Friday, July 19, 2019
2018

159
Giannella Borg

Autor: Giannella Borg


Utilizările inovatoare ale tehnologiei Blockchain au depășit deja domeniul criptomonedelor, ele fiind deosebit de utile pentru sporirea securității informatice. În acest articol vom arunca o privire asupra modului în care aceste efecte au influențat industria noastră și vom încerca să înțelegem modul în care putem valorifica această tehnologie în domeniul securității cibernetice.
Viitorul este acum

În 2008 am asistat la debutul Bitcoin. În urmă cu doar câţiva ani, mulţi au respins acest concept ca fiind o nebunie, ce nu va depăși grupurile mici de nișă.

Astăzi, la un deceniu de la începuturile sale umile, Bitcoin este pe cale să devină una dintre cele mai perturbatoare tehnologii ale acestei perioade, având o creștere exponenţială. Este rapid recunoscută ca o metodă de plată acceptată la nivel mondial. Utilizatorii, deţinătorii de portofele virtuale, comercianţii și investitorii continuă să sprijine și să susţină financiar criptomonedele pe când investiţiile în lansarea de criptomonede noi sunt zilnic în creștere.

Bitcoin, supranumit „aurul digital”, are la bază tehnologia de tip blockchain, și, deși această tehnologie nu are niciun supranume, totuși ea este adevăratul erou din spatele succesului criptomonedelor.

Schemă Blockchain
Schemă Blockchain

Blockchain-ul a fost iniţial conceput ca o tehnologie de bază pentru moneda digi-tală, a continuat să crească și să se dezvolte deoarece comunitatea tehnologică găsește în mod continuu metode noi și inovatoare pentru utilizarea acestuia. Poate că, dacă se va menţine această dezvoltare, ea va deveni coloana vertebrală a unui nou tip de internet, un internet care poate fi distribuit, dar nu copiat.

Blockchain-ul are multe utilizări în afara criptomonedelor iar Steve Morgan, fondatorul și redactorul șef al Cybersecurity Ventures, este de acord. „Blockchain-ul este un factor de bază pentru afaceri. Acesta va fi o sursă mare de câștig pentru multe organizaţii la nivel global. Tehnologia promite să șteargă graniţele geografice și monetare.”

Ușurinţa utilizării reprezintă unul dintre factorii care au dus la povestea de succes a blockchain-ului. Tehnologia Blockchain în sine este complicată, adevărat, la fel ca și o mașină. Cu toate acestea, nu este nevoie să știţi ce este exact sub capota mașinii ca să o conduceţi, același concept poate fi aplicat și pentru Blockchain.

Impactul Blockchain asupra Cybersecurity

Utilizările inovatoare ale tehnologiei Blockchain au depășit deja domeniul criptomonedelor, ele fiind deosebit de utile pentru sporirea securităţii informatice. În acest articol vom arunca o privire asupra modului în care aceste efecte au influenţat industria noastră și vom încerca să înţelegem modul în care putem valorifica această tehnologie în domeniul securităţii cibernetice.

Rol esențial în minimizarea distrugerii datelor

Blockchain-ul ar putea juca un rol important în garantarea disponibilităţii datelor, deoarece, spre deosebire de ce se întâmplă într-un scenariu atipic, fiecare informaţie va fi distribuită pe întregul sistem.

Prin urmare, dat fiind faptul că singură informaţie se află în mai multe locaţii, în cazul în care datele dintr-un nod sunt modificate sau șterse, fie accidental, fie intenţionat, se va declanșa un mecanism de verificare și se vor compara datele defectuoase cu pachetul de metadate. În cazul în care se constată că datele nu se potrivesc cu restul, acestea vor fi aruncate și înlocuite cu o copie validă.

Aceasta înseamnă că singura modalitate prin care datele pot fi distruse accidental sau intenţionat este ca întreg blockchain-ul să fie șters și apoi să fie șters fiecare nod separat. Dacă un singur nod rămâne în sistem, datele ar putea fi restabilite complet.

Rol critic în distribuția de tip DNS și prevenția DDoS-urilor
Exemplu atac de tip DDos
Exemplu atac de tip DDos

Atacurile de tip Distributed Denial of Service (DDoS) sunt în creștere la nivelul companiilor de mari dimensiuni. La începutul anului GitHub a fost lovit cu o viteză de 1.35Tbps, depășind recordul existent al celui mai mare atac DDoS.

Piaţa instrumentelor de diminuare a DDoS continuă să crească și se accele- rează găsirea unor tehnici inovatoare de stopare a unui atac. Cu toate acestea, după cum s-a dovedit în câteva dintre atacurile recente, DDoS nu are legătură doar cu volumul, rămîne încă un defect la nivelul Domain Name System (DNS).

Serverele DNS sunt parţial descentralizate, ceea ce înseamnă că ar putea exista mai multe servere DNS, care sunt excelente pentru redundanţă, dar nu atât pentru rezilienţă, deoarece maparea este unu la unu, ceea ce face ca sistemul DNS să fie vulnerabil în faţa atacturilor DDoS. Acest lucru permite unui atacator să copleșească un server DNS sau servere DNA cu interogări și să îl facă indisponibil fără a trebui să recurgă într-un atac la cantităţi uriașe de gigabiţi.

Utilizând blockchain, DNS-ul ar fi complet descentralizat, astfel încât fiecare DNS ar indica mai multe noduri. În acest scenariu, un atacator ar trebui să direcţioneze un atac de tip DDoS către toate nodurile din bloc, ceea ce face aproape imposibil ca un site web să fie pus offline.

De curând se observă că unele companii implementează un DNS descentra- lizat, utilizând blockchain, pentru a preveni apariţia atacurilor de tip DDoS. De exemplu, Blockstack descentralizează complet DNS-ul, în timp ce MaidSafe, o companie din Marea Britanie, oferă un internet alternativ, descentralizat.

Transparent și incoruptibil

Reţeaua blockchain trăiește într-o stare de consens, una care se verifică automat la fiecare zece minute. Un ecosistem cu auto-auditare a valorii digitale, reţeaua reconciliază fiecare tranzacţie care are loc în intervale de zece minute.

Fiecare grup de tranzacţii este denumit «bloc». Rezultă două proprietăţi importante:

  • ► Transparenţa – datele sunt încorporate în reţea ca întreg, prin definiţie fiind publice.
  • ► Nu poate fi corupt – modificarea oricărei unităţi de informaţii din blockchain ar însemna utilizarea unei cantităţi imense de putere de calcul pentru a suprascrie întreaga reţea.
Types of Dirstributed Mechanism
Consensus Mechanism

Așa cum unii dintre noi deja au experimentat direct, multe vulnerabilităţi la nivelul software-ului pot duce la probleme de securitate, cum ar fi scurgeri de date sau reţele compromise. Investigarea unor astfel de incidente uneori relevă că problema care stă la baza acestor incidente poate fi în reţeaua de logistică sau în lanţul de aprovizionare.

În timp ce blockchain-ul în sine nu poate distruge sau detecta astfel de atacuri, acesta oferă o totuși o infrastructură de transparenţă, precum și urmărirea evenimentelor, criptografierea și șansa de a îmbunătăţi senzorul de securitate și partajarea datelor – elemente care nu există în cadrul unor soluţii de securitate și al unor implementări pe reţelele întreprinderilor.

Un nou standard: securitatea implicită (Security by Design)

Deși iniţial proiectat pentru a facilita schimbul de monede virtuale, sistemul descentralizat al Blockchain-ului pare interesant și aplicabil în diferite subiecte privind securitatea informatică. Transparenţa și Keep Calm and Security By Designdistribuirea sporită oferite de tehnologia Blockchain ajută la rezolvarea multor situaţii problematice de securitate cibernetică.

De exemplu, tehnologia de tip blockchain nu oferă încă o infrastructură de încredere pentru furnizori pentru a păstra mai bine controlul asupra sistemelor și reţelelor. Aceasta nu poate fi utilizată pentru a efectua un audit cu încredere sporită și nici pentru a aborda punctele slabe din protocoalele de securitate.

Este posibil ca un motiv pentru care blockchain-ul a rezonat bine și este ales pentru a rezolva problemele din cadrul securităţii cibernetice a fost faptul că oferă un model solid, care funcţionează „sigur prin design” din cauza importanţei acordate securităţii datelor, într-o epocă în care încrederea în sisteme este extrem de importantă.

125
Bruno Napoli

Autor: Bruno Napoli

Din fericire lumea antreprenorilor poate conta pe o mulțime de experți și consultanți pentru asigurarea securității infrastructurii și a sistemelor sale împotriva unui atac cibernetic, care ar colecta, de exemplu, datele private ale clientului. Dar, o dată cu goană nebună a consumatorului individual după casa inteligentă, ar putea deveni mai ușoară colectarea datelor direct de la însuși clientul.

În următorii 5 ani consumatorii vor fi cheltui miliarde de dolari în domeniul IoT. Studiile prevăd că, până în 2022, toate gospodăriile vor avea probabil mai mult de o sută de obiecte conectate.

Producătorii și furnizorii de servicii au astfel de împărţit o plăcintă incredibilă. Credeţi-mă, industria produselor electronice de consum va deveni foarte creativă. Ca urmare a marketing-ului agresiv și al supremaţiei industriale a celor patru lideri: Google, Amazon, Facebook și Apple (pe scurt GAFA) acum oricine poate să își transforme locuinţa într-o casă inteligentă cu doar câteva sute de dolari. Acest buget este deja în descreștere de la lună la lună pe măsură ce diverse obiecte sunt produse în masă de companii precum Baidu, Alibaba, Tencent și Xiaomi (cunoscut în China ca BATX), devenind și mai ușor de distribuit.

Ești prins în joc la început de asistentul vocal care costă doar 49 de dolari și îţi poate spune cum e vremea dar poate și comanda o pizza.

Apoi, încet, încet adaugi în casă pe de o parte o cameră Wi-Fi, pe de altă parte un sistem inteligent de închidere a ușii și continui cu un bec conectat și cu o boxă wireless.
Fără să îţi dai seama și fără să cheltui o avere, casa ta a devenit una inteligentă, știe totul despre tine iar tu o poţi controla deSocial Media and OSs la distanţă. După ce ai făcut cu succes acești primi pași simpli, vei dori în mod insistent să încerci toate produsele și serviciile inteligente care există în domeniu. În doar câteva luni casa ta va avea mai multe obiecte conectate decât o companie de mici dimensiuni! Această junglă neîmblânzită de IoT folosește toate protocoalele posibile, toate porturile TCPIP și API, toate semnalele și frecvenţele radio și este conectată la Wifi-ul familiei, iar parola universal valabilă este numărul de telefon mobil al soţiei.

