Monday, December 17, 2018
Focus

2277
Marco Essomba

Lucrez în domeniul reţelelor și securităţii de mai mult de o decadă. Ca inginer de securitate a reţelelor, consultant de securitate și, acum, fondator și CTO al iCyber-Security Group, aceste produse m-au deservit cu bine de-a lungul anilor, pentru a putea ieși în evidenţă din mulţime. Luaţi în considerare faptul că lista de mai jos nu este sponsorizată sau recomandată de nici un vendor. Ea a rezultat din experienţa mea proprie și nu reprezintă Sunteți un absolvent de IT sau un inginer de securitate a rețelelor care dorește să își îmbunătățească cariera și să iasă în evidență din mulțime? În acest caz acest articol este pentru dumneavoastră adevărul absolut.

unt părtinitor prin faptul că am ajuns să îndrăgesc aceste produse, pe care le voi înșira mai jos, utilizându-le în decursul anilor.

1.Tehnologii de routare și switching
  • Ce: Cisco este vendorul de facto pentru tehnologii de routare și switching deţinând o felie mare din piaţa enterprise.
  • De ce: Dată fiind prezenţa ubicuă a router-elor și switch-urilor Cisco în zona enterprise, merită să vă investiţi timpul pentru a învăţa bine Cisco R&S și a dobândi cunoștinţe teoretice si practice despre produse.
  • De unde să începeți: Download-aţi un simulator ca GNS3 sau VIRL http://virl.cisco.com/ sau Eve-NG: http://eve-ng.net
2.Tehnologii firewall
  • Ce: Check Point Technologies este unul dintre cele mai populare firewall-uri perimetrale enterprise.
  • De ce: Firewall-ul Check Point este cel mai utilizat în rândul companiilor din topul Fortune 500 datorită interfeţei utilizator simplă și intuitivă și datorită motorului de inspecţie puternic. Certificarea și expertiza practică sunt foarte de dorit.
  • De unde să începeți: Începeţi cu firewall-ul Check Point R80. Poate fi download-at ca un appliance virtual.
3. Detectarea intruziunilor și sisteme de prevenire
  • Ce: Sourcefire face parte acum din Cisco. Bazându-se pe motorul Snort, Sourcefire este cea mai bună opţiune IPS/IDS pentru mulţi clienţi enterprise. Datorită faptului că Sourcefire a fost cumpărată recent de către Cisco, va continua să crească în domeniul enterprise.
  • De ce: Sourcefire și Snort vă vor învăţa o mulţime de trucuri despre detectarea intruziunilor și prevenţie, pornind de la protecţia împotriva unor simple atacuri cibernetice și până la cele mai sofisticate tactici de apărare.
  • De unde să începeți: Download-aţi o versiune gratuită de Snort: https://snort.org/downloads. Un trial Sourcefire este disponibil: h t t p s : / / i n fo. s o u r c e f i r e . c o m / 4 5 D a y Fr e e E v a l – A S A 5 5 0 0 . html?keycode=000950082.
4. Secure Web Gateways
  • Ce: Clearswift este renumit pentru MIMEsweeper Content Inspection Engine care protejează email-urile și tranzacţiile web împotriva malware.
  • De ce: Deoarece securitatea cibernetică continuă să fie o provocare majoră pentru companiile mici și mari, protejarea datelor stocate sau în mișcare este o temă fierbinte.
  • De unde să începeți: Începeţi cu Clearswift SECURE Web Gateway. Solicitaţi un demo și un trial: https://www.clearswift.com/contact-us#demo.
5. Application Delivery Controllers (ADC)
  • Ce: F5 Networks este liderul pieţei Application Delivery Controllers (ADC). Cel mai popular produs F5 este F5 LTM care ajută companiile să livreze “aplicaţii fără constrângeri”.
  • De ce: ADC-urile sunt cruciale pentru livrarea de Enterprise Apps într-o manieră rapidă, sigură și elastică. Deoarece lumea aparţine acum aplicaţiilor mobile, ADC-urile F5 vor continua sa crească.
  • De unde să începeți: Începeţi cu F5 LTM. Solicitaţi download-area unui trial: https://f5.com/products/trials/product-trials.
6. Autentificare cu doi factori
  • Ce: RSA este unul dintre liderii soluţiilor de autentificare cu 2 factori din domeniul enterprise.
  • De ce: Numărul crescător de atacuri cibernetice face ca securitatea sa rămână un subiect fierbinte. O autentificare puternică rămâne una dintre cele mai eficiente prime linii de apărare împotriva infractorilor cibernetici.
  • De unde să începeți: Începeţi cu RSA SecurID. Puteţi solicita un trial: https://www.rsa.com/en-us/ products-services/identity-access-management/securid sau mă puteţi contacta.
7. Sisteme de operare și API-uri
  • Ce: Linux/Unix și alte arome derivate sunt sistemele de operare preferate utilizate ca motor principal într-o mulţime de reţele și dispozitive de securitate, ca și în sistemele back office.
  • De ce: Stăpânind arta Linux/Unix, API-urilor și CLI o să vă deschidă o lume de shell scripting, instrumente de securitate cibernetică și alte tehnologii care sunt esenţiale pentru a stăpâni operaţiunile de reţea si securitate.
  • De unde să începeți: Sunt disponibile multe arome. Vă recomand Ubuntu ca punct de plecare, deoarece este prietenos cu începătorii.

Am înfiinţat iCyber-Academy datorită lipsei semnificative de abilităţi, pe care le-am constatat luând contact cu companiile pentru a ajuta echipele lor să se descurce mai bine cu tehnologiile pe care le utilizează pentru a-si proteja afacerile. Din păcate, cel mai adesea, am observat această lipsă de abilităţi atunci când am mers la clienţi care au suferit o breșăde securitate și echipele lor erau

nesigure cum să trateze problema. Am realizat că în ciuda faptului că aveau tehnicieni foarte buni, echipele se luptau adesea să ofere o reacţie puternică și rapidă bazată pe tehnologiile și instrumentele de care dispuneau și că problemele se înrăutăţeau pe măsură ce tot mai multe instrumente erau cumpărate pentru a proteja companiile pe o scară și mai largă. Astăzi, iCyber-Academy este unul dintre liderii furnizării de training de securitate cibernetică din Europa. Furnizăm un mediu în care consultanţi de elită pot învăţa, obţine acreditări, au acces la mentoring, contacte si pot obţine oportunităţi suplimentare pentru a face afaceri. Am instruit peste 100 de consultanţi independenţi de securitate. Acelaşi mediu este disponibil și pentru companii și peste 100 de companii au fost deja instruite, adesea la faţa locului. Adesea cursurile noastre sunt livrate prin intermediul unor companii recunoscute de training, cum sunt Avnet și Arrow. iCyber-Academy 22 – Cybersecurity Trends Cea mai recentă ofertă este un program de 10 luni (de obicei de una sau mai multe săptamâni pe lună) care oferă un program complet de training end-to-end. Acesta permite echipei de securitate IT și consultanţilor pe care îi aveţi să dobândească abilităţile necesare de care au nevoie pentru a se ocupa de orice proiect de securitate. Fiecare sesiune de training este o combinaţie de cunoștinţe teoretice, activităţi practice și studii de caz din viaţa reală. După absolvirea programului, veţi putea lansa, implementa și realiza arhitecturi de soluţii de securitate cibernetică, utilizând produse de la vendori care sunt lideri în securitatea cibernetică, cum sunt: F5 Networks, Clearswift, A10 Networks, Check Point, Juniper, RSA, ProofPoint, etc. V eţi avea, de asemenea, oportunitatea de a face parte dintr-o comunitate de experţi de elită în securitate cibernetică, care poate oferi servicii profesionale la nivel de expert, la preţuri premium. Academia oferă, de asemenea, și cursuri de scurtă durată și elaborează un mediu de training online pentru 2018. Scopul nostru este să ne adresăm nevoilor de training de top, în timp ce multe alte programe valoroase sponsorizate de guverne se adresează nevoilor de training entry level.

Lista completă de cursuri de securitate

Paleta noastră de programe de training end-to-end vă permite să dobândiţi abilităţile necesare pentru a vă putea ocupa de orice proiect de securitate cibernetică. Fiecare sesiune de training este o combinaţie de cunoștinţe teoretice, activităţi practice și studii de caz din viaţa reală. Programul de training este alcătuit din 10 module, care pot fi urmate independent sau ca parte a întregului pachet:

  1. Bazele securităţii aplicaţiilor
  2. Cum să proiectezi reţele și aplicaţii securizate
  3. Firewall-uri pentru aplicaţii Web
  4.  Firewall-uri de reţea & IDS/IPS
  5. Application Delivery Infrastructure – ADI
  6.  Global Traffic Management
  7. Realtime Content Scanning – ICAP
  8. Integrating ICAP & ADC
  9. SSL Offloading
  10. Proiectarea și construirea unei platforme integrate de securitate cibernetică

După absolvirea programului, veţi putea lansa, implementa și realiza arhitecturi de soluţii de securitate cibernetică și veţi avea oportunitatea de a face parte dintr-o comunitate de experţi de elită în securitate cibernetică, care poate oferi servicii profesionale la nivel de expert, la preţuri premium. Așa cum am afirmat mai devreme, programul este disponibil prin intermediul unor companii de training recunoscute, sau companiile pot achiziţiona toată paleta de cursuri pentru angajaţii sau consultanţii lor independenţi și pot beneficia de programul de membru al Academiei pentru oportunităţi suplimentare de networking și mentoring.

BIO

Marco Essomba este Certified Application Delivery Networking și Cyber Security Expert cu o bună reputație în companii de top din industrie. El este fondatorul iCyber-Security, o companie din UK, care permite organizațiilor din sectorul bancar, financiar, sănătate, retail și asigurări să își protejeze activele digitale. https://www.linkedin.com/in/marcoessomba/ https://www.icyber-security.com

Autor: Eduard Bisceanu

Unul dintre subiectele cele mai discutate în discuţiile din comunitatea de (cyber) securitate este cel legat de penuria de forţă de muncă din domeniu. Cu toate că este evident că este o problemă reală să construiești echipa potrivită de securitate pentru majoritatea business-urilor, există totuși o mulţime de lucruri care trebuie clarificate pentru a avea o înţelegere comună asupra acestui fenomen. Pe de o parte, mi se cere adesea să recomand oameni pentru astfel de job-uri, dar de obicei mi se cere nu un specialist în securitate, ci un „hacker”, un IT-ist specializat pe securitate, un specialist în securitatea reţelelor sau alte acronime similare. Solicitările de acest tip vin de la executivi de top, sau de la HR, de obicei din companii/organizaţii non IT. Acest fapt ar putea să pară grozav, comparând cu lipsa de îngrijorare legată de securitate pe care aceste categorii de oameni o manifestau cu mai mulţi ani în urmă. Dar avem totuși o mare problemă… modul în care unii specialiști HR sau chiar CxO sondează piaţa muncii pentru specialiști ne spune ceva despre nivelul lor de înţelegere relativ la aptitudinile de care au nevoie în acest domeniu.Deoarece nu doresc să-i supăr pe specialiștii HR sau pe executivii pe care îi cunosc, dar doresc să fiu totuși foarte onest în ceea ce am de spus, nu voi comenta mai mult despre motivele care stau în spatele lipsei unei viziuni clare în procesul de recrutare de specialiști în (cyber) securitate, dar voi reproduce câteva dintre sfaturile/ întrebările pe care le dau atunci când sunt consultat pe acest subiect:

