Friday, February 26, 2021
2015

1111
Florin Cosmoiu Este directorul Centrului Național CYBERINT din cadrul Serviciului Român de Informații (SRI), lucrând anterior în departamentele IT&C ale instituției (administrator de baze de date, arhitect șef IT), începând din 1992, trecând prin toate nivelurile de comandă. http://www.sri.ro
Florin Cosmoiu Este directorul Centrului Național CYBERINT din cadrul Serviciului Român de Informații (SRI), lucrând anterior în departamentele IT&C ale instituției (administrator de baze de date, arhitect șef IT), începând din 1992, trecând prin toate nivelurile de comandă. http://www.sri.ro

autor: Florin Cosmoiu

Societatea se află într-un proces continuu de transformare, evoluţia şi dezvoltarea internetului au creat noi mijloace de comunicare între oameni şi noi posibilităţi de a împărtăşi informaţii şi de a se reuni, în acelaşi timp generând însă noi riscuri şi vulnerabilităţi. În actuala societate informaţională, este recunoscut faptul că sunt conectate tot mai multe ţări, instituţii sau cetăţeni.

Securitatea cibernetică reprezintă o parte a securităţii naţionale, în prezent fiind considerată de către multe state şi organizaţii drept o prioritate a securităţii naţionale. Există un set de caracteristici, atribute pe care un stat trebuie să le deţină pentru a putea susţine că a atins un nivel înalt de securitate cibernetică: strategii şi politici de securitate cibernetică, activităţi de educaţie în domeniu, exerciţii pentru dezvoltarea competenţelor, cadru legal instituţional care să reglementeze responsabilităţile în zona securităţii cibernetice şi cadru legal naţional în domeniu, cultură de securitate cibernetică, precum şi tehnologii şi standarde necesare.

Ca urmare a necesităţilor societăţii informaţionale, România a investit în ultimii ani în dezvoltarea capabilităţilor în domeniul securităţii cibernetice întrucât aceasta a devenit o prioritate a securităţii naţionale. Astfel, în scopul asigurării securităţii spaţiului cibernetic, ţara noastră s-a focalizat pe respectarea drepturilor şi libertăţilor omului deopotrivă cu protecţia datelor personale. În ceea ce priveşte stadiul reglementărilor privind zona securităţii cibernetice în ţara noastră, un pas important în acest sens l-a reprezentat aprobarea, în februarie 2013, a Strategiei de Securitate Cibernetică a României de către Consiliul Suprem de Apărare a Ţării. Obiectivul principal al strategiei îl reprezintă implementarea măsurilor de securitate care să conducă la o creştere a nivelului de protecţie a Infrastructurilor Critice Cibernetice, în concordanţă cu noile concepte şi politici în domeniu, care au fost elaborate şi aprobate la nivel NATO şi UE.

O altă etapă importantă a constat în crearea Centrului Naţional de Răspuns la Incidente Cibernetice (CERT-RO), în februarie 2011. CERT-RO dezvoltă şi actualizează, la nivel naţional, un Sistem de Alertă Timpurie, alcătuit din senzori care colectează evenimentele de securitate cibernetică de la toate reţelele desemnate drept infrastructuri critice. Informaţiile colectate de către CERT-RO stau la baza procesului decizional referitor la politici naţionale şi, de regulă, a notificărilor către publicul larg cu privire la atacuri cibernetice. CERT-RO continuă să desfăşoare activităţi care presupun conştientizarea importanţei securităţii cibernetice, lucru semnificativ în contextul creşterii incidentelor de natură cibernetică.

Având în vedere multitudinea acestor tipuri de incidente în prezent, este important să existe un răspuns organizat la astfel de evenimente cibernetice, pentru a le putea identifica pe cele care reprezintă ameninţări la nivel naţional.

Ţara noastră a iniţiat demersuri de planificare a managementului crizelor, ca urmare a importanţei acestuia în gestionarea incidentelor de natură cibernetică. În situaţii de criză, instituţiile cu responsabilităţi în domeniul securităţii cibernetice trebuie să fie pregătite să contracareze incidentele sau să limiteze efectele acestora, sens în care capătă importanţă capacitatea de a coopera.

În ceea ce priveşte protecţia infrastructurilor critice, în România există reglementări legale în acest domeniu de câţiva ani, şi se depun în continuare toate eforturile necesare în vederea aplicării şi respectării acestora la toate nivelurile. Astfel, pentru a se stabili care infrastructuri pot fi considerate ca fiind critice, a fost elaborată Legea privind identificarea şi desemnarea infrastructurilor critice.

Pentru problematica securităţii cibernetice prezintă o mare importanţă dimensiunea cadrului legal în materie, şi ca atare considerăm esenţială aprobarea formei finale a Legii Securităţii Cibernetice. O astfel de lege defineşte concepte precum securitate cibernetică naţională, incident/atac cibernetic, cadru legal naţional în materie, atribuţiile instituţiilor cu responsabilităţi în asigurarea securităţii cibernetice sau ale celor responsabile de reacţia la incidente de natură cibernetică.

Pe de altă parte, nu este suficient să avem o lege a securităţii cibernetice, ci ar trebui elaborat şi adoptat un set de standarde în domeniu. Toate Infrastructurile Critice Informaţionale (deopotrivă publice şi private) trebuie să beneficieze de minime politici de securitate şi praguri critice cu rolul de a preveni sau cel puţin pentru a limita efectele atacurilor cibernetice, de la cele mai puţin semnificative la cele de nivel mediu.

În privinţa acţiunilor de criminalitate cibernetică, cadru legal în domeniu este actualmente cuprins în Codul Penal, ca de altfel şi în alte documente cum ar fi: Strategia de Securitate Cibernetică a României, legea care reprezintă transpunerea în legislaţia românească a Convenţiei de la Budapesta, şi un set de Decizii ale Consiliului Suprem de Apărare a Ţării care nu sunt opozabile societăţii civile. Cu toate acestea, referitor la incidentele de natură cibernetică, România încă nu are o legislaţie concretă/completă care să reglementeze foarte clar problematica.

Încă din anul 2011, în ţara noastră au existat preocupări în privinţa strategiilor de apărare cibernetică, pe segmentul dezvoltării tehnologiilor sigure şi reziliente în domeniu. De asemenea, România este interesată de cele mai recente programe, tehnologii şi inovaţii în domeniul securităţii cibernetice. Nu trebuie să neglijăm faptul că nivelul ridicat de utilizare a internetului în cadrul activităţilor guvernamentale şi comerciale, dar şi în viaţa de zi cu zi, oferă agresorilor din mediul digital noi ocazii de a-şi materializa intenţiile maliţioase. Ca urmare, pe măsură ce creşte numărul utilizatorilor de internet, creşte şi riscul apariţiei incidentelor cibernetice.

Într-o societate informatizată, orice calculator poate fi ţinta unui agresor cibernetic şi poate fi folosit ca mijloc de atac cibernetic, astfel că ar fi normal ca fiecare cetăţean care utilizează un calculator să aibă cunoştinţe în domeniu. Este esenţial ca statele să-şi îmbunătăţească nivelul culturii de securitate cibernetică.

Cultura de securitate cibernetică reprezintă un factor important în societate şi ca atare este necesar ca instituţiile statului să-şi concentreze eforturile în vederea creşterii nivelului culturii de securitate în România. Societatea civilă trebuie să înţeleagă că are deopotrivă şi responsabilitatea asigurării securităţii spaţiului digital, şi că este necesar să existe din partea acesteia deschiderea către cooperare cu instituţiile cu responsabilităţi în domeniu.

