Monday, December 17, 2018
Focus

289

Analiza atacurilor cibernetice identificate în perioada ultimilor 2-3 ani evidențiază în primul rând faptul că modalitatea în care este abordată în prezent securitatea infrastructurilor atacate nu este eficientă, iar răspunsurile adecvate nu par a fi prezente nici în ofertele de tehnol ogii și servicii pe care le generează piața globală de profil, nici în măsurile legislative și administrative ale guvernelor.
Această concluzie poate fi susţinută prin analiza calitativă și cantitativă a volumelor uriașe de date generate de platformele dedicate colectării de alerte privind incidentele de Securitate cibernetică care au loc la nivel global. Evoluţia calitativă a atacurilor relevă o utilizare în creștere a unor tipuri de malware din ce în ce mai greu de detectat, indiferent de soluţiile tehnologice destinate detecţiei utilizate la nivelul infrastructurii atacate, iar evoluţiile cantitative generează din ce în ce mai multe date, pentru analiza eficientă a cărora majoritatea instrumentelor tehnologice existente nu demonstrează decât cel mult o valoare adăugată pentru investigaţia postincident.

Nu mi-am propus o analiză a statisticilor din ce în ce mai numeroase care descriu incidentele/atacurile ce se derulează online în ultima perioadă și nici redactarea unei analize tehnice, ci voi încerca să argumentez o potenţială soluţie care ar permite îmbunătăţirea răspunsului mediului de afaceri la ameninţările cibernetice reale, inclusiv printr-un model de business sustenabil și cu efecte directe în costurile pe care le implică reducerea riscurilor de Securitate cibernetică.
Unul dintre factorii care permit atacatorilor, indiferent de natura și motivaţia acestora, să extindă un anumit tip de atac asupra mai multor categorii de infrastructuri din același domeniu de activitate este lipsa de comunicare reală la nivelul segmentului de business ameninţat. De regulă, și aici exemplul cel mai bun este domeniul financiar-bancar, comunicarea între companiile care activează într-un mediu competitiv este limitată, motivele fiind lesne de înţeles. Există numeroase exemple în perioada ultimilor ani când, dacă o bancă care a fost victima unui atac cibernetic reușit ar fi transmis comunităţii date descriptive minimale referitoare la incident

(ex: indicatori de compromitere) – care sub nicio formă nu ar putea conduce la afectarea obiectivelor de afaceri și nici nu ar fi prejudiciat aplicarea reglementărilor privind confidenţialitatea adoptate în domeniul bancar, ar fi fost evitate atacuri similar îndreptate cu succes ulterior asupra altor bănci.

Trecând peste necesitatea implicării autorităţilor de reglementare, dar luând în calcul efectele imediate și pe termen lung ale măsurilor de reglementare care sunt în curs de implementare la nivel national și la nivelul UE (Ex: Directiva NIS, Data Protection), care vor genera efecte pozitive asupra nivelului general de Securitate cibernetică, voi încerca să aduc câteva argumente pentru ca, de exemplu băncile, urmând alte exemple din trecut (ROMCARD, Biroul de Credit etc.) care au fost generate tot ca răspuns la realităţi pe care nu le-au mai p utut ignora, să se organizeze singure, beneficiul final fiind controlul r iscurilor de Securitate și al banilor aruncaţi uneori pe soluţii tehnologice și servicii care se dovedesc inutile într-o situaţie reală: \