  • Care este nivelul de maturitate în materie de securitate al organizaţiei pentru care recrutaţi? Cunoaște vreun model de maturitate în privinţa securităţii, sau urmează vreun standard/framework de management?
  • Dacă organizaţia este bine poziţionată în legătură cu aspectele de mai sus, specialistul HR se va baza exclusiv pe managerul de securitate al acelei organizaţii pentru a scrie descrierea job-urilor pentru toţi membrii echipei de securitate și pentru a-i intervieva din perspectiva competenţelor/cunoștinţelor?
  • Dacă procesul de recrutare este realizat pentru companii aflate la început de drum în realizarea unui framework de guvernanţă în domeniul securităţii, mai întâi au nevoie de o evaluare exactă a categoriilor de competenţe și cunoștinţe care trebuie căutate de către specialiștii HR pe piaţa muncii. Aceasta este o sarcină pe care un specialist HR nu o va putea duce la bun sfârșit niciodată.
  • Dacă există o nevoie de securitate determinată de un alt motiv decât conformitatea, atunci cel mai bun nume al acelei nevoi este RISC.
  • Dacă știţi deja care sunt riscurile la care business-ul/organizaţia voastră este expusă, puneţi-le pe hârtie și veţi avea un prim filtru pentru căutarea de specialiști în securitate.
  • Companiile și organizaţiile mici au alte nevoi decât corporaţiile și organizaţiile mari în privinţa alocării de resurse pentru securizarea operaţiunilor lor.
  • În orice caz, toată lumea are nevoie de o abordare bazată pe risc, și doar bazându- se pe o astfel de evaluare, cineva poate determina care este dimensiunea echipei de securitate și care sunt competenţele necesare în cadrul acelei echipe. Aceasta, de asemenea, NU este o sarcină pentru HR.
  • Din momentul în care necesităţile sunt bine descrise, aș recomanda o examinare atentă a profilului de specialist căutat, bazată pe necesităţile identificate. Dacă este necesară o competenţă specifică de securitate (securitate de reţea, securitate de aplicaţie, securitatea informaţiilor s.a.m.d.) atunci cine va conduce această categorie de personal și cine le va trasa sarcinile?
  • În această situaţie organizaţia are nevoie de un manager de securitate? Dacă da, atunci căutaţi un manager de securitate experimentat și nu un „hacker”, nu un inginer IT, nu un dezvoltator, nu pe cineva care să răspundă la incidente sau oricare altă persoană cu abilităţi practice. Aceștia pot fi specialiști foarte buni, dar de regulă nu vor reuși să înţeleagă business-ul pentru care îi angajaţi, cadrul general de riscuri de securitate și nu vor fi niciodată în stare să vorbească pe limba business-ului și a executivilor, necesară pentru a construi și rula un framework de securitate adaptat scopurilor de business și operaţionale.
  • Recrutaţi bazându-vă pe competenţele de care aveţi nevoie, dar și bazându-vă pe ÎNCREDERE.
  • NCREDEREA este baza unei cooperări mai bune între specialiștii în securitate și cei în HR 🙂
  • Job-ul de manager de securitate este un job în sine, așa că nu angajaţi manageri cu experienţă pentru a se ocupa de securitate, căutaţi manageri de securitate. CV-ul și realizările lor profesionale vorbesc de la sine. Cel mai simplu și concret test care i se poate da unui manager de securitate este sa fie pus să explice (ad hoc, vorbit și scris) un subiect complex de securitate cibernetică unui executiv ne-tehnic și să fie capabil să dezbată același subiect complex cu un expert practic în disciplina securităţii IT.
  • Reduceţi constrângerile de conformitate pentru echipele de securitate – conformitatea este importantă dar nu este similară cu securitatea.
  • Știind că salariile reprezintă un subiect important, voi simplifica și acest aspect: stabiliţi cât este de importantă securitatea pentru business-ul/operaţiunile voastre și investiţi în mod corespunzător. Un rol de securitate slab plătit nu poate fi ocupat de un specialist de top în domeniu sau poate ușor deveni un risc.
  • Managerul de securitate (CSO, CISO…) trebuie să raporteze poziţiei corespunzătoare din organizaţie pentru a putea fi împuternicit să ia deciziile corespunzătoare și pentru a avea vizibilitate.
  • Stabiliţi investiţiile în securitate bazându-vă pe o abordare bazată pe riscuri – dacă angajaţi managerul de securitate potrivit, ar trebui sa fie simplu – aceasta este prima sarcină pe care un specialist angajat pe o astfel de poziţie ar trebui să o rezolve.
  • O mulţime dintre fluxurile de lucru generează sau sunt expuse riscurilor de securitate – asiguraţi-vă că echipa de securitate este implicată în evaluarea/stabilirea lor.
  • Managementul de top este o ţintă valoroasă pentru infractori și alte tipuri de actori care pot crea riscuri de securitate organizaţiei voastre – uneori, anumite riscuri trebuie abordate chiar și în mediul personal al managerilor de top.
  • Nu investiţi bani într-un mediu IT în lipsa unei evaluări de securitate – chiar dacă veţi avea cea mai bună echipă IT din lume, aceasta se va concentra de obicei pe funcţionalitate și eficienţă și nu neapărat pe securizarea mediului IT.
  • Investiţi în educaţia de securitate în funcţie de roluri. Un volum uriaș de breșe exploatate și atacuri cibernetice utilizează în continuare oamenii ca vectori de atac, aceștia rămânând cea mai mare vulnerabilitate. Educaţia rămâne singura măsură de diminuare a riscurilor.
  • Chiar dacă eu cred că oricine merită o a doua șansă, de regulă nu cred în „hackeri etici”, care au învăţat securitate prin a fi mai întâi infractori, sau în companiile care se promovează cu astfel de specialiști. Nu este nimic demn de laudă în a avea un cazier infracţional. Există specialiști foarte buni, inteligenţi, de securitate, care și-au dobândit calificativele studiind și cercetând fără a fura datele și banii altor oameni. Iar… dacă o astfel de persoană are un cazier infracţional, el/ea nu a fost chiar așa de bună pe cât ar putea să creadă despre sine.

Eu consider că atunci când este recrutat un specialist în (cyber) securitate, specialistul HR trebuie supervizat de un manager de securitate sau de un expert de înalt nivel în securitate dinafara companiei. Construirea unei echipe de securitate adaptată riscurilor și obiectivelor de afaceri va conduce la un framework matur de securitate potrivit pentru orice organizaţie Punctul de plecare trebuie să-l constituie oamenii din spatele securităţii, nu tehnologia. Dacă afir

maţiile de mai sus vi se par prea generale sau învechite, atunci nu aveţi nevoie de servicii de consultanţă în domeniul securităţii, dar credeţi-mă, bazându-mă pe discuţiile pe care le am aproape zilnic pe acest subiect și de asemenea bazându-mă pe concluziile care se pot trage

 din marile eșecuri în construirea unor framework-uri adecvate de securitate cu care ne întâlnim din ce în ce mai des (WannaCry, non Petya, BadRabbit s.a.m.d.) pot afirma, fără ezitare, că există o mulţime de oameni cărora le sunt necesare, când vine vorba să angajeze oameni de securitate – punctele esenţiale. Și da, am pus cyber între paranteze intenţionat… nu există securitate cibernetică în lipsa securităţii de afaceri și/sau operaţionale, incluzând securitatea fizică și personală

BIO

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard a fost CSO în cadrul Unicredit Bank România şi ocupă în prezent poziția de National Technology Officer în cadrul Microsoft România.

323

autor: Massimo Cappelli

Acest articol își propune mai mult să împărtășească niște reflecții decât să furnizeze răspunsuri, deoarce ridică o serie de întrebări la care ar trebui să răspundă, pe termen scurt sau lung, oricine
este responsabil de Societatea Informațională (SI). SI este definită ca un întreg alcătuit din procese și metodologii, proiectate și implementate pentru a proteja informațiile private, sensibile și confidențiale, fie că sunt digitale, printate, sau în oricare altă formă, împotriva accesului neautorizat, utilizării frauduloase, divulgării, distrugerii, modificării sau alterării.

Massimo Cappelli

Adesea SI este confundată cu securitatea IT, dar cea din urmă cuprinde doar o parte dintre activităţile care trebuie efectuate, în timp ce informaţia circulă în diverse scopuri și nu doar în cadrul reţelelor digitale. Evaluarea riscurilor referitoare la informaţie nu ar trebui să se bazeze doar pe considerente de „tipul IT”, ci trebuie să fie un proces care să includă și evaluarea locurilor și a persoanelor. Acest fapt a fost demonstrat foarte clar de către Kevin D. Mitnick în best-seller-ul său din 2011 „The art of deception”, în care prezintă o serie de cazuri în care este posibilă recuperarea de informaţii utile interesului propriu al cuiva, doar din discuţii cu oameni care colectează fragmente de informaţii, dar care puse laolaltă creează o bază solidă de credenţiale care să permită accesul la informaţii suplimentare. Pentru aceasta, în anumite situaţii, utilizăm termenul de „protecţia informaţiei”, tocmai pentru a indica aceste procese și metodologii incluse în Societatea Informaţională, dar cu un perimetru mult mai larg în comparaţie cu securitatea IT.
În majoritatea cazurilor, informaţiile protejate sunt ale companiilor. Atenţia noastră se îndreaptă înspre înăuntru: informaţii despre clienţi, contracte, strategii, brevete etc. Prima problemă este de a defini perimetrele de competenţă. Este suficient să monitorizăm utilizarea protecţiei informaţiilor interne? Probabil că nu. Pentru a ne proteja compania, este obligatoriu să privim și spre înafară, la acele ameninţări care pot afecta în orice mod reputaţia brandului nostru sau afacerea. Câteva exemple pe care le putem da sunt site-urile de pishing, sau profilurile falșilor consultanţi care pretind că fac parte dintr-o companie pentru a fura informaţii sau credenţiale de la client. Toate instituţiile bancare monitorizează web-ul pentru a detecta și bloca site-urile de phising, și scrutează înafara perimetrului pentru a bloca orice informaţii toxice despre companie. Dar este suficient să monitorizezi și să verifici doar utilizarea neautorizată sau abuzul de utilizare al mărcilor înregistrate? Sau trebuie să luăm în considerare și alte aspecte?
În ultimii ani, ziarele au fost inundate de articole, discuţii și declaraţii despre fenomenul știrilor false (“fake news”), utilizate pentru a dezinforma, în special în domeniul politic sau pentru câștiguri economice directe. Un astfel de exemplu este „recomandarea” (endorsement) pe care Papa Francisc i-ar fi dat-o candidatului Donald Trump, care a fost partajată și comentată de peste 960.000 de ori pe Facebook. Cine poate ști dacă acest mic element a avut sau nu vreo influenţă în alegerea candidatului respectiv?
Ni s-a întâmplat tuturor ca un prieten sau un coleg să ne semnaleze o știre falsă. Probabil că și noi am fost victime și am răspândit inconștient cel puţin o știre falsă, citită pe reţelele sociale, la repezeală, între o mușcătură dintr-un croissant și o înghiţitură de cafea la un bar.
Dezinformarea poate apărea printr-o reprezentare incompletă a faptelor, o reprezentare falsă sau o reprezentare manipulată a faptelor. Obiectivul agentului care distribuie dezinformarea este să forţeze știrile cât se poate de mult prin toate mijloacele de comunicare, pentru a induce cititorilor o convingere anume.
Dezinformarea are un scop simplu: să determine cititorul să ia o anumită poziţie, fie în favoarea fie împotriva unui argument. Este creată pentru a genera un sentiment de empatie sau de repulsie. Acest sentiment, uneori, poate conduce la acţiuni concrete cum ar fi proteste, boicoturi sau manifestaţii.
Dacă ne concentrăm pe cele mai recente alegeri din America, putem da ca exemplu cazul unei băuturi răcoritaore. Pe la mijlocul lunii noiembrie 2016, un blog al americanilor conservatori semnala un interviu al CEO-ului producătorului acelei băuturi răcoritoare, în care ar fi declarat (evident într-o formă condiţională):
„CEO-ul recomandă suporterilor lui Trump să-și mute afacerile în altă parte”. Știrea a fost distorsionată complet atât în ceea ce privește sursa, cât și de către cel care a forwardat-o, dar impactul ei asupra companiei pare să fi fost real, atât în ceea ce privește aprecierile la adresa companiei cât și a valorii acţiunilor sale la bursă. Acordul de rang (sentimentul) faţă de companie a scăzut cu 35%. Ca efect, preţul acţiunilor, în chiar ziua în care a fost publicată, a scăzut cu 3,75% și cu mai mult de 5% în decursul acelei luni. Este totuși posibil ca cele două reacţii să fi fost disociate, dar rămâne un studiu de caz foarte important pentru analiștii reputaţiei brandului și comunicare.
Înafara contextului electoral, un alt caz care a făcut istorie a fost cel al unei companii farmaceutice, pe care o vom denumi XY. În ianuarie 2012, pe site-ul Seeking Alpha, un site web specializat pe informaţii financiare, a apărut un articol. În acesta se afirma că XY, listată pe Wall Street, dezvolta un tratament împotriva cancerului, mai ieftin și mai competitiv decât cele ale concurenţei. În doar 5 luni, acţiunile companiei au înregistrat o creștere de 263%, probabil din cauza publicării acelei știri. SEC (Security & Exchange Commission) a decoperit că de fapt articolul fusese comandat de către compania XY, prin intermediul unei plăţi indirecte. Rezultatul a fost scăderea acţiunilor companiei în mod abrupt.
În trecut, această tehnică era cunoscută ca „umflă și dezumflă”, ceea ce presupune „umflarea” acţiunilor datorită unor știri false care lasă să se înţeleagă că valoarea acestora urmează să crească rapid, și apoi „dezumflarea” în momentul în care valoarea dorită a fost atinsă. Este un exemplu de fraudă financiară în care cei mai puţin informaţi oameni suportă pierderile.
Un alt caz, din 2013, a avut un impact sistemic. Un tweet publicat pe contul Associated Press (AP) afirma că a avut loc un atac la Casa Albă și că Președintele Obama a fost rănit, fapt care a dus la «topirea» a peste 130 de miliarde USD de pe bursa din New York, înainte să se anunţe public faptul că contul AP a fost hack-uit.
Să presupunem, ipotetic, că suntem compania Beta, o firmă căutată pe piaţă deoarece suntem prezenţi în mai multe zone geografice, că avem o infrastructură consolidată cu contracte comerciale solide și o poziţie monopolistă pe anumite pieţe. Valoarea acţiunilor este mare iar potenţialele variaţii ale acestora pot fi foarte costisitoare pentru acţionarii actuali. În cazul în care compania Alfa ar fi interesată în compania Beta, dorind ca prin mijloace necinstite să îi cumpere o parte din acţiuni, pentru a avea o influenţă asupra strategiei și a-și consolida prezenţa în cadrul companiei Beta, ar putea utiliza dezinformarea pentru a îi scădea valoarea acţiunilor și a putea achiziţiona mai multe? Activităţile de dezinformare se pot desfășura pe termen scurt sau lung. Probabil că dacă am discuta cu un CEO englez sau cu un CEO din Asia, până și concepţiile lor despre „scurt” și „lung” ar ridica nu puţine întrebări.
Opțiunea 1: Dacă eu aș fi compania Alfa, aș putea publica pe diverse surse o declaraţie falsă făcută chipurile de CEO-ul companiei Beta, așa cum a fost cazul companiei de băuturi răcoritoare despre care pomeneam mai devreme. Această iniţiativă ar putea conduce la scăderea valorii acţiunilor companiei Beta. Compania Alfa ar putea apoi profita de moment pentru a cumpăra o parte din acţiuni la un preţ cu cca. 5% mai scăzut decât cel normal, cumpărându-le indirect, la diferite momente de timp pentru a nu trezi suspiciuni.
Opțiunea 2: Din nou, dacă aș fi compania Alfa, aș putea publica informaţii despre compania Beta, similar modului în care s-a întâmplat în cazul companiei farmaceutice. În acest caz, obiectivul ar fi tot cumpărarea de acţiuni, dar prin discreditarea companiei targetate. Investitorii și-ar putea pierde încrederea în posibilităţile de câștig viitoare ale companiei, după citirea știrilor false, după care ar putea urma negarea care ar putea face ca cursul acţiunilor să intre într-o bulă explozivă. Există diferite mijloace de control ale comisiilor de supraveghere, dar pariez că prin luarea unor măsuri de precauţie, și dacă acţiunea este bine planificată, există diferite moduri de a cumpăra, chiar și indirect, acţiuni, fără a fi dezvăluit, cu atât mai mult în cazul în care astfel de acţiuni sunt sprijinite de un guvern.
Opțiunea 3: Dezinformarea s-ar putea desfășura pe termen lung, prin utilizarea de profile false. Să presupunem că dispunem de un anumit număr de profile false pe diferite
conturi social media și să presupunem că aceste profile false încep să distribuie informaţii nu tocmai bune despre compania Beta: întreruperi de servicii, calitate mediocră a produselor, angajaţi neloiali, scandaluri în management. Aceste știri false se adună picătură cu picătură și se revarsă într-un ocean de informaţie, poluându-l. Această cantitate de informaţii este greu de înlăturat. Ne putem aminti despre analiza de sentiment pe care o poate provoca știrile false, scăzând încrederea în produs și scăzând vânzările. Produsele vândute pe site-urile de ecommerce poartă cu ele toate „aprecierile” clienţilor. Așa că putem provoca pe oricine să nu se gândească de două ori după ce au citit două recenzii pozitive și una negativă, sau invers. Recenzia negativă va influenţa decizia cititorului mult mai mult decât cele pozitive.
Dar dacă în loc de o companie este vorba despre o ţară? O ţară, care din punct de vedere logistic, ar putea fi o rampă pentru iniţiative economice sau s-ar afla într-o perioadă de tranziţie a unor infrastructuri internaţionale importante. Pentru a discredita încrederea în ţara respectivă sau în conducătorii săi s-ar putea derula campanii de dezinformare despre politicile fiscale, proasta calitate a turismului, sau pe scurt a tuturor indicatorilor care ar putea destabiliza sau sărăci acea ţară, permiţând apoi o „spoliere” a resurselor și infrastructurii ei. PIB ar scădea datorită lipsei veniturilor din turism sau a investiţiilor directe în activităţi productive. Scăderea PIB-ului ar duce la o scădere a veniturilor din impozite, care ar cauza deficienţe în acoperirea costurilor de întreţinere a infrastructurilor. Dar pentru a acoperi acest deficit și a-și menţine infrastructura, ţara respectivă ar fi forţată fie să-și vândă o parte din (sau toată) infrastructură fie să se îndatoreze și mai mult. Toate acestea fiind, desigur, doar o ipoteză de lucru.
Pieţele financiare depind de informaţiile cheie pe care le primesc și pe care încearcă să le convertească în valoare. trebuie să ne gândim și la sistemele High Frequency Trading care utilizează algoritmi matematici. Unele dintre acestea sunt echipate cu capacităţi de analiză Big Data și au sisteme de „analizare” (parsing) a știrilor, pentru monitorizarea acestora în timp real și ajustarea valorilor tranzacţiilor, luând în calcul și alte informaţii decât cele pur financiare.
Prezenţa unui număr nenumărat de informaţii, a căror credibilitate nu este verificată și a căror sursă nu este clasificată în privinţa credibilităţii, poate duce în viitor la distorsiuni din ce în ce mai mari în piaţă, ca și în politică și prin extensie chiar geo-economice, prin utilizarea acelor informaţii. Sistemele High Frequency Trading vor fi și mai puternice și vor avea tot mai multă încredere în propriile analize și judecăţi făcute pe baza Big Data.
Dacă adăugăm la aceasta faptul că, în viitorul apropiat, până și investitorii individuali vor dispune de o gamă mult mai largă de posibilităţi de a investi mai frecvent, putem doar deduce că o utilizare corectă a informaţiei a devenit vitală pentru pieţe.
Cum să ne protejăm? Aceasta este ultima interogaţie pe care o ridicăm în acest eseu. Cu siguranţă, toţi investitorii trebuie să participe la protejarea sistemelor financiare. Blamarea și urmărirea în justiţie a celor care publică „știri false” este o activitate care trebuie să aibă loc, dar care necesită durate de timp care nu sunt în concordanţă cu volatilitatea pieţei.
Cu siguranţă, se pot impune anumite reguli după care sistemele High Frequency Trading să își selecteze sursele, printr-o certificare fiabilă bazată pe fiabilitatea informaţiilor publicate de o sursă de-a lungul timpului. În acest mod, putem evita riscul de impact al surselor poluate, dar nu putem rezolva problemele potenţiale provocate de conturile compromise, cum a fost situaţia în cazul Associated Press.
Din punctul de vedere al unei companii, o regulă de bază este să fie ea prima care comunică. Este o regulă de bază în managementul de criză, dar într-o societate invadată de informaţie trebuie să devină o activitate zilnică. În cartea „Deception – Disinformazione e propaganda nelle moderne società di massa” (Decepţia – dezinformarea și propaganda de masă în societatea modernă), autorul argumentează că „viteza este un element esenţial, deoarece ceea ce contează este prima afirmaţie: toate negările ulterioare nu sunt eficiente”.
Este deci urgent pentru companii să își construiască structuri capabile să monitorizeze social media, să analizeze informaţiile publicate acolo și să verifice potenţialul impact asupra companiei pentru a anticipa măsuri pe care să le ia prin comunicate de presă care să definească în mod clar poziţia companiei. Prin monitorizarea social media nu ne referim doar la „reţelele sociale clasice”. Analiza trebuie făcută la un nivel multi-dimensional, de exemplu verificând să nu existe diverse legături care să să conducă la același cuib, și anume către sursa unui atac de dezinformare.
Nu trebuie să urmărim o știre pentru a o limita, nega sau corecta. O informaţie prost tratată se poate transforma rapid într-o Hidră din Lerna. O poziţie oficială a companiei, clară, bine structurată și larg difuzată, va înlătura dubiile și incertitudinile stakeholder-ilor. pentru a realiza asta, trebuie să construim un sistem de comunicare capilar, capabil să cuprindă toate nivelele stakeholder-ilor. Informaţia trebuie să fie simplă, liniară și ușor de înţeles, cu diferite nivele de detaliu bazate pe necesităţile stakeholder-ilor la care dorim să ajungem: analiști financiari, asociaţii de consumatori, consumatori, instituţii de supraveghere etc. În era informaţiei, aceeași informaţie este cea mai bună armă pe care o putem utiliza.
În acest mod, perimetrul de protecţie al informaţiilor, pentru companii, poate fi mult lărgit. Pentru aceasta ar putea fi necesare eforturi suplimentare și întotdeauna mai multe competenţe transversale, cu echipe care să răspundă rapid nu numai cu soluţii tehnice ci și cu soluţii de comunicare, ajutând biroul de presă și biroul de comunicare să conducă operaţiunile informaţionale pentru a contracara dezinformarea.