Trebuie subliniat rolul important al educaţiei în orice societate. Educaţia în zona deprinderilor utilizării mijloacelor de asigurare a securităţii cibernetice este doar la început, însă statele trebuie să se concentreze pe această latură a securizării spaţiului virtual şi să investească din ce în ce mai mult pentru a construi cu succes programe inovative. Trăim într-o eră informaţională, în care internetul a devenit tehnologia hotărâtoare, iar nevoia de personal cu expertiză în domeniul securităţii cibernetice este acută. Ca atare, nu există nici o îndoială că trebuie accelerat procesul de învăţare şi de dezvoltare a abilităţilor utilizatorilor de internet.

România continuă dezvoltarea programelor educaţionale şi a instruirii profesionale pentru a crea suficienţi experţi care să răspundă provocărilor actuale. În vederea îmbunătăţirii măsurilor de securitate cibernetică, investiţiile şi acţiunile trebuie prioritizate de către guvern şi organizaţii.

Ministerul Educaţiei Naţionale intenţionează să introducă în curricula şcolară forme obligatorii de pregătire în domeniul securităţii cibernetice şi are în vedere organizarea mai multor conferinţe în acest domeniu. De exemplu, CERT-RO organizează, cu sprijinul ENISA, o lună a Securităţii Cibernetice în fiecare an. În cadrul acestui eveniment participă toate instituţiile publice cu responsabilităţi în domeniul apărării cibernetice, reprezentanţi din industrie şi din mediul academic, precum şi reprezentanţi ai societăţii civile. În scopul atingerii nui nivel ridicat de securitate cibernetică, în plus faţă de conferinţe şi exerciţii derulate pe zona de securitate cibernetică, cercetarea în domeniu reprezintă de asemenea o prioritate.

Dacă luăm în considerare factori precum: caracteristicile internetului văzut din perspectiva unui sistem global de informare, atacurile cibernetice care se pot manifesta fără frontiere, reiese necesitatea cooperării regionale şi internaţionale în domeniul securităţii cibernetice. Problema principală referitoare la cooperarea pe teme de securitate cibernetică, o reprezintă abordările diferite ale statelor: fie prin prisma securităţii naţionale, a drepturilor omului sau a intereselor economice. România este implicată în numeroase activităţi de cooperare în domeniul securităţii cibernetice, atât cu state ale Uniunii Europene, cât şi cu state membre NATO.

Crearea şi dezvoltarea de parteneriate publice-private reprezintă o necesitate având în vedere că securitatea cibernetică este atât responsabilitatea guvernelor, prin serviciile de informaţii şi instituţiile de aplicare a legii, cât şi a sectorului privat. Ca urmare, este necesar să fie stabilite mecanisme de cooperare între sectorul public şi cel privat în scopul prevenirii, identificării, analizării şi reacţiei la evenimente de natură cibernetică. De asemenea, trebuie considerată o necesitate împărtăşirea cunoştinţelor şi bunelor practici ca o modalitate de sporire a capabilităţilor de asigurare a securităţii cibernetice.

2377
Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD
Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

autor: Natalia Spinu

Spaţiul cibernetic se caracterizează prin lipsa frontierelor, dinamism şi anonimat, generând deopotrivă, atât oportunităţi de dezvoltare a societăţii informaţionale, cât şi riscuri la adresa funcţionării acesteia. În ziua de azi, securitatea cibernetică este unul dintre cele mai discutate subiecte atât în lume, cât şi în Republica Moldova.

Cetăţenii, guvernul şi agenţii economici din Republica Moldova utilizează tehnologiile informaţionale şi de comunicaţii tot mai des în ultima perioada. Preţurile reduse pentru internet în bandă largă, precum şi poziţionarea Republicii Moldova printre primele zece ţări în lume după viteza internetului a permis creşterea numărului de utilizatorilor ai internetului de bandă largă, astfel circa 38% din populaţie utilizează activ internetul. Totodată, aşteptările cetăţenilor Republicii Moldova faţă de serviciile publice online de asemenea au crescut ceea ce a condiţionat în mod natural dezvoltarea guvernării electronice. Astfel, pe măsura creşterii gradului de informatizare a societăţii Republicii Moldova, aceasta devine tot mai vulnerabilă la atacuri, iar asigurarea securităţii spaţiului cibernetic a devenit o garanţie a securităţii naţionale, economice şi chiar personale. În prezent crearea şi implementarea unei strategii de securitate a informaţiei, precum şi adoptarea standardelor şi practicilor internaţionale care vor contribui la siguranţa serviciilor electronice şi la protejarea informaţiei sensibile a devenit o preocupare la nivel naţional.

Infractorii folosesc spaţiul cibernetic pentru a accesa informaţiile cu caracter personal, a fura proprietatea intelectuală a întreprinderilor şi a dobândi informaţii senzitive deţinute de guvern, în scopul unui câştig financiar sau politic, sau în alte scopuri maliţioase. Astfel, cu părere de rău constatăm că în spaţiul informaţional, frontierele naţionale nu prezintă bariere pentru infractorii cibernetici.

Un eventual atac cibernetic soldat cu succes ar putea perturba activitatea infrastructurilor critice ale unui stat, dăunând grav economiei şi ameninţând securitatea naţională. Moldova nu are imunitate la astfel de atacuri. Spre exemplu, în 2014 au fost recepţionate 2.700.000 de alerte de către CERT-GOV-MD, 22.000 de email-uri detectate cu viruşi, numărul de viruşi detectaţi a crescut de la 9 alerte pe zi la 107 pe zi, adică de 12 ori mai mult decât media anului 2013. Din fericire, aceste incursiuni şi activitatea nefastă au fost detectate şi blocate cu succes. De asemenea, Moldova se confruntă şi cu o serie de ameninţări cibernetice adresate infrastructurilor critice. Având în vedere interdependenţa infrastructurilor informaţionale şi sectoarelor cum ar fi bancar, de transport, energetic, protecţiei sociale şi apărării naţionale, acest lucru prezintă un motiv de îngrijorare.

Guvernul Republicii Moldova a recunoscut necesitatea îmbunătăţirii securităţii cibernetice, astfel liderii guvernării înţeleg că o astfel de garanţie este corelată direct cu securitatea naţională în era globalizării tehnologice. Crearea unei legislaţii naţionale complete în acest domeniu, inclusiv stabilirea şi aplicarea măsurilor de securitate de bază pentru infrastructura naţională critică, a devenit o prioritate pentru Guvernul Republicii Moldova.

În 2010, Moldova a lansat procesul de e-Transformare a Guvernului. Acest program strategic oferă o viziune unificată a modernizării şi îmbunătăţirii eficienţei serviciilor publice prin intermediul Guvernării TI. Asigurarea de informaţii – încrederea în securitatea, integritatea şi disponibilitatea sistemelor informatice – este esenţială pentru o dezvoltare logică a unui stat modern, însă aceasta ar însemna şi implementarea de noi sisteme şi măsuri de protecţie a acestor sisteme informaţionale.

Ritmul de dezvoltare rapid din ultimul deceniu, din păcate, nu a inclus suficiente controale pentru a asigura securitatea cibernetică completă. Moldova nu este singură în faţă acestor provocări, fiind strâns legată de dezvoltarea TI la nivel mondial şi a ameninţărilor cibernetice emergente persistente în toată lumea. Unul dintre principalele dezavantaje ale erei digitale însă rămâne a fi dependenţa de sisteme şi reţele. Astfel, problemele de securitate sunt omniprezente. Când vine vorba de securitatea cibernetică, recunoaştem că este important ca cetăţenii să aibă încredere în instituţiile de stat şi private. Prin urmare, Centrul pentru Securitatea Cibernetică de nivel guvernamental al Republicii Moldova trebuie să corespundă caracterului evolutiv al ameninţărilor cibernetice.