  • Constituirea unei structuri de tip CERT private va fi sub controlul total al acţionarilor – orice decizie privind serviciile oferite, structura funcţională, investiţiile și costurile operaţionale;
  • Constituirea într-o structură privată poate fi susţinută pe un model de business, astfel încât, pe baza unei guvernanţe coerente și exploatând nevoia de servicii de pe piaţa de profil, CERT-ul financiar poate deveni o entitate care se autofinanţează într-o perioadă scurtă de timp și de ce nu, în timp, generatoare de profit;
  • Obiectivul principal al unui CERT privat în sectorul financiar bancar este schimbul de informaţii în timp real la nivelul întregului sector, astfel încât să fie asigurat un răspuns adecvat la orice potenţială ameninţare cibernetică;
  • Cooperarea informală și formală cu sectorul public (CERT-RO, CyberINT etc.) ar putea fi realizată prin intermediul acestei platforme, unice, la nivelul întregului sector bancar;
  • Colectarea de date cu un nivel de calitate ridicat referitoare la ameninţările cibernetice care afectează domeniul financiar-bancar poate constitui baza pentru constituirea unui sistem de alerte bazat pe analize proprii, conţinând date validate și evaluări realiste ale riscurilor la care este expus sectorul financiar-bancar din România, evident și prin raportare la contextul global;
  • În cadrul CERT-ului privat se pot dezvolta capabilităţi tehnologice și expertiză specifice avansate de răspuns la incidente de securitate cibernetică, care ar putea completa în situaţii de criză, capabilităţile proprii dezvoltate la nivelul fiecărei entităţi din sistem;
  • Având în vedere perspectiva obligativităţii realizării managementului și raportării incidentelor de Securitate cibernetică la nivelul întregului sistem financiar b ancar, identificat ca furnizor de servicii esenţiale în noua Directivă NIS, o structură de tip CERT susţinută de întregul sector ar putea contribui la eficientizarea gradului de conformitate cu cerinţele legale și costurilor aferente acestui proces;
  • Diversitatea tehnologică care există în sectorul f inanciar-bancar în raport cu soluţiile utilizate pentru reducerea riscurilor de Securitate cibernetică creează dificultăţi majore în ceea ce privește transmiterea de informaţii tehnice între diferite entităţi. Ca și în cazul comunităţilor de tip CERT guvernamentale, utilizarea unor comunicări standardizate poate crea un limbaj comun pe acest segment de activitate, având ca obiectiv final creșterea capacităţii de răspuns la atacuri cibernetice la nivelul întregului sector de business;
  • Nu în ultimul rând, cooperarea la nivel international cu structuri similare este un proces care ar aduce beneficii evidente, atât în perioadele de operare normală, cât și, în special, în situaţii de risc, natura distribuită și globală a unora dintre atacurile cibernetice cu grad ridicat de risc făcând din cooperarea internaţională, bazată pe criterii clare de încredere, un factor decisiv privind capacitatea de protejare reală a infrastructurilor informatice și de comunicaţii utilizate pe scară din ce în ce mai largă în sectorul financiar bancar.
autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

343

În ultimii 25 de ani, de la apariția web-ului, asistăm la formarea unei „lumi paralele”, incompletă deocamdată, pentru că nu tot ce există în lumea reală are deja un omolog în spațiul cibernetic. Lumea virtuală a schimbat totul: comunicarea, accesul la informații, învățarea, cercetarea, asistența medicală, comerțul, administrarea afacerilor, transportul și administrația publică, și cel mai important: ne-a schimbat comportamentul. Doar motivațiile se păstrează, pentru că acțiunile își au originea și efectele în lumea reală, chiar dacă mijloacele sunt parțial sau integral electronice.

Civilizaţia noastră are câteva mii de ani vechime și nu este nici pe departe perfectă, spaţiul cibernetic are doar 25 de ani, deci nu putem avea pretenţia să fie dominat de echilibru si armonie. Mai mult, nu exista nicio barieră, tehnologică sau morală, care să permită doar aspectelor „bune” ale vieţii reale să-și dezvolte un „alte-ego” electronic, și asta ar putea fi o explicaţie, puţin filosofică, pentru ameninţările care nu au întârziat să apară, să se manifeste și să evolueze în spaţiul cibernetic.

autor:
Toma Cîmpeanu

CEO Asociaţia Naţională pentru Securitatea Sistemelor Informatice

Venind în completarea multitudinii de articole puternic teoretizate, prin seria de materiale pe care v-o propunem dorim să explicăm și să exemplificăm manifestările și consecinţele infracţiunilor cibernetice.

Dintre principalele evoluţii voi menţiona aici două:

1 Entitățile ostile: în locul programatorului care concepea un virus de „amoru’ artei” sau ca să demonstreze „că poate”, au apărut grupările de criminalitate informatică, transfrontaliere și multidisciplinare, care urmăresc câștiguri materiale în această „industrie” cu o rată de profitabilitate estimată la 1500%, grupările hacktiviste și teroriste, precum și actorii statali, singurii care dispun de capabilităţile tehnice și resursele financiare pentru realizarea de malware sofisticat. Din acest punct de vedere, România, ca parte a NATO și UE, se confruntă cu aceleași ameninţări ca și aliaţii noștri.

