Friday, February 22, 2019
Focus

358

Atacurile cibernetice au devenit în prezent atât de frecvente încât tind să devină neinteresante și să nu mai țină prima pagină a publicațiilor. Și, ca o consecință a faptului că atacurile au crescut în ultimii ani, a crescut exponențial și numărul de firme de securitate care pretind că rezolvă aceste atacuri.

Dar nu este oare această relaţie directă între numărul de incidente cibernetice și numărul de instrumente pentru a le opri contraintuitivă? Furnizează cu adevărat  aceste firme soluţii, sau doar valorifică o piaţă nișată și aflată în plină expansiune?

Trist este faptul că majoritatea firmelor de securitate au doar soluţii care adresează părţi din întreaga problemă și multe dintre acestea oferă valoare doar după ce atacul a avut loc și paguba a fost produsă. Firmele care oferă servicii de securitate ar trebui să găsească o cale de a rezolva cu adevărat problemele de securitate, în abordare globală (incluzând în special partea de prevenţie prin educaţie,  adresând atât mașina dar mai ales omul care o operează) și să ajungă astfel să câștige și să reușească să păstreze încrederea clienţilor și în cele din urmă a consumatorului final subsumat clienţilor.

Chiar dacă au adoptat jargonul industriei de securitate și cu toate promisiunile unor servicii de securitate de neegalat, furnizorii de securitate se află la o răscruce de drumuri, în care nu sunt în stare să-și parieze banii pe serviciile pe care le oferă, fapt ce se datorează pur și simplu neîncrederii suficiente în propriile lor soluţii.

Pe măsură ce piaţa de securitate se transformă pe zi ce trece într-un nostim Babylon, trebuie să găsim diamantele brute în mijlocul acestei pieţe zgomotoase, firme care să găsească într-adevăr soluţii complexe și coerente care vor rezolva de fapt problemele cu care se confruntă companiile în  fiecare zi. Cel mai eficient mod în care firmele își pot demonstra valoarea este să își poziţioneze produsele și serviciile pe piaţă și să ofere în același timp asigurări pentru rezultatele acestora.

Este timpul ca industria de securitate să se scuture de întregul balast bine marketizat și să crească gradul de responsabilizare, astfel încât să ajungă să facă din „mediul digital” un loc mai sigur.

Piața de securitate de astăzi

Securitatea cibernetică, la fel ca majoritatea celorlalte sisteme de infrastructură de securitate tradiţionale, se perimează rapid, pe măsură ce sistemele informatice se descentralizează, migrează în cloud, sau chiar ca urmare a extinderii și creșterii exponenţiale a numărului de utilizatori la distanţă (mobili) în întreaga lume. Formele de apărare tradiţionale încep să nu mai funcţioneze atâta timp cât hackerii le-au depășit demult, creând un joc permanent „de-a șoarecele și pisica” cu industria de securitate în dorinţa de a-i prinde din urmă pe infractorii cibernetici. Mai mult, acest decalaj în materie de securitate este accentuat de convergenţa noilor forţe precum „Internet of things” și explozia „Big Data”. Astăzi, comportamentul uman, mai ales la locul de muncă, este scufundat în tehnologie, lăsând Managerii de Securitate să se lupte să rezolve problemele ce apar precum și să adreseze riscurile nou identificate.

De acest lucru au profitat „vendor-ii” și au sărit pe fiecare tendinţă trecătoare ce le cauzează Managerilor de Securitate frustrare și panică. Iar în panica lor, managerii de securitate cedează, cumpărând promisiunile unor soluţii de securitate inovative, specializate sau de ultimă generaţie, fără să știe de fapt, cât de bine vor performa soluţiile respective, datorită noutăţii lor raportat la noutatea tipului de ameninţare.

Această evoluţie fulminantă percepută pe piaţă solicită, de asemenea, investitorii să cumpere, continuând astfel lanţul de adoptare de decizii și de investiţii, fără nici o delimitare clară a valorii practice -critice la un moment dat și cărora și giganţii pieţei înarmaţi cu cele mai bune soluţii cad pradă și devin victime ale atacurilor.

Construirea încrederii în aceste condiţii este aproape imposibilă.

Produsul vs Tendințe

În ciuda multitudinii de revendicări – „lider al X” sau „soluţie unică Y” – care „tulbură apele” pieţei de securitate, există diamante în stare brută, companii de securitate care rezolvă cu adevărat problemele cu care se confruntă zi de zi afacerile și indivizii. Cum pot acești furnizori de soluţii să iasă în evidenţă? În cazul în care mai poate fi insuflată încredere în piaţă?

Primul pas ar fi prin evitarea tendinţelor actuale ale firmelor de securitate. Să evite să se îngrijoreze prea mult „că nu ţin pasul” cu concurenţa, sau că soluţia lor nu sună la fel de bine și că ceea ce fac ei e o pierdere de timp. În schimb, firmele de securitate ar trebui să se concentreze pe punctele lor forte și să evidenţieze funcţionalitatea și eficienţa produselor și soluţiilor lor. Rezultatele sunt ceea ce contează, nu prestigiul, care e menit pur și simplu să suscite interes.

Încredere nu zgomot

Acest lucru ne induce ideea de asigurare, nu este suficient pentru un furnizor de securitate să spună clientului că este cel mai bun; validarea de către o terţă parte face să disipeze zgomotul, marketingul să nu mai valoreze nimic și astfel să dovedească de fapt că soluţiile propuse sunt cele viabile.

Firmele de securitate trebuie să își dovedească eficacitatea și să își pună ele însele pielea în joc pentru asta. Cele mai multe firme mari din domeniu deţin o anumită formă de asigurare cibernetică de la asiguratori terţi, dar această asigurare are valoare numai după ce o daună se produce. Firmele au nevoie de o soluţie suficient de puternică pentru a preveni pierderile în primul rând. Este nevoie de soluţii de securitate atât de puternice încât un asigurător terţ să fie suficient de încrezător să susţină afirmaţiile potrivit cărora firma oferă soluţii de protecţie de neegalat.

Subiectul poate fi tabu, atâta timp cât vedem că securitate 100%  este adesea imposibil de asigurat. Dar, garanţiile de securitate fac diferenţa în final. Dacă firma de securitate  are încredere că propriul ei produs nu va eșua, clientul poate de asemenea să creadă acest lucru, și să ajungă cu acest nivel de încredere la consumatorul final.

Este varianta unui câștig trivalent.

Autor: Gabriel Ţuţu

Material publicat în Cybersecurity Trends, nr. 3/2016

autor: Gabriel Ţuţu

General Manager, INFOPRIMUS GLOBAL SECURITY Bucureşti -România Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contras pionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – A NESPP, licență nr. 0269/14 – analiză de informații și antit erorism cibernetic.

456

Mecanismul prin care omul înţelege lucrurile noi, cu multe necunoscute, se bazează pe presupuneri derivate din experienţe anterioare ce implică lucruri sau fenomene asemănătoare, cu completări și substituiri ce în final au menirea de a forma o imagine nu neapărat perfectă dar satisfăcător de completă. Când un astfel the proces nu rezultă într-o eroare ce ar declanșa un mecanism de corectare, aceste presupuneri devin convingeri și ulterior vor fi privite ca adevăruri incontestabile. Deși natural, acest fenomen este unul relativ periculos, deoarece atunci când presupunerile noastre ajung a fi greșite, putem cădea în capcana de a lua decizii greșite nu pentru că logica ne înșeală ci deoarece ea se bazează pe elemente fundamentale false.

iot

Când vine vorba de internet și securitate cibernetică aceste concepte sunt atât de complexe, cu așa de multe ramificaţii, încât deseori și specialiștii sunt nevoiţi să opereze cu presupusul. Marketingul modern este în special dăunător, deoarece se folosește de această junglă de informaţii pentru a crea un cadru propice în care mărfurile și serviciile sunt ușor de plasat. Un cadru plin de emoţii, teamă, informaţii parţiale, în care limitările tehnologiei sunt ascunse și elementele forte aduse în prim plan. Este important însă ca din când în când să ne oprim și să analizăm condiţiile în care operăm pentru că fiecare sistem este diferit, și numai dacă înţelegem toate laturile acestora putem cu adevărat aplica mecanisme eficiente pentru apărarea lor, și în final, a propriei noastre persoane.

Securitatea, în general

Înainte însă să intrăm în detaliile securităţii sistemului informatic modern, și când spun modern mă refer nu la ultimii zeci de ani ci la ultimii câţiva ani, de când lumea informaţiei a luat o cale extrem de distribuită, să încercăm să analizăm conceptul de securitate, în sensul acestuia cel mai personal, și  anume referitor la propria persoană sau grup de persoane, fie ea o familie sau o companie.

De exemplu, insulina este un supliment esenţial unei persoane suferinde de diabet, lipsa ei putând avea consecinţe grave asupra sănătăţii persoanei în cauză, deci dacă privim „siguranţa insulinei”, din acest punct de vedere, este important ca ea să nu se piardă, să nu fie furată, să nu se deterioreze, adică să fie la dispoziţia persoanei atunci când este nevoie de ea. Dacă însă analizăm o pompă de insulină, lucrurile se complică. Aceasta este un dispozitiv ce analizează în mod dinamic nivelul de glicemie și injectează doza necesară în mod automat. Dacă analizăm „siguranţa pompei” din punct de vedere al persoanei, observăm că nu mai este de ajuns să ne asigurăm că acesta este la dispoziţia persoanei la nevoie, dar trebuie de asemenea să ne asigurăm că nimeni nu are acces la elementul de configurare al dispozitivului, deoarece poate provoca rău persoanei prin relaţia sa intimă cu corpul acestuia.

internet

Trebuie să gândim în mod similar și atunci când este vorba de un grup, doar că și în acest caz, vom avea elemente adiţionale. Astfel, în cazul unui grup, fie o familie sau o firmă, nu este suficient dacă este asigurată siguranţa fiecărui individ membru al grupului, trebuie de asemenea să ne asigurăm că grupul, ca și unitate, este în siguranţă. De exemplu în cazul unei firme, angajaţii pot fi în siguranţă din punct de vedere al persoanei, însă firma poate da faliment din cauza unui eveniment care afectează funcţionarea acesteia, nu neapărat sănătatea angajaţilor.

Mecanisme de apărare în formă consolidată și distribuită

Cel mai simplu și mai bine înţeles model de securitate este cea consolidată, adică acela în jurul căruia putem plasa un perimetru de securitate. În viaţa reală, acesta este cel mai popular mecanism de securitate, începând din antichitate, cetăţi medievale, clădiri de maximă siguranţă, casele  noastre, nenumărate exemple construite pe acest model ceea ce nu este întâmplător, ci datorită faptului că este cel mai ușor de apărat. Este suficient să avem un perimetru relativ impenetrabil, și un număr limitat de accese, și indiferent cât de vulnerabile sunt elementele din interior, siguranţa acestora este asigurată de perimetru. Mecanismele de apărare sunt de asemena bine înţelese și la  îndemâna oricui. Pereţii de beton asigură un grad ridicat de impenetrabilitate, avem posibilitatea să punem la uși paznici, o secretară este un filtru biometric excepţional, ce poate identifica străinii sau pe cei care fac ceva suspect în incinta clădirii, un câine este de asemena un excelent filtru biometric și nu este deloc complicat să obţinem unul pentru a îmbunătăţi siguranţa locuinţei sau a curţii.

Aceeași situaţie este valabilă și în cazul securităţii cibernetice în regim consolidat, unde avem o multitudine de mecanisme, relativ sigure, pentru a implementa securitatea pe acest model care a funcţionat multă vreme, practic de la începuturile reţelelor. Problema este că acest model nu mai poate fi aplicat structurilor informaţionale moderne, deoarece lucrurile s-au schimbat radical și perioada când bunurile informaţionale ale unei organizaţii  puteau fi plasate în astfel de incinte a apus. Nu mai avem programul contabil, baza de date, ERP-ul, etc. în reţeaua locală, le avem la furnizorul de servicii online, adică ele urmează un model de securitate distribuit în jurul căruia nu mai poate fi trasat un perimetru și deci avem nevoie de alte mecanisme de apărare.

Această formă de securitate distribuită este fundamental diferită de cea consolidată și din păcate deseori greșit înţeleasă chiar și de cei ce profesează în domeniu. În principal modul de gândire în cazul acestor mecanisme se reduce la modelul consolidat și deseori este privit simplistic: nu este un cadru consolidat, sunt mai multe cadre consolidate, apărate fiecare de perimetre separate, și de aici pornesc o serie de neînţelegeri din care se nasc nenumărate vulnerabilităţi pe plan informaţional.

Un exemplu similar din lumea fizică, pe care îl putem înţelegem ușor, este sistemul bancar. Este un sistem care se practică de multă vreme și în care bunurile nu sunt ţinute exclusiv în perimetrul casei, ci o parte rămâne în casă, banii se duc în cont, iar unele bunuri de valoare sunt în caseta de bunuri în seiful băncii. Reacţia naturală a oricui va fi probabil că de fapt acest model este chiar mai sigur decât cel clasic, cu toate bunurile în perimetrul casei, deoarece perimetrul de securitate al băncii este mai bun decât cel al casei. Este normal să privim lucrurile astfel, iar marketingul in domeniul cibernetic se și folosește de această slăbiciune a noastră de a vedea jumătatea plină a paharului și de a pierde detalii „puţin aparente” dar care în anumite situaţii pot deveni călcâiul lui Ahile al întregului sistem.

Revenind la exemplul cu banca, este într-adevăr incontestabil că o bancă are un perimetru de securitate mai bun decât orice casă, și atât timp cât bunul se află în caseta de depozit, sentimentul de siguranţă este justificat. Dar dacă bunul respectiv este un obiect de care avem nevoie zilnic și dimineaţa trebuie transportat la sediul firmei și seara înapoi în bancă perioada de tranziţie în care bunul nu se află nici în perimetrul de siguranţă al băncii și nici în perimetrul de siguranţă al firmei devine semnificativă, și erodează aura de siguranţă a sistemului complex: bancă + firmă. Dacă bancherii se plictisesc să ne ducă de două ori pe zi în seif și decid să  scoată ușa casetei de valori pe geam ca noi să avem acces la conţinutul ei oricând dorim, toată această aură dispare complet. În acest scenariu, caseta nu mai beneficiază de perimetrul de securitate al băncii absolut deloc. Indiferent că dosul casetei se află în bancă, ușa ei este în afara băncii și tot ceea ce separă bunul din casetă de un răufăcător este ușa casetei în sine. Deci sistemului cu două perimetre de securitate i-au fost introduse o serie de elemente de vulnerabilitate: perioada de tranziţie, încuietoarea casetei, tăria casetei, pers oanacare deţine cheia, elementele de siguranţă ale cheii, elementele de securitate în care cheia este ţinută, etc.

