Analiza și gestiunea riscului în sistemele informaționale

G.Cernei , doctor in economie
T.Leahu, conferentiar, doctor in economie
S.Ohrimenco, professor, doctor habilitat in economie

Analiza riscului constituie un compartiment al abordării sistemice a luării deciziilor, realizării procedurilor și acțiunilor practice în procesul de soluționare a problemelor de avertizare (preântâmpinare), ori de reducere a pericolului întreruperii funcționării sistemelor informaționale. Esența gestiunii riscului se reduce la colectarea și analiza informațiilor privind funcționarea sistemului informațional în ansamblu și a fiecărei componente a lui, la analiza riscului (pericolului) și controlului funcționării sistemului de securitate informațională. Procedura analizei riscului este parte componentă declarativă a securității, expertizei, analizei economice în baza criteriilor “valoare – securitate-profit”; asigurării și a altor categorii de analiză și estimare a situației securității sistemelor informaționale.

Sarcina de bază a analizei riscului constă în oferirea informațiilor obiective privind funcționarea sistemului informațional pentru acele persoane, care preeau decizii referitoare la securitatea celui de pe urmă.

În acest sens analiza examinată trebuie să formuleze răspunsuri la următoarele trei întrebări de bază:

  1. Ce rău se poate produce? (identificarea pericolului)

  2. Cât de frecvent aceasta poate să se întâmple? (analiza frecvenței)

  3. Care pot fi consecințele? (analiza consecințelor)

De asemenea analiza în cauză poate fi considerată drept remediu eficace, în cadrul și grație căreia sunt determinate modalitățile de abordare a depistării pericolelor și riscurilor, se întreprind acțiuni de formulare a deciziilor obiective referitor la nivelul riscului posibil, la stabilirea exigențelor și recomandărilor privind reglarea securității examinate.

Sunt posibile mai multe variante ale strategiei securității funcționării sistemului informațional (S.Il.) în condiții de luare a deciziilor în situații de incertitudine, dar de bază sunt următoarele trei.

Prima variantă constă în evitarea riscului. Ea se reduce la refuz de acțiuni ce ar conduce la anumit risc, precum și din temeri de consecințe defavorabile și din motiv că cele întreprinse în principiu nu pot avea loc în procesul funcționării S.Il. De exemplu, chiar și în S.Il. local închis efectiv poate exista riscul pierderilor de informații provocate de intervenții ale utilizatorilor atât la nivel fizic, cât și logic și semantic. Pe lângă aceasta, e necesar de ținut cont de faptul, că S.Il. încorporează o mulțime considerabilă de componente, care dispun de colecții de diverși parametri tehnici (timpul prelucrării refuzului , probabilitatea refuzului ș.a. )

A doua variantă este acceptarea riscului.. Așa strategie este legată de faptul că administratorul în mod conștient recurge la risc până atunci, când consecințele riscurilor ce s-au produs nu vor conduce la pierderi irecuperabile. Varianta examinată nu poate fi considerată optimală, așa acum nu exclude consecințe fatale.

A treia variantă a strategiei securității S.Ie. se reduce la gestiunea riscului. Ea constă în determinarea și estimarea, precum și elaborarea acțiunilor (măsurilor) minimizării riscului. De menționat că gestiunea riscurilor este un domeniu interdisciplinar specific, care solicită cunoștințe fundamentale referitoare la teoria sistemelor complexe (compuse), teoria protecției informației ș.a.

În așa situație e necesar să fie elaborată așa strategie de gestiune a riscurilor de diverse clase în baza următoarelor modalități de abordare:

  • diminuarea riscului prin aplicarea remediilor simple și accesibile, cum ar fi de exemplu, organizarea rațională a gestiunii parolelor utilizatorilor ce de multiple ori reduce pericolul accesului nesancționat;

  • evaziune de la risc prin intermediul acțiunilor de ordin organizatoric;

  • schimbarea caracterului riscului pe contul funcției asigurării în cazurile apariției situațiilor imprevizibile;

  • acceptarea riscului contând pe strategia gestiunii lui.

Strategia gestiunii riscului de asemenea depinde de varietatea și indicatorii cantitativi ai lui.