IoT și Casa Inteligentă sunt atât de la modă încât în următoarele luni niciun constructor sau dezvoltator imobiliar nu va mai fi credibil dacă nu va fi capabil să pună la dispoziţie o casă sau un apartament cu un logo de tipul „Ceva Inteligent, cu acces WiFi, compatibil Amazon” , nemaicontând ce înseamnă acest lucru, ce înteleg oamenii că ar fi sau ce fel de produse vor fi instalate și, cel mai important CUM vor fi instalate și întreţinute. Când vei completa un formular cu ce îţi dorești să aibă viitoarea casă, vei bifa opţiunile Google, Amazon sau Apple. Într-un final cuvântul „inteligent” nu va mai fi folosit și locuinţa va redeveni simplu doar acasă. Nu suntem aici să dezbatem dacă Smart Home este un concept bun sau rău. Acesta va ajunge în toate locuinţele așa cum a ajuns și electricitatea acum un secol. Este inevitabil și trebuie să ne obișnuim cu ideea.

Home Smart Home
Home Smart Home

Consecinţa directă a acestei transformări digitale este aceeași pentru lumea consumatorilor ca și în lumea întreprinderilor. Cu cât suntem mai conectaţi, cu atât suntem mai vulnerabili. Locuim în case care se pot întoarce literalmente împotriva noastră, fie prin programarea defectuoasă a sistemului de automatizare a locuinţei, probleme de compatibilitate între dispozitive, fie pur și simplu pentru că a fost piratată. Și apoi, odată ce casa noastră va fi transformată într-o himeră inteligentă, cele mai sumbre scenarii vor deveni realitate. Produse precum Fing sau competitori de ai săi există pentru a ajuta consumatorii să controleze și să-și protejeze reţeaua, dar, din nefericire, nu sunt încă suficient de bine dezvoltate.

Consumatorii sunt deja o țintă mult mai ușoară decât orice companie pentru colectarea datelor sau pentru a face rău altor persoane, ei reprezintă cu siguranță călcâiul lui Ahile al securității lumii cibernetice. Toate eforturile și banii investiţi în securizarea infrastructurii unei companii pentru a proteja datele clientului ar putea fi distruse peste noapte, când următorul atac cibernetic masiv se va folosi ca de un cal troian de breșa de securitate pe care o reprezintă o jucărie conectată de tip spinner în valoare de 5 dolari dorită de fiecare copil din lume. Ultimul atac masiv digital DDOS utilizând o cameră IP ne dovedește că hackerii știu cum să exploateze produsele de consum. Aceasta a fost doar încălzirea.

Consumatorii nu au o strategie reală de securitate, nu îl au pe tipul de la IT care să le spună ce să facă și n-au nici bune practici deja cunoscute. Ei doresc doar ca lucrurile să funcţioneze, să scape de parole și să se distreze. Și cum producătorii din zona de consumer doresc doar să-și vândă lucrurile și să nu creeze absolut nici un stres care ar putea opri procesul de cumpărare, ei nu vor pune accentul pe securitate și vor lăsa toate responsabilităţile pentru securitate fie pentru cel care instalează obiectele, fie pentru însuși utilizatorul final. Aș dori să subliniez aici faptul că multe obiecte IoT vor fi folosite în domeniul sănătaţii, ajutând oamenii să stea acasă în loc să meargă la spital. În acest caz, nivelul de securitate al reţelei de acasă ar trebui să fie critic. Cine îi va ajuta?

How Smart Homes Get Hacked
How Smart Homes Get Hacked

Ca expert în domeniul Smart Home de 25 de ani, am văzut cum această industrie a apărut și a devenit în întregime dependentă de infrastructura reţelei locale și de Internet. De asemenea, am văzut instalatori profesioniști în domeniul automatizării locuinţei care se ocupă de gestionarea și securizarea unei reţele deoarece aceasta nu este o abilitate care se poate obţine vizionând un tutorial pe YouTube în timpul unei pauze de prânz.

Urmăriţi ultimul podcast înregistrat pe 11 iulie 2018 de AV Nation TV (https://avnation.tv/podcast/resiweek- 127-cyber-security-rmr/) , unul dintre cei mai importanţi producători profesioniști de podcasturi pentru utilizatorii de produse electronice. Vă puteţi imagina că primele 10 minute ale podcast-ului sunt utilizate pentru a discuta despre „Schimbarea parolei implicite”?

În ziua de azi, instalatorii profesioniști de soluţii de automatizare a locuinţei sunt foștii tipi care instalau sisteme audio / video și de home cinema, instalatori de sisteme de tip CCTV /alarme sau electricieni, deci sunt departe de avea abilităţi tehnice de reţea. Și chiar dacă ar dori să colaboreze cu o companie locală de IT pentru a crea și menţine reţeaua clienţilor, preţurile sunt de obicei prea mari pentru piaţa rezidenţială, deoarece sunt adaptate nevoilor unei companii. Pe scurt, lumea companiilor a construit ziduri de protecţie doar pentru o jumătate din castel.

Dystopian Technology
Dystopian Technology

Trecând peste furtul de date personale, hacking-ul unei case inteligente poate fi de-a dreptul mortal. Să încercăm să enumerăm riscurile introduse de o Smart Home, dacă cineva o piratează. Reţineţi că această listă se referă doar la dispozitivele inteligente de astăzi. Dar încercaţi să vă imaginaţi natura exponenţială a acestui concept, ce se va întâmpla în câteva luni… câţiva ani… cine știe ce alte dispozitive inteligente incredibile vor fi create.

  • ► Piratarea setărilor sistemului de încălzire, ventilaţie și aer condiţionat astfel încât să aibă posibilitatea de autodistrugere;
  • ► Piratarea setărilor sistemului de irigare a grădinii cu posibilitatea de a suferi distrugeri din cauza apei;
  • ► Dezactivarea sau schimbarea setărilor detectoarelor inteligente (alarma, fum, inundaţie);
  • ► Deblocarea tuturor ușilor, dezactivarea alarmei și închiderea sistemului CCTV;
  • ► Se poate comanda căzii de baie să inunde casa în timp ce proprietarul este în vacanţă;
  • ► Se poate dezactiva sistemul de securitate al boiler- ului astfel încât apa să fie fiartă până când boiler-ul explodează;
  • ► Pornirea tuturor aparatelor casnice de încălzire a casei în timpul unei veri călduroase, inclusiv a șemineului pe bază de etanol și închiderea întregului sistem de ventilaţie;
  • ► Odată ce poate fi accesată reţeaua locală, este posibil să fie înlocuit firm- ware-ul oricărui dispozitiv cu unul personalizat, ceea ce poate duce la controlul complet al acelui dispozitiv și dezactivarea sistemului intern de protecţie.

Există o mare provocare pentru industria de securitate cibernetică profesională din lumea companiilor pentru a ajuta consumatorii. Și acolo unde există provocări, există multe oportunităţi de afaceri de a inova la nivelul produselor și serviciilor. Este o chestiune de echilibru și de bun simţ, atât întreprinderile, cât și consumatorii ar trebui să aibă același nivel de securitate. Se poate începe prin crearea de lucrări și studii cu bune practici, crearea de certificări și mărci de calitate pentru instalatorii profesioniști din domeniu și, probabil, cea mai mare oportunitate a tuturor ar fi înfiinţarea de companii IT dedicate consumatorilor cu scopul de a crea, asigura, gestiona și menţine reţelele „smart” ale acestora.

Practic un om obișnuit care dorește să își instaleze singur sistemul de Smart Home va trebui să îl și întreţină, exact la fel cum face un director IT într-o mica firmă, respectiv trebuie să:

  • ► verifice și actualizeze constant firmware-ul / sistemul de operare al sistemului de automatizare de acasă, al tuturor aplicaţiilor mobile și al obiectelor conectate;
  • ► testeze toate caracteristicile noi, precum și să se asigure că toate aceste dispozitive frumoase continuă să funcţioneze bine după ce au fost actualizate.
  • ► auditeze și protejeze reţeaua locală și să modifice periodic parolele atât ale conexiunii Wi-Fi cât și ale aplicaţiilor și serviciilor.
  • ► și, în final, din moment ce durata de viaţă a unei case ar trebui să fie de câteva decenii, în orice caz mult mai lungă decât cea obișnuită a produselor tehnologice, va fi necesar să se asigure că toate componentele instalate sunt întotdeauna actualizate și menţinute de producători. Apropo, ce ar trebui să facă un om obișnuit atunci când va descoperi că un produs IoT nu mai există în oferta producătorului, ceea ce înseamnă că, chiar dacă într-o zi se va descoperi o breșă de securitate pe acest dispozitiv, nu va mai exista nicio actualizare. Va trebui oare să schimbăm componentele IoT la fiecare 4 sau 5 ani pentru a beneficia de noi caracteristici și protecţii în domeniul securităţii cibernetice? După cum puteţi vedea, există o mulţime de provocări pentru un utilizator final care ar dori de fapt doar să se uite la „Urzeala Tronurilor”!

Nu sunt un expert în Cyber Security și sunt sigur că cititorii au o idee despre ce să facă pentru a securiza o casă inteligentă și pentru a propune un serviciu pentru lumea consumatorilor obișnuiţi. Reţineţi că este vorba însa de mediul rezidenţial, astfel că produsul / serviciul ar trebui să fie disponibil non-stop și foarte prietenos.

Provocarea pentru instalatorii profesioniști din domeniul automatizării locuinţei va fi mai mult sau mai puţin aceeași cu cea a unui utilizator final cu mai multe responsabilităţi.

  • ► În primul rând, ca profesioniști, ei au datoria legală de a informa în mod clar utilizatorii finali cu privire la problemele descrise mai sus în ceea ce privește monitorizarea, actualizarea, modernizarea și întreţinerea unei case conectate.
  • ► În același timp, instalatorii profesioniști trebuie să aibă contracte prin care oferă toate aceste servicii. Astăzi, 99,99% din profesioniștii AV și Home Automation din lume nu propun niciun contract de service sau întreţinere utilizatorilor finali. Ei fac treaba, instalează o reţea locală și pleacă (atâta timp cât funcţionează…).
  • ► Deoarece vorbim de siguranţa oamenilor, este foarte probabil ca aceștia să aibă nevoie de noi certificări profesionale și de asigurare.
  • ► Provocarea finală este că vor avea nevoie de resurse umane pentru a executa aceste contracte de service și întreţinere. Nu există nici o îndoială că aceste contracte vor crea milioane de ore de lucru care vor deschide ochii unor antreprenori capabili să profite de oportunitatea de a crea companii dedicate acestor servicii.

La nivelul dezvoltatorilor imobiliari va trebui înfiinţat un departament «Smart Home», acesta va trebui la rândul lui să aibă persoane competente pentru a alege produse care să poată fi integrate la scară foarte largă, precum și pentru a negocia parteneriate avantajoase și acorduri cu companiile de service pentru a menţine o colaborare bună între GAFA, partenerii industriali și administraţia locală. Se cere cam mult unui constructor care, de obicei, nu pune piciorul într-un șantier de construcţii decât după finalizare.