Dacă această situaţie paradoxală pare familiară este pentru că descrie în mod fidel condiţiile de securitate ale cadrului distribuit din domeniul informaţional.

iot-securiti-privacy

Căsuţele poștale, pozele noastre, conturile bancare online, și toate celelalte conturi în care noi depozităm bunuri informaţionale și nu numai suferă de aceste găuri de siguranţă profund neînţelese pe care le desconsiderăm cu sintagma falsă că securitatea unui furnizor de platformă informaţională este mai avansată decât cea a PC-ului nostru.

De fapt, dacă e să asigurăm securitatea unui bun informaţional în acest cadru, trebuie să ne asigurăm că toate etapele de existenţă ale acestuia sunt securizate. Elementele de siguranţă nu sunt cumulative, ci au o sinergie inversă: cu cât mai multe elemente cu atât devine sistemul mai nesigur. Când un alpinist urcă pe munte, acesta depinde de multiple elemente de siguranţă: coarda, roca, ancora, carabinele, secundul, și așa mai departe. Dacă cedează oricare din aceste elemente, rezultatul poate fi fatal, și cu cât introducem mai multe elemente, cu atât creștem posibilitatea ca unul din ele să cedeze.

Revenind la sistemul informaţional, nu este deci suficient să ne bazăm pe siguranţa perimetrului și nu ne putem permite să plasăm un obiect nesigur în acest cadru, trebuie să ne asigurăm că obiectele în sine sunt sigure în toate etapele acestora de folosire. De exemplu, în situaţia în care nu putem fi siguri că un sistem de schimb de fișiere este securizat, însă suntem nevoiţi să-l folosim, putem foarte simplu cripta datele din fișier și transmite cheia beneficiarului pe o altă cale. Soluţii există însă ele nu sunt întotdeauna evidente.

Paradigmele de securitate în online

În modelul de securitate distribuit există două paradigme fundamentale de care trebuie ţinut cont: izolarea, în sensul de a avea siguranţa că nimeni nu interceptează sau alterează tranzacţiile și certitudinea identităţii, adică siguranţa că partenerul cu care tranzacţionăm este cel corect. Iar dacă în viaţa de zi cu zi acestea sunt triviale, în domeniul cibernetic unde elementele de identificare sunt incomparabil mai slabe, și tranzacţiile se efectuează în teren ostil lucrurile sunt mult mai complicate si cele două elemente trebuie respectate cu stricteţe și concomitent, altfel nu putem vorbi deloc de securitate. De exemplu, dacă avem izolare dar nu avem certitudinea identităţii putem cădea în capcana de a tranzacţiona, în siguranţă, cu o entitate malefică, iar dacă avem certitudinea identităţii și nu avem izolare, putem fi monitorizaţi, sau tranzacţia poate fi interceptată și alterată fără cunoștinţa noastră.

În 1995 Netscape a introdus pentru prima dată conceptul de SSL (secured socket layer), un mecanism extrem de eficient capabil să asigure ambele principii, dar numai în forma ei iniţială denumită MASSL (mutually  authenticated SSL) care din păcate în ciuda faptului că există de atâta vreme, nu s-a răspândit din motive practice. Ceea ce cunoaște majoritatea internauţilor ca SSL este o formă simplificată în care numai serverul posedă certificat de autenticitate, clientul nu, și deci  certitudinea identităţii nu poate fi asigurată pe latura clientului. De aceea se recurge la forme mai nesigure de autentificare cu care suntem obișnuiţi dar care rămân vulnerabile la diferite forme de atac: prin forţare, furt de identitate, interpunere, etc. Este important să fim informaţi cu privire la aceste neajunsuri și atunci când alegem furnizorul de serviciu sau metoda prin care stocăm/manipulăm un anume bun informaţional să decidem în cunoștinţă de cauză pe criterii de importanţă, sensibilitate, și așa mai departe.

Un alt fenomen deosebit de periculos este introducerea unui nou tip de SSL denumit DV (domain validated) SSL, care de fapt este un SSL care nu poartă certitudinea identităţii sitului, ci doar faptul că a fost emis pentru situl în cauză, ceea ce are valoare zero. Orice răufăcător poate cumpăra un domeniu ieftin și să ruleze un sit de furt de date cu  DV-SSL care va părea 100% legitim, pentru că browserele nu emit nici o alertă, și chiar dacă acest tip de SSL poate garanta izolarea, internautul nebănuitor poate tasta parola într-un pagină ce fură date, deoarece nu avem certitudinea identităţii.

Securitatea în acest cadru modern bazat pe servicii (SaaS) nu este deloc simplu de înţeles și cu atât mai greu de asigurat, deoarece din nefericire există un profund handicap tehnologic ce provine din faptul că este imposibil să asigurăm ambele paradigme în orice situaţie, și deci există o inerentă slăbiciune a sistemului care nu poate fi eliminată tehnologic, și trebuie analizată și redusă metodologic.

Securitatea în spațiul IoT

Spaţiul IoT (Internet of Things) este la rândul său un spaţiu online, dar din păcate cu un grad și mai mare de nesiguranţă ce provine din mai multe motive. Dacă în cazul aplicaţiei tipice de tip serviciu, contul se află, precum caseta de valori, la furnizorul de servicii și acesta asigură o anume mentenanţă ce include corectarea vulnerabilităţilor, siguranţa perimetrului din spatele casetei impune anumite reguli de acces și așa mai departe, în cazul dispozitivelor IoT, majoritatea sunt plasate în domiciliu sau alte locuri nesigure, care nu beneficiază de reguli stricte, de profesionalism, de mentenanţă, de corectarea vulnerabilităţilor și este practic imposibil de determinat dacă au fost accesate fraudulos. Aceste obiecte sunt oarecum ale nimănui pentru că responsabilitatea siguranţei lor nu este asumată de nimeni. De exemplu, zilele acestea a avut loc un atac masiv asupra coastei de est a Statelor Unite ce a fost executat de către camere IP și alte dispozitive din casele cetăţenilor nebănuitori.

Ceea ce este și mai grav este că, de multe ori, aceste dispozitive au o relaţie intimă cu posesorii lor, precum pompa de insulină în cazul bolnavului de diabet. Acesta poate dăuna posesorului nu numai prin pierderea de informaţii, care este în sine grav, dar și prin faptul că dispozitivul poate executa funcţii pe care posesorul se bazează, de exemplu poate fi o ușă inteligentă, un sistem de alarmă inteligent, și așa mai departe, care dacă nu-și execută funcţia  corect poate produce pagube serioase.

Deci și în cazul IoT, ca și în cel al serviciilor online, trebuie să căutăm și să analizăm punctele de dependenţă (coarda, roca, ancora, carabina, etc.) ale sistemului și trebuie să ne asigurăm că toate aceste puncte sunt solide,  deoarece fiecare introduce slăbiciuni prin care întregul sistem poate ceda. Poate fi util să ne formulăm o listă de întrebări care să ne ajute să înţelegem aceste puncte de slăbiciune și cum ne afectează ele. Nu este ușor, deoarece responsabilitatea este profund diluată în cazul IoT și aproape fiecare dispozitiv este condiţionat diferit atât din punct de vedere tehnic cât și din punct de vedere al relaţiei cu persoana, familia, firma în care este plasat. Orice astfel de listă de întrebări trebuie să conţină însă cel puţin anumite întrebări elementare la care noi, beneficiarii dispozitivului, trebuie să putem să răspundem cu un grad ridicat de certitudine, ca semn că înţelegem problema, riscurile asociate și avem un plan pentru cazul în care lucrurile deraiază. De exemplu:

  •  ce fel de informaţie colectează dispozitivul
  •  unde este stocată această informaţie
  •  poate informaţia colectată să fie interceptată în tranzit
  •  poate informaţia să fie furată în timpul stocării
  •  a cui proprietate este informaţia colectată
  •  cine controlează dispozitivul
  •  cine corectează vulnerabilităţile când acestea sunt descoperite
  •  cum știu dacă dispozitivul este sub controlul unui factor maliţios
  •  cum opresc dispozitivul în cazul în care a fost deturnat
  •  în ce fel pot fi afectat eu sau cei pentru care sunt răspunzători în cazul în care oricare din aceste  întrebări eșuează.

Va fi foarte greu sau chiar imposibil să dau răspuns tuturor acestor întrebări de aceea ultima întrebare din listă este în special importantă. Aceasta e întrebarea pe baza căreia pot decide dacă voi face un compromis sau voi prefera să nu risc. Evident, răspunsul va fi diferit în funcţie de dispozitiv. Pentru un bec inteligent, poate cel mai grav va fi că voi pierde obiectul deci riscul e redus, dar în cazul unor dispozitive mai complicate,

iot-and-business

situaţia poate fi mult mai gravă. Pe 4 Decembrie 2011, o dronă militară americană a fost deturnată de iranieni și capturată pentru că nimeni nu și-a pus penultima întrebare din lista anterioară. Nu e cazul să analizăm în detaliu incidentul, dar putem să ne imaginăm cât de gravă este situaţia pe toate planurile: politic, tehnologic, informaţional, financiar, fără să mai vorbim de încrederea populară.

Această mult așteptată și prematur preaslăvită lume a IoT este încă un copil nenăscut care are mult potenţial pozitiv dar care, dacă nu suntem atenţi, poate genera și o catastrofă mondială. În ultimul rând, fiecare din noi este responsabil să înţeleagă seriozitatea acestei situaţii și să ia atitudine ca atare ori de câte ori puterea decizională este la noi. Atunci când cumpărăm astfel de produse sau atunci când autorităţile ne consultă cu privire la legile care guvernează aceste dispozitive.

Securitatea informatică este un concept foarte complex și greu de definit în sine, și cu cât un sistem este mai complicat, cu atât este mai greu să-l analizăm și să-l înţelegem. Și cu toate că este greu să găsim o formulă generală care să ne acopere din toate unghiurile, este  relativ ușor să înţelegem fiecare situaţie în parte prin prisma securităţii personale, pentru că acest lucru dincolo de anumite generalităţi este un subiect profund personal și cei mai capabili de a găsi întrebări și de a răspunde la ele vor fi cei în cauză. Nu este nevoie decât de logică elementară, un pic de timp alocat și un exerciţiu mint al prin care să luăm toate elementele afectate de un astfel de sistem, componentele cu care interacţionează, felul în care interacţionează, importanţa lor, căile de acces, și modul în care toate acestea afectează persoana, familia, firma, etc., beneficiile finale ale acestora și riscurile la care ne expunem. Și chiar dacă nu vom găsi toate întrebările, și în consecinţă toate răspunsurile, vom fi mai în siguranţă pentru că vom putea elimina cea mai mare majoritate a riscurilor, pentru că în final este responsabilitatea fiecăruia să se asigure că lucrurile din jurul său nu îi pun persoana în pericol.

Autor: Ștefan Hărșan Fárr

Material publicat în Cybersecurity Trends, nr. 3/2016

Ștefan Hărșan Fárr
Antreprenor, Consultant independent

Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de apli cații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, semantica și proiectarea limbajelor calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale.

320

Analiza atacurilor cibernetice identificate în perioada ultimilor 2-3 ani evidențiază în primul rând faptul că modalitatea în care este abordată în prezent securitatea infrastructurilor atacate nu este eficientă, iar răspunsurile adecvate nu par a fi prezente nici în ofertele de tehnol ogii și servicii pe care le generează piața globală de profil, nici în măsurile legislative și administrative ale guvernelor.
Această concluzie poate fi susţinută prin analiza calitativă și cantitativă a volumelor uriașe de date generate de platformele dedicate colectării de alerte privind incidentele de Securitate cibernetică care au loc la nivel global. Evoluţia calitativă a atacurilor relevă o utilizare în creștere a unor tipuri de malware din ce în ce mai greu de detectat, indiferent de soluţiile tehnologice destinate detecţiei utilizate la nivelul infrastructurii atacate, iar evoluţiile cantitative generează din ce în ce mai multe date, pentru analiza eficientă a cărora majoritatea instrumentelor tehnologice existente nu demonstrează decât cel mult o valoare adăugată pentru investigaţia postincident.

Nu mi-am propus o analiză a statisticilor din ce în ce mai numeroase care descriu incidentele/atacurile ce se derulează online în ultima perioadă și nici redactarea unei analize tehnice, ci voi încerca să argumentez o potenţială soluţie care ar permite îmbunătăţirea răspunsului mediului de afaceri la ameninţările cibernetice reale, inclusiv printr-un model de business sustenabil și cu efecte directe în costurile pe care le implică reducerea riscurilor de Securitate cibernetică.
Unul dintre factorii care permit atacatorilor, indiferent de natura și motivaţia acestora, să extindă un anumit tip de atac asupra mai multor categorii de infrastructuri din același domeniu de activitate este lipsa de comunicare reală la nivelul segmentului de business ameninţat. De regulă, și aici exemplul cel mai bun este domeniul financiar-bancar, comunicarea între companiile care activează într-un mediu competitiv este limitată, motivele fiind lesne de înţeles. Există numeroase exemple în perioada ultimilor ani când, dacă o bancă care a fost victima unui atac cibernetic reușit ar fi transmis comunităţii date descriptive minimale referitoare la incident

(ex: indicatori de compromitere) – care sub nicio formă nu ar putea conduce la afectarea obiectivelor de afaceri și nici nu ar fi prejudiciat aplicarea reglementărilor privind confidenţialitatea adoptate în domeniul bancar, ar fi fost evitate atacuri similar îndreptate cu succes ulterior asupra altor bănci.

