Wednesday, September 19, 2018
2016

159

Poate părea ciudată utilizarea ca titlu a numelui unuia dintre cele mai populare jocuri de calculator din glorioasa epocă a lui Commodore 128 (1985)… și totuși…

În cadrul evenimentului Maker Faire – The European Edition (Rome) a avut loc dezbaterea „Tehnologie și politici: de ce să investim în securitatea cibernetică”, ce a oferit publicului un dialog de o oră cu Roderick Coffin (FBI); Roberto Baldoni (Universitatea Sapienza din Roma); Alessandro Vitullo (Marsh Spa) și Nicola Sotira (Fundaţia GCSEC a Poștei Italiane), care au evidenţiat faptul că, de la apariţia sistemelor informatice destinate publicului larg – în Europa de Vest prin comercializarea calculatoarelor personale Amiga, Commodore 64, 128 etc. – toate statele și cetăţenii acestora trăiesc conectaţi la ritmul noutăţilor tehnologice, la care se adaptează permanent într-o oarecare măsură, în timp ce cultura generală în raport cu lumea digitală a ajuns și rămâne într-un impas global.\\

Urgența de a pune toți actorii la aceeași masă și de a aduce informația către cetățean


Începută puţin cam târziu, cam fragmentat, şi cam dispersat, educaţia asupra a tuurilor și pericolelor există, de calitate; dar rămâne la l atitudinea individului interesat să găsească online resursele informaţionale potrivite, manualul potrivit pe tema potrivită în limba potrivită, evident cu ajutorul motoarelor de căutare și cu speranţa că va fi găsit conţinutul potrivit.
Urgenţa este deci, în toate ţările membre UE, unirea forţelor active în acest domeniu și orientarea către publicul larg a celor mai eficiente mijloace de a-și prezenta și explica acţiunile și rezultatele, aplicând o strategie nouă, deoarece, în cadrul războiului global care ne este adus prin intermediul fenomenului criminalităţii informatice, strategia este de a aborda un număr cât mai mare de ţinte posibile.
Dacă luăm exemplul Italiei, există o serie de actori importanţi care au devenit deja concentratori de bune practici în domeniul educaţiei tehnologice. Aici găsim, pe lângă numeroasele ONG-uri care se ocupă de educaţia copiilor, CLUSIT (www.clusit.it – Asociaţia Italiană pentru Securitatea Sistemelor Informatice), entitate care se adresează în principal companiilor, Poliţia Naţională, sub coordonarea Poliţiei Comunicaţiilor, care deţine una dintre cele mai moderne pagini web dedicate educaţiei adulţilor și c opiilor (www.commissariatodips.it), Autoritatea pentru Protecţia Datelor cu Caracter Personal – Garante della Privacy (www.garanteprivacy.it) și Centrul G lobal de Securitate administrat în cadrul Poștei Italiene (www.gcsec.org – cu rolul de a gestiona securitatea cibernetică prin coordonarea de proiecte care implică diverse instituţii ale statului italian și străine, organizaţii private, mediul academic și instituţii internaţionale cum ar fi ONU, NATO etc.).

Camioane speciale? Un stand de 185 mp la cel mai vizitat târg din Roma? Da, este posibil

Primul actor care a investit masiv într-un instrument polivalent destinat comunicării cu publicul larg este Poliţia Naţională care, împreună cu parteneri privaţi, au circulat două camioane construite la comandă pentru a aduce educaţia privind pericolele în utilizarea reţelelor sociale în centrul tuturor regiunilor ţării, în marele proiect „Una Vita da Social”, un proiect care a început în 2014 și care este în prezent la al treilea turneu naţional.

Header al web-site-ului Poliţiei Comunicaţiilor și cele două camioane „Una Vita da Social”.

Realizarea unor itinerarii în scop educaţional este un concept eficient, poate cel mai promiţător pentru acest tip de acţiuni. Dar, există și iniţiative curajoase care au procedat exact invers, investind o sumă inedită în acest domeniu prin atragerea mai multor parteneri pentru o acţiune de numai… 3 zile!
Vorbim despre un proiect care a presupus închirierea unei săli de 200 mp, din care 185 mp utili, în cadrul unuia dintre cele mai populare târguri expoziţionale de inovare din lume, Maker Faire, a cărui ediţie europeană a avut loc la Roma între 14-16 octombrie 2016.
Maker Faire Roma : 100.000 m2, 130.000 de vizitatori plus 60.000 de copii în cadrul ½ de zi gratuită pentru școli

Crearea, construirea, amenajarea în întregime a unui pavilion la nivelul celor mai înalte standarde de design italian și aducerea unei acţiuni de conștientizare în domeniul securităţii cibernetice la un asemenea eveniment cu recunoaștere mondială – conţinând și un pavilion dedicat dronelor, unul dedicat domeniului Internet of Things și un pavilion dedicat dezvoltării obiectelor 3D și domeniului pirateriei informatice – iată o provocare care ar fi cunoscut un răspuns direct și negativ al oricărui consiliu de administrare al unei corporaţii de mari dimensiuni. Deoarece numai o astfel de structură este capabilă să elibereze fondurile necesare pentru o astfel de operaţiune de comunicare publică.
Susţinută încă din ianuarie 2016 de către Nicola Sotira, Information Security Manager al Poștei Ita liene și director general al GCSEC (interviu publicat în acest număr), iniţiativa trebuia să fie atractivă și în aceeași măsură inovatoare, să se poată ridica la nivelul Maker Faire și să profite de vizibilitatea acestei manifestări. Lui Massimo Cappelli, Operations Planning Manager al GCSEC, i-a revenit sarcina de a construi conceptul, de a găsi cei mai buni parteneri și de a alege produsele care vor fi lansate cu această ocazie, pe scurt, tot ceea ce va deveni un întreg plan media de pus în practică.
Cu rapiditate, încă din luna martie, partenerii au fost identificaţi și produsele definite: două manuale cu conţinut educaţional ale ITU, traduse pentru această ocazie, premiera italiană a expoziţiei „Eroi și victime ale reţelelor sociale, de la hieroglife la Facebook” realizată de Swiss Webacademy – România, platforma multimedia de testare a cunoștinţelor utilizatorilor de internet, denumită „Cyber-quest”, și promovarea diverselor servicii online și off-line furnizate cetăţenilor de Poliţia Naţională.

215

Delegaţia franceză a avut o prezenţă semnificativă în septembrie 2016 la Sibiu, cu ocazia celei de a 4 a ediţii a Congresului „Cybersecurity in Romania” organizat de Swiss Webacademy.

A fost cea de-a doua participare, ca rezultat al cooperării reale între asociaţia auditorilor IHEDN Franche-Comté și organizatorii congresului.

România nu reprezintă un spaţiu străin pentru această delegaţie care organizează o dată pe an o conferinţă la Parlamentul European din Strasbourg, ocazie cu care a avut colaborări cu domnii Iuliu Winkler, Ioan Mircea Pascu și Christian Dan Proda, toţi foști demnitari în Guvernul României.

A fost o decizie firească pentru Jean-Jacques Wagner, profesor la Universitatea Franche-Comté, formator în domeniile gestionării crizelor și business intelligence și membru al Comitetului Director al asociaţiei auditorilor IHEDN Franche-Comté, să propună o participare semnificativă la congresul de la Sibiu.

Misiunea IHEDN este, de asemenea, de a se face cunoscută prin diseminarea de informaţii despre valorile sale și de a se prezenta publicului larg prin cele mai eficiente și calitative mecanisme.

După luarea acestei decizii, le-a fost solicitată participarea Profesorului Daniel Ventre și a domnului Elvio Salomon din partea Consiliului Europei, amândoi specialiști recunoscuţi în domeniul securităţii cibernetice.

De asemenea, au fost identificaţi cei mai buni oameni pentru a participa, astfel: Alain Sevilla, colonel de jandarmerie, conducător de curs la Universitatea din Strasbourg, Jean-Luc Habermacher, Președinte al Asociaţiei în domeniul energiei – Vallée de l’énergie din Belfort, responsabil cu managementul riscurilor al unor mari grupuri industriale, vice președinte al asociaţiei auditorilor IHEDN Franche-Comté, Alain Seid – Președintele Camerei de Comerţ și Industrie din Belfort, Pascal Tran-Huu, căpitan în

ppl-jean

rezervă al foţelor terestre franceze, specialist în domeniul informaţiilor și implicat în activităţile derulate în domeniul energiei de către asociaţia Vallée de l’Energie, Belfort.

Toţi au prezentat viziunile lor asupra riscurilor de securitate cibernetică și modalităţilor eficiente de răspuns la acestea, în special pentru protejarea afacerilor, de la cele mici, la cele de interes strategic. Toate prezentările realizate au fost bazate pe o experienţă extinsă și practică profesională dobândită de-a lungul unor cariere de excepţie. Astfel, s-a consolidat dorinţa de a continua și chiar crește prezenţa franceză la ediţiile viitoare ale Congresului de la Sibiu.

Succesul evident al ediţiei din 2016 ne-a motivat încă o dată să participăm la acest efort de a transmite cât mai eficient informaţii referitoare la pericolele care ameninţă societăţile noastre astăzi, precum și necesitatea de a deprinde o gândire și un comportament anticipativ în raport cu acestea.

Aceste demersuri nu trebuie să fie adresate numai unor grupuri restrânse, oricât de importante ar fi acestea, ci tuturor cetăţenilor și în special publicului tânăr. Acest subiect constituie, de asemenea, o preocupare prioritară a IHEDN Franche-Comté.

Ne vom revedea în septembrie 2017 la Sibiu!

Material publicat în Cybersecurity Trends, nr. 3/2016

Jean-Jacques Wagner,
Institut des Hautes Etudes de Défense Nationale, AR10 – Franche-Comté

Jean-Jacques Wagner predă la Universitatea din Franche-Comté, Franţa, și în special la Institutul Belfort-Montbéliard, de aproape 30 de ani. Organizează misiuni de cercetare în Romania de câţiva ani, are legături strânse cu mediul de afaceri colaborând în cadrul Camerei de Comerţ și Industrie și clusterului Vallée de l’Energie.
Delegaţia

269

Atacurile cibernetice au devenit în prezent atât de frecvente încât tind să devină neinteresante și să nu mai țină prima pagină a publicațiilor. Și, ca o consecință a faptului că atacurile au crescut în ultimii ani, a crescut exponențial și numărul de firme de securitate care pretind că rezolvă aceste atacuri.

Dar nu este oare această relaţie directă între numărul de incidente cibernetice și numărul de instrumente pentru a le opri contraintuitivă? Furnizează cu adevărat  aceste firme soluţii, sau doar valorifică o piaţă nișată și aflată în plină expansiune?

Trist este faptul că majoritatea firmelor de securitate au doar soluţii care adresează părţi din întreaga problemă și multe dintre acestea oferă valoare doar după ce atacul a avut loc și paguba a fost produsă. Firmele care oferă servicii de securitate ar trebui să găsească o cale de a rezolva cu adevărat problemele de securitate, în abordare globală (incluzând în special partea de prevenţie prin educaţie,  adresând atât mașina dar mai ales omul care o operează) și să ajungă astfel să câștige și să reușească să păstreze încrederea clienţilor și în cele din urmă a consumatorului final subsumat clienţilor.

Chiar dacă au adoptat jargonul industriei de securitate și cu toate promisiunile unor servicii de securitate de neegalat, furnizorii de securitate se află la o răscruce de drumuri, în care nu sunt în stare să-și parieze banii pe serviciile pe care le oferă, fapt ce se datorează pur și simplu neîncrederii suficiente în propriile lor soluţii.