Actualmente sunt cunoscute următoarele varietăți de riscuri și indicatori ce-i caracterizează:

  • risc individual – caracterizat în baza a așa indicator cum este frecvența defectării unei componente a S.Il. (de exemplu, calculatorul, sistemul de operare, aplicația programată, baza de date ș. a.) provocată de influența anumitor factori de pericol;

  • risc colectiv. Se caracterizează prin numărul întreruperilor (penelor) previzibile pe parcursul anumitui termen temporal (de exemplu, refuz în deservire, pierderea resurselor informaționale ș. a.);

  • risc potențial – caracterizat prin distribuirea spațială a frecvenței influenței negative de anumit nivel asupra S.Il.;

  • risc social - caracterizat de frecvența evenimentelor negative, în urma cărora au suferit utilizatorii S.Il.

În practica funcționării S.Il. deseori este utilizată noțiunea de “politică a riscului”, care se interpretează drept o totalitate de acțiuni (organizatorice, tehnice, administrative ș. a.) întreprinse cu scopul diminuării pericolului luării deciziilor în momentul formulării lor și reducerii consecințelor negative posibile.

Procesul de analiză a riscurilor include efectuarea următoarelor proceduri de bază în următoarea succesiunea:

  • planificarea și organizarea lucrărilor de analiză;

  • identificarea (evidențierea) pericolelor;

  • elaborarea recomandărilor privind diminuarea riscului (gestiunea riscului).

La fiecare etapă se elaborează și se perfectează anumită documentație. Așa, de exemplu, la etapa de planificare și organizare a lucrărilor de analiză e necesar:

  • de descris motivele și problemele ce au provocat necesitatea acestei analize;

  • de determinat sistemul analizat și de efectuat descrierea lui;

  • de selectat grupul necesar de executori ai analizei în cauză;

  • de determinat și de descris sursele de informații privind securitatea S.Il.;

  • de stabilit restricțiile circumstanțelor inițiale, resurselor financiare și a altor posibilități care predetermină profunzimea, plenitudinea și nivelul de detaliere a risc-analizei;

  • de pus la punct determinarea scopurilor risc-analizei;

  • de selectat metodologia și metodele analizei riscului;

  • de determinat criteriile riscului admisibil.

Pentru diverse etape ale ciclului de viață a S.Il. de asemenea pot fi determinate scopuri concrete ale analizei riscului. Așa, la etapa de proiectare (elaborare) a S.Il. scopurile risc-analizei pot fi următoarele:

  • evidențierea pericolelor existente și estimarea cantitativă a riscului cu luarea în considerație a influenței factorilor de bază;

  • analiza admisibilității deciziilor oferite și selectarea variantelor optimale de instalare a utilajului; a materialelor instructive privind acțiunile personalului în situații critice;

  • asigurarea informațională a procesului de elaborare a materialelor instructive privind acțiunile personalului în situații critice;

  • estimarea propunerilor tehnologice alternative.

La etapa exploatării (funcționării) și modernizării (modificării) S.Il. risc-analiza urmărește următoarele scopuri de bază:

  • stabilirea și compararea coerenței condițiilor de funcționare ale S.Il. cu exigențele respective de securitate ale lui;

  • precizarea (concretizarea) informațiilor privind pericolele de bază;

  • elaborarea recomandărilor organizării funcționării sistemului de securitate informațională;

  • revizuirea în sens de performare a instrucțiunilor de exploatare și de deservire tehnică, a planului de restiture și a acțiunilor în situații excepționale;

  • estimarea eficacității modificărilor structurilor organizatorice, procedeelor activităților practice și de deservire tehnică pornind de la principiile de securitate.

În cazul selectării metodei de analiză a riscului e necesar de ținut cont de complexitatea proceselor examinate, de gradul de asigurare cu date respective și de calificarea specialiștilor preocupați de această analiză. Totodată, metodele de analiză mai simple și mai clare trebuie să fie avantajate comparativ cu cele compuse, nu până la urmă clare și metodic asigurate. În așa context la etapa de planificare se solicită punerea la punct a tuturor deciziilor manageriale, care e necesar să fie luate și datele (indicatorii) de ieșire ale risc-analizei ce sunt implicate în formarea lor. Criteriile riscului admisibil se determină în baza metodelor de analiză ale lui, disponibilității de informații necesare, posibilităților și scopurilor analizei. Ele se pot conține în documente normative juridice, ori pot fi determinate la etapa de planificare a risc-analizei, ori în procesul de obținere a anumitor rezultate ale analizei. Exigențele de bază înaintate față de selecția criteriilor riscului admisibil în procesul de analiză constau în fondarea și definitivitatea lor. 