Trecând peste necesitatea implicării autorităţilor de reglementare, dar luând în calcul efectele imediate și pe termen lung ale măsurilor de reglementare care sunt în curs de implementare la nivel national și la nivelul UE (Ex: Directiva NIS, Data Protection), care vor genera efecte pozitive asupra nivelului general de Securitate cibernetică, voi încerca să aduc câteva argumente pentru ca, de exemplu băncile, urmând alte exemple din trecut (ROMCARD, Biroul de Credit etc.) care au fost generate tot ca răspuns la realităţi pe care nu le-au mai p utut ignora, să se organizeze singure, beneficiul final fiind controlul r iscurilor de Securitate și al banilor aruncaţi uneori pe soluţii tehnologice și servicii care se dovedesc inutile într-o situaţie reală: \

  • Constituirea unei structuri de tip CERT private va fi sub controlul total al acţionarilor – orice decizie privind serviciile oferite, structura funcţională, investiţiile și costurile operaţionale;
  • Constituirea într-o structură privată poate fi susţinută pe un model de business, astfel încât, pe baza unei guvernanţe coerente și exploatând nevoia de servicii de pe piaţa de profil, CERT-ul financiar poate deveni o entitate care se autofinanţează într-o perioadă scurtă de timp și de ce nu, în timp, generatoare de profit;
  • Obiectivul principal al unui CERT privat în sectorul financiar bancar este schimbul de informaţii în timp real la nivelul întregului sector, astfel încât să fie asigurat un răspuns adecvat la orice potenţială ameninţare cibernetică;
  • Cooperarea informală și formală cu sectorul public (CERT-RO, CyberINT etc.) ar putea fi realizată prin intermediul acestei platforme, unice, la nivelul întregului sector bancar;
  • Colectarea de date cu un nivel de calitate ridicat referitoare la ameninţările cibernetice care afectează domeniul financiar-bancar poate constitui baza pentru constituirea unui sistem de alerte bazat pe analize proprii, conţinând date validate și evaluări realiste ale riscurilor la care este expus sectorul financiar-bancar din România, evident și prin raportare la contextul global;
  • În cadrul CERT-ului privat se pot dezvolta capabilităţi tehnologice și expertiză specifice avansate de răspuns la incidente de securitate cibernetică, care ar putea completa în situaţii de criză, capabilităţile proprii dezvoltate la nivelul fiecărei entităţi din sistem;
  • Având în vedere perspectiva obligativităţii realizării managementului și raportării incidentelor de Securitate cibernetică la nivelul întregului sistem financiar b ancar, identificat ca furnizor de servicii esenţiale în noua Directivă NIS, o structură de tip CERT susţinută de întregul sector ar putea contribui la eficientizarea gradului de conformitate cu cerinţele legale și costurilor aferente acestui proces;
  • Diversitatea tehnologică care există în sectorul f inanciar-bancar în raport cu soluţiile utilizate pentru reducerea riscurilor de Securitate cibernetică creează dificultăţi majore în ceea ce privește transmiterea de informaţii tehnice între diferite entităţi. Ca și în cazul comunităţilor de tip CERT guvernamentale, utilizarea unor comunicări standardizate poate crea un limbaj comun pe acest segment de activitate, având ca obiectiv final creșterea capacităţii de răspuns la atacuri cibernetice la nivelul întregului sector de business;
  • Nu în ultimul rând, cooperarea la nivel international cu structuri similare este un proces care ar aduce beneficii evidente, atât în perioadele de operare normală, cât și, în special, în situaţii de risc, natura distribuită și globală a unora dintre atacurile cibernetice cu grad ridicat de risc făcând din cooperarea internaţională, bazată pe criterii clare de încredere, un factor decisiv privind capacitatea de protejare reală a infrastructurilor informatice și de comunicaţii utilizate pe scară din ce în ce mai largă în sectorul financiar bancar.
autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

377

În ultimii 25 de ani, de la apariția web-ului, asistăm la formarea unei „lumi paralele”, incompletă deocamdată, pentru că nu tot ce există în lumea reală are deja un omolog în spațiul cibernetic. Lumea virtuală a schimbat totul: comunicarea, accesul la informații, învățarea, cercetarea, asistența medicală, comerțul, administrarea afacerilor, transportul și administrația publică, și cel mai important: ne-a schimbat comportamentul. Doar motivațiile se păstrează, pentru că acțiunile își au originea și efectele în lumea reală, chiar dacă mijloacele sunt parțial sau integral electronice.

Civilizaţia noastră are câteva mii de ani vechime și nu este nici pe departe perfectă, spaţiul cibernetic are doar 25 de ani, deci nu putem avea pretenţia să fie dominat de echilibru si armonie. Mai mult, nu exista nicio barieră, tehnologică sau morală, care să permită doar aspectelor „bune” ale vieţii reale să-și dezvolte un „alte-ego” electronic, și asta ar putea fi o explicaţie, puţin filosofică, pentru ameninţările care nu au întârziat să apară, să se manifeste și să evolueze în spaţiul cibernetic.

autor:
Toma Cîmpeanu

CEO Asociaţia Naţională pentru Securitatea Sistemelor Informatice

Venind în completarea multitudinii de articole puternic teoretizate, prin seria de materiale pe care v-o propunem dorim să explicăm și să exemplificăm manifestările și consecinţele infracţiunilor cibernetice.

Dintre principalele evoluţii voi menţiona aici două:

1 Entitățile ostile: în locul programatorului care concepea un virus de „amoru’ artei” sau ca să demonstreze „că poate”, au apărut grupările de criminalitate informatică, transfrontaliere și multidisciplinare, care urmăresc câștiguri materiale în această „industrie” cu o rată de profitabilitate estimată la 1500%, grupările hacktiviste și teroriste, precum și actorii statali, singurii care dispun de capabilităţile tehnice și resursele financiare pentru realizarea de malware sofisticat. Din acest punct de vedere, România, ca parte a NATO și UE, se confruntă cu aceleași ameninţări ca și aliaţii noștri.

(IBM X-Force)

2 „Industria” Cybercrime se maturizează și apare specializarea. Identificăm acum finanţatori, proiectanţi/dezvoltatori, distribuitori și cumpărători. De asemenea, asistăm la dezvoltarea Cybercrime-as-a-Service în tandem cu finanțele subterane: o piaţă neagră pe care se comercializează atât instrumentele de atac cibernetic (care se pot achiziţiona sau închiria) cât și rezultatele, să le spunem „roadele” infracţiunilor cibernetice; și pentru că nimic nu este gratis, infractorii cibernetici apelează la instrumente de plată și optează pentru cele care asigură anonimatul, ireversibilitatea si viteza transferului. Pentru că există o astfel de piaţă, infractorii cibernetici din ziua de azi nu mai au nevoie de cunoștinţe tehnice specializate ci doar de un card de credit, putând să achiziţioneze malware ca atare sau să angajeze serviciul de exploatare/utilizare al acestuia (mai jos vor fi oferite exemple concrete).

Cybercrime-as-a-Service îmbracă mai multe forme (o clasificare McAfee):

– Reasearch-as-a-Service – în acest caz nu se poate vorbi neapărat de o piaţă neagră, ci mai degrabă gri. Aici regăsim organizaţiile care identifică și prezintă vulnerabilităţi 0-day către companii selectate după anumite criterii de eligibilitate. Totuși, nu se exclud intermediarii care nu mai aplică aceleași criterii stricte, informaţia putând ajunge la entităţi care o folosesc ulterior în scopuri infracţionale. De asemenea, în aceeaşi categorie includem agregarea de informaţii în baze de date care sunt ulterior folosite în alte scopuri decât cele declarate iniţial. Astfel, în oferta unor adevărate magazine virtuale ilegale găsim:

– Crimeware-as-a-Service – identificarea și dezvoltarea de kit-uri de exploatare, instrumente suport (keyloggers, bots), soluţii de mascare a conţinutului malware (cryptors, polymorphic builders), roboţi și chiar dispozitive hardware conexe (skimmers).

– Cybercrime Infrastructure-as-a-Service – odată ce infractorii cibernetici obţin instrumentele necesare, pentru atacul propriu-zis aceștia pot închiria reţele de calculatoare pentru un atac DDoS, pentru transmiterea cu succes a unui număr uriaș de emailuri, sau pot accesa platforme pe care să-și hosteze conţinutul malware.

– Hacking-as-a-Service – având un cost superior alternativei în care se achiziţionează componentele individuale, „cumpărarea” unui atac reprezintă varianta care necesită cele mai puţine cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credenţiale, date despre cardurile de credit etc.

Finanțele subterane s-au dezvoltat în special pentru că infractorii (și nu ne rezumăm la cei cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.

Economia digitală subterană, ca orice economie, se bazează pe fluxul liber de fonduri. Varietatea mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază faţă de lumea reală, plăţile fizice fiind efectuate către monede digitale nedetectabile.

Multe mecanisme de plată cu aspect important on-line oferă un număr de caracteristici care le face atractive ca și instrument financiar pentru organizaţiile criminale – anonimatul, transferuri rapide, ieftine și ireversibile și tranzacțiile financiare disimulate.

În multe privinţe, unele mecanisme de plată pot oferi un nivel de anonimat similar banilor lichizi, dar într-un mediu on-line. Europol a realizat o statistică privind mijloacele de plată preferate pentru anumite tipuri de operaţiuni:

Exemplu – economia phishing-ului

Phishingul este una dintre cele mai des întâlnite infracţiuni informatice, urmărind obţinerea unor informaţii personale care ulterior să fie folosite pentru obţinerea de foloase materiale. Phishingul imbracă multe forme, în exemplu ne vom referi la situaţia unui infractor fără cunoştinţe tehnice profunde dar cu abilităţi de navigare în darknet, acolo unde se găsesc magazinele virtuale amintite mai sus (este un exemplu mult simplificat, care surprinde însă principalele aspecte specifice).

Am văzut că acesta poate achiziţiona o bază de date de 10 milioane de adrese de mail din Florida cu mai puţin de 1000 dolari. Către aceste adrese transmite un mesaj email în care pretinde că este un reprezentant al statului, dintr-o instituţie de supraveghere bancară reală, şi solicită cetăţenilor să-şi introducă datele privind contul și cardul, pentru a valida informaţiile transmise de bănci.

Un astfel de mail este în general blocat de filtrele anti-spam în proporţie de 99% (conform CISCO Annual Report 2015), aşa că, pentru a diminua efectul filtrelor, subiectul nostru achiziţioneză cu aproximativ 5000 dolari un mecanism de livrare emailuri de pe un număr mare de adrese IP (volum mic per adresă IP; așa numitul spam snowshoe). Rata de succes în acest caz este de 10% (filtrele opresc doar 90%, sursă www.getcybersafe.ca).

Evident, nu e suficient ca email-ul să ajungă la destinatar, ci trebuie să fie suficient de credibil (și destinatarul suficient de naiv) ca să-l determine să-și transmită datele. Jumătate din mail-uri sunt deschise și 10 % dintre destinatari dau click pe link-ul din mail (www.getcybersafe.ca).

Așadar, infractorul din acest exemplu trebuie sa-și construiască o pagină web care să semene cat mai mult cu cea originală, a instituţiei de supraveghere bancară a carei identitate o asumă, iar numele de domeniu sa fie de asemenea foarte asemănător. Pentru toate acestea considerăm un cost de 10.000 dolari. Pe această pagină, destinatari care au fost păcăliţi îşi vor lăsa datele privind cardurile şi conturile lor. Dintre cei care ajung pe pagina web, doar 10% îşi completează datele, natura infomaţiilor îi descurajează pe cei mai prudenţi 90% (www.getcybersafe.ca).

În cazul nostru concret, infractorul fără studii de specialitate obţine 5.000 de seturi de date privind carduri bancare, pe care le comercializează, la rândul său, de data aceasta de pe poziţia de vânzător şi nu de cumpărător (ca până acum), prin magazinele virtuale ilicite din darkweb, obţinând în medie 60 dolari/buc conducând la un total de 300.000 dolari.

Conform statisticilor Europol, în acest caz plăţile se fac cel mai adesea în Bitcoin.

Așadar:

  • 10 milioane de adrese mail – achiziționate inițial cu 1000 dolari
  • 1 milion de mail-uri ajung la destinație (10%, prin spam snowshoe, cost expediere 5000 dolari)
  • 500.000 mail-uri sunt deschise (jumatate dintre cele care trec de filtre)
  • 50.000 de destinatari acceseaza adresa web din email (10% dintre cei care deschid mail-ul)
  • 5.000 de destinatari introduc datele solicitate în pagina web (10% dintre cei care ajung pe pagina web falsă)
  • Cost pagină web 4=10.000 dolari Obs. Procentul celor păcăliți este de 0.05% din totalul destinatarilor
  • 5.000 de seturi de date privind carduri bancare = 300.000 dolari (60 dolari/buc)

Sumarizând:

  • Total investiție = aproximativ 16-20.000 dolari • Venituri = 300.000 dolari
  • Profit = 1500%!

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft. De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național „România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

200

Cifrele sunt îngrijorătoare. Activitățile ce țin de criminalitatea cibernetică vor provoca pagube de 2.000 de miliarde de dolari până în 2019, potrivit estimărilor analiștilor de la Juniper Research.
Ameninţările de tip ransomware au provocat daune de peste 200 milioane de dolari în primele trei luni ale anului 2016, conform datelor publicate de FBI. Cifrele reflectă numărul de plângeri oficiale raportate către FBI, număr care reprezintă doar o parte din totalul incidentelor reale. Motivul este evident – cele mai multe companii sunt reticente în a recunoaște public că sistemele de s ecuritate le-au fost compromise și că au cedat tentativelor de șantaj, plătind sume exorbitante pentru a recupera accesul la date confidenţiale.
Forumul Economic Mondial atrage atenţia asupra faptului că o mare parte din activitatea hackerilor trece neobservată, în special în zona spionajului industrial unde accesul la documente confidenţiale e dificil de detectat.
Drept urmare, victimele sunt îndemnate să raporteze cazurile de infecţii pentru a oferi o imagine de ansamblu asupra magnitudinii ameninţării de tip ransomware și a impactului pe care îl are asupra utilizatorilor și organizaţiilor.