Ultima provocare va fi pentru asiguratorii de locuinţe, care cu siguranţă nu ne vor permite să ne transformăm casele în niște himere inteligente fără să își expună poziţia. Acum suntem capabili să controlam de la distanţă deschiderea tuturor ușilor și ferestrelor, totodată controlăm de la distanţă însă și dizpozitive care pot provoca daune grave, cum ar fi boilerele pe gaz, șeminele cu bioetanol, robinetul cu apă automată… Cum și detectoarele inteligente de fum, cele de scurgeri de apă dar și sistemele de alarmă sunt toate conectate în reţeaua noastră locală, și ele pot fi piratate și transformate în boţi. Mai jos sunt câteva provocări la care companiile de asigurări trebuie să răspundă cu privire la o locuinţă inteligentă în contextul întrebărilor pe care un asigurat le-ar putea pune:

  • ► Vreau să știu care sunt recomandările dvs. și ce exemple de bune practici aveţi, astfel încât să nu-mi poţi spune în viitor că nu îmi vei plăti asigurarea pentru că locuinţa mea inteligentă nu a fost suficient de securizată și pentru că nu am urmat cele mai bune practici utilizate în industrie sau pentru că sistemul nu a fost instalat și / sau nu a fost întreţinut de un specialist calificat.
  • ► Apropo, despre ce industrie, specialist, calificări și bune practici vorbim? Este vorba despre un specialist IT? Un electrician?
  • ► Veţi semna un document pentru a confirma faptul că politica mea de asigurare actuală va avea acoperirea obișnuită, indiferent de modificările din locuinţă?
  • ► Veţi stabili, la un moment dat, anumite limite cu privire la ceea ce putem face într-o locuinţă inteligentă?
  • ► Cât de complexă ar trebui să fie parola mea pentru Wi-Fi, pe toate dispozitivele mele inteligente și de câte ori ar trebui să o schimb pe an?
  • ► Pot să utilizez în continuare dispozitive conectate care nu mai există la producător, ceea ce înseamnă că, chiar dacă au descoperit o breșă majoră de securitate, nu va exista niciodată o actualizare a firmware-ului?
  • ► Îmi puteţi da o listă de dispozitive conectate interzise pe care nu le pot folosi în casa mea pentru că sunt prea vulnerabile?
  • ► Dacă există disponibilă o nouă actualizare a firmware- ului pentru rezolvarea unei probleme importantă de secu- ritate a căzii mele sau a termostatului inteligent al boiler-u- lui, cât de repede trebuie să-l realizez actualizarea? Și dacă problema apare înainte de actualizare, mai sunt asigurat?
  • ► Ce se întâmplă dacă există o breșă de securitate la nivelul instalatorului profesionist? Acesta are toate infor- maţiile mele, datele de conectare și parolele. Asigurarea lui îl acoperă pentru asta?

Pentru moment, niciuna dintre companiile de asigurări existente nu este gata să răspundă la aceste întrebări.

Insurer - Smart Home Solution
Insurer – Smart Home Solution

De fapt, așa cum automobilele autonome vor avea nevoie de un tip complet nou de poliţe de asigurare concepute în colaborare cu industria auto, o casă inteligentă – va avea nevoie, de asemenea, de un tip complet nou de poliţă de asigurare. Asiguraţi-vă că într-o zi asigurătorii de locuinţe vor cere industriei AV și Smart Home să proiecteze anumite certificări Smart Home și contracte de întreţinere pentru a evita sau a reduce la minimum toate riscurile, deoarece în cele din urmă companiile de asigurări vor fi cele care vor plăti atunci când există daune.

În concluzie, sunt multe de discutat și o mulţime de oportunităţi. Ţineţi-mă la curent cu părerile dvs cu privire la acest articol. Pentru a afla mai multe despre industria Smart Home mă găsiţi pe Medium, LinkedIn & Twitter.

288
Ioan-Cosmin MIHAI - Vicepresedinte ARASEC

Autor: Ioan-Cosmin MIHAI, Vicepreședinte ARASEC

Logo ARASEC

 

Numeroasele incidente de securitate cibernetică și evoluţia atacurilor informatice din ultima vreme au determinat necesitatea adoptării la nivel internaţional a unor politici și strategii în domeniul securităţii cibernetice. Aceste strategii subliniază necesitatea dezvoltării unor capabilităţi proprii fiecărei ţări pentru contracararea atacurilor cibernetice și stabilesc cadrul general de acţiune și cooperare pentru limitarea efectelor acestora. Este foarte importantă implementarea unor măsuri de securitate pentru protecţia infrastructurilor cibernetice, în special pentru cele ce susţin infrastructurile critice naţionale.

Cadrul național în domeniul securității cibernetice

România se află într-un proces continuu de consolidare a securităţii cibernetice la nivel naţional, atât din punct de vedere legal, instituţional, cât și procedural, fiind întreprinse, în acest sens, eforturi susţinute de către autorităţile cu responsabilităţi în domeniu.

Strategia de securitate cibernetică a României

România a adoptat Strategia de securitate cibernetică în anul 2013, având o Principalele obiective stabilite de Strategia de securitate cibernetică a României sunt:

  • ► adaptarea cadrului normativ la noile ameninţări prezente în spaţiul cibernetic;
  • ► fundamentarea și aplicarea cerinţelor minime de securitate pentru protejarea infrastructurilor cibernetice naţionale;
  • ► asigurarea rezilienţei infrastructurilor cibernetice;
  • ► realizarea campaniilor de informare și conștientizare a populaţiei privind ameninţările și riscurile prezente în spaţiul cibernetic;
  • ► dezvoltarea cooperării dintre sectorul public și privat la nivel naţional și internaţional.

Strategia de securitate cibernetică a României urmărește asigurarea securităţii cibernetice la nivel naţional, cu respectarea Strategiei naţionale de apărare și Strategiei naţionale de protecţie a infrastructurilor critice.

Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice

Ministerul Comunicaţiilor și Societăţii Informaţionale a lansat în dezbatere publică, în data de 3 octombrie 2017, Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice. Acest proiect de act propune adoptarea unui set de norme menite să instituie un cadru naţional unitar de asigurare a securităţii cibernetice și a răspunsului la incidentele de securitate survenite la nivelul reţelelor și sistemelor informatice ale operatorilor de servicii esenţiale și ale furnizorilor de servicii digitale în conformitate cu cerinţele Directivei NIS.

Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice reglementează:

  • ► cadrul de cooperare la nivel naţional și de participare la nivel european și internaţional în domeniul asigurării securităţii reţelelor și sistemelor informatice;
  • ► autorităţile și entităţile de drept public și privat care deţin competenţe și responsabilităţi în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel naţional și a echipei naţionale de răspuns la incidente de securitate cibernetică;
  • ► cerinţele de securitate și de notificare pentru operatorii de servicii esenţiale și furnizorii de servicii digitale precum și instituirea mecanismelor de actualizare a acestora în funcţie de evoluţia ameninţărilor la adresa securităţii reţelelor și sistemelor informatice.

Pentru definirea domeniului de aplicare, proiectul reglementează operatorii de servicii esenţiale și definirea acestor servicii esenţiale. Sectoarele vizate pentru iden- tificarea serviciilor esenţiale și a operatorilor de servicii esenţiale cuprind: energia, transporturile, sectorul bancar, infrastructurile pieţei financiare, sectorul sănătăţii, furnizarea și distribuirea de apă potabilă, infrastructura digitală. Proiectul propune alcătuirea unui Registru al operatorilor de servicii esenţiale, care să fie actualizat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică la cel puţin doi ani.

Proiectul de Lege privind securitatea și apărarea cibernetică a României

Ministerul Apărării Naţionale a lansat în dezbatere publică, în data de 24 mai 2018, Proiectul de Lege privind securitatea și apărarea cibernetică a României. Proiectul de Lege stabilește cadrul juridic și instituţional privind organizarea și desfășurarea activităţilor din domeniile securitate cibernetică și apărare cibernetică a României.

Obiectivele Proiectului de Lege privind securitatea și apărarea cibernetică a României sunt:
Studii de Strategie și politici

  • ► acoperirea nevoilor de securitate și apărare cibernetică prin asigurarea rezilienţei și protecţiei infrastructurilor cibernetice care susţin funcţiile de securitate, apărare și guvernare ale statului;
  • ► amenţinerea sau restabilirea climatului de securitate cibernetică la nivel naţional prin co- operarea între autorităţile competente în vederea asigurării unei reacţii rapide și eficiente;
  • ► crearea și dezvoltarea unei culturi de securitate cibernetică în cadrul ad- ministraţiei publice, prin conștientizarea amenin- ţărilor și riscurilor și for- marea unei conduite preventive adecvate.

Contribuția României în domeniul securității cibernetice

România este implicată activ în numeroase proiecte și iniţiative, atât la nivel european cât și internaţional, pentru consolidarea securităţii cibernetice. Astfel, România este:

  • Stat-lider la Fondul de Sprijin (Trust Fund) pentru dezvoltarea capacităţii de apărare cibernetică a Ucrainei;
  • Driver prin Poliţia Română pentru prioritatea „Payment card fraud” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii;
  • Co-driver prin Poliţia Română pentru prioritatea „Attacks against information systems” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii;
  • Coordonator prin Centrul Naţional Cyberint al pachetului de lucru WP3 – Infrastructura pentru colectarea și corelarea datelor de la senzori multipli distribuiţi, în cadrul proiectului Multinational Cyber Defence Capability Development, realizat de Agenţia NATO pentru Comunicaţii și Informaţii;
  • Membru activ în cadrul Informal Working Group de la OSCE (Organization for Security and Cooperation in Europe) pentru promovarea măsurilor de creștere a încrederii în securitatea cibernetică – CBMs (Confidence Building Measures in Cyberspace);
  • Membru fondator prin Ministerul Afacerilor Externe, CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică) și Centrul Naţional Cyberint al Forumului Global de Expertiză Cibernetică – GFCE (Global Forum on Cyber Expertise). În cadrul acestui forum, CERT-RO reprezintă un exemplu de bune practici privind divulgarea coordonată a vulnerabilităţilor;
  • Partener asociat prin Poliţia Română și Bitdefender în proiectul NoMoreRansom, organizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii, ce contribuie cu instrumente de decriptare pentru infecţiile cu ransomware;
  • ► Membru în reţeaua 2Centre prin Centrul Român de Excelenţă pentru Cybercrime (CYBEREX), realizat de Poliţia Română în parteneriat cu Academia de Poliţie „A.I. Cuza” și CERT-RO.

Aceste activităţi atestă faptul că România poate fi juca un rol important la nivel european și mondial pentru asigurarea securităţii spaţiului cibernetic și combaterea fenomenului de criminalitate informatică.

Concluzii

Reglementările legislative existente în prezent, precum și gradul de operaţionalizare al acestora la nivelul instituţiilor publice din România nu permit prevenirea și contracararea cu maximă eficienţă a unor ameninţări cibernetice de nivel ridicat. Din acest motiv, consolidarea cadrului legislativ în domeniul securităţii cibernetice trebuie să constituie o prioritate naţională, pentru a fi asigurate condiţii optime de reacţie rapidă la incidentele cibernetice.

În contextul general al discuţiilor privind securitatea cibernetică, la nivel naţional este importantă separarea conceptuală a direcţiilor principale de acţiune: apărare cibernetică, criminalitate informatică, securitate naţională, infrastructuri critice și situaţii de urgenţă, diplomaţie cibernetică internaţională și guvernanţa Internetului. Separarea nu reprezintă situaţia ideală, dar este o realitate, datorită complexităţii și diversităţii securităţii cibernetice în ansamblu. Este nevoie să se stabilească foarte clar rolurile și responsabilităţile fiecărei instituţii naţionale responsabile în parte.