Pe măsură ce piaţa de securitate se transformă pe zi ce trece într-un nostim Babylon, trebuie să găsim diamantele brute în mijlocul acestei pieţe zgomotoase, firme care să găsească într-adevăr soluţii complexe și coerente care vor rezolva de fapt problemele cu care se confruntă companiile în  fiecare zi. Cel mai eficient mod în care firmele își pot demonstra valoarea este să își poziţioneze produsele și serviciile pe piaţă și să ofere în același timp asigurări pentru rezultatele acestora.

Este timpul ca industria de securitate să se scuture de întregul balast bine marketizat și să crească gradul de responsabilizare, astfel încât să ajungă să facă din „mediul digital” un loc mai sigur.

Piața de securitate de astăzi

Securitatea cibernetică, la fel ca majoritatea celorlalte sisteme de infrastructură de securitate tradiţionale, se perimează rapid, pe măsură ce sistemele informatice se descentralizează, migrează în cloud, sau chiar ca urmare a extinderii și creșterii exponenţiale a numărului de utilizatori la distanţă (mobili) în întreaga lume. Formele de apărare tradiţionale încep să nu mai funcţioneze atâta timp cât hackerii le-au depășit demult, creând un joc permanent „de-a șoarecele și pisica” cu industria de securitate în dorinţa de a-i prinde din urmă pe infractorii cibernetici. Mai mult, acest decalaj în materie de securitate este accentuat de convergenţa noilor forţe precum „Internet of things” și explozia „Big Data”. Astăzi, comportamentul uman, mai ales la locul de muncă, este scufundat în tehnologie, lăsând Managerii de Securitate să se lupte să rezolve problemele ce apar precum și să adreseze riscurile nou identificate.

De acest lucru au profitat „vendor-ii” și au sărit pe fiecare tendinţă trecătoare ce le cauzează Managerilor de Securitate frustrare și panică. Iar în panica lor, managerii de securitate cedează, cumpărând promisiunile unor soluţii de securitate inovative, specializate sau de ultimă generaţie, fără să știe de fapt, cât de bine vor performa soluţiile respective, datorită noutăţii lor raportat la noutatea tipului de ameninţare.

Această evoluţie fulminantă percepută pe piaţă solicită, de asemenea, investitorii să cumpere, continuând astfel lanţul de adoptare de decizii și de investiţii, fără nici o delimitare clară a valorii practice -critice la un moment dat și cărora și giganţii pieţei înarmaţi cu cele mai bune soluţii cad pradă și devin victime ale atacurilor.

Construirea încrederii în aceste condiţii este aproape imposibilă.

Produsul vs Tendințe

În ciuda multitudinii de revendicări – „lider al X” sau „soluţie unică Y” – care „tulbură apele” pieţei de securitate, există diamante în stare brută, companii de securitate care rezolvă cu adevărat problemele cu care se confruntă zi de zi afacerile și indivizii. Cum pot acești furnizori de soluţii să iasă în evidenţă? În cazul în care mai poate fi insuflată încredere în piaţă?

Primul pas ar fi prin evitarea tendinţelor actuale ale firmelor de securitate. Să evite să se îngrijoreze prea mult „că nu ţin pasul” cu concurenţa, sau că soluţia lor nu sună la fel de bine și că ceea ce fac ei e o pierdere de timp. În schimb, firmele de securitate ar trebui să se concentreze pe punctele lor forte și să evidenţieze funcţionalitatea și eficienţa produselor și soluţiilor lor. Rezultatele sunt ceea ce contează, nu prestigiul, care e menit pur și simplu să suscite interes.

Încredere nu zgomot

Acest lucru ne induce ideea de asigurare, nu este suficient pentru un furnizor de securitate să spună clientului că este cel mai bun; validarea de către o terţă parte face să disipeze zgomotul, marketingul să nu mai valoreze nimic și astfel să dovedească de fapt că soluţiile propuse sunt cele viabile.

Firmele de securitate trebuie să își dovedească eficacitatea și să își pună ele însele pielea în joc pentru asta. Cele mai multe firme mari din domeniu deţin o anumită formă de asigurare cibernetică de la asiguratori terţi, dar această asigurare are valoare numai după ce o daună se produce. Firmele au nevoie de o soluţie suficient de puternică pentru a preveni pierderile în primul rând. Este nevoie de soluţii de securitate atât de puternice încât un asigurător terţ să fie suficient de încrezător să susţină afirmaţiile potrivit cărora firma oferă soluţii de protecţie de neegalat.

Subiectul poate fi tabu, atâta timp cât vedem că securitate 100%  este adesea imposibil de asigurat. Dar, garanţiile de securitate fac diferenţa în final. Dacă firma de securitate  are încredere că propriul ei produs nu va eșua, clientul poate de asemenea să creadă acest lucru, și să ajungă cu acest nivel de încredere la consumatorul final.

Este varianta unui câștig trivalent.

Autor: Gabriel Ţuţu

Material publicat în Cybersecurity Trends, nr. 3/2016

autor: Gabriel Ţuţu

General Manager, INFOPRIMUS GLOBAL SECURITY Bucureşti -România Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contras pionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – A NESPP, licență nr. 0269/14 – analiză de informații și antit erorism cibernetic.

367

Mecanismul prin care omul înţelege lucrurile noi, cu multe necunoscute, se bazează pe presupuneri derivate din experienţe anterioare ce implică lucruri sau fenomene asemănătoare, cu completări și substituiri ce în final au menirea de a forma o imagine nu neapărat perfectă dar satisfăcător de completă. Când un astfel the proces nu rezultă într-o eroare ce ar declanșa un mecanism de corectare, aceste presupuneri devin convingeri și ulterior vor fi privite ca adevăruri incontestabile. Deși natural, acest fenomen este unul relativ periculos, deoarece atunci când presupunerile noastre ajung a fi greșite, putem cădea în capcana de a lua decizii greșite nu pentru că logica ne înșeală ci deoarece ea se bazează pe elemente fundamentale false.

iot

Când vine vorba de internet și securitate cibernetică aceste concepte sunt atât de complexe, cu așa de multe ramificaţii, încât deseori și specialiștii sunt nevoiţi să opereze cu presupusul. Marketingul modern este în special dăunător, deoarece se folosește de această junglă de informaţii pentru a crea un cadru propice în care mărfurile și serviciile sunt ușor de plasat. Un cadru plin de emoţii, teamă, informaţii parţiale, în care limitările tehnologiei sunt ascunse și elementele forte aduse în prim plan. Este important însă ca din când în când să ne oprim și să analizăm condiţiile în care operăm pentru că fiecare sistem este diferit, și numai dacă înţelegem toate laturile acestora putem cu adevărat aplica mecanisme eficiente pentru apărarea lor, și în final, a propriei noastre persoane.

Securitatea, în general

Înainte însă să intrăm în detaliile securităţii sistemului informatic modern, și când spun modern mă refer nu la ultimii zeci de ani ci la ultimii câţiva ani, de când lumea informaţiei a luat o cale extrem de distribuită, să încercăm să analizăm conceptul de securitate, în sensul acestuia cel mai personal, și  anume referitor la propria persoană sau grup de persoane, fie ea o familie sau o companie.

De exemplu, insulina este un supliment esenţial unei persoane suferinde de diabet, lipsa ei putând avea consecinţe grave asupra sănătăţii persoanei în cauză, deci dacă privim „siguranţa insulinei”, din acest punct de vedere, este important ca ea să nu se piardă, să nu fie furată, să nu se deterioreze, adică să fie la dispoziţia persoanei atunci când este nevoie de ea. Dacă însă analizăm o pompă de insulină, lucrurile se complică. Aceasta este un dispozitiv ce analizează în mod dinamic nivelul de glicemie și injectează doza necesară în mod automat. Dacă analizăm „siguranţa pompei” din punct de vedere al persoanei, observăm că nu mai este de ajuns să ne asigurăm că acesta este la dispoziţia persoanei la nevoie, dar trebuie de asemenea să ne asigurăm că nimeni nu are acces la elementul de configurare al dispozitivului, deoarece poate provoca rău persoanei prin relaţia sa intimă cu corpul acestuia.

internet

Trebuie să gândim în mod similar și atunci când este vorba de un grup, doar că și în acest caz, vom avea elemente adiţionale. Astfel, în cazul unui grup, fie o familie sau o firmă, nu este suficient dacă este asigurată siguranţa fiecărui individ membru al grupului, trebuie de asemenea să ne asigurăm că grupul, ca și unitate, este în siguranţă. De exemplu în cazul unei firme, angajaţii pot fi în siguranţă din punct de vedere al persoanei, însă firma poate da faliment din cauza unui eveniment care afectează funcţionarea acesteia, nu neapărat sănătatea angajaţilor.

Mecanisme de apărare în formă consolidată și distribuită

Cel mai simplu și mai bine înţeles model de securitate este cea consolidată, adică acela în jurul căruia putem plasa un perimetru de securitate. În viaţa reală, acesta este cel mai popular mecanism de securitate, începând din antichitate, cetăţi medievale, clădiri de maximă siguranţă, casele  noastre, nenumărate exemple construite pe acest model ceea ce nu este întâmplător, ci datorită faptului că este cel mai ușor de apărat. Este suficient să avem un perimetru relativ impenetrabil, și un număr limitat de accese, și indiferent cât de vulnerabile sunt elementele din interior, siguranţa acestora este asigurată de perimetru. Mecanismele de apărare sunt de asemena bine înţelese și la  îndemâna oricui. Pereţii de beton asigură un grad ridicat de impenetrabilitate, avem posibilitatea să punem la uși paznici, o secretară este un filtru biometric excepţional, ce poate identifica străinii sau pe cei care fac ceva suspect în incinta clădirii, un câine este de asemena un excelent filtru biometric și nu este deloc complicat să obţinem unul pentru a îmbunătăţi siguranţa locuinţei sau a curţii.

Aceeași situaţie este valabilă și în cazul securităţii cibernetice în regim consolidat, unde avem o multitudine de mecanisme, relativ sigure, pentru a implementa securitatea pe acest model care a funcţionat multă vreme, practic de la începuturile reţelelor. Problema este că acest model nu mai poate fi aplicat structurilor informaţionale moderne, deoarece lucrurile s-au schimbat radical și perioada când bunurile informaţionale ale unei organizaţii  puteau fi plasate în astfel de incinte a apus. Nu mai avem programul contabil, baza de date, ERP-ul, etc. în reţeaua locală, le avem la furnizorul de servicii online, adică ele urmează un model de securitate distribuit în jurul căruia nu mai poate fi trasat un perimetru și deci avem nevoie de alte mecanisme de apărare.

Această formă de securitate distribuită este fundamental diferită de cea consolidată și din păcate deseori greșit înţeleasă chiar și de cei ce profesează în domeniu. În principal modul de gândire în cazul acestor mecanisme se reduce la modelul consolidat și deseori este privit simplistic: nu este un cadru consolidat, sunt mai multe cadre consolidate, apărate fiecare de perimetre separate, și de aici pornesc o serie de neînţelegeri din care se nasc nenumărate vulnerabilităţi pe plan informaţional.

Un exemplu similar din lumea fizică, pe care îl putem înţelegem ușor, este sistemul bancar. Este un sistem care se practică de multă vreme și în care bunurile nu sunt ţinute exclusiv în perimetrul casei, ci o parte rămâne în casă, banii se duc în cont, iar unele bunuri de valoare sunt în caseta de bunuri în seiful băncii. Reacţia naturală a oricui va fi probabil că de fapt acest model este chiar mai sigur decât cel clasic, cu toate bunurile în perimetrul casei, deoarece perimetrul de securitate al băncii este mai bun decât cel al casei. Este normal să privim lucrurile astfel, iar marketingul in domeniul cibernetic se și folosește de această slăbiciune a noastră de a vedea jumătatea plină a paharului și de a pierde detalii „puţin aparente” dar care în anumite situaţii pot deveni călcâiul lui Ahile al întregului sistem.