În caz general, drept bază de determinare a gradului acceptibilității riscului trebuie să servească:

  • legislația;

  • regulile și normele securității domeniului analizat;

  • cerințele suplimentare înaintate de organismele cu împuterniciri speciale în domeniu;

  • informațiile privind penele (avariile) ce deja s-au produs în domeniu și consecințele lor;

  • experiența practică de acceptibilitate a riscului în aceleași situații ori în situații similare.

Sarcina de bază a etapei de identificare a pericolelor constă în depistarea (în baza informațiilor referitoare la securitatea obiectului protejat, datelor expertizelor ce au avut loc și experienței funcționării sistemelor de categorie similară) și descrierea exactă a tuturor pericolelor caracteristice pentru sistemul real. Etapa în cauză se consideră una din cele mai responsabile (decisive), așa cum pericolele neidentificate în cadrul ei nu pot fi examinate și dispar din câmpul vizual. Rezultatele analizei preliminare și aplicării metodelor identificării pericolelor creează posibilități de a determina care elemente, blocuri ori procese ale sistemului tehnologic solicită analiză mai serioasă și care din ele prezintă interes mai redus din punct de vedere al securității.

În finalul identificării pericolelor se perfectează lista evenimentelor nedorite, care conduc la pene (avarii). Această identificare de asemenea se finalizează cu determinarea direcțiilor posibile de continuare a activităților de securitate. Printre ele pot fi:

  • decizia de stopare a analizei din motivul importanței reduse a pericolelor;

  • decizia de efectuare a unei analize mai detaliate a riscului;

  • formularea recomandărilor de diminuare a pericolelor.

Dacă e necesar, după identificarea pericolelor se trece la etapa de estimare a riscului. La această etapă pericolele depistate e necesar să fie estimate din punct de vedere a coerenței lor criteriilor riscului acceptat. Atât riscul admis, cât și rezultatele estimării riscului pot fi exprimate calitativ (textual ori sub formă de tabele) și cantitativ în baza calculării valorilor indicatorilor riscului. Important de menționat, că aplicarea calculelor complexe și costisitoare frecvent se soldează cu așa valoare a riscului, a cărei precizie pentru sistemele informaționale complexe este nesemnificativă. În acest sens, practica ne oferă date, conform cărora eroarea valorilor estimărilor probabilistice ale riscului, chiar și în cazul dispunerii de toate informațiile necesare, de regulă, poate fi nu mai mică de o ordine de mărime. În așa situație estimarea cantitativă deplină a riscului este mai mult utilă pentru compararea surselor pericolelor și pentru întreprinderea diverselor acțiuni de securitate, decât pentru formularea concluziei privind gradul securității sistemului. De aceea, în practică e necesar de aplicat în primul rând metodele calitative ale analizei riscului, bazată pe proceduri bine gândite, remedii auxiliare speciale (formulare, îndrumări metodice detaliate) și experiența practică a executorilor. Însă metodele cantitative totdeauna sunt foarte utile, în unele situații fiind unicele admisibile, ca de exemplu, pentru compararea pericolelor de diversă natură ori pentru ilustrarea rezultatelor obținute. 

Una din condițiile importante de estimare a riscului este asigurarea ei cu informații necesare. În cazul insuficienței de date statistice, în practică se recomandă aplicarea estimării de expertiză și metodelor de aranjare după rang a riscului, care se bazează pe aprecieri simpliste. Așa modalități de abordare solicită aranjarea evenimentelor examinate după dimensiunile probabilității, gravitatea consecințelor și riscului în câteva grupe (categorii, ranguri), cum ar fi, de exemplu, cu nivel de risc mare, mediu și mic. De regulă, nivelul mare al riscului se consideră inadmisibil, nivelul mediu al riscului necesită efectuarea anumitor totalități de activități de diminuare a lui, pe când riscul de nivel mic este admisibil, iar nivelul nesemnificativ al lui în general nu se examinează.

Analiza consecințelor include estimarea influenței pericolelor și riscului asupra utilizatorilor sistemului informațional, stării resurselor informaționale și a altor resurse ale acestui sistem. Prognosticul consecințelor necesită estimarea efectelor fizice ale fenomenelor nedorite. În legătură cu aceasta e necesar de aplicat modelele proceselor avariate și criteriile afecțiunii obiectelor influențate examinate, de a se clarifica în natura și exigențele specifice ale lor.