România va asuma în 2019, pentru o perioadă de șase luni, Președinţia Consiliului Uniunii Europene, ceea ce presupune consolidarea unei viziuni naţionale cu privire la viitorul Uniunii Europene. Piaţa Internă Digitală, cu importanta dimensiune a securităţii cibernetice, va reprezenta o prioritate a viitoarei Președinţii a României la Consiliul Uniunii Europene. Astfel, consolidarea cadrului legislativ în domeniul securităţii cibernetice constituie o prioritate naţională, pentru a putea fi asigurate condiţiile optime de reacţie rapidă la incidentele cibernetice.

Concluzionând, adoptarea unei legislaţii comprehensive și actualizate în domeniul securităţii cibernetice, care să sprijine dezvoltarea capacităţilor de apărare ale statului, reprezintă o prioritate naţională. Asigurarea unui spaţiu cibernetic sigur și securizat este responsabilitatea atât a statului, cât și a autorităţilor competente, a sectorului privat și a societăţii civile.


*** Acest articol conţine o sinteză a studiului „Provocări actuale în domeniul securităţii cibernetice – impact și contribuţia României în domeniu”, elaborat de Ioan-Cosmin MIHAI, Costel CIUCHI și Gabriel-Marius PETRICĂ, sub egida Institutului European din România (IER), în cadrul proiectului de studii de strategie și politici SPOS 2017. Acest studiu este disponibil pe site-ul IER.

196
Laurent Chrzanovski

Autor: Laurent Chrzanovski

Preambul

Pentru evoluţia digitală, 2018 este un an deosebit de important în care, din păcate, în aproape toate ţările din Sudul Europei, din Portugalia până în România, nu se mai vorbește deloc despre pericole. Pe de o parte, suntem intoxicaţi zilnic de către mass-media generaliste cu așa-zisa „dezinformare”, un fenomen care are loc, în toate media, de la începutul presei democratice la sfârșitul secolul al XIX-lea, dar care prin prisma marilor vedete ale media românești se limitează la informaţie manipulată, deformată sau chiar inventată, pe scurt fake news.

Nu se vorbește despre datele falsificate, care sunt majoritatea covârșitoare a acestui fenomen și partea într-adevăr nouă a lui, ţinta lor fiind să schimbe cursul unei acţiuni pe piaţa bursieră, să intoxice algoritmi ai mașinilor și software-ul din generaţia „Machine Learning” sau „Artificial Intelligence” și care, prin masa lor impresionantă, fac aproape imposibilă contracararea cantitativă cu date reale.

CYBERSECURITY-ROMANIA-CONGRESS-
CYBERSECURITY-ROMANIA-CONGRESS- 2018

Pe de altă parte, mai sunt numai între 12 și 16 luni, în funcţie de fiecare Stat, până la implementarea reţelei 5G, care va aduce o metamorfoză totală și completă a mijloacelor umane și tehnologice folosite în cadrul securităţii digitale. Deja acum cantitatea de informaţii accesate prin smartphone depășește de departe canti-tatea celor preluate prin laptop, iar multiplicarea de 30 de ori a vitezei de recepţie/transmisie date (trecerea de la 4G la 5G) precum și uniunea celor mai slabe verigi de securitate (omul și smartphone, prin intermediul căruia se vor accesa în 2020 peste 80% din date) vor crea un cocktail exploziv pentru cei însărcinaţi cu apărarea fie a unei firmei, fie a unei infrastructuri sau a unui Stat.

Ori, spre deosebire totală de ţări cu ecosisteme private mult mai mature în domeniul securităţii, cum ar fi Elveţia, Anglia sau SUA, nemaivorbind de Rusia, China sau Israel, în zona geografică menţionată trăiesc regește pasivitatea firmelor cu beneficii mari, neimplicarea producătorilor de securitate în evenimente non-profit – sau unde marketing-ul „hard style” nu este permis –, precum și discursurile guvernamentale care rămân vorbe fără fapte.

Acest cumul de reacţii în sectoare atât de diferite dar și complementare a fost creat de trei elemente distinse: cele două valuri de malware (Wannacry și Non-Petya sau Goldeneye), intrarea in vigoare a GDPR și amalgamarea (cu încrederea/neîncrederea) între Statul ales și Instituţii stabile ale Statului care apară naţiunea și cetăţenii lor, mai ales în domeniul cyber. România nu este deloc o excepţie în peisajul european, dar poate că este un exemplu unde daunele acestor trei elemente fac cele mai multe ravagii.

Valurile de malware au determinat patronatul să spună că dacă până și multinaţionalele care au investit miliarde în securitate au fost lovite, atunci oricât pot ei să investească, tot nu vor fi protejaţi. GDPR, foarte prost explicat și interpretat, a antrenat costuri enorme în resetarea sistemului de securizare a datelor fără repunerea pe masă a întregului ecosistem de securitate a firmelor și, mai mult, a dus la angajarea a mii de specialiști în redactarea unei birocraţii kafkiene de „compliance”, cerută de Statele Membre UE și care au fost puși, în mod greșit, în aceeași categorie, a „securităţii”, în bugetul firmelor. Chiar de la patru CEO de firme cu cifre de afaceri de peste o sută de milioane de Euro pe an, dintr-o ţară membră a G7, am auzit „să nu mai auzim de investiţii în securitate în următorii doi-trei ani pentru ca întâi trebuie să amortizăm costurile și cheltuielile susţinute «din vina» GDPR”.

În sfârșit, neîncrederea în clasa politică, în majoritatea covârșitoare a Statelor Membre UE, are un impact devastator care se traduce în neîncredere în orice entitate statală, presupusă din start ca fiind o emanaţie sau o slugă a puterii alese.

În acest context, în perioada 13-14 septembrie 2018, s-a desfășurat la Sibiu a 6-a ediție a «Cybersecurity-Romania», o platformă de dialog public-privat, neutră și non-profit sprijinită și pregătită de către Swiss Webacademy (o organizație non-guvernamentală) împreună cu Uniunea Internațională a Telecomunicațiilor (ITU – ONU/Geneva) și sub înaltul patronaj al Ambasadei Elveției în România.

În seara zilei de miercuri, 12 septembrie, a avut loc tradiţionalul „Welcome dinner” oferit de către Poliţia de Stat din Geneva în onoarea Ambasadorului Elveţiei în România, E.S. Urs Herren, punctul de pornire al elementului de bază a congresului sibian, adică networking-ul și interacţiunea dintre participanţi din ţări, domenii și sectoare foarte diferite.

De ce am îndrăznit să scriem „fără precedent” pentru a califica cele două zile de congres în comparaţie cu toate evenimente care au loc în România pe tematica „cyber”? Desigur nu dintr-un orgoliu deplasat, nici pentru a dispreţui ceea ce fac companiile private sau Statul în București dar și la Timișoara, Cluj-Napoca sau Iași, ci pentru a marca o diferenţă majoră: crearea unui moment de dialog și de interacţiune de 48 de ore în cadrul unui congres și încă mai mult în cadrul momentelor informale unde atmosfera și calitatea ei, dacă este reușită, întărește aceste relaţii.

Congresul a fost organizat dintr-un motiv simplu: această ediţie a fost croită pentru două sectoare absolut vitale pentru buna funcţionare a întregii ţări și unde securitatea este întotdeauna la ordinea de zi: transporturile și infrastructurile critice.

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Prezenţa a înalți reprezentanți ai Instituțiilor naționale din domeniul cybersecurity – cu echipele lor – a fost prima cheie a unui dialog permanent de două zile, și este datoria noastră să le mulţumim următoarelor instituţii și persoane pentru disponibilitatea și încrederea acordată din start acestei noi variante a congresului nostru: Centrul Naţional Cyberint, reprezentat de Directorul General Anton Rog;
Serviciul de Telecomunicaţii Speciale, reprezentat de Directorul General, General-locotenent ing. Ionel Sorinel Vasilca și de General de brigadă Ionel-Sorin Bălan, Prim adjunct al Directorului; DCCO, reprezentat de Cătălin Zetu, Împuternicit Șef a Biroului de Atacuri Informatice; CERT-RO, reprezentat de Directorul General Cătălin Arama și de Director adjunct Iulian Alecu; ANCOM, reprezentat de Directorul IT Virgilius Stanciulescu.

Datorită acestor personalităţi, care au făcut drumul până la Sibiu împreună cu mulţi specialiști din subordinea lor, dialogul cu participanţii a fost permanent, constant, uman și personalizat. Acest dialog a fost vital într-un moment extrem de confuz pentru sectorul privat, fiindcă pe de o parte legea care va defini competenţele, limitele și obligaţiile fiecărei Instituţii a Statului în domeniul cybersecurity încă zace neadoptată după ani de zile de dezbateri sterile și patru variante diferite – începând cu faimoasa lege stufoasă și neconstituţională denumită „Big Brother” – și fiindcă, pe de altă parte, ceea ce este mult mai grav, Curtea Constituţională a declarat neconstituţională varianta de lege propusă pentru adaptarea corpusului legislativ român în vigoare la normativa obligatorie a UE zisă «NIS» (Directive on security of network and information systems), plasând România, la momentul de faţă, printre cele 18 state ale U.E. ale căror aparat juridic și parlamentar este incapabil să transforme o directivă „crystal clear” într-o lege naţională simplă și clară.

În ceea ce îi privește pe participanţii la Congres, mulţi reprezentanţi ai industriei locale au venit cu mare interes, atrași de faptul deja cunoscut de ei că evenimentul reprezintă un „cuib pentru a dialoga în liniște cu actori majori ai Instituţiilor centrale”, dar și de prezenţa a unor invitaţi VIP din nouă ţări, precum și de prezenţa a aproape tuturor actorilor majori din domeniile de transporturi și energie.

Ca reprezentanţi ai domeniului Transporturi, au venit personalităţii decizionale și specialiști IT din Tarom, Aeroporturi București, Aeroportul Sibiu, Romatsa, dar și CFR sau Metrorex, care au dialogat cu Consilierul pentru IT al Ministrului competent, cu reprezentanţii Autorităţii Naţionale Aeronautice Civile, cu cei mai înalţi specialiști ai Inspectoratului General pentru Situaţii de Urgenţă și ai Autorităţii Naţionale competente în materia de drumuri și vehicule. Din domeniul Energiei, pur și simplu nu a lipsit nicio companie care se ocupă cu producţia sau transportul gazelor și a electricităţii.

Toţi acești actori nu doar că au schimbat puncte de vedere, într-o dezbaterea de tip «Davos» dar, ceea ce este mai important, ei au participat la un War-Game denumit «Scenario», creat special pentru transporturile la cerere ale IATA (International Air Transport Association), precum și la un War-Game despre infrastructuri critice care se ţine în Israel pentru celula cyber a prim-ministrului.