Organizații păgubite

În ultimele luni s-a înregistrat o creștere a numărului de atacuri de tip ransomware, în special asupra companiilor mici și medii din domeniul financiar, al securităţii și al sănătăţii publice.
Spitalele au fost ţinte predilecte. În februarie 2016, un spital din Los A ngeles, SUA, a plătit echivalentul în Bitcoins a 17.000 de dolari pentru a redobândi accesul la reţeaua internă și la datele criptate de hackeri. Iniţial, aceștia au cerut 3,4 milioane de dolari, dar în urma negocierilor, hackerii au acceptat o sumă mai mică.
Spitalul Metodist din Kentucky, Chino Valley Medical Center și Desert Valley sunt alte câteva instituţii medicale care au fost infectate cu Locky, un tip de ransomware extrem de rezistent, apărut la începutul anului 2016. În Germania, spitalele Lukas și Klinikum Arnsberg au fost atacate de ransomware, dar au refuzat ferm să plătească răscumpărarea.
Principalele motive pentru care spitalele sunt mai ușor de atacat decât alte companii ţin de ineficienţa sau chiar inexistenţa unor sisteme de securitate competente care să protejeze datele extrem de sensibile ale pacienţilor. Odată compromise, informaţiile despre pacient pot fi vândute pe piaţa neagră. Conform companiei de raportare de credite Experian, ra poartele medicale sunt de zece ori mai valoroase și, prin urmare, mai scumpe decât cardurile de credit.
Dar infractorii nu discriminează, ei vizează orice tip de organizaţie care stochează sau are acces la date valoroase. O echipă din circuitul NASCAR a plătit pentru a recupera informaţii cheie în valoare de două milioane de dolari, după ce a fost ţinta lui TeslaCrypt, o altă versiune de ransomware. Cauza este lipsa unui plan de backup al datelor dar și a cunoștinţelor necesare pentru a alege o soluţie de securitate potrivită.

De unde vin banii

Un studiu realizat de Bitdefender în noiembrie 2015 arată că 48% dintre românii victime ale clasei de viruși ransomware au plătit pentru a-și recupera datele personale de pe terminalul blocat. Românii spun că ar plăti în primul rând pentru programele software din computer, urmate de documentele de serviciu și de fotografiile personale. Suma medie pe care ar fi dispuși să o plătească este de 550 de lei.

Fig. Suma pe care utilizatorii ar plăti-o pentru a-și recupera datele, per țară

Cât privește companiile, se pare că acestea au fluturat deja steagul alb, contrar recomandărilor primite de la specialiști, de a nu ceda presiunilor din partea hackerilor. Studiile realizate de Citrix în Marea Britanie arată că acestea cumpără valută virtuală pentru a putea satisfice cererile hackerilor î ntr-un timp cât mai scurt, în cazul în care devin victimele criminalilor informatici.

Ce ne așteaptă în 2017

Dezvoltatorii clasei de ameninţări ransomware nu au niciun motiv să se oprească aici. Noi variante se vor dezvoltă în 2017, dat fiind că virusul este ușor de programat pe multiple platforme, este depistat cu dificultate de soluţiile de securitate și produce daune financiare importante.
Este de așteptat ca malware-ul să se extindă și mai mult pe platforme mobile precum Android și pe alte sisteme de operare (OS X și Linux). În prima jumătate a anului 2016, la nivel global, ransomware-ul a reprezentat principala ameninţare cibernetică care ţintește sistemul Android, conform statisticilor Bitdefender. De exemplu, familia de viruși SLocker reprezintă jumătate din amenintările pe mobil în Danemarca și un sfert în ţări precum Germania, Australia și Marea Britanie.
Acest lucru este îngrijorător în contextul în care telefoanele mobile, tabletele și dispozitivele Internet of Things personale se conectează, cu sau fără știrea departamentului IT, în reţeaua companiei. Orice dispozitiv care prezintă vulnerabilităţi de securitate poate deveni astfel o cale de acces către alte resurse critice – informaţii financiare ale clienţilor sau sisteme care supraveghează procesul de producţie.
Prin urmare, companiile de toate dimensiunile trebuie să conștientizeze riscurile și faptul că pot fi ţinta unor atacuri care să le pericliteze integritatea reţelei, dar mai ales reputaţia și cifra de afaceri, dacă nu respectă normele de securitate esenţiale: implementarea unei soluţii de securita te specifice mediului de business, dezvoltarea de politici interne pentru limitarea accesului la date confidenţiale și pentru impunerea folosirii unor parole sigure, dar și educarea angajaţilor cu privire la ameninţări cibernetice care îi vizează în mod direct.

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnicoprofesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

autor: Alexandra Gheorghe

Specialist în securitate cibernetică. Raportând tendinţele şi progresele la nivel global în materie de securitate informatică, Alexandra scrie despre epidemiile de malware şi incidentele de securitate, în strânsă colaborare cu departamentul tehnic şi de cercetare al Bitdefender. Redactor al blogurilor hotforsecurity.com şi businessinsights.bitdefender.com.

441

Așa cum unii dintre voi au aflat, prin informații fragmentare și, din păcate, adesea greșite, o nouă doctrină de securitate informațională rusă (Доктрина информационной безопасности Российской Федерации) a apărut oficial la data de 5 decembrie 2016.

O primă precizare utilă: nu este vorba în niciun fel de prima doctrină de acest fel publicată de către autorităţile Federaţiei Ruse. Comentatorilor pripiţi le sugerez studierea lucrării mele Ciberstrategia rusă, în care cazul din 9 septembrie 2000 este disecat de la prima până la ultima literă.

A doua precizare, la fel de necesară: atunci când se citează un text, este de bonton să se indice sursa exactă, cu atât mai mult cu cât acest text este într-o limbă străină. Din păcate, boala copierii la scară mare a informaţiei principale (numită în mod obișnuit și copy-paste) are ca efect principal și nefast trecerea în plan secund a acestei necesităţi.

Expertul este surprins în primul rând de concizia textului, care nu are nicio legătură cu compilaţia greoaie de articole care caracterizează prima lucrare, alcătuită din patru părţi și a cărei lectură era îngreunată de redundanţe și schimbări de perspectivă.

Apoi, încă de la început, se oferă o definiţie a ceea ce autorităţile numesc spaţiu informaţional, cu menţionarea expresă a reţelei de Internet (fără totuși a se limita la aceasta). Aceasta reprezintă o diferenţă radicală faţă de textul iniţial, care nu menţiona Internetul în niciun fel, păstrând un ton neutru în plan tehnologic, întrucât, fără a atribui o definiţie completă, redactorii optaseră pentru o enumerare a sectoarelor și punctelor tehnice vizate.

În prezent, abordarea diferă în mod semnificativ și, fără a pierde din vedere orientarea generală, evocă de câteva ori și reţelele sociale.

Prin urmare, definiţia dată este următoarea: „Sfera informaţională trebuie înţeleasă ca un ansamblu de obiecte, de sisteme, de site-uri de Internet, de reţele de telecomunicaţii, de tehnologii, de entităţi a căror funcţie este formarea și procesarea informaţiei, procesarea și dezvoltarea tehnologiilor aferente, securitatea informaţiei, precum și mecanismele de reglementare a relaţiilor publice”.

Continuarea este, în cele din urmă, o menţinere a principiilor stabilite de către doctrina instituită în 2000, cu menţionarea expresă a apărării intereselor naţionale, cu precădere în cadrul sferei informaţionale. Precizarea este departe de a fi banală: încă din articolul 2 sunt evocate cele trei niveluri ale acestei securităţi informaţionale; în timp ce viziunea americană este bazată pe cele trei straturi (software, hardware, informaţional), alter-ego-ul ei rus se bazează pe un triptic alcătuit din individ, societate și stat. Această structură era deja prezentă în textul de acum șaisprezece ani, însă nu în mod distinct. Această particularitate este, de altfel, amintită la punctul 20.

În materie de securitate informaţională, se propune o definiţie relativ stufoasă, însă care a beneficiat de analize în textele ultimilor ani: „Securitatea informaţională reprezintă implementarea mijloacelor juridice, organizaţionale, operaţionale, de investigaţie, de analiză, de informaţii, de contra-informaţii, tehnologice și știinţifice menite să prezică, să detecteze, să disuadeze, să prevină și să respingă ameninţările sau să înlăture consecinţele acestora”.

Pentru a confirma această coerenţă, se menţionează și că această doctrină, în afară de faptul că o reactualizează pe cea din 2000, apare cronologic după Strategia de Securitate Naţională a Federaţiei Ruse din 31 decembrie 2015 (Стратегия национальной безопасности Российской Федерации).

Textul explicitează apoi care sunt interesele Federaţiei Ruse în sfera informaţională. Nicio lipsă de continuitate faţă de elementele formulate în 2000, doar câteva precizări, cu accentuarea necesităţii de a utiliza tehnologiile informaţiei nu doar pentru a îmbunătăţi democraţia și relaţiile între societatea civilă și stat, dar și pentru a păstra însăși esenţa Rusiei, și anume patrimoniul său cultural, natural, spiritual și moral și spaţiul său multi-etnic. Acest apect reiterat trădează viziunea civilizatoare proprie a textelor ruse, în timp ce în statele occidentale această caracteristică este adesea disimulată.

Stabilirea ca obiectiv a dezvoltării industriei tehnologiilor informaţiei și electronicii ruse amintește de un document trecut neobservat cu ocazia publicării, dar esenţial atât ca fond cât și ca formă: Strategia de dezvoltare a industriei tehnologiilor informaţiei în Federaţia Rusă în perioada 2014-2020. În acest document, se insistă pe protecţia și dezvoltarea acestei industrii, enumerându-se și mijloacele de realizare a obiectivului, în special analizarea succesului companiilor americane și mobilizarea sectorului militaro-industrial. Textul din 2016 reprezintă o afirmare a acestui obiectiv strategic. Acest aspect e completat ulterior la articolul 17 printr-o menţiune cu privire la suveranitatea tehnologică, conform căreia aceasta trebuie să fie viabilă pentru o reţea de companii naţionale de talie critică în sectorul IT și cel al electronicii. Acest text apărut în 2014 a fost reluat la punctul 18, unde se constată cu regret că cercetarea în domeniile vizate nu este suficient de dezvoltată, împiedicând crearea unui cadru global de securitate informaţională.

Apoi se evocă necesitatea producerii unei informaţii mai precise pe subiectele legate de Rusia și de acţiunile sale, ai căror destinatari sunt atât publicul rusofon cât și cel internaţional. Acest obiectiv trimite automat cu gândul la structura Rossia Segodina, înfiinţată în 2013 prin fuziunea dintre Vocea Rusiei și RIA Novosti.

Obiectivul asigurării suveranităţii Rusiei este din nou evocat în text, în termen foarte lacunari, însă imperativi. Se amintește faptul că acest obiectiv trebuie atins printr-o coordonare la nivel internaţional. Lucru deloc surprinzător, căci Rusia depusese deja un text la secretariatul ONU în acest sens, și, în plus, susţine Uniunea Internaţională a Telecomunicaţiilor în astfel de demersuri. Aceste precizări sunt legate în mod direct de faptul că, de la intrarea în vigoare a legii federale N 242 FZ din 21 iulie 2014, datele privind cetăţenii ruși trebuie găzduite pe servere prezente fizic pe teritoriul naţionale. Iar dacă Google și Apple s-au conformat acestei exigenţe în aprilie și respectiv septembrie 2015, reţeaua profesională LinkedIn a fost deconectată de la reţeaua rusă la cererea expresă a autorităţilor ruse. Societăţile contraveniente sunt nevoite să închirieze servere ruse sau să și le delocalizeze pe ale lor în Federaţia Rusă.

Se enunţă dualitatea spaţiului informaţional și a tehnologiilor conexe: pe de o parte, un avânt al economiei și al îmbunătăţirii raporturilor dintre administraţie și cetăţeni, pe de altă parte, introducerea ameninţărilor specifice care pot destabiliza ţara.

Punctul 13 vizează în mod specific ameninţarea teroristă, individuală sau în grup organizat, care ar putea afecta spaţiul informaţional, iar aceasta este o noutate întrucât documentul din 2000 nu explicita problema acestei ameninţări într-un mod atât de clar. O astfel de ameninţare ar putea paraliza în mod critic infrastructurile sau ar putea difuza propagandă care să atenteze la interesele Federaţiei.

Apoi este detaliată infracţionalitatea cibernetică, în special ramura sa financiară. Situaţia era deja cunoscută și prevăzută încă din 2000, când instrumentele și reţelele nu erau atât de evoluate ca în prezent. Acest aspect nu putea să lipsească din noua doctrină, dat fiind că au avut loc anumite incidente în materie de infracţionalitate cibernetică ce au lovit instituţiile bancare în Rusia în noiembrie, respectiv decembrie 2016 (incidente precum cel de la Banca Centrală, cu două miliarde de ruble furate).

Cibernetica militară este menţionată de câteva ori, însă foarte pe scurt și fără vreun aport real faţă de alte texte oficiale dedicate acestui subiect și mult mai cuprinzătoare. Articolul 21 detaliază foarte puţin rolul securităţii informaţionale pentru forţele armate, sub patru aspecte: disuasiunea și prevenirea oricărui conflict care ar putea izbucni ca urmare a utilizării tehnologiilor informaţiei; îmbunătăţirea pregătirii și a mijloacelor legate de războiul informaţional în cadrul sectorului militar; pregătirea protejării intereselor Rusiei în spaţiul informaţional; neutralizarea operaţiunilor psihologice informaţionale ce vizează pervertirea patrimoniuluii patriotic și istoric legat de naţiunea rusă. Acest ultim element denotă interesul autorităţilor ruse cu privire la acest aspect al războiului, moștenire a unei lungi tradiţii sovietice în domeniu.