Revenind la exemplul cu banca, este într-adevăr incontestabil că o bancă are un perimetru de securitate mai bun decât orice casă, și atât timp cât bunul se află în caseta de depozit, sentimentul de siguranţă este justificat. Dar dacă bunul respectiv este un obiect de care avem nevoie zilnic și dimineaţa trebuie transportat la sediul firmei și seara înapoi în bancă perioada de tranziţie în care bunul nu se află nici în perimetrul de siguranţă al băncii și nici în perimetrul de siguranţă al firmei devine semnificativă, și erodează aura de siguranţă a sistemului complex: bancă + firmă. Dacă bancherii se plictisesc să ne ducă de două ori pe zi în seif și decid să  scoată ușa casetei de valori pe geam ca noi să avem acces la conţinutul ei oricând dorim, toată această aură dispare complet. În acest scenariu, caseta nu mai beneficiază de perimetrul de securitate al băncii absolut deloc. Indiferent că dosul casetei se află în bancă, ușa ei este în afara băncii și tot ceea ce separă bunul din casetă de un răufăcător este ușa casetei în sine. Deci sistemului cu două perimetre de securitate i-au fost introduse o serie de elemente de vulnerabilitate: perioada de tranziţie, încuietoarea casetei, tăria casetei, pers oanacare deţine cheia, elementele de siguranţă ale cheii, elementele de securitate în care cheia este ţinută, etc.

Dacă această situaţie paradoxală pare familiară este pentru că descrie în mod fidel condiţiile de securitate ale cadrului distribuit din domeniul informaţional.

iot-securiti-privacy

Căsuţele poștale, pozele noastre, conturile bancare online, și toate celelalte conturi în care noi depozităm bunuri informaţionale și nu numai suferă de aceste găuri de siguranţă profund neînţelese pe care le desconsiderăm cu sintagma falsă că securitatea unui furnizor de platformă informaţională este mai avansată decât cea a PC-ului nostru.

De fapt, dacă e să asigurăm securitatea unui bun informaţional în acest cadru, trebuie să ne asigurăm că toate etapele de existenţă ale acestuia sunt securizate. Elementele de siguranţă nu sunt cumulative, ci au o sinergie inversă: cu cât mai multe elemente cu atât devine sistemul mai nesigur. Când un alpinist urcă pe munte, acesta depinde de multiple elemente de siguranţă: coarda, roca, ancora, carabinele, secundul, și așa mai departe. Dacă cedează oricare din aceste elemente, rezultatul poate fi fatal, și cu cât introducem mai multe elemente, cu atât creștem posibilitatea ca unul din ele să cedeze.

Revenind la sistemul informaţional, nu este deci suficient să ne bazăm pe siguranţa perimetrului și nu ne putem permite să plasăm un obiect nesigur în acest cadru, trebuie să ne asigurăm că obiectele în sine sunt sigure în toate etapele acestora de folosire. De exemplu, în situaţia în care nu putem fi siguri că un sistem de schimb de fișiere este securizat, însă suntem nevoiţi să-l folosim, putem foarte simplu cripta datele din fișier și transmite cheia beneficiarului pe o altă cale. Soluţii există însă ele nu sunt întotdeauna evidente.

Paradigmele de securitate în online

În modelul de securitate distribuit există două paradigme fundamentale de care trebuie ţinut cont: izolarea, în sensul de a avea siguranţa că nimeni nu interceptează sau alterează tranzacţiile și certitudinea identităţii, adică siguranţa că partenerul cu care tranzacţionăm este cel corect. Iar dacă în viaţa de zi cu zi acestea sunt triviale, în domeniul cibernetic unde elementele de identificare sunt incomparabil mai slabe, și tranzacţiile se efectuează în teren ostil lucrurile sunt mult mai complicate si cele două elemente trebuie respectate cu stricteţe și concomitent, altfel nu putem vorbi deloc de securitate. De exemplu, dacă avem izolare dar nu avem certitudinea identităţii putem cădea în capcana de a tranzacţiona, în siguranţă, cu o entitate malefică, iar dacă avem certitudinea identităţii și nu avem izolare, putem fi monitorizaţi, sau tranzacţia poate fi interceptată și alterată fără cunoștinţa noastră.

În 1995 Netscape a introdus pentru prima dată conceptul de SSL (secured socket layer), un mecanism extrem de eficient capabil să asigure ambele principii, dar numai în forma ei iniţială denumită MASSL (mutually  authenticated SSL) care din păcate în ciuda faptului că există de atâta vreme, nu s-a răspândit din motive practice. Ceea ce cunoaște majoritatea internauţilor ca SSL este o formă simplificată în care numai serverul posedă certificat de autenticitate, clientul nu, și deci  certitudinea identităţii nu poate fi asigurată pe latura clientului. De aceea se recurge la forme mai nesigure de autentificare cu care suntem obișnuiţi dar care rămân vulnerabile la diferite forme de atac: prin forţare, furt de identitate, interpunere, etc. Este important să fim informaţi cu privire la aceste neajunsuri și atunci când alegem furnizorul de serviciu sau metoda prin care stocăm/manipulăm un anume bun informaţional să decidem în cunoștinţă de cauză pe criterii de importanţă, sensibilitate, și așa mai departe.

Un alt fenomen deosebit de periculos este introducerea unui nou tip de SSL denumit DV (domain validated) SSL, care de fapt este un SSL care nu poartă certitudinea identităţii sitului, ci doar faptul că a fost emis pentru situl în cauză, ceea ce are valoare zero. Orice răufăcător poate cumpăra un domeniu ieftin și să ruleze un sit de furt de date cu  DV-SSL care va părea 100% legitim, pentru că browserele nu emit nici o alertă, și chiar dacă acest tip de SSL poate garanta izolarea, internautul nebănuitor poate tasta parola într-un pagină ce fură date, deoarece nu avem certitudinea identităţii.

Securitatea în acest cadru modern bazat pe servicii (SaaS) nu este deloc simplu de înţeles și cu atât mai greu de asigurat, deoarece din nefericire există un profund handicap tehnologic ce provine din faptul că este imposibil să asigurăm ambele paradigme în orice situaţie, și deci există o inerentă slăbiciune a sistemului care nu poate fi eliminată tehnologic, și trebuie analizată și redusă metodologic.

Securitatea în spațiul IoT

Spaţiul IoT (Internet of Things) este la rândul său un spaţiu online, dar din păcate cu un grad și mai mare de nesiguranţă ce provine din mai multe motive. Dacă în cazul aplicaţiei tipice de tip serviciu, contul se află, precum caseta de valori, la furnizorul de servicii și acesta asigură o anume mentenanţă ce include corectarea vulnerabilităţilor, siguranţa perimetrului din spatele casetei impune anumite reguli de acces și așa mai departe, în cazul dispozitivelor IoT, majoritatea sunt plasate în domiciliu sau alte locuri nesigure, care nu beneficiază de reguli stricte, de profesionalism, de mentenanţă, de corectarea vulnerabilităţilor și este practic imposibil de determinat dacă au fost accesate fraudulos. Aceste obiecte sunt oarecum ale nimănui pentru că responsabilitatea siguranţei lor nu este asumată de nimeni. De exemplu, zilele acestea a avut loc un atac masiv asupra coastei de est a Statelor Unite ce a fost executat de către camere IP și alte dispozitive din casele cetăţenilor nebănuitori.

Ceea ce este și mai grav este că, de multe ori, aceste dispozitive au o relaţie intimă cu posesorii lor, precum pompa de insulină în cazul bolnavului de diabet. Acesta poate dăuna posesorului nu numai prin pierderea de informaţii, care este în sine grav, dar și prin faptul că dispozitivul poate executa funcţii pe care posesorul se bazează, de exemplu poate fi o ușă inteligentă, un sistem de alarmă inteligent, și așa mai departe, care dacă nu-și execută funcţia  corect poate produce pagube serioase.

Deci și în cazul IoT, ca și în cel al serviciilor online, trebuie să căutăm și să analizăm punctele de dependenţă (coarda, roca, ancora, carabina, etc.) ale sistemului și trebuie să ne asigurăm că toate aceste puncte sunt solide,  deoarece fiecare introduce slăbiciuni prin care întregul sistem poate ceda. Poate fi util să ne formulăm o listă de întrebări care să ne ajute să înţelegem aceste puncte de slăbiciune și cum ne afectează ele. Nu este ușor, deoarece responsabilitatea este profund diluată în cazul IoT și aproape fiecare dispozitiv este condiţionat diferit atât din punct de vedere tehnic cât și din punct de vedere al relaţiei cu persoana, familia, firma în care este plasat. Orice astfel de listă de întrebări trebuie să conţină însă cel puţin anumite întrebări elementare la care noi, beneficiarii dispozitivului, trebuie să putem să răspundem cu un grad ridicat de certitudine, ca semn că înţelegem problema, riscurile asociate și avem un plan pentru cazul în care lucrurile deraiază. De exemplu:

  •  ce fel de informaţie colectează dispozitivul
  •  unde este stocată această informaţie
  •  poate informaţia colectată să fie interceptată în tranzit
  •  poate informaţia să fie furată în timpul stocării
  •  a cui proprietate este informaţia colectată
  •  cine controlează dispozitivul
  •  cine corectează vulnerabilităţile când acestea sunt descoperite
  •  cum știu dacă dispozitivul este sub controlul unui factor maliţios
  •  cum opresc dispozitivul în cazul în care a fost deturnat
  •  în ce fel pot fi afectat eu sau cei pentru care sunt răspunzători în cazul în care oricare din aceste  întrebări eșuează.

Va fi foarte greu sau chiar imposibil să dau răspuns tuturor acestor întrebări de aceea ultima întrebare din listă este în special importantă. Aceasta e întrebarea pe baza căreia pot decide dacă voi face un compromis sau voi prefera să nu risc. Evident, răspunsul va fi diferit în funcţie de dispozitiv. Pentru un bec inteligent, poate cel mai grav va fi că voi pierde obiectul deci riscul e redus, dar în cazul unor dispozitive mai complicate,

iot-and-business

situaţia poate fi mult mai gravă. Pe 4 Decembrie 2011, o dronă militară americană a fost deturnată de iranieni și capturată pentru că nimeni nu și-a pus penultima întrebare din lista anterioară. Nu e cazul să analizăm în detaliu incidentul, dar putem să ne imaginăm cât de gravă este situaţia pe toate planurile: politic, tehnologic, informaţional, financiar, fără să mai vorbim de încrederea populară.

Această mult așteptată și prematur preaslăvită lume a IoT este încă un copil nenăscut care are mult potenţial pozitiv dar care, dacă nu suntem atenţi, poate genera și o catastrofă mondială. În ultimul rând, fiecare din noi este responsabil să înţeleagă seriozitatea acestei situaţii și să ia atitudine ca atare ori de câte ori puterea decizională este la noi. Atunci când cumpărăm astfel de produse sau atunci când autorităţile ne consultă cu privire la legile care guvernează aceste dispozitive.