Ambele War-Games au fost inventate de către Dotan Sagi, fost director al El Al Security Academy și fondator al companiei BeST, care a fost prezent în premieră în România pentru îndrumarea participanţilor. În cadrul acestor exerciţii în timp real cu ecrane care proiectează incidente cu caractere multiple, fiecare participant poate să joace rolul pe care și-l dorește: CEO, CIO, CISO, CSO, etc.

Dotan Sagi - Founder of BeST
Dotan Sagi – Founder of BeST

Deosebirea faţă de un exerciţiu făcut în interiorul unei firmei este majoră: trebuie ca fiecare să comunice cu toţi ceilalţi actori, privaţi sau statali, și să se pună capătul unei crize cu consecinţe extraordinar de grave și repercusiuni internaţionale în mai puţin de 90 de minute. Scopul? Cum rezistă și cum interacţionează umanul și care este cultura de criză și de securitate. La fel de importantă este încredere în proprii colegi, care este perfect invizibilă în simulările conduse în interiorul companiei și îndrumate de către șefii direcţi. Iar când vine vorba de a interacţiona, atunci reiese la iveală ranchiuna, ura, neîncrederea, superioritatea unui departament faţă de celălalt, exact când toate autorităţile așteaptă un răspuns clar despre ce se întâmplă pentru a putea, la rândul lor, comunica cu omologii lor din alte state.

„Cireșele de pe tort”, care au suscitat interes și chiar admiraţie din partea participanţilor cu funcţii decizionale, au fost două dezbaterii unice de tip Davos. Prima a avut tema „SUA, Elveţia, România: cine se ocupă de ce și cum colaborează cu celelalte instituţii ale statului și cu sectorul privat”, un dialog de peste o oră cu Special Agent Peter Traven, Assistant Legal Attaché ale Ambasadei SUA în România, Col. (= Gen.) Marc-André Ryter de la Statul Major ale Armatei Elveţiene, Căpitanul Patrick Ghion, Șeful secţiunii de Forensics al Poliţiei de Stat din Geneva și Anton Rog, Directorul General al Centrul National Cyberint (SRI).

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Astfel, în ciuda diferenţelor dintre statele federale (SUA și Elveţia) și un stat centralizat (România) și fără a devoala conţinutul dialogului precum și faptul ca nicio întrebare nu a rămas fără răspuns, putem să spunem în rezumat că peste tot marea miză este încrederea între oameni și participarea colectivă la efortul de securitate. Ori încrederea este deja o problemă în interiorul unui aparat de stat, oricare este el, iar participarea colectivă, în afara de câteva exemple pilot derulate în Elveţia sau în unele, rare, state din SUA precum New Jersey, face faţă unui val de egoism din partea actorilor mari din sectorul privat – și uneori și din partea statul – când vine vorba de schimbul de informaţii asupra vulnerabilităţilor.

Al doilea «Davos» major, despre riscuri prezente și viitoare ale Inteligentei Artificiale, a fost lansat și moderat de către Col. (= Gen.) Marc-André Ryter , în prezenţa lui Nicola Sotira , CISO al grupului Poste Italiane și a lui Battista Cagnoni , specialist în Machine Learning & AI for security.

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Aici problematicile puse în evidenţă au fost două: «Inteligenţa» artificială de acum, adică accepţiunea anglo-saxonă a cuvântului, care înseamnă «culegere și triere de informaţii», este deja mult mai folosită și în mod mult mai avansat de către grupări criminale decât de către state sau companii pentru apărarea lor. În ceea ce privește inteligenţa artificială de mâine, cea care corespunde sensului cuvântului în limbile latine și a cărui prime produse sunt vehicule fără pilot, ea ridică o provocare imensă prin vulnerabilităţile sale potenţiale și eventuala sfidare a legii robotici unde mașina trebuie să fie stăpânită și să obădeze omului.

Mai mult ca oricând, succesele sau eșecurile ecosistemelor noastre se vor baza pe mărirea accelerată a gradului de cultură digitală și mai ales pe întâlniri și încredere interpersonală fie la stat, fie la privat, și încă mai important, între stat și privat. Toate acestea s-au întâmplat la Sibiu non- stop, pe toata durata evenimentului. În acest context, cu peste 160 de participanţi, a 6-a ediţie a „Cybersecurity-Romania”, conform feedback-ului primit de la cei mai înalţi reprezentanţi ai sectoarele public și privat, a avut un impact neașteptat de pozitiv, cu un rol și consecinţe pe termen lung pentru ecosistemul românesc.

211
Virgilius Stănciulescu

Logo Ancom

 

Autor: Virgilius Stanciulescu
Director IT, ANCOM

În ultimii ani, breșele de securitate în diferite sectoare au dovedit necesitatea unei capacități mai bune de răspuns la incidente (IR) pentru a detecta, a restrânge și a remedia amenințările. Aceste breșe sunt dovezi că prevenirea nu mai este o abordare suficientă. Cu toate acestea, multe organizații nu au o capacitate IR matură și odată ce incidentul este remediat, organizațiile încă se întreabă cum să se asigure în mod eficient.

Prevenirea rămâne o componentă critică a unui program de securitate eficient și organizaţiile investesc din ce în ce mai mult în capacităţile de detectare și reacţie nativă, încercând să construiască Centrele de Operațiuni de Securitate (COS).

O nouă abordare este aceea că oamenii, procesele și tehnologiile care sunt coloana vertebrală a COS trebuie să fie integrate într-un singur centru multistrat Cyber (CMC) care combină funcţiile:

  • ► de operaţiuni de securitate
  • ► Threat Intelligence (CTI),
  • ► Teaming,
  • ► suprafeţei atacurilor (ASR)

Centrul multistratificat/multifuncțional Cyber

  • ► o abordare cuprinzătoare și integrată a securităţii.
  • ► CMC este de a proteja afacerea: bunurile sale, oamenii, clienţii și reputaţia.
  • ► asigură că toate eforturile de securitate sunt coordonate eficient, prin valorificarea beneficiilor proximităţii (fizice sau logice) și comunicării ușoare între echipele de securitate.
  • ► conceput pentru a integra funcţiile cheie de securitate într-o singură unitate.

Componentele, scurtă descriere

  1. Centrul de Operațiuni de Securitate (COS): inima CMC și prima linie a apărării unei organizaţii responsabile de detectarea, reacţia și remedierea ameninţărilor, precum și identificarea proactivă a activităţii rău intenţionate. În COS se află, de asemenea, cadrul pentru operaţiunile de apărare împotriva ameninţărilor, care este braţul înarmat cu arme cyber operaţionale și operative pentru operaţiunile de securitate și de intelligence, ajungând până la efectuarea unei analize detaliate a malware- ului și construirea și îmbunătăţirea continuă a metodelor de prevenire și detectare.
  2. Intelligence privitor la ameninţările cyber: primii „observatori” responsabili pentru identificarea ameninţărilor la adresa organizaţiei și pentru difuzarea rapoartelor la timp, relevante și acţionabile către COS, CxO și a altor părţi interesate.
  3. Echipa Roșie: „atacatorii” care simulează tacticile, tehnicile și procedu- rile (TTP) specifice ameninţărilor relevante pentru organizaţie. Echipa Roșie va efectua teste continue, determinând îmbunătăţiri în detecţie, răspuns și în înţelegerea cu privire la ameninţări ale analistului COS.
  4. Reducerea suprafeței de atac (RSA): grupul proactiv de apărare responsabil pentru identificarea și atenuarea/mitigarea vulnerabilităţilor, iden- tificarea bunurilor critice/ necritice și a serviciilor ne/esenţiale, pentru reducerea posibilităţilor de atac. Mai mult decat managementul patch-urilor, echipele RSA se concentrează pe îmbunăţătirea continuă a procedurilor organizaţiilor pentru a elimina vulnerabilităţile înainte ca sistemele să devină live.

Prin integrarea acestor funcții, CMC urmărește:

  • ► barierelor de comunicare;
  • ► cunoștinţelor despre ameninţări și a analizelor;
  • ► ă unifice strategia de securitate a organizaţiei;
  • ► ă maximizeze valoarea investiţiilor în securitatea informatică.

Abordarea CMC reprezintă o interacţiune complexă între echipele de securitate cu mai multe puncte de acţiune comună, fluxuri de lucru paralele și mecanisme de feedback constante, deși funcţiile de securitate care alcătuiesc CMC nu sunt noi. Având în vedere aspectele de proiectare și implementare potrivite, organizaţiile pot determina:

  • ►șterea eficacităţii operaţionale prin orchestrarea funcţiilor de securitate și a fluxului de informaţii de inteligence, prin operaţiuni de securitate și IT.
  • ►îmbunătăţirea pregătirii în materie de securitate, permiţând mecanisme mai puternice de detectare și conștientizarea ameninţărilor
  • ► maturării securităţii prin reducerea costurilor, asigurând coordonarea unor funcţii complexe de securitate în mai multe echipe.

CMC:

  • ► se distinge prin părţile sale individuale;
  • ► distinge prin integrarea și interdependenţele în toate funcţiile sale;
  • ► mai mult decât o abordare de securitate;
  • ► este o abordare de securitate pe care organizaţiile o pot implementa pentru a se securiza mai bine, pentru a-și proteja clienţii și pentru a reduce pierderile.

Componentele, în detaliu

1 Un COS robust va recunoaște amenințările și va reacționa la acestea.

Organizaţiile recunosc rapid necesitatea de a detecta și de a răspunde la o varietate de ameninţări; blocarea ameninţărilor nu este suficientă. Centrul de Operaţiuni de Securitate (COS) este prima linie de apărare a organizaţiei împotriva tuturor formelor de ameninţări și este inima CMC. COS se va ocupa de orice activitate suspectă de malware și va lucra îndeaproape cu celelalte echipe din CMC. Un COS bine conceput și menţinut se va concentra pe obţinerea eficienţei prin instruirea continuă a analistului și mentorat și prin evaluarea constantă a tehnologiilor de securitate ale organizaţiei.

1.1 Arhitectură multistrat

COS poate fi proiectat în jurul unui model simplu de detectare, identificare și atenuare a modelului.

  • ► Analiștii de nivel 1 sunt însărcinaţi să clasifice gravitatea evenimentului și să coreleze evenimentul cu orice istoric.
  • ► Dacă este necesar, analiștii de rangul 1 vor escalada incidentele la analiștii de nivel 2 și 3, care vor efectua investigaţii în profunzime și vor efectua analize pentru a determina ce s-a întâmplat.

1.2 Operațiuni de aparare împotriva amenințărilor

  • ► analiștii specializaţi sunt responsabili pentru crearea logicii de detectare sub formă de semnături, reguli și interogări personalizate, bazate pe informaţii despre ameninţări. Inginerii implementează logica de detectare la o serie de dispozitive, aparate, instrumente și senzori care alcătuiesc stiva de securitate a unei organizaţii. Regulile, semnăturile și interogările creează o reţea de senzori preventivi bazate pe ameninţări, care generează alerte de reţea/hosts la care analiștii de la Tier 1-3 din COS răspund.
  • ► Analiștii își vor regla apoi logica de detectare pe baza feedback-ului COS, creând un CMC eficient care nu va pierde timpul investigând alarmele false.
  • ► Echipa este, de asemenea, responsabilă pentru furnizarea de analize de malware în profunzime, care oferă informaţii tehnice valoroase (TECHINT) care pot fi folosite în logica de detectare.