În ziua de azi, păstrarea activelor informaţionale în siguranţă într-un mediu al sistemelor informaţionale interconectate este o provocare care devine tot mai dificilă cu fiecare nou „e” serviciu lansat, cu fiecare nou instrument intrus. Cu părere de rău, nu există o soluţie unică pentru securizarea activelor informaţionale, iar, o abordare cuprinzătoare a riscurilor cibernetice care ar putea fi asigurată de o strategie şi politici de securitate este emergentă. Metodele de prevenire, protecţie şi combatere în domeniul securităţii cibernetice trebuie să coreleze în mod adecvat riscurile existente. Pe moment, lipsa unei culturi de securitate informaţională precum şi a unei baze legislative adecvate sunt unele dintre cele mai mari provocări pentru factorii de decizie şi utilizatori. Astfel, dezvoltarea şi implementarea unui set cuprinzător de cerinţe minime pentru protecţia informaţională atât în guvern cât şi în societate este obligatorie pentru asigurarea securităţii cibernetice. În acest sens, chiar şi micile modificări în sistemul educaţional, de proceduri şi în politică pot ridica în mod considerabil nivelul general de securitate al societăţii.

În acest context în anul 2010, o iniţiativă guvernamentală în domeniul securităţii cibernetice a fost implementată cu succes. Astfel, în cadru întreprinderii de stat „Centrul de Telecomunicaţii Speciale” responsabilă pentru sistemele info-tele-comunicaţionale ale guvernului Republicii Moldova a fost creat, Centrul pentru Securitatea Cibernetică, CERT-GOVMD. CERT-GOV-MD este o structură absolut necesară pentru a răspunde necesităţilor de securitate informaţională şi pentru a preveni infracţiunile cibernetice la nivel guvernamental. Specialiştii din cadrul CERT-GOV-MD examinează nu numai incidentele apărute la nivel de stat, dar şi incidentele informaţionale din societate, raportate de cetăţeni sau chiar şi acelea venite din străinătate. Actualmente în Republica Moldova, CERT-GOV-MD este o entitate unică care gestionează securitatea informaţională a sistemelor guvernamentale de date. CERT-GOV-MD primeşte şi procesează informaţiile cu privire la ameninţările existente sau potenţiale ameninţări cibernetice, oferă recomandări cu privire la utilizarea securizată a datelor online şi
oferă asistenţă pentru autorităţile publice a Republicii Moldova în prevenirea şi atenuarea incidentelor cibernetice. Cooperarea cu diverse instituţii, atât naţionale
cât şi internaţionale, este esenţială în activitatea CERT-GOV-MD. În ianuarie 2014 CERT-GOV-MD a devenit membru Trusted Introducer, astfel fiind primul şi unicul CERT din Moldova acreditat Trusted Introducer, făcând astfel parte din comunitatea echipelor europene membre CSIRT în scopul cooperării împotriva atacurilor cibernetice. Prin calitatea de membru, CERT-GOV-MD construieşte o platformă pentru cooperare bilaterală şi multilaterală, în conformitate cu priorităţile sale strategice privind abordarea activă a ameninţărilor şi incidentelor actuale, enume rate în Planul de acţiuni a Strategiei de dezvoltare digitală Moldova 2020.

În ultimii ani la CERT-GOV-MD au fost dezvoltate o serie de iniţiative care trebuie continuate. Mai exact, CERT-GOV-MD a fost implicat în acţiuni de sensibilizare prin publicarea de rapoarte, organizarea de ateliere ale xperţilor şi dezvoltarea de parteneriate public-privat. Sensibilizarea şi îmbunătăţirea relaţiilor de cooperare între sectorul public şi privat reprezintă unul dintre domeniile principale asupra căruia lucrează echipa pe probleme de securitate cibernetică CERT-GOV-MD. În timp ce lupta cu noile ameninţări la adresa securităţii continuă, coordonarea acţiunilor instituţiilor guvernamentale cu cele întreprinse de sectorul privat devine mai importantă ca niciodată. Iar parteneriatului pubicprivat în domeniul securităţii cibernetice îi revine un rol aparte în asigurarea securităţii informaţionale. În acest context, Centrul pentru Securitatea Cibernetică organizează anual conferinţe internaţionale, menite să fortifice cooperarea între entităţile de stat şi companiile private. Unul dintre aceste evenimente urmează să se desfăşoare în curînd, este vorba de Conferinţa
Internaţională „Rolul Parteneriatului Public-Privat în domeniul securităţii cibernetice”, ca parte a evenimentului „Luna Europeană a Securităţii Cibernetice” octombrie 2015. Obiectivul principal al acestor evenimente este crearea unei platforme de dialog public-privat, care va oferi posibilitatea identificării unor soluţii orientate spre reducerea riscurilor de incidente a securităţii TI, precum şi dezvoltarea unor parteneriate strategice între sectorul public şi privat.

Pe fundalul creşterii globale a numărului incidentelor semnificative de securitate cibernetică, pregătirea pentru situaţii de urgenţă devine tot mai importantă. Astfel, pregătirea instituţiilor din Moldova de a răspunde la atacuri cibernetice este esenţială pentru rezistenţa cibernetică a Moldovei. 

Alexandru Andriescu Fondator și Președinte al ANSSI, ISACA, ISSA, Cloud Security Alliance. Fondator și CEO al ProVision, lider în domeniul securității IT pe piața din România. Peste 15 ani de experiență. CISM, CISSP, CRISC, BS7799 LA.
Alexandru Andriescu Fondator și Președinte al ANSSI, ISACA, ISSA, Cloud Security Alliance. Fondator și CEO al ProVision, lider în domeniul securității IT pe piața din România. Peste 15 ani de experiență. CISM, CISSP, CRISC, BS7799 LA.

autor: Alexandru Andriescu

Nu îmi doresc să abordez parteneriatul public privat din perspectiva legală, având în vedere o serie de aspecte care sunt încă neclare în România din acest punct de vedere, ci aş vrea să fac o scurtă analiză a nevoii de dezvoltare a unor platforme reale şi pragmatice în acest domeniu care să permită în primul rând identificarea unor interese comune, atât ale instituţiilor statului cât şi ale sectorului privat.

În România ne-am obişnuit să nu luăm în serios astfel de iniţiative sau să le considerăm inutile, încercând, nu de puţine ori, fie ca cetăţeni simpli sau antreprenori, sentimentul că orice demers care conţine promovarea unor valori sau idei este de la început sortit eşecului. Experienţa de antreprenor mi-a permis să înţeleg că orice poveste de succes se bazează pe atitudinea şi profesionalismul oamenilor implicaţi în orice fel de iniţiativă. De aceea, după mulţi ani în care am cunoscut, atât în mediul corporatist, cât şi în domeniul public, oameni pasionaţi şi interesaţi de schimbarea paradigmelor de mentalitate care produc scindări critice între statul român şi mediul privat, am decis să accept provocarea de a mă implica într-o iniţiativa ca ANSSI.

Ca punct de plecare în acest demers, am studiat câteva modele de succes din ţări unde parteneriatul public privat nu mai este de mult doar o poveste, şi am constatat că există motivaţii solide pentru construirea unei platfome comune de dialog în domeniul securităţii cibernetice, din moment ce ambele părţi au interese comune evidente. Modelul simplu şi funcţional al INFRAGARD, o asociaţie din SUA ce include reprezentanţi ai mediului academic, mediului de afaceri, organelor de aplicare a legii şi experţi validaţi de piaţade profil, care are ca obiectiv general partajarea de informaţii referitoare la ameninţările şi potenţialele acte ostile la adresa infrastructurilor critice ale statului.

Având în vedere că România este un stat capitalist, iar în ultimii ani piaţa de IT este în creştere, o mare parte a infrastructurilor critice naţionale sunt în administrare privată, precum şi faptul că nivelul de expertiză în domeniul securităţii cibernetice a crescut pe fondul nevoii tot mai stringente de protecţie împotriva noilor ameninţări, împreună cu membrii ANSSI am identificat câteva dintre obiectivele ce ar putea reprezenta puncte de interes comune, atât pentru instituţiile statului român, cât şi pentru sectorul privat.