Massimo Cappelli

Massimo este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activitățile educaționale și de cercetare ale fundației. A urmat studii economice și ulterior a obținut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică și geo-istoria regiunilor de frontieră) concentrat pe programe de protecția infrastructurilor critice și un masterat în «Intelligence and Security Studies» (Studii de securitate și informații). Anterior a ocupat funcția de Associate Expert in Risk Resilience and Assurance (expert asociat în asigurare și reziliență la riscuri) la Booz & Company și Booz Allen Hamilton. A fost și consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.

335

autor: Vassilis Manoussos

Breșele de date subiect de știri

Breșele de date, atacurile cibernetice, interferenţele cibernetice sponsorizate de state și ameninţarea unui război cibernetic sunt acum o temă constantă în media mainstream. Lumea aude și citește din ce în ce mai mult despre acestea, dar cu ce învăţături se alege?

Vassilis Manoussos

Cazurile care ajung la știri sunt întotdeauna despre breșe mari, de dimensiunea celor de la Talk-Talk, Sony și Yahoo! Cifrele mari sunt cele care atrag atenţia și despre care te aștepţi ca media să scrie. Acestea sunt cazuri prea mari ca să poată fi ascunse, prea mari ca să poată fi administrate și rezolvate imediat. Sunt acele cazuri care ne șochează prin simpla lor dimensiune și prin cifre. Yahoo! a avut 1 miliard de conturi de email compromise. Talk-Talk a pierdut datele private și bancare a 157.000 de clienţi. BUPA (care face parte din industria de sănătate, cea mai mare sursă de breșe de date din lume) a pierdut 500.000 de înregistrări. NHS, universităţile, Tesco Bank, Three Mobile sunt doar alte exemple de același gen.
Problema, totuși, este că acestea sunt business-uri uriașe care operează în domenii extrem de reglementate (telecom, bancar și sănătate) în care legile de protecţie a datelor și alte prevederi regulatorii obligă la declararea breșelor și notificarea celor afectaţi. Aceste cifre nu iau totuși în considerare cazurile mai mici de breșe de date, scurgeri și hack-uri. Adevărul este că marile companii vor fi întotdeauna ţintele predilecte ale atacurilor. Companiile mici nu sunt neapărat o ţintă, dar acestea au tendinţa de a-și pierde propriile date, deoarece nu au implementate proceduri de securitate elementare și nici nu fac nici un fel de training cu angajaţii lor. IMM-urile și microîntreprinderile nu știu adesea unde le sunt stocate datele și cel mai adesea nu devin conștiente de existenţa unei breșe sau scurgeri de date, până în momentul în care sunt afectate direct (de ex. când cineva folosește informaţii din interior pentru a extrage bani din firmă, de obicei prin phishing sau alte forme de inginerie socială).
Destul de des, IMM-urile își pierd datele prin intermediul unui terţ: un furnizor, un client sau chiar o agenţie guvernamentală. Breșele de date se pot întinde de la foarte simple până la cele mai grave. În cea mai simplă formă, o breșă poate fi sustragerea adreselor de email din agenda de adrese. Eu am mai multe conturi de business pe care le utilizez în scopuri diferite. Pe un cont pe care îl utilizam pentru a comunica cu clienţi și potenţiali clienţi am început să primesc un volum tot mai mare de spam. Știam că nu am folosit acea adresă de email ca să mă înregistrez pe nici un site și că firewall-urile și soft-urile mele de securitate sunt la zi și la locul lor. De fapt, peste alte 30 de conturi de email pe care le deschisesem pe domeniul meu nu primeau spam deloc. Adresa de email care era inundată cu spam a fost găsită pe calculatoarele unor persoane care nu aveau soluţii de securitate instalate, sau aveau soluţii slabe. Urmarea a constituit-o faptul că adresa mea de email a ajuns în numeroase liste de spam, distribuite în întreaga lume. La un moment dat, până și filtrele mele de spam nu au mai făcut faţă, astfel încât a trebui să închid acel cont și să deschid altul. Acesta este un mod indirect de scurgere de date la care persoanele și companiile sunt expuse mult prea adesea. Evident, acest caz s-a aflat la nivelul cel mai de jos al spectrului și a devenit mai degrabă un deranj decât un risc pentru mine. Dar în același fel, un dispozitiv contaminat al unui furnizor sau consultant pot duce la scurgeri de informaţii sensibile, care pot conduce la pierderi financiare directe.

Ce relevă cifrele

Statisticile despre breșele de date pot diferi de la sursă la sursă, dar tendinţa pare să fie consistentă. Domeniile sănătăţii și guvernamental sunt cele două surse majore de breșe și scurgeri.
Conform lui Gemalto și indexului lor BreachLevelIndex1, în 2016 au fost compromise un număr record de înregistrări de 1.378.509.261 articole2 în 1.792 de scurgeri de date. Un semn bun îl constituie faptul că 4,2% din datele scurse erau criptate, fiind practic lipsite de valoare pentru cei care au ajuns în posesia lor. Vestea proastă este că doar 4,2% din datele care s-au scurs erau criptate. O altă statistică deranjantă este că în cazul a 52,2% dintre breșe numărul articolelor/înregistrărilor compromise este clasificat ca „necunoscut”.
Când vine vorba despre organizaţii mari, riscul vine adesea din exteriorul perimetrului de securitate. După cum se poate vedea în Fig. 1, ceva mai mult de două treimi dintre breșe sunt orchestrate din exterior3. Totuși un procent semnificativ de 28% se datorează celor din interior și pierderilor accidentale. Ambele situaţii reprezintă o ameninţare combinată din interior pentru orice business.
Majoritatea breșelor de date se materializează în furt de identitate, cel mai mare risc pentru organizaţii și pentru clienţii lor. Nu constituie o surpriză faptul că înregistrările organizaţiilor și companiilor din domeniul sănătăţii constituie ţinta predilectă a infractorilor cibernetici.

Amenințările din interior

Deoarece 28% dintre breșe și scurgeri provin din interiorul companiilor afectate, are sens ca organizaţiile și CISO din acestea să își clădească apărarea pornind de la reducerea acestui segment de ameninţări.
Conform Info Security Magazine, se estimează că 63% dintre companii au fost afectate de o surgere de date de „școală veche”: imprimanta. Se estimează că undeva între 10-18% din scurgerile din interior se datorează unor documente printate care părăsesc compania datorită unui angajat sau furnizor. Riscul se extinde și asupra documentelor care au fost furnizate organizaţiilor statutare (de ex. autorităţi fiscale, administraţie locală, autorităţi de mediu) care nu au distrus în mod corespunzător documentele pe care le- au primit. Acest procent este mare, în sine, dacă luăm în considerare că are loc în mediul corporatist în care imprimantele de reţea necesită log-area utilizatorilor pentru a printa, activitatea fiind astfel trasabilă.
Într-o companie mai mică, în care o imprimantă partajată nu necesită credenţiale de logare pentru tipărirea unui document, singura modalitate de investigare a unei breșe cauzate de documente tipărite o reprezintă o investigaţie digital forensics sistematică (adesea disruptivă și scumpă). Din această cauză companiile mici sunt în prima linie a scurgerilor datorate printării.

Contează mărimea?

Chiar dacă răspunsul la această întrebare este cel mai adesea da, atunci când vine vorba despre securitatea datelor, răspunsul este cu timiditate NU! Nu contează cât de mică sau cât de mare este o organizaţie: activele digitale sunt valoroase pentru toţi stakeholder-ii ei.
Majoritatea afacerilor mici și de familie nu utilizează în mod sistematic soluţii de securitate care să le protejeze activele digitale. Ei cred că lor nu li se va întâmpla o scurgere de date, deoarece nu constituie o ţintă importantă din punct de vedere financiar sau industrial. Realitatea este însă că micile companii, pe zi ce trece, suferă tot mai adesea de pe urma diferitelor tipuri de infracţionalitate cibernetică, provocate de scurgeri de date sau de către angajaţi neloiali. Era în iunie 2013 când scurgerea de documente NSA, datorită lui Edward Snowden, domina știrile. Snowden a ocolit protocoalele de securitate învechite și s-a folosit de credenţialele privilegiate de acces pentru a copia documente SUA clasificate pe un un dispozitiv flash. Lucrând din Honolulu, la o diferenţă de fus orar de câteva ore faţă de ferma de servere NSA de la a Fort Meade, el a deschis o breșă în securitatea SUA urmând câţiva pași simpli. Întrebarea pentru companiile mici devine simplă: dacă NSA a putut fi hack-uită de un angajat …ce credeţi că vi se poate întâmpla vouă?