1.3 Managementul alertelor

Acest proces – de construire a soluţiilor de detectare și identificare, atenuare a ameninţărilor – este problema cu care multe organizaţii se confruntă. Principalul punct de reţinut este că mai multe tehnologii, unelte și feed-uri despre ameninţare nu aduc în mod obligatoriu și direct eficienţă. Fluxurile de lucru corecte sunt mai probabile a asigura reușita decât cele care prioritizează tehnologia. Organizaţiile ar trebui să se concentreze doar asupra tehnologiei care permite investigatorilor COS să petreacă mai puţin timp pentru colectarea datelor și mai mult timp pentru a investiga cauza principală a activităţii de care au fost alertaţi.

1.4 Operațiuni 24/7 și managementul investigațiilor

Proiectarea și punerea în aplicare ar trebui să se concentreze asupra standardizării operaţiunilor zilnice, a managementului cazurilor și a metodelor de „măsurare a succesului”. Ameninţările moderne necesită ca COS- urile să funcţioneze 24 de ore pe zi, 365 de zile pe an, necesitând programe de adaptare și roluri bine definite. Un sistem de gestionare a cazurilor bine integrat, care ajută în timpul investigaţiilor și care interacţionează fără probleme cu alte instrumente COS, este esenţial. Acest instrument oferă în mod ideal metrici cu privire la modul în care COS monitorizează, detectează și înregistrează cazuri în mod eficient și permite unei organizaţii să identifice vulnerabilităţi în oameni, procese și tehnologii.

1.5 Standardizarea operațiilor

Implementarea cu succes necesită, de asemenea, o documentaţie precisă și actualizată. Acest lucru include documentaţia privind arhitectura reţelei, procedurile de operare standardizate (POS) și listele de puncte de contact. În cazul în care COS este considerat „inima” CMC, atunci POS acţionează ca „ritm”, îndrumând analiștii în situaţii variind de la colectarea dovezilor la stoparea exfiltraţiei datelor.

2 Integrarea funcțiilor de Intelligence

Informaţiile despre ameninţări pot fi extrem de puternice: pot fi privite drept multiplicator de forţă pentru CMC, contribuind la îmbunătăţirea gradului de conștientizare și înţelegere a ameninţărilor și oferirea mijloacelor prin care aceste ameninţări ar putea fi prevenite sau detectate.

Funcţiile de intelligence corect implementate vor avea următoarele caracteristici:

2.1 Intelligence în timp util

Primirea informaţiilor înainte de realizarea ameninţării este crucială pentru organizaţie. Diseminarea informaţiilor strategice și tactice, inclusiv a indicatorilor de compromis, poate lua forma unor indicaţii și avertizări (avertizare asupra unei ameninţări iminente), rapoarte zilnice sau săptămânale (evidenţiază ameninţările relevante, pro- blemele specifice cibernetice pentru părţile interesate).

2.2 Intelligence relevant

Informaţia relevantă privind ameninţările produce informaţii valoroase privind nu numai problemele care apar în mediul de afaceri global, ci și aspecte specifice din cadrul industriei și legate de un mediu informatic specific.

2.3 Intelligence acționabil

Creat și util atunci când analiștii filtrează prin volum mare de date și informaţii, analizează motivele pentru care anumite informaţii specifice sunt relevante pentru organizaţie. Relevă și modul în care aceste informaţii pot fi utilizate de diferite părţi interesate. Echipele au nevoie de informaţii tactice și tehnice pentru a susţine investigaţiile actuale, pentru a crea logica de detectare și a se pregăti pentru atacuri potenţiale. Inteligenţa tehnică va fi, de asemenea, utilizată pentru a determina dacă anumite acţiuni maliţioase sunt deja prezente în reţea.

2.4 Intelligence strategic și tactic

Deși echipa COS este prima linie de apărare a organizaţiei, ea poate funcţiona mai eficient și mai eficient, cu sprijinul CTI. Echipa de securitate va gestiona o gamă largă de ameninţări potenţiale și va trebui să fie în măsură să trieze rapid evenimente, să determine nivelul de ameninţare și să atenueze incidentele. CTI poate ajuta analiștii COS să acorde prioritate acestor alerte, pot ajuta la investigaţii și pot ajuta analiștii COS să atribuie activitati maliţioase anumitor atacatori.

3 Echipa „roșie”.

O întrebare fundamentală pentru fiecare business este: Organizaţia va fi „testare” a CMC este atacarea activă a acestuia. Prin exerciţiile coordonate ale Red Team, personalul CMC poate învăţa să detecteze și să răspundă la o varietate de ameninţări.

3.1 Simularea de amenințări

Operaţiunile vor fi concepute în mod ideal pentru a simula tacticile, tehnicile și procedurile de ameninţări pe care echipa CTI le-a evaluat a fi un risc.

Este responsabilitatea echipei Roșii de a testa aceste elemente și limitele COS și CMC. De exemplu, dacă se știe că COS întâlnește rareori shell-uri web – un tip de malware instalat pe servere web – Echipa Roșie poate alege să atace direct un server web.

Un aspect important al operaţiunii Echipa Roșie este că numai liderii selectaţi știu de operaţiuni (adesea denumite „echipa albă”), adăugând realismul evenimentului. Această abordare le permite celor care sunt conștienţi să observe evenimentul în curs de desfășurare, în special modul în care echipele interacţionează între ele, modul în care sunt transmise informaţiile, modul în care sunt implicaţi părţile interesate și modul în care echipele gestionează o varietate de scenarii de atac. Acești lideri pot contribui, de asemenea, la activităţile echipei roșii pentru a se asigura că nici un fel de date sau operaţiuni critice nu sunt compromise sau expuse.

Prin urmare, implementarea operaţiunilor Echipei Roșii ar trebui să sublinieze interdependenţa dintre misiunea COS și aceasta. Echipa Roșie trebuie să asiste COS în timpul eforturilor de remediere pentru a se asigura că orice vulnerabilităţi descoperite nu mai sunt susceptibile de exploatare.

4Reducerea suprafeței de atac.

Scopul reducerii suprafeţei de atac (RSA) este de a închide toate porţile de intrare nenecesare în infrastructura tehnică și de a limita accesul la aceste porţi prin monitorizare, evaluarea / diminuarea vulnerabilităţii și controlul accesului.

4.1 Înțelegerea și asumarea suprafeței de atac

Implementarea RSA vizează identificarea și înţelegerea celor mai importante aplicaţii și servicii, inclusiv a funcţiilor acestora, care susţin infrastructura, domeniul de aplicare și vulnerabilităţile inerente.

Echipa RSA ar trebui să acorde prioritate fiecărui activ, având în vedere valoarea critică a acestuia pentru operaţiuni și capacitatea celor mai relevanţi actori de a angrena aceste active într-o intruziune, de exemplu. În plus, impactul acestor atacuri trebuie luat în considerare.

4.2 Mai mult decât managementul actualizărilor

Gestionarea patch-urilor pentru vulnerabilităţi este o funcţie principală RSA, dar realizarea unei organizaţii fără vulnerabilităţi nu este un obiectiv realist, este de dorit, dar greu de realizat dintr-o dată. Vulnerabilităţile trebuie să fie identificate și gestionate în mod corespunzător, punând accentul pe prevenirea și reacţia rapidă la cele mai critice. Îmbunătăţirea continuă a procedurilor, în special pentru serviciile care ar putea permite atacatorilor accesul la zonele confidenţiale, reprezintă un proces critic pentru RSA, impunând măsuri preventive și calendarului efectiv de atenuare.

4.3 O funcție tehnică ce necesită abilități și experiența personalului

Menţinerea gradului de cunoaștere a activelor este din ce în ce mai dificilă în mediul de afaceri dinamic din prezent. Organizaţiile implementează baze de date de gestionare a configuraţiei (CMDB) pentru a urmări și a asigura că suprafaţa de atac nu s-a extins dincolo de nivelul acceptabil al riscului organizaţiei. Iar noi expuneri apar adesea pe parcurs, pe măsură ce se introduc sau se actualizează noi sisteme informatice.

Profesioniștii în domeniul RSA care posedă o înţelegere profundă a ingineriei de reţea, a conceptelor IT și a securităţii, pot sintetiza fragmente diferite de informaţii care pot indica un vector de atac nedetectat sau important din punct de vedere contextual.

Concluzii

„Vom fi următorii?” sau chiar „Am fost deja atacaţi?” sunt întrebările pe care toate companiile ar trebui să le aibă în vedere. Prin dezvoltarea unui centru Cyber Multilstrat/multifuncţional, organizaţiile pot dezvolta viteza, colaborarea, coordonarea, asigurând și fluxurile de informaţii și conștientizarea conducerii executive, fluxuri necesare nu doar pentru a supravieţui, ci și pentru a performa.

Bibliografie:


  1. Security Round Table, disponibil: aici.
  2. Designing a Cyber Fusion Center: A unified approach with diverse capabilities, Navigating the Digital Age, Booz Allen Hamilton – Bill Stewart, Sedar LaBarre, Matt Doan, Denis Cosgrove

187
Marjola Begaj

Autor:Marjola Begaj

Mulţimea de rapoarte, cercetări și informaţii legate de respectarea Regulamentului de Protecţie a Datelor cu Caracter Personal (GDPR), înainte și după termenul limită din luna mai, pare încă insuficientă pentru a face faţă eforturilor de conformitate cu acest regulament.

Unul dintre cele mai recente rapoarte care mi-a fost trimis pe email cu doar câteva săptămâni în urmă sună
astfel: Un nou raport de cercetare realizat de TrustArc centralizează nivelul de conformitate GDPR, după data
de 25 mai, pentru 600 de companii din SUA, Marea Britanie si alte companii din UE.

„ …Oferă, printre altele, informaţii despre abordările lor cu privire la conformitatea GDPR, principalele provocări la nivel de conformitate și nevoile care au apărut ulterior termenului limită. Unele dintre cele mai importante concluzii sunt:

  • ► Doar 20% dintre companii au finalizat complet implementarea GDPR;
  • ► Companiile sunt conforme cu politicile și procedurile de actualizare și cu managementul
    consimţământului pentru cookie-uri, și mai puţin conforme cu managementul riscului furnizorilor și
    transferul internaţional de date;
  • ► 50% dintre companii vor solicita validarea conformităţii cu GDPR de către o firmă independentă.1

Faptul că o companie poate respecta mai mult politicile și procedurile de actualizare, dar mai puţin
managementul riscului furnizorilor și transferul internaţional de date nu este tocmai în regulă. Da, politicile fac parte din modul de respectare a criteriilor de parcurs ale GDPR , dar ar trebui, în cel mai bun mod,
GDPR
să reflecte, printre altele, cum este gestionat riscul vânzătorului prin transferul internaţional de date. Și totuși, companiile au avut la dispoziţie doi ani de perioadă de tranziţie pentru a implementa GDPR în cadrul proceselor lor.