La etapa estimării riscului e necesar de examinat incertitudinea și exactitatea rezultatelor lui. Sunt cunoscute o mulțime de incertitudini legate de estimare a riscului. De regulă, sursele de bază ale incertitudinilor sunt neajunsurile informațiilor privind fiabilitatea hard-ului (valori excesive ale erorilor) și erorilor umane, precum și intențiile preluate, admisibilitățile modelelor procesului aplicat avariat. Pentru a interpreta obiectiv rezultatele estimării riscului există necesitatea conștientizării incertitudinilor și motivelor lor. Analiza incertitudinii se reduce la transferul incertitudinii parametrilor inițiali și a intențiilor aplicate în cadrul estimării riscului în incertitudinea rezultatelor. Sursele incertitudinii trebuie să fie identificate (evidențiate) și prezentate în rezultatele riscului. 

În caz de necesitate, la etapa finală a estimării în cauză se determină gradul riscului sistemului informațional în ansamblu în baza analizei și generalizării indicatorilor riscului evenimentelor stabilite.

Etapa finală de analiză a riscului constă în elaborarea recomandărilor de diminuare a lui (gestiunea riscului). Aceste recomandări sunt orientate spre recunoașterea riscului existent drept admisibil ori ele să indice acțiunile de diminuare a riscului (ori, în caz general, să indice acțiuni de gestiune a lui).

Acțiunile de diminuare a riscului pot fi de caracter tehnic, programatic și organizatoric. În selectarea categoriei de așa acțiuni importanța decisivă aparține estimării generale a eficienței acțiunilor ce influențează riscul.

La stadiul funcționării sistemului informațional acțiunile organizatorice pot compensa posibilitățile limitate pentru întreprinderea acțiunilor esențiale programatico-tehnice privind diminuarea pericolului. În cadrul elaborării acțiunilor de diminuare a riscului e necesar de ținut cont de faptul, că în cazul limitării posibile de resurse, în primul rând trebuie să fie elaborate cele mai simple și mai puțin сostisitoare recomandări, precum și recomandările de perspectivă.

Procesul de gestiune a riscului poate fi realizat de următoarele acțiuni efectuate în următoarea succesiune:

  • evidențierea riscului ipotetic;

  • estimarea riscului;

  • selectarea metodelor de gestiune a riscului;

  • aplicarea metodelor selectate;

  • estimarea rezultatelor.

Baza metodologică de realizare a analizei riscului include în sine următorii pași efectuați în următoarea succesiune.

Pasul 1 Determinarea și descrierea tuturor activelor sistemului informațional, printre ele de bază fiind hard-ul, soft-ul și datele. Totodată, se stabilește valoarea nominală a acestor active cu luarea în considerație a termenului de exploatare, valorii de restituirii (înlocuire) și alți criterii subiectivi.

Pasul 2 Formarea listei amenințărilor posibile și probabile. Drept amenințare se consideră orice acțiuni, care ar provoca deschideri neancționate, distrugeri, modificări și refuz de deservire. Prin urmare, în cadrul acestei etape are loc identificarea mulțimii de amenințări cu concretizarea cât mai satisfăcătoare a probabilității (frecvenței) lor și a pierderilor așteptate.

Pasul 3 Calcularea dimensiunilor pierderilor posibile în cazul producerii amenințărilor probabile.

Pasul 4 Determinarea remediilor posibile de opunere și verificarea amenințărilor, evidențierea remediilor, costul și eficienței lor.

Pasul 5 Calcularea și determinarea rezultatelor financiare, obținute de la realizarea fiecărui remediu de opunere amenințărilor, prin contrapunerea cheltuielilor și profitului de la efectuarea lor.

Pasul 6 Determinarea și formularea recomandărilor privind selectarea remediilor de opunere și de verificare a amenințărilor. În cazul selecției metodelor de opunere și verificare a acestor amenințări e necesar de ținut cont de tipul S.Il., caracterul amenințărilor (posibile și potențiale), scopurile analizei, criteriile riscului admisibil, dispunerea de recurse necesare pentru efectuarea analizei, de informații respective, de experiența și calificarea executorilor ș.a.

Metoda (complexul de metode) selectat e necesar să satisfacă următoarele exigențe:

  • să fie bine fondat din punct de vedere științific și coerent S.Il. analizat;

  • să se soldeze cu așa rezultate în așa formă, care ar contribui la claritatea evidentă a caracterului riscului și a căilor de diminuare a lui;

  • să fie iterabilă și verificabilă.