Adevărata amenințare…

Experienţa a dovedit că în cazul companiilor mici care nu justifică un atac cibernetic de amploare, ameninţarea o reprezintă fie cineva din interior, fie cineva dinafară care utilizează ingineria socială. Majoritatea cazurilor recente cu care m-am confruntat au avut de a face cu păcălirea unor angajaţi să plătească facturi după furnizarea unor „noi date bancare”, de obicei prin email. Acest tip de ameninţare poate fi trasat către oameni din interior și exterior în același timp.
Ameninţarea din interior este evidentă: un angajat care vrea să se îmbogăţească rapid sau un angajat nemulţumit.
Există însă și o altă ameninţare din semi-interior: tipii de la IT. Multe companii, după ce cresc și au nevoie de instalarea unei reţele, aleg soluţia outsourcing-ului administrării infrastructurii lor de IT către o companie
specializată de IT. Acest lucru este în ordine și companiilor cu reputaţie li se poate acorda încrederea. Totuși, uneori lucrurile pot să nu fie în ordine și clienţii să fie afectaţi. Într-o investigaţie recentă am avut un caz în care de la o companie de suport IT din Glasgow au plecat câţiva angajaţi, dar nimeni nu s-a obosit să modifice credenţialele de login la serverele clienţilor, astfel încât cei care au plecat să nu mai aibă acces. Cu toate că nu a existat intenţionalitate, a fost o abatere gravă din partea lor.

A fost un accident…

Accidentele se întâmplă, dar este important să fim pregătiţi să le confruntăm. Cea mai mare problemă legată de utilizarea calculatoarelor și Internetului este că toată lumea are acces. Putem porni de la asumpţia că un profesionist (de ex. un medic sau un avocat) știe ce face. Corect? Ei bine… nu. Majoritatea juriștilor, de exemplu, nu sunt instruiţi în utilizarea calculatoarelor, a cloud-ului sau despre cum să se asigure că au calculatorul securizat. Este posibil să fi fost instruiţi să utilizeze un anumit software specific (de ex. de administrarea cazuisticii) și să scrie documente în Word și să le trimită prin email. Dar asta nu înseamnă că au până și cea mai vagă idee despre cum lucrează calculatoarele, fișierele sau email-ul. Și aceasta constituie o problemă. Nu aţi lăsa pe cineva neinstruit să vă opereze, dar aveţi încredere într-un profesionist lipsit total de instruire să administreze date sensibile despre voi, familia voastră sau compania voastră.
Anul acesta, în 16 martie, ICO (Information Commissionaire’s Office) din UK a amendat un avocat cu o amendă de 1.000£4 pentru scurgerea unor documente sensibile. Avocatul a lucrat cu documente sensibile pentru client, de acasă, a utilizat un calculator partajat (utilizat și de soţ) și nu a criptat documentele conform cerinţelor curente, în vigoare. Nu a existat nici o dovadă că soţul ei ar fi citit documentele. Totuși, într-o zi acesta s-a decis că este momentul să facă un upgrade de software și s-a gândit că ar fi bine să facă un backup în cloud și pentru fișierele sensibile ale soţiei, utilizând un serviciu care s-a dovedit că permitea indexarea acestora de către motoarele de căutare și permitea acces fără parolă. Dintre cele 725 de documente care au fost upload-ate, doar 15 au fost indexate, dar 6 dintre acestea conţineau informaţii foarte sensibile în legătură cu Court of Protection și Family Court. Scurgerea a doar 6 documente a afectat direct și indirect cca. 200-250 de persoane, inclusiv copii și adulţi vulnerabili.
Scurgerea s-a datorat unei greșeli și nimeni nu a afirmat că s-a produs în mod intenţionat, din această cauză amenda a fost foarte mică. Totuși avocatul ar fi trebuit să fie mai bine informat. Există ghiduri de conduită elaborate de barou și de camerele acestuia pe care le-a ignorat.

Vine GDPR-ul…

Noul Regulament General de Protecţie a Datelor (General Data Protection Regulation) – GDPR este pe drum și a mai rămas mai puţin de un an pentru implementare și conformare.
Studii recente (în special la solicitarea Freedom of Information) au arătat că un număr semnificativ de companii și de organizaţii guvernamentale nu vor putea respecta termenul. Conform Law Society (Anglia) doar 54% dintre companii cred că se vor încadra în termen, ceea ce înseamnă că aproape jumătate nu cred că se vor încadra. În același timp 24% dintre companii nu au început nici măcar să își facă un plan..
Situaţia este și mai îngrijorătoare dacă ne referim la administraţia locală. Conform ICO5:
Rezultatele6 despre gradul de pregătire al consiliilor sunt îngrijorătoare. Ele administrează volume uriașe de date personale despre toţi cei care sunt în viaţă, muncesc sau deţin o proprietate sau un business în jurisdicţia lor. GDPR va trebui să fie un one-stop-shop pentru siguranţa și intimitatea datelor, caracteristica sa majoră fiind „privacy by design”.
Companiile vor trebui să ia măsuri să se asigure că au făcut tot ceea ce este posibil pentru a asigura integritatea datelor personale pe care le deţin, utilizarea corespunzătoare a acestora și punerea lor la dispoziţie când este necesar. Cu alte cuvinte, trebuie să înveţe cum să depună toate eforturile necesare. Noua legislaţie prevede amenzi serioase și experţii din industrie speculează că primele companii mari care nu se vor conforma ar putea fi amendate cu suma maximă (sau apropiată de maxim) pentru a fi un exemplu. Totuși prin depunerea tuturor eforturilor necesare, implementarea proceselor, audituri regulate și asigurări de securitate cibernetică, ar putea reduce răspunderea organizaţiilor acuzate.

Epilog

Companiile trebuie să înţeleagă că activele digitale și datele sensibile pe care le deţin sunt importante nu doar pentru operaţiunile lor de business. Ele sunt importante pentru toţi stakeholder-ii și pentru toţi cei care ar putea fi afectaţi dacă date sensibile ajung să fie făcute publice.
Companiile trebuie să se lepede de mentalitatea „nu mi se va întâmpla mie” sau „suntem o companie prea mică pentru ca cineva să-și bată capul cu noi”. S-a întâmplat unor organizaţii de toate dimensiunile, de la unele cu proprietar unic și practicieni și până la fundaţii și multinaţionale.
Companiile trebuie să înceapă să își planifice măsurile de securitate și de conformare GDPR. Acestea nu sunt două activităţi izolate. Ele sunt corelate direct și dacă sunt făcute corespunzător, în același timp, rezultatul final va fi mai eficient, mai funcţional și va aduce mai multă valoare business-ului.
Câteva dintre problemele pe care toate companiile și organizaţiile trebuie să se concentreze sunt:
Investiţia în software de securitate cibernetică de bază (anti malware și firewall-uri);
Investiţii (dacă este relevant) în software pentru Data
Loss Prevention și Data Loss Detection;
Investiţii în instruirea tuturor angajaţilor, despre principiile de bază în privinţa principiilor și proceselor de siguranţa datelor;
Securitatea datelor și Privacy by design;
Audituri regulate a politicilor IT, conformare software și hardware;
Pregătirea pentru conformarea GDPR;
Pregătirea unui plan de răspuns la incidente;
Pregătirea unui plan de recuperare în caz de dezastre;
Instruiri regulate și simulări de atacuri pentru echipa de intervenţie (Response Team);
Elaborarea unui plan de control a pagubelor (cu un avocat și/sau echipa PR);
Apelarea la o firmă de Digital Forensics sau la un practician pentru investigarea oricărui incident care este descoperit.
Prevenţia este întotdeauna mai ieftină decât curăţarea mizeriei de după.


1 http://breachlevelindex.com
2 http://breachlevelindex.com/assets/Breach-Level-Index-Report-2016-Gemalto.pdf
3 http://breachlevelindex.com/assets/Breach-Level-Index-Infographic-2016-Gemalto-1500.jpg
4 https://ico.org.uk/media/action-weve-taken/mpns/2013678/mpn-data-breach-
barrister-20170316.pdf
5 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico-survey-
shows-many-councils-have-work-to-do-to-prepare-for-new-data-protection-law/
6 https://iconewsblog.org.uk/2017/03/20/information-governance-survey/

Vassilis Manoussos

Vassilis Manoussos este un consultant Digital Forensics, proprietar al Strathclyde Forensics și consultant al The Security Circle din Glasgow. În același timp el este cadru universitar asociat al Edinburgh Napier University și The Cyber Academy. El are o experiență vastă în investigații digital forensic, auditarea de rapoarte ale poliției și în furnizarea de consultanță în domeniul securității cibernetice. El este un speaker frecvent la conferințe internaționale, simpozioane și la universități din Marea Britanie.
Dl. Manoussos poate fi contactat la adresa vassilis@ForensicsExperts.co.uk

446

autor: Eduard Bisceanu

În perioada ultimului an, peisajul amenințărilor de securitate cibernetică s-a schimbat semnificativ, pe fondul creșterii impactului unor atacuri informatice realizate pe scară largă și utilizării unor instrumente specializate în acest scop, dezvoltate de instituții guvernamentale de elită, dezvăluite și puse la dispoziția publicului prin intermediul unor canale de distribuție de tip wikileaks.