Securitatea informatică este un concept foarte complex și greu de definit în sine, și cu cât un sistem este mai complicat, cu atât este mai greu să-l analizăm și să-l înţelegem. Și cu toate că este greu să găsim o formulă generală care să ne acopere din toate unghiurile, este  relativ ușor să înţelegem fiecare situaţie în parte prin prisma securităţii personale, pentru că acest lucru dincolo de anumite generalităţi este un subiect profund personal și cei mai capabili de a găsi întrebări și de a răspunde la ele vor fi cei în cauză. Nu este nevoie decât de logică elementară, un pic de timp alocat și un exerciţiu mint al prin care să luăm toate elementele afectate de un astfel de sistem, componentele cu care interacţionează, felul în care interacţionează, importanţa lor, căile de acces, și modul în care toate acestea afectează persoana, familia, firma, etc., beneficiile finale ale acestora și riscurile la care ne expunem. Și chiar dacă nu vom găsi toate întrebările, și în consecinţă toate răspunsurile, vom fi mai în siguranţă pentru că vom putea elimina cea mai mare majoritate a riscurilor, pentru că în final este responsabilitatea fiecăruia să se asigure că lucrurile din jurul său nu îi pun persoana în pericol.

Autor: Ștefan Hărșan Fárr

Material publicat în Cybersecurity Trends, nr. 3/2016

Ștefan Hărșan Fárr
Antreprenor, Consultant independent

Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de apli cații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, semantica și proiectarea limbajelor calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale.

Interviu cu Bianca Turchetti, responsabilă cu realizarea conceptului, montarea și gestionarea standului de conștientizare în domeniul Internetului al Poștei Italiene – GCSEC – Poliției Comunicațiilor în cadrul Maker Faire, ediția europeană (Fiera di Roma, 14-16 octombrie 2016).

Laurent Chrzanovski: Dna. Turchetti, înainte de a intra direct în subiect, vă rugăm să descrieți pe scurt parcursul dumneavoastră profesional. 

Bianca Turchetti: Cariera mea profesională a fost cu totul altfel: am absolvit administrarea afacerilor și primul meu angajament profesional a fost alături de responsabilul administrativ al unei societăţi comerciale care organizează „L’Isola del Cinema di Roma”, o reuniune anuală dedicată cinematografiei, din cadrul manifestării „Estate Romana”.

Am rămas tot în domeniul administrativ și ulterior, pentru a mă apropia de lumea comunicării, m-am întors, după șapte ani, să mă ocup de gestionarea și organizarea de evenimente, în aceeași agenţie.

În timpul celor șapte ani am deschis o mică firmă de catering și evenimente de lux și am lucrat un an la PosteVita ca manager de  produs.

Laurent Chrzanovski: Compania dumneavoastră este recunoscută pentru calitatea și diversitatea produselor sale, care variază de la promovarea și organizarea de evenimente de cel mai înalt nivel până la realizarea de pavilioane expoziționale personalizate pentru evenimente de prim rang, cum ar fi cel al lui ENI/Agip sau ultima ediție a Premiului de Formula 1 de la Monza. Colaborați de ceva timp cu Poșta Italiană pentru diverse campanii promoționale adresate unor segmente de public foarte diferite. Ne puteți explica cum se naște, de la idee la proiect, un pavilion expozițional după primele contacte cu clientul? 

Bianca Turchetti: După ce am primit de la client o scurtă descriere în care acesta ne explica cum ar dori să realizeze un spaţiu de expunere (în acest caz), activăm imediat toate departamentele implicate în proiect: departamentul de creativitate pentru cei care sunt interesaţi de manifestări artistice, graficienii care pun bazele modului în care „vedem” noi proiectul, se trece apoi la un expert în grafica 3D care începe să ne deseneze ideile și, odată confruntate cu clientul, se fac eventualele modificări, acolo unde este necesar, apoi se trece la proiectarea efectivă corespunzătoare în cel mai mic detaliu a caracteristicilor tehnice ale proiectului și ne recomandă toate materialele necesare pentru montaj.

turchetti-img1turchetti-img2

Laurent Chrzanovski: Prezentarea campaniei de conștientizare față de pericolele web într-un pavilion de această calitate este o avanpremieră mondială, pentru a demonstra dorința Poștei Italiene, a GCSEC și a Poliției Comunicațiilor de a investi „acolo unde publicul nu se așteaptă” într-un târg de „makers”. Îmi imaginez că propunerea dumneavoastră de pavilion a reușit să seducă liderii pentru a face acest pas, foarte costisitor, având în vedere evenimentul și calitatea cerută de către companie. Cum ați reușit să colaborați cu instituțiile organizatoare ale expoziției (Poștă, GCSEC și Poliție), să țineți cont de ideile și de nevoile lor și să generați în același timp un proiect care din punctul de vedere al prezentării se ridică la nivelul celor de Grand Prix? 

Bianca Turchetti: Am avut norocul de a găsi interlocutori foarte „luminaţi”, proiectul a fost foarte diferit datorită publicului ţintă și, în special, a tematicii specifice acestui târg.

Am dorit să dăm standului o notă elegantă, conștienţi fiind de tratarea unor subiecte foarte sensibile, am știut că ţinta va fi diferită faţă de restul  pavilioanelor, de aceea ne-am bazat mult pe linii esenţiale și directe, pornind de

turchetti-img3turcheti-img4

turchetti-img5

turchetti-img6

la elementele vizuale de comunicare și identitate, la instalaţiile tehnice de mare impact emoţional (firele suspendate din a doua sală) și la avatarul care să atragă atenţia chiar și celor mai tineri vizitatori.

Laurent Chrzanovski: În plus față de talentul specific designului italian, în combinația de culori a pereților și a tapiseriei, a corpurilor de  iluminat, a designului standului se vede o înțelegere reală a problemei. Adică ați reușit să realizați o legătură foarte coerentă între expoziția despre  „trecut”, sala “web-ului periculos”, coridorul „web-ului bun” și sala de sfaturi ale Poliției și ale Poștei. Ce dificultăți suplimentare și ce provocări ați întâmpinat în realizarea acestui pavilion în comparație cu alte proiecte? 

Bianca Turchetti: M-am sfătuit cu experţi în domeniu, ideea de a crea un parcurs explicativ s-a născut din dorinţa de a face publicul să înţeleagă un proces logic și istoric, pornind de la panourile dumneavoastră foarte clare și convingătoare, ce analizează situaţii de viaţă comune și foarte delicate împreună cu toate problematicile conexe, pentru a ajunge apoi, la finalul parcursului, la un fel de „soluţie” a problemelor prezentate datorită prezenţei valoroase a autorităţilor de aplicare a legii.

Laurent Chrzanovski: V-am văzut un pic stresată în ziua deschiderii, în ciuda faptului că ați avut un pavilion frumos, obiectiv vorbind. A fost o emoție „obișnuită” legată de orice expoziție sau a fost și „teama de a nu fi înțeles bine ideea”?

Bianca Turchetti: Partea cea mai frumoasă în această muncă este că de fiecare dată, cu fiecare ocazie, vezi cum se naște, se proiectează și se dezvoltă o idee care într-un fel e a ta, m-am atașat foarte mult de acest eveniment, nu numai datorită profunzimii temelor abordate, dar mai ales pentru că am muncit cu toţii împreună pentru un singur scop.

Cu siguranţă, teama de a greși este întotdeauna acolo, dar în cele din urmă, atunci când se stinge lumina, iar clientul îţi spune că „ai facut o treabă minunată”, este lucrul cel mai plin de satisfacţii din lume!

turchetti-img7turchetti-img8
turchetti-img9

Laurent Chrzanovski: În sala Poliției cu “web-ul periculos”, sloganul și exemplele de criminalitate informatică (de la agresiune la phishing) au fost tipărite și agățate de un fir subțire, ca și viața noastră digitală. Cine a avut această idee?

Bianca Turchetti: Ideea a venit de la una dintre artistele noastre,  Giovanna La Forgia, a fost prima dată când am lucrat împreună și trebuie să recunosc că, iniţial, am fost cu toţii un pic nervoși văzând cantitatea de lucru dar, din fericire, clientului i-au plăcut imediat propunerile pe care i le-am făcut, iar acest lucru ne-a dat posibilitatea să ne concentrăm mai bine pentru a oferi soluţii la înălţimea acestui eveniment.

Laurent Chrzanovski: Acum, „la cald”, imediat după încheierea maratonului de trei zile, sunteți mulțumită de rezultat? Sau cunoscând acum problematica foarte dificilă a securității pe Internet, aveți deja idei  despre cum să tratați acest subiect și mai bine data viitoare? 

Bianca Turchetti: Cred că acest lucru este o bază excelentă de pornire, cu siguranţă dificultatea tematicilor tratate și schimbările rapide și constante

tuschetti-img9

ale acestora sunt principala problematică, orice altceva, producţie, grafică, etc. merg mână în mână. Dar suntem pregătiţi pentru o evoluţie și o îmbunătăţire constantă a serviciilor noastre.

Laurent Chrzanovski: Ca profesionistă, credeți că vizibilitatea (media, vizitatori, net)  pavilionului a m erit at curajul Poștei de a se angaja în această  chestiune care nu are un ROI (Return on Investment – rata de  recuperare a investiției) direct? 

Bianca Turchetti: Iniţial am fost un pic descurajaţi de locul care ne-a fost dat, dar dacă ne gândim acum la rezultat, la tipul de stand pe care l-am creat, cred că am reușit să profitam la maxim de poziţia noastră, dacă am fi fost într-un alt pavilion, probabil nu am fi avut același rezultat, iar fluxul de vizitatori o demonstrează.

Laurent Chrzanovski: Câteva anecdote cu privire la desfășurarea evenimentului sau la interacțiunea  dintre vizitatorii și expozanții pavilionului?

Bianca Turchetti: Am avut momente amuzante în timpul montării expoziţiei, ne-am făcut unele îmbunătăţiri în spaţiul pe care l-am avut la dispoziţie, am pictat un

turchetti-img10

zid care era intr-o stare deplorabilă și iniţial am fost trași la răspundere de organizatorii târgului, deoarece, potrivit lor, am provocat pagube structurii, dar după ce au văzut starea jalnică a acestui spaţiu, chiar ne-au mulţumit…

În timpul târgului, mulţi oameni au cerut  gazdelor  informaţii total în afara subiectului, cum ar fi dacă vindem produsele financiare ale Poștei sau dacă se pot scoate bani în interiorul standului, gândindu-se că era vorba de un bancomat al Poștei Italiene…

Laurent Chrzanovski: În loc de încheiere: cum va rămâne în memoria dumneavoastră acest eveniment special?

Bianca Turchetti: O colaborare perfectă, chiar dacă nu ne cunoșteam între noi, în doar câteva zile am creat un mediu foarte informal și plăcut, cea mai bună dovadă fiind mulţumirile nu numai din partea clientului, dar și din partea celor care au lucrat cu noi. A fost cu adevărat o aventură minunată.

Material publicat în Cybersecurity Trends, nr. 3/2016

Autor: Laurent Chrzanovski

Bianca Turchetti

Bianca Turchetti este Senior Project Manager la Overseas Group, una dintre cele mai importante companii de organizare de evenimente, creație și management, advertising ambiental și comunicare high-profile din Italia.

Interviu cu Nicola Sotira, General Manager al Global Cyber Security Center în cadrul Poștei Italiene

Laurent Chrzanovski: Domnule Sotira, cum fac față companiile italiene amenințărilor cibernetice din ziua de azi?

Nicola Sotira: Ei bine, este o panoramă foarte complexă. Ca să vă faceţi o idee, datorită raportului anual al CLUSIT (Asociaţia Italiană pentru Securitatea Sistemelor Informatice, NdR) știm că numărul a tacurilor și impactul lor asupra economiei italiene este în creștere. Pe de altă parte, alt studiu realizat anul acesta de către KPMG și BT, arată că 94% dintre decidenţii cheie din IT sunt conștienţi de aceste ameninţări și știu că atacurile cibernetice pot face rău organizaţiilor lor. Dar din același studiu reiese și partea întunecată a medaliei, și anume faptul că 47% dintre cei intervievaţi recunosc că nu au o strategie pentru a combate criminalitatea cibernetică.