(IBM X-Force)

2 „Industria” Cybercrime se maturizează și apare specializarea. Identificăm acum finanţatori, proiectanţi/dezvoltatori, distribuitori și cumpărători. De asemenea, asistăm la dezvoltarea Cybercrime-as-a-Service în tandem cu finanțele subterane: o piaţă neagră pe care se comercializează atât instrumentele de atac cibernetic (care se pot achiziţiona sau închiria) cât și rezultatele, să le spunem „roadele” infracţiunilor cibernetice; și pentru că nimic nu este gratis, infractorii cibernetici apelează la instrumente de plată și optează pentru cele care asigură anonimatul, ireversibilitatea si viteza transferului. Pentru că există o astfel de piaţă, infractorii cibernetici din ziua de azi nu mai au nevoie de cunoștinţe tehnice specializate ci doar de un card de credit, putând să achiziţioneze malware ca atare sau să angajeze serviciul de exploatare/utilizare al acestuia (mai jos vor fi oferite exemple concrete).

Cybercrime-as-a-Service îmbracă mai multe forme (o clasificare McAfee):

– Reasearch-as-a-Service – în acest caz nu se poate vorbi neapărat de o piaţă neagră, ci mai degrabă gri. Aici regăsim organizaţiile care identifică și prezintă vulnerabilităţi 0-day către companii selectate după anumite criterii de eligibilitate. Totuși, nu se exclud intermediarii care nu mai aplică aceleași criterii stricte, informaţia putând ajunge la entităţi care o folosesc ulterior în scopuri infracţionale. De asemenea, în aceeaşi categorie includem agregarea de informaţii în baze de date care sunt ulterior folosite în alte scopuri decât cele declarate iniţial. Astfel, în oferta unor adevărate magazine virtuale ilegale găsim:

– Crimeware-as-a-Service – identificarea și dezvoltarea de kit-uri de exploatare, instrumente suport (keyloggers, bots), soluţii de mascare a conţinutului malware (cryptors, polymorphic builders), roboţi și chiar dispozitive hardware conexe (skimmers).

– Cybercrime Infrastructure-as-a-Service – odată ce infractorii cibernetici obţin instrumentele necesare, pentru atacul propriu-zis aceștia pot închiria reţele de calculatoare pentru un atac DDoS, pentru transmiterea cu succes a unui număr uriaș de emailuri, sau pot accesa platforme pe care să-și hosteze conţinutul malware.

– Hacking-as-a-Service – având un cost superior alternativei în care se achiziţionează componentele individuale, „cumpărarea” unui atac reprezintă varianta care necesită cele mai puţine cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credenţiale, date despre cardurile de credit etc.

Finanțele subterane s-au dezvoltat în special pentru că infractorii (și nu ne rezumăm la cei cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.

Economia digitală subterană, ca orice economie, se bazează pe fluxul liber de fonduri. Varietatea mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază faţă de lumea reală, plăţile fizice fiind efectuate către monede digitale nedetectabile.

Multe mecanisme de plată cu aspect important on-line oferă un număr de caracteristici care le face atractive ca și instrument financiar pentru organizaţiile criminale – anonimatul, transferuri rapide, ieftine și ireversibile și tranzacțiile financiare disimulate.

În multe privinţe, unele mecanisme de plată pot oferi un nivel de anonimat similar banilor lichizi, dar într-un mediu on-line. Europol a realizat o statistică privind mijloacele de plată preferate pentru anumite tipuri de operaţiuni:

Exemplu – economia phishing-ului

Phishingul este una dintre cele mai des întâlnite infracţiuni informatice, urmărind obţinerea unor informaţii personale care ulterior să fie folosite pentru obţinerea de foloase materiale. Phishingul imbracă multe forme, în exemplu ne vom referi la situaţia unui infractor fără cunoştinţe tehnice profunde dar cu abilităţi de navigare în darknet, acolo unde se găsesc magazinele virtuale amintite mai sus (este un exemplu mult simplificat, care surprinde însă principalele aspecte specifice).