Eduard Bisceanu

Deși această evoluţie ar merita o analiză mult mai atentă și fără interpretări părtinitoare, o să încerc în acest articol să identific câteva dintre provocările cu care se confruntă structurile de securitate din cadrul unor organizaţii de business sau instituţii publice a căror activitate este expusă semnificativ online și, evident, câteva tendinţe pe care ar trebui să le urmeze pentru a avea succes în protejarea datelor și infrastructurilor asociate.
Citesc cu mare interes o serie de articole și publicaţii valoroase care aduc în atenţia publicului specializat sau a celui general o serie de inovaţii tehnologice (blockchain, machine learning, big data analytics, artificial intelligence etc.) care vor schimba sau deja schimbă profund modalitatea de proiectare și implementare a sistemelor informatice în orice domeniu. Vorbind însă despre transformare digitală și despre organizaţii mari, domenii economice super reglementate (ex: domeniul financiar-bancar), precum și despre costurile semnificative pe care le impune orice program strategic disruptiv de informatizare, ar trebui să realizăm că implementarea noilor tehnologii nu se poate realiza cu rapiditatea cu care noile inovaţii sunt implementate în produse/servicii comerciale.
Astfel, specialiștii de securitate se află în faţa unor alegeri dificile, având de protejat infrastructuri realizate după concepte a căror viabilitate tehnologică nu mai permite un grad de protecţie adecvat, sau a căror schimbare presupune schimbări organizaţionale majore și costuri semnificative, având de evaluat o piaţă de securitate care evoluează constant și dispunând de bugete limitate care nu le permit o adaptabilitate permanentă la tendinţele evidenţiate de realitate în domeniul securităţii cibernetice.
În funcţie de gradul de maturitate organizaţională, de profitabilitatea sau disponibilitatea investiţională, apreciez că ne aflăm într-un moment în care managementul oricărei organizaţii care ar trebui să fie preocupată de propriul nivel de securitate, ar trebui să-și adapteze conduita investiţională la aceste noi tendinţe și să ceară departamentelor interne specializate (CIO, CISO) să lucreze împreună pentru a identifica cele mai adecvate strategii și modalităţi pragmatice de a face faţă cu succes noilor categorii de ameninţări cibernetice care se manifestă la nivel global.
Subiectul abordat permite o dezvoltare amplă, iar, în opinia mea, competenţele și cunoștinţele necesare identificării unor soluţii viabile se regăsesc rar la o singură persoană, indiferent de profilul profesional și nivelul de specializare. De aceea, o să mă opresc asupra unui singur proces, complex, care poate și este necesar a fi optimizat în cadrul oricărei organizaţii care utilizează o infrastructură informatică complexă: monitorizarea în scopul prevenirii, detecţiei și răspunsului la incidente de securitate cibernetică și cadrul organizatoric, procedural și tehnologic necesar implementării eficiente a unui astfel de proces prin intermediul unei structuri de tip SOC – Security Operation Center.
Din experienţa personală și interacţiunea cu membri ai comunităţii experţilor în domeniul securităţii IT am concluzionat că există mai multe viziuni de valoare asupra a ceea ce trebuie să însemne un SOC. Vorbind însă de eficienţă și de o concepţie funcţională a unei astfel de structuri am identificat și aspecte negative privind abordarea acestui subiect, generate în special de evaluări exclusiv tehnice sau care sunt centrate în jurul unei soluţii tehnologice specifice adusă pe piaţă de un jucător sau altul care a identificat această oportunitate/nevoie.
Pentru o construcţie funcţională de succes, realizarea unui SOC trebuie să plece de la definirea clară a nevoii pentru care o astfel de structură este necesară. De exemplu, în cazul unei bănci care furnizează servicii online 24/7, ca marea majoritate a instituţiilor financiare, activitatea de monitorizare desfășurată în mod curent de o echipă de securitate exclusiv în timpul programului de lucru nu mai este suficientă, chiar dacă instituţia dispune de cele mai performante tehnologii de securitate.
Monitorizarea incidentelor de securitate devine astfel un proces de business, care trebuie realizat în mod constant, în primă instanţă prin utilizarea mecanismelor tehnologice existente deja în cadrul unei organizaţii. De multe ori, manageri cu experienţă, unii dintre ei cu background în domeniul tehnologiei, asaltaţi de volumul de informaţii specializate din spaţiul public, mă întreabă de unde să înceapă demersurile de dezvoltare și operaţionalizare a unui SOC.
Aproape întotdeauna, soluţiile sunt la îndemână și presupun decizii și măsuri organizatorice simple, costuri acceptabile, cel puţin în prima fază, astfel:
Identificarea personalului cheie disponibil, evaluarea competenţelor necesare și a resurselor de timp ce trebuie alocate asigurării funcţionalităţii permanente a unui SOC. Optimizarea activităţilor curente și estimarea necesarului de personal. Evaluarea oportunităţii menţinerii întregii funcţionalităţi a SOC în interiorul organizaţiei versus externalizare;
Inventarierea tehnologiilor de securitate existente în vederea identificării capabilităţilor de monitorizare de care acestea dispun deja. De regulă, orice infrastructură care funcţionează astăzi online și susţine funcţionalitatea unui business sau a unei instituţii dispune deja de câteva platforme tehnologice de bază care-i permit să fie operată în condiţii de siguranţă minimă (network firewall, application firewall, antivirus/ antimalware, IPS/IDS, end-point security, DLP, SIEM etc.). Dacă nu este deja gândit ca atare, primul pas pentru realizarea unui SOC este identificarea unui spaţiu comun, adecvat, în interiorul căruia vor fi centralizate și integrate (acolo unde este tehnologic posibil) capabilităţile de monitorizare identificate deja;
Crearea unor proceduri simple de lucru și asigurarea personalului necesar operaţionalizării. Procedurile tre- buie menţinute simple și este necesar să acopere, adaptat capabilităţilor tehnologice existente, toate tipurile de activităţi curente, precum și situaţiile de potenţială criză. Trebuie avută în vedere în principal funcţia preventivă a unui SOC, însă managementul incidentelor de securitate cibernetică detectate este un proces care trebuie documentat adecvat. Dincolo de cadrul procedural, competenţele și resursele aflate la dispoziţia echipei care operează SOC-ul, capabilitatea de a identifica indicatori de atac sau de compromitere și a genera alerte specifice, precum și mecanismele de escaladare decizională în cazul unui incident pot genera diferenţe majore privind gradul de operaţionalizare și eficienţă a unei astfel de structuri. Nu trebuie ignorate, în funcţie de nevoile specifice, capabilităţile specifice proceselor de business continuity și disaster recovery;
Evaluarea riscurilor de securitate și a evoluţiei/ tipologiei noilor tipuri de ameninţări cibernetice, expunerea organizaţiei în raport cu acestea și identificarea gap-urilor tehnologice și funcţionale pentru operaţionalizarea SOC-ului.
Această primă etapă, care poate avea grade de complexitate diferite, permite organizaţiei să realizeze, cu costuri minime, o platformă de bază pentru operaţionalizarea ulterioară a unui SOC în conformitate cu nevoile actuale, posibilităţile tehnologice oferite de piaţă și disponibilitatea investiţională.
Din acest punct de vedere, piaţa de securitate a început să se adapteze, iar la nivel global există jucători importanţi care și-au adaptat serviciile pentru a putea asigura servicii de tip SOC. Tendinţele de creștere semnificative înregistrate de piaţa de cloud indică ca potenţială direcţie de viitor externalizarea, cel puţin parţială, a unor funcţionalităţi critice specifice unei structuri de tip SOC. Avantajele externalizării vin din resursele specializate disponibile la nivelul unei astfel de companii, posibilitatea externalizării controlate a unor riscuri și acoperirea contractuală a acestora, eficientizarea costurilor (se achiziţionează servicii, nu tehnologii, care vin la pachet cu costuri mari de mentenanţă, riscuri de fi depășite de evoluţia tehnologică în domeniu sau de anatomia ameninţărilor, etc.). Printre dezavantaje ar merita menţionate limitările legale generate de impactul cadrului de reglementare care guvernează anumite sectoare, dificultatea de a transparentiza costurile în raport cu serviciile achiziţionate, însă, cea mai importantă provocare este identificarea mecanismelor de încredere între furnizorul de servicii și client, această provocare fiind și cel mai mare obstacol în evoluţia pieţei de cloud în anumite părţi ale lumii (Europa Centrală și de Est este un exemplu relevant).
Monitorizarea infrastructurii cu scopul identificării cât mai rapide a unor potenţiale atacuri cibernetice, precum și derularea unor activităţi curente de monitorizare a vulnerabilităţilor de securitate existente la nivelul infrastructurilor IT sunt procese ce pot asigura cu succes existenţa unei organizaţii online.
Totuși, având în vedere noile provocări evidenţiate de tipologia evolutivă a ultimelor atacuri cibernetice realizate pe scară largă și în special caracteristicile vectorilor de distribuţie a unor programe de tip malware și capacitatea distructivă sau de persistenţă acestora la nivelul infrastructurilor afectate, simple măsuri organizaţionale sau utilizarea ca atare a capabilităţilor oferite de tehnologiile clasice/consacrate de securitate nu mai sunt suficiente pentru asigurarea unor funcţionalităţi preventive eficiente sau a unor capacităţi tehnologice de răspuns la atacuri cibernetice adecvate.
Totodată, deși în prezent, piaţa de securitate cibernetică generează noi produse/servicii bazate pe inovaţii tehnologice spectaculoase, lipsa de maturitate și eficienţă demonstrată/demonstrabilă a acestora precum și costurile semnificative de achiziţie, creează probleme majore în identificarea unei soluţii corecte, indiferent de tipul organizaţiei necesar a fi protejată.
Din această perspectivă, după parcurgerea etapelor iniţiale menţionate mai sus, pentru operaţionalizarea reală a unui SOC în mediul de securitate cibernetică actual, trebuie avute în vedere următoarele provocări/ necesităţi funcţionale:
Creșterea gradului de automatizare în cadrul SOC-ului prin integrarea și filtrarea datelor colectate, în scopul generării de ALERTE utile. Integrarea a cât mai multe surse de date și capabilitatea filtrării acestora în scopul identificării unor indicatori relevanţi sunt obiective declarate ale mai multor firme de securitate, care furnizează soluţii de tipul big data analytics destinate componentei de securitate cibernetică. Într-o notă personală, aș menţiona aici că nu mă refer la soluţiile consacrate de tip SIEM, care, deși relevante în arhitectura unei structuri de tip SOC, sunt limitate ca eficienţă, mai ales pe componenta preventivă. Soluţiile evaluate de mine în acest domeniu, fie nu m-au convins funcţional, fie m-au descurajat la nivel de costuri;
Integrarea cu tehnologiile existente a unor surse de încredere care furnizează indicatori de atac sau indicatori de compromitere. În acest domeniu sunt prezenţi pe piaţă o serie de jucători, atât producători de soluţii de securitate care integrează în produsele/serviciile proprii capabilităţi de Cyber Threat Intelligence, dar și furnizori specializaţi care colectează din surse multiple informaţii relevante și le livrează în diverse format-uri clienţilor. Departe de a fi o piaţă matură, diferenţele semnificative între jucătorii de pe această piaţă sunt date de capabilităţile de integrare cu diverse alte tehnologii (integrarea unei platforme de tip CTI cu o platformă analitică poate fi vitală pentru generarea de alerte viabile de securitate) și pe rapiditatea/viabilitatea indicatorilor pe care îi furnizează. Ca remarcă, în prezent, o serie de organizaţii cumpără servicii de CTI care le livrează indicatori relevanţi, dar nu dispun de capabilităţi manuale sau automate de utilizare/căutare după astfel de indicatori la nivelul infrastructurii proprii, ceea ce face o astfel de soluţie aproape inutilă;
Integrarea în cadrul arhitecturii de securitate a unor soluţii tehnologice care folosesc algoritmi de machine learning. Deși pe piaţă există deja jucători relevanţi care recomandă înlocuirea totală a soluţiilor consacrate de securitate cu tehnologii bazate pe machine learning, personal nu recomand o astfel de abordare, cel puţin nu în prezent. Companii relevante ca Microsoft au integrat deja în produsele și serviciile de securitate pe care le oferă servicii care au la bază machine learning. Microsoft și CrowdStrike oferă astfel de soluţii prin analiza unei cantităţi uriașe de date colectate în cloud, pe când companii gen Dark Trace sau VECTRA se bazează pe identificarea de anomalii prin învăţarea comportamentului „normal” al infrastructurii monitorizate. Noile tehnologii bazate pe machine learning vin cu funcţionalităţi unice și cu o semnificativă valoare adăugată arhitecturii de securitate a oricărei organizaţii, precum și la o creștere substanţială a gradului de funcţionalitate a unei structuri de tip SOC. Recomandarea mea în acest domeniu pentru orice organizaţie este să solicite teste extinse în infrastructura proprie înainte de achiziţionarea unor astfel de tehnologii, iar scenariile de test să fie cât mai aproape de realitate. De asemenea, costurile de achiziţie și costurile ulterioare ale unei astfel de soluţii sunt relevante în cadrul oricărei analize comparative pentru produse/servicii cu funcţionalităţi oarecum similare.
Fără a avea pretenţia că am acoperit suficient sau în cele mai relevante detalii subiectul abordat, articolul este generat strict de experienţa profesională proprie și cred că poate contribui la înţelegerea fenomenului și provocărilor cu care se confruntă în prezent orice organizaţie în realizarea și operaţionalizarea unui Security Operation Center, mai ales din perspectivă managerială.

Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

227

autor: Laurent Chrzanovski

În perioada ultimelor luni, toată atenţia celor mai buni specialiști europeni în domeniul securităţii cibernetice și a jurnaliștilor, s-a concentrat pe trei subiecte majore:

  1. consecinţele și lecţiile învăţate după atacurile recente cunoscute sub numele de WannaCry și GoldenEye
  2. războiul informaţional global „4.0”, concentrat pe fenomenul „fake news” și efectele sale asupra ecosistemului social-economic
  3. impactul generat de noile reglementări europene (GDPR, PSD2, NIS).