Laurent Chrzanovski: De unde credeți că provine această problemă și care credeți că sunt rădăcinile acestei dihotomii? 

Nicola Sotira: Ne confruntăm cu probleme de management și cu modul în care managementul adresează securitatea cibernetică în organizaţiile lor.

Faptul că nu au o strategie în acest domeniu semnifică faptul că board-ul companiei nu este cu adevărat angajat în domeniul protecţiei digitale. Pentru a aborda corect acest domeniu avem nevoie de un angajament puternic al conducerii executive și avem nevoie ca securitatea cibernetică să facă parte din agenda lor, alături de problemele financiare și de business.

În plus dacă corelăm aceste date cu altele relevate de studiul KPMG și BT, care arată că 97% dintre companii au fost ţinta unor atacuri cibernetice și au trebuit să se confrunte cu acestea, 47% dintre acestea au mărturisit că au avut dificultăţi majore în administrarea și combaterea acestor atacuri. Astfel ajungem la subiectul educaţiei și training-ului în cadrul companiei, dacă este să vorbim despre conștientizare, și despre procesul de recrutare a angajaţilor, și despre a ști sau nu dacă profilul specialiștilor în securitate se potrivește activităţilor companiei.

Laurent Chrzanovski: Cum credeți că va evolua acest peisaj  nearmonios?

Nicola Sotira: Companiile au început să înţeleagă că securitatea cibernetică este un subiect major și că mai presus de toate securitatea este o parte a business-ului, nu ceva colateral. Multe companii au cooptat specialiștii de securitate în board, realizând că problemele trebuie rezolvate direct, la cel mai înalt nivel, pentru a interveni cât mai rapid posibil. De fapt, impactul unui atac de succes este devastator asupra business-ului

laurent-si-nicola-1
laurent-si-nicola-2

și CEO au început să înţeleagă asta: când serverele se opresc, mașinile se opresc, întregul lanţ industrial se oprește, pe scurt, toate activităţile sunt paralizate. În plus, dificultatea este dată și de extensia perimetrului de vulnerabilitate, care nu se mai limitează nici pe departe doar la zona unui server PC. O să vă dau un exemplu recent: o companie a fost atacată cu succes prin intermediul sistemului de aer condiţionat, deoarece firma care răspundea de controlul acestor aparate le-a conectat la reţeaua WiFi a companiei, deci infractorii au penetrat compania „prin aparatele de aer condiţionat”…

Laurent Chrzanovski: Prin urmare ce ar trebui făcut?

Nicola Sotira: Ţinând cont de complexitatea peisajului ameninţărilor, trebuie să construim și să punem la punct toate strategiile, pentru a face faţă noilor pericole, dar și pentru a continua să le supraveghem pe cele  existente. Nu trebuie să uităm niciodată că „vechile” tehnici funcţionează încă foarte bine. Vă pot da cel mai bun exemplu în legătură cu aceasta. În ultimele luni, o multinaţională din SUA a pierdut aproape 3 milioane USD în urma unui e-mail de phishing. Cum a fost posibil? E-mailul fals a fost conceput perfect, în cele mai mici detalii și de la șeful de departament și până la responsabilul financiar au aprobat transferul unei sume „normale” pentru acel nivel de business către un cont bancar din China.

Succesul s-a datorat unui lung proces de inginerie socială, infractorii știind că acea companie este în proces de restructurare, cu schimbări la nivelul factorilor de decizie și șefilor de departamente, mimând perfect interacţiunile umane și de încredere reciprocă între membrii noii echipe constituite. Singura eroare pe care au făcut-o atacatorii, acesta fiind și norocul  extraordinar al companiei, a fost că în acea zi banca din China a fost închisă din cauza unei sărbători naţionale, astfel încât oamenii legii, și în special FBI, au reușit să blocheze transferul banilor și să îi recupereze înainte să li se piardă urma. Dar revenind la cele afirmate anterior, acei câţiva antreprenori care mai sunt sceptici și care argumentează că securitatea nu este o chestiune de business ar trebui să reflecteze la acest caz. Dacă acest atac ar fi fost finalizat cu succes, ar fi devenit automat o problemă de business și compania ar fi trebuit să înregistreze o pierdere de 3 milioane USD în balanţa anuală.

Laurent Chrzanovski: Cum vă explicați că phishing-ul mai poate avea succes la un asemenea nivel, pentru că nu vorbim despre o persoană fizică, sau despre un IMM și nici măcar despre o companie locală?  

Nicola Sotira: Acest atac ne aduce către nucleul iniţiativelor pe care încercăm să le lansăm cu GCSEC. Atunci când vine vorba despre apărare, a miza totul pe tehnologie este o greșeală. Suntem oameni și problemele sunt pur și simplu umane, înainte de a deveni tehnologice. Compania despre care vorbim avea cu siguranţă instalate cele mai bune firewall-uri, antiviruși, protecţie la phishing și alte sisteme de securitate, dar mail-ul fals a trecut cumva de acestea și cineva a avut încrederea de a da click pe el. Un simplu click este dovada evidentă că indiferent ce sistem de securitate ai cumpăra, în lipsa educării angajaţilor, vei eșua din ce în ce mai mult. Aceasta este noua tendinţă. Din acest  motiv am decis să venim la Maker Faire cu un stand uriaș dedicat în întregime conștientizării. Am  prezentat de asemenea aplicaţia (app) CyberQuest pentru a măsura nivelul general de cunoștinţe al cetăţenilor pe subiecte de securitate și pentru a-i ajuta pe cei care vor folosi aplicaţia să conștientizeze riscurile la care sunt expuși online, indiferent de vârstă sau de profesie.

Laurent Chrzanovski: Relatând despre standul Poste Italiane/GCSEC/Polizia Nazionale, un ziar a  titrat că Dvs. considerați că este urgent să se facă o „alfabetizare digitală a societății”. Ce ați vrut să spuneți cu asta?

Nicola Sotira: Avem foarte mult de lucru, o muncă enormă de făcut. Graba de adoptare a tehnologiilor nu a fost însoţită și de o grabă de cunoaștere, cultură și educaţie despre cum să le utilizăm în siguranţă.

cyberquest

Folosim instrumente, unul sau două smartphone-uri, cu storage real, baze de date, PC-uri și una sau două conexiuni DSL conectate în permanenţă la internet… Mobilitatea oferită de smartphone-uri face ca prioritatea pentru o cultură digitală să fie și mai fierbinte, deoarece nu mai avem acea „barieră” pe care o aveam în urmă cu câţiva ani cu laptop-urile și PC-urile la care trebuia să te logezi ca să te conectezi la net. Acum suntem online 24/7/365, lucrăm cu smartphone-ul, adormim lângă acesta și tot el este și pe post de ceas deșteptător… Smartphone-ul partajează informaţii tot timpul, astfel încât nu se mai pune problema de a

scopri

înfiera un obiect ci se pune problema educării oamenilor despre ceea ce acest obiect este capabil.

Laurent Chrzanovski: Și în privința companiilor? 

Nicola Sotira: Trebuie să convingem board-ul să nu se mai gândească la securitatea cibernetică doar sub aspect tehnologic. Aceasta presupune team-building-uri constante, traininguri regulate de scurtă și lungă durată cu angajaţii, în funcţie de nivelul de importanţă al acestora în companie și alocarea controlată a accesului la materiale sensibile etc.

Laurent Chrzanovski: Pornind de aici și până la realitatea de a convinge Gruppo Poste Italiane să lanseze acest stand de clasă mondială la extrem de popularul târg „Maker Faire. The European Edition”, este un obiectiv pe care multe fundații nu au reușit să-l depășească. Cum ați reușit să vă concretizați ideea? 

Nicola Sotira: Parteneriatul cu ITU și cu Poliţia Comunicaţiilor ne-a ajutat să construim un concept foarte solid. Am reușit deoarece Poșta Italiană este conștientă de problematica imensă a pericolelor web, de la indivizi, la echipamentele de orice fel pe care le utilizăm, și până la autostrăzi, căi ferate și infrastructuri critice. Am vrut să arătăm, de asemenea, că doar Poșta Italiană și GCSEC pot realiza puţin dacă nu vom crește rapid cultura digitală a companiilor și a indivizilor. Difuzarea educaţiei, culturii, a bunelor practici și a conștientizării sunt raţiunile existenţei GCSEC și stau la baza deciziei de a înfiinţa fundaţia.

Laurent Chrzanovski: Care sunt primele reacții? 

Nicola Sotira: Ei bine, este încă prea devreme să analizăm profund impactul evenimentului, dar numărul de vizitatori, interesul publicului de toate vârstele, faptul că și-au făcut timp să viziteze cele 3 secţiuni ale expoziţiei, utilizarea noii aplicaţii și apoi întrebările  adresate membrilor echipei noastre și echipei de poliţie, dar și acoperirea mediatică au arătat că nu a fost o investiţie greșită. Mai mult, suntem mândri că pe lângă comunitatea vorbitorilor de engleză, italienii sunt acum primii beneficiari ai celor mai noi linii directoare ale ITU, elaborate în toamna lui 2015 și la începutul lui 2016. Acestea pot fi descărcate acum gratuit de pe site-ul  GCSEC. Acestea, împreună cu aplicaţia despre care am vorbit, sunt deja o realizare care își va arăta roadele multă vreme după ce acest eveniment își va fi închis porţile.

Autor: Laurent Chrzanovski

Material publicat în Cybersecurity Trends, nr. 3/2016

Nicola Sotira

Nicola Sotira este Director General al Global Cyber Security Center și Information Security Manager în cadrul Poștei Italiene. El lucrează în IT de peste 20 de ani, acumulând experienţă în cadrul unor companii internaţionale. Anterior, Nicola Sotira a fost director de vânzări la UC&C & Security Practices din cadrul WestconGroup Italia și VP Sales Italia în cadrul Clavister AB. Este profesor la Masteratul Network Security al La Sapienza University, Membru al Association for Computing Machinery. Promotor al inovaţiei tehnologice, a fost membru al mai multor start-up-uri din Italia și de peste graniţă.

237

Analiza atacurilor cibernetice identificate în perioada ultimilor 2-3 ani evidențiază în primul rând faptul că modalitatea în care este abordată în prezent securitatea infrastructurilor atacate nu este eficientă, iar răspunsurile adecvate nu par a fi prezente nici în ofertele de tehnol ogii și servicii pe care le generează piața globală de profil, nici în măsurile legislative și administrative ale guvernelor.
Această concluzie poate fi susţinută prin analiza calitativă și cantitativă a volumelor uriașe de date generate de platformele dedicate colectării de alerte privind incidentele de Securitate cibernetică care au loc la nivel global. Evoluţia calitativă a atacurilor relevă o utilizare în creștere a unor tipuri de malware din ce în ce mai greu de detectat, indiferent de soluţiile tehnologice destinate detecţiei utilizate la nivelul infrastructurii atacate, iar evoluţiile cantitative generează din ce în ce mai multe date, pentru analiza eficientă a cărora majoritatea instrumentelor tehnologice existente nu demonstrează decât cel mult o valoare adăugată pentru investigaţia postincident.