Am văzut că acesta poate achiziţiona o bază de date de 10 milioane de adrese de mail din Florida cu mai puţin de 1000 dolari. Către aceste adrese transmite un mesaj email în care pretinde că este un reprezentant al statului, dintr-o instituţie de supraveghere bancară reală, şi solicită cetăţenilor să-şi introducă datele privind contul și cardul, pentru a valida informaţiile transmise de bănci.

Un astfel de mail este în general blocat de filtrele anti-spam în proporţie de 99% (conform CISCO Annual Report 2015), aşa că, pentru a diminua efectul filtrelor, subiectul nostru achiziţioneză cu aproximativ 5000 dolari un mecanism de livrare emailuri de pe un număr mare de adrese IP (volum mic per adresă IP; așa numitul spam snowshoe). Rata de succes în acest caz este de 10% (filtrele opresc doar 90%, sursă www.getcybersafe.ca).

Evident, nu e suficient ca email-ul să ajungă la destinatar, ci trebuie să fie suficient de credibil (și destinatarul suficient de naiv) ca să-l determine să-și transmită datele. Jumătate din mail-uri sunt deschise și 10 % dintre destinatari dau click pe link-ul din mail (www.getcybersafe.ca).

Așadar, infractorul din acest exemplu trebuie sa-și construiască o pagină web care să semene cat mai mult cu cea originală, a instituţiei de supraveghere bancară a carei identitate o asumă, iar numele de domeniu sa fie de asemenea foarte asemănător. Pentru toate acestea considerăm un cost de 10.000 dolari. Pe această pagină, destinatari care au fost păcăliţi îşi vor lăsa datele privind cardurile şi conturile lor. Dintre cei care ajung pe pagina web, doar 10% îşi completează datele, natura infomaţiilor îi descurajează pe cei mai prudenţi 90% (www.getcybersafe.ca).

În cazul nostru concret, infractorul fără studii de specialitate obţine 5.000 de seturi de date privind carduri bancare, pe care le comercializează, la rândul său, de data aceasta de pe poziţia de vânzător şi nu de cumpărător (ca până acum), prin magazinele virtuale ilicite din darkweb, obţinând în medie 60 dolari/buc conducând la un total de 300.000 dolari.

Conform statisticilor Europol, în acest caz plăţile se fac cel mai adesea în Bitcoin.

Așadar:

  • 10 milioane de adrese mail – achiziționate inițial cu 1000 dolari
  • 1 milion de mail-uri ajung la destinație (10%, prin spam snowshoe, cost expediere 5000 dolari)
  • 500.000 mail-uri sunt deschise (jumatate dintre cele care trec de filtre)
  • 50.000 de destinatari acceseaza adresa web din email (10% dintre cei care deschid mail-ul)
  • 5.000 de destinatari introduc datele solicitate în pagina web (10% dintre cei care ajung pe pagina web falsă)
  • Cost pagină web 4=10.000 dolari Obs. Procentul celor păcăliți este de 0.05% din totalul destinatarilor
  • 5.000 de seturi de date privind carduri bancare = 300.000 dolari (60 dolari/buc)

Sumarizând:

  • Total investiție = aproximativ 16-20.000 dolari • Venituri = 300.000 dolari
  • Profit = 1500%!

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft. De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național „România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

176

Cifrele sunt îngrijorătoare. Activitățile ce țin de criminalitatea cibernetică vor provoca pagube de 2.000 de miliarde de dolari până în 2019, potrivit estimărilor analiștilor de la Juniper Research.
Ameninţările de tip ransomware au provocat daune de peste 200 milioane de dolari în primele trei luni ale anului 2016, conform datelor publicate de FBI. Cifrele reflectă numărul de plângeri oficiale raportate către FBI, număr care reprezintă doar o parte din totalul incidentelor reale. Motivul este evident – cele mai multe companii sunt reticente în a recunoaște public că sistemele de s ecuritate le-au fost compromise și că au cedat tentativelor de șantaj, plătind sume exorbitante pentru a recupera accesul la date confidenţiale.
Forumul Economic Mondial atrage atenţia asupra faptului că o mare parte din activitatea hackerilor trece neobservată, în special în zona spionajului industrial unde accesul la documente confidenţiale e dificil de detectat.
Drept urmare, victimele sunt îndemnate să raporteze cazurile de infecţii pentru a oferi o imagine de ansamblu asupra magnitudinii ameninţării de tip ransomware și a impactului pe care îl are asupra utilizatorilor și organizaţiilor.