Raoul Chiesa, Founder, President, Security Brokers (IT)
Raoul Chiesa, Founder, President, Security Brokers (IT)
Care ar trebui să fie prioritățile de top și necesitățile într-o astfel de încercare?

autor: Raoul „Nobody” Chiesa

Atunci când vorbim despre securitatea cibernetică una dintre cele mai întâlnite și mai abuzate expresii din ultimii cinci ani este: PPP, adică așa-numitul „Parteneriat Public-Privat”. Indiferent dacă vorbim despre un scenariu european (care în mod automat implică entităţi cum ar fi Comisia Europeană, Parlamentul European, ENISA, etc.) sau despre NATO, SUA, o mulţime de organizaţii și guverne din zonele Asia-Pacific și GCC, sau „de oriunde” (numiţi unul la întâmplare!), acest PPP apare întotdeauna.

Acesta este de fapt un lucru bun și putem adăuga faptul că «succesul» acestor parteneriate atât de trâmbiţate este absolut corect. Da, securitatea cibernetică are nevoie imperioasă de cooperare, de partajare de informaţii, de colaborarea între entităţile guvernamentale și sectorul public: primele scriu reglementările, în timp ce celelalte au ca preocupare securitatea informaţiei, ceea ce implică experienţă, abilităţi, cunoștinţe, reţeaua corectă de oameni și contacte, precum și un interes și o nevoie reală de a efectua proiecte operaţionale.

Pentru a atinge unele dintre scopurile menţionate (mai degrabă decât pe toate) și pentru a stabili scenarii win-win, diferiţii actori trebuie să discute între ei, aceasta permiţându-le să construiască o reţea de încredere între egali, în care informaţia reală să fie partajată între organizaţiile publice și private.

Aceasta este esenţa discuţiei. Cele mai bune abordări din apărarea cibernetică sunt cele «extrem de proactive», în care elementul cheie este informaţia de care dispui. Nu contează dacă vorbim despre un SOC, sau un NOC, despre un CERT naţional sau privat, sau despre centrul de comandă cibernetic al unui MoD.

Majoritatea profesioniștilor implicaţi în securitatea informaţiei, sau în războiul cibernetic, știu deja ce anume nu funcţionează în lumea reală a partajării de informaţii. Instituţiile financiare nu își vor împărtăși datele lor, considerând că acestea reprezintă un activ strategic și că ai lor competitori vor acţiona de aceiași manieră. Guvernele și instituţiile naţionale vor respecta reglementările și standardele naţionale și vor acţiona în diverse moduri în funcţie de nivelul de pregătire, atunci când vine vorba despre partajarea de informaţii la modul serios.

Așa cum am subliniat anterior și din experienţa mea proprie, majoritatea proceselor de împărtășire de informaţii depind de relaţiile inter-umane și de informaţiile disponibile ca elemente cheie. Se poate întâmpla ca personalul operaţional să încalce regulile pentru a-și atinge obiectivele, „adaptând” politicile entităţilor guvernamentale și private la nevoile reale. Acest scenariu nu se poate realiza atunci când vine vorba despre cei care stabilesc politicile (în majoritatea situaţiilor fiind vorba despre implicarea guvernului în procesul de partajare de informaţii), datorită modului lor de gândire, care este categoric greșit atunci când vine vorba despre schimbul de informaţii.

Ioan-Cosmin MIHAI, Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei
Ioan-Cosmin MIHAI, Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei

autor: Ioan-Cosmin MIHAI

Evoluțiile tehnologice, precum și dezvoltarea unor comunități într-un spațiul virtual dinamic, fără frontiere, au dus la apariția unor atacuri cibernetice din ce în ce mai sofisticate. Securitatea cibernetică a căpătat în ultimii ani o importanță strategică, în contextul în care conflictele cu actori statali au pătruns în spațiul cibernetic, cu un potențial impact devastator în infrastructura cibernetică a unei țări.

Dezvoltarea cooperării între sistemul public și privat în scopul asigurării securității spațiului cibernetic reprezintă o direcție prioritară de acțiune în contextul în care atacurile cibernetice devin din ce în ce mai frecvente, mai complexe și mai greu de detectat, multe reprezentând un risc pentru infrastructurile critice naţionale. Această cooperare trebuie să urmărească, prin corelarea măsurilor de securitate, creșterea nivelului de protecţie al infrastructurilor cibernetice.

Responsabilitatea asigurării securității cibernetice trebuie să revină tuturor actorilor implicați, pentru prevenirea și combaterea fenomenului de criminalitate informatică. Principalele obiective ale acestei cooperări între sistemul public și privat trebuie să urmărească:

  • schimbul de informaţii privind vulnerabilităţile și ameninţările detectate în spaţiul cibernetic;
  • dezvoltarea capacităţii de alertă timpurie și de răspuns la atacuri cibernetice;
  • dezvoltarea de programe de cercetare în domeniu;
  • informarea utilizatorilor individuali în legătură cu vulnerabilităţile, ameninţările și riscurile prezente în mediul cibernetic;
  • reacţia comună în cazul unor atacuri informatice ce vizează structurile cibernetice de interes naţional.

Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)
Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)

autor: Ștefan Hărșan Fárr

Dacă ar fi să comparăm internetul cu ceva din lumea fizică am putea să-l descriem, fictiv evident, ca o infrastructură de teleportare. Dificultăţile ce apar în exploatarea ei provin din faptul că fiecare actor care folosește această infrastructură, state, companii private, populaţia în general, adică toţi, înţeleg sau nu înţeleg capacităţile și lipsurile internetului în felul lor. Internetul nu este ca lumea reală, spaţiul real nu se transpune 1:1 în această lume virtuală. Toate legile, regulile pe care le cunoaștem și le-am proiectat în decursul secolelor pentru lumea noastră nu se aplică bine în această lume. Pe internet poţi fi oricine, oricând, oriunde. Un sistem anarhic, fără o autoritate, fără reguli, scos direct dintr-o utopie unde conceptul de „crimă” nu mai există.

Noi însă trăim într-o lume competitivă, antagonistă, cu ierarhii și reguli pentru ca jocul să nu degenereze iar metodele de impunere a acestor reguli sunt în mare măsură incompatibile cu această planșă de joc în alb. Este doar o consecinţă naturală că cei cărora nu le place să joace după reguli au găsit în internet locul ideal pentru a se desfășura, iar dacă în lumea reală avem legi și organisme care să ne apere de acești impostori, în lumea virtuală rămâne să ne apărăm singuri. Această prăpastie în așteptările publicului larg și lipsa de coerenţă a celor care înţeleg fenomenul dar nu știu cum să o abordeze au făcut din internet un spaţiu violent, și dacă nu se intervine, riscăm ca ea să degenereze în ceva care nu mai este economic viabil.

Este deci de maximă importanţă ca toţi cei care au o autoritate în lumea reală și sunt jucători importanţi și în lumea virtuală să se pună de acord și să dezvolte un cadru de mecanisme care să lege lumea virtuală mai bine de cea reală. Ar fi fals să credem că suntem complet fără apărare; slăbiciunea noastră provine în principal din lipsa de coeziune. Forţa legiunilor romane nu se datora numai forţei individului ci mai degrabă puterii formaţiei în care se mișcau. Și noi, actorii de pe internet, trebuie să abordăm o tactică similară și să punem de-o parte jocul individualist, pentru o cauză comună.

Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)

autor: Vassilios Manoussos

Platforma și stakeholder-ii ei

Recent am avut oportunitatea și onoarea de a participa la conferinţa Cybersecurity in România de la Sibiu. A fost o experienţă excelentă care m-a pus în contact cu oameni foarte interesanţi din industrie, dar și din mediul academic, forţele de poliţie și administraţia locală.