Dar nu a fost o chestiune de timp și nici măcar o chestiune de a nu fi deloc familiarizat cu legile privind protecţia datelor. Problema reală a acestei reglementări este că, pentru prima dată, ne confruntăm pe o scară largă cu lipsa culturii din cadrul companiilor și din sectorul public cu privire la modul în care ratează și protejează datele cu caracter personal. Și cât de importantă este securitatea informaţiilor din lumea digitală. Și toate acestea ies la iveală în mijlocul unui nou val de transformări digitale cum ar fi AI, IoT, Blockchain și criptomonede. Tehnologii care se hrănesc cu datele noastre, printre altele.

Cu toţii știm, și cu GDPR trebuie să știm, că identitatea noastră, bazată pe datele noastre personale, este direct legată de tot ceea ce folosim și facem, de la:

  • ► Servicii financiare
  • ► Sănătate
  • ► Vot
  • ► Proprietăţi (fizice dar și intelectuale)
  • ► Comunicare
  • ► Divertisment
  • ► Călătorii, și până la
  • ► Caracteristicile și măsurile de securitate utilizate – unele dintre ele deja bazate pe date personale (în special date biometrice, cum ar fi amprentele digitale, recunoașterea feţei și a vocii, bătăile inimii pentru a menţiona câteva).

Astfel, modul în care sunt utilizate aceste elemente de date și serviciile pe care toate aceste tehnologii le promit să le ofere sunt foarte importante pentru economie și pentru bunăstarea societăţii noastre. Și aici se localizează însuși GDPR.

S-ar putea să existe diferite modalităţi de a vedea și interpreta GDPR, în ceea ce privește aplicaţiile și implicaţiile reale. Dar există câteva considerente de bază, care nu se vor schimba în următorii ani:

În primul rând, în afară de simplul sens juridic al Regulamentului2 General 3, principalul subiectul al GDPR îl reprezintă datele personale și protecţia acestora, iar în articolele sale găsim mai detaliat cine, cum, ce, unde și când. Principalele domenii sunt:

  • ► Drepturile persoanelor vizate
  • ► Responsabilitate
  • Securitatea
  • ► Procesori, terţe părţi și transfer internaţional de date.
  • ► Sancţiuni mai mari – considerate a fi o modalitate mai eficienta de a reduce abuzul de acest drept!

În al doilea rând, motivul central al punerii sale în aplicare este integrarea drepturilor
fundamentale în procesul legislativ al UE. În mod specific, dreptul de protecţie a datelor cu caracter personal
menţionat în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene4. GDPR este departe
de a fi perfect și, în ceea ce privește eficienţa, necesită o practică de zece ani pentru a se dovedi astfel. Poate
fi supus unor schimbări și, așa cum se întâmplă deseori cu orice act juridic, este deschis la interpretare. Cu
toate acestea, un lucru nu se va schimba, cel puţin pentru o lungă perioadă de timp, iar acesta este dreptul
fundamental de protecţie a datelor cu caracter personal.

În al treilea rând, își propune să restabilească încrederea în sectorul digital și în afaceri, să promoveze inovarea, să sporească securitatea cibernetică și să orienteze atât cultura, cât și modalităţile practice de evoluţie a vieţii digitale și a securităţii acesteia. Securitatea informatică nu poate fi îmbunătăţită fără o înţelegere corectă a relaţiei dintre securitate și alte imperative naţionale (și internaţionale), cum ar fi intimitatea, transparenţa și tehnologia. Având în vedere modelul Cyber 2025 propus de Windows, se poate spune că GDPR se situează în scenariul Peak, care are ca una dintre principalele caracteristici faptul ca politicile și standardele guvernamentale trebuie să fie clare și eficiente5.

În cele din urmă, GDPR devine un standard de facto în întreaga lume. Acesta trebuie respectat de toate companiile de tehnologie care lucrează cu datele clienţilor din UE, respectiv de orice companie multinaţională care operează în Europa. Și nu este vorba doar de acest aspect. Regulamentul are influenţe și asupra altor ţări din afara UE. Spre exemplu, statul California (SUA) a adoptat recent o lege extinsă privind

Trust buttonconfidenţialitatea consumatorilor, care ar putea duce la schimbări semnificative asupra companiilor care se ocupă de datele cu caracter personal – și mai ales cele care operează în spaţiul digital. Această lege, prevăzută să intre în vigoare la începutul anului 2020, se aplică din punct de vedere tehnic numai locuitorilor din California, însă ea va avea, cel mai probabil, implicaţii mult mai largi. Majoritatea companiilor importante care se ocupă de datele consumatorilor, de la comercianţii cu amănuntul la furnizorii de reţele mobile până companiile de internet, toate au clienţi californieni. Aceste companii vor avea două opţiuni principale: fie să-și modifice infrastructurile globale de protecţie pentru respecta legea din California, fie să instituie un sistem regional separat în care californienii sunt trataţi într-un fel și toţi ceilalţi altfel. Această ultimă opţiune poate fi mai costisitoare pentru companii și ar putea deranja clienţii non-californieni în cazul în care furnizorul de servicii le va oferi mai puţine opţiuni de confidenţialitate a datelor. Într-adevăr, întrebări similare cu privire la drepturile datelor americanilor au apărut în timpul mărturiei lui Mark Zuckerberg din cadrul Congresului American, mărturie legată de respectarea de către Facebook a GDPR-ului UE.

Dar, ce este mai important, având în vedere că datele personale și securitatea cibernetică dar și dezvoltarea de noi tehnologii sunt principalele subiecte de discuţie din ziua de astazi?

Conformitatea în general este o povară și implică costuri reale pentru întreaga societate. Și GDPR nu te scutește de acest lucru. De fapt, orice respectare aplicată a GDPR-ului în cadrul unei organizaţii necesită trei lucruri esenţiale:

  • ► Cultura de conformitate
  • ► Monitorizarea continuă
  • ► Efortul în echipă

Cultura de conformitate: O știre actuală menţionează: „The Information Commissioner’s Office (ICO) din Marea Britanie a amendat compania Lifecycle Marketing (Mother and Baby) Ltd, cunoscută și ca Emma’s Diary, cu 140.000 de lire sterline pentru colectarea și vânzarea ilegală de Compliance Cultureinformaţii personale aparţinând a mai mult de un milion de persoane6.” Nu se poate vorbi despre o cultură conformităţii în acest caz. Și totuși, au fost aduse în discuţie comportamentele controversate atât la nivelul companiei cât și la nivelul clienţilor săi. Iată ce a spus Chris Rouland, fondator și CEO al Bastille – „Aș dori să am oportunitatea de a plăti o sumă mai mare pentru păstrarea propriilor mele date sau, cel puţin, pentru garantarea faptului că datele mele sunt înstrăinate de către mine,”, completând că este dispus să îi plătească în plus 1.99 dolari pe lună companiei de la care are dispozitivul său mobil de fitness pentru a nu îi vinde mai departe datele7. Așa cum Geoff Mulgan – CEO Nesta menţionează într-una dintre prelegerile sale de la Colegiul Universitar „Majoritatea oamenilor devine destul de îngrijorată atunci când descoperă cât de multă informaţie lasă în urmă, totuși această colectare a datelor are și un avantaj uriaș, partajarea datelor, transbordarea datelor poate duce la oferirea de servicii mai bune, sau chiar la reducerea criminalităţii, și așa mai departe. Cred că în următorii 10 ani vom avea nevoie de un nou contract social, în jurul acestor date”. Pentru moment avem doar baza legală a acestui contract – GDPR-ul.

Monitorizarea continuă: – „Un hacker a spart câteva dintre sistemele Reddit și a reușit să acceseze anumite date despre utilizatori, inclusiv unele adrese de e-mail curente și baza de date de rezervă din 2007 care conţinea parole vechi. De atunci efectuăm o anchetă minuţioasă pentru a afla exact ceea ce a fost accesat și pentru a îmbunătăţi sistemele și procesele noastre pentru a împiedica revenirea acestei situaţii.” se menţionează într-o notificare oficială a companiei respective8. Oare ce s-ar fi întâmplăt dacă s-ar fi efectuat înainte o evaluare a impactului protecţiei datelor (DPIA)? Cum ar fi fost ca investigaţia datelor existente să fi fost deja făcută și acest lucru să ajute atât la efectuarea investigaţiei curente dar și la derularea unui plan

Grafic GDPR de răspuns mai puţin dureros, mai rentabil, mai fiabil și receptiv? Monitorizarea continuă a sistemelor și proceselor, ca o practică obișnuită a rezilienţei cibernetice, nu mai este opţională în cadrul GDPR. Este obligatorie. Actorii implicaţi încă subestimează importanţa securităţii cibernetice și a datelor personale. Mai devreme sau mai târziu valurile de reglementări vor face ca securitatea cibernetică – care până acum este privită ca o modalitate de a proteja averile și se bazează pe anumite principii – să devină un drept și un bun în sine. Sau, cel puţin, în viitorul apropiat, ne putem aștepta la o strategie de securitate cibernetică mai detaliată și bazată pe reguli.

Efortul în echipă: – chiar și cei puternici greșesc. Google recent a retras 145 aplicaţii din Google Play deoarece s-a descoperit că acestea conţineau niște fișiere executabile Windows maliţioase. Acest tip de infecţie „reprezintă o ameninţare la adresa lanţului de distribuţie software, deoarece dezvoltatorii de software maliţios sunt utilizaţi în mod eficient pentru atacuri la scală largă”9.

Până în prezent, datele cu caracter personal ca activ digital și securitatea cibernetică nu sunt complementare. Este normal să te întrebi de ce la nivelul Biroul Comisarului pentru Informaţii nu s-a stabilit încă o alianţă cu o instituţie de importanţă majoră în strategia de securitate cibernetică din Regatul Unit110? Astfel, deși s-au trimis invitaţii pentru a se alătura unei alianţe mai multor instituţii, faptul că Autoritatea pentru Protecţia Datelor lipsea la prima strigare demonstrează foarte multe. Adevărul este că importanţa legăturii dintre datele personale, ca un activ digital și nu doar ca o o povară legată de conformitatea GDPR (sau legile naţionale privind confidenţialitatea), și securitatea cibernetică ca mijloc de a proteja aceste active nu este percepută la nivelul necesar nici măcar în etaloanele superioare.

În concluzie, GDPR se referă la noi toţi. Provocările creează oportunităţi. GDPR reprezintă prilejul dezvoltării unor modalităţi creative de a echilibra problemele conflictuale și de a garanta protecţia datelor personale ca drept al omului. Dacă este adevărat, aceasta este valoarea extraordinară a aplicării tehnologiei digitale în noile servicii personalizate și mai mult în general în viaţa noastră. Este, de asemenea, adevărat că, odată cu tehnologiile emergente de acum, apar și probleme etice serioase legate de tehnologii precum inteligenţa artificială sau genomica. Dacă am petrecut ultimele câteva decenii învăţând cum să ne mișcăm rapid, în decursul următoarelor decenii va trebui să ne reamintim cum încetinim. Sau poate că singura modalitate de a avansa este de a restabili simplitatea și eficienţa.