Nu mi-am propus o analiză a statisticilor din ce în ce mai numeroase care descriu incidentele/atacurile ce se derulează online în ultima perioadă și nici redactarea unei analize tehnice, ci voi încerca să argumentez o potenţială soluţie care ar permite îmbunătăţirea răspunsului mediului de afaceri la ameninţările cibernetice reale, inclusiv printr-un model de business sustenabil și cu efecte directe în costurile pe care le implică reducerea riscurilor de Securitate cibernetică.
Unul dintre factorii care permit atacatorilor, indiferent de natura și motivaţia acestora, să extindă un anumit tip de atac asupra mai multor categorii de infrastructuri din același domeniu de activitate este lipsa de comunicare reală la nivelul segmentului de business ameninţat. De regulă, și aici exemplul cel mai bun este domeniul financiar-bancar, comunicarea între companiile care activează într-un mediu competitiv este limitată, motivele fiind lesne de înţeles. Există numeroase exemple în perioada ultimilor ani când, dacă o bancă care a fost victima unui atac cibernetic reușit ar fi transmis comunităţii date descriptive minimale referitoare la incident

(ex: indicatori de compromitere) – care sub nicio formă nu ar putea conduce la afectarea obiectivelor de afaceri și nici nu ar fi prejudiciat aplicarea reglementărilor privind confidenţialitatea adoptate în domeniul bancar, ar fi fost evitate atacuri similar îndreptate cu succes ulterior asupra altor bănci.

Trecând peste necesitatea implicării autorităţilor de reglementare, dar luând în calcul efectele imediate și pe termen lung ale măsurilor de reglementare care sunt în curs de implementare la nivel national și la nivelul UE (Ex: Directiva NIS, Data Protection), care vor genera efecte pozitive asupra nivelului general de Securitate cibernetică, voi încerca să aduc câteva argumente pentru ca, de exemplu băncile, urmând alte exemple din trecut (ROMCARD, Biroul de Credit etc.) care au fost generate tot ca răspuns la realităţi pe care nu le-au mai p utut ignora, să se organizeze singure, beneficiul final fiind controlul r iscurilor de Securitate și al banilor aruncaţi uneori pe soluţii tehnologice și servicii care se dovedesc inutile într-o situaţie reală: \

  • Constituirea unei structuri de tip CERT private va fi sub controlul total al acţionarilor – orice decizie privind serviciile oferite, structura funcţională, investiţiile și costurile operaţionale;
  • Constituirea într-o structură privată poate fi susţinută pe un model de business, astfel încât, pe baza unei guvernanţe coerente și exploatând nevoia de servicii de pe piaţa de profil, CERT-ul financiar poate deveni o entitate care se autofinanţează într-o perioadă scurtă de timp și de ce nu, în timp, generatoare de profit;
  • Obiectivul principal al unui CERT privat în sectorul financiar bancar este schimbul de informaţii în timp real la nivelul întregului sector, astfel încât să fie asigurat un răspuns adecvat la orice potenţială ameninţare cibernetică;
  • Cooperarea informală și formală cu sectorul public (CERT-RO, CyberINT etc.) ar putea fi realizată prin intermediul acestei platforme, unice, la nivelul întregului sector bancar;
  • Colectarea de date cu un nivel de calitate ridicat referitoare la ameninţările cibernetice care afectează domeniul financiar-bancar poate constitui baza pentru constituirea unui sistem de alerte bazat pe analize proprii, conţinând date validate și evaluări realiste ale riscurilor la care este expus sectorul financiar-bancar din România, evident și prin raportare la contextul global;
  • În cadrul CERT-ului privat se pot dezvolta capabilităţi tehnologice și expertiză specifice avansate de răspuns la incidente de securitate cibernetică, care ar putea completa în situaţii de criză, capabilităţile proprii dezvoltate la nivelul fiecărei entităţi din sistem;
  • Având în vedere perspectiva obligativităţii realizării managementului și raportării incidentelor de Securitate cibernetică la nivelul întregului sistem financiar b ancar, identificat ca furnizor de servicii esenţiale în noua Directivă NIS, o structură de tip CERT susţinută de întregul sector ar putea contribui la eficientizarea gradului de conformitate cu cerinţele legale și costurilor aferente acestui proces;
  • Diversitatea tehnologică care există în sectorul f inanciar-bancar în raport cu soluţiile utilizate pentru reducerea riscurilor de Securitate cibernetică creează dificultăţi majore în ceea ce privește transmiterea de informaţii tehnice între diferite entităţi. Ca și în cazul comunităţilor de tip CERT guvernamentale, utilizarea unor comunicări standardizate poate crea un limbaj comun pe acest segment de activitate, având ca obiectiv final creșterea capacităţii de răspuns la atacuri cibernetice la nivelul întregului sector de business;
  • Nu în ultimul rând, cooperarea la nivel international cu structuri similare este un proces care ar aduce beneficii evidente, atât în perioadele de operare normală, cât și, în special, în situaţii de risc, natura distribuită și globală a unora dintre atacurile cibernetice cu grad ridicat de risc făcând din cooperarea internaţională, bazată pe criterii clare de încredere, un factor decisiv privind capacitatea de protejare reală a infrastructurilor informatice și de comunicaţii utilizate pe scară din ce în ce mai largă în sectorul financiar bancar.
autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

294

În ultimii 25 de ani, de la apariția web-ului, asistăm la formarea unei „lumi paralele”, incompletă deocamdată, pentru că nu tot ce există în lumea reală are deja un omolog în spațiul cibernetic. Lumea virtuală a schimbat totul: comunicarea, accesul la informații, învățarea, cercetarea, asistența medicală, comerțul, administrarea afacerilor, transportul și administrația publică, și cel mai important: ne-a schimbat comportamentul. Doar motivațiile se păstrează, pentru că acțiunile își au originea și efectele în lumea reală, chiar dacă mijloacele sunt parțial sau integral electronice.

Civilizaţia noastră are câteva mii de ani vechime și nu este nici pe departe perfectă, spaţiul cibernetic are doar 25 de ani, deci nu putem avea pretenţia să fie dominat de echilibru si armonie. Mai mult, nu exista nicio barieră, tehnologică sau morală, care să permită doar aspectelor „bune” ale vieţii reale să-și dezvolte un „alte-ego” electronic, și asta ar putea fi o explicaţie, puţin filosofică, pentru ameninţările care nu au întârziat să apară, să se manifeste și să evolueze în spaţiul cibernetic.

autor:
Toma Cîmpeanu

CEO Asociaţia Naţională pentru Securitatea Sistemelor Informatice

Venind în completarea multitudinii de articole puternic teoretizate, prin seria de materiale pe care v-o propunem dorim să explicăm și să exemplificăm manifestările și consecinţele infracţiunilor cibernetice.

Dintre principalele evoluţii voi menţiona aici două:

1 Entitățile ostile: în locul programatorului care concepea un virus de „amoru’ artei” sau ca să demonstreze „că poate”, au apărut grupările de criminalitate informatică, transfrontaliere și multidisciplinare, care urmăresc câștiguri materiale în această „industrie” cu o rată de profitabilitate estimată la 1500%, grupările hacktiviste și teroriste, precum și actorii statali, singurii care dispun de capabilităţile tehnice și resursele financiare pentru realizarea de malware sofisticat. Din acest punct de vedere, România, ca parte a NATO și UE, se confruntă cu aceleași ameninţări ca și aliaţii noștri.

(IBM X-Force)

2 „Industria” Cybercrime se maturizează și apare specializarea. Identificăm acum finanţatori, proiectanţi/dezvoltatori, distribuitori și cumpărători. De asemenea, asistăm la dezvoltarea Cybercrime-as-a-Service în tandem cu finanțele subterane: o piaţă neagră pe care se comercializează atât instrumentele de atac cibernetic (care se pot achiziţiona sau închiria) cât și rezultatele, să le spunem „roadele” infracţiunilor cibernetice; și pentru că nimic nu este gratis, infractorii cibernetici apelează la instrumente de plată și optează pentru cele care asigură anonimatul, ireversibilitatea si viteza transferului. Pentru că există o astfel de piaţă, infractorii cibernetici din ziua de azi nu mai au nevoie de cunoștinţe tehnice specializate ci doar de un card de credit, putând să achiziţioneze malware ca atare sau să angajeze serviciul de exploatare/utilizare al acestuia (mai jos vor fi oferite exemple concrete).

Cybercrime-as-a-Service îmbracă mai multe forme (o clasificare McAfee):

– Reasearch-as-a-Service – în acest caz nu se poate vorbi neapărat de o piaţă neagră, ci mai degrabă gri. Aici regăsim organizaţiile care identifică și prezintă vulnerabilităţi 0-day către companii selectate după anumite criterii de eligibilitate. Totuși, nu se exclud intermediarii care nu mai aplică aceleași criterii stricte, informaţia putând ajunge la entităţi care o folosesc ulterior în scopuri infracţionale. De asemenea, în aceeaşi categorie includem agregarea de informaţii în baze de date care sunt ulterior folosite în alte scopuri decât cele declarate iniţial. Astfel, în oferta unor adevărate magazine virtuale ilegale găsim:

– Crimeware-as-a-Service – identificarea și dezvoltarea de kit-uri de exploatare, instrumente suport (keyloggers, bots), soluţii de mascare a conţinutului malware (cryptors, polymorphic builders), roboţi și chiar dispozitive hardware conexe (skimmers).

– Cybercrime Infrastructure-as-a-Service – odată ce infractorii cibernetici obţin instrumentele necesare, pentru atacul propriu-zis aceștia pot închiria reţele de calculatoare pentru un atac DDoS, pentru transmiterea cu succes a unui număr uriaș de emailuri, sau pot accesa platforme pe care să-și hosteze conţinutul malware.

– Hacking-as-a-Service – având un cost superior alternativei în care se achiziţionează componentele individuale, „cumpărarea” unui atac reprezintă varianta care necesită cele mai puţine cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credenţiale, date despre cardurile de credit etc.

Finanțele subterane s-au dezvoltat în special pentru că infractorii (și nu ne rezumăm la cei cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.

Economia digitală subterană, ca orice economie, se bazează pe fluxul liber de fonduri. Varietatea mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază faţă de lumea reală, plăţile fizice fiind efectuate către monede digitale nedetectabile.

Multe mecanisme de plată cu aspect important on-line oferă un număr de caracteristici care le face atractive ca și instrument financiar pentru organizaţiile criminale – anonimatul, transferuri rapide, ieftine și ireversibile și tranzacțiile financiare disimulate.

În multe privinţe, unele mecanisme de plată pot oferi un nivel de anonimat similar banilor lichizi, dar într-un mediu on-line. Europol a realizat o statistică privind mijloacele de plată preferate pentru anumite tipuri de operaţiuni:

Exemplu – economia phishing-ului

Phishingul este una dintre cele mai des întâlnite infracţiuni informatice, urmărind obţinerea unor informaţii personale care ulterior să fie folosite pentru obţinerea de foloase materiale. Phishingul imbracă multe forme, în exemplu ne vom referi la situaţia unui infractor fără cunoştinţe tehnice profunde dar cu abilităţi de navigare în darknet, acolo unde se găsesc magazinele virtuale amintite mai sus (este un exemplu mult simplificat, care surprinde însă principalele aspecte specifice).

Am văzut că acesta poate achiziţiona o bază de date de 10 milioane de adrese de mail din Florida cu mai puţin de 1000 dolari. Către aceste adrese transmite un mesaj email în care pretinde că este un reprezentant al statului, dintr-o instituţie de supraveghere bancară reală, şi solicită cetăţenilor să-şi introducă datele privind contul și cardul, pentru a valida informaţiile transmise de bănci.

Un astfel de mail este în general blocat de filtrele anti-spam în proporţie de 99% (conform CISCO Annual Report 2015), aşa că, pentru a diminua efectul filtrelor, subiectul nostru achiziţioneză cu aproximativ 5000 dolari un mecanism de livrare emailuri de pe un număr mare de adrese IP (volum mic per adresă IP; așa numitul spam snowshoe). Rata de succes în acest caz este de 10% (filtrele opresc doar 90%, sursă www.getcybersafe.ca).

