute utilizatorul în adevarate probleme. Autorii recomandă ca înainte de a instala orice programe gratuite pe care le-aţi descărcat din internet este bine să va faceţi un backup la datele importante, să stabiliţi şi un restore point, elemente care ajută la restaurarea calculatorul în configuraţia existentă înainte de instalare, deoarece atenţie nu se ştie niciodată. Programele Firewall de protecţie de marcă, care bineânţeles că sunt achiţionate pe canale oficiale asigurate de parteneri autorizaţi urmăresc în primul rând prevenţia proactivă inteligentă, automată şi completă a statiilor de lucru faţă de pericolele informatice, viteză de reacţie şi actualizare rapidă. Fiecare producător a creat soluţii orientate distinct către diferite categorii de utilizatori, individuali, de grup sau companii. Solutiile includ protecţie antivirus, antispam, antispyware, antiphishing, firewall, precum şi opţiuni de control parental, optimizarea calculatorului şi backup de date, disponibilitate în multe limbi, uşurinţă în utilizare prin programe asistent, actualizare la fiecare oră a semnăturilor de viruşi prin acţiuni asistate automat sau programate. Soluţiile de securitate se pot instala şi controla centralizat, fiind integrate cu minim de efort şi cheltuieli în structurile existente de securitate. Trebuie să avem în vedere şi latura de suport tehnic, asistenţă disponibilă permanent, prin Internet - formulare inteligente adaptate utilizatorului sau prin sisteme de chat, sau folosind linii de telefonie şi asistenţă de tip Call Centre în care comunicarea se realizează în limba locală a utilizatorului soluţiei. În luna februarie 2010 Economist Intelligence Unit sustinut de InnoPath a publicat în Statele Unite New York (NY 10019), Anglia Londra (WC1R 4HQ) şi Hong Kong Wanchais studiul The mobile data challenge (Innopath_MobileData_WEB.indd) la care au participat 197 de companii de comunicaţii mobile din lume care oferă servicii de voce wireless dar şi servicii de date. Repartiţia mondială a participanţilor la studiu este următoarea: 30% localizaţi în regiunea Asia-Pacific, 28% în America de nord, 26% în Europa de Vest, 16% în America latină, Africa şi Europa de est. Studiul a fost realizat în funcţie de cifra de afaceri exprimată în bilioane $ pe perioada de timp 2005-2014 defalcat pe cele 2 categorii de servicii (voce şi servicii de date). În urma studiului se constată că nivelul de creştere al serviciilor mobile de voce este scăzut, comparativ cu cel al serviciilor de date, elemente care vor obliga operatorii de comunicaţii mobile wireless

36 

 