Articolul 23 reprezintă o expunere a acţiunilor de securitate statală în spaţiul informaţional necesar a fi implementate. În mare, lista este un rezumat al tuturor punctelor evocate anterior, de pildă cu privire la suveranitatea statului, la protecţia infrastructurilor informaţionale, la utilizarea contra-măsurilor pentru a nu se aduce atingere valorilor Rusiei, la preferinţa pentru produsele de tehnologie a informaţiei locale, cu ajutorul cărora să se asigure un nivel de securitate informaţională etc. Un punct laconic, dar care merită toată atenţia, este cel care se referă la vigilenţa privind actele unei forţe străine prin intermediul indivizilor, serviciilor speciale (a se citi: de informaţii) și organizaţiilor care ar putea folosi tehnologia informaţiei pentru a lansa ameninţări la securitatea statului. Acest punct reprezintă conștientizarea că ciberspaţiul, sau spaţiul informaţional, este capabil, prin intermediul actorilor săi, instrumentelor sale sau rezultatelor sale, să pună în pericol stabilitatea politică, economică, financiară și militară a unui stat.

Împletirea dintre securitatea informaţională și sectorul economic este tratată mai pe larg. Aici se pot regăsi și preocupările doctrinei din 2000 cu privire la necesitatea de a avea o industrie IT și electronică locală în scopul limitării importului de bunuri și servicii de origine străină. Articolul ar putea fi rezumat după cum urmează: protecţie, inovare, competitivitate și securitatea unei reţele naţionale industriale în domeniul tehnologiei informaţiilor. Termenul de preocupare nu este exagerat în ceea ce privește insistenţa acestei problematici prezente în mai multe texte oficiale începând cu anul 2000. Configuraţia este identică cu cea elaborată de teoreticianul și practicianul protecţionismului, Friedrich List, întrucât premisele sunt aceleași: protejarea companiilor dintr-un sector industrial nou, asistarea și favorizarea lor până când acestea ating un anumit grad de competitivitate, apoi, odată mature, lăsate să se confrunte cu piaţa mondială.

Această strategie pe plan economic este identică cu cea din domeniul educaţiei, formării și cercetării știinţifice. Este folosit același raţionament: crearea unei baze solide pentru ca domeniul respectiv să atingă nivelul de competitivitate dorit. Această similitudine nu este întâmplătoare, ci denotă o strategie globală prin care efortul nu este împărţit pe sectoare, ci pe etape de progresie.

În fine, există o voinţă mărturisită, identică cu cea precizată în 2000, de a promova o viziune comună internaţională asupra conceptului de securitate informaţională. În acest sens, se precizează că spaţiul informaţional este un câmp conflictual care ar putea fi folosit pentru destabilizarea statelor cu scopuri politico-militare. Suveranitatea Federaţiei Ruse se dorește a fi protejată prin încheierea de parteneriate și elaborarea unui cadru internaţional în materie de securitate informaţională. Un detaliu rămâne totuși imprecis: atunci când se sugerează un segment de gestionare naţională a reţelei de Internet (aspect care a mai fost menţionat o dată)1, se face referire la noul proiect de reţea naţională securizată asigurată de un sistem de exploatare suveran? Sau la îngrădirea sau, mai degrabă, filtrarea porţiunii ruse din reţeaua de Internet? Acest punct ar merita să fie explicitat ulterior de către autorităţi, întrucât subiectul este încă foarte restrâns, în acest stadiu, pentru formularea oricărei previziuni tangibile.

Articolul 30 și următoarele reprezintă în principal menţiuni juridice, iar în final este specificată atribuţia exclusivă a Președintelui Federaţiei Ruse în definirea orientării în materie de politică de securitate a informaţiei (secondat se pare de Consiliul de Securitate al Federaţiei și chiar de Comisia Militaro-Industrială). Este furnizată deopotrivă lista actorilor de prim rang vizaţi de securitatea informaţiei, care cuprinde toate componentele executivului și instituţiile de sub administrarea acestuia (chiar și sub administrarea indirectă, cum este cazul Băncii Rusiei).

Se evocă dorinţa de a conserva drepturile cetăţenilor, dar și de a respecta obiectivele în materie de securitate a informaţiei, în același timp, precum și întărirea și interconectarea mijloacelor de securitate a informaţiei între diferitele componente ale structurilor de forţă, militare și civile, pe diverse niveluri teritoriale.

Pentru urmărirea efectelor acestei doctrine, secretarul Consiliului de Securitate al Federaţiei prezintă anual un raport.

Prin urmare, textul nu aduce nimic revoluţionar. Este, pe de o parte, reiterarea doctrinei din 2000 și, pe de altă parte, o sinteză a documentelor conexe întocmite după apariţia acesteia dintâi, îmbogăţită, ce-i drept, cu câteva puncte specifice prin prisma experienţei ultimilor ani. Astfel, interesul pentru securitatea informaţiei în domeniile economic și financiar a fost întărită, iar reţeaua de Internet este menţionată de mai multe ori (de altfel, aceasta este singura concesie a textului altminteri neutru din punct de vedere tehnologic).

În ceea ce privește forma, a fost făcut un efort substanţial pentru ca textul să fie mai ușor de citit decât cel de dinainte, iar în ceea ce privește fondul, se observă clar că orientările viitoare fac dovadă de pragmatism.

Fără îndoială, va urma în scurt timp apariţia de documente oficiale sectoriale, așa cum s-a întâmplat și după publicarea doctrinei din septembrie 2000.

Doctrina de securitate informațională din decembrie 2016 (în rusă): https://rg.ru/2016/12/06/doktrina- infobezobasnost-site-dok.html

Strategie de securitate națională din decembrie 2015 (în rusă): http://www.consultant.ru/document/ cons_doc_LAW_191669/61a97f7ab0f2f3757fe034d1101 1c763bc2e593f/


1 д) развитие национальной системы управления российским сегментом сети «Интернет»

Expert și lector în Cyberstrategy la Business & Finance School din Strasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în imple- mentarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septem- brie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnolo- gii, comunicare și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.

477

Al 4-lea Congres macro-regional „Cybersecurity in Romania” s-a desfăşurat la Sibiu între 14 şi 16 septembrie 2016. Ocazie unică de a face bilanţul cu privire la evoluţiile sau la întârzierile în domeniul securităţii informatice în sens larg, Forumul a fost gazda unor personalităţi recunoscute ca experţi în domeniu. Ediţia din 2016 a facilitat clarificarea a 4 aspecte:

  1. adoptarea unei abordări proactive pentru gestionarea ameninţărilor geopolitice;
  2. securizarea mai puternică a internetului concomitent cu apariţia unor noi obiecte conectate;
  3. implementarea de programe de informare asupra ameninţărilor critice şi de diseminare a informaţiilor;
  4. adoptarea de noi măsuri de siguranţă în domeniul comerţului electronic.


Potrivit lui Marco OBISO, coordonator în cibersecuritate al Uniunii Internaţionale a Telecomunicaţiilor, doar 73 de state au adoptat o strategie naţională în domeniul cibersecurităţii cu scopul de a construi un ciber-spaţiu securizat şi rezistent pentru cetăţenii acestora.
Şi totuşi, celelalte ţări membre ale UIT nu au rămas inactive în acest domeniu, întrucât 103 ţări au constituite echipe de intervenţie în caz de incident de securitate informatică (Computer Incident Response Team). În afară de acţiunile preventive şi curative pe care le operează la nivel naţional, CIRT împarte informaţiile proprii cu comunitatea mondială, permiţând astfel fiecărei ţări să îşi îmbunătăţească gradul de protecţie.
În domeniul cibercriminalităţii şi protecţiei datelor, toate ţările europene şi-au adaptat legislaţia; cu toate acestea, doar Bulgaria, Finlanda, Germania, Grecia, Letonia şi Polonia au impus măsuri obligatorii de protecţie a ciberspaţiului.
În Europa, eforturile din punct de vedere legal, tehnic, organizatoric sau în materie de cooperare naţională (între sectorul privat şi cel public) şi internaţională sunt evidente, însă rămân unele aspecte care necesită îmbunătăţiri, printre care nevoia definirii unui cadru şi instituirii unei proceduri de certificare şi acreditare a specialiştilor în cibersecuritate (doar trei state au făcut-o deja) sau nevoia definirii unui cadru de aplicare a normelor de cibersecuritate. Un alt punct slab indicat de către UIT: formarea specialiştilor care să contribuie la aplicarea legii, întrucât doar 9 state au creat instituţii de formare specifice pentru forţele de ordine proprii.

Delegaţie AR Franche-Comté ale IHEDN la congres


În viziunea d-lui Dr. Dan TOFAN, expert în cadrul Agenţiei Europene însărcinate cu securitatea reţelelor şi a informaţiei, Uniunea Europeană a ţinut cont de noile ameninţări asupra ciberspaţiului, ceea ce a condus la elaborarea, de către Comisia Europeană, a unei directive care răspunde în parte observaţiilor UIT, „directiva privind s ecuritatea reţelelor şi a sistemelor informatice (NIS Directive)”. Această directivă are ca obiectiv aducerea capacităţilor de cibersecuritate la un nivel comun de dezvoltare în toate statele membre ale UE, în scopul garantării schimbului de informaţii şi de cooperare, inclusiv la nivel transfrontalier. Aceasta instituie obligaţia, pentru statele membre:

  1. De a se pregăti, solicitând să poată dispune de minimum o echipă de intervenţie în caz de incidente de securitate informatică (CSIRT) şi de o autoritate naţională competentă;
  2. De a exista cooperare între toate statele membre, c reându-se astfel un grup de cooperare, cu scopul de a susţine şi de a facilita cooperarea strategică şi schimbul de informaţii între statele membre. Acestea vor trebui să instituie o reţea CSIRT pentru promovarea unei cooperări operaţionale rapide şi eficiente în incidente specifice de cibersecuritate şi pentru a împărtăşi informaţii cu privire la riscuri;
  3. De a iniţia o cultură a securităţii în toate sectoarele vitale ale economiei şi ale societăţii şi care, în plus, depind mult de TIC, cum ar fi energia, transporturile, apa, băncile, infrastructuri ale pieţei financiare, sectorul sănătăţii şi infrastructura digitală. Întreprinderile din aceste sectoare identificate de către state ca fiind operatori de servicii esenţiale vor fi obligate să ia măsuri adecvate de securitate şi să notifice incidentele grave la autoritatea naţională competentă.
  4. În plus, principalii furnizori de servicii digitale (motoare de căutare, servicii de „cloud computing” şi comerţ online) vor fi bligate să se conformeze exigenţelor de securitate şi de notificare prevăzute de noua directivă.

Această directivă va trebui să fie aplicată, adică transpusă în legislaţia ţărilor membre, până în mai 2018. Este de remarcat faptul că aplicarea celui de-al treilea punct va implica instituirea unui program de formare a actorilor din sectoarele definite ca fiind critice.

În ceea ce priveşte această formare, intervenţia lui Daniel Ventre, titularul catedrei de cibersecuritate şi de ciberapărare din cadrul şcolilor S aint-Cyr/ Coëtquidan (şcoli de f ormare a ofiţerilor armatei terestre franceze), poate fi folosită ca discurs introductiv, întrucât oferă un cadru şi un spaţiu a temporal. Pentru acesta, „…din lectura numeroaselor strategii, politici, planuri, programe de cibersecuritate şi ciber-apărare publicate în toată lumea în ultimii ani, pare să se desprindă un consens, o convergenţă a recunoaşterii necesităţii organizării şi asigurării securităţii şi apărării domeniului ciber, adică întâi de toate securitatea şi apărarea ansamblului de sisteme tehnice şi apoi a sistemelor societăţilor traversate de aceste dintâi sisteme. De securitatea sistemelor depinde cea a statuluinaţiune. Consensul se materializează în acceptarea de către toţi a structurii unei naraţiuni simple, alcătuite din câteva noţiuni elementare. Această naraţiune se desfăşoară în jurul a trei protagonişti: „noi”, „ameninţarea” şi „ciberspaţiul”.
Acest „noi” este reprezentat de stat, naţiune, societate, totalitatea actorilor care ne împărtăşesc valorile şi interesele. Acest „noi” îşi bazează evoluţia, progresul, economia pe un soclu tehnologic. Ori securitatea nu a fost integrată la baza acestui soclu, astfel că „noi” suntem mereu în căutarea unei securităţi ideale care probabil că nu va exista niciodată din două motive: reaşezarea securităţii în compoziţia soclului tehnologic ar presupune demontarea şi reconstruirea completă, iar înaintea noastră se află adversari/inamici/oportunişti care au aceleaşi dependenţe tehnologice ca noi, însă nu neapărat aceleaşi valori, interese, obiective şi au învăţat să profite de fragilităţile noastre. Dependenţa noastră a atins un asemenea grad încât planează asupra noastră ameninţarea unui atac ale cărui efecte ar fi distructive (ciber- Armageddon). „Noi” este astfel confruntat cu „alţii”, „ameninţarea”: ei pot fi chiar printre noi (insider threat) şi aduc ameninţări vitale mode lului nostru. Acestor adversari nu li se cunoaşte numărul şi nu au frontiere. Ameninţarea mobilizează toate categoriile de infracţiuni şi de conflict (crimă organizată, delincvenţă, găşti, mafii, terorism, gherile, servicii de informaţii, insurecţii…). Evidenţierea atacurilor conduse de aliaţi şi parteneri nu contribuie la reducerea sentimentului de ameninţare globală. În anumite state, însuşi cetăţeanul este o ameninţare (ciberactivism). Aceşti adversari sunt adesea invizibili, acţionează impredictibil, sunt asimetrici. Conceptul de „noi” ameninţat trebuie deci în mod legitim să se protejeze, să se apere, să înveţe să riposteze, să atace. Acesta învaţă să-şi arate forţa, visează să găsească metode de disuasiune. Visează să domine ciberspaţiul pentru a menţine şi aici ordinea atunci când o controlează sau pentru a retrasa în acesta graniţele naţionale de suveranitate atunci când nu se mai află pe linia trasată de conducător. Anumite evenimente, incidente, mai mediatizate decât altele, ca nişte ciupituri de aducere aminte, vin să menţină conştiinţele treze şi să confere echitate structurii naraţiunii.” („Les évolutions de la cybersécurité: contraintes, facteurs, variables…”)