Evident, nu e suficient ca email-ul să ajungă la destinatar, ci trebuie să fie suficient de credibil (și destinatarul suficient de naiv) ca să-l determine să-și transmită datele. Jumătate din mail-uri sunt deschise și 10 % dintre destinatari dau click pe link-ul din mail (www.getcybersafe.ca).

Așadar, infractorul din acest exemplu trebuie sa-și construiască o pagină web care să semene cat mai mult cu cea originală, a instituţiei de supraveghere bancară a carei identitate o asumă, iar numele de domeniu sa fie de asemenea foarte asemănător. Pentru toate acestea considerăm un cost de 10.000 dolari. Pe această pagină, destinatari care au fost păcăliţi îşi vor lăsa datele privind cardurile şi conturile lor. Dintre cei care ajung pe pagina web, doar 10% îşi completează datele, natura infomaţiilor îi descurajează pe cei mai prudenţi 90% (www.getcybersafe.ca).

În cazul nostru concret, infractorul fără studii de specialitate obţine 5.000 de seturi de date privind carduri bancare, pe care le comercializează, la rândul său, de data aceasta de pe poziţia de vânzător şi nu de cumpărător (ca până acum), prin magazinele virtuale ilicite din darkweb, obţinând în medie 60 dolari/buc conducând la un total de 300.000 dolari.

Conform statisticilor Europol, în acest caz plăţile se fac cel mai adesea în Bitcoin.

Așadar:

  • 10 milioane de adrese mail – achiziționate inițial cu 1000 dolari
  • 1 milion de mail-uri ajung la destinație (10%, prin spam snowshoe, cost expediere 5000 dolari)
  • 500.000 mail-uri sunt deschise (jumatate dintre cele care trec de filtre)
  • 50.000 de destinatari acceseaza adresa web din email (10% dintre cei care deschid mail-ul)
  • 5.000 de destinatari introduc datele solicitate în pagina web (10% dintre cei care ajung pe pagina web falsă)
  • Cost pagină web 4=10.000 dolari Obs. Procentul celor păcăliți este de 0.05% din totalul destinatarilor
  • 5.000 de seturi de date privind carduri bancare = 300.000 dolari (60 dolari/buc)

Sumarizând:

  • Total investiție = aproximativ 16-20.000 dolari • Venituri = 300.000 dolari
  • Profit = 1500%!

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft. De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național „România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

339

Rolul Internetului în ziua de astăzi nu poate fi neglijat. Acesta facilitează comunicarea rapidă și cost eficientă dintre oameni, oferind oportunități vaste pentru afaceri, cetățeni și guverne pentru a-și administra activitățile. Cu toate acestea, Internetul devine un mediu tot mai atractiv pentru diverse elemente malițioase cum ar fi: Script Kiddies, „Hacktivists”, crima organizată, terorismul și intruși sponsorizați de stat. Acestea reprezintă grupuri de actori de amenințare, care au diferite capacități, motive și metode în urmărirea scopurilor lor.

Dezvoltarea rapidă a tehnologiilor oferă răufăcătorilor oportunităţi variate de a găsi cea mai potrivită și cost avantajoasă cale de intruziune. Atât sectorului public, cît și celui privat îi vine tot mai greu și mai greu să facă faţă provocărilor de securitate cibernetică. Timpurile cînd organizaţiile erau în stare să reziste de sine stătător la presiunile atacatorilor cibernetici au trecut.

autor:
Natalia Spinu

Incidentele cibernetice recente care au avut loc în marele companii cum ar fi Sony, eBay și JP Morgan, la fel ca și în cadrul organizaţiilor guvernamentale cum ar fi Oficiul de management al personalului SUA, care au investit milioane de dolari în securitatea cibernetică, au demonstrat cît de reale sunt ameninţările. Dar ce să zicem despre companiile mai mici, care au capacităţi mai reduse în protecţia mediului său de afaceri?

Din acest motiv cooperarea și schimbul de informaţii joacă un rol tot mai important în asigurarea securităţii cibernetice. Beneficiile unor astfel de parteneriate sunt evidente – schimbul de informaţii permite de a consolida capacităţile de detectare a tuturor membrilor participanţi într-o reţea unică de informare, facilitează transferul rapid a cunoștinţelor în domeniul ameninţărilor, previne propagarea ameninţărilor și reduce dublarea eforturilor.

Oricum, implementarea componentei de schimb de informaţii în mediul corporativ sau guvernamental nu este o sarcină atît de ușoară cum s-ar fi părut. Există multe provocări din partea sectorului public și cel privat, care împiedică atingerea scopului comun – de a fi mai rezistent atacurilor cibernetice. Cîteva din ele ar fi:

Inițiativa. Cine trebuie să iniţieze și să coordoneze procesul? Trebuie să fie guvernul sau lumea afacerilor? În general, publicul consideră lumea afacerilor de a fi forţa motrice a dezvoltării tehnologiilor, cea mai avansată în domeniul securităţii cibernetice și acea forţă care„știe cel mai bine ce de făcut și cum de făcut”. În contrast cu sectorul privat, sectorul public, care pe de o parte este o piaţă pentru servicii, pe de alta parte crede «De ce ar trebui să aibă grijă de întreaga naţiune?».

Concurența de piață. Companiile private ar putea percepe cunoașterea ameninţării ca avantaj competitiv. Din alt punct de vedere, instituţiile de reglementare ar putea interpreta schimbul de cunoștinţe ca un comportament anticoncurenţial.

Reputația. „Ok. Dacă voi dezvălui informaţia privind ameninţarea și o voi face publică, cine va avea încredere apoi în serviciile pe care le prestez?” Temerile de a aduce daune reputaţiei sale în urma divulgării informaţiei va avea o reflecţie negativă în mass-media.

Confidențialitate. În unele ţări, legislaţia în domeniul protecţiei datelor naţionale consideră adresa Internet Protocol (IP) și alte elemente ale informaţiei cibernetice ca date cu caracter personal, care nu pot fi împărtășite fără acordul explicit al proprietarului său.

Autoritate. Cine din cadrul unei companii sau a unei instituţii ar trebui să deţină autoritatea de a dezvălui informaţiile? Ar trebui să fie reprezentantul managementului de nivel superior sau un specialist din domeniul securităţii IT?

Confidențialitate. Sunt diferite tipuri de secrete: secret de stat, secret din domeniul afacerilor, secret personal, și altele. Ce informaţie anume poate fi dezvăluită pentru, pe de o parte, a atinge scopurile comune, dar și pe de altă parte a păstra secretele ce ţin de aceste informaţii?

Capacitate. Nu este de ajuns doar de a face parte dintr-o iniţiativă de schimb de informaţii. Pe de o parte, organizaţia trebuie să deţină capacităţi umane și tehnice pentru a raporta comunităţii informaţia referitor la ameninţări, iar pe de altă parte să fie în stare să utilizeze informaţia recepţionată.

Interesant este modul în care diferite state abordează aceste probleme. Potrivit unui studiu recent1, realizat de Agenţia Uniunii Europene pentru Securitate Informaţională și de Reţea (European Union Agency for Network and Information Security – ENISA), ţările membre ale uniunii europene, la fel ca și Mediul Economic European (European Economic Area – EEA), ţările membre a Asociaţiei Europeane de Liber Schimb (European Free Trade Association – EFTA), s-au examinat diverse modalităţi de promovare a schimbului de informaţii în domeniul cibernetic. De bază sunt „legislaţia de comandă și control”,„reglementare prin cooperare”,„auto-reglementare”.

Abordarea prin „legislaţie de comandă și control” presupune aplicarea unor norme legale obligatorii în legislaţia naţională, care identifică părţile care trebuie să distribuie informaţia despre incidente cibernetice anumitor entităţi. Un bun exemplu de aplicare a acestor norme este Directiva 2009/140/EC, prin care au fost introduse amendamente în legislaţia UE ce ţine de comunicaţii electronice și de prestatorii serviciilor de comunicaţii electronice publice pentru a „notifica organele regulatorii competente despre încălcările în domeniul securităţii sau pierderii integrităţii care a avut un impact semnificativ asupra reţelelor sau serviciilor”2.

Abordarea prin prisma „reglementării bazate pe cooperare”, presupune existenţa unui organism de reglementare care ar facilita în mod direct crearea centrelor sectoriale de analiză şi schimb de informaţii (ISACs), sub forma unor parteneriate public-private (PPP) axate pe schimbul de informaţii la nivel intersectorial. Acestea reprezintă comunităţi închise, în unele cazuri, cu un număr limitat de participanţi, unde schimbul de informaţii, de regulă, se realizează în bază de voluntariat în cadrul unor reuniuni comune, organizate de mai multe ori pe an, fiind coordonate de instituţiile guvernamentale. Un exemplu de iniţiativă bazată pe “reglementare prin cooperare” revine Centrului Naţional privind Securitatea Cibernetică (NCSC) a Olandei care a organizat centre sectoriale de analiză şi schimb de informaţii pe aşa domenii ca apa, energia, finanţe şi altele; ISACs-uri similare au fost organizate de către Centrul guvernamental pentru protecţia infrastructurii naţionale a Regatului Unit, și altele.

În cele din urmă, o abordare bazată pe „auto-reglementare” presupune iniţiative ce promovează şi susţin schimbul de informaţii ce urmează a fi redirecţionate în concordanţă cu statutul fiecărei organizaţii în parte, indiferent dacă acestea sunt: guvernamentale sau private, comerciale sau non-profit, naţionale sau internaţionale. De regulă, respectiva abordare este preluată şi utilizată de către instituţiile apropiate sectorului de securitate cibernetică, precum Echipele de Răspuns la Incidentele legate de Securitatea Calculatoarelor (CSIRT-uri), companii în domeniul securităţii informaţionale sau comunităţile de experţi în domeniu. Iniţiative europene sesizabile de acest gen sunt „Centrul Industrial Cybersecurity” (CCI) din Spania, „N6 Network Security Incident Exchange” din Polonia, „Asociaţia de experţi de infrastructură critică” din Italia și altele.

Există, de asemenea, şi o alternativă în abordarea problemelor cu privire la partajarea de informaţii cibernetice. Spre exemplu, companiile şi-ar putea avansa poziţionarea în domeniul securităţii cibernetice prin obţinerea de informaţii ameninţătoare din surse comerciale sau de tip „open source”. Cu toate acestea, în primul caz, compania ar urma să deţină un buget semnificativ de (~ 250 000 euro pe an și mai mult), în al doilea caz se necesită din partea companiei o capacitatea de a procesa informaţia în formă brută, în lipsă de fiabilitate, înșelătoare, incompletă și irelevantă în vederea transformării ulterioare a acesteia în ceva atacabil.

În Republica Moldova, schimbul de informaţii privind securitatea cibernetică este la o etapă incipientă. Cu toate acestea, primele acţiuni în această direcţie au fost realizate în anul 2009, prin adoptarea legii privind prevenirea şi combaterea criminalităţii informatice. În prezent, schimbul de informaţii se organizează ad hoc, ca reacţie de răspuns și, în mare parte, corelate cu investigarea infracţiunilor cibernetice. În comparaţie cu ţările Uniunii Europene, în Republica Moldova se aplică abordarea bazată pe „legislaţia de comandă şi control” şi „auto-reglementarea” în vederea soluţionării dificultăţilor privind schimbul de informaţii.

