Friday, December 13, 2019
Authorities

236

O altă dimensiune a securităţii cibernetice

Securitatea cibernetică a dominat primele pagini ale publicaţiilor occidentale din ultimii ani prin subiecte legate de scurgeri de informaţii, influenţarea rezultatelor unor alegeri publice şi atacuri cibernetice în contextul noului tip de conflict, războiul hibrid.

Într-un articol publicat în 4 octombrie a.c. cu titlul „The Big Hack: How China Used a Tiny Chip to Infiltrate US Companies / Marele Hack: cum a folosit China un cip minuscul pentru a infiltra companiile americane”, publicaţia Bloomberg Businessweek a expus o nouă latură a ameninţării la adresa securităţii cibernetice, Hardware hacks, survenită în 2015. În articol este prezentată (presupusa) compromitere a serverelor a 30 de companii americane, inclusiv a giganţilor Amazon şi Apple, precum şi a unor agenţii din sistemul de securitate naţională în urma unui incident de securitate major cauzat de o componentă de hardware.

Citând o serie de surse anonime din companiile afectate, precum şi foşti şi actuali oficiali din zona de securitate naţională a SUA, articolul susţine că serverele realizate de unul din principalii producători la nivel global, Supermicro, prezentau o alteraţie majoră: prezenţa unui microcip pe plăcile de bază. Această componentă modifica core operating system de aşa manieră încât acesta să accepte modificări şi să contacteze alte computere controlate de atacatori pentru a recepţiona cod suplimentar şi instrucţiuni ulterioare. Practic, în momentul în care un server era instalat şi pornit, acesta devenea o cale de acces liberă pentru atacatori. Cum aceste servere erau utilizate în centrele de date ale principalilor actori din zona de IT&C şi chiar a autorităţilor publice şi agenţiilor de intelligence, după cum e susţinut în articol, ramificaţiile acestui “atac” sunt majore.

Hack-urile care vizează elemente de hardware au un grad mai ridicat de dificultate în realizare decât cele de software, însă efectele pe care le produc pe termen lung pot avea un impact devastator. Practic, componentele maliţioase fie sunt introduse în procesul de manufacturare, fie produsele sunt manipulate în tranzit, modificările fiind implementate până acestea ajung la clientul final.

Neidentificată înaintea conectării, o astfel de alteraţie îşi poate îndeplini funcţiile fără a fi neutralizată pentru perioade semnificative de timp. De altfel, după cum a evidenţiat Bloomberg Businessweek, dacă unor companii precum Apple şi

Amazon le-a trebuit timp şi o doză de şansă să identifice această problemă, care este probabilitatea ca alte companii, care beneficiază de resurse semnificativ mai reduse, să prevină vulnerabilităţile de securitate provenite din alteraţii de hardware.

Principala barieră în realizarea hack-urilor de hardware este reprezentată de filtrele de securitate, însă acestea sunt departe de a fi infailibile. Deşi componentele hardware sunt proiectate în emisfera vestică, procesul de producţie se realizează în proporţie covârşitoare în Asia de sud-est, o zonă supusă unor alte cerinţe de calitate şi în care companiile-mamă nu pot avea acelaşi control.

Dacă veridicitatea faptelor expuse necesită dovezi suplimentare1 sau, cel puţin, rezultatul unor anchete oficiale ale autorităţilor implicate, în măsura în care acestea pot fi făcute publice, ideile centrale prezentate ridică de la sine un număr de semnale de alarmă.

Mai întâi, este relevantă dilema expusă în articol conform căreia companiile trebuie să aleagă între a avea un număr mai redus de produse, dar al căror securitate o pot garanta, şi toate produsele de care au nevoie, însă să se expună unor riscuri, companiile alegând de fiecare dată a doua opţiune. Această observaţie este corectă, iar companiile nu pot fi condamnate pentru încercarea de a înregistra un profit mai mare. Cu toate acestea, referitor la securitatea în mediul cibernetic, acest principiu elementar al economiei conform căruia un cost mai mic de producţie rezultă într-un câştig mai mare pentru părţile implicate nu poate fi ilustrat în alb şi negru, ci ocupă, mai degrabă, diferite nuanţe de gri. Această situaţie este datorată în principal prin prisma faptului că orice vulnerabilităţi de securitate se traduc, în termeni financiari, în posibile pierderi considerabil mai mari decât câştigurile rezultate dintr-un lanţ de producţie şi distribuţie cu costuri mici.

Includerea în ecuaţie a unor elemente precum acţiunile unor companii listate la bursă şi luând în considerare că aceste companii şi-au axat campaniile de marketing pe securitatea oferită clienţilor, făcând din acest aspect principalul asset al produselor lor, reprezintă un argument important pentru care securitatea reprezintă un factor cuantificabil din punct de vedere financiar. De altfel, giganţii din domeniul IT au realizat profituri semnificative şi pentru că produsele lor au fost selectate pe criteriul securităţii oferite.

Întrebarea care rezultă în mod natural este ce poate fi făcut pentru ca astfel de situaţii să fie contracarate eficient?

Dat fiind faptul că procesul de manufacturare se desfăşoară, cu precădere, în alte state, zona Asiei de sud-est fiind dominantă în acest sens, autorităţile au posibilităţi limitate în identificarea problemelor şi breşelor de securitate. Mai mult, în unele cazuri, aşa cum este stipulat în articolul din Bloomberg Businessweek, cadrul legal limitează procesul de investigare până la înregistrarea unor „victime», iar specificitatea domeniului IT dictează că, din acel moment este deja „prea târziu» pentru a remedia situaţia creată, pagube majore fiind deja produse.

Astfel, (1) vigilenţa autorităţilor, publice sau private, cu rol în controlul de securitate este un factor determinant.

Un alt aspect important constă în (2) permanenta adaptare a cadrului normativ pentru a ţine pasul cu evoluţiile tehnologice, prezenţa pe agenda publică a temelor referitoare la securitatea cibernetică fiind, de asemenea, deosebit de importantă.

Totodată, într-o lume interconectată, un subiect ca responsabilitatea securităţii cibernetice depăşeşte sfera autorităţilor şi revine şi clienţilor, fie ei din rândul companiilor sau clienţi individuali. Astfel, (3) conştientizarea riscurilor de securitate este crucială, iar punerea în balanţă în momentul achiziţionării unor produse sau servicii a acestora, pe acelaşi nivel cu preţul, devine elementul fundamental în menţinerea securităţii cibernetice globale.

Autor: Mihai Vişoiu, Cyberint

206

ITUÎn anul în care sărbătorim aniversarea de 10 ani a programului mondial „Child Online Protection”, dorim să evidenţiem implicarea Swiss Webacademy, editor al Cybersecurity Trends, în cadrul acestuia.

Mulţumită Swiss Webacademy, cele mai recente versiuni ale ghidurilor pe tema Child Online Protection (COP) au fost traduse în limba română și promovate, iar expoziţia „Eroi și victime ale Social Media, de la hieroglife la Facebook”, sponsorizată de ITU, a fost organizată în toată România pe parcursul ultimilor ani.

2018 este și anul în care a fost organizată prima ediţie a „Cybersecurity Mediterranean” (Noto, 10-11 Mai) – lansată de Swiss Webacademy, unde directorul COP din cadrul ITU, Carla Licciardello, a avut oportunitatea de a interacţiona cu școlari în timpul tradiţionalei „zile a conștientizării”. Caravana de evenimente internaţionale PPP, fiecare precedate de „ziua conștientizării” pentru copii și adulţi, a ajuns în acest moment să se compună din 3 congrese macro-regionale (cu evenimente în România, Elveţia și Italia), sprijinite de parteneri instituţionali din 8 ţări.

Iar revista online semestrială Cybersecurity Trends, tradusă în 4 limbi și adaptată contextului specific naţional din Franţa, Italia, Marea Britanie, România și Moldova, continuă să apară în mod regulat.

Implicarea Swiss Webacademy, una dintre primele organizaţii care a semnat „Paris Call for Trust and Cybersecurity in Cyberspace”, în timpul evenimentului anual Internet Governance Forum (IGF) confirmă disponibilitatea de a împărtăși experienţe și de a aduce contribuţii de înalt nivel în vederea lărgirii cunoștinţelor asupra ecosistemului în care trăim.

Îndeplinirea și consolidarea acestor obiective au fost realizate prin multă voinţă, energie dar și generozitate de către echipa non-profit de la Swiss Webacademy. Iar acest lucru trebuie subliniat, mai ales în contextul acestui an, când s-a înregistrat o scădere a evenimentelor neutre la nivel internaţional.

Cu acest nou număr al Cybersecurity Trends dedicat unor subiecte foarte fierbinţi, editorii revistei își propun să pună în valoare, cu obiectivitate, puncte de vedere ale unor cercetători, specialiști și experţi. Este de menţionat faptul că, de la utilizatorii și profesioniștii din domeniul securităţii la „vânzători”, toţi au o preocupare comună: fragilitatea oricărui sistem, în special în ceea ce privește interfaţa sa umană, în cazul în care instrumentele tehnologice și abilităţile umane nu sunt perfect „sincronizate”. Încă o dată, implicarea noastră în construirea continuă a unei culturi a riscurilor digitale va fi elementul care va da acestei performanţe fie o valoare adăugată, fie va reprezenta o sursă suplimentară de risc.

Vă dorim, dragi cititori, un 2019 cu multă sănătate! Lectură plăcută!

Marco Obiso
Autor: Marco Obiso,
Cybersecurity Coordinator, International Telecommunication Union, Geneva

549
  • Sunteţi operator de date/persoană împuternicită de operator care procesează date ale cetăţenilor din UE?
  • Aveţi un program implementat pentru protecţia datelor şi puteţi dovedi alinierea la cerinţele RGPD?
  • Integraţi cerinţele privind protecţia datelor şi a confidenţialităţii în crearea proceselor de business noi sau în dezvoltarea de sisteme/aplicaţii noi?
  • Realizaţi o monitorizare sistematică pe scară largă (inclusiv a datelor angajaţilor)/procesaţi volume mari de date personale sensibile?
  • Cum veţi trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor şi dreptul de opoziţie la crearea de profiluri ale persoanelor vizate?
  • Sunteţi în măsură să notificaţi ANSPDCP în cel mult 72 de ore de la producerea unei potenţiale încălcări a securităţii datelor cu caracter personal?

Paşii de urmat pentru conformitatea cu RGPD

Pentru a putea fi aliniat la cerinţele RGPD este vital să identificaţi care sunt toate datele cu caracter personal pe care le procesaţi în cadrul organizaţiei, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de securitate care controlează/filtrează accesul la aceste date, pe toată durata lor de viaţă. Recomandare etape în procesul de aliniere la RGPD:

  • GDPR Quick Scan – este o evaluare rapidă/workshop cu părţile cheie interesate pentru identificarea diferenţelor fluxurilor principale, estimare de efort şi durata de implementare.
  • Analiza – Evaluarea completă a conformităţii cu cerinţele RGPD – este o evaluare detaliată a conformităţii şi maturităţii cu RGPD.
  • Implementare – Implementarea Programului de Protecţie a Datelor – este un program holistic pentru realizarea conformităţii cu RGPD. Între activităţile principale ale acestor etape se numără şi realizarea Evaluării Impactului asupra Securităţii Datelor (DPIA) şi Inventarul Datelor cu Caracter Personal (un inventar al datelor şi fluxurilor de date din cadrul organizaţiei).
ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din indus tria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