să devină furnizori de servicii de date şi să investească în noile generaţii de reţele de comunicaţii ca fiind singurele care vor satisface cerinţele clienţilor axate pe noi aplicaţii software dar şi pe conţinutul util oferit. Anul 2010 datorită dispozitivelor mobile şi popularităţii reţelelor de socializare va dezvolta încercările de spam şi phishing cu scopul de a obţine date personale sau parole. Prin intermediul acestora aplicaţii aplicaţiilor malware vor fi transferate pe medii de stocare portabile, memorii USB, carduri de memorie sau hard disk-uri externe, care conectate de utilizator la un calculator de obicei la locul de muncă pentru a arata şi colegilor oferta specială vor produce prin viermi şi troieni furtul de UserName şi parole. La începutul lunii martie a fost lansat un malware privitor la un antivirus fals prin intermediul unui e-mail nesolicitat care invită utilizatorii să vizioneze un film în care le sunt prezentate ultimele tendinţe în materie de cadouri inedite de 8 Martie. Cei care au accesat link-ul au descărcat şi executat un fişier executabil care produce un lanţ de alerte despre numeroasele infecţii depistate în sistem, se reproduce un proces de scanare în plină desfăşurare, păcălind utilizatorii să descarce troianul prezentat sub masca unui antivirus salvator. Odată instalat, se modifică structura mai multor fişiere de sistem şi se transmite un număr mare de mesaje despre probleme şi presupuse infecţii, solicitând insistent ca utilizatorii să cumpere sau să-şi reînnoiască licenţa. Utilizatorul care decide să achiziţioneze produsul on-line pe lângă suma de bani investită într-un antivirus fals, pune la dispoziţia infractorilor informatici şi datele referitoare la conturile lor bancare. În România atacurile informatice de tip phishing au cunoscut o creştere spectaculoasă în periaoda 2009-2010 odată cu popularizarea serviciilor de e-banking. Atacatorii vor urma utiliza în continuare mesaje spam care promit bonificaţii la completarea datelor folosind mijloace on-line, diverse ameninţări legate de blocarea conturilor sau restricţionarea accesului la servicii dacă nu se supun cerinţelor mesajului. Deoarece pe parcursul acestui an până în luna aprilie conform prevederile Legii nr. 656/2002 precum şi de cele ale Regulamentului Băncii Naţionale a României nr. 9/2008 privind cunoaşterea clientelei în scopul prevenirii spălării banilor şi finanţării terorismului, clienţii băncilor trebuie să se prezinte la ghişee, cu actul de identitate, pentru actualizarea datelor de identificare în caz contrar, banca dispunând suspendarea temporară a conturilor, au apărut formulare prin care utilizatorii mai puţin atenţi sunt redirecţionaţi către o pagină Web cu un URL diferit de cel al băncii, sau care prin deformarea anunţului de obligativitate a clienţilor să completeze un formular electronic, atât cu datele lor de identificare, cât şi cu detalii privitoare la cont şi card. Phishing-ul este una dintre cele mai des întâlnite infracţiuni informatice, scopul fiind colectarea de informaţii confidenţiale de genul CNP, numere de cont, numere de card, coduri PIN şi apoi folosirea lor pentru sustragerea de bani. De obicei, sunt vizaţi clienţii companiilor financiar-bancare, dar apar cazuri în care pot fi atacate şi companii din alte sectoare şi chiar magazine virtuale. În cadrul unui atac de tip phishing autorul trimite mesaje prin email sau SMS ca fiind din partea unei anumite companii binecunoscute, către presupuşi clienţi ai acesteia. De cele mai multe ori, adresele de email la care sunt trimise mesajele sunt colectate prin metodele folosite şi de spammeri. Foarte rar, atacul are la origine furtul bazei de date cu clienţi ai companiei vizate. Subiectul email-ului şi conţinutul acestuia diferă de la un atac de phishing la altul. Astfel, infractorul poate anunţa existenţa unor defectiuni sau erori tehnice ce trebuie remediate prin re-introducerea datelor personale, ajungând până la mesaje care promit un anumit premiu. Toate au însă următoarele lucruri în comun: Solicită furnizarea de informaţii confidenţiale (CNP, numere de cont, numere de card, coduri PIN

etc), "necesare" remedierii defecţiunii sau câştigării premiului promis; Mesajele trimit utilizatorii către pagini de internet care imită foarte bine design-ul companiei cu

toate elementele distinctive (ex siglele), pentru a avea şanse cât mai mari să păcălească utilizatorul; Subiectul mesajului conţine numele companiei, cu care utilizatorul este deja familiarizat iar textul este

uneori personalizat cu numele utilizatorului La finalul mesajului se găseşte semnatura oficială a companiei.

37 

 