„Legislaţia de comandă şi control” la nivel naţional, privind reglementarea schimbului de informaţii constă dintr-o singură lege (Legea nr. 20 din 03.02.2009 „privind prevenirea și combaterea criminalităţii informatice”) și trei decizii guvernamentale (Hotărîrea Guvernului nr. 735 din 11.06.2002 „cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova “, Hotărîrea Guvernului nr. 857 din 31.10.2013 „privind Strategia naţională de dezvoltare a societăţii informaţionale «Moldova digitală 2020» și Hotărârea Guvernului nr. 811 din 29.10.2015 cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”). Per ansamblu, legislaţia obligă furnizorii de servicii electronice (ESP) să raporteze către organismele naţionale competente, incidentele privind securitatea cibernetică şi a criminalităţii informatice, permite instituţiilor competente să solicite de la ESPs şi autorităţile administraţiei publice informaţii necesare pentru derularea investigaţiei, stabilirea obiectivelor de dezvoltare precum şi încurajarea schimbului de informaţii cibernetice la nivel public şi privat inclusiv susţinerea activităţilor de cooperare.

Aplicabilitatea abordării bazate pe „auto-reglementare” la nivel naţional datează din 2010, odată cu înfiinţarea Echipei de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD. Iniţial, rolul echipei se limita doar la asigurarea unui răspuns la incidentele de securitate cibernetică din cadrul reţelelor guvernamentale. Cu toate acestea, echipa CERT-GOV-MD de la bun început a stabilit relaţii bazate pe încredere cu organizaţiile naţionale competente în domeniu (Serviciul de Informaţii şi Securitate, Ministerul Afacerilor Interne, Procuratura Generală, Centrul pentru Combaterea Crimelor Informatice și altele), precum și organizaţii internaţionale (OSCE, UNDP, IMPACT și altele), devenind membru al comunităţii internaţionale CSIRT (Reprezentant de încredere și acorduri bilaterale cu alte CSIRT-uri) obţinând astfel pe de o parte încrederea din partea canalelor de comunicare cu care operează iar pe de altă parte acces la surse informaţionale valoroase de natură ameninţătoare. Realizările menţionate, plasează CERT-GOV-MD într-o poziţie unică în vederea soluţionării problemelor cheie privind schimbul de informaţii cibernetice prin aplicarea abordării bazate pe „auto-reglementare”. În acest scop, Programul naţional de securitate cibernetică a Republicii Moldova deligă către CERT-GOV-MD sarcina de a crea un Sistem naţional de conştientizare a ameninţărilor cibernetice în timp real.

În conformitate cu planul stabilit de Programul Naţional de securitate cibernetică a Republicii Moldova, dezvoltarea și punerea în aplicare a unui astfel de sistem se preconizează a fi realizată în perioada anilor 2016 – 2017. Cu toate acestea, din cauza resurselor umane extrem de limitate cuplate cu un volum mare de muncă a echipei CERT-GOV-MD, succesul realizării acestui planul în termenul prestabilit nu este cert.

Abordarea prin prisma unei „reglementări bazate pe cooperare”, presupune dorinţa întreprinderilor de a coopera în vederea soluţionării problemelor comune ce ţin de securitatea cibernetică. În acest context, o prioritate a Guvernului ar fi susţinerea întreprinderilor în direcţia atingerii obiectivelor stabilite. Cu toate acestea, în Republica Moldova, acest cult al cooperării reciproce la nivel de întreprinderi pe tema securităţii cibernetice l-a moment nu s-a conturat clar şi nici nu este evidentă măsura în care acestea sunt dispuse să se implice şi să acţioneze.

Reieșind din prevederile Strategiei Naţionale „Moldova digitală 2020” privind „Stimularea schimbului reciproc de informaţii privind ameninţări, vulnerabilităţi, riscuri, precum şi incidente şi atacuri cibernetice între sectorul public şi privat “, CERT-GOV-MD a întreprins o încercare în a depăși acest „punct mort” semnalat la nivel de comunicare, organizând astfel în anul 2015, prima conferinţă dedicată rolului PPP-ului în domeniul securităţii cibernetice. Conferinţa a reunit experţi de talie mondială, reprezentanţi ai instituţiilor implicate în combaterea incidentelor privind securitatea cibernetică şi a criminalităţii informatice, cei mai mari furnizori de servicii Internet din Moldova, parlamentarii şi companiile private cointeresate de astfel de parteneriate, cu scopul de a obţine schimb de experienţă și viziuni în domeniul securităţii cibernetice, înlăturarea barierelor privind eventuale neînţelegeri, stabilirea unor puncte de contact și crearea cadrului necesar pentru viitoarele cooperări. Totuși, deși rezultatele aceste iniţiative din partea CERT-GOV-MD, au confirmat prezenţa problemei susmenţionate, sectorul privat rămâne a fi mult mai interest în aşi vinde produsele şi serviciile în detrimentul soluţionării problemei naţionale de Securitate cibernetică. Şi totuși, la finele evenimentului din 2015, un reprezentant al Asociaţiei sectorului IT a remarcat: „În orice caz, afacerile IT în Moldova sunt deschise pentru un dialog constructiv”.

Internetul a devenit un mediu virtual extrem de periculos. În ultimii ani, tot mai multe întreprinderi specializate în domeniul securităţii cibernetice au ajuns victime a infractorilor cibernetici. Cu siguranţă, doar prin cunoașterea surselor ameninţătoare în continua lor schimbare, obţinem un scut indispensabil în asigurarea securităţii organizaţiei. Cu toate acestea, sunt foarte puţine întreprinderi în lume care sunt capabile şi dispun de mecanismele necesare de a se asigura corect şi sigur împotriva atacurilor cibernetice din surse proprii. Prin urmare, devine din ce în ce mai popular schimbul reciproc de informaţii cu caracter ameninţător, inclusiv depășirea acestor dificultăţi şi vulnerabilităţi cu implicarea unor costuri minime şi obţinerea de eficienţă maximă.

Și totuși, diversitatea specificului fiecărei naţiuni în parte implică o abordare diferită a problemelor de securitate cibernetică, inclusiv aplicarea acestora în rândul ţărilor europene. Revenind la cazul Republicii Moldova, care ar fi poziţionarea acesteia în rândul acestor ţări?

Potrivit cercetărilor reflectate în acest articol, concluzionăm că Republica Moldova este abia la etapa iniţială în direcţia soluţionării şi depășirii cu succes a vulnerabilităţilor privind atacurile cibernetice utilizând ca instrument: comunicarea şi schimbul de informaţii. Experienţa acumulată de-a lungul timpul a demonstrat că aplicarea unui set de măsuri administrativ-legislative diferenţiate pentru fiecare ţară în parte nu va genera rezultatul dorit. În același timp, sectorul privat nu este pregătit să colaboreze în domeniul schimbului de informaţii şi experienţă privind securitatea cibernetică din moment ce nu obţin beneficii de ordin economic.

Cele menţionate anterior, reprezintă un argument solid referitor la identificarea „auto-reglementării” drept cea mai aplicabilă abordare la nivel naţional. Pași siguri în această direcţie au fost făcuţi de Echipa de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD, care pe de o parte a obţinut relaţii solide cu comunităţile locale şi cele internaţionale iar pe de altă parte deţine acces la surse valoroase de informaţii ameninţătoare. În pofida realizărilor deja menţionate, succesul obiectivelor stabilite este unul incert din moment ce resursele CERT-GOV-MD sunt extrem de limitate.


1 European Union Agency for Network and Information Security, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (Heraklion: ENISA, 2015).
2 Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU, 2009).

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

303

Încă de la începutul anilor 1990, odată cu creșterea semnificativă a comunicaţiilor digitale și a Internetului, se vorbește tot mai mult de noţiuni precum realitatea virtuală, spaţiul virtual sau spaţiul cibernetic. Interacţionăm tot mai mult cu spaţiul cibernetic prin intermediul diferitelor tipuri de obiecte cu rol de interfaţă, denumite adesea terminale. Iniţial aceste terminale erau de fapt bine-cunoscutele computere, însă în ultimii ani tot mai multe obiecte personale devin terminale (interfeţe) de interacţiune cu spaţiul cibernetic, căpătând denumirea generică de obiecte „inteligente”, precum telefoanele, ceasurile sau ochelarii.

autor:
Cătălin Pătraşcu

Deși poate părea un pic exagerat, s-ar putea totuși concluziona că, pe măsură ce aceste terminale personale devin tot mai atașate de noi, ne transformăm noi înșiși în niște terminale ale spaţiului cibernetic. Subiectul este destul de controversat, aflându-se undeva la limita dintre știinţă și ficţiune, mai ales dacă amintim și de anumite teorii, precum cea promovată recent de Elon Musk – CEO și fondator al Tesla și SpaceX, conform cărora întregul Univers cunoscut de noi este de fapt o realitate virtuala simulată de un computer.

Din punct de vedere al securităţii cibernetice, managementul identităţii reprezintă o componentă vitală. Acest lucru este evident dacă ne gândim la o companie ai căror angajaţi trebuie să aibă acces la diferite sisteme și aplicaţi informatice, în funcţie de rolul și nevoile fiecăruia. Cu ajutorul sistemelor de management al identităţii se realizează autentificarea utilizatorilor, se asigură trasabilitate a acţiunilor acestora și se implementează politicile de acces.

Un aspect uneori trecut ușor cu vederea este că și sistemele de gestionare a identităţii necesită a fi securizate și acest lucru nu este ușor, datorită complexităţii și suprafeţei mari de atac a acestora, în sensul că sunt alcătuite din mai multe module, unelte de management, aplicaţii care interacţionează cu utilizatorii și mecanisme de audit. În plus, aceste sisteme reprezintă o ţintă extrem de valoroasă pentru atacatori deoarece gestionează credenţiale de autentificare (parole, certificate digitale). În concluzie, probabilitatea ca sistemele de management al identităţii să devină o ţintă a atacurilor cibernetice este destul de mare.

Între aspectele generale care fac posibilă exploatarea sistemelor de management al identităţii regăsim:

  • Complexitatea și schimbările tehnologice rapide sunt în favoarea atacatorilor;
  • Cu cât includ mai multe module/sisteme, cu atât pot prezenta mai multe vulnerabilităţi;
  • Administratorii înfruntă birocraţia aferentă managementului schimbării;
  • Companiile se grăbesc uneori să implementeze tehnologii foarte noi sau imature, acestea prezentând deseori vulnerabilităţi încă nedescoperite;
  • Multitudinea de nivele la care pot fi atacate: reţea, baze de date, mecanisme de autentificare, unelte de management, aplicaţii, agenţi de sistem și chiar la nivel de logică de funcţionare.

Unele dintre cele mai frecvente greșeli de implementare a sistemelor de management al identităţii sunt următoarele:

  • Existenţa unor conturi active ale unor foști angajaţi sau ale unor persoane care în final nu au activat în cadrul organizaţiei;
  • Prea multe conturi cu rol de administrare sau incluse în grupurile de administrare;
  • Utilizatori care au acces la resurse de care nu au nevoie sau nu mai au nevoie;
  • Existenţa unor conturi comune de administrare utilizate concomitent de mai multe persoane;
  • Permiterea accesului la sistemele și aplicaţiile critice prin intermediul unor terminale neadministrate de organizaţie.

Cu toate suspiciunile legate de afectarea intimităţii individului și vulnera- bilităţile generate de complexitatea acestora, sistemele de management al identităţii reprezintă una dintre principalele arme împotriva unor eventuale atacuri, mai ales dacă ne referim la furtul de identitate sau la atacurile iniţiate din interiorul organizaţiilor.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

EDITIE SPECIALA – INTERNET OF THINGS

1528
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1273
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2250
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1357
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1307
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1310
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...