741

Autor: Mariana Urs, Cyberint

George Kennan în 1947
George Kennan în 1947

În faţa atacurilor cibernetice de proporţii petrecute în ultimii ani, deseori, replica statelor ţintă a rămas nevăzută. Însă în spatele uşilor închise, discuţiile au fost lungi şi complicate, învârtindu-se în jurul câtorva întrebări la care nu s-au găsit încă răspunsuri1: Care este echivalentul unui atac cibernetic în repertoriul clasic al războiului şi care se cuvine a fi reacţia unei entităţi atacate? Care sunt graniţele câmpului de bătălie cibernetic? Care dintre strategiile de securitate apărute pe parcursul anilor se potriveşte mai bine spaţiului operaţional cibernetic2? În definitiv, dacă istoria nu se repetă, atunci ea… rimează. Cu ce rimează însă cyber-ul? La începutul acestei veri, într-una dintre sălile de ședinţă ale Congresului Statelor Unite au fost chemate în audienţa Comitetului Senatului pentru Servicii Armate câteva persoane: James Clapper, fostul director al National Intelligence, Michael Hayden, fostul director al CIA și James Stavridis, amiral în retragere al Marinei SUA. Discuţiile, prezidate de senatorul John McCain, au fost dedicate politicii descurajării (deterrence) în domeniul securităţii cibernetice. Dar, în vreme ce întreaga presă americană vuia din pricina scandalului provocat de spargerea serverelor Comitetului Naţional Democrat, la ședinţă nu asista mai nimeni. Așa cum a remarcat, nu fără o undă de regret, și unul dintre senatori, sala era aproape goală3. În discursurile celor chemaţi în acea zi în faţa Senatului SUA puteau fi recunoscute ecourile doctrinei îngrădirii – (containment) propuse de diplomatul şi teoreticianul american George Kennan4 cu peste şaptezeci de ani în urmă. În 1946, în debutul războiului rece, SUA deţineau un avantaj militar şi economic incontestabil, însă teoria avansată de Kennan, având la bază excepţionalismul american şi capacitatea de rezilienţă a însăşi societăţii americane, pornea de la perspectiva unui conflict inerent cu Uniunea Sovietică, în care SUA urmau să fie angajate cu sau fără voinţa lor. Inevitabil, date fiind diferenţele ideologice capitale, adversarul avea să forţeze starea de conflict. Orice acţiuni, directe ori subversive, puteau fi folosite de statul sovietic pentru subminarea regimurilor diferite ideologic. George Kennan, în perioada petrecută la Moscova, ajunsese la concluzia că acest conflict, care deja lua proporţii, putea fi câştigat exclusiv prin impunerea unor limite clare geografice şi de acţiune între cele două lumi şi utilizarea unor mijloace diplomatice sau militare de fiecare dată când situaţia o cerea pentru asigurarea securităţii SUA şi a aliaţilor săi5. În scurt timp, s-a ajuns la un echilibru de putere carea a condus la impunerea unei politici a descurajării (deterrence) continue a adversarului. Această doctrină s-a bazat pe (1) costul uriaş asociat utilizării capabilităţilor distructive (nucleare) deţinute de ambele tabere, precum şi pe (2) capacitatea de garantare a unei riposte dure la orice atac direct. În ce fel însă pot fi aplicate aceste doctrine, ale îngrădirii şi descurajării, spaţiului cibernetic6, în condiţiile în care nici actorii şi nici ameninţările nu se circumscriu sistemului de putere definitoriu războiului rece, a devenit o chestiune aprins dezbătută. Într-o lume în care un actor statal, o grupare criminală sau o entitate teroristă pot avea, teoretic, acces la acelaşi arsenal cibernetic pe care îl îmbogăţesc constant cu chiar armele adversarului, logica jocului de şah poate părea multora ca fiind deja perimată. Pe de o parte, există voci care susţin că regulile containment-ului nu s-au schimbat în timp: câtă vreme se admite o definiţie clară a atacului cibernetic, iar adversarul este convins de faptul că reacţia statului ţintă la un astfel de atac poate fi extrem de severă, doctrina funcţionează7. Sau, așa cum scria George Kennan în 1946, „Dacă adversarul dispune de suficientă forţă și transmite faptul că este pregătit să o folosească, atunci rareori trebuie să o și facă”, astfel încât, „dacă situaţiile sunt gestionate corect, nu sunt necesare confruntări care să știrbească prestigiul uneia sau alteia dintre părţi”8. Pe de altă parte, regulile jocului în spaţiul cibernetic fac încă subiectul negocierilor, atât la nivel naţional, cât şi pe plan global. Dezbaterea actuală din SUA din jurul definirii unei strategii naţionale de securitate cibernetică pune în discuţie o serie de chestiuni stringente şi edificatoare din perspectiva doctrinei descurajării atacurilor cibernetice: necesitatea evaluării impactului evenimentului produs, colectarea de informaţii din diverse medii, inclusiv prin colaborarea cu mediul privat, atribuirea atacului şi adaptarea reacţiei la acesta în funcţie de adversarul identificat, agrearea la nivel internaţional a unui set de reguli şi definiţii privind activitatea în spaţiul cibernetic. Date fiind caracteristicile spaţiului cibernetic, domeniile ţintă se întrepătrund, fie că ţin de securitatea naţională, fie aparţin sectorului privat sau că afectează viaţa personală a cetăţeanului. De aceea, nu trebuie pierdut din vedere nici faptul că măsurile enumerate mai sus se pot realiza doar pornind de la educarea şi informarea cetăţenilor, în spiritul unei transparenţe vitale pentru un stat democratic. Atunci când se vorbește despre conflict sau război în spaţiul cibernetic, o premisă fundamentală de la care se pleacă și nu poate fi ignorată ţine de diferenţa majoră faţă de războiul convenţional: odată o armă cibernetică folosită, aceasta poate fi modificată de adversar și utilizată împotriva aceluia care a lansat atacul. În aceste condiţii, problema fundamentală ţine de capacitatea de apărare și rezilienţă a sistemelor IT&C care prezintă relevanţă pentru securitatea naţională. Dacă gradul de rezilienţă al acestor sisteme este redus, riscul asociat unui contraatac presupune un cost prea mare pentru securitatea naţională, ceea ce afectează ab initio capacitatea unui stat de a duce o politică eficientă în privinţa descurajării atacurilor. Pentru a echilibra balanţa, în viziunea multor experţi şi decidenţi, descurajarea în domeniul cibernetic poate și chiar trebuie să ia și alte forme: riposta la un atac cibernetic poate veni pe orice alt plan și orice resurse ale statului pot fi utilizate, inclusiv stabilirea de sancţiuni economice sau in extremis, intervenţie armată9.

Barack Obama și Toomas Hendrik Ilves in 2009

Punerea în practică a unei astfel de strategii este însă dificilă, aşa cum sublinia şi preşedintele estonian, Toomas Ilves: „Cea mai mare problemă în cyber ţine de deterrence. Discutăm deja de ani de zile în cadrul NATO despre ce ar trebui să facem.Se impune, deci, construirea, într-o primă etapă la nivel naţional, a unor mecanisme clare și eficiente de reacţie la ameninţări cibernetice. Mai mult, aceste mecanisme trebuie să includă și definirea și evaluarea atacurilor din punct de vedere al pericolului pe care îl reprezintă pentru securitatea naţională. Ce este un atac cibernetic și când devine un atac relevant din perspectiva securităţii naţionale? Având în vedere că în fiecare zi se petrec sute de atacuri numai la nivelul infrastructurilor informatice de control industrial din SUA11, este indispensabilă stabilirea unor sisteme de referinţă şi a unor parametri prin intermediul cărora să se evalueze gravitatea acestora şi măsurile de intervenţie necesare. O astfel de evaluare ar permite, în subsidiar, şi alegerea unor priorităţi în descurajarea adversarului, căci „nu totul poate fi descurajat”12. Mai mult, dat fiind specificul domeniului cyber, pentru a avea un proces decizional eficient, informările către beneficiarii legali se cuvin a fi axate pe implicaţiile la nivel sistemic şi pe evoluţiile preconizate, și mai puţin pe aspectele pur tehnice legate de un atac. Urmărind aceeași idee, un principiu care ar putea îmbunătăţi mecanismul decizional este acela al separării instituţionale între persoanele care stabilesc politicile naţionale în domeniul cyber și cei care activează nemijlocit în zona tehnică sau în afaceri13. Pentru ca aceste politici să aibă un impact real, este necesară crearea unui cadru prin care să se poată realiza un schimb de informaţii rapid cu mediul privat14, deoarece în cele mai multe ţări, actorii economici privaţi deţin și administrează mare parte din infrastructura cibernetică a unui stat, în cazul SUA, procentul ridicându-se la 80-90%15. În stabilirea acestor colaborări se iveşte însă problema, deloc banală, a gestionării informaţiilor sensibile. Pe de o parte, supraclasificarea provoacă o serie de dificultăţi atât în relaţia cu partenerii privaţi cât şi în ceea ce priveşte capacitatea statului de a-şi proiecta puterea prin intermediul dezvăluirii unor capabilităţi ofensive sau defensive din arsenalul cyber. Pe de altă parte însă, vehicularea datelor sensibile permite şi altor actori din spatiul cyber să se „educe” privind capacităţile de care dispune un stat şi să îşi adapteze atacurile în funcţie de informaţiile astfel aflate. Un prim corolar în ceea ce priveşte necesitatea schimbului de informaţii cu zona privată este, deci, verificarea atentă a entităţilor cu care se colaborează din perspectiva securităţii naţionale16. Există însă şi consecinţe adiacente acestei colaborări: dată fiind dificultatea atribuirii publice a unor atacuri cibernetice de către stat, firmele private îşi pot asuma astfel de acţiuni atunci când la nivel oficial nu se doreşte sau nu se poate asuma problema atribuirii. Creşterea gradului de transparenţă este, în definitiv, în interesul cetăţeanului şi al societăţii în ansamblul său. Există însă şi un al doilea corolar: prin informaţiile lansate public de firme private acestea pot urmări şi protejarea şi promovarea propriilor interese. Astfel, se poate ajunge la vehicularea unor interpretări discutabile asupra unor chestiuni tehnice sau sensibile care implică elemente ce rămân de regulă absconse publicului obişnuit. Caracterul global şi concurenţial al internetului şi, implicit, al pieţei pe care activează companiile de profil, nu constituie în sine un sistem de verificare absolut a informaţiilor oferite de diferite entităţi. Reacţia la un atac cibernetic trebuie calibrată şi în funcţie de adversar17: se impune cunoaşterea atât a actorului din spatele atacului, a obiectivelor şi arsenalului cibernetic pe care îl are la dispoziţie, cât şi a grupului de interese care constituie sau este în strânsă relaţie cu factorii decizionali. Această cunoaştere trebuie să meargă până la nivel individual, pentru a fi astfel identificate pârghiile la care se poate face apel pentru descurajarea acestuia din a se implica sau din a lansa activităţi care să prejudicieze securitatea naţională a statului ţintă18. O lecţie derivată şi din experienţa tratativelor purtate pe marginea înarmării nucleare19 este aceea a construirii unor strategii adaptate fiecăruia dintre actorii statali majori.

Noua doctrină informațională rusă din decembrie 2016

Mai mult, pentru asigurarea unui grad minim de securitate cibernetică la nivel global, definiţiile, regulile şi măsurile asociate acestui domeniu trebuie împărtăşite la nivelul comunităţii internaţionale20. Stabilirea unor rules of engagement, cu atât mai mult dacă ţinem cont că spaţiul cyber a fost definit ca domeniul operaţional al NATO, poate simplifica mecanismele care vizează descurajarea adversarilor cibernetici. Indispensabilitatea unui atare demers este dată chiar de caracteristicile spaţiului cibernetic. În condiţiile în care un atac este atribuit unui actor cibernetic care nu este localizat pe teritoriul statului ţintă, reacţia faţă de acesta ar presupune utilizarea unor infrastructuri de comunicaţii aflate pe teritoriul altui stat. Se iveşte următoarea dilemă: este utilizarea infrastructurii unui alt stat pentru desfăşurarea unei operaţiuni cibernetice ofensive un act de război? În definitiv, ce constituie, în plan practic, un act de război în domeniul cyber? Şi cum ar putea arăta o definiţie a unui act de război în spaţiul cibernetic care să fie unanim recunoscută?21 Nu în ultimul rând, toate aspectele expuse mai sus nu sunt însă fezabile într-o societate democratică fără a avea cetăţeni informaţi privind regulile minime de securitate online. În condiţiile în care 60-70% dintre incidentele cibernetice ar putea fi prevenite în cazul aplicării unor măsuri de securitate minime, fără educarea cetăţeanului, eforturile depuse la nivel instituţional riscă să nu aibă efect22. În definitiv, trebuie asigurată nu doar rezilienţa infrastructurilor cibernetice în faţa unui atac informatic, ci şi rezilienţa societăţii în ansamblul său. Aşa cum în materie de politici sociale sau economice există mai multe curente de gândire, acelaşi lucru este deja valabil şi pentru spaţiul cibernetic. Perspectiva pe care să se fundamenteze cadrul legislativ privind spaţiul cibernetic trebuie să fie înţeleasă şi dezbătută la nivelul societăţii, cetăţeanul trebuind să aibă acces la raţionamentul din spatele unor politici naţionale de securitate cibernetică. Pe lângă aceste elemente referitoare la securitatea cibernetică, din punct de vedere doctrinar, se adăugă şi problematica securităţii informaţionale, asociate implicit securităţii cibernetice de state precum Federaţia Rusă23. Dacă ţările occidentale pun accentul îndeosebi pe asigurarea unei securităţi la nivel tehnic, perspectiva Federaţiei Ruse este sensibil diferită, centrală ca importanţă fiind informaţia care poate fi accesibilă prin intermediul tehnologiei24. Securitatea informaţională25 aduce în discuţie un set de probleme adiacente, care implică exercitarea suveranităţii naţionale şi controlul guvernamental asupra „segmentului” de internet al ţării respective26. Mediul cibernetic fiind profund interconectat, se impune deci, găsirea unui echilibru între legislaţiile naţionale şi viziunea agreată la nivel internaţional asupra regulilor aplicabile la nivel global pe internet.27 În definitiv, internetul poate şi este folosit ca principal vehicul informaţional, ceea ce are un impact notabil asupra securităţii naţionale a unui stat28.

Cyber deterrence – o doctrină funcţională? 

Aşa cum am arătat şi mai sus, doctrina descurajării29 se bazează pe două principii fundamentale: (1) convingerea potenţialului adversar că un atac nu va avea sorţi de izbândă, eventual nu fără un cost enorm pentru acesta și (2) încredinţarea acestuia că un atac ar conduce inevitabil la un răspuns care să presupună pierderi mai mari decât ar fi dispus să sufere30. În timpul războiului rece, politica de deterrence se plia pe realitatea unei mutual assured destruction – distrugere mutuală asigurată, dată de prezenţa armelor nucleare. Mai mult, pacea a fost astfel menţinută şi mulţumită unui eşafodaj de tratate şi instituţii internaţionale care au vegheat la neproliferarea armelor nucleare. „Armele cibernetice”, în schimb, nu pot face obiectul neproliferării, în condiţiile în care acestea (1) pot fi dezvoltate şi utilizate de orice tip de entitate, (2) atribuirea unui atac este dificilă şi (3) în majoritatea situaţiilor nu prezintă un pericol devastator31. Dezbaterea asupra aplicabilităţii doctrinei descurajării în spaţiul cibernetic a creat, în ultimii ani, mai multe tabere. Pe lângă aceia care remarcă absenţa unei strategii de deterrence şi cer implementarea acesteia cât mai repede32, există experţi care afirmă că deja ne bucurăm de efectele unui cyber deterrence apărută în mod natural în relaţiile dintre state33 sau care, dimpotrivă, susţin că această teorie nu se poate aplica spaţiului cibernetic decât parţial, pe cu totul alte coordonate decât cele ale conflictului convenţional. „Descurajarea funcţionează deja. Funcţionează chiar fantastic, dat fiind că, din ce ne putem da seama, încă n-a murit nimeni din cauza unui atac cibernetic”, spunea în iulie anul acesta Jason Healey, director al Consiliului Atlantic pentru Cyber Statecraft Initiative34. Realitatea de pe teren arată că în ciuda accesului la arme cibernetice care ar putea cauza daune şi pierderi de vieţi omeneşti similare actelor de război clasice, statele nu le folosesc (încă?) în acest scop. Pe de altă parte, acelaşi Healey arată că, dacă istoria digitală a ultimilor douăzeci de ani este străbătută de această veritabilă linie roşie, pe lângă ea, actorii statali nu recunosc alte reguli, făcând uz de arsenalul cibernetic în acţiuni de spionaj, furt de proprietate intelectuală şi chiar distrugere de bunuri. În această logică, am avea de-a face cu conceptul de intra-war deterrence (descurajare intra-război): de câţiva ani se află deja în derulare un conflict cibernetic. O caracteristică specifică a acestuia este însă că diferenţierea între capabilităţile ofensive şi cele defensive ale unui stat sunt greu de identificat. Astfel, acest tip de conflict este deosebit de predispus escaladării, creându-se o dilemă de securitate pentru state, care se percep ca găsindu-se în mod constant prinse într-o „ambuscadă”. În acest context, măsurile de descurajare adaptate adversarului sunt sau pot fi interpretate, în acelaşi registru, ca fiind măsuri coercitive, obiectivul fiind mai degrabă asigurarea supremaţiei, decât menţinerea unei stări de stabilitate. O interpretare concurentă prezintă însă spaţiul cibernetic ca având caracteristici care nu suportă aplicarea unei strategii a descurajării. Pe baza teoriilor lui John Mearsheimer şi Jonathan Shimshoni, dr. Richard Harknett de la Universitatea din Cincinatti35 argumentează că diferenţa majoră între armele convenţionale şi cibernetice şi cele nucleare ţine de costul utilizării acestora: folosirea armelor nucleare prezintă, în orice circumstanţe, un cost inacceptabil pentru un stat. De aceea, prezenţa armelor nucleare poate conduce la un echilibru