Laurent Chrzanovski

Deoarece subiectele de mai sus ocupă spaţiul public, relaţiile dintre noile „variante digitale” profesionale și private ale persoanelor adulte rămân în continuare abordate la un nivel superficial sau chiar deloc.
La nivelul celor mai multe organizaţii de afaceri, instituţii sau ţări, departamentele de Resurse Umane, a căror principală sarcină este să angajeze cel mai bun candidat pentru o anumită poziţie și să rezolve potenţialele conflicte interpersonale între angajaţi, au eșuat în încercarea de a implementa un nivel de bun simţ pentru educarea comportamentului în lumea digitală.
Ca multe alte profesii care existau cu mult înaintea apariţiei Internetului, specialiștii HR au înţeles în mod eronat faptul că o dată cu extinderea fără precedent a lumii digitale „2.0”, totul s-a schimbat, iar caracterul anonim al comportamentului indecent sau criminal online la locul de muncă nu reprezintă una dintre priorităţile lor principale.
Aceeași înţelegere eronată se aplică și autorităţilor de aplicare a legii din cele mai multe state, a căror principală sarcină este să rezolve activitatea criminală cu care se confruntă persoanele fizice. În acest domeniu, numărul de agenţi pregătiţi pentru a înţelege impactul transformării digitale a societăţii este foarte limitat, prin comparaţie cu numărul agenţilor implicaţi în programe de formare pentru abordarea criminalităţii clasice.
Totuși, sunt două domenii în care majoritatea autorităţilor de aplicare a legii au investit resurse semnificative, umane și tehnologice: serviciile destinate identificării pedofililor și unităţile specializate în combaterea fraudelor online.
Ilustrat prin date extrase din sute de cazuri reale, studiul magistral realizat de Anastasia Powell și Nicola Henry1 asupra violenţei sexuale împotriva femeilor în era digitală, ne lasă cu un gust amar și un sentiment de revoltă, în special având în vedere numărul semnificativ de victime și impactul generat de astfel de fapte în viaţa lor.
Cercetarea are la bază studiul paralel privind manifestările acestui fenomen în Marea Britanie și Australia, alese datorită abundenţei de date disponibile (încă nevalorificate corespunzător) și pentru diferenţele socio- culturale. Exemple punctuale din SUA, Canada, Noua Zeelandă și alte state completează imaginea creată de autori.
Alegerea menţionată este valoroasă, deoarece prezintă în oglindă realităţile unei ţări importante din „Vechea Europă”, cu o cultură și mentalităţi înrădăcinate într-un trecut extrem de bogat din punct de vedere guvernamental, filozofic și juridic, și, de cealaltă parte, o „Ţară nouă”, cu propria identitate, în cadrul căreia cultura adaptării este foarte importantă, reprezentând un mix social multicultural de succes care se află într-o permanentă transformare.
Un mesaj cheie care trebuie înţeles de orice profesionist în domeniile HR, aplicarea legii, sociologie etc. este subliniat clar în cercetarea menţionată:
Instrumentele digitale nu au creat sau schimbat dramatic natura infracțiunilor sau agresiunilor cu caracter sexual. Principala diferență raportată la perioada anterioară Internetului este generată de faptul că noile tehnologii facilitează, în egală măsură, agresiunea și amplifică efectele acesteia.
O altă consecinţă directă și provocare generată de utilizarea în masă a mijloacelor de comunicare digitale este determinată de procentajul scăzut al victimelor care se prezintă într-o secţie de Poliţie pentru a formula o plângere, de cele mai multe ori din cauza unei înţelegeri greșite a faptelor și credinţei că poartă o parte a responsabilităţii.
Cercetarea a identificat cifre îngrijorătoare privind cele mai importante modificări comportamentale într-o nouă lume a hărţuirii. În ziua de astăzi, violenţa sexuală împotriva femeilor la locul de muncă a atins, în Australia, Marea Britanie și SUA, același procend ca faptele de violenţă domestică raportate (între 6% și 8% din totalul cazurilor – p.249). Acest rezultat este mic totuși prin comparaţie cu agresiunile anonime prin mijloace electronice (între 27% și 38% din cazuri) sau cu cele săvârșite de către prieteni/ cunoștinţe (între 18% și 26% din cazuri).
Aceste statistici sunt îngrijorătoare, evidenţiind faptul că, în noua realitate generată de tehnologie, agresiunile la locul de muncă precum și cele generate de către prieteni/cunoștinţe, realizate prin utilizarea de mijloace electronice, au crescut exponenţial, prin comparaţie cu perioada anterioară Internetului, când predominau abuzurile domestice și infracţiunile săvârșite de persoane total necunoscute.
Anonimitatea oferită de tehnologie și relativa dificultate de a preveni în lumea digitală impactul în lumea fizică a unei agresiuni creează dificultăţi majore în identificarea unor mecanisme instinctuale de identificare a agresorilor și autoprotecţie, deoarece statistic agresiunile cele mai relevante în acest domeniu sunt generate de persoane cunoscute, în special de colegi de muncă.
O altă problemă subliniată în cadrul studiului de referinţă, care generează transferul acestui tip de criminalitate din lumea reală în online, este reprezentată de inechitatea constantă socio-profesională între bărbaţi și femei. Această realitate ar trebui să reprezinte un motiv de îngrijorare majoră pentru factorii de decizie din ţările scandinave și lumea anglo-saxonă, adesea date drept exemple globale privind promovarea egalităţii între genuri, dar reprezintă de fapt cele mai violente ţări din Uniunea Europeană din această perspectivă: din cauza libertăţii de expresie, mesajele care promovează egalitatea sunt în mod evident îngropate de numărul uriaș de mesaje generate de diversele canale electonice (web, blogs, etc.) care promovează ura între genuri.
Conform analizei, în Australia situaţia este și mai gravă. Această ţară a fost în mod frecvent considerată un pionier în implementarea de noi metode de luptă împotriva hărţuirii de orice natură și agresiunilor sexuale împotriva adulţilor și copiilor, cu instrumente eficiente și instituţii puternice dedicate protecţiei minorilor.
Astfel, Europa ar trebui să ia acest studiu ca referinţă pentru a înţelege toxicitatea deciziei luate la nivel global de a crea nișe diferite de abordare pentru adulţi și copii. Această greșeală majoră, adesea justificată de motive electorale și viziune pe termen scurt, a determinat ca resurse uriașe umane și tehnologice să fie, ca în Australia, orientate către protecţia copiilor, abandonând adulţii unor organizaţii non-profit subfinanţate și ineficiente.
Astfel, studiul identifică faptul că mai mult de 80% din problemele și infracţiunile care pun probleme minorilor sunt similare, sau au corespondenţă sau originea în lumea adulţilor. Mai mult, lumea adulţilor este de departe mai complexă și mai puţin structurată decât lumea minorilor, ceea ce înseamnă că trebuie abordată de la 0 din perspectiva conștientizării riscurilor și educaţiei de bază, pentru recuperarea zecilor de ani pierduţi, continuând în paralel campaniile de prevenire a riscurilor ce se manifestă împotriva minorilor.
Concluzia autorilor, deși accentuează gravitatea situaţiei, oferă și soluţii pe termen lung: „Tehnologiile de comunicare moderne ne oferă o perspectivă înfricoșătoare a prejudecăţilor rasiale, sexuale, legate de originea socială care continuă să pătrundă în conștiinţa colectivă; în mod paradoxal însă, aceleași tehnologii ne oferă o gamă provocatoare de instrumente și platforme care facilitează activismul, justiţia informală și intervenţia justă” (p.290).
Revenind la Marea Britanie, se evidenţiază nevoia de intervenţie imediată: contrar Poloniei și Europei Mediteraneene, care au cel mai scăzut nivel al infracţionalităţii cu tentă sexuală (analiză2 realizată asupra numărului de persoane spitalizate sau decedate și prin raportare la populaţia fiecărui stat, nu prin utilizarea eronată a numărului de plângeri depuse la autorităţi). Această realitate a fost confirmată în 2014 prin analiza datelor realizată de Agenţia Europeană pentru Drepturi Fundamentale (European Union Agency For Fundamental Rights), pe un eșantion semnificativ de 43.000 femei3. Situaţia din Marea Britanie este foarte gravă, fiind clasată pe cea de-a cincea poziţie privind cele mai „violente sexual” ţări, alături de Franţa, după Danemarca, Finlanda, Suedia și Olanda.
Ce lovitură și semnal de alarmă pentru convingerile tradiţionale privind care sunt cele mai „periculoase ţări”! Fiecare cetăţean ar trebui să știe că toleranţa de gen sau etnică care se manifestă în Londra sau Amsterdam este pe cale să se transforme într-un coșmar al violenţei colaterale ascunse.
Există, prin urmare, o mare și imediată nevoie, așa cum rezultă fără echivoc din rezultate studiului, pentru un plan de acţiuni reale și concrete coordonate de stat, dar în apropiată cooperare cu organizaţiile/entităţile cele mai relevante din zona privată.
România, în schimb, se află într-o poziţie similară Italiei sau Spaniei, cu un nivel sub media EU a infracţionalităţii cu tentă sexuală, așadar o acţiune imediată și concertată din partea actorilor publici și privaţi poate să aducă rezultate rapide și să prevină creșterea fenomenului.
Analiza realizată de Anastasia Powell și Nicola Henry demonstrează că mijloacele pentru a lupta împotriva tendinţei de înrăutăţire a situaţiei pre- zentate există… prin utilizarea de mijloace similare celor care permit existenţa acestui fenomen. Ei demonstrează cum programe utile ca „justiţia digitală” sau „justiţie prin recunoaștere” pot fi funcţionale, aceste concepte având drept obiectiv diseminarea de informaţii referitoare la cazuistică și exemple reale, texte educaţionale cu scop de prevenire, sprijin prentru victime etc.
Dacă ONG-urile, sectorul privat și statul contribuie la propagarea acestor mesaje, fenomenul „survivor selfie” poate deveni rapid viral și poate atinge o proporţie uriașă a populaţiei, prin creșterea nivelului de curiozitate privind înţelegerea acestui tip de infracţionalitate.
Sistemul academic trebuie de asemenea să facă progrese relevante, acceptând să se reformeze în vederea adaptării la realităţile zilei de astăzi și pentru a putea oferi societăţii specialiști și resurse pentru a putea preveni riscuri care se pot manifesta la nivelul ecosistemului uman al oricărei organizaţii4.
De asemenea, având în vedere noile strategii din domeniul resurselor umane, companiile private pot utiliza noua abordare privind protecţia propriilor echipe, într-un avantaj competitiv semnificativ.
Dacă, într-o companie, capabilităţile din domeniul HR ar fi completate printr-o cooperare mai apropiată cu departamentele de securitate (CISO, CSO), care deja folosesc aceleași instrumente pentru evitarea exploatării vulnerabilităţilor angajaţilor prin metode de inginerie socială, protejarea angajaţilor și identificarea comportamentelor cu un nivel ridicat de risc ar putea deveni sarcini mult mai ușor de realizat.
Chiar dacă, din modestie, autorii repetă, de la prima la ultima pagină, că cercetarea lor este o simplă abordare tehno-feministă cu o perspectivă criminologică, metodo- logia lucrării, relevanţa analizei, și, nu în ultimul rând, modul cuprinzător de a examina un fenomen precis dar extrem de complex cum ar fi violenţa sexuală împotriva femeilor oferă o adevărată operă de artă și de referinţă în acest domeniu.
Acest studiu ar trebui citit de orice profesionist care are de gestionat echipe mari sau care este responsabil cu integrarea și interacţiunea socio-profesională a angajaţilor. Ar trebui să devină obligatoriu pentru profesioniștii în domeniul resurselor umane și să fie utilizat ca referinţă în cadrul programelor universitare în domeniul afacerilor.
Mai mult, este necesară o conștientizare urgentă a faptului că violenţa sexuală, ca și sinuciderile sau jihadismul, are din ce în ce mai mult o componentă digitală de durată destul de lungă înainte de trecerea la actul propriu-zis, în consecinţă poate fi prevenită – într-o proporţie importantă – printr-un studiu atent al mesajelor vehiculate prin chat-uri și reţele sociale și prin acţiuni concrete de conștientizare adresate societăţii civile și mediilor profesionale.

1 Anastasia Powell, Nicola Henry, Sexual Violence in a Digital Age (Palgrave Studies in Cybercrime and Cybersecurity), Melbourne 2017 (323 pp.)
2 Cercetare a unor think tank-uri europene, în derulare, încă nepublicată. Dorim să mulţumim interlocutorilor din agenţiile franceze de aplicare a legii care ne-au împărtășit aceste informaţii.
3 http://fra.europa.eu/en/publications-and-resources/data-and-maps/survey-data-explorer-violence-against-women-survey
4 În acest sens, printre puţinele cazuri de implementare cu succes, urmăriţi proiectul de pionierat și transdisciplinar al Rutgers University (NJ, USA): http://endsexualviolence.rutgers.edu/

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

189

Poate părea ciudată utilizarea ca titlu a numelui unuia dintre cele mai populare jocuri de calculator din glorioasa epocă a lui Commodore 128 (1985)… și totuși…

În cadrul evenimentului Maker Faire – The European Edition (Rome) a avut loc dezbaterea „Tehnologie și politici: de ce să investim în securitatea cibernetică”, ce a oferit publicului un dialog de o oră cu Roderick Coffin (FBI); Roberto Baldoni (Universitatea Sapienza din Roma); Alessandro Vitullo (Marsh Spa) și Nicola Sotira (Fundaţia GCSEC a Poștei Italiane), care au evidenţiat faptul că, de la apariţia sistemelor informatice destinate publicului larg – în Europa de Vest prin comercializarea calculatoarelor personale Amiga, Commodore 64, 128 etc. – toate statele și cetăţenii acestora trăiesc conectaţi la ritmul noutăţilor tehnologice, la care se adaptează permanent într-o oarecare măsură, în timp ce cultura generală în raport cu lumea digitală a ajuns și rămâne într-un impas global.\\

Urgența de a pune toți actorii la aceeași masă și de a aduce informația către cetățean


Începută puţin cam târziu, cam fragmentat, şi cam dispersat, educaţia asupra a tuurilor și pericolelor există, de calitate; dar rămâne la l atitudinea individului interesat să găsească online resursele informaţionale potrivite, manualul potrivit pe tema potrivită în limba potrivită, evident cu ajutorul motoarelor de căutare și cu speranţa că va fi găsit conţinutul potrivit.
Urgenţa este deci, în toate ţările membre UE, unirea forţelor active în acest domeniu și orientarea către publicul larg a celor mai eficiente mijloace de a-și prezenta și explica acţiunile și rezultatele, aplicând o strategie nouă, deoarece, în cadrul războiului global care ne este adus prin intermediul fenomenului criminalităţii informatice, strategia este de a aborda un număr cât mai mare de ţinte posibile.
Dacă luăm exemplul Italiei, există o serie de actori importanţi care au devenit deja concentratori de bune practici în domeniul educaţiei tehnologice. Aici găsim, pe lângă numeroasele ONG-uri care se ocupă de educaţia copiilor, CLUSIT (www.clusit.it – Asociaţia Italiană pentru Securitatea Sistemelor Informatice), entitate care se adresează în principal companiilor, Poliţia Naţională, sub coordonarea Poliţiei Comunicaţiilor, care deţine una dintre cele mai moderne pagini web dedicate educaţiei adulţilor și c opiilor (www.commissariatodips.it), Autoritatea pentru Protecţia Datelor cu Caracter Personal – Garante della Privacy (www.garanteprivacy.it) și Centrul G lobal de Securitate administrat în cadrul Poștei Italiene (www.gcsec.org – cu rolul de a gestiona securitatea cibernetică prin coordonarea de proiecte care implică diverse instituţii ale statului italian și străine, organizaţii private, mediul academic și instituţii internaţionale cum ar fi ONU, NATO etc.).

Camioane speciale? Un stand de 185 mp la cel mai vizitat târg din Roma? Da, este posibil

Primul actor care a investit masiv într-un instrument polivalent destinat comunicării cu publicul larg este Poliţia Naţională care, împreună cu parteneri privaţi, au circulat două camioane construite la comandă pentru a aduce educaţia privind pericolele în utilizarea reţelelor sociale în centrul tuturor regiunilor ţării, în marele proiect „Una Vita da Social”, un proiect care a început în 2014 și care este în prezent la al treilea turneu naţional.

Header al web-site-ului Poliţiei Comunicaţiilor și cele două camioane „Una Vita da Social”.

Realizarea unor itinerarii în scop educaţional este un concept eficient, poate cel mai promiţător pentru acest tip de acţiuni. Dar, există și iniţiative curajoase care au procedat exact invers, investind o sumă inedită în acest domeniu prin atragerea mai multor parteneri pentru o acţiune de numai… 3 zile!
Vorbim despre un proiect care a presupus închirierea unei săli de 200 mp, din care 185 mp utili, în cadrul unuia dintre cele mai populare târguri expoziţionale de inovare din lume, Maker Faire, a cărui ediţie europeană a avut loc la Roma între 14-16 octombrie 2016.
Maker Faire Roma : 100.000 m2, 130.000 de vizitatori plus 60.000 de copii în cadrul ½ de zi gratuită pentru școli

Crearea, construirea, amenajarea în întregime a unui pavilion la nivelul celor mai înalte standarde de design italian și aducerea unei acţiuni de conștientizare în domeniul securităţii cibernetice la un asemenea eveniment cu recunoaștere mondială – conţinând și un pavilion dedicat dronelor, unul dedicat domeniului Internet of Things și un pavilion dedicat dezvoltării obiectelor 3D și domeniului pirateriei informatice – iată o provocare care ar fi cunoscut un răspuns direct și negativ al oricărui consiliu de administrare al unei corporaţii de mari dimensiuni. Deoarece numai o astfel de structură este capabilă să elibereze fondurile necesare pentru o astfel de operaţiune de comunicare publică.
Susţinută încă din ianuarie 2016 de către Nicola Sotira, Information Security Manager al Poștei Ita liene și director general al GCSEC (interviu publicat în acest număr), iniţiativa trebuia să fie atractivă și în aceeași măsură inovatoare, să se poată ridica la nivelul Maker Faire și să profite de vizibilitatea acestei manifestări. Lui Massimo Cappelli, Operations Planning Manager al GCSEC, i-a revenit sarcina de a construi conceptul, de a găsi cei mai buni parteneri și de a alege produsele care vor fi lansate cu această ocazie, pe scurt, tot ceea ce va deveni un întreg plan media de pus în practică.
Cu rapiditate, încă din luna martie, partenerii au fost identificaţi și produsele definite: două manuale cu conţinut educaţional ale ITU, traduse pentru această ocazie, premiera italiană a expoziţiei „Eroi și victime ale reţelelor sociale, de la hieroglife la Facebook” realizată de Swiss Webacademy – România, platforma multimedia de testare a cunoștinţelor utilizatorilor de internet, denumită „Cyber-quest”, și promovarea diverselor servicii online și off-line furnizate cetăţenilor de Poliţia Naţională.

256

Delegaţia franceză a avut o prezenţă semnificativă în septembrie 2016 la Sibiu, cu ocazia celei de a 4 a ediţii a Congresului „Cybersecurity in Romania” organizat de Swiss Webacademy.

A fost cea de-a doua participare, ca rezultat al cooperării reale între asociaţia auditorilor IHEDN Franche-Comté și organizatorii congresului.

România nu reprezintă un spaţiu străin pentru această delegaţie care organizează o dată pe an o conferinţă la Parlamentul European din Strasbourg, ocazie cu care a avut colaborări cu domnii Iuliu Winkler, Ioan Mircea Pascu și Christian Dan Proda, toţi foști demnitari în Guvernul României.

A fost o decizie firească pentru Jean-Jacques Wagner, profesor la Universitatea Franche-Comté, formator în domeniile gestionării crizelor și business intelligence și membru al Comitetului Director al asociaţiei auditorilor IHEDN Franche-Comté, să propună o participare semnificativă la congresul de la Sibiu.