Potrivit lui Marian Matei, Director adjunct al Direcţiei de Combatere a Criminalităţii Organizate din cadrul Poliţiei Române, această evoluţie perpetuă a cibersecurităţii duce la apariţia unei abordări mai globale a acesteia deoarece există multe obstacole în calea unei mai bune cibersecurităţi, iar majoritatea obstacolelor nu sunt de ordin tehnic. Chiar dacă am avea o mai bună tehnologie decât cea de care dispunem astăzi, ar exista în continuare riscul ca adversarul, „ameninţarea” evocată de Daniel Ventre, să fie cu un pas înaintea noastră. Unele dintre cele mai mari obstacole cărora le facem faţă provin din analizele depăşite ale cibersecurităţii şi din politicile generate de aceste analize; în consecinţă, potrivit opiniei lui Matei, este timpul ca abordarea cibersecurităţii să se schimbe.
Primele studii cu privire la acest subiect au lăsat să se înţeleagă că ameninţarea cibernetică ar proveni din atacuri teroriste îndreptate împotriva infrastructurilor critice. Neavând încă competenţele necesare, cele mai multe state au încredinţat responsabilitatea securităţii sectorului privat, deoarece acesta deţinea majoritatea infrastructurilor esenţiale. Se credea în mod optimist că problemele internetului vor fi rezolvate de către o comunitate mondială autonomă în care guvernul trebuia să joace doar un rol minimal. Aceste idei sunt încă larg răspândite în zilele noastre, însă s-au dovedit a fi eronate. Adevăratele mize ale cibersecurităţii sunt spionajul şi criminalitatea etatizate şi creşterea capacităţilor militare ofensive, probleme care sunt mai bine tratate de către guverne. În viitor, ca efect al mondializării, vom fi şi mai interconectaţi decât suntem în prezent. Interacţiunea între marile puteri, statele mai puţin dezvoltate economic şi actorii din afara statului va determina noi modalităţi de exercitare a influenţei. În corelare cu dispoziţiile privitoare la strategia de apărare naţională, trebuie luate măsuri progresive pentru întărirea credibilităţii strategice, graţie dezvoltării şi modernizării continue a capacităţilor cibernetice şi pentru a asigura o protecţie colectivă eficientă a ciberspaţiului naţional, european şi euro-atlantic. În acelaşi timp, avem nevoie de un cadru juridic care să permită şi să susţină abordarea globală şi multinaţională în întreg domeniul ciber. Cheia succesului se află în mâinile celor care înţeleg şi îşi concentrează eforturile asupra mecanismelor de prevenţie în trei sub-domenii ale securităţii: apărarea, ordinea publică şi securitatea internă. În acest cadru, Marian Matei arată că elaborarea unui proces de planificare riguros, continu şi pluri-anual este imperativă. Pentru a fi eficient, acest proces trebuie să reunească resursele disponibile pentru susţinerea obiectivelor naţionale, europene şi euro-atlantice în domeniul cibersecurităţii iar directiva NIS, trebuie subliniat, reprezintă o evoluţie majoră.

Pentru Alexandru Cătălin COSOI, director de strategii al BITDEFENDER, într-o lume în care cibercriminalitatea se produce în câteva minute, cooperarea în domeniul securităţii şi legislaţia trebuie să se schimbe pentru a răspunde în acelaşi interval de timp, iar, în această privinţă, PPP-urile sunt esenţiale pentru atingerea acestui grad de reactivitate. Numeroase state au elaborat recent strategii naţionale de cibersecuritate care pun accentul pe un gen de parteneriat public-privat (Austria, Australia, Canada, Cehia, Estonia, Finlanda, Franţa, Ungaria, India, Japonia, Lituania, Olanda, Noua Zeelandă, Slovacia, Africa de Sud, Marea Britanie şi Statele Unite).
Este important de reţinut că parteneriatul public-privat în materie de cibersecuritate naţională îmbracă mai multe forme. Guver nele au relaţii diverse cu furnizorii de servicii de internet, cu multinaţionalele informatice (Google, Facebook etc.), cu companiile private de cibersecuritate, cu apărătorii drepturilor omului şi ai drepturilor civile, cu forţele de ordine şi cu societatea civilă. Şi totuşi, atât în documentele oficiale cât şi în discursul privind cibersecuritatea în general, parteneriatul public-privat este adesea caracterizat ca fiind o entitate unică, nesocotind această complexitate. În ciuda acestei complexităţi şi acestei diversităţi, reiese clar faptul că accentul pus pe strategii vizează relaţia dintre guvern şi proprietarii/utilizatorii de infrastructuri esenţiale aşa cum o arată, de exemplu, legea privind încrederea în economia digitală franceză, în timp ce multe alte aspecte ale cibersecurităţii sunt considerate ca fiind legate de interesul naţional, protecţia infrastructurilor esenţiale iar parteneriatele public-private joacă un rol important.
Evident, parteneriatul public-privat nu este propriu cibersecurităţii. Acesta a fost folosit foarte des de către state ca mecanism în soluţionarea altor probleme, inclusiv celor legate de securitate. Practica s-a intensificat începând cu anii 1990, când privatizarea i nfrastructurilor critice a fost considerată ca fiind benefică din punct de vedere economic pentru stat.
Deşi au fost prezentate ca un „nou” tip de gestionare, conceput cu scopul de a prelua cele mai bune elemente din cele două sectoare, parteneriate public-private au fost încheiate şi în trecut. Cu ocazia semnării convenţiei din 28 iunie 1882, publicată în martie 1883, prin care Anglia şi Franţa îşi garantau reciproc drepturi egale pentru comercianţii din posesiunile din Africa, cancelarul Bismarck a s olicitat oraşelor din Liga Hanseatică să redacteze un raport prin care să propună măsuri pentru favorizarea extinderii comerţului german pe coasta de vest a Africii, ceea ce a condus la crearea statului Camerun în 1884, în beneficiul caselor Woermann şi J antzen şi Thormahlen…
Există mai multe motive pentru care cibersecuritatea, în special în contextul protecţiei infrastructurilor esenţiale, a fost concepută ca un proiect de colaborare între sectorul public şi cel privat. Statul este responsabil cu securitatea, în particular cu securitatea naţională. Protecţia infrastructurilor esenţiale – sistemele necesare conservării securităţii naţionale (în accepţiunea cea mai largă) – este percepută ca parte integrantă a securităţii statului. Consecinţele potenţiale ale unui ciber-atac la scară largă asupra infrastructurilor esenţiale sunt atât de complexe încât este normal ca guvernul să îşi asume o anumită autoritate şi o anumită responsabilitate. Totuşi, dat fiind faptul că majoritatea infrastructurilor esenţiale sunt deţinute şi exploatate de interese private, trebuie să existe un tip de relaţie între sectorul public şi cel privat în ceea ce priveşte securitatea. Au fost încheiate o gamă largă de acorduri şi contracte denumite partene riate public-private. Acestea pornesc de la prestări solidare de ser vicii a căror executare este oarecum supravegheată prin reglementări guvernamentale (sectorul sănătăţii), până la subcontractarea unor mari proiecte de infrastructură (contruirea de poduri, găzduirea Jocurilor Olimpice etc.).
Se pot identifica PPP-uri de două mari categorii:

  1. aranjamente orizontale non-ierarhice caracterizate prin luări de decizii conform principiului consensualităţii;
  2. relaţii organizate ierarhic în care unul dintre contractori exercită şi rol de control.

În materie de cibersecuritate, strategiile naţionale se feresc să vorbească de ierarhie atunci când se referă la parteneriatul publicprivat, deoarece acest tip de contract este caracterizat prin concepte precum cooperarea, un scop împărtăşit de ambele părţi şi interese comune. Guvernul împărtăşeşte, astfel, informaţii şi resurse cu scopul de a elabora, alături de sectorul privat, un răspuns la o provocare comună. Furnizarea de informaţii cu privire la ameninţările cibernetice constituie una din principalele aşteptări ale parteneriatului, atât din partea sectorului public cât şi a sectorului privat, însă există anumite obstacole în schimbul de informaţii în ambele cazuri. Sectorul privat consideră că nu este întotdeauna uşor de făcut distincţia pe loc între o problemă tehnică oarecare, un atac slab şi un atac la scară largă. În plus, uneori semnalarea vulnerabilităţilor contravine intereselor lor comerciale, deoarece modelul lor de afaceri se bazează pe obţinerea, posedarea şi vânzarea de informaţii şi nu pe partajarea lor cu altcineva.
De asemenea, sectorul public are limitele sale în ceea ce priveşte partajarea informaţiei cu alţii. Informaţiile contextuale calsificate nu pot fi partajate cu persoane care nu au o autorizaţie de securitate adecvată. Adesea, nici chiar cei care lucrează în sectorul privat şi deţin o autorizaţie de securitate nu pot să facă nimic cu informaţiile clasificate, pentru că luarea de măsuri ar presupune implicit expunerea lor… Această problemă de partajare a informaţiei a fost considerată în mod constant ca fiind un obstacol major în cibersecuritate şi a fost pusă în discuţie de un înalt funcţionar, numind-o, cu ocazia Congresului de cibersecuritate din 2011, ca fiind una din cele două domenii principale care trebuie îmbunătăţite.
Partajarea de informaţii, inclusiv a celor sensibile, este mai eficientă atunci când există relaţii personale între cele două părţi. Oamenii sunt mult mai dispuşi să partajeze informaţii cu colegii cu care au o puternică legătură personală şi/sau profesională. Acest factor uman este important şi ar trebui să facă obiectul unei cercetări mai aprofundate, pentru a găsi mijloacele de stabilire şi de întărire a acestor relaţii în domeniile securităţii reţelelor şi funcţiei publice, care sunt caracterizate printr-o frecvenţă relativ ridicată cu care se schimbă personalul, iar multiplicarea obiectelor conectate antrenează apariţia unor noi ameninţări.

Aşa cum a subliniat şi Michal JARSKY, directorul regional de vânzări al TRENDS MICRO, orice obiect conectat la internet poate fi piratat. Care sunt reacţiile corecte în această situaţie? Niciuna, dacă nu punem în practică ceea ce Matei a numit abordarea globală a cibersecurităţii. În opinia lui Jarsky, orice reacţie care implică adoptarea unui plan de acţiune simplu de enunţat însă, uneori, dificil de aplicat. Acest plan se desfăşoară în 6 etape, şi anume: evaluarea ameninţărilor, formarea/educarea utilizatorilor, identificarea „lacunelor” tehnologice, elaborarea indicatorilor de eficienţă (Key Performance Indicators), o îmbunătăţire continuă şi un proces de sinteză.


Doris ALTENKAMP, cercetătoare şi consultant în ciber-apărare, defineşte internetul obiectelor conectate ca „un fel de reţea globală universală de neuroni” care înglobează toate aspectele vieţii noastre. Pericolul vine nu doar din partea obiectului însuşi, ci şi din partea legăturilor, „conversaţiilor” pe care le poate avea cu alte obiecte. Păstrând în minte această constatare, Altenkamp propune o metodă de judecată împrumutată din domeniul militar, ciclul OODA (Observa, Orient, Decide, Act), care permite gestionarea cunoscutului, a necunoscutului şi a necunoscuţilor „necunoscuţi” cu scopul de a naviga pe deasupra incertitudinii… Ciclul OODA începe în funcţie de comportamentul aşteptat şi de la gradul de cunoaştere a situaţiei ecosistemului obiectului conectat (de exemplu, un frigider). Observarea constă în adunarea de informaţii provenind de la ecosistemul obiectului conectat şi examinarea lor. Orientarea reprezintă obţinerea unei analize comportamentale şi complexe a sistemului şi stabilirea evaluării (risc, impact etc.). Decizia constă în traducerea „noii cunoştiinţe” în „know how” şi hotărârea acţiunilor semnificative care trebuie întreprinse. Acţionarea înseamnă punerea în aplicare a unor măsuri care interacţionează cu părţile semnificative din cadrul ecosistemului. Apoi ciclul se reia…
Pentru a diminua riscurile legate de obiectele conectate (IoT), Altenkamp consideră că trebuie acţionat în domeniile următoare:

  • Securitatea obiectelor conectate şi conectivitatea lor end-to-end;
  • Dezvoltarea de softuri specifice;
  • Crearea de date/confidenţialitatea datelor/protecţia datelor;
  • Sistemul de supraveghere complex al obiectelor conectate;
  • Guvernanţă/juridic/reglementare/gestionarea riscurilor;
  • Certificarea obiectelor conectate;
  • Formarea utilizatorilor.

Abundenţa obiectelor conectate generează noi moduri de consum, de cumpărare, de vânzare. În acest context, securizarea comerţului electronic devine mai importantă ca niciodată iar criptarea datelor şi a legăturilor reprezintă esenţa problemei.
Există, bineînţeles, dispozitive simple care pot fi aplicate, cum ar fi cel prezentat de Alain SEID, preşedintele Camerei de Comerț
și Industria din Belfort (Franța). Este vorba de un dispozitiv care se bazează mai degrabă pe intervenţia conceptului de „noi” care constată „ameninţarea” în „ciberspaţiu” decât pe o intervenţie automată. Însă acest dispozitiv nu funcţionează decât în partea din lumea fizică legată la lumea virtuală. În lumea pur virtuală, soluţiile constau cel mai adesea în instalarea unei protecţii

bazate pe p rotocoale relativ învechite şi, deci, vulnerabile, aşa cum o demonstrează Ştefan Hărşan FÁRR, consultant. Totuşi, potrivit acestuia, majoritatea punctelor slabe actuale provin din lipsa de rigoare a utilizatorilor, confirmând astfel necesitatea unuia din obiectivele directivei NIS care vizează dezvoltarea unei culturi de „cibersecuritate” în fiecare actor.
În domeniul criptării datelor, este păcat că niciun participant nu a evocat progresele care s-au făcut, cu precădere implementarea de noi moduri care folosesc tehnologii cu perspective favorabile precum criptarea cuantică (şi componentele sale criptografice) care va impune o standardizare a protocoalelor de criptare pentru dist ribuirea unei chei între două sisteme. Criptarea cuantică se bazează pe o metodă de criptare care nu poate fi spartă şi care utilizează fotoni transferaţi prin intermediul unui cablu de fibră optică total independent de reţeaua de internet. Acesta nu poate fi piratat întrucât orice tentativă care ar viza spionarea (interceptarea, copierea, ascultarea electronică etc.) unei asemenea transmisiuni modifică starea cuantică şi este detectabilă imediat. Totuşi, acoperirea semnalului nu depăşeşte în prezent 300 de kilometri. Lansarea primului satelit cuantic de către chinezi, în august 2016, deschide perspective încurajatoare deoarece vestesc încercări de transmisiuni la 2500 de kilometri. Conştientă de această miză, Comisia Europeană va lansa, în 2018, un program de cercetare dedicat tehnologiilor cuantice. Următoarele comunicări ale Congresului macro-regional „Cybersecurity in Romania” în 2017 vor avea cu siguranţă material ştiinţific nou de discutat…

autor: Pascal Tran-Huu,
Association des Auditeurs de Franche-Comté, Institut des Hautes Etudes de Défense Nationale.