Prof. Richard J. Harknett

stabil dat de inacţiune, în vreme ce utilizarea armelor convenţionale sau cibernetice presupune un cost mai redus, acceptabil în anumite situaţii, ceea reduce gradul de stabilitate al mediului. Astfel, o politică a descurajării conduce la escaladarea conflictului, tocmai pentru că presupune un comportament reţinut, care încurajează alte state să testeze limitele atacurilor cibernetice. Potrivit lui Harknett, normele în spaţiul cibernetic nu pot fi impuse dintru început pe baze teoretice, ele pot apărea doar ca rezultat al unor comportamente şi a unor acţiuni, iar nu în absenţa lor. Acesta susţine, deci, că mediul operaţional cibernetic nu seamănă cu nimic din ceea ce a fost până acum şi de aceea strategia de securitate trebuie construită pornind de la caracteristicile sale specifice, iar nu de la bazele teoretice formulate până în prezent în relaţiile internaţionale. Această perspectivă reţine ca element esenţial dinamicitatea spaţiului operaţional cibernetic, care este diametral opusă stării de echilibru dată de o politică clasică a descurajării. Harknett afirmă că operaţiunile cyber, prin însăşi natura lor, exclud descurajarea. Spaţiul cibernetic, structural interconectat, este în continuă schimbare mulţumită progreselor constante ale tehnologiei, atât la nivel software, cât şi hardware. Nu este un domeniu militar prin excelenţă, ci este un domeniu în care este necesar să se acţioneze şi din punct de vedere militar. Încercarea de a-l segmenta, pentru a-i aplica noţiunile de spaţiu caracteristice războiului clasic, este inaplicabilă. Mediul cibernetic este interpretat ca fiind un „mediu strategic persistent-ofensiv”, un spaţiu în care apărarea are un efect limitat strict în timp şi nu produce un impact de lungă durată la nivelul capacităţii ofensive a adversarului. Mai mult, din perspectivă defensivă, persistenţa ofensivă se traduce prin faptul că la orice moment dat în timp, un stat poate presupune că există o entitate care îl atacă. O caracteristică a mediului cibernetic ar fi, deci, că, atât apărarea cât şi atacul sunt ubicue, de aceea securitatea cibernetică necesită „persistenţă – câştigarea şi reţinerea iniţiativei”. Aceasta se poate realiza prin anticiparea de către actori a felului în care un adversar ar reuşi să le exploateze vulnerabilităţile şi, de asemenea a felului în care pot fi exploatate vulnerabilităţile adversarului. Prima etapă presupune deci întărirea rezilienţei sistemelor, precum şi măsuri de apărare ale sistemelor a căror atacare poate produce un impact asupra securităţii naţionale. Care sunt, așadar, concluziile care se desprind, dincolo de abordările teoretice diferite? Este aplicabilă o politică de containment & deterrence spaţiului cibernetic? Dat fiind dinamismul intrinsec acestui mediu, necesitatea dezvoltării constante a arsenalului defensiv, coroborată cu tentaţia testării în scop ofensiv a unor arme cibernetice mereu noi, conduce la asumarea de către unele state aunei stări de conflict perpetue36 şi multi-direcţionale, dar cu efecte limitate şi controlabile ca impact asupra securităţii naţionale a altor state. Îngrădirea şi descurajarea adversarilor cibernetici se poate implementa doar în urma identificării şi agreării la nivel internaţional a unui prag-limită, dincolo de care costurile incursiunilor ofensive să crească exponenţial. „Zona gri” a spaţiului cibernetic va rămâne însă, inevitabil, un domeniu de vânătoare pentru actori mai mari sau mai mici37. În consecinţă, vulnerabilităţile, riscurile şi ameninţările la adresa securităţii naţionale care provin din spaţiul cibernetic pot fi contrabalansate doar prin implementarea sistematică a unor măsuri de apărare şi întărire a rezilienţei sistemelor IT&C care devin, pe zi ce trece, esenţiale pentru stat, pentru societate, dar şi pentru fiecare cetăţean în parte.

CSS text-justify Example

Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”, International Security, vol. 41, nr. 3, pp. 44–71, p. 47, disponibil online la http://www.mitpressjournals.org/doi/pdf/10.1162/ISEC_a_00266 (accesat la 31.10.2017); Levi Maxey, „Cyber Deterrence – Left of Virtual Boom”, The Cipher Brief, 23.07.2017, disponibil online la https://www.thecipherbrief.com/cyber-deterrence-left-of-virtualboom (accesat la 31.10.2017). 2 Vezi NATO Cyber Defence Fact Sheet, aprilie 2017, disponibil online la https://www.nato.int/ nato_static_fl 2014/assets/pdf/pdf_201_03/20170331_1704-factsheet-cyber-defence-en.pdf (accesat la 31.10.2017). 3 Veziînregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017, disponibilă la https://www.c-span.org/video/?428339-1/former-intel-chiefs-testify-us-cyber-defensestrategy( accesat la 31.10.2017). 4 George Kennan (1904-2005), diplomat şi istoric american, teoretician al doctrinei containment-ului. A se vedea şi Henry Kissinger, “The Age of Kennan”, The New York Times, 10.11.2011, disponibil online la http://www.nytimes.com/2011/11/13/books/review/george-f-kennan-an-american-life-by-johnlewis- gaddis-book-review.html (accesat la 31.10.2017). 5 George Kennan, The Long Telegram, 22.02.1946, Moscova, disponibilă la https://nsarchive2.gwu.edu// coldwar/documents/episode-1/kennan.htm (accesat la 31.10.2017). 6 Vezi Stephen Kotkin, „What Would Kennan Do?”, Princeton Alumni Weekly,, 2.03.2016, disponibil online la https://paw.princeton.edu/article/what-would-kennan-do (accesat la 31.10.2017). 7 Vezi Matthew Rojansky, „George Kennan Is Still the Russia Expert America Needs”, Foreign Policy, 22.12.2016, disponibil online la http://foreignpolicy.com/2016/12/22/why-george-kennan-is-stillamericas- most-relevant-russia-expert-trump-putin-ussr/ (accesat la 31.10.2017); 8 George Kennan, The Long Telegram… 9 Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”… p. 45. 10 David E. Sanger, „As Russian Hackers Probe, NATO Has No Clear Cyberwar Strategy,” The New York Times, 16.06.2016, disponibil online la https://www.nytimes.com/2016/06/17/world/europe/natorussia- cyberwarfare.html (accesat la 31.10.2017). 11 Franklin D. Kramer, Robert J. Butler, Catherine Lotrionte, Cyber and Deterrence. The Military-Civil Nexus in High-End Confl ict, Atlantic Council – Brent Scowcroft Center On International Security, ianuarie 2017, disponibil online la http://www.atlanticcouncil.org/images/publications/Cyber_and_ Deterrence_web_0103.pdf (accesat la 31.10.2017). 12 Sean D. Carberry, “Why there’s no silver bullet for cyber deterrence”, 06.06.2017, FCW, disponibil online la https://fcw.com/articles/2017/06/06/carberry-cyber-deterrence.aspx (accesat la 31.10.2017). 13 Vezi declaraţia lui Will Hurd, reprezentantului statului Texas în CongresulSUA, în cadrul Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017, înregistrare disponibilă online la https://www.c-span.org/ video/?434886-2/representative-hurd-cybersecurity-policy (accesat la 31.10.2017). 14 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 19.10.2017, disponibilă la https://www.c-span.org/video/?435980-1/white-house-cyber-coordinator-declinestestify- cyber-defense-strategy-hearing(accesat la 31.10.2017). 15 Vezi înregistrarea Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017, disponibilă online lahttps://www.cspan. org/video/?434886-4/cybersecurity-conference-panel-1(accesat la 31.10.2017). 16 Ibidem. 17 Sean D. Carberry, “Why there’s no silver bullet for cyber deterrence”, 06.06.2017, FCW, disponibil online la https://fcw.com/articles/2017/06/06/carberry-cyber-deterrence.aspx (accesat la 31.10.2017). 18 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 19 Ibidem. 20 Michael N. Schmitt (ed.), Tallinn Manual 2.0 On the International Law Applicable to Cyber Operations, Cambridge University Press, 2017. 21 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 22 Ibidem. 23 Vezi Доктрина информационной безопасности Российской Федерации (Doctrina asupra securităţii informaţionale a Federaţiei Ruse), 5.12.2016, disponibilă online la http://www.mid.ru/ documents/10180/2563110/Ukaz_Prezidenta_Rossiiskoi_Federatsii_ot_05122016.pdf/b579d736- cb99-46ac-b4f7-a0b6bc102ed1 (accesat la 31.10.2017); Yannick Harrel, Noua doctrină informaţională rusă din decembrie 2016, in Cybersecurity Trendsn. 2017/1, pp. 35-37 24 Pavel Sharikov, “What is behind Russia’s new information security doctrine?”, Russia Direct, 13.12.2016, disponibil online la http://www.russia-direct.org/opinion/what-behind-new-russiasinformation- security-doctrine (accesat la 31.10.2017). 25 Pavel Sharikov, „Russia and the US: Frenemies in Cyberspace”, în Suggestions on Russia-US Cooperation on Cybersecurity, East West Institute, p. 6, disponibil online la https://www.eastwest. ngo/sites/default/fi les/RIAC-EWI-Russia-US-Cybersecurity-Policybrief11-en.pdf (accesat la 31.10.2017). 26 Ibidem. 27 Ibidem. 28 Bruce W. McConnell, “On the Need for Cooperation”, în Suggestions on Russia-US Cooperation on Cybersecurity, East West Institute, p. 8, disponibil online la https://www.eastwest.ngo/sites/default/ fi les/RIAC-EWI-Russia-US-Cybersecurity-Policybrief11-en.pdf (accesat la 31.10.2017). 29 Pentru mai multe detalii, a se vedea Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”… p. 52. 30 Dorothy Denning, “Cybersecurity’s next phase:Cyber-deterrence”, The Conversation, 13.12.2016, disponibil online la https://theconversation.com/cybersecuritys-next-phase-cyber-deterrence- 67090(accesat la 31.10.2017). 31 Ibidem. 32 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 33 Jason Healey, „Cyber Deterrence Is Working – So Far”, The Cipher Brief, 23.07.2017, disponibil online la https://www.thecipherbrief.com/cyber-deterrence-is-working-so-far(accesat la 31.10.2017). 34 Ibidem. 35 Brad D. Williams, „Meet the scholar challenging the cyber deterrence paradigm”, Fifth Domain, 19.07.2017, disponibil online la https://www.fi fthdomain.com/home/2017/07/19/meet-the-scholarchallenging- the-cyber-deterrence-paradigm/(accesat la 31.10.2017). 36 Vezi transcrierea Conferinţei Challenges facing US Military, organizată de Council on Foreign Relations, 3.05.2017, disponibilă online lahttps://www.cfr.org/event/challenges-facing-usmilitary( accesat la 31.10.2017). 37 Vezi înregistrarea Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017….

1217

autor: Mihaela Pană

Fake news este expresia din era tehnologiei pentru comunicarea informaţiilor false, pentru propagandă şi diversiune. Principalul mijloc de propagare sunt oamenii, care pică în capcană fără să îşi dea seama că, de fapt, sunt victimele propriilor emoţii. Istoria recentă ne-a arătat cum se poate destabiliza o societate prin răspândirea de informaţii false, cum se poate diminua încrederea cetăţenilor în instituţiile statului prin specularea slăbiciunilor din sistem şi cum se poate vulnerabiliza o naţiune prin lipsa educaţiei digitale şi a culturii de securitate din mass-media.

 

Din propria mea experienţă, voi prezenta în rândurile următoare o perspectivă de gestionare a informaţiilor false. Voi compara fenomenul de fake news cu un incident de securitate cibernetică, căruia i se aplică mecanismul integrat de prevenție, detecție și răspuns.