La stadiul de identificare a amenințărilor pot fi aplicate următoarele metode de analiză a riscului:

  • “Ce se va întâmpla, dacă….?”;

  • lista verificărilor;

  • îmbinarea metodelor “ Ce se va întâmpla, dacă …?“ și “lista verificărilor”;

  • analiza pericolului amenințărilor și a consecințelor lor;

  • analiza arborelui refuzurilor (penelor, stopărilor);

  • analiza arborelui evenimentelor;

  • alte metode echivalente.

Metoda listei verificărilor (Check-List) și “Ce se va întâmpla, dacă…?” (What It.) ori combinarea lor se referă la grupa metodelor calitative de estimare, bazate pe studierea condițiilor de funcționare și exigenților existente ale S.Il., componentelor lui ori a proiectului de modernizare a acestui sistem.

Lista verificărilor conține o totalitate de întrebări și răspunsuri privind coerența S.Il. exigențelor securității și indicațiile de asigurare a ei. La rândul său, analiza “Ce se va întâmpla, dacă …?” conține informații inițiale mai extinse și rezulte privind consecințele posibile ale riscurilor. Aceste metode sunt eficiente în cazurile aplicării formularelor special elaborate, blanchetelor unificate, care în practică contribuiesc la facilitarea efectuării analizei, obținerea și reprezentarea rezultatelor. De menționat de asemenea că aceste metode se deosebesc prin consumuri reduse și eficiență evidență comparativ cu studierea tehnologiilor standarde de prelucrare a datelor.

Analiza categoriilor și consecințelor refuzurilor (F.M.E.A.- Failure Mode and Effect Analysis) se aplică în scopuri de estimare calitativă a securității S.Il. Particularitatea caracteristică a acestei metode constă în studierea componentelor S.Il. de pe pozițiile categoriilor și motivelor refuzurilor, a consecințelor lor. E posibilă și extinderea acestei metode până la analiza cantitativă a categoriei, consecințelor și situației critice a refuzului. Fiecare categorie de refuzuri se aranjează în depindere de următoarele două caracteristici:

  • probabilitatea (frecvența) refuzului; 

  • gravitatea consecințelor refuzului.

Rezultatele analizei se prezintă sub formă tabelară (matriceală) cu enumerarea categoriilor și motivelor refuzurilor posibile, frecvenței lor, situațiilor critice provocate de ele, remediilor de depistare și recomandărilor de diminuare a pericolelor amenințărilor.

În procesul acestei analize apare necesitatea în detalierea (concretizarea) categoriilor și a frecvenței (probabilității) lor referitor la componentele S.Il. și constituantelor lor: hard-ul, soft-ul, utilaj de comunicație și soft-ul lui; resursele informaționale și personalul. Cu așa prilej se recomandă de a aplica următoarele criterii ale refuzurilor în depindere de gravitatea consecințelor:

  • catastrofal;

  • critic;

  • necritic;

  • cu consecințe foarte reduse.

Metoda analizei pericolului și a capacității de funcționare (H.A.Z.O.R.- Hazard and Operability Study) se reduce la studierea influenței abaterilor proceselor tehnologice de la parametrii stabiliți din punct de vedere a apariției pericolelor.

Pe parcursul analizei pentru procesele tehnologice se determină abaterile posibile de pe poziții de apariție a pericolelor și motivelor lor, precum și recomandările de neadmitere a lor. Caracteristica abaterilor are loc prin intermediul a așa cuvinte – cheie, cum sunt “nu”, “mai mare”, “mai mic”, “tot așa ca și”, “altul”, “altfel decât”, “invers” ș.a.

Rezultatele analizei se înregistrează în blanchetele tehnologice (tabele). Metoda în cauză contribuie la depistarea neclarităților și inexactităților în instrucțiunile de securitate. Totodată, metoda are și anumite neajunsuri, așa cum analiza combinărilor evenimentelor este anevoioasă.

Metodele logico- grafice de analiză a arborilor refuzurilor și evenimentelor. În cadrul analizei arborelui evenimentelor (E.T.A. – Event Tree Analysis) are loc elaborarea algoritmului construirii (prezentării) succesiunii evenimentelor (scenariul evoluției situației de avarie).