Aceste mesaje par legitime pentru foarte mulţi utilizatori neavizati care, din acest motiv, nici nu reuşesc să detecteze infracţiunea care stă în spatele imaginilor. În continuarea, autorii vă prezintă o selecţie de metode prin care oricine poate constientiza faptul ca este susus unei tentative de phishing. Este important ca pagina de Internet a cărei adresă a fost tastată în rubrica Adress să fie afişată şi in partea de jos a browser-ului Internet Explorer. Trebuie verificată vizual unicitatea şi corespondenţa între aceste 2 adrese. Dacă cele 2 adrese nu sunt identice de intră în contact cu pagina special creată pentru phishing, pagină care de cele mai multe ori este greu de deosebit de pagina reală. Atenţie la orice mesaj prin care se cer informaţii confidenţiale, se recomandă ca acesta să fie verificat la compania respectivă în numele căreia a fost trimis mesajul. Nici o companie nu solicită prin email sau prin SMS informaţii legate, de conturi bancare, carduri sau coduri PIN. O modalitate rapidă de verificare a unei tentative de phishing este aceea de a completa în primă fază, formularul cu date eronate. Dacă acestea nu vor genera o eroare în pagină, atunci se deduce că ele nu sint verificate în nici un fel, aşa este normal, fiind stocate folosire viitoare. In această situaţie există o mare probabilitate să existe phishing. Recomandăm, verificarea ca în paginile securizate sau de plată să existe reprezentarea lacăt plasată în partea de jos-dreapta ferestrei. Acesta atestă criptarea informaţiilor introduse la momentul transmiterii datelor. Multe dintre paginile Web construite de infractorii informatici împrumută deja elementele grafice direct din site-urile băncilor, singurele indicii despre autenticitatea acestora fiind absenţa sau prezenţa certificatelor de securizare SSL care permit verificarea autenticităţii unui site de e-banking sau e-commerce. Un "cookie" este o mică parte de informaţie, trimisă de un server web pentru a fi depozitată de web browser. Scopul ei este de transmite serverului câteva informaţii specifice. Când browser-ul stochează parola şi identificatorul utilizatorului se demarează procedura de înmagazinare a preferinţele unor pagini de start. Cookii-ul este utilizat pentru sistemele de comandă on-line reamintind persoanei ce a a vrut să cumpere şi să aibă acele produse în coşul de cumpărături; personalizarea site-ului prin acceptarea ideii că utilizatorul să stabilescă ce vrea sa vadă sau nu pe site-ul respectiv; urmărirea traficului pe site care poate furniza informaţii utile despre zonele din site pe care utilizatorii le-au accesat prezentând în acelaşi timp informaţii despre numărul de vizitatori; stabilirea unor ţinte de marketing prin cookie pentru a fi folosite pentru a construi un profil de interese. Deoarece un cookie vehiculează date personale, există riscul ca aceste date să ajungă la persoane neautorizate, sau ca acest mecanism să fie folosit în mod abuziv de situri. Din această cauză orice browser Internet include şi posibilitatea dezactivării acestui mecanism. Dacă mecanismul este dezactivat, browserul refuză să memoreze date de tip cookie, dar atunci utilizatorul nu mai poate beneficia de facilităţile implicate de acceptarea lor. Utilizatorul poate să managerieze mecanismul de cookie, dezactivat atunci când este utilizator foarete prudent, dezactiva temporar numai pentru anumite site-uri reactivându-l ulterior, sau dacă browserul permite se poate stabilii într-o listă situ-rile pentru care nu se doreşte să fie acceptate cookies. În timpul Administraţiei Clinton, Statele Unite au introdus reglementări stricte legate de utilizarea cookiilor de către site-urile agenţiilor guvernamentale. În 2001 Parlamentul European a adus în discuţie propunerea ca acestea să fie interzisă în cazul tuturor situri-lor guvernamentale şi comerciale. Această propunere a fost respinsă prin acţiunile Internet Advertising Bureau din Anglia care a iniţiat acţiunea socială intitulată Salvaţi Cookiuri-le. Situaţia din Spania publicată în Monitorul de securitate a informaţiilor privitor la programele antivirus, sistemele de calcul care folosesc soluţii de protecţie cu valabilitate limitată din primele 2 luni ale anului 2010 (OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN realizat prin partenerit cu SIGMADOS) este următoarea: 87,3% din sistemele de calcul folosite au instalate programe antivirus şi firewall; dintre acestea 63,1% folosesc antivirusul şi firewall-ul inclus în sistemul de operare.

38 

 

Legat de metodele de protecţie al calculatoarelor, în Spania cetăţenii au cunoştiinţă despre programele antivirus în proporţie de 91,2%, firewall 79,5%, posibilităţile de a reduce şi/sau elimina cookiuri-le 78,4, programe anti-spam 66,7, programe anti-spy 64,0%, programe de protecţie anti-fraudă 34,7%, certificatele digitale şi semnătura electronică 24,8 %. Din punctul de vedere al serviciilor de Internet folosite în Spania în ianuarie şi februarie 2010 utilizatorii sunt divizaţi în 5 categorii, navigarea şi informarea prin Internet, poşta electronică, socializarea prin chat, Instant Messenger la nivelul reţelelor de socializare şi a forumurilor, servicii bancare on-line şi comerţ electronic, accesarea reţelelor private de comunicare.