PREVENŢIE – Gatekeepers, autoimunizare şi educaţie
Evoluţia tehnologiei implică adaptarea modului de transmitere a informaţiilor. Profesioniştii media de modă veche mai au încă timp să verifice informaţia şi nu transmit declaraţii şi date fără acoperire şi fără să fie atribuite în mod oficial unei entităţi. Volumul foarte mare de conţinut implică resurse umane capabile să filtreze informaţiile care urmează a fi publicate sau retransmise, după normele deontologice jurnalistice. Noile media sunt mereu contratimp şi preferă să arunce o informaţie neverificată către public din dorinţa de a fi cu orice preţ primii care o dau. În acest context, discernământul profesional trebuie urmărit la fiecare nouă angajare în orice instituţie media şi cultivat în permanenţă, iar politica algoritmilor de indexare a conţinutului media de către marii jucători globali a început deja să acţioneze curativ, pentru a elimina cronometrul din cursa pentru informare, care de cele mai multe ori alunecă pe panta dezinformării.
Capcana prejudecăţilor de valoare de genul “preluăm de la X pentru că este sursă de încredere” determină automatisme în mintea factorilor de decizie, care acţionează fără să mai verifice şi o altă sursă suplimentară pentru a confirma informaţiile sau pentru a compara cu un alt unghi de abordare a subiectului.
Tot mai multe instituţii şi organisme media vor să dezvolte sisteme de fact-checking a informaţiei pentru au combate fenomentul de fake news. Consider că asemenea eforturi financiare ar trebui să fie făcute abia după ce organizaţia media are predefinite nişte proceduri de autoimunizare, care să includă cunoştinţe de bază privind educaţia digitală şi securitatea cibernetică, care să le ofere angajaţilor o imagine cât mai cuprinzătoare despre cum funcţionează internetul, cum se propagă informaţiile în acest mediu şi care sunt pericolele pe care ar trebui să le evite.
DETECŢIE – Breşa care vulnerabilizează o breaslă
Pentru detectarea surselor care propagă informaţii false este nevoie de o voinţă comună şi de un efort integrat. Profesioniştii media ar trebui să facă echipă cu propriul public, cu specialiştii din industria IT şi cu instituţiile de forţă, pentru aplicarea legii în cazul celor care sunt rădăcina informării false şi pentru a diminua breşa care vulnerabilizează şi discreditează propria breaslă.
Inteligenţa artificială nu poate suplini mintea şi experienţa specialiştilor media. Tehnologia trebuie să fie un mijloc, algoritmii sunt buni ca mecanisme pentru prelucrarea datelor, dar nu pot substitui ceea ce inteligenţa şi intuiţia omului pot face pe baza experienţelor personale.
Evoluţia tehnologiei se referă şi la adaptarea tehnologiei informaţiei şi a comunicaţiilor la noile cerinţe ale societăţii. Astfel, într-o formulă combinată, specialiştii din industria IT pot contribui cu sisteme şi programe care au algoritmi speciali concepuţi să caute, să identifice şi să urmărească traseul falsurilor media şi sursele de propagare a informaţiilor false.
RĂSPUNS – Reacţia la fake în strategia de comunicare
În acest moment, lipsa unei voci autorizate şi acceptate într- un parteneriat public-privat, care să demoleze informaţia falsă, să intervină pentru eliminarea ei din spaţiul public şi să meargă pe urmele sursei generatoare de informaţii false, atrage după sine absenţa unui răspuns ca semnal de alarmă pentru cititori şi lipsa de reacţie din partea autorităţilor statului care pot avea pârghiile legale pentru sancţionare.
Fiecare organizaţie, din sistemul public sau din mediul privat, trebuie să fie pregătită şi să includă în strategia de comunicare abordarea şi reacţia la informaţiile false, folosind mecanisme de detecţie şi specialişti care pot destructura dezinformarea.
În lipsa unui CNA al internetului, fiecare jucător din mediul online, fie că este generator de conţinut sau furnizor de servicii ale societăţii informaţionale, ar trebui să aibă capacitatea de a se delimita de sursele care propagă conţinut fals ca o formă de sancţionare. De altfel, un rol important îl poate avea şi reacţia promptă a ONG-urilor şi asociaţiilor profesionale din media, care pot interveni cu reglementări din interiorul breslei.

 

În final, gândul la soluţii pentru viitor ca răspuns pe termen lung se îndreaptă într-o singură direcţie: educaţia. Subiectul fake news, ca parte din educaţia media, ar trebui dezbătut în cadrul orelor de comunicare din liceu şi într-un seminar special la facultăţile de jurnalism şi comunicare, iar asociaţiile profesionale din media ar trebui să facă echipă cu instituţiile de forţă şi să dezvolte împreună campanii de informare despre pericolul informaţiilor false pentru întreaga societate.

BIO Mihaela Pană

Jurnalist şi specialist în comunicare online şi digital media.
A lucrat la Academia Caţavencu, Realitatea TV, Discovery România şi AGERPRES.
Este fondatoarea proiectului CYBER Media, al cărui site este destinat acţiunilor de cyber security awareness pentru mass-media.

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public- privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.
ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

598

autor: Cătălin Pătraşcu

În ultimii ani, utilizatori și organizații de tot felul înfruntă o amenințare informatică cunoscută cu denumirea de „ransomware”, care nu este altceva decât un malware al cărui scop este acela de a împiedica accesul victimelor la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei sume de bani cu titlu de răscumpărare („ransom”).

 

Astfel, ransomware-ul a devenit una dintre cele mai supărătoare forme de malware, mai ales pentru faptul că poate produce pagube sau cel puţin neplăceri aproape tuturor tipurilor de utilizatori. Majoritatea dintre noi avem stocate pe dispozitivele noastre, fie că sunt PC-uri sau telefoane mobile, cel puţin niște poze la care ţinem și pentru care probabil am fi dispuși să facem eforturi de a le recupera, inclusiv prin plata unei sume de bani. Exact pe acest lucru se bazează și cei care se ocupă cu crearea și distribuirea unui malware de tip ransomware, iar statisticile internaţionale referitoare la câștigurile acestora ne spun că este o afacere foarte profitabilă.


În rândurile următoare se regăsesc o serie de recomandări/măsuri pentru prevenirea infectării cu ransomware, dar și pentru diminuarea daunelor produse în eventualitatea infectării. Aceste măsuri sunt preluate din „Ghidul privind combaterea ameninţărilor informa- tice de tip ransomware” publicat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, din al cărui colectiv de elaborare am făcut parte.
Măsuri de prevenție
  1. Fiți precauți! Această recomandare este general valabilă pentru a spori securitatea sistemelor informatice pe care le utilizaţi/administraţi. Este deja bine- cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă din lanţul ce formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). În consecinţă, vă recomandăm să nu accesaţi link-urile sau atașamentele conţinute de mesajele email suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. De asemenea, o atenţie sporită trebuie acordată site-urilor web pe care le accesaţi și surselor online pe care le utilizaţi pentru descărcarea sau actualizarea aplicaţiilor.
  2. Efectuați copii de siguranță ale datelor (backup). Cea mai eficientă metodă pentru combaterea ameninţării ransom- ware este realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dacă accesul la date este blocat de către un ransomware, datele dumneavoastră vor putea fi restaurate rapid, iar daunele provocate vor fi minime.
    IMPORTANT! Pentru backup utilizaţi un mediu de stocare extern care nu este conectat în permanenţă la sistem, altfel existând riscul ca, în cazul infectării cu ransomware, să fie criptate și fișierele de pe respectivul mediu de stocare.
  3. Activați opțiunile de tip „System Restore”. În cazul sistemelor de operare Windows, vă recomandăm activarea opţiunii „System Restore” pentru toate partiţiile de stocare. În cazul infectării cu malware sau compromiterii unor fișiere (chiar și fișiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioară. ATENȚIE! Nu vă bazaţi exclusiv pe această facilitate deoarece unele versiuni recente de ransomware șterg datele din „System Restore”.
  4. Implementați mecanisme de tip „Application Whitelisting”. „Application Whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai software autorizat/cunoscut. Conceptul în sine nu este nou, reprezentând practic o extindere a abordării „default deny ” (nu permite în mod implicit) utilizată de mult timp de soluţiile de securitate de tip firewall. În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţării malware și există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy).
  5. Dezactivați execuția programelor din directoare precum %AppData% și %Temp%. O soluţie alternativă la mecanismul de tip „Application Whitelisting” (nu la fel de eficientă, însă care aduce un spor semnificativ de securitate) este blocarea execuţiei programelor din directoare ca %AppData% și %Temp%, prin intermediul politicii de securitate (GPO – Group Policy Object) sau utilizând o soluţie de tip IPS (Intrusion Prevention Software).
  6. Afișați extensiile fișierelor. Unele tipuri de ransomware sunt livrate sub forma unor fișiere cu extensie cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia „.exe”, caracteristică fișierelor executabile, rezultând extensii de forma „.docx.exe”, „.txt.exe” etc. Astfel, afișarea extensiilor fișierelor poate facilita observarea fișierelor suspicioase/maliţioase. Este recomandat să nu rulaţi niciodată fișiere executabile venite prin email.
  7. Actualizați în permanență sistemele de operare și aplicațiile. Actualizarea aplicaţiilor/programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui nivel de securitate ridicat al sistemului
    informatic. De cele mai multe ori, un software neactualizat este echivalentul unei uși deschise (backdoor) pentru infractorii din mediul cibernetic. În general, producătorii de software publică în mod regulat actualizări (update-uri) pentru sistemele de operare și aplicaţii, utilizatorul având posibilitatea să configureze descărcarea și instalarea automată a acestora. Astfel, vă recomandăm să activaţi opţiunea pentru actualizări automate acolo unde este posibil și să aveţi în vedere modalitatea cea mai eficientă.
    pentru actualizarea celorlalte programe (verificarea periodică a versiunilor pe site-ul producătorilor).
    ATENȚIE! Deseori, programele maliţioase au fost livrate sub forma unui update de software. Verificaţi cu atenţie sursele utilizate pentru descărcarea/actualizarea de software.
  8. Utilizați soluții de securitate eficiente și actualizate. O măsură absolut necesară pentru prevenirea infecţiilor cu diferite tipuri de malware o reprezintă utilizarea uneia sau mai multor soluţii software de securitate eficiente și actualizate care să dispună de facilităţi/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc. Mai nou, unele produse antimalware oferă protecţie dedicată antiransomware.
  9. Utilizați instrumente software pentru monitorizarea fișierelor. Utilizarea de instrumente software pentru monitorizarea fișierelor (accesare, modificare, ștergere etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau reţelei.
  10. Manifestați atenție sporită la accesarea reclamelor web. Unele dintre versiunile recente de ransomware au fost livrate prin intermediul unor reclame maliţioase (malvertising) afișate pe site-uri web populare (știri, magazine online etc.). Vă recomandăm să evitaţi pe cât posibil accesarea reclamelor și chiar utilizarea unor instrumente software (de tip „add block”) care să blocheze automat încărcarea/afișarea reclamelor.
Măsuri de eradicare și limitare a efectelor
  1. Deconectați mediile de stocare externe. Deconectaţi urgent toate mediile de stocare externe conectate la PC (memorie USB, card de memorie, hard disk extern etc.), de-conectaţi cablul de reţea și dezactivaţi orice alte conexiuni de reţea ( WiFi, 3G etc.). Astfel se previne afectarea fișierelor stocate pe mediile de stocare externe sau celor accesibile prin reţea (network share, cloud storage etc).
  2. [Opțional]. Realizați o captură de memorie (RAM). În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a recupera cheile de criptare utilizate de ransomware din memorie, realizaţi cât mai rapid o captură de memorie (RAM), înainte de oprirea PC-ului, utilizând o unealtă specializată.
    ATENȚIE! Există riscul ca până la finalizarea procesului de realizare a unei capturi de memorie să fie afectate (criptate) cât mai multe fișiere (sau chiar toate). Decizia de a opri imediat PC-ul sau de a efectua mai întâi o captură de memorie trebuie luată în funcţie de priorităţi (sunt mai importante datele sau posibilitatea efectuării unei analize ulterioare?). Spre exemplu, dacă există un backup pentru datele stocate pe PC-ul afectat, sau fișierele nu sunt considerate importante, se poate lua decizia de a efectua o captură de memorie.
  3. Opriți PC-ul (Shutdown). În cazul în care suspectaţi că un PC a fost infectat cu ransomware și decideţi să nu realizaţi o captură de me- morie (conform pct. 2), vă recomandăm să-l opriţi imediat pentru a limita cât mai mult numărul fișierelor criptate.
  4. [Opțional] Realizați o copie (imagine) de HDD. În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a recupera o parte din fișiere cu ajutorul unor instrumente de tip „Data Recovery”, realizaţi o copie de tip „bit cu bit” (imagine) a hard-disk-urilor afectate de ransomware, utilizând o unealtă specializată.
  5. Realizați un back-up „offline” al fișierelor. Porniţi PC-ul (boot) utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern (CD, DVD, memorie USB etc.), majoritatea distribuţiilor moderne de Linux oferind această facilitate. Copiaţi pe un alt mediu de stocare toate fișierele de care aveţi nevoie, inclusiv pe cele care au fost compromise (criptate).
  6. Restaurați fișierele compromise. Cea mai simplă metodă de recuperare a fișierelor afectate de ransomware este restaurarea acestora din cadrul unor copii de siguranţă (backup). În cazul în care astfel de copii nu sunt disponibile, vă recomandăm să încercaţi recuperarea fișierelor prin „System Restore” sau utilizând instrumente software specializate de recuperare date (de tip „Data Recovery”).ATENȚIE! Vă recomandăm să încercaţi recuperarea datelor cu uneltele software de tip „Data Recovery” numai de pe imaginile (copiile) de HDD (realizate conform pct. 4), altfel existând riscul să compromiteţi șansele de reușită ale unor proceduri mai complexe ce presupun recuperarea datelor direct de pe mediile de stocare. Există soluţii pentru a încerca recuperarea datelor direct de pe mediile de stocare, însă acestea necesită un nivel ridicat de expertiză și dotări tehnice speciale.
  7. Dezinfectați sistemele informatice afectate. Cea mai sigură metodă prin care vă puteţi asigura că sistemul informatic nu mai conţine malware (sau rămășiţe de malware) este re-instalarea completă a sistemului de operare, prin formatarea tuturor HDD-urilor/ partiţiilor în prealabil. În cazul în care acest lucru nu este posibil (spre exemplu în cazul în care se intenţionează recuperarea datelor direct de pe HDD-urile afectate), vă recomandăm să utilizaţi una sau mai multe soluţii de securitate de tip antivirus/antimalware /antispyware pentru scanarea sistemului și dezinfectare acestuia.
    ATENȚIE! În cazul în care intenţionaţi să încercaţi recuperarea de date de pe HDD-urile afectate, conform indicaţiilor de la pct. 6, vă recomandăm să nu încercaţi dezinfectarea acestora, ci să utilizaţi alte HDD-uri pentru re-instalarea sistemului de operare.
    În ultimă instanţă, dacă fișierele v-au fost compromise și nicio încercare de recuperare a acestora nu a avut succes, trebuie să manifestaţi prudenţă cu privire la posibilitatea de a plăti răscumpărarea solicitată în mesajul de ransomware. Pe lângă faptul că ar contribui la încurajarea celor care se ocupă cu crearea și distribuirea de ransomware, nu există nicio garanţie reală că într-adevăr vă veţi recupera datele în urma plăţii, existând din ce în ce mai multe cazuri în care utilizatorii nu și-au recuperate datele ca urmare a efectuării plăţii solicitate de atacatori.