Analiza arborilor refuzurilor (F.I.A.- Fault Tree Analysis) este orientată spre depistarea combinărilor refuzurilor (stopărilor, staționărilor) utilajului (de calcul și de comunicație), resurselor programate, erorilor personalului și a acțiunilor (mediului, anturajului) externe (tehnogene), care conduc la situații avariate.

Metoda este aplicată în scopuri de analiză a motivelor posibile ale situațiilor de avarii și pentru calcularea frecvenței lor.

Atât metoda arborilor refuzurilor, cât și metoda evenimentelor sunt foarte voluminoase după manopera1 lor și, de regulă, sunt aplicate pentru efectuarea analizei proiectelor de modernizare a S.Il.

Conform Recomandărilor Organizației Internaționale de Standardizare (I.S.O.), clasificarea amenințărilor pentru sistemele informaționale e necesar să fie efectuată în baza a așa criterii, cum sunt scopurile realizării amenințărilor și modalităților de influență a lor. Aceste criterii, în final, se reduc la stabilirea mecanismelor amenințărilor și remediilor de atac pentru fiecare bloc informațional sau mijloc tehnic a sistemului băncii de date și realizarea acțiunilor necesare de protecție a resurselor respective.

După scopurile urmărite amenințările pot fi sistematizate în următoarele categorii:

  • violarea integrității informațiilor, ultimele fiind pierdute ori falsificate în consecința eliminării ori modificării ocazionale sau nesancționate;

  • violarea accesibilității informațiilor ori capacității de funcționare a sistemului examinat; modificarea (schimbarea) incorectă, nesancționată ori ocazională a regimurilor de funcționare a componentelor aceluiași sistem, modificarea ori substituirea falsă a celor de pe urmă, ceea ce poate să conducă la obținerea unor rezultate eronate, la refuzul sistemului de a prelucra fluxul informațional ori la rețineri inadmisibile a furnizării informațiilor, precum și la refuzuri de a deservi;

  • violarea confidențialității informațiilor; informațiile păstrate și prelucrate de S.Il. dispun de valoare semnificativă și din acest motiv aplicarea ei nesancționată poate pricinui mari daune, inclusiv și încălcarea legislației privind secretul bancar;

  • violarea valorii și semnificației juridice a informațiilor, ceea ce în ultimul timp, concomitent cu constituirea bazei normative privind securitatea informațiilor în Republica Moldova, capătă o importanță tot mai evidentă; de exemplu, această bază este foarte actuală pentru documentele electronice de plată și pentru asigurarea evidenței riguroase a oricăror servicii informaționale. Această evidență constituie baza economică ce asigură funcționarea oricărui S.Il. comercial și contribuie la respectarea strictă a reglamentării și înregistrării (memorizării) acceselor la informații în toate cazurile de recurs (adresări) la resursele informaționale ale S.Il. De asemenea există necesitatea și în notarizarea (înregistrare cu valoare juridică) informațiilor oferite și utilizate în cazurile oricăror litigii între comanditarii și executorii activităților de deservire informațională.

După modalitatea de influență a obiectului pot fi distinse următoarele categorii de amenințări:

  • influență directă (nemijlocită) a obiectului atacat, cum ar fi, de exemplu, accesul imediat la colecțiile de date, programa aplicativă în consecința unei erori, ori intenționat;

  • influență a sistemului de delimitări a mandatelor (împuternicirilor) și autorizărilor (inclusiv și uzurparea privelegiilor). În cazul acestei modalități de influență acțiunile nesancționate se referă la drepturile utilizatorilor, iar însăși accesul la obiect se efectuează ulterior pe cale reglamentată;

  • influență mediată (prin intermediul altor utilizatori);

  • influenț㠓mascarad” (în cazul când utilizatorul într-un mod oarecare își însușește atribuțiile (mandatele, împuternicirile) altor utilizatori ai S.Il.);

  • “folosire oarb㔠(în cazul când un utilizator impune altuia efectuarea amunitor acțiuni necesare, despre care ultimul poate nici să nu bănuiască). În așa situație realizarea amenințării se produce prin intermediul “virusului computerial” ori a “identificatorului programei aplicative”.

Așa cum sistemele informaționale economice se caracterizează prin volume excesive și structură compusă, asigurarea securității și fiabilității lor are importanță primordială. Prin intermediul analizei riscurilor se contribuie la majorarea calității informațiilor acestor sisteme, iar această majorare, la rândul său, conduce la performanțele conducerii, care, în final, influențează direct îmbunătățirea rezultatelor activităților unităților economice.