Experienţele din acea săptămână au fost amestecate: unele mi-au confirmat temerile legate de birocraţia administraţiei și de incapacitatea de a gândi în afara șabloanelor, care pun stavilă progresului. Am întâlnit oameni care au o viziune a unei Românii avansate din punct de vedere tehnologic, a unei societăţi care oferă șanse egale de acces la informare și la educaţie.

Și eu sunt originar din Balcani, zonă în care birocraţia statală și legile învechite stau (și din păcate vor mai sta) în calea progresului.

Aspectele legate de securitatea cibernetică, siguranţa copiilor în mediul online, accesul facil și corespunzător la informaţie și la cunoaștere și protejarea victimelor infracţiunilor care se comit online sunt complexe și nu ţin doar de o organizaţie sau de un singur grup.

Educaţia în privinţa comportamentului online este necesară deoarece există lacune grave în aproape toate sistemele educaţionale adresate tineretului. După părerea mea, aceste lacune trebuie eliminate prin efortul combinat al specialiștilor, mediului academic și ONG-urilor.

Despre dialogul public-privat sunt multe lucruri de spus. A fost evident pentru toţi cei care am participat la conferinţă că politicienii trebuie să fie mai deschiși sfaturilor care vin din sectorul privat și că nu trebuie să pună în prim plan doar avantajele politice.

Administraţiile guvernamentale nu sunt un scop în sine. Cei care lucrează în cadrul lor înţeleg foarte puţin modul în care industria funcţionează. Echilibrul este undeva la mijloc și atunci când sectorul privat își manifestă îngrijorarea, guvernele cărora le pasă ascultă.

Organizaţiile de voluntari din Marea Britanie (unde trăiesc) joacă un rol extrem de important în societatea noastră, iar companiile, instituţiile de învăţământ și administraţiile locale și centrale recunosc acest fapt și le acordă sprijin. Multe companii din Marea Britanie sprijină în mod deschis voluntariatul și ONG-urile și (pe lângă sprijin financiar) le oferă infrastructură, instruire și suport. Dar această schemă funcţionează ca un lanţ trofic și nu izolat în cadrul fiecărui sector.

Guvernul stabilește liniile directoare pentru un anumit aspect (de exemplu pentru siguranţa spaţiului virtual) și finanţează administraţiile locale pentru administrarea și implementarea acestor decizii. Administraţiile locale colaborează cu ONG-urile și companiile pentru stabilirea detaliilor și le ghidează apoi pentru atingerea unor obiective comune.

 Acesta este un model pe care l-am văzut funcţionând în Marea Britanie în ultimii 15 ani. S-ar putea să nu fie perfect, dar funcţionează mai bine când vine vorba despre atingerea obiectivelor, decât dacă o autoritate unică ar încerca să rezolve o problemă ignorându-i pe toţi ceilalţi stakeholder-i.

Unele dintre suspiciunile mele s-au confirmat în timpul șederii la Sibiu. Legislaţia și birocraţia centrală frânează autorităţile locale și instituţiile academice. Sectorul voluntariatului trebuie să se dezvolte și să-și ocupe locul corespunzător în societate. În Marea Britanie ONG-urile furnizează toate serviciile vitale pe care guvernul nu reușește să le furnizeze, sau pe care nu le consideră viabile din punct de vedere financiar.

Schemele de voluntariat sunt mai flexibile prin însăși natura lor. Ele își pot adapta funcţionarea fără să aibă nevoie de directive politice sau de modificări în cadrul legal.

Modificarea modului în care guvernele funcţionează este uneori o sarcină aproape imposibilă. Dar modificarea modului în care oamenii acţionează pentru ajutorarea altor oameni este fezabilă.

Dată fiind experienţa mea din Grecia și din Marea Britanie, în industrie, administraţie și în voluntariat, nu îmi pot imagina o viitoare platformă de cooperare și dialog în care aceste trei sectoare să nu fie cei mai importanţi stakeholder-i.

Prioritățile

Fiecare ţară trebuie să-și stabilească priorităţile în funcţie de particularităţile care ţin de poziţia geografică, economică, de cadrul social și de factorii  culturali ai poporului său. Nu există o soluţie unică care să se potrivească tuturor. Cu toate acestea este înţelept să evaluezi experienţa altora și să îi implici dacă aportul lor poate fi valoros și se poate adăuga bagajului propriu de cunoștinţe.

Pentru început este necesar un forum, un loc în care stakeholder-ii să se întâlnească și să decidă ce anume trebuie făcut. Acest lucru este delicat, în mod special pentru sectorul public.

A doua prioritate este evaluarea situaţiei din ţară, din regiune și din restul lumii. Forumul trebuie apoi să decidă ce experienţe trebuie preluate și cum și dacă are sens cooptarea unor străini care au mai lucrat, cercetat și care au obţinut rezultate în acest domeniu.

Unul dintre impedimentele care trebuie depășite ţine de meschinăriile legate de aspecte de genul „cine să facă” și „cine își va asuma meritele”. Reţineţi: acesta va fi motivul de eșec al oricăror eforturi care nu depășesc acest impediment.

După părerea mea personală și profesională, priorităţile ar trebui să fie următoarele:

  1. Evaluarea situaţiei din ţară și stabilirea unui plan de acţiune pe termen scurt, mediu și lung.
  2. Stabilirea unor obiective realiste.
  3. Diferenţierea abordărilor de utilizat pentru grupuri diferite. Copiii, adolescenţii, oamenii de afaceri și pensionarii nu pot și nu trebuie abordaţi în același fel și cu aceleași procese.
  4. Stabilirea unui cadru clar pentru educarea populaţiei.
  5. Stabilirea unui cadru pentru sprijinirea victimelor infracţiunilor online.
  6. Utilizarea de specialiști în serviciile sociale, poliţie și universităţi care să introducă și să perfecţioneze abilităţi. Victima unei hărţuiri virtuale ar putea să difere de victima unui hărţuitor din lumea reală.
  7. Stabilirea unor grupuri de lucru care să evalueze toate eforturile anterior menţionate. Implicaţi voluntarii. Aceștia sunt oameni care pot adăuga abilităţi inestimabile la un cost minimal.
  8. Schimbarea cadrului legal. Acţiunile din spaţiul virtual, infracţiunile online și activităţile teroriste nu pot fi tratate cu legi create în anii ‘60 sau înainte de al doilea război mondial.

Dar mai mult decât orice există un aspect care trebuie să constituie pilonul oricărui efort în această direcţie: cooperarea internaţională. Guvernul României poate beneficia de know how-ul și experienţa altor guverne europene. Companiile internaţionale își aduc deja aportul, iar sectorul de voluntariat trebuie să crească și să stabilească relaţii de colaborare în toată Europa.

Drumul înainte nu poate fi decât împreună. Cuvintele lui John Donne, chiar dacă sunt vechi de 400 de ani, nu au fost niciodată mai actuale: „Nici un om nu este o insulă în sine; fiecare om este o bucată din continent, o parte a întregului … și prin urmare nu contează pentru cine bat clopotele; bat pentru tine.” 

 

Battista Cagnoni, Security Expert - FireEye
Battista Cagnoni, Security Expert – FireEye

autor: Battista Cagnoni

Mi se întâmplă destul de des, atunci când întâlnesc clienţi, să fiu întrebat, într-un mod mai mult sau mai puţin direct cum abordează alte organizaţii cerinţele stricte derivând din ameninţări avansate, așa-numitele Cyber Threat. Dincolo de curiozitatea înnăscută și necesară a oamenilor care se ocupă cu securitatea cibernetică, precum și de strategiile și procesele legate de acest lucru, observăm că de foarte multe ori organizaţiile au puţine, chiar prea puţine momente de împărtășire a experienţelor lor.