Bibliografie

[1]. https://cert.ro/vezi/document/ghid-protectie-ransomware
[2]. https://www.us-cert.gov/ncas/alerts/TA14-295A
[3]. http://www.symantec.com/connect/blogs/ransomware-how-stay-safe

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

590

autor: Gabriel-Cătălin Dinu

Preambul
Este securitatea  cibernetică  o  problemă care ar trebuie să îi îngrijoreze  în principal pe cetăţeni sau pe factorii de decizie? Sau în egală măsură și pe unii și pe alţii?
Cât  de  mult  ne  poate afecta o  problemă de securitate cibernetică?
Este o  chestiune de  interes la  nivel local sau naţional  ori  a căpătat  valenţe  internaţionale  ori chiar globale?
Cât de mult au înţeles factorii de decizie ce anume trebuie  făcut pentru a ne proteja? Și dacă au înţeles, cât de mult au aplicat  aceste cunoștinţe  pentru  a se organiza în ţara noastră?
Este necesară  o legislaţie  în domeniul  securităţii cibernetice?
Aceste  întrebări ar trebui să ne preocupe pe fiecare dintre noi atunci când ne confruntăm cu probleme de securitate  cibernetică  sau aflăm știri  despre evoluţii îngrijorătoare în acest domeniu.

 

 

De ce trebuie să ne preocupe securitatea cibernetică?
Dezvoltarea tehnologică a făcut ca în acest moment aproape toate sistemele esenţiale pentru buna funcţionare a unei societăţi, începând de la infrastructurile din domeniile energetic, transporturi, financiar – bancar până la administraţie, servicii medicale şi de urgenţă, chiar şi alimentaţie publică, să fie puternic informatizate. Aproape toate faţetele vieţii social-economice depind, la începutul secolului XXI, de buna funcţionare a sistemelor şi reţelelor informatice şi de comunicaţii. Creşterea tot mai accentuată a Internet of Things, împreună cu răspândirea sistemelor informatice mobile (telefoane, tablete, ceasuri inteligente) implică din ce în ce mai mult oamenii în spaţiul virtual. Înconjurat de Internet, cu posibilitatea de a cumpăra şi vinde online, de a-şi plăti facturile şi taxele, de a interacţiona cu apropiaţii oricând şi aproape de oriunde, de a obţine răspunsuri rapide la tot felul de întrebări, cetăţeanul de rând devine şi el dependent de noile tehnologii. Un blocaj sau o eroare în funcţionarea acestor sisteme poate să genereze nu doar bătaie de cap pentru administratorul de reţea sau enervarea unui utilizator, ci şi pierderea a miliarde de dolari de pe pieţele financiare, accidente aviatice cu pierderi de sute de vieţi omeneşti, sau chiar afectarea funcţionării unuia dintre elementele esenţiale ale societăţilor democratice prin afectarea procesului electoral.
Aceste valenţe au făcut ca spaţiul virtual să devină un adevărat câmp de luptă, pe care, în funcţie de cât de bine pregătit şi adaptat eşti, poţi să obţii rapid câştiguri extraordinare sau, din contră, să devii o victimă sigură.
Statele moderne sunt supuse unei presiuni pe de o parte pentru a investi în informatizare, crescându-şi astfel nivelul de competitivitate şi eficienţă, dar şi de a susţine investiţiile în tehnologia informaţiei şi comunicaţilor în mediul privat, şi pe de altă parte, trebuie să ia măsuri pentru a se asigura că nivelul securităţii cibernetice a infrastructurilor informaţionale este unul adecvat. Securitatea cibernetică a devenit atât de importantă pentru state, încât este menţionată în majoritatea documentelor strategice de securitate naţională din ultimii ani. Mai mult, un număr semnificativ de state au adoptat Strategii de securitate cibernetică, subiectul devenind în ultima perioadă din ce în ce mai accentuat abordat în domeniul apărării naţionale. Subiectul atacurilor cibernetice a devenit o problemă abordată la nivel internaţional şi subiect al dreptului internaţional, nu numai pentru legislaţia penală, unde există o serie de directive şi convenţii regionale şi internaţionale, dar şi, din ce în ce mai accentuat, pe problematica denumită cuprinzător „diplomaţie cibernetică”. Am putea defini termenul de „diplomaţie cibernetică” drept o componentă a diplomaţiei care urmăreşte rezolvarea problemelor apărute în spaţiul virtual1. Unul dintre scopurile urmărite de diplomaţia cibernetică este acela de a gestiona posibilităţile de apariţie a unor conflicte internaţionale cauzate de efectele utilizării infrastructurilor informaţionale pentru realizarea unor agresiuni cibernetice.
Pentru a avea un ordin de mărime al problemei securităţii cibernetice, putem lua în calcul faptul că la nivel mondial cheltuielile în domeniul securităţii cibernetice au atins cote semnificative, aflate într-un ritm crescător accelerat. Astfel, dacă în anul 2015 cota de piaţă a serviciilor de securitate cibernetică era estimată la 106 miliarde de dolari SUA iar pentru anul 2017 de 137,85 de miliarde dolari SUA, în 2022 aceasta este prevăzut să ajungă la valoare de 231,94 miliarde dolari SUA2.
Luând în calcul acest indicator corelat cu evoluţia nivelului riscurilor generate de creşterea nivelului de informatizare şi impactul tot mai pregnant al agresiunilor cibernetice asupra domeniilor critice pentru funcţionarea statelor, cercetătorii în domeniul apărării îşi pun întrebarea în ce măsură atât statele cât şi actorii non-statali îşi mai pot permite să abordeze problematica conflictelor cibernetice dintr-o perspectivă etică, existând o presiune din ce în ce mai mare pentru luarea unor măsuri rapide şi eficiente pentru protejarea propriilor interese3.
Exemple recente de evenimente majore de securitate cibernetică
Anul 2017 nu se anunţă a fi unul sărac în evenimente de securitate cibernetică. Numai în primul semestru au fost înregistrate câteva incidente importante, care ar trebui să servească drept memento-uri pentru persoanele de decizie, în ceea ce priveşte seriozitatea cu care trebuie privită securitatea cibernetică.
O parte dintre aceste incidente au fost generate de publicarea în luna aprilie, de către un grup cunoscut sub numele de „Shadow Brokers”, a unor instrumente cibernetice foarte puternice, care se presupune că ar aparţine National Security Agency4. Aceste instrumente conţineau şi exploit-uri pentru vulnerabilităţi de tip 0-day, care astfel au devenit disponibile oricărui actor interesat să le utilizeze.
Evenimentul menţionat a generat două valuri masive de atacuri de tip ransomware ( WannaCry şi Petya/NonPetya/Goldeneye), care s-au răspândit rapid afectând sisteme informatice de pe tot mapamondul. De exemplu, WannaCry a generat, în luna mai, disfuncţii în funcţionarea spitalelor aparţinând National Health Service din Marea Britanie, creând probleme pentru mulţi pacienţi britanici. O lună mai târziu, un malware de tip ransomware, cunoscut sub mai multe nume, în special Petya sau NonPetya, creat cu o tehnologie mai avansată decât WannaCry, a afectat reţele infor- maţionale din mai multă state, inclusiv companiile Merck, din SUA, Maersk din Danemarca, sau Rosnoft, din Federaţia Rusă, dar mai ales serviciile energetice, de transport şi bancare din Ucraina5. Petya/NonPetya este considerat de unii specialişti un atac ţintit împotriva infrastructurilor critice ucrainene, mascat sub forma unei campanii ransomware.
Un incident asemănător cu cel generat de „Shadow Brokers”, este cel al publicării de către WikiLeaks, în luna martie, a unei colecţii de instrumente cibernetice asociate atribuite serviciilor secrete americane, denumite generic „Vault 7”6. Situaţia a generat reluarea unor dezbateri cu privire la pericolul pe care dezvoltarea la nivel guvernamental a unor arme cibernetice îl poate constitui în situaţia în care acestea ajung în mâinile unor entităţi iresponsabile.
Luna mai a anului 2017 a fost cea mai bogată în evenimente, fiind marcată şi de dezvăluirea unui atac împotriva candidatului la alegerile prezidenţiale din Franţa, Emmanuel Macron, care s-a finalizat prin publicarea a circa 9GB de email-uri aparţinând echipei sale de campanie cu câteva zile înainte de alegeri7. Deşi echipa preşedintelui Macron a fost pregătită şi s-au luat la timp măsuri eficiente de contracarare a atacului, acest eveniment, care a urmat scandalului de anul trecut referitor la serverul DNC (Democratic National Commitee) din SUA a generat nelinişte şi nesiguranţă în statele europene în ceea ce priveşte posibilitatea influenţării de către un factor extern a unuia dintre pilonii societăţilor democratice – alegerea reprezentanţilor de către cetăţeni.
Înţelegerea de către factorii de decizie la nivel internațional a necesităţii de a proteja infrastructurile de comunicaţii şi tehnologia informaţiei
Problema securităţii cibernetice a căpătat o vizibilitate semnificativă la nivel internaţional la începutul secolului XXI.
La nivelul NATO securitatea cibernetică a fost introdusă pentru prima dată pe agenda de discuţii a Summit-ului de la Praga în anul 2002, fiind astfel recunoscut statutul acesteia în cadrul domeniului apărării. Ca urmare a atacurilor cibernetice care au vizat în anul 2007 infrastructurile Estoniei (Parlament, sistemul bancar, mass-media), a fost elaborată Politica în domeniul apărării cibernetice a NATO. Ulterior, în cadrul Summit-ului NATO de la Lisabona din 2010 s-a luat decizia înfiinţării unei capabilităţi proprii de apărare cibernetică a infrastructurilor Alianţei, denumită NATO Computer Incident Response Capability (NCIRC). Cel mai important pas de până acum în evoluţia domeniului la nivelul Alianţei este momentul recunoașterii oficiale de către NATO a spaţiului cibernetic ca teatru de operaţiuni militare, în cadrul Summit-ului de la Varșovia din 08-09 iulie 20168.
În cadrul „Manualului Tallin 2.0”, grupul de experţi ai ţărilor NATO a elaborat o serie de 154 de reguli derivate din studierea dreptului internaţional aplicabil, destinate a fi utilizate de specialiștii în domeniul securităţii cibernetice. Dintre acestea, consider relevante Regulile 20 și 21, care stipulează că un stat are dreptul să adopte contramăsuri (de natură cibernetică sau nu) la un atac cibernetic, ca răspuns la încălcarea de către alt stat a unei obligaţii rezultate din dreptul internaţional, dar numai cu scopul de a determina statul responsabil să își respecte obligaţiile pe care le are conform legii internaţionale faţă de statul afectat9.
În cadrul Uniunii Europene, un prim pas semnificativ a fost făcut în 2004, când a fost înfiinţată ENISA (European Union Agency for Network and Information Security), care are rolul de a coordona dezvoltarea culturii de securitate cibernetică în cadrul Uniunii Europene. În anul 2013, a fost adoptată „Strategia de securitate cibernetică a Uniunii Europene: un spaţiu cibernetic deschis, sigur și securizat”. În vederea implementării strategiei au fost dezvoltate și aprobate în anul 2016 două documente, unul în domeniul apărării cibernetice – „EU Cyber Defence Policy Framework”, respectiv o directivă cu rolul de protejare a securităţii cibernetice a pieţei comune, cunoscută sub numele de „Directiva NIS”10.
A fost creat, în anul 2017, și un „Set de instrumente privind diplomaţia cibernetică”, dezbătut de Consiliul Uniunii Europene în luna iunie, cu scopul de a dezvolta un cadru privind un răspuns diplomatic comun al Uniunii la activităţile cibernetice agresive. Unul dintre pilonii pe care se fundamentează viziunea din acest document este constituit de concluzia că nu pot fi descurajate agresiunile cibernetice utilizând exclusiv diplomaţia (soft power), ci trebuie dezvoltate suplimentar atât rezilienţa infrastructurilor cât și capabilităţile de retorsiune11. Instrumentele de diplomaţie cibernetică ale Uniunii Europene conţin referinţe specifice dreptului internaţional referitoare la utilizarea forţei și atacurile armate, asemănător cu abordarea NATO.
Direcţia conceptuală urmată de diplomaţia cibernetică a Uniunii Europene, care a abordat subiectul încă din anul 2015, este conformă cu concluziile evaluărilor realizate de grupurile de experţi din cadrul ONU (Organizaţia Naţiunilor Unite) și OSCE (Organizaţia pentru Securitate și Cooperare în Europa), în ceea ce privește folosirea instrumentelor de „soft power ” pentru gestionarea situaţiilor care ar putea naște un conflict ca urmare a utilizării infrastructurilor informatice și de tehnologia comunicaţiilor.
Atât ONU cât și OSCE depun eforturi pentru identificarea unor principii, norme, reguli și măsuri acceptate de actorii din plan internaţional în vederea creșterii cooperării pentru protejarea securităţii infrastructurilor informatice și de tehnologia comunicaţiilor și reducerea riscului de generare a unor conflicte ca urmare a utilizării acestora. În acest scop, experţii ONU au elaborat 3 rapoarte (UN GGE Reports) în anii 2010, 2013 și 2015, în cadrul cărora sunt enunţate o serie de norme cu caracter voluntar, precum și principii, dintre care cel mai important este cel al aplicabilităţii legii internaţionale în domeniul securităţii cibernetice12.
În consonanţă cu recomandările UN GGE, OSCE a mers mai departe și a reușit să adopte, prin două decizii ale Consiliului Permanent, 16 măsuri de creștere a încrederii (CBM’s), de asemenea cu caracter voluntar, care au rolul de a determina schimbul de informaţii între statele membre și implementarea unor mecanisme care să asigure adoptarea unei atitudini responsabile în utilizarea IC Ts și comunicarea între actorii statali cu privire la măsurile luate și incidentele și atacurile cibernetice13. În prezent, OSCE urmărește să identifice mecanisme adecvate și coerente pentru a putea pune în practică CBM’s, pornind de la modalitatea efectivă prin care statele pot comunica într-o situaţie de utilizare a infrastructurilor informatice care ar putea genera un conflict.
Raportarea la nivel naţional la riscurile şi ameninţările din spaţiul cibernetic
La rândul lor, marea majoritate a statelor au adoptat documente strategice oficiale pentru reglementarea internă a domeniului securităţii cibernetice. De exemplu, în cadrul Uniunii Europene Directiva NIS introduce obligaţia statelor membre de a adopta strategii naţionale în domeniul securităţii reţelelor și sistemelor informatice până la sfârșitul lunii mai 2018.
Tot în cadrul Uniunii Europene, ENISA a elaborat în 2012 un ghid de bune practici pentru întocmirea strategiilor de securitate cibernetică, în cadrul căruia sunt indicate o serie de probleme pe care aceste documente ar trebui să le abordeze pentru a putea să răspundă cât mai bine scopului pentru care un astfel de document este realizat14.
În primul rând, ENISA recomandă fiecărui stat să își stabilească o viziune, un scop al strategiei, obiective de atins și o serie de priorităţi, în funcţie de care să stabilească o foaie de parcurs pentru implementarea documentului de planificare strategică. Apoi, în baza unei analize de risc, realizată în cooperare cu toate părţile interesate, în baza căreia să fie stabilite sectoarele critice și riscurile principale care trebuie să fie avute în vedere pentru măsurile ce vor fi aplicate.
Următoarea etapă, de asemenea foarte importantă, o constituie crearea unui cadru organizatoric de guvernanţă în domeniul securităţii cibernetice, în cadrul căruia să fie identificate entităţile cu responsabilităţi în domeniu, cu atribuţii clar delimitate. Responsabilul pentru implementarea strategiei de securitate cibernetică este recomandat să fie de obicei un CIO (chief informations officer), desemnat de președinte sau de către premier. De asemenea, este ncesar să fie desemnată o structură de consiliere, cu membri din administraţia centrală și din mediul privat. Alte componente ale cadrului organizatoric naţional vor avea atribuţii de reglementare, colectare de date referitoare la ameninţări și vulnerabilităţi, răspunsul la atacuri cibernetice și managementul crizelor. ENISA recomandă și existenţa unui Centru Naţional de Securitate Cibernetică, responsabil de protecţia infrastructurilor critice informaţionale de la nivel naţional. Toate aceste entităţi trebuie să aibă definit un cadru de reglementare a modului în care vor interacţiona pentru îndeplinirea responsabilităţilor și sarcinilor trasate.
Strategia trebuie să identifice toţi stakeholder-ii, atât din mediul public cât și din cel privat, astfel încât toţi aceștia să participe la elaborarea reglementărilor și să aibă roluri și responsabilităţi clar definite. ENISA recomandă identificarea unor stimulente pentru a facilita implicarea entităţilor din mediul privat și cel public în participarea la acest proces. Incapacitatea de a îndeplini această recomandare stă de multe ori la baza eșecului demersurilor de reglementare a securităţii cibernetice. O altă problemă din aceeași categorie o reprezintă implicarea redusă a societăţii civile în acest proces, care produce ulterior efecte similare, contribuind la respingerea actelor normative prin opoziţia manifestată în momentul încercărilor guvernanţilor de a le promova.
Pentru a putea vorbi despre asigurarea unui nivel minim de securitate a infrastructurilor de tehnologia informaţiei și de comunicaţii, acestea trebuie să respecte niște cerinţe de securitate, care vor fi elaborate de către autorităţile cu rol de reglementare. Aceste cerinţe pot să aibă la bază standardele tehnice de securitate precum ISO27000, COBIT, ITIL. Rolul acestor cerinţe este, pe de o parte de a stabili un limbaj comun între autorităţi și organizaţiile publice și private, dar și de a crea un sistem cu practici armonizate și referinţe comune pentru toate aceste entităţi.
Este, de asemenea, foarte important, să fie înfiinţate platforme și mecanisme securizate pentru schimbul de informaţii. Dezvoltarea cooperării între toate entităţile interesate, care este esenţială pentru protejarea securităţii cibernetice are nevoie de stabilirea unor canale securizate de schimb de informaţii, pentru a crește încrederea participanţilor la acest schimb în capacitatea sistemului astfel creat de a le proteja interesele, fără a le pune în pericol informaţiile sensibile pe care acceptă să le împărtășească.
Un alt sistem necesar este cel de raportare a incidentelor de securitate cibernetică de către operatorii de infrastructuri de tehnologia informaţiei și de comunicaţii către entităţile cu rol de gestionare a incidentelor cibernetice și managementul crizelor. Astfel, un sistem eficient de raportare a incidentelor va putea conduce la scăderea timpilor de reacţie la incidente. De asemenea, analiza acestora precum și evaluarea modalităţii în care au fost rezolvate ajută autorităţile de reglementare să reevalueze, atunci când este cazul, atât riscurile și ameninţările cibernetice, cât și cerinţele minime de securitate.
Cooperarea este esenţială pentru asigurarea securităţii cibernetice. În primul rând, mai ales având în vedere interconexiunile între infrastructuri, aproape întotdeauna un incident semnificativ va afecta, măcar în plan secundar, și interesele cel puţin unei alte entităţi. Dacă statul are atributul fundamental al protejării siguranţei și intereselor cetăţenilor săi, mediul privat pe de o parte deţine sau administrează majoritatea infrastructurilor critice ale statului, de funcţionarea cărora depind atât propriile sale interese cât și ale cetăţenilor, și pe de altă parte deţine în general și capacitatea de a produce sau accesa cele mai puternice tehnologii de securitate cibernetică. Partenerialul public-privat este astfel o soluţie logică, deoarece alătură interesele complementare ale celor două categorii de entităţi, și ajută la utilizarea în comun a unor resurse mai greu de accesat separate.
Tot în paradigma nevoii de cooperare intră și cooperarea internaţională. Așa cum am arătat mai sus, problematica este abordată deja la toate nivelurile în plan internaţional, ameninţările cibernetice având, prin natura lor, un caracter transnaţional. Faptul că aceste ameninţări nu sunt afectate de graniţele fizice și se manifestă de multe ori la nivelul unui număr semnificativ de state face nu numai de dorit dar chiar necesară cooperarea între state. Fiecare stat are nevoie să își desemneze entităţi cu rol de punct de contact pentru cooperarea la nivel internaţional. Implicarea în tratate, convenţii, sau eforturi internaţionale în domeniul securităţii cibernetice este importantă și benefică pentru protejarea intereselor statului și păstrarea contactului cu demersurile realizate la acest nivel.
O strategie de securitate cibernetică trebuie să cuprindă și dezvoltarea unor planuri pentru situaţiile de urgenţă, care să stabilească structurile responsabile, măsurile ce trebuie adoptate pentru restabilirea bunei funcţionări a infrastructurilor de tehnologia informaţiei și de comunicaţii afectate de incidente. Planificarea pentru gestionarea situaţiilor de urgenţă este esenţială în vederea obţinerii rezilienţei infrastructurilor unui stat faţă de atacurile cibernetice. Capacitatea de gestionare a incidentelor cibernetice și de recuperare a funcţionalităţii infrastructurilor afectate depinde astfel de măsura în care statul este capabil să își realizeze și pună în practică prin dezvoltarea de capabilităţi aferente acest gen de planuri, într-o manieră coerentă și eficientă.
Pentru a se asigura de buna funcţionare a sistemului de securitate cibernetică, strategia de securitate cibernetică trebuie să cuprindă obligativitatea adoptării unor măsuri de verificare și autoreglare, prin realizarea de exerciţii cibernetice. Prin acestea, se vor testa mecanismele aflate în funcţiune, nivelul de pregătire și capacitatea entităţilor implicate de a gestiona problemele de securitate.
Strategiile trebuie să aibă în vedere și dezvoltarea capabilităţilor cibernetice proprii, fie că sunt de natură tehnică, resurse umane sau know-how, necesare pentru asigurarea securităţii, a rezilienţei, a capacităţii de gestionare a incidentelor sau chiar de retorsiune. Pentru a-și asigura aceste capabilităţi, nu se poate baza numai pe cooperare și achiziţii financiare ci are nevoie să investească în domeniul de cercetare- dezvoltare și în realizarea unor programe educaţionale.
Un domeniu care nu trebuie neglijat în cadrul unei strategii de securitate cibernetică este cel al criminalităţii cibernetice, un flagel care are o răspândire transnaţională și afectează un număr foarte mare de entităţi. Amploarea acestuia face necesară implicarea statelor în formate de cooperare internaţionale pentru a putea contracara riscurile generate. Nu în ultimul rând, ci poate una dintre cele mai importante funcţii ale sistemului de securitate cibernetică o constituie realizarea activităţilor cu scop de creștere a nivelului de conștientizare a riscurilor și ameninţărilor de securitate de către public. Cetăţenii trebuie să înţeleagă necesitatea aplicării măsurilor de securitate cibernetică și să le susţină, iar acest lucru nu poate fi realizat decât atunci când sunt informaţi de către autorităţi și specialiști cu privire la efectele pe care le pot resimţi dacă nu se asigură un nivel corespunzător de securitate a infrastructurilor de tehnologia informaţiei și comunicaţii. Un alt element important în această ecuaţie îl constituie și menţinerea unui echilibru între securitate și protecţia drepturilor fundamentale și a intimităţii cetăţenilor.
O parte dintre elementele enumerate mai sus se regăsesc în Directiva NIS, transpunerea sa în legislaţiile naţionale ale statelor membre ale Uniunii Europene fiind obligatorie până în anul 2018. Dincolo de această obligaţie, fiecare dintre componentele strategiei ar trebui să fie dez voltate în legislaţiile naţionale ale oricărui stat responsabil, pentru a putea să contribuie la funcţionarea sistemului de securitate cibernetică al acestuia.
Concluzii
Având în vedere complexitatea ameninţărilor şi riscurilor din spaţiul virtual şi implicaţiile numeroase pe care utilizarea infrastructurilor informatice le are, atât din punct de vedere legal, cât şi în planul securităţii naţionale și al relaţiilor internaţionale, este necesar în primul rând ca statele să îşi dezvolte rapid capabilităţi care să le asigure rezilienţa infrastructurilor critice, dar și capacitatea de a se apăra împotriva atacurilor cibernetice. Bineînţeles că abilitatea de a utiliza suplimentar și mijloace de retorsiune este, de asemenea, o modalitate prin care un stat își poate apăra interesele descurajând agresiunile împotriva infrastructurilor sale critice.
Pentru a atinge aceste scopuri, este necesară în primul rând alocarea în mod eficient a resurselor printr-o organizare clară şi coerentă a domeniului securităţii cibernetice. Tot acest efort pornește de la principiile stabilite și priorităţile strategice identificate în urma analizei de risc, soluţiile organizaţionale adoptate pe baza acestora depinzând ulterior, bineînţeles, atât de modalitatea de administrare cât şi de importanţa strategică ce i se va acorda domeniului de către decidenţi.
Un stat care nu este capabil să își dezvolte un sistem instituţional funcţional de protejare a securităţii cibernetice nu are cum să facă faţă provocărilor pe care le ridică realitatea confruntărilor din spaţiul virtual și nu își va putea proteja infrastructurile, interesele și cetăţenii împotriva agresorilor. Elementele de strategie descrise mai sus sunt esenţiale pentru îndeplinirea acestei funcţii, care începe să devină esenţială pentru orice stat modern, dar nu adoptate separat sau parţial, deoarece ele sunt complementare și compun un sistem. De exemplu, va fi dificil să fie adoptate reacţii eficiente și eficace la atacuri cibernetice de către un stat care și-a dezvoltat capabilităţi puternice de gestionare a incidentelor cibernetice și chiar și de retorsiune, dacă nu are un sistem funcţional de raportare a incidentelor cibernetice sau planuri coerente de răspuns la situaţii de criză în domeniul securităţii cibernetice.
În concluzie, adoptarea legislaţiei în domeniul securităţii cibernetice este o necesitate pentru orice stat, iar toţi stakeholder-ii, indiferent că aparţin aparatului guvernamental, ori legislativ, mediului privat ori societăţii civile trebuie să fie instruiţi cu privire la riscurile pe care le generează orice întârziere în finalizarea și intrarea sa în vigoare.