Pascal Tran-Huu este fost militar de carieră și momentan lucrează în domeniul industrial. Ca ofiţer, a făcut parte din diverse unităţi, inclusiv din Forţele Speciale. După 30 de ani la datorie, a ales să lucreze în industrie. El dezvoltă activităţi în cadrul grupului industrial SYT, care produce drone și echipamente pentru vizualizare electronică; în același timp este responsabil pentru relaţii internaţionale și instituţionale în cadrul unui cluster din domeniul energiei, „Vallée de l’énergie”, și promovează peste 100 de companii din domeniu, incluzând ALSTOM, GENERAL ELECTRIC și EdF.

293

În perioada ultimilor ani, asistăm la o dezvoltare accelerată a entităților destinate combaterii amenințărilor cibernetice și m anagementului incidentelor de securitate cibernetică – c unoscute sub denumirea de CERT, precum și la o creștere (cel puțin din punct de vedere statistic) a numărului experților în acest domeniu. E vident, acest fenomen este răspunsul societății noastre la ceea ce se întâmplă în mediul online, atât din perspectiva creșterii p onderii utilizării tehnologiei în toate domeniile vieții, dar și a evoluțiilor s pectaculoase înregistrate de atacurile cibernetice la nivel global.
Deopotrivă în mediul privat, cât și în mediul guvernamental, crearea structurilor de tip CERT și angajarea de person al specializat în diverse discipline conexe domeniului securităţii cibernetice ar trebui să asigure un răspuns adecvat celor mai sofisticate atacuri cibernetice care ar putea fi generate de orice fel de actor, indiferent de motivaţia și resursele pe care acesta le are la dispoziţie.
Dar oare toate aceste structuri și pleiada de experţi prezenţi în spaţiul public au capacitatea să livreze rezultatele așteptate?
Având în vedere mesajele prezente în mai toate lucrările, articolele sau conferinţele de specialitate în ultima perioadă, pe care eu personal le percep ca fiind de regulă lipsite de proporţionalitate în raport cu nivelul real de risc, de cele mai multe ori fiind prea alarmante și de prea puţine ori oferind soluţii adaptate publicului larg sau secţiunii de public căreia se adresează, pot să afirm clar că nivelul de pericol generat de atacurile cibernetice care au loc online în prezent se situează mult sub nivelul critic care ar genera efecte devastatoare, așa cum ni se prezintă de multe ori situaţia de ansamblu a securităţii Internetului și tehnologiei în general. Referinţa generică la care mă raportez pentru a-mi susţine această afirmaţie o reprezintă creșterea evidentă și din ce în ce mai accelerată a serviciilor oferite online, atât de către guvernele multor state, precum și de mediul de afaceri. Simplu, dacă riscurile ar fi mai mari decât oportunităţile, în mod clar investiţiile în dezvoltarea de noi servicii online nu ar avea eficienţă.
Totuși, evoluţia constantă a complexităţii atacurilor cibernetice, precum și rezultatele obţinute de atacatori, pun serioase probleme comunităţilor specializate în domeniul securităţii cibernetice, atât din perspectiva asigurării securităţii cetăţeanului, utilizator de tehnologie și de servicii online sau a guvernelor care trebuie să asigure condiţiile necesare funcţionării infrastructurilor critice în condiţii de securitate, precum și din perspectiva companiilor private furnizoare de tehnologie sau servicii în acest domeniu.
Nu-mi voi susţine afirmaţiile prin copierea diverselor date statistice sau descrieri ale unor atacuri cibernetice extrem de distructive sau sofisticate care au avut loc în ultima perioadă, sunt suficiente resurse de încredere online specializate în acest sens, ci voi încerca să sintetizez câteva idei despre ceea ce consider că lipsește astăzi la nivel global, astfel încât starea de securitate și încredere în tehnologie să prevaleze ameninţărilor de orice natură și panicii generale pe care o percep de fiecare dată când ceva periculos se întâmplă online, adesea neprevăzut de nimeni.
Nu susţin aici viziuni mesianice asupra a ceea ce trebuie făcut în domeniul securităţii cibernetice, ci încerc să evidenţiez faptul că, deși se fac o serie de pași înainte în acest domeniu, prin demersuri de reglementare, înfiinţarea de structuri specializate noi etc., progresele reale se lasă așteptate iar potenţialitatea unui Armagedon cibernetic ce ar putea să se manifeste într-o stare generală de criză globală devine din ce în ce mai probabilă.
O să mă opresc în acest articol la structurile de tip CERT și de ce consider că, în general, aceste structuri nu au atins gradul de maturitate necesar pentru a face faţă situaţiei reale cu care se confruntă online.
Fie că aducem în discuţie entităţi de tip CERT guvernamentale, fie cele destinate mediului privat, acestea au fost înfiinţate cu un singur obiectiv generic: creșterea gradului de rezilienţă a infrastructurilor protejate și asigurarea securităţii informaţiilor vehiculate prin intermediul acestora, incluzând aici și funcţionalităţile critice asigurate prin intermediul tehnologiei în cadrul unor infrastructuri critice.
Aceste tipuri de entităţi au o activitate din ce în ce mai vizibilă la nivel global și în special la nivel european, paginile web ale acestor tipuri de structuri fiind abundente în informaţii utile tuturor, însă de cele mai multe ori activităţile acestor tipuri de structuri au cu preponderenţă o componentă reactiv-defensivă în detrimentul componentei preventive, mult mai importantă din perspectiva nevoii de securitate a Internetului.
Desigur, afirmaţia mea este una contestabilă, însă este inspirată de una dintre activităţile zilnice pe care le desfășor în calitate de director de securitate în cadrul unei instituţii financiar-bancare: căutarea de informaţii valide despre noi tipuri de atacuri cibernetice (Indicatori de Compromitere, Indicatori de Atac, analize de malware, evaluări specializate și încercări de atribuire a unor atacuri cibernetice complexe, etc.), în scopul de a putea adapta sistemele tehnice și procedurale ale organizaţiei pe care am fost angajat să o protejez la cele mai noi categorii de riscuri.
Dacă pentru proceduri, politici și sfaturi utile, în special pentru adecvarea răspunsului la un atac cibernetic care deja a produs efecte, paginile web și feed-urile de securitate generate de diversele organisme de tip CERT se dovedesc valoroase (Ex: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/cert_about. html, https://www.ncsc.gov.uk/, https://cert.ro/), informaţii acţionabile (cu utilitate imediată) care vizează atacuri noi, complexe, sofisticate și care generează un impact semnificativ la nivelul infrastucturilor vizate le regăsesc de cele mai multe ori în cadrul resurselor informaţionale puse la dispoziţie (atât public, cât și în cadrul unor relaţii contractuale) de companiile specializate în domeniul securităţii cibernetice.
Unii ar putea spune că este normal, pentru că aceste companii sunt înfiinţate tocmai în acest scop… însă dacă analizăm obiectivele și resursele financiare semnificative investite de guverne sau mediul de afaceri în resurse de tip CERT, înţelegem cu toţii că ceva nu merge tocmai bine.
Voi încerca să prezint câteva acţiuni pe care le consider ca fiind priorităţi de grad 0 pentru comunitate, astfel încât funcţia preventivă a unei structuri de tip CERT să prevaleze în faţa reactivităţii manifestate în prezent, astfel:

  • paradigma parteneriat public-privat trebuie schimbată prin acţiuni concrete, nu neapărat prin legislaţie. Deși pare o afirmaţie hazardată, nu există legislaţie care să interzică cooperarea reală între mediul public și cel privat, există doar decidenţi nehotărâţi (de ambele părţi) sau care nu înţeleg beneficiile diverselor formate de cooperare;
  • pe lângă campaniile publice de informare asupra pericolelor online, care de cele mai multe ori sunt orientate tot către public avizat și pe lângă permanenta căutare a responsabililor cu educaţia cetăţenilor, implicarea reală în elaborarea de materiale educaţionale simple, inteligibile și personalizate care ar putea fi puse la dispoziţia diverselor categorii de public, inclusiv prin introducerea rapidă a acestora în cadrul programelor de învăţământ la toate nivelurile;
  • campanii de educare adresate managerilor din sectorul privat și decidenţilor din sectorul public. O persoană neinformată corect ia și va lua decizii greșite sau nu va lua deciziile potrivite;
  • elaborarea de cursuri pentru formarea de competenţe în domeniul răspunsului la incidente de securitate cibernetică – accesibile din punct de vedere financiar și actualizate ca și conţinut de câte ori realitatea o impune – pe lângă certificările valoroase (scumpe și inaccesibile unei largi majorităţi) oferite de diverse entităţi private și oferta mediului academic, ar completa nevoia reală de expertiză cerută de piaţă;
  • schimbul de informaţii în timp real – nu există scuză și motivaţie reală pentru a nu pune la dispoziţie, în timp real, indicatori de atac sau de compromitere, în cazul detectării unui atac cibernetic cu impact semnificativ. Standardizarea mai rapidă a formatului schimburilor de date la nivelul comunităţii ar duce cu rapiditate la scăderea timpului de răspuns și creșterea compatibilităţii sistemelor tehnologice utilizate de diverse comunităţi de tip CERT;
  • crearea unor structuri proprii destinate detecţiei, răspunsului și analizei atacurilor cibernetice eficiente, prin adoptarea bunelor practici utilizate de companiile private cele mai eficiente în domeniu (selecţie pe criterii de competenţă a managerilor și experţilor, asigurarea unor venituri adecvate importanţei și criticalităţii activităţilor derulate, accesarea de training avansat și utilizarea unor instrumente tehnologice competitive etc.);
  • asumarea rolului de arbitru între diversele entităţi și sectoare economice care nu schimbă informaţii din motive care ţin de mediul concurenţial;
  • asumarea rolului de furnizori de încredere prin validarea diverselor tehnologii furnizate de piaţa de profil;
  • asumarea eșecurilor și valorificarea mai activă a lecţiilor învăţate;
  • furnizarea periodică a unor produse de tip Cyber Threat Intelligence, care să conţină, pe lângă componenta tehnică acţională (pe care sunt orientate majoritatea platformelor și furnizorilor actuali), analize și evaluări profesionale cu privire la evoluţia de perspectivă a mediului de securitate online în vederea consolidării componentei de prevenţie și susţinerii informaţionale a actului de decizie (atât în mediul public, cât și în cel privat).

Fără a avea pretenţia că am acoperit toate problemele comunităţii CERT sau că am oferit soluţii speciale, am certitudinea că aspectele prezentate vor crea contro verse, iar din experienţa mea, contradicţiile și critica constructivă generează evoluţie.

autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

269

Numărul de utilizatori de Facebook este, fără îndoială, o caracteristică ce face această aplicație unică şi atractivă din mai multe puncte de vedere: o realitate pentru tineri, o descoperire pentru adulți, o mină de aur pentru companii și un instrument de intelligence pentru State.
În memoria vie nu a mai existat un mediu strategic de această dimensiune în care oamenii, indiferent de natura, culoarea și originea lor, să publice în mod voluntar și gratuit informaţii personale despre obiceiurile și despre vieţile lor de zi cu zi. Un ecosistem complex, folosit chiar

si de teroriști pentru abordarea și recrutarea de noi lupi singuratici, pentru a se apropia prin dialoguri propice și a convinge tinerii utilizatori să urmeze calea radicalizării.
Din punct de vedere social, este vorba, fără îndoială, de un fenomen îngrijorător care nu trebuie trecut cu vederea, iar din punct de vedere tehnic-informatic, și chiar de afaceri, ar putea fi o mare oportunitate de abordat cu curaj și determinare. A face dintr-o necesitate o virtute înseamnă, în acest caz, agregarea abilităţilor interdisciplinare, cum ar fi cele informatice, psihologice, educaţionale, juridice și lingvistice, pentru a proiecta și a dezvolta noi roboţi inteligenţi (cyber bot) pentru analiza lingvistică și semantică a dialogurilor desfășurate între utilizatorii reţelelor sociale.
O afacere în creștere rapidă, în care chiar și Uniunea Europeană a decis să investească sume cu șase de zero la final. Caracteristicile limbajului natural folosit de către utilizatori în reţelele deschise, cum ar fi Facebook, sunt o sursă bogată de informaţii care nu mai pot fi neglijate. Se naște astfel necesitatea de a dezvolta noi agenţi inteligenţi instruiţi în mod corespunzător, capabili să recunoască actele de comunicare ale utilizatorilor rău intenţionaţi, stilul lor de comunicare și mai ales relaţia dintre motivaţia, emoţiile și comportamentele interpersonale.
O provocare pe care generaţiile tinere de nativi digitali ar putea-o înfrunta și chiar rezolva, prin intermediul mentalităţii lor informatice, a cunoștinţelor