Un prim aspect pe care organizaţiile ar trebui să îl abordeze este clasificarea informaţiilor deoarece, înainte de a lua în considerare posibilitatea de a le împărtăși, ele trebuie să aibă o clasificare pentru a ști dacă o informaţie este sau nu de împărtășit. Un alt aspect pe care îl consider important este o analiză detaliată a informaţiilor, în scopul de a înţelege care sunt de fapt datele confidenţiale. De exemplu, redarea unui e-mail utilizat într-un atac de tip spear phishing este clasificat ca fiind „Confidential”,
deoarece conţine destinatari și unele metadate despre infrastructura internă a poștei electronice. Corect! O revizuire atentă a acestor informaţii, împreună cu o anonimizare adecvată v-ar permite să le partajaţi cu alte organizaţii. Cine sunt destinatarii unui e-mail de spear phishing și de ce ei au fost aleși este în mod clar o problemă care necesită confidenţialitate, precum și lipsa de interes de împărtășire. Din contră, conţinutul e-mailului, eventualele imagini, adrese IP și domenii legate de expeditor pot ajuta alte organizaţii să detecteze o ameninţare care se profilează la orizont. Acesta este un exemplu simplu legat de aspecte operaţionale, dar o abordare similară poate fi realizată la un nivel superior atât strategic cât și tactic.

Sectoarele public și privat sunt evident diferite, prin însăși natura lor. Dar când vine vorba de securitate cibernetică, abordarea pentru detectare, contracarare și sensibilizare în general îndeplinesc, în principal, aceleași criterii. În această optică, un model care privește în aceeași măsură atât companiile private de masă cât și organizaţiile publice implicate în aspecte de partajare de Cyber Threat comune este aplicabil și are beneficii multiple și reciproce. Sectorul public, în acest caz, a construit mai multe entităţi care pot aduce o contribuţie de suport considerabil. Entităţi precum poliţia, ministerele și centrele CERT naţionale pot aduce o mare valoare pentru schimbul de informaţii în domeniul Cyber Threat în principal datorită poziţiei privilegiate pe care aceste instituţii o deţin în ceea ce privește vizibilitatea lor publică.

În sectorul public este mai înrădăcinată cultura partajării, există exemple de platforme de partajare între ministere, sau între diferitele organisme ale forţelor armate. Centrele CERT naţionale, în special, au rolul de a coordona și distribui informaţiile. Pe de altă parte, companiile private au capacitatea de a împărtăși aspecte legate de atacurile de tip ţintă care de foarte multe ori sunt dependente de grupuri foarte specializate și axate pe anumite industrii. Grupurile APT au demonstrat amplu interesul atât pentru organizaţiile publice, cât și pentru companiile private și au tendinţa de a utiliza TTP (tactici, tehnici și proceduri), care le diferenţiază și de multe ori sunt un indicator destul de exact al matricei unui atac.

Există grupuri care tind să utilizeze malware cât mai puţin posibil prin limitarea utilizării sale la prima fază de atac, de obicei, pentru compromiterea a una sau două gazde (host), pentru a trece apoi la metode mai convenţionale și mai puţin vizibile cum ar fi instrumentele folosite de ad-inistratorii de sistem, de exemplu Sysinternal Tools¹ sau WMI² pentru a se “da deoparte” și a ajunge la date pentru a le proteja. Alte grupuri care nu se folosesc de malware au obţinut date de identificare valide prin inginerie socială în detrimentul acelorași administratori de sistem pentru a configura și autonom conturi VPN complet identice cu cele legitime.

Schimbul punctual și constant despre ceea ce este detectat de către fiecare dintre actorii așezaţi la o masă de schimb și de îmbogăţire reciprocă aduce cu siguranţă un avantaj substanţial. Este un plus, faţă de faptul că dacă s-a ajuns la această situaţie, atunci s-au creat deja canale de comunicare eficiente între diferiţi interlocutori, lucru fundamental într-o situaţie de criză. Spre exemplu, vom considera cazul în care mai multe companii private descoperă că au fost victima unui atac și că nu există implicarea poliţiei și a centrelor CERT naţionale – firmele care au deja stabilite relaţii instituţionale și personale pot fi de mare ajutor în a face mai eficient procesul de răspuns la incidente.

Este de neconceput, cu toate acestea, o masă la care să se așeze împreună actori din diferite medii cu diferite sarcini, cu responsabilităţi prea diferite între ei. De pildă, dacă punem un director executiv în haine de Policy Maker împreună cu strategi și experţi cu roluri foarte tehnice, pentru a discuta, nu obţinem un mod mai eficient de operare, pentru că neînţelegerile între părţi ar împiedica obţinerea unui rezultat și în consecinţă ar arăta că efortul făcut a fost inutil. Modelul în care cred este de tip organizaţie non-profit, al cărei scop principal este schimbul și diseminarea de modele de guvernare care pot defini o politică clară cu privire la Cyber Defense, niște procese care descriu o abordare tactică agilă și eficientă și abilităţi operaţionale.

Toate acestea, la diferite nivele, trebuie să fie dezvoltate având clar în vedere că grupurile APT au abilităţi tehnice de cel mai înalt nivel, sunt organizate într-un mod foarte eficient și au un potenţial financiar considerabil. Asociaţia ar trebui să organizeze de mai multe ori pe an – ideal la fiecare două luni – o zi de activităţi cu o scurtă sesiune plenară de actualizare si mai multe sesiuni paralele pe trei direcţii: strategică, tactică și operaţională pentru a permite să se facă schimb de tendinţe, abilităţi și experienţe. Tot ce a apărut în aceste zile de schimb ar trebui să se consolideze în câteva pagini concise distribuite membrilor asociaţiei. În același timp, statutul ar trebui să prevadă câteva reguli simple, dar care consacră contribuţia obligatorie, pentru a evita ca mulţi să beneficieze doar de experienţa câtorva. De mare valoare ar fi, de asemenea, un eveniment anual deschis specialiștilor din industrie pentru a avea punc tul de vedere al celor care sunt în prima linie de combatere a ameninţărilor cibernetice și în a ajuta organizaţiile să își îmbunătăţească postura.

Un aspect care nu poate fi uitat este valoarea pe care universităţile ar putea să o dea unui model de acest gen. Există multe avantaje într-o apropiere mai mare între mediul academic și de cercetare cu realitatea trăită în organizaţii. Universităţile ar putea avea acces la studii de caz reale de la care să înceapă să furnizeze răspunsuri atât tehnologice cât și manageriale. Studenţii au posibilitatea de a vedea aplicate abilităţile lor în stagii în cadrul companiei. Organizaţiile ar avea la dispoziţie noi absolvenţi pe care să îi poată integra și să îi facă să crească.

Acest articol atinge doar superficial principalele aspecte ale unui model care poate fi cultivat de diferiţii actori în direcţia schimbului de experienţă și, acolo unde este posibil, a informaţiilor. În acest context, este fundamentală crearea unei culturi de partajare pentru a crea un front comun pentru Cyber Threat. Iar în calitate de expert sper că organizaţiile sunt deschise acestui tip de dialog beneficiind de experienţa celorlalţi, prin crearea în cadrul naţiunilor a unor platforme de dialog eficiente.


Note:
1 https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx
2 https://msdn.microsoft.com/en-us/library/aa384642(v=vs.85).aspx

ionel_nitu

Iulian-Popa

autori: Ionel Niţu şi Iulian Popa

Spațiul cibernetic – singurul domeniu proiectat și dezvoltat integral de ființa umană – se află în continuă transformare, fiind cel mai tânăr și volatil dintre toate mediile strategice.