1 https://uscpublicdiplomacy.org/blog/cyber-diplomacy-vs-digital-diplomacy-terminological-distinction
2 http://www.marketsandmarkets.com/Market-Reports/cyber-security-market-505.
html?gclid=CNb6w7 mt8MgCFQoEwwodZVQD-g
3 Mariarosaria Taddeo, Ludovica Glorioso
4 https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-
dumped-its-most- damaging-release-yet/
5 https://www.wired.com/story/2017-biggest-hacks-so-far/
6 https://wikileaks.org/ciav7p1/
7 https://www.cyberscoop.com/nsa-alerted-france-to-russian-hacking-against-presidential-
campaign-targets/
8 https://ccdcoe.org/news/
9 Michael N. Schmitt, pag. 111 și 116
10 „Directiva (UE) 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor și a
sistemelor informatice în Uniune”
11 Erica Moret, Patryk Pawlak
12 Raportul UN GGE
13 Decizia nr. 1202 a Consiliului Permanent „OSCE ConfidenceBuilding Measures to Reduce the Risks
of Conflict Stemming from the Use of Information and Communication Technologies”
14 „National Cyber Security Strategies – Practical Guide on Development and Execution”

Bibliografie

„Talinn Manuall 2.0 – On the International Law Applicable to Cyber Operations”, editor Michael N. Schmitt, Cambridge University Press, 2017

Decizia nr. 1202 a Consiliului Permanent „OSCE Confidence Building Measures to Reduce the Risks of Conflict Stemming from the Use of Information and Communication Technologies” disponibil online la adresa https://www.osce.org/pc/227281?download=true

„Directiva (UE) 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune”, disponibilă online la adresa https://eur-lex.europa.eu.legal-content/EN/TXT/?uri=u riserv%AOJ.L_.2016.194.01.0001.01.ENG

„Ethics and Policies for Cyber Operations – A NATO Cooperative Cyber Defence Centre of Excellence Initiative”, editori Mariarosaria Taddeo, Ludovica Glorioso; dis- ponibil online la adresa https://ccdcoe.org/multimedia/ ethics-and-policies-cyber-operation-nato- cooperative- cyber-defence-centre-excellence.html

„National Cyber Security Strategies – Practical Guide on Development and Execution” disponibil online la adresa https://www.enisa.europa.eu/publications/ national-cyber- security-strategies-an-implementation- guide

Raportul UN GGE – Group of Governmental Experts on Developments in the Field of Informa- tion and Telecommunications in the Context of International Security – 2015, disponibil online la adresa https://www.un.org/ga/search/view_doc. asp?symbol=A/70/174

„The EU Cyber Diplomacy Toolbox: towards a cyber sanctions regime?”, editori Erica Moret, Patryk Pawlak, disponibil online la adresa https://www.iss.europa.eu/ sites/default/EUISSFiles/Brief_24_Cyber_sanctions.pdf

https://uscpublicdiplomacy.org/blog/cyber-diplo- macy-vs-digital-diplomacy-terminological-distinction
http://www.marketsandmarkets.com/Market-Re- ports/cyber-security-market-505.html?gclid=CNb6w7 mt8MgCFQoEwwodZVQD-g
https://arstechnica.com/information-technolo- gy/2017/04/nsa-leaking-shadow-brokers-just-dumped- its-most- damaging-release-yet/
https://www.wired.com/story/2017-biggest-hacks- so-far/
https://wikileaks.org/ciav7p1/
https://www.cyberscoop.com/nsa-alerted-france- to-russian-hacking-against-presidential-campaign- targets/
https://ccdcoe.org/news/

389

autor: Marco Obiso

ITU, așa cum a solicitat comunitatea  internaţională în cadrul summit-ului  UN World,  și-a însușit  ca principiu fundamental al mandatului său necesitatea de a construi încredere și  securitate în  utilizarea   IT&C. Tehnologia informaţiei și comunicaţiilor  se poate să se fi schimbat de la inventarea telegrafului, dar misiunea ITU de a «conecta lumea» de o manieră  sigură și securizată nu s-a schimbat.