lor și capacităţii lor de adaptare profesională. Nimeni nu poate mai bine decât ei codifica și decodifica forma limbajului folosit astăzi pe Internet, din ce în ce mai sintetizat, nestructurat și metaforic, limbaj utilizat dealtfel pe scară largă pentru recrutarea de noi adepţi pentru radicalizare. Prin urmare, este necesar efortul de a încerca, chiar și de a intra încet, încet, pe terenul lor comun, de multe ori mediat de ore nesfârșite la playstation, formulând întrebări adecvate și interpretând răspunsurile acestora.
Cele mai mari companii IT din lume, cum ar fi Google, Facebook, Yahoo, dar și altele, au făcut primul mare pas investind masiv în alfabetizarea informatică a noilor generaţii, în special în proiecte educaţionale utile în care se predau paradigmele de programare logică, cu ajutorul cărora vor câștiga o bună capacitate de abstractizare. Acum este rândul nostru, profesori și profesioniști, să le dăm contextele operaţionale concrete și provocatoare în care sa aibă spaţiu pentru creativitate, experimentând în formă ghidată soluţii eclectice și originale, care ar putea schimba într-adevăr cursul evenimentelor de natură socială sau economică, dar mai ales siguranţa personală.
Vestea tristă din ultimele săptămâni aduce la lumină nevoia tot mai mare de a utiliza noi modele durabile pentru a aborda în mod adecvat riscurile care apar într-o lume care se schimbă cu o viteză atât de mare. Forţele de ordine, ele însele, fie ele locale sau globale, se confruntă cu mari dificultăţi în combaterea atacurilor de securitate, datorită faptului că, până nu demult, se așteptau ca ameninţările să fie de o complexitate din ce în ce mai sporită și nu, la polul opus, …dintre cele mai simple.
Riscul acum este să continuăm să ne punem aceleași întrebări, bazate pe experienţele unei lumi demult apuse, minunându-ne de fiecare dată de monotonia răspunsurilor. Din păcate nimeni, nici măcar autorităţile, nu este în măsură să vadă la orizont o soluţie care să reducă temerile și confuziile actuale. Pentru un părinte care și-a pierdut un fiu în timpul recentelor atacuri teroriste din Franţa, se pune întrebarea: cum este posibil ca în pragul celei de a patra revoluţii industriale, caracterizată prin atât de aclamata inteligenţă artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?
Monitorizarea continuă a reţelelor sociale poate este o condiţie necesară, dar nu mai este suficientă, cel puţin așa cum este concepută astăzi. Analiza atât de aclamatei «big data», bine cunoscută prin cei patru „V” (volum, viteza, varietate și veridicitate) necesită adăugarea a două noi componente: contextul de provenienţă a datelor și cultura lor. Da, doar aceasta din urmă ar putea îmbogăţi ulterior analiza tehnico-știinţifică, cu intenţia de a extrage informaţii utile pentru a identifica suficient de devreme presiunea socială care a determinat un anumit utilizator să facă un act

Cum este posibil ca în pragul celei de a patra revoluții industriale, caracterizată prin atât de aclamata inteligență artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?

specific de comunicare. În această privinţă, o abordare interesantă ar putea combina algoritmii de «inteligenţă artificială», etapele de «machine learning», și procesele de organizare a informaţiilor propuse de «big data analytics». O convergenţă strategică, dar și ambiţioasă, deoarece rezultatele de astăzi, din păcate, sunt clare: radicalizarea și propaganda nu pot fi identificate în mod automat, în forma lor completă.
Și exact aici se ascund oportunităţi importante de dezvoltare, extrem de interdisciplinare, pentru cine are ca profesie datoria să se gândească la soluţii inovatoare și eficiente. Datorită evenimentelor dramatice din ultimele luni, nu ne mai putem permite luxul de a aștepta repornirea sistemului, pentru ca problema să se rezolve «magic» singură. Din punctul meu de vedere, fiecare dintre noi în mediul său social și profesional, este titularul unei părţi mici, dar importante a soluţiei, care pentru a da roade bune va trebui neapărat împărtășită și acceptată în ansamblu. De fapt, trebuie să învăţăm de la adversarii noștri, eficacitatea lor își are rădăcinile, chiar dacă dramatice, periculoase și deplorabile, într-un singur teren comun mare, partajat și apărat la nivel mondial.

autor: Alessandro Trivilini,
șef al Laboratorului de criminalistică (forensics) al SUPSI

Dr. Alessandro Trivilini este șeful Laboratorului de criminalistică al SUPSI, creat în colaborare cu poliția și Magistratura cantonului Ticino. În cadrul SUPSI, el este și profesor de inginerie software, criminalitate informatică și securitate a informațiilor. Autor al mai multor cărți și publicații științifice, a lucrat în Silicon Valley (California) ca inginer software în domeniul securității aeroporturilor. El are un doctorat cu onoruri conferite de Politehnica din Milano în domeniul inteligenței artificiale, cu aplicare în domeniul criminalistic și la tr ibunale. El participă ca chairman și speaker la conferințe și congrese naționale și internaționale pe probleme de securitate cibernetică și criminalistică digitală. Din 2016, este membru al Comitetului științific internațional al IMA World Maintenance Forum pentru probleme de securitate cibernetică.

237

Tocmai când atacurile prin DdoS (Distributed Denial of Service) păreau să devină, în ultimii ani, doar nişte întâmplări deranjante minore, cel mult iritante, mai multe evenimente recente au demonstrat că acestea revin în forţă. Unul dintre ele, de o gravitate particulară, a avut loc în Franţa în septembrie 2016, când un important host de servere, OVH, s-a confruntat cu tentative de paralizare a reţelei prin atacuri de ordinul a 1 Tbps (TeraBits per Second). Densitatea fluxului de saturaţie a bandei este remarcabilă, însă alimentarea acestuia este cea mai îngrijorătoare. Anchetele au arătat că acest atac ar fi fost facilitat de camerele de supraveghere IP (Internet Protocol) cu protecţie slabă sau inexistentă. Iar camere de supraveghere IP egal Interneul obiectelor (Internet of Things).
Problematica Internetului Obiectelor în materie de securitate informatică se compune din două ramuri: una care priveşte explozia lor demografică, ajungând de la 8 miliarde în 2010 la probabil 80 de miliarde în orizontul de timp 2020 (potrivit biroului de studii IDATE); cealaltă priveşte securizarea acestora. Ambele ramuri sunt corelate: cum poate fi securizat în mod eficient un fenomen în plină expansiune, deci în perpetuă schimbare? Iar aici încep să intervină automobilele viitorului.
Constructorii consacraţi cum sunt giganţii sectorului digital plănuiesc deja cu seriozitate maşina autonomă a viitorului, adică pilotată cu ajutorul inteligenţei artificiale. Or inteligenţa artificială presupune delegarea parţială şi apoi totală a condusului. Acest lucru nu se poate realiza decât dacă vehiculul este capabil să garanteze respectarea celui mai fiabil itinerariu selectat, iar pentru ca acesta să fie în conformitate cu ordinul
de plecare trebuie ca vehicului să fie în permanenţă conectat cu mediul său şi cu câteva relee de comunicare. Iar dacă vehiculele anilor 2000-2015 dispuneau de o bază de date preinstalată şi integrată în ecranul de control, permiţând orientarea şoferului uman, provocarea constructorilor este de acum de a furniza o bază de date auto-evolutivă şi actualizată care să poată răspunde la mai multe cerinţe specifice cum ar fi o modificare a itinerariului datorată unui ambuteiaj temporar sau căutarea spaţiului de servicii cu tarifele cele mai avantajoase pe o rază de x kilometri. Aceasta reprezintă prima etapă înspre un stil de condus autonom dinamic (1).
Acest stil de condus va necesita un flux de informaţii actualizate, pe o paletă care porneşte de la petrecerea timpului liber (de exemplu: semnalarea unui festival care are loc în apropierea itinerariului vehiculului) şi până la securitate (de pildă: rută temporar inaccesibilă din cauza inundaţiilor). În acest scop, pot fi definite cinci categorii:

  • Infodivertismentul (semnalarea punctelor de interes turistic în jurul poziţiei sau softuri de divertisment integrate pe ecranul de control)
  • Interacţiunea cu vehiculul (indicarea consumului bateriei sau permiterea de apeluri către centrul de asistenţă al constructorului)
  • Asistenţă în timpul condusului (stil de condus ecologic sau planificarea i tinerariului)
  • Securitatea proprie a vehiculului (plată la distanţă a locurilor de parcare sau serviciu de geolocalizare pentru a situa un vehicul închiriat)


Şi totuşi, care este legătura între aceste vehicule conectate şi camerele IP amintite la începutul articolului? Simplu: acestea urmăresc aceeaşi cale îngrijorătoare.
Numărul lor va creşte în anii următori, iar anumite exemple ridică întrebări legitime. Se poate menţiona cu precădere un exemplu care a stârnit un scandal în presa de specialitate: doi cercetători în domeniul informaticii, Charlie Miller şi Chris Valasek, au reuşi să interacţioneze la distanţă cu un Jeep Cherokee (2), putând să întrebuinţeze după bunul plac toate elementele de la bordul acestui 4X4: de la sistemul de climatizare la frâne şi direcţie, totul de la o distanţă de circa 10 mile (16 kilometri). Grupul Fiat-Chrysler a luat în serios această demonstraţie şi le-a cerut utilizatorilor să corecteze acest punct slab al securităţii informatice prin adăugarea unui patch. Această preluare a controlului poate fi şi mai insidioasă, aşa cum s-a demonstrat prin modificarea substanţială a unui itinerariu ales pe harta de navigare digitală. Disecat, sistemul Uconnect reprezintă un ansamblu de funcţii care permit atât navigarea cât şi redarea de muzică sau efectuarea unui apel telefonic. Acest sistem electronic multifuncţional, regăsit mai mult sau mai puţin şi la alte grupuri din acest sector, nu este decât o poartă de intrare pentru o persoană răuintenţionată.

Punct ele de intrare/ieşire care pot fi posibile puncte slabe ale vehiculelor moderne sunt:

  • Portul OBD (On Board Diagnostics)
  • Modemul 4G/LTE (Long Term Evolution)
  • Bluetooth-ul
  • CAN (Controller Area Network) Bus/VAN (Vehicle Area Network) Bus
  • Cipul RFID (Radio Frequency Identification)
  • Cititorul CD/DVD

Aceste puncte slabe nu sunt întotdeauna datorate neatenţiei sau refuzului de a lua măsuri de s ecurizare din partea fabricanţilor sau a subcontractorilor acestora. Multe puncte slabe ale softurilor sunt de fapt necunoscute (Zero Day) şi sunt corectate odată ce se află de existenţa lor. Doar că inventivitatea piraţilor şi multiplicarea punctelor de acces la vehicule moderne complică mult munca personalului însărcinat cu eradicarea lor. În plus, cererea şi obiceiul consumatorilor de a dispune de un ansamblu de funcţiuni în interiorul vehiculului face imposibilă limitarea lor tehnică; nici nu se pune problema dezactivării funcţiilor electronice care ajută la stabilizarea vehiculului în orice situaţie.
În aceste condiţii, piaţa în creştere a vehiculelor conectate va fi integrată cu uşurinţă în Internetul Obiectelor, deoarece acestea vor comunica şi interacţiona în funcţie de pasager şi de bornele statice şi mobile. Diferenţa dintre piratarea unei camere IP şi cea a unui automobil conectat constă în faptul că, în cazul în care nu funcţionează cel de-al doilea sistem de preluare a controlului, riscul unui accident mortal devine extrem de ridicat atât pentru conducător şi pasageri, cât şi pentru alţi utilizatori. Este un pericol real care a atras atenţia multor constructori şi proiectanţi de echipamente care încearcă să elimine problema prin atingerea unui prag de risc minim, de pildă prin implementarea unor iniţiative în colaborare care îşi propun schimburi de informaţii şi reîntoarcerea cercetătorilor în domeniul securităţii informatice precum şi a societăţilor creatoare de antiviruşi şi de firewalls (de exemplu, cazul Auto-ISAC [Information Sharing and Analysis Center] sau EVITA [E-safety Vehicle Intrusion Protected Applications]). Acest lucru este o necesitate deoarece munca este herculeană: se estimează, o maşină conectată conţine aproape 100 de milioane de linii de cod, iar un avion de vânătoare modern doar 8 milioane.
Aceste schimburi între diferiţi actori din domeniu ar trebui să permită nu doar creşterea nivelului de securitate, ci şi protejarea deţinătorilor de secrete tehnologice de furtul unor elemente cruciale. Iar dacă preluarea controlului de la distanţă a unui vehicul reprezintă un risc major, cel al unei sustrageri de date tehnice nu poate fi evitat, iar aceste date privesc atât conducătorul cât şi detaliile electro-magnetice ale mijlocului său de transport.
Totuşi, nu trebuie să uităm că primul mijloc de apărare în domeniul securităţii informatice rămâne tot utilizatorul preocupat de protejarea propriului bun… şi a propriei vieţi.
(1) Un vehicul autonom nu este neapărat conectat, acesta poate de exemplu să folosească diferiţi captatori şi camere integrate (ca de pildă LIDAR [Light Detection And Ranging]) în procesul de mişcare, pentru a se orienta în spaţiu. Totuşi, eficienţa sa depinde de o anumită limită geografică şi de activitatea de condus. În plus, vehiculul nu comunică cu obiec tele din jurul său: recepţionează informaţie fără însă s-o emită. Condusul a utonom dinamic presupune un schimb de date în timp real. De asemenea, un vehicul conectat nu e obligatoriu autonom, fie pentru că nu s-a selectat opţiunea de delegare a condusului, fie că aceasta nu este disponibilă pe respectivul model.
(2) În 2013, o Toyota Prius şi un Ford Espace au fost de asemenea piratate; cu toate acestea, procedura a necesitat prezenţa în interiorul maşinilor a doi specialişti, r ealizându-se astfel prin cablu şi nu de la distanţă. În 2015, s-a făcut o demonstraţie de piratare de la distanţă.

Andy Greenberg, Hackers remotely kill a cutjeep on the highway – with me in it, Wired, 21 juillet 2015 – https://www.wired.com/2015/07/
Auto-ISAhttps://www.automotiveisac.com/
EVITA Projecthttp://www.evita-project.org/

autor: Yannick Harrel

Expert și lector în Cyberstrategy la Business & Finance School din St rasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în implementarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septembrie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnologii, comunic are și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.
Numărul

EDITIE SPECIALA – INTERNET OF THINGS

1652
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1393
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2473
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1486
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1422
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1445
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...