Abordările privind securitatea s-au metamorfozat odată cu expansiunea spaţiului cibernetic, care a devenit un loc de confruntare pentru domeniile clasice ale securităţii. Ca atare, avem nevoie de un nou mod de abordare a ideii în sine de securitate cibernetică. Dacă până recent eram preocupaţi doar de riscurile, ameninţările și vulnerabilităţile de securitate cibernetică, a venit vremea ca acest reflex să dispară sau să fie semnificativ extins și adaptat contextelor și exigenţelor actuale din spaţiul cibernetic. Foarte curând, securitatea cibernetică va transcende cadrului tehnic și normativ – zona tactică și operaţională – și va avea o dimensiune strategică dominantă. Semnalele în această direcţie sunt semnificative și deloc de neglijat. În curând securitatea cibernetică nu se va mai rezuma exclusiv la securitatea hardware și software, ci utilizatorii vor deveni parte integrantă a acestui concept. Altfel spus, utilizatorii – poate una dintre „verigile cele mai slabe” ale securităţii cibernetice – vor fi vizaţi în mod egal de securitatea cibernetică. Vorbim de un proces structural și inevitabil de „extindere” a conceptului de securitate cibernetică la nivel macro care generează atât provocări, cât și oportunităţi cu implicaţii de natură economică. Aici intervine buna guvernanţă, o soluţie care pune accentul pe acţiuni pro active pentru a preveni cât mai mult din eventuale surprize. Buna guvernanţă este o manieră, să-i spunem, integrată și proactivă de gestionare a spaţiului cibernetic, prin care s-ar putea transforma o parte a riscurilor, ameninţărilor și vulnerabilităţilor în oportunităţi de securitate cu valenţe economice. În fond, spaţiul cibernetic este mediul cu cea mai mare nevoie de bună guvernanţă dintre toate cele cunoscute astăzi. Statistic vorbind, în fiecare minut peste 30.000 de utilizatori din întreaga lume cad victimă unor ameninţări cibernetice și peste 500 de noi malware sunt lansaţi în spaţiul cibernetic doar pe parcursul unei singure zile. Este posibil ca în următoarea decadă costurile insecurităţii cauzate de armamente disruptive să se apropie vertiginos de cele generate de armamentele distructive. Din perspectiva acestei tendinţe, buna guvernanţă este departe de a fi un concept desuet. Ea presupune optimizarea proactivă a triadei securitate-libertate-prosperitate în vederea creșterii rezilienţei cibernetice și dezvoltării durabile a spaţiului cibernetic în concordanţă cu interesele gene ratorilor și consumatorilor de securitate cibernetică. Majoritatea ne regăsim preponderent într-una dintre cele două posturi, dar foarte puţini actori în ambele concomitent. Cazul României este exemplificativ în acest sens. Deși s-au făcut progrese notabile în ultimii ani, în general suntem recunoscuţi drept furnizori de insecuritate cibernetică la nivel global, în ciuda potenţialului nostru de a dezvolta și furniza capabilităţi de securitate cibernetică. Să sperăm că abordarea industriei de securitate cibernetică drept parte integrantă a industriei de securitate naţională – în cheia noii Strategii Naţionale de Apărare a Ţării și a noii Strategii Naţionale a Industriei de Securitate – va putea reduce din dimensiunile acestui handicap, făcând din România un furnizor net de securitate, recunoscut în plan regional și internaţional.


2220

manoussos autor: Vassilios Manoussos

Utilizatorii de Tinder se simt în siguranță deoarece aplicația afișează doar pozele lor de pe Facebook, prenumele și vârsta. Dar nu cumva asta este mai mult decât au negociat?

Scopul investigației

Strathclyde Forensics a realizat o investigaţie pentru a afla cât de expuși sunt utilizatorii de Tinder (și ai altor servicii similare) atunci când vine vorba despre datele lor personale.

Scopul investigaţiei este de a determina cât de ușor este pentru cineva fără abilităţi speciale, utilizând instrumentele web disponibile, de genul motoarelor de căutare, să identifice și să urmărească utilizatorii care folosesc Tinder. Investigaţia a fost limitată la profile feminine, din Scoţia, aflate pe o rază de cel mult 160 km de Glasgow. Pentru aceasta a fost utilizat un cont obișnuit, cu toate limitările aferente acestuia.

Utilizare Tinder

Tinder are o interfaţă simplă, în care imaginile prospecţilor sunt afișate pe ecranul tău. Poţi răspunde că îţi place acea persoană (trăgând poza spre dreapta), sau nu (trăgând-o la stânga).

Din momentul în care dai „like” unei persoane care a făcut același lucru la poza ta, primești un mesaj de «potrivire» (match). Din momentul în care te-ai «match»-uit cu o persoană poţi să îi trimiţi mesaje, până în momentul în care acea persoană te „unmatch”-uiește.

În vârful listei de mesaje sunt afișate „momente” de la alţi utilizatori.

 Tinder-1Imaginea 1. Profil afișat pe eranul telefonului mobil.

Imaginea 2. În stânga «fereastra de potriviri» iar în dreapta lista de mesaje către/de la potriviri și „momente”.

Tinder-2

Interfaţa utilizator este ușor de utilizat și nu necesită nici un fel de cunoștinţe IT pentru a putea utiliza aplicaţia.

Prelevarea de probe

Prelevarea de probe a durat trei săptămâni, în 7 zile consecutive și s-a desfășurat la ore diferite, de la 8 dimineaţa până la 2 noaptea. Nu am făcut nici un fel de filtrare în timpul colectării profilelor consecutive prin efectuarea de capturi de ecran. Distanţa a fost stabilită la maxim 160 km, iar intervalul de vârstă între 19 și 55+ ani. Contul utilizat a fost un cont Facebook fals utilizat doar pentru acest experiment. Acest cont nu a avut «friends» așa că nu au existat prejudecăţi legate de „friends” sau de „friends of friends” în timpul prelevării de probe. Contul utilizat a fost unul gratuit, astfel încât doar un număr limitat de profile au fost accesibile în fiecare zi.

În total au fost efectuate 2.088 de capturi de ecran (screenshots) pe zi. Dintre acestea au fost extrase în mod aleator 555 de imagini. Aceste imagini aparţineau unui număr de 155 de profile, ceea ce ducea la o medie de aproape 3,6 imagini pe profil.

Cât de ușor este să identifici profile online?

Open Source Intelligence

Open Source Intelligence se referă la obţinerea de informaţii prin utilizarea unor surse și instrumente disponibile în mod gratuit. Acesta era și scopul exerciţiului. Să vedem cum poate cineva utilizând instrumente ca Google Images, un simplu editor foto, social media (de ex. Twitter și Instagram) și site-uri de relaţionare personală și profesională (de ex. Facebook și LinkedIn), împreună cu alte profile publice din forumuri, site-uri de matrimoniale etc. să obţină informaţii despre un individ utilizând doar câteva poze de profil, prenumele și localizarea aproximativă.

Imaginile selectate au fost decupate cu un program disponibil pe piaţă de 18 ani (Microsoft Image Composer). Apoi au fost încărcate pe Google Images pentru a vedea dacă descoperim potriviri. Potrivirile de pe Facebook, Linkedin, 192.com, site-uri de matrimoniale, Instagram, Twitter, și site-uri de business și guvernamentale au fost folosite pentru a crea niște etichete. (Informaţiile personale nu au fost salvate local. O potrivire a fost adăugată ca o incrementare de contor la o etichetă și apoi s-a trecut la poza următoare).

Ce a relevat investigația

S-au obţinut potriviri pentru un total de 48 de conturi. După cum era de așteptat, 30 din cele 48 de potriviri au venit de pe Facebook (62.5%) dar cea mai mare surpriză a constituit-o Linkedin care a dat mai multe potriviri decât numărul de conturi. (vezi Tabelul 1).