În  urmă cu 145 de ani ITU a fost  înfiinţată pentru a trata cu provocările și oportunităţile a ceea ce a fost începutul  erei informaţiei. Astăzi, IT&C a devenit o parte esenţială a dezvoltării umane. Administrarea și asigurarea furnizării  de apă, reţelele  de energie  electrică, lanţurile de distribuţie de alimente, transporturile și sistemele de navigaţie depind de IT&C.

Cybersecurity Coordinator, International Telecommunication Union, Geneva

Procesele industriale și lanţurile de aprovizionare sunt susţinute de IT&C pentru a furniza servicii mai eficient dar și pentru a sprijini construirea  capacităţilor  de utilizare eficientă a acestora.

Esenţa  provocărilor  aduse de securitatea cibernetică este că Internetul și IT&C-ul global nu au fost proiectate cu  gândul la securitate. Mediul cibernetic de  astăzi este semnificativ  diferit  de cel din urmă cu 60 de ani și provoacă  în mod continuu multe dintre abordările tradiţionale  ale securităţii,  solicitând  din ce în ce mai mult soluţii holistice și inovative. Un lucru însă este cert: securitatea cibernetică este o problemă globală care nu poate fi abordată decât global.

Ca agenţie a ONU care coordonează IT&C-ul, ITU joacă un rol pivotal în facilitarea colaborării globale și împreună cu guvernele, sectorul privat, societatea civilă și organizaţiile internaţionale poate accelera procesul dobândirii unei culturi globale de securitate cibernetică prin:

    • Facilitarea armonizării framework-urilor la nivel naţional, regional și internaţional;
    • Furnizarea unei platforme pentru discutarea și agrearea unor mecanisme tehnice, care să fie utilizate pentru diminuarea riscurilor care apar datorită utilizării neadecvate a IT&C;
    • Asistarea statelor membre în înfiinţarea structurilor organizaţionale necesare pentru răspunsul proactiv la ameninţările cibernetice, susţinând coordonarea și cooperarea cu toţi stakeholder-ii la nivel naţional și internaţional;
    • Promovarea importanţei construirii de capacităţi și cooperării internaţionale ca elemente cheie pe care ţările să le urmărească pentru a dobândi competenţele și expertiza necesare obţinerii unei culturi de securitate cibernetică la nivel naţional, regional și global.

În mai 2011, a fost făcut primul pas în această direcţie odată cu semnarea unui memorandum de cooperare [memorandum of understanding (MoU)] între ITU și Biroul ONU pentru droguri și infracţiuni (United Nations Office on Drugs and Crime) pentru cooperare globală și susţinerea statelor membre pentru diminuarea riscurilor aduse de securitatea cibernetică, având ca obiectiv utilizarea în siguranţă a IT&C. Este pentru prima dată când două organizaţii din cadrul ONU au agreat formal să coopereze la nivel global cu privire la securitatea cibernetică.

În iunie 2017, ITU a încheiat un protocol similar cu INTERPOL, urmând o abordare similară de utilizare a resurselor pentru ajutorarea respectivelor comunităţi.

ITU a realizat importanţa descentralizării și distribuirii eforturilor, împuternicind acele organizaţii și entităţi care posedă cunoștinţele și expertiza specifică necesare pentru a furniza asistenţa adecvată nu doar membrilor ITU, ci și comunităţii ca un întreg.

Stabilirea unei securităţi cibernetice globale poate fi o sarcină complexă, cu multiple faţete și provocatoare, dar dacă vom acţiona ca un întreg beneficiile aduse de societatea informaţională pot oferi umanităţii cea mai bună șansă pe care a avut-o vreodată pentru a se dezvolta în pace și securitate.

autor: Laurent Chrzanovski

Conștientizarea, mereu și întotdeauna conștientizarea. Singura raţiune de a fi a acestei reviste. Conștientizarea  este UMANĂ  înainte de a fi TEHNICĂ.

Toată   echipa   de   conducere    a   unei   companii    sau   a   unei instituţii trebuie  să  aibă  un  nivel minim  de  conștientizare  pentru a putea colabora  cu  specialiștii pe  securitate  și  IT –  CISO, CIO  și CSO – asigurându-se că nevoile minime tehnice și umane sunt satisfăcute și că investiţiile necesare sunt făcute pentru ca aceștia să îmbunătăţească  zilnic sistemele de apărare pentru a face faţă în cel mai bun mod posibil panoramei de ameninţări mutante, de la o zi la alta. Până la urmă, dacă se întâmplă un accident  major, CSO-ul poatevconfrunta încă multă vreme după aceea și echipa de conducere  și nimeni altcineva va trebui să dea socoteală pentru pierderi.

Din cauza  ameninţărilor din interior (din ignoranţă)  mai mari ca niciodată, un ecosistem  sigur poate fi construit doar cu participarea activă a tuturor angajaţilor, fără a exclude  pe nimeni. Toţi trebuie să aibă șansa de a li se furniza o capacitate minimă  de conștientizare, pentru a-și aduce o contribuţie efectivă la locul de muncă.  Până la urmă, dacă se întâmplă un accident  major, sistemul se va confrunta cu tăieri de costuri, care vor proveni în principal din prima măsură luată, de concediere  a multor angajaţi…

Într-o ediţie dedicată  atâtor afaceri ne-financiare  care devin 4.0, de la armate la marile industrii și, nu în cele din urmă, întregi sisteme de administrare guvernamentală,  avem  în sfârșit date despre costurile reale ale unui atac global indirect: „notPetya aka Goldeneye. În sfârșit lăsăm în urmă titlurile din media generalisă, „mai mult sau mai puţin Sci-Fi”, cu afirmaţiile lor despre  potenţialii  originatori, războaiel între state, concluziile  pripite etc., pentru a corela informaţiile reale despre consecinţele  acestui malware global asupra unor companii  de top, reflectate în declaraţiilor lor fiscale la jumătatea anului (S1).

În timp  ce  așteptăm  impactul  asupra profiturilor din  S1, avem deja câteva rezultate uimitoare referitoare la T2: Mondelez,  lider multinaţional în alimentaţie din SUA – pierdere de venituri de 3%; Reckitt, lider multinaţional în industria farmaceutică din UK – pierdere de venituri de 2%; Maersk, liderul mondial danez de transport maritim – pierdere de 300 de milioane USD, estimată doar ca o primă consecinţă directă a atacului.

Cel mai bun exemplu, după publicarea  rezultatelor pentru  S1 de compania  însăși1, este probabil cazul multinaţionalei franceze Saint-Gobain, unul dintre liderii globali în construcţii și materiale de mare performanţă: trei zile pierdute… au lucrat doar cu creion și hârtie2, 220 milioane de euro pierdere, ceea ce reprezintă o pierdere de 1,1% de venituri… și o scădere a profitului operaţional cu 4,4%. Și vorbim despre o companie  care a înregistrat un semestru S1 record,„incluzând și atacul”, înregistrând  o creștere  a profitului operaţional  de 6,8%. După părerea noastră, compania  a fost prudentă  atunci când a previzionat un cost anual total al atacului de  250 milioane de  euro, recunoscând  că cca. 30 milioane de euro, datoraţi consecinţelor, vor fi plătiţi în T3. Analiștii externi estimează un cost minim  al atacului de cel puţin 330 milioane de euro, care se va reflecta în cifra de afaceri pe 2017. 3

Aceste companii sunt gigantice, ele pot rezista la unul două atacuri de tip „notPetya pe an. Dar chiar și pentru ele, problema  rămâne: ce se întâmplă cu gradul de încredere?  După cum a afirmat un specialist în investiţii: „Pentru acţionari, a venit vremea să se dea socoteala”.

Pentru toate companiile  mai mici, alte atacuri ar putea avea consecinţe  severe și le-ar putea face chiar să se prăbușească. Și toate acestea, pentru ce? Mereu și întotdeauna doar pentru mentalitatea tradiţională a echipei de conducere:

  1. Nu prezentăm interes pentru hackeri, poate doar bazele noastre de date și tranzacţiile financiare să prezinte vreun interes, dar le-am securizat.
  2. Nu  înţeleg  problemele  de  securitate  cibernetică  și nu-l  am  pe  CISO  lângă  mine  în board-ul companiei.
  3. Departamentul  CSO  va rezolva toate problemele, cu companiile  specializate în acest domeniu, pentru că plătim aceste servicii.

Rezultatul este că nu se face nici o conștientizare  de jos până sus, nu se creează o cultură de securitate cibernetică  și – din nou – nu există nici un moment  de teamă că suntem sub un atac permanent, ceea ce înseamnă că nu există nici o conștientizare a faptului că întreaga companie, de la omul de serviciu și până la directorii executivi de top, ar trebui implicată în securizarea ecosistemului  digital de la locul de muncă.

Noi, occidentalii, suntem slabi și neinformaţi în mod particular, spre deosebire de alte ţări – și am putea da ca exemplu Israel și India – în care nu puţine companii cu profil industrial și-au dezvoltat echipe de black hats/white hats/red teams, construite  în jurul unor profesioniști tineri pasionaţi care urmăresc proactiv și ceas de ceas ce se întâmplă, corelând informaţii de  pe  forumuri  private, de  pe  deep  web, cu  informaţiile din reţelele proprii. Ei reprezintă elementele cheie pentru a testa toate sistemele companiei și pentru a previziona atacuri cu toţi vectorii existenţi și vulnerabilităţile deja cunoscute  de către hackeri, dar încă neutilizate.

Și dincolo  de  conștientizare,  „să dea Dumnezeul 4.0ca  liderii  companiilor   noastre  să înţeleagă că participarea în mecanismele naţionale și globale de declarare a vulnerabilităţilor nu este împotriva interesului propriu, ci dimpotrivă. Ceea ce va fi împotriva propriilor interese va fi vizibil în câteva luni, sau în cel mai bun caz în câţiva ani, când atacuri de tipul „not-Petyas” vor avea loc săptămânal…

1 https://www.saint-gobain.com/sites/sgcom.master/files/s1-2017-fra_a.pdf
2 http://www.lemonde.fr/economie/article/2017/06/30/trois-jours-apres-la-cyberattaque-petya-saint-
gobain-travaille-a-l-ancienne_5153635_3234.html
3 http://www.securityweek.com/notpetya-attack-costs-big-companies-millions

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu.

676

Rolul Internetului în ziua de astăzi nu poate fi neglijat. Acesta facilitează comunicarea rapidă și cost eficientă dintre oameni, oferind oportunități vaste pentru afaceri, cetățeni și guverne pentru a-și administra activitățile. Cu toate acestea, Internetul devine un mediu tot mai atractiv pentru diverse elemente malițioase cum ar fi: Script Kiddies, „Hacktivists”, crima organizată, terorismul și intruși sponsorizați de stat. Acestea reprezintă grupuri de actori de amenințare, care au diferite capacități, motive și metode în urmărirea scopurilor lor.

Dezvoltarea rapidă a tehnologiilor oferă răufăcătorilor oportunităţi variate de a găsi cea mai potrivită și cost avantajoasă cale de intruziune. Atât sectorului public, cît și celui privat îi vine tot mai greu și mai greu să facă faţă provocărilor de securitate cibernetică. Timpurile cînd organizaţiile erau în stare să reziste de sine stătător la presiunile atacatorilor cibernetici au trecut.

autor:
Natalia Spinu

Incidentele cibernetice recente care au avut loc în marele companii cum ar fi Sony, eBay și JP Morgan, la fel ca și în cadrul organizaţiilor guvernamentale cum ar fi Oficiul de management al personalului SUA, care au investit milioane de dolari în securitatea cibernetică, au demonstrat cît de reale sunt ameninţările. Dar ce să zicem despre companiile mai mici, care au capacităţi mai reduse în protecţia mediului său de afaceri?

Din acest motiv cooperarea și schimbul de informaţii joacă un rol tot mai important în asigurarea securităţii cibernetice. Beneficiile unor astfel de parteneriate sunt evidente – schimbul de informaţii permite de a consolida capacităţile de detectare a tuturor membrilor participanţi într-o reţea unică de informare, facilitează transferul rapid a cunoștinţelor în domeniul ameninţărilor, previne propagarea ameninţărilor și reduce dublarea eforturilor.