Organizații păgubite

În ultimele luni s-a înregistrat o creștere a numărului de atacuri de tip ransomware, în special asupra companiilor mici și medii din domeniul financiar, al securităţii și al sănătăţii publice.
Spitalele au fost ţinte predilecte. În februarie 2016, un spital din Los A ngeles, SUA, a plătit echivalentul în Bitcoins a 17.000 de dolari pentru a redobândi accesul la reţeaua internă și la datele criptate de hackeri. Iniţial, aceștia au cerut 3,4 milioane de dolari, dar în urma negocierilor, hackerii au acceptat o sumă mai mică.
Spitalul Metodist din Kentucky, Chino Valley Medical Center și Desert Valley sunt alte câteva instituţii medicale care au fost infectate cu Locky, un tip de ransomware extrem de rezistent, apărut la începutul anului 2016. În Germania, spitalele Lukas și Klinikum Arnsberg au fost atacate de ransomware, dar au refuzat ferm să plătească răscumpărarea.
Principalele motive pentru care spitalele sunt mai ușor de atacat decât alte companii ţin de ineficienţa sau chiar inexistenţa unor sisteme de securitate competente care să protejeze datele extrem de sensibile ale pacienţilor. Odată compromise, informaţiile despre pacient pot fi vândute pe piaţa neagră. Conform companiei de raportare de credite Experian, ra poartele medicale sunt de zece ori mai valoroase și, prin urmare, mai scumpe decât cardurile de credit.
Dar infractorii nu discriminează, ei vizează orice tip de organizaţie care stochează sau are acces la date valoroase. O echipă din circuitul NASCAR a plătit pentru a recupera informaţii cheie în valoare de două milioane de dolari, după ce a fost ţinta lui TeslaCrypt, o altă versiune de ransomware. Cauza este lipsa unui plan de backup al datelor dar și a cunoștinţelor necesare pentru a alege o soluţie de securitate potrivită.

De unde vin banii

Un studiu realizat de Bitdefender în noiembrie 2015 arată că 48% dintre românii victime ale clasei de viruși ransomware au plătit pentru a-și recupera datele personale de pe terminalul blocat. Românii spun că ar plăti în primul rând pentru programele software din computer, urmate de documentele de serviciu și de fotografiile personale. Suma medie pe care ar fi dispuși să o plătească este de 550 de lei.

Fig. Suma pe care utilizatorii ar plăti-o pentru a-și recupera datele, per țară

Cât privește companiile, se pare că acestea au fluturat deja steagul alb, contrar recomandărilor primite de la specialiști, de a nu ceda presiunilor din partea hackerilor. Studiile realizate de Citrix în Marea Britanie arată că acestea cumpără valută virtuală pentru a putea satisfice cererile hackerilor î ntr-un timp cât mai scurt, în cazul în care devin victimele criminalilor informatici.

Ce ne așteaptă în 2017

Dezvoltatorii clasei de ameninţări ransomware nu au niciun motiv să se oprească aici. Noi variante se vor dezvoltă în 2017, dat fiind că virusul este ușor de programat pe multiple platforme, este depistat cu dificultate de soluţiile de securitate și produce daune financiare importante.
Este de așteptat ca malware-ul să se extindă și mai mult pe platforme mobile precum Android și pe alte sisteme de operare (OS X și Linux). În prima jumătate a anului 2016, la nivel global, ransomware-ul a reprezentat principala ameninţare cibernetică care ţintește sistemul Android, conform statisticilor Bitdefender. De exemplu, familia de viruși SLocker reprezintă jumătate din amenintările pe mobil în Danemarca și un sfert în ţări precum Germania, Australia și Marea Britanie.
Acest lucru este îngrijorător în contextul în care telefoanele