Tabelul 1. Potriviri de succes
Tabelul 1. Potriviri de succes

Dacă stabilim tipurile de site-uri care au dus la identificare, potrivirile de pe Linkedin au fost responsabile pentru 33% din cazuri, urmat de Facebook (13%), Twitter și Instagram (7% fiecare). (vezi Graficul 1).

Graficul 1. Rezultate în funcţie de tipul de website
Graficul 1. Rezultate în funcţie de tipul de website
Tabelul 2. Subiecte de interes
Tabelul 2. Subiecte de interes

 

 

 

 

 

Tabelul 2 este o colecţie de subiecte de interes care au fost descoperite în timpul investigaţiei. Volumul de poze nud (fără haine) a fost de doar 0,36% dar pozele în bikini și lenjerie intimă au reprezentat 11,89% din totalul imaginilor.

Peste 3% dintre imagini au fost realizate în peisaje identificabile din Marea Britanie sau de peste graniţă (incluzând Partenonul din Atena, Grecia, Stonehenge, castelul din Edinburgh, Royal Mile, Kelpies și George Square din Glasgow).

Am mai observat că 7,39% dintre imagini erau cu copii (fie singuri, fie însoţiţi de un adult), iar 4,14% erau cu animale, de la câini și pisici și până la cai.

În 24 din 48 de cazuri (50%), am reușit să identificăm numele real complet al utilizatorului, inclusiv porecla și numele de fată. Odată numele identificate, printr-o simplă căutare pe Google, am reușit să identificăm 4 adrese de email și 3 numere de telefon. În anumite cazuri am reușit să identificăm inclusiv detalii legate de locul de muncă (în mod special prin Linkedin).

Locurile de muncă despre care am obţinut informaţii includ:

  • Lanark Council
  • Glasgow City Council
  • NHS Glasgow
  • Royal Conservatoire
  • Edinburgh University
  • Glasgow University
  • TESCO Bank
  • RBS

După identificarea numelui complet și a localizării, printr-o simplă căutare pe 192.com am descoperit posibilii candidaţi. Nu am efectuat și alte căutări utilizând serviciile cu plată oferite de 192.com. Această parte a investigaţiei a relevat că pentru cca. 68% dintre persoanele identificate pot fi obţinute informaţii din alte baze de date disponibile public.

Pentru 48 de profile, 155 de fotografii au returnat rezultate. Adică, în medie, pentru 3 poze de profil am obţinut rezultate online.

În total au fost 229 de rezultate returnate de website-uri, 4,77% pentru fiecare profil.

În total, 48 din 155 de profile investigate au returnat rezultate. Adică aproape 1 din 3 profile (30,96%).

Observații și concluzii

Este important să înţelegem că aflarea de informaţii despre cineva nu este întotdeauna un proces simplu și care poate fi automatizat. Dovezile sunt interconectate și uneori este necesară realizarea unor conexiuni manuale între diferite seturi de date.

  • Într-una dintre situaţii imaginea reprezenta un desert iar Google Images returna un local din Paris care îl oferă, prin intermediul aplicaţiei TripAdvisor. Verificând acea pagină am identificat utilizatorul cu același nume care era din Glasgow. Orașul de reședinţă și numele complet au fost furnizate de TripAdvisor.
  • Cu toate că unele persoane au folosit o poreclă pe Facebook sau pe Instagram când s-au conectat pe Tinder, rezultatele furnizate de alte site-uri, în mod special de Linkedin, ne-au relevat numele adevărat și profesia.
  • Rezultatele furnizate de Linkedin au fost adesea multiple. Astfel o imagine a returnat mai multe rezultate care aparţineau unor persoane diferite, care nu aveau acea poză ca poză de profil. S-a dovedit că aceștia erau contacte ale subiectului.

Instrumentele pe care le-am utilizat sunt disponibile gratuit în zona de public domain, astfel încât oricine are o conexiune la Internet le poate utiliza.

Volumul de date returnat din momentul în care anumite poze au returnat rezultate a fost semnificativ. Numărul total de potriviri generice a fost de 30,96% iar potrivirile posibile de pe 192.com au dus la un total de 21%. Aceasta înseamnă că pentru 1 din 5 subiecţi se pot afla, cu un minim de efort și prin intermediul unor servicii gratuite, adresa de domiciliu, numere de telefon, membrii familiei (sau alte persoane rezidente la aceiași adresă).

Rezultatele cele mai deranjante ţin nu atât de cantitatea de potriviri, cât de calitatea lor. Volumul de poze în lenjerie intimă și în costume de baie nu ne-a surprins. Șocant a fost numărul de poze cu copii pe care femeile le postează pe site-uri de matrimoniale, unde nu au nici un control asupra celor care pot să vadă acele poze.

Un total de 7,39% din eșantionul de studiu era alcătuit din poze care includ poze, adică 1 din 13 poze. Aceasta a fost singura descoperire pe care nu am anticipat-o la începutul acestei investigaţii.

Toate celelalte elemente identificabile, cum ar fi animale (de ex. călărie), peisaje și poze din concedii, pot ajuta pe cineva să realizeze un profil mult mai exact pentru oricare dintre femeile din aceste profile.

În concluzie acest studiu confirmă suspiciunile că în aplicaţii de genul Tinder oamenii sunt expuși mai mult decât ar crede și decât își dau seama. Este de asemenea evident faptul că utilizatorii nu înţeleg gradul de expunere al datelor lor personale, datorită absenţei măsurilor adecvate de restricţionare din Tinder și supra-expunerii lor în alte site-uri.

Ceea ce ar trebui să-i îngrijoreze pe utilizatorii de Tinder și de alte servicii similare, este gradul în care aceștia se expun pe ei și famiile lor, în mod special către posibili hărţuitori, foști parteneri sau alte persoane cu intenţii maliţioase.

DISCLAIMER

Înainte și după efectuarea investigației au fost luate următoarele măsuri de precauție.

Utilizarea unor date personale este sensibilă atât din punct de vedere social cât și legal. Din acest motiv ne-am luat anumite măsuri de precauţie pentru a ne asigura că datele personale ale subiecţilor nu sunt nici stocate și nici expuse. Pentru aceasta am luat următoarele măsuri:

  1. Pozele de profil au fost salvate pe un iPhone utilizând aplicaţia Tinder, și apoi au fost copiate pe un disc extern utilizat exclusiv pentru această investigaţie. Pozele capturate au fost apoi decupate. În imaginea decupată am păstrat doar poza și nu și numele, vârsta, distanţa etc. Imaginile au fost apoi șterse de pe iPhone. La fel și aplicaţia Tinder.
  2. Imaginile originale au fost șterse permanent utilizând mai multe protocoale de ștergere, inclusiv DoD 5220.22-M în timpul procesării (după decupare)
  3. După faza de comparare online, imaginile au fost șterse iar discul a fost distrus fizic.
  4. Compararea s-a făcut cu Google Images, fără să fim logaţi în niciun cont, utilizând Google Chrome în mod INCOGNITO, pentru ca nici o căutare sau URL rezultat să nu fie salvate pe calculatorul local.
  5. Rezultatele obţinute din motoarele de căutare au fost stocate doar ca etichete pentru analiză statistică. Nici un nume sau alte informaţii personale nu au fost stocate ca text. Este imposibil de asociat o etichetă cu orice nume individual.
  6. Imaginile utilizate în acest articol sunt din domeniul public și nu au nici o legătură cu investigaţia. Ele sunt utilizate doar pentru ilustrare și au fost create doar în acest scop.

Versiunea originală a articolului în limba engleză este disponibilă la: https://www.linkedin.com/pulse/you-using-tinder-how-safe-anonymous-really-vassilios-k-basil-?trk=prof-post

EDITIE SPECIALA – INTERNET OF THINGS

2417
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

2026
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3537
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

2111
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

2030
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

2144
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...