Misiunea IHEDN este, de asemenea, de a se face cunoscută prin diseminarea de informaţii despre valorile sale și de a se prezenta publicului larg prin cele mai eficiente și calitative mecanisme.

După luarea acestei decizii, le-a fost solicitată participarea Profesorului Daniel Ventre și a domnului Elvio Salomon din partea Consiliului Europei, amândoi specialiști recunoscuţi în domeniul securităţii cibernetice.

De asemenea, au fost identificaţi cei mai buni oameni pentru a participa, astfel: Alain Sevilla, colonel de jandarmerie, conducător de curs la Universitatea din Strasbourg, Jean-Luc Habermacher, Președinte al Asociaţiei în domeniul energiei – Vallée de l’énergie din Belfort, responsabil cu managementul riscurilor al unor mari grupuri industriale, vice președinte al asociaţiei auditorilor IHEDN Franche-Comté, Alain Seid – Președintele Camerei de Comerţ și Industrie din Belfort, Pascal Tran-Huu, căpitan în

ppl-jean

rezervă al foţelor terestre franceze, specialist în domeniul informaţiilor și implicat în activităţile derulate în domeniul energiei de către asociaţia Vallée de l’Energie, Belfort.

Toţi au prezentat viziunile lor asupra riscurilor de securitate cibernetică și modalităţilor eficiente de răspuns la acestea, în special pentru protejarea afacerilor, de la cele mici, la cele de interes strategic. Toate prezentările realizate au fost bazate pe o experienţă extinsă și practică profesională dobândită de-a lungul unor cariere de excepţie. Astfel, s-a consolidat dorinţa de a continua și chiar crește prezenţa franceză la ediţiile viitoare ale Congresului de la Sibiu.

Succesul evident al ediţiei din 2016 ne-a motivat încă o dată să participăm la acest efort de a transmite cât mai eficient informaţii referitoare la pericolele care ameninţă societăţile noastre astăzi, precum și necesitatea de a deprinde o gândire și un comportament anticipativ în raport cu acestea.

Aceste demersuri nu trebuie să fie adresate numai unor grupuri restrânse, oricât de importante ar fi acestea, ci tuturor cetăţenilor și în special publicului tânăr. Acest subiect constituie, de asemenea, o preocupare prioritară a IHEDN Franche-Comté.

Ne vom revedea în septembrie 2017 la Sibiu!

Material publicat în Cybersecurity Trends, nr. 3/2016

Jean-Jacques Wagner,
Institut des Hautes Etudes de Défense Nationale, AR10 – Franche-Comté

Jean-Jacques Wagner predă la Universitatea din Franche-Comté, Franţa, și în special la Institutul Belfort-Montbéliard, de aproape 30 de ani. Organizează misiuni de cercetare în Romania de câţiva ani, are legături strânse cu mediul de afaceri colaborând în cadrul Camerei de Comerţ și Industrie și clusterului Vallée de l’Energie.
Delegaţia

331

Atacurile cibernetice au devenit în prezent atât de frecvente încât tind să devină neinteresante și să nu mai țină prima pagină a publicațiilor. Și, ca o consecință a faptului că atacurile au crescut în ultimii ani, a crescut exponențial și numărul de firme de securitate care pretind că rezolvă aceste atacuri.

Dar nu este oare această relaţie directă între numărul de incidente cibernetice și numărul de instrumente pentru a le opri contraintuitivă? Furnizează cu adevărat  aceste firme soluţii, sau doar valorifică o piaţă nișată și aflată în plină expansiune?

Trist este faptul că majoritatea firmelor de securitate au doar soluţii care adresează părţi din întreaga problemă și multe dintre acestea oferă valoare doar după ce atacul a avut loc și paguba a fost produsă. Firmele care oferă servicii de securitate ar trebui să găsească o cale de a rezolva cu adevărat problemele de securitate, în abordare globală (incluzând în special partea de prevenţie prin educaţie,  adresând atât mașina dar mai ales omul care o operează) și să ajungă astfel să câștige și să reușească să păstreze încrederea clienţilor și în cele din urmă a consumatorului final subsumat clienţilor.

Chiar dacă au adoptat jargonul industriei de securitate și cu toate promisiunile unor servicii de securitate de neegalat, furnizorii de securitate se află la o răscruce de drumuri, în care nu sunt în stare să-și parieze banii pe serviciile pe care le oferă, fapt ce se datorează pur și simplu neîncrederii suficiente în propriile lor soluţii.

Pe măsură ce piaţa de securitate se transformă pe zi ce trece într-un nostim Babylon, trebuie să găsim diamantele brute în mijlocul acestei pieţe zgomotoase, firme care să găsească într-adevăr soluţii complexe și coerente care vor rezolva de fapt problemele cu care se confruntă companiile în  fiecare zi. Cel mai eficient mod în care firmele își pot demonstra valoarea este să își poziţioneze produsele și serviciile pe piaţă și să ofere în același timp asigurări pentru rezultatele acestora.

Este timpul ca industria de securitate să se scuture de întregul balast bine marketizat și să crească gradul de responsabilizare, astfel încât să ajungă să facă din „mediul digital” un loc mai sigur.

Piața de securitate de astăzi

Securitatea cibernetică, la fel ca majoritatea celorlalte sisteme de infrastructură de securitate tradiţionale, se perimează rapid, pe măsură ce sistemele informatice se descentralizează, migrează în cloud, sau chiar ca urmare a extinderii și creșterii exponenţiale a numărului de utilizatori la distanţă (mobili) în întreaga lume. Formele de apărare tradiţionale încep să nu mai funcţioneze atâta timp cât hackerii le-au depășit demult, creând un joc permanent „de-a șoarecele și pisica” cu industria de securitate în dorinţa de a-i prinde din urmă pe infractorii cibernetici. Mai mult, acest decalaj în materie de securitate este accentuat de convergenţa noilor forţe precum „Internet of things” și explozia „Big Data”. Astăzi, comportamentul uman, mai ales la locul de muncă, este scufundat în tehnologie, lăsând Managerii de Securitate să se lupte să rezolve problemele ce apar precum și să adreseze riscurile nou identificate.

De acest lucru au profitat „vendor-ii” și au sărit pe fiecare tendinţă trecătoare ce le cauzează Managerilor de Securitate frustrare și panică. Iar în panica lor, managerii de securitate cedează, cumpărând promisiunile unor soluţii de securitate inovative, specializate sau de ultimă generaţie, fără să știe de fapt, cât de bine vor performa soluţiile respective, datorită noutăţii lor raportat la noutatea tipului de ameninţare.

Această evoluţie fulminantă percepută pe piaţă solicită, de asemenea, investitorii să cumpere, continuând astfel lanţul de adoptare de decizii și de investiţii, fără nici o delimitare clară a valorii practice -critice la un moment dat și cărora și giganţii pieţei înarmaţi cu cele mai bune soluţii cad pradă și devin victime ale atacurilor.

Construirea încrederii în aceste condiţii este aproape imposibilă.

Produsul vs Tendințe

În ciuda multitudinii de revendicări – „lider al X” sau „soluţie unică Y” – care „tulbură apele” pieţei de securitate, există diamante în stare brută, companii de securitate care rezolvă cu adevărat problemele cu care se confruntă zi de zi afacerile și indivizii. Cum pot acești furnizori de soluţii să iasă în evidenţă? În cazul în care mai poate fi insuflată încredere în piaţă?

Primul pas ar fi prin evitarea tendinţelor actuale ale firmelor de securitate. Să evite să se îngrijoreze prea mult „că nu ţin pasul” cu concurenţa, sau că soluţia lor nu sună la fel de bine și că ceea ce fac ei e o pierdere de timp. În schimb, firmele de securitate ar trebui să se concentreze pe punctele lor forte și să evidenţieze funcţionalitatea și eficienţa produselor și soluţiilor lor. Rezultatele sunt ceea ce contează, nu prestigiul, care e menit pur și simplu să suscite interes.

Încredere nu zgomot

Acest lucru ne induce ideea de asigurare, nu este suficient pentru un furnizor de securitate să spună clientului că este cel mai bun; validarea de către o terţă parte face să disipeze zgomotul, marketingul să nu mai valoreze nimic și astfel să dovedească de fapt că soluţiile propuse sunt cele viabile.

Firmele de securitate trebuie să își dovedească eficacitatea și să își pună ele însele pielea în joc pentru asta. Cele mai multe firme mari din domeniu deţin o anumită formă de asigurare cibernetică de la asiguratori terţi, dar această asigurare are valoare numai după ce o daună se produce. Firmele au nevoie de o soluţie suficient de puternică pentru a preveni pierderile în primul rând. Este nevoie de soluţii de securitate atât de puternice încât un asigurător terţ să fie suficient de încrezător să susţină afirmaţiile potrivit cărora firma oferă soluţii de protecţie de neegalat.

Subiectul poate fi tabu, atâta timp cât vedem că securitate 100%  este adesea imposibil de asigurat. Dar, garanţiile de securitate fac diferenţa în final. Dacă firma de securitate  are încredere că propriul ei produs nu va eșua, clientul poate de asemenea să creadă acest lucru, și să ajungă cu acest nivel de încredere la consumatorul final.

Este varianta unui câștig trivalent.

Autor: Gabriel Ţuţu

Material publicat în Cybersecurity Trends, nr. 3/2016

autor: Gabriel Ţuţu

General Manager, INFOPRIMUS GLOBAL SECURITY Bucureşti -România Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contras pionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – A NESPP, licență nr. 0269/14 – analiză de informații și antit erorism cibernetic.

423

Mecanismul prin care omul înţelege lucrurile noi, cu multe necunoscute, se bazează pe presupuneri derivate din experienţe anterioare ce implică lucruri sau fenomene asemănătoare, cu completări și substituiri ce în final au menirea de a forma o imagine nu neapărat perfectă dar satisfăcător de completă. Când un astfel the proces nu rezultă într-o eroare ce ar declanșa un mecanism de corectare, aceste presupuneri devin convingeri și ulterior vor fi privite ca adevăruri incontestabile. Deși natural, acest fenomen este unul relativ periculos, deoarece atunci când presupunerile noastre ajung a fi greșite, putem cădea în capcana de a lua decizii greșite nu pentru că logica ne înșeală ci deoarece ea se bazează pe elemente fundamentale false.

iot

Când vine vorba de internet și securitate cibernetică aceste concepte sunt atât de complexe, cu așa de multe ramificaţii, încât deseori și specialiștii sunt nevoiţi să opereze cu presupusul. Marketingul modern este în special dăunător, deoarece se folosește de această junglă de informaţii pentru a crea un cadru propice în care mărfurile și serviciile sunt ușor de plasat. Un cadru plin de emoţii, teamă, informaţii parţiale, în care limitările tehnologiei sunt ascunse și elementele forte aduse în prim plan. Este important însă ca din când în când să ne oprim și să analizăm condiţiile în care operăm pentru că fiecare sistem este diferit, și numai dacă înţelegem toate laturile acestora putem cu adevărat aplica mecanisme eficiente pentru apărarea lor, și în final, a propriei noastre persoane.

Securitatea, în general

Înainte însă să intrăm în detaliile securităţii sistemului informatic modern, și când spun modern mă refer nu la ultimii zeci de ani ci la ultimii câţiva ani, de când lumea informaţiei a luat o cale extrem de distribuită, să încercăm să analizăm conceptul de securitate, în sensul acestuia cel mai personal, și  anume referitor la propria persoană sau grup de persoane, fie ea o familie sau o companie.

De exemplu, insulina este un supliment esenţial unei persoane suferinde de diabet, lipsa ei putând avea consecinţe grave asupra sănătăţii persoanei în cauză, deci dacă privim „siguranţa insulinei”, din acest punct de vedere, este important ca ea să nu se piardă, să nu fie furată, să nu se deterioreze, adică să fie la dispoziţia persoanei atunci când este nevoie de ea. Dacă însă analizăm o pompă de insulină, lucrurile se complică. Aceasta este un dispozitiv ce analizează în mod dinamic nivelul de glicemie și injectează doza necesară în mod automat. Dacă analizăm „siguranţa pompei” din punct de vedere al persoanei, observăm că nu mai este de ajuns să ne asigurăm că acesta este la dispoziţia persoanei la nevoie, dar trebuie de asemenea să ne asigurăm că nimeni nu are acces la elementul de configurare al dispozitivului, deoarece poate provoca rău persoanei prin relaţia sa intimă cu corpul acestuia.

internet

Trebuie să gândim în mod similar și atunci când este vorba de un grup, doar că și în acest caz, vom avea elemente adiţionale. Astfel, în cazul unui grup, fie o familie sau o firmă, nu este suficient dacă este asigurată siguranţa fiecărui individ membru al grupului, trebuie de asemenea să ne asigurăm că grupul, ca și unitate, este în siguranţă. De exemplu în cazul unei firme, angajaţii pot fi în siguranţă din punct de vedere al persoanei, însă firma poate da faliment din cauza unui eveniment care afectează funcţionarea acesteia, nu neapărat sănătatea angajaţilor.

Mecanisme de apărare în formă consolidată și distribuită

Cel mai simplu și mai bine înţeles model de securitate este cea consolidată, adică acela în jurul căruia putem plasa un perimetru de securitate. În viaţa reală, acesta este cel mai popular mecanism de securitate, începând din antichitate, cetăţi medievale, clădiri de maximă siguranţă, casele  noastre, nenumărate exemple construite pe acest model ceea ce nu este întâmplător, ci datorită faptului că este cel mai ușor de apărat. Este suficient să avem un perimetru relativ impenetrabil, și un număr limitat de accese, și indiferent cât de vulnerabile sunt elementele din interior, siguranţa acestora este asigurată de perimetru. Mecanismele de apărare sunt de asemena bine înţelese și la  îndemâna oricui. Pereţii de beton asigură un grad ridicat de impenetrabilitate, avem posibilitatea să punem la uși paznici, o secretară este un filtru biometric excepţional, ce poate identifica străinii sau pe cei care fac ceva suspect în incinta clădirii, un câine este de asemena un excelent filtru biometric și nu este deloc complicat să obţinem unul pentru a îmbunătăţi siguranţa locuinţei sau a curţii.