Și nu putem gândi nici în silozuri. Totul este interconectat, la fel sunt și interesele implicate, jucătorii, reglementările, datele și securitatea. Nu ne putem permite să ne întoarcem în trecut, dar avem responsabilitatea de a face acum alegeri corecte și responsabile, pentru a crea un viitor mai bun al vieţii noastre digitale. Conformitatea se referă la mult mai multe aspecte și nu este un mod de luare a deciziilor care necesită doar o analiză cost-beneficiu. Se adresează celor care nu au realizat până acum că datele personale sunt un bun digital real care trebuie protejat sau celor care au abuzat de acest bun digital, iar acum este momentul ca această situaţie să fie îndreptată.

Așadar, gândiţi-vă la GDPR nu ca la o povară de conformitate, ci ca la un element de schimbare a jocului, care trebuie utilizat pentru progresul mai coerent și mai etic al construirii noilor tehnologii dar și pentru realizarea de noi afaceri, luând în considerare principiile sale:

  • ► securitatea datelor cu caracter personal,
  • ► responsabilitate și răspunderea atât a companiilor, cât și a indivizilor
  • ► relaţia sa cu alte principii fundamentale ale societăţii noastre și evoluţia continuă a noilor
    tehnologii.

  1. ► Validarea conformităţii cu GDPR de către o firmă independentă.
  2. Regulament înseamnă că se aplică direct tuturor membrilor UE fără a fi nevoie să fie implementată în legislația națională.
  3. General înseamnă că acoperă în mare măsură tot ce are legătură cu subiectul său. Dar, de asemenea, aceasta înseamnă că este supusă regulii de interpretare cunoscută în latină ca generalia specialibus non derogant – dispoziţiile unui statut general trebuie să se conformeze unor dispoziţii speciale. Pur și simplu, în caz de conflict, prevalează cel special.
  4. Articolul 8 – Protecția datelor personale. Călătoria spre drepturile omului nu este una ușoară și chiar și astăzi drepturile omului au o viaţă dificilă. Printre altele, vă recomand o lectură semnifi cativă pentru cine este interesat să afle despre drepturile omului: Lynn Hunt, Inventing human rights. A history., W. W. Norton & Company, New York-London2007.
  5. Cyberspace 2025: Today’s decisions, Tommorow’s Terrain. Navigating the Future of Cybersecurity Policy, iunie 2014, disponibil aici.
  6. Emma’s Diary a fost amendată cu 140,000 lire sterline pentru vânzarea de informaţii personale pentru campanii politice, disponibil aici . A se vedea: ICO a pus dispus verificarea practicile de partajare a datelor în cursul acestui an pentru cele 11 principale partide politice din Marea Britanie, adresându-se inclusiv brokerilor de date, precum Experian, ca parte a anchetei sale privind analiza datelor. Mai multe informaţii: aici ; O altă perspectivă: aici.
  7. Danny Bradbury. How can privacy survive in the era of the internet of things?
  8. Reddit dezvăluie o scurgere de date, un hacker a accesat datele personale ale utilizatorilor, disponibil: aici.
  9. Sute de aplicații scoase din Google Play Store pentru că erau infectate cu un virus de tip malware pentru Windows.
  10. O importantă alianță între 17 organizații de top din UK, cu impact asupra securităţii cibernetice, a fost alcătuită ca răspuns la apelul din partea Departamentului Digital, de Cultură, Media și Sport (DCMS), al guvernului britanic, pentru dezvoltarea unui corp profesional în sfera securităţii cibernetice. Mai multe detalii: aici.

211

Autori: Laurent Chrzanovski şi
Mihaela Gorodcov

România, cu comoara sa de expresii luate din diferite civilizaţii, este singura ţară latinofonă unde cea mai folosită expresie de doliu găsită în epigrafia funerară română a supravieţuit intactă, «să-i fie ţărâna uşoară».

Lumea, companiile şi presa din domeniul IT nu au realizat, încă, dar a plecat dintre noi Romulus «Romi» Maier. Cu perseverenţă, curaj, smerenie şi modestie care erau «marca sa de fabrică», Romulus a creat, iniţiat, realizat foarte multe pentru piaţa de IT fără ca numele său să fie, vreodată, în lumina reflectoarelor, întrucât a plecat de asemenea manieră, stingând lumina fără zgomot.

Curajul a fost cel care l-a împins pe Romulus Maier, în cel mai sumbru an pentru economia românească postdecembristă – 1992 – să înfiinţeze grupul de presă AGORA. Prin grupul său, a fost iniţiator şi apoi director nu numai a numeroase reviste şi publicaţii, dar şi organizator de conferinţe şi evenimente de profil. Într-o listă non exhaustivă putem menţiona revistele «If», «PC Report», «Open – Tehnologia Informaţiei», «Byte România», «Net Report», «Gazeta de informatică», «PC Magazine România», «eWeek România», «IT Trends», sau «Digital Trends».

Împreună cu Romulus am înfiinţat în 2013 singurul congres anual de dialog internaţional din Europa Centrală care este strict non-profit, apolitic, neutru, non-marketing şi non-tehnic, «Cybersecurity-România», susţinut de la prima sa ediţie de către Uniunea Internaţională a Telecomunicaţiilor (ITU-ONU, Geneva). Remarcând talentul Grupului Agora şi al Swiss Webacademy de a genera acest dialog, nu puţini au fost partenerii instituţionali, din România şi din străinătate, care ne-au cerut să îl perenizăm sub forma unei reviste trimestriale.

Îmi amintesc ca parcă fusese ieri. Am discutat la Bucureşti, la cafenea, cu Romi, care flegmatic a spus direct «hai să-l facem», fără ezitări. Aşa s-a născut, în martie 2015, revista «Cybersecurity Trends», disponibilă tuturor cititorilor români, în mod gratuit, pe net. În acelaşi an, congresul şi revista au devenit singurele din continent premiate cu cea mai mare distincţie a Uniunii Internaţionale a Telecomunicaţiilor, aceea de «Best practice example for the European Continent». Azi, revista există în 5 limbi şi congresul se desfăşoară anual, nu numai la Sibiu, dar şi în Elveţia şi în Italia.

Aprecierea peste hotare, trebuie să mărturisim, a fost mult mai mare decât în ţară: în România, am văzut nu puţine zâmbete cu subînţelesuri – desigur îi finanţează cineva prin spate – când lumea afla că revista, ca şi congresul, erau făcute pe bază de voluntariat, publicaţii – prezente numai în ediţie din România – permiţând de a susţine costurile de tipar a celor 2000 de exemplare destinate instituţiilor şi partenerilor.

«Cybersecurity Trends» este o creaţie care poartă, în toate variantele sale lingvistice, de la Roma la Paris, de la Londra la Berlin, spiritul lui Romulus Maier: toată lumea colaborează, fără plată, pentru generarea unei culturi de securitate. Pe lângă instituţii naţionale sau supra-naţionale, revista s-a construit în jurul unui principiu de bază care a permis publicarea gratuită în limba română a textelor multor specialişti de rang mondial care nu au avut niciodată pretenţii să primească drepturi de autor. Şi aşa, revista a adus materiale de mare calitate către cititorii săi.

Curaj şi altruism pentru a permite unei societăţi să nu fie pradă nici hackerilor, nici vendorilor inconştienţi (inconsecvenţi) care schimbă compania în fiecare an. Prin revistele sale, prin numeroasele evenimente anuale, Romulus Maier a adus României spiritul care în mod normal se alătura unei societăţi de piaţă mature, ceea ce nu este cazul deloc. Romulus a fost un pionier, un vizionar, un avangardist în două domenii – presă şi evenimente, mai ales în zona de IT – unde lumea vede numai banul, apoi, în mod foarte secundar, calitatea.

«Cybersecurity Trends» 2018, nr. 2, a ieşit cu câteva zile înainte ca Romi să ne părăsească.

Simţeam că era ultimul număr, simţeam că undeva nu mai era – de obicei la închiderea revistei venea cu tot felul de propuneri de poze pentru copertă, unele mai serioase, unele mai haioase: era momentul nostru de relax ştiind că ediţia era complet paginată şi corectată. De data asta nu a fost aşa. De data asta, în sufletele noastre, Romulus este pe copertă.

Dar pentru a descrie până la capăt ce mare om a fost Romulus şi ce gol lasă în piaţa de IT, cuvintele doamnei Mihaela Gorodcov vor fi, desigur, mai oportune decât ale noastre:

“Am aflat cu mare tristeţe ştirea despre «plecarea» lui Romi! Chiar dacă ştiam că este bolnav (de multă vreme) vestea în sine este greu de crezut! Ne-am întâlnit acum ceva vreme, am stat de vorbă şi la acel moment încă părea hotărât să lupte mai departe…
Apoi ne-am revăzut la o conferinţă organizată în parteneriat când a venit foarte puţin şi era vizibil marcat de boală. A fost ultima dată când ne-am văzut. Am fost – încă de la începutul anilor ’90 – competitori! Da, aşa este! Fiecare cu drumul său, fiecare cu strategia proprie, dar, amândoi, cronicari împătimiţi ai pieţei de IT din România. Şi, sunt convinsă, ne respectam reciproc pentru că ştiam amândoi că este greu, că este provocator, că este în permanenţă un pariu zilnic pe care trebuia să îl câştigăm. Un pariu care însemna o adevărată echilibristică pe care o făceam între responsabilităţile pe care le aveam (faţă de oamenii noştri, faţă de partenerii noştri etc.) şi dorinţa de a construi ceva durabil, de a pune câte o cărămidă la această piaţă de IT, de a fi oneşti şi de a vedea doar lucrurile bune! Acum câţiva ani am devenit parteneri! Da, am devenit parteneri! Ne cunoşteam bine, aveam aceleaşi valori, piaţa de IT începuse contracţia şi era nevoie să stăm umăr la umăr şi să ne continuăm misiunea şi menirea în ultimă instanţă! Şi am făcut-o! Şi a fost bine. Vorbeam puţin, dar ne înţelegeam instant. Vorbeam aceeaşi limbă, ştiam aceleaşi lucruri, aveam «şcoala» a ceea ce englezii numesc «resilience»! Şi mai ales, ne respectam pentru că încă de la începuturi am avut aceleaşi repere. Ce ar mai fi de spus? Ca niciodată, am cam rămas fără cuvinte… Încă nu procesez bine plecarea lui Romi! Dar, o vom realiza, cel puţin aşa sper, toţi cei din industrie (şi mă refer aici inclusiv la companiile de IT, la agenţii, la colegii de breaslă etc.) când la conferinţele de presă (atâtea câte vor mai fi) va fi un scaun gol! Şi cred cu tărie că aşa ar trebui să rămână…

 

Rămas bun, Romi! Chapeau!

 

Mihaela Veronica Gorodcov

Mihaela Veronica Gorodcov
Manager General la IBusiness Comunicare și Relații Publice

EDITIE SPECIALA – INTERNET OF THINGS

1807
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1504
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2809
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1597
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1530
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1579
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...