Oricum, implementarea componentei de schimb de informaţii în mediul corporativ sau guvernamental nu este o sarcină atît de ușoară cum s-ar fi părut. Există multe provocări din partea sectorului public și cel privat, care împiedică atingerea scopului comun – de a fi mai rezistent atacurilor cibernetice. Cîteva din ele ar fi:

Inițiativa. Cine trebuie să iniţieze și să coordoneze procesul? Trebuie să fie guvernul sau lumea afacerilor? În general, publicul consideră lumea afacerilor de a fi forţa motrice a dezvoltării tehnologiilor, cea mai avansată în domeniul securităţii cibernetice și acea forţă care„știe cel mai bine ce de făcut și cum de făcut”. În contrast cu sectorul privat, sectorul public, care pe de o parte este o piaţă pentru servicii, pe de alta parte crede «De ce ar trebui să aibă grijă de întreaga naţiune?».

Concurența de piață. Companiile private ar putea percepe cunoașterea ameninţării ca avantaj competitiv. Din alt punct de vedere, instituţiile de reglementare ar putea interpreta schimbul de cunoștinţe ca un comportament anticoncurenţial.

Reputația. „Ok. Dacă voi dezvălui informaţia privind ameninţarea și o voi face publică, cine va avea încredere apoi în serviciile pe care le prestez?” Temerile de a aduce daune reputaţiei sale în urma divulgării informaţiei va avea o reflecţie negativă în mass-media.

Confidențialitate. În unele ţări, legislaţia în domeniul protecţiei datelor naţionale consideră adresa Internet Protocol (IP) și alte elemente ale informaţiei cibernetice ca date cu caracter personal, care nu pot fi împărtășite fără acordul explicit al proprietarului său.

Autoritate. Cine din cadrul unei companii sau a unei instituţii ar trebui să deţină autoritatea de a dezvălui informaţiile? Ar trebui să fie reprezentantul managementului de nivel superior sau un specialist din domeniul securităţii IT?

Confidențialitate. Sunt diferite tipuri de secrete: secret de stat, secret din domeniul afacerilor, secret personal, și altele. Ce informaţie anume poate fi dezvăluită pentru, pe de o parte, a atinge scopurile comune, dar și pe de altă parte a păstra secretele ce ţin de aceste informaţii?

Capacitate. Nu este de ajuns doar de a face parte dintr-o iniţiativă de schimb de informaţii. Pe de o parte, organizaţia trebuie să deţină capacităţi umane și tehnice pentru a raporta comunităţii informaţia referitor la ameninţări, iar pe de altă parte să fie în stare să utilizeze informaţia recepţionată.

Interesant este modul în care diferite state abordează aceste probleme. Potrivit unui studiu recent1, realizat de Agenţia Uniunii Europene pentru Securitate Informaţională și de Reţea (European Union Agency for Network and Information Security – ENISA), ţările membre ale uniunii europene, la fel ca și Mediul Economic European (European Economic Area – EEA), ţările membre a Asociaţiei Europeane de Liber Schimb (European Free Trade Association – EFTA), s-au examinat diverse modalităţi de promovare a schimbului de informaţii în domeniul cibernetic. De bază sunt „legislaţia de comandă și control”,„reglementare prin cooperare”,„auto-reglementare”.

Abordarea prin „legislaţie de comandă și control” presupune aplicarea unor norme legale obligatorii în legislaţia naţională, care identifică părţile care trebuie să distribuie informaţia despre incidente cibernetice anumitor entităţi. Un bun exemplu de aplicare a acestor norme este Directiva 2009/140/EC, prin care au fost introduse amendamente în legislaţia UE ce ţine de comunicaţii electronice și de prestatorii serviciilor de comunicaţii electronice publice pentru a „notifica organele regulatorii competente despre încălcările în domeniul securităţii sau pierderii integrităţii care a avut un impact semnificativ asupra reţelelor sau serviciilor”2.

Abordarea prin prisma „reglementării bazate pe cooperare”, presupune existenţa unui organism de reglementare care ar facilita în mod direct crearea centrelor sectoriale de analiză şi schimb de informaţii (ISACs), sub forma unor parteneriate public-private (PPP) axate pe schimbul de informaţii la nivel intersectorial. Acestea reprezintă comunităţi închise, în unele cazuri, cu un număr limitat de participanţi, unde schimbul de informaţii, de regulă, se realizează în bază de voluntariat în cadrul unor reuniuni comune, organizate de mai multe ori pe an, fiind coordonate de instituţiile guvernamentale. Un exemplu de iniţiativă bazată pe “reglementare prin cooperare” revine Centrului Naţional privind Securitatea Cibernetică (NCSC) a Olandei care a organizat centre sectoriale de analiză şi schimb de informaţii pe aşa domenii ca apa, energia, finanţe şi altele; ISACs-uri similare au fost organizate de către Centrul guvernamental pentru protecţia infrastructurii naţionale a Regatului Unit, și altele.

În cele din urmă, o abordare bazată pe „auto-reglementare” presupune iniţiative ce promovează şi susţin schimbul de informaţii ce urmează a fi redirecţionate în concordanţă cu statutul fiecărei organizaţii în parte, indiferent dacă acestea sunt: guvernamentale sau private, comerciale sau non-profit, naţionale sau internaţionale. De regulă, respectiva abordare este preluată şi utilizată de către instituţiile apropiate sectorului de securitate cibernetică, precum Echipele de Răspuns la Incidentele legate de Securitatea Calculatoarelor (CSIRT-uri), companii în domeniul securităţii informaţionale sau comunităţile de experţi în domeniu. Iniţiative europene sesizabile de acest gen sunt „Centrul Industrial Cybersecurity” (CCI) din Spania, „N6 Network Security Incident Exchange” din Polonia, „Asociaţia de experţi de infrastructură critică” din Italia și altele.

Există, de asemenea, şi o alternativă în abordarea problemelor cu privire la partajarea de informaţii cibernetice. Spre exemplu, companiile şi-ar putea avansa poziţionarea în domeniul securităţii cibernetice prin obţinerea de informaţii ameninţătoare din surse comerciale sau de tip „open source”. Cu toate acestea, în primul caz, compania ar urma să deţină un buget semnificativ de (~ 250 000 euro pe an și mai mult), în al doilea caz se necesită din partea companiei o capacitatea de a procesa informaţia în formă brută, în lipsă de fiabilitate, înșelătoare, incompletă și irelevantă în vederea transformării ulterioare a acesteia în ceva atacabil.

În Republica Moldova, schimbul de informaţii privind securitatea cibernetică este la o etapă incipientă. Cu toate acestea, primele acţiuni în această direcţie au fost realizate în anul 2009, prin adoptarea legii privind prevenirea şi combaterea criminalităţii informatice. În prezent, schimbul de informaţii se organizează ad hoc, ca reacţie de răspuns și, în mare parte, corelate cu investigarea infracţiunilor cibernetice. În comparaţie cu ţările Uniunii Europene, în Republica Moldova se aplică abordarea bazată pe „legislaţia de comandă şi control” şi „auto-reglementarea” în vederea soluţionării dificultăţilor privind schimbul de informaţii.

„Legislaţia de comandă şi control” la nivel naţional, privind reglementarea schimbului de informaţii constă dintr-o singură lege (Legea nr. 20 din 03.02.2009 „privind prevenirea și combaterea criminalităţii informatice”) și trei decizii guvernamentale (Hotărîrea Guvernului nr. 735 din 11.06.2002 „cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova “, Hotărîrea Guvernului nr. 857 din 31.10.2013 „privind Strategia naţională de dezvoltare a societăţii informaţionale «Moldova digitală 2020» și Hotărârea Guvernului nr. 811 din 29.10.2015 cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”). Per ansamblu, legislaţia obligă furnizorii de servicii electronice (ESP) să raporteze către organismele naţionale competente, incidentele privind securitatea cibernetică şi a criminalităţii informatice, permite instituţiilor competente să solicite de la ESPs şi autorităţile administraţiei publice informaţii necesare pentru derularea investigaţiei, stabilirea obiectivelor de dezvoltare precum şi încurajarea schimbului de informaţii cibernetice la nivel public şi privat inclusiv susţinerea activităţilor de cooperare.

Aplicabilitatea abordării bazate pe „auto-reglementare” la nivel naţional datează din 2010, odată cu înfiinţarea Echipei de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD. Iniţial, rolul echipei se limita doar la asigurarea unui răspuns la incidentele de securitate cibernetică din cadrul reţelelor guvernamentale. Cu toate acestea, echipa CERT-GOV-MD de la bun început a stabilit relaţii bazate pe încredere cu organizaţiile naţionale competente în domeniu (Serviciul de Informaţii şi Securitate, Ministerul Afacerilor Interne, Procuratura Generală, Centrul pentru Combaterea Crimelor Informatice și altele), precum și organizaţii internaţionale (OSCE, UNDP, IMPACT și altele), devenind membru al comunităţii internaţionale CSIRT (Reprezentant de încredere și acorduri bilaterale cu alte CSIRT-uri) obţinând astfel pe de o parte încrederea din partea canalelor de comunicare cu care operează iar pe de altă parte acces la surse informaţionale valoroase de natură ameninţătoare. Realizările menţionate, plasează CERT-GOV-MD într-o poziţie unică în vederea soluţionării problemelor cheie privind schimbul de informaţii cibernetice prin aplicarea abordării bazate pe „auto-reglementare”. În acest scop, Programul naţional de securitate cibernetică a Republicii Moldova deligă către CERT-GOV-MD sarcina de a crea un Sistem naţional de conştientizare a ameninţărilor cibernetice în timp real.

În conformitate cu planul stabilit de Programul Naţional de securitate cibernetică a Republicii Moldova, dezvoltarea și punerea în aplicare a unui astfel de sistem se preconizează a fi realizată în perioada anilor 2016 – 2017. Cu toate acestea, din cauza resurselor umane extrem de limitate cuplate cu un volum mare de muncă a echipei CERT-GOV-MD, succesul realizării acestui planul în termenul prestabilit nu este cert.

Abordarea prin prisma unei „reglementări bazate pe cooperare”, presupune dorinţa întreprinderilor de a coopera în vederea soluţionării problemelor comune ce ţin de securitatea cibernetică. În acest context, o prioritate a Guvernului ar fi susţinerea întreprinderilor în direcţia atingerii obiectivelor stabilite. Cu toate acestea, în Republica Moldova, acest cult al cooperării reciproce la nivel de întreprinderi pe tema securităţii cibernetice l-a moment nu s-a conturat clar şi nici nu este evidentă măsura în care acestea sunt dispuse să se implice şi să acţioneze.

Reieșind din prevederile Strategiei Naţionale „Moldova digitală 2020” privind „Stimularea schimbului reciproc de informaţii privind ameninţări, vulnerabilităţi, riscuri, precum şi incidente şi atacuri cibernetice între sectorul public şi privat “, CERT-GOV-MD a întreprins o încercare în a depăși acest „punct mort” semnalat la nivel de comunicare, organizând astfel în anul 2015, prima conferinţă dedicată rolului PPP-ului în domeniul securităţii cibernetice. Conferinţa a reunit experţi de talie mondială, reprezentanţi ai instituţiilor implicate în combaterea incidentelor privind securitatea cibernetică şi a criminalităţii informatice, cei mai mari furnizori de servicii Internet din Moldova, parlamentarii şi companiile private cointeresate de astfel de parteneriate, cu scopul de a obţine schimb de experienţă și viziuni în domeniul securităţii cibernetice, înlăturarea barierelor privind eventuale neînţelegeri, stabilirea unor puncte de contact și crearea cadrului necesar pentru viitoarele cooperări. Totuși, deși rezultatele aceste iniţiative din partea CERT-GOV-MD, au confirmat prezenţa problemei susmenţionate, sectorul privat rămâne a fi mult mai interest în aşi vinde produsele şi serviciile în detrimentul soluţionării problemei naţionale de Securitate cibernetică. Şi totuși, la finele evenimentului din 2015, un reprezentant al Asociaţiei sectorului IT a remarcat: „În orice caz, afacerile IT în Moldova sunt deschise pentru un dialog constructiv”.

Internetul a devenit un mediu virtual extrem de periculos. În ultimii ani, tot mai multe întreprinderi specializate în domeniul securităţii cibernetice au ajuns victime a infractorilor cibernetici. Cu siguranţă, doar prin cunoașterea surselor ameninţătoare în continua lor schimbare, obţinem un scut indispensabil în asigurarea securităţii organizaţiei. Cu toate acestea, sunt foarte puţine întreprinderi în lume care sunt capabile şi dispun de mecanismele necesare de a se asigura corect şi sigur împotriva atacurilor cibernetice din surse proprii. Prin urmare, devine din ce în ce mai popular schimbul reciproc de informaţii cu caracter ameninţător, inclusiv depășirea acestor dificultăţi şi vulnerabilităţi cu implicarea unor costuri minime şi obţinerea de eficienţă maximă.

Și totuși, diversitatea specificului fiecărei naţiuni în parte implică o abordare diferită a problemelor de securitate cibernetică, inclusiv aplicarea acestora în rândul ţărilor europene. Revenind la cazul Republicii Moldova, care ar fi poziţionarea acesteia în rândul acestor ţări?

Potrivit cercetărilor reflectate în acest articol, concluzionăm că Republica Moldova este abia la etapa iniţială în direcţia soluţionării şi depășirii cu succes a vulnerabilităţilor privind atacurile cibernetice utilizând ca instrument: comunicarea şi schimbul de informaţii. Experienţa acumulată de-a lungul timpul a demonstrat că aplicarea unui set de măsuri administrativ-legislative diferenţiate pentru fiecare ţară în parte nu va genera rezultatul dorit. În același timp, sectorul privat nu este pregătit să colaboreze în domeniul schimbului de informaţii şi experienţă privind securitatea cibernetică din moment ce nu obţin beneficii de ordin economic.

Cele menţionate anterior, reprezintă un argument solid referitor la identificarea „auto-reglementării” drept cea mai aplicabilă abordare la nivel naţional. Pași siguri în această direcţie au fost făcuţi de Echipa de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD, care pe de o parte a obţinut relaţii solide cu comunităţile locale şi cele internaţionale iar pe de altă parte deţine acces la surse valoroase de informaţii ameninţătoare. În pofida realizărilor deja menţionate, succesul obiectivelor stabilite este unul incert din moment ce resursele CERT-GOV-MD sunt extrem de limitate.


1 European Union Agency for Network and Information Security, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (Heraklion: ENISA, 2015).
2 Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU, 2009).

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

EDITIE SPECIALA – INTERNET OF THINGS

1942
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1613
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3014
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1713
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1653
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1716
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...