Aceeași situaţie este valabilă și în cazul securităţii cibernetice în regim consolidat, unde avem o multitudine de mecanisme, relativ sigure, pentru a implementa securitatea pe acest model care a funcţionat multă vreme, practic de la începuturile reţelelor. Problema este că acest model nu mai poate fi aplicat structurilor informaţionale moderne, deoarece lucrurile s-au schimbat radical și perioada când bunurile informaţionale ale unei organizaţii  puteau fi plasate în astfel de incinte a apus. Nu mai avem programul contabil, baza de date, ERP-ul, etc. în reţeaua locală, le avem la furnizorul de servicii online, adică ele urmează un model de securitate distribuit în jurul căruia nu mai poate fi trasat un perimetru și deci avem nevoie de alte mecanisme de apărare.

Această formă de securitate distribuită este fundamental diferită de cea consolidată și din păcate deseori greșit înţeleasă chiar și de cei ce profesează în domeniu. În principal modul de gândire în cazul acestor mecanisme se reduce la modelul consolidat și deseori este privit simplistic: nu este un cadru consolidat, sunt mai multe cadre consolidate, apărate fiecare de perimetre separate, și de aici pornesc o serie de neînţelegeri din care se nasc nenumărate vulnerabilităţi pe plan informaţional.

Un exemplu similar din lumea fizică, pe care îl putem înţelegem ușor, este sistemul bancar. Este un sistem care se practică de multă vreme și în care bunurile nu sunt ţinute exclusiv în perimetrul casei, ci o parte rămâne în casă, banii se duc în cont, iar unele bunuri de valoare sunt în caseta de bunuri în seiful băncii. Reacţia naturală a oricui va fi probabil că de fapt acest model este chiar mai sigur decât cel clasic, cu toate bunurile în perimetrul casei, deoarece perimetrul de securitate al băncii este mai bun decât cel al casei. Este normal să privim lucrurile astfel, iar marketingul in domeniul cibernetic se și folosește de această slăbiciune a noastră de a vedea jumătatea plină a paharului și de a pierde detalii „puţin aparente” dar care în anumite situaţii pot deveni călcâiul lui Ahile al întregului sistem.

Revenind la exemplul cu banca, este într-adevăr incontestabil că o bancă are un perimetru de securitate mai bun decât orice casă, și atât timp cât bunul se află în caseta de depozit, sentimentul de siguranţă este justificat. Dar dacă bunul respectiv este un obiect de care avem nevoie zilnic și dimineaţa trebuie transportat la sediul firmei și seara înapoi în bancă perioada de tranziţie în care bunul nu se află nici în perimetrul de siguranţă al băncii și nici în perimetrul de siguranţă al firmei devine semnificativă, și erodează aura de siguranţă a sistemului complex: bancă + firmă. Dacă bancherii se plictisesc să ne ducă de două ori pe zi în seif și decid să  scoată ușa casetei de valori pe geam ca noi să avem acces la conţinutul ei oricând dorim, toată această aură dispare complet. În acest scenariu, caseta nu mai beneficiază de perimetrul de securitate al băncii absolut deloc. Indiferent că dosul casetei se află în bancă, ușa ei este în afara băncii și tot ceea ce separă bunul din casetă de un răufăcător este ușa casetei în sine. Deci sistemului cu două perimetre de securitate i-au fost introduse o serie de elemente de vulnerabilitate: perioada de tranziţie, încuietoarea casetei, tăria casetei, pers oanacare deţine cheia, elementele de siguranţă ale cheii, elementele de securitate în care cheia este ţinută, etc.

Dacă această situaţie paradoxală pare familiară este pentru că descrie în mod fidel condiţiile de securitate ale cadrului distribuit din domeniul informaţional.

iot-securiti-privacy

Căsuţele poștale, pozele noastre, conturile bancare online, și toate celelalte conturi în care noi depozităm bunuri informaţionale și nu numai suferă de aceste găuri de siguranţă profund neînţelese pe care le desconsiderăm cu sintagma falsă că securitatea unui furnizor de platformă informaţională este mai avansată decât cea a PC-ului nostru.

De fapt, dacă e să asigurăm securitatea unui bun informaţional în acest cadru, trebuie să ne asigurăm că toate etapele de existenţă ale acestuia sunt securizate. Elementele de siguranţă nu sunt cumulative, ci au o sinergie inversă: cu cât mai multe elemente cu atât devine sistemul mai nesigur. Când un alpinist urcă pe munte, acesta depinde de multiple elemente de siguranţă: coarda, roca, ancora, carabinele, secundul, și așa mai departe. Dacă cedează oricare din aceste elemente, rezultatul poate fi fatal, și cu cât introducem mai multe elemente, cu atât creștem posibilitatea ca unul din ele să cedeze.

Revenind la sistemul informaţional, nu este deci suficient să ne bazăm pe siguranţa perimetrului și nu ne putem permite să plasăm un obiect nesigur în acest cadru, trebuie să ne asigurăm că obiectele în sine sunt sigure în toate etapele acestora de folosire. De exemplu, în situaţia în care nu putem fi siguri că un sistem de schimb de fișiere este securizat, însă suntem nevoiţi să-l folosim, putem foarte simplu cripta datele din fișier și transmite cheia beneficiarului pe o altă cale. Soluţii există însă ele nu sunt întotdeauna evidente.

Paradigmele de securitate în online

În modelul de securitate distribuit există două paradigme fundamentale de care trebuie ţinut cont: izolarea, în sensul de a avea siguranţa că nimeni nu interceptează sau alterează tranzacţiile și certitudinea identităţii, adică siguranţa că partenerul cu care tranzacţionăm este cel corect. Iar dacă în viaţa de zi cu zi acestea sunt triviale, în domeniul cibernetic unde elementele de identificare sunt incomparabil mai slabe, și tranzacţiile se efectuează în teren ostil lucrurile sunt mult mai complicate si cele două elemente trebuie respectate cu stricteţe și concomitent, altfel nu putem vorbi deloc de securitate. De exemplu, dacă avem izolare dar nu avem certitudinea identităţii putem cădea în capcana de a tranzacţiona, în siguranţă, cu o entitate malefică, iar dacă avem certitudinea identităţii și nu avem izolare, putem fi monitorizaţi, sau tranzacţia poate fi interceptată și alterată fără cunoștinţa noastră.

În 1995 Netscape a introdus pentru prima dată conceptul de SSL (secured socket layer), un mecanism extrem de eficient capabil să asigure ambele principii, dar numai în forma ei iniţială denumită MASSL (mutually  authenticated SSL) care din păcate în ciuda faptului că există de atâta vreme, nu s-a răspândit din motive practice. Ceea ce cunoaște majoritatea internauţilor ca SSL este o formă simplificată în care numai serverul posedă certificat de autenticitate, clientul nu, și deci  certitudinea identităţii nu poate fi asigurată pe latura clientului. De aceea se recurge la forme mai nesigure de autentificare cu care suntem obișnuiţi dar care rămân vulnerabile la diferite forme de atac: prin forţare, furt de identitate, interpunere, etc. Este important să fim informaţi cu privire la aceste neajunsuri și atunci când alegem furnizorul de serviciu sau metoda prin care stocăm/manipulăm un anume bun informaţional să decidem în cunoștinţă de cauză pe criterii de importanţă, sensibilitate, și așa mai departe.

Un alt fenomen deosebit de periculos este introducerea unui nou tip de SSL denumit DV (domain validated) SSL, care de fapt este un SSL care nu poartă certitudinea identităţii sitului, ci doar faptul că a fost emis pentru situl în cauză, ceea ce are valoare zero. Orice răufăcător poate cumpăra un domeniu ieftin și să ruleze un sit de furt de date cu  DV-SSL care va părea 100% legitim, pentru că browserele nu emit nici o alertă, și chiar dacă acest tip de SSL poate garanta izolarea, internautul nebănuitor poate tasta parola într-un pagină ce fură date, deoarece nu avem certitudinea identităţii.

Securitatea în acest cadru modern bazat pe servicii (SaaS) nu este deloc simplu de înţeles și cu atât mai greu de asigurat, deoarece din nefericire există un profund handicap tehnologic ce provine din faptul că este imposibil să asigurăm ambele paradigme în orice situaţie, și deci există o inerentă slăbiciune a sistemului care nu poate fi eliminată tehnologic, și trebuie analizată și redusă metodologic.

Securitatea în spațiul IoT

Spaţiul IoT (Internet of Things) este la rândul său un spaţiu online, dar din păcate cu un grad și mai mare de nesiguranţă ce provine din mai multe motive. Dacă în cazul aplicaţiei tipice de tip serviciu, contul se află, precum caseta de valori, la furnizorul de servicii și acesta asigură o anume mentenanţă ce include corectarea vulnerabilităţilor, siguranţa perimetrului din spatele casetei impune anumite reguli de acces și așa mai departe, în cazul dispozitivelor IoT, majoritatea sunt plasate în domiciliu sau alte locuri nesigure, care nu beneficiază de reguli stricte, de profesionalism, de mentenanţă, de corectarea vulnerabilităţilor și este practic imposibil de determinat dacă au fost accesate fraudulos. Aceste obiecte sunt oarecum ale nimănui pentru că responsabilitatea siguranţei lor nu este asumată de nimeni. De exemplu, zilele acestea a avut loc un atac masiv asupra coastei de est a Statelor Unite ce a fost executat de către camere IP și alte dispozitive din casele cetăţenilor nebănuitori.

Ceea ce este și mai grav este că, de multe ori, aceste dispozitive au o relaţie intimă cu posesorii lor, precum pompa de insulină în cazul bolnavului de diabet. Acesta poate dăuna posesorului nu numai prin pierderea de informaţii, care este în sine grav, dar și prin faptul că dispozitivul poate executa funcţii pe care posesorul se bazează, de exemplu poate fi o ușă inteligentă, un sistem de alarmă inteligent, și așa mai departe, care dacă nu-și execută funcţia  corect poate produce pagube serioase.

Deci și în cazul IoT, ca și în cel al serviciilor online, trebuie să căutăm și să analizăm punctele de dependenţă (coarda, roca, ancora, carabina, etc.) ale sistemului și trebuie să ne asigurăm că toate aceste puncte sunt solide,  deoarece fiecare introduce slăbiciuni prin care întregul sistem poate ceda. Poate fi util să ne formulăm o listă de întrebări care să ne ajute să înţelegem aceste puncte de slăbiciune și cum ne afectează ele. Nu este ușor, deoarece responsabilitatea este profund diluată în cazul IoT și aproape fiecare dispozitiv este condiţionat diferit atât din punct de vedere tehnic cât și din punct de vedere al relaţiei cu persoana, familia, firma în care este plasat. Orice astfel de listă de întrebări trebuie să conţină însă cel puţin anumite întrebări elementare la care noi, beneficiarii dispozitivului, trebuie să putem să răspundem cu un grad ridicat de certitudine, ca semn că înţelegem problema, riscurile asociate și avem un plan pentru cazul în care lucrurile deraiază. De exemplu:

  •  ce fel de informaţie colectează dispozitivul
  •  unde este stocată această informaţie
  •  poate informaţia colectată să fie interceptată în tranzit
  •  poate informaţia să fie furată în timpul stocării
  •  a cui proprietate este informaţia colectată
  •  cine controlează dispozitivul
  •  cine corectează vulnerabilităţile când acestea sunt descoperite
  •  cum știu dacă dispozitivul este sub controlul unui factor maliţios
  •  cum opresc dispozitivul în cazul în care a fost deturnat
  •  în ce fel pot fi afectat eu sau cei pentru care sunt răspunzători în cazul în care oricare din aceste  întrebări eșuează.

Va fi foarte greu sau chiar imposibil să dau răspuns tuturor acestor întrebări de aceea ultima întrebare din listă este în special importantă. Aceasta e întrebarea pe baza căreia pot decide dacă voi face un compromis sau voi prefera să nu risc. Evident, răspunsul va fi diferit în funcţie de dispozitiv. Pentru un bec inteligent, poate cel mai grav va fi că voi pierde obiectul deci riscul e redus, dar în cazul unor dispozitive mai complicate,

iot-and-business

situaţia poate fi mult mai gravă. Pe 4 Decembrie 2011, o dronă militară americană a fost deturnată de iranieni și capturată pentru că nimeni nu și-a pus penultima întrebare din lista anterioară. Nu e cazul să analizăm în detaliu incidentul, dar putem să ne imaginăm cât de gravă este situaţia pe toate planurile: politic, tehnologic, informaţional, financiar, fără să mai vorbim de încrederea populară.

Această mult așteptată și prematur preaslăvită lume a IoT este încă un copil nenăscut care are mult potenţial pozitiv dar care, dacă nu suntem atenţi, poate genera și o catastrofă mondială. În ultimul rând, fiecare din noi este responsabil să înţeleagă seriozitatea acestei situaţii și să ia atitudine ca atare ori de câte ori puterea decizională este la noi. Atunci când cumpărăm astfel de produse sau atunci când autorităţile ne consultă cu privire la legile care guvernează aceste dispozitive.

Securitatea informatică este un concept foarte complex și greu de definit în sine, și cu cât un sistem este mai complicat, cu atât este mai greu să-l analizăm și să-l înţelegem. Și cu toate că este greu să găsim o formulă generală care să ne acopere din toate unghiurile, este  relativ ușor să înţelegem fiecare situaţie în parte prin prisma securităţii personale, pentru că acest lucru dincolo de anumite generalităţi este un subiect profund personal și cei mai capabili de a găsi întrebări și de a răspunde la ele vor fi cei în cauză. Nu este nevoie decât de logică elementară, un pic de timp alocat și un exerciţiu mint al prin care să luăm toate elementele afectate de un astfel de sistem, componentele cu care interacţionează, felul în care interacţionează, importanţa lor, căile de acces, și modul în care toate acestea afectează persoana, familia, firma, etc., beneficiile finale ale acestora și riscurile la care ne expunem. Și chiar dacă nu vom găsi toate întrebările, și în consecinţă toate răspunsurile, vom fi mai în siguranţă pentru că vom putea elimina cea mai mare majoritate a riscurilor, pentru că în final este responsabilitatea fiecăruia să se asigure că lucrurile din jurul său nu îi pun persoana în pericol.

Autor: Ștefan Hărșan Fárr

Material publicat în Cybersecurity Trends, nr. 3/2016

Ștefan Hărșan Fárr
Antreprenor, Consultant independent

Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de apli cații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, semantica și proiectarea limbajelor calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale.

EDITIE SPECIALA – INTERNET OF THINGS

1591
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1337
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2368
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1431
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1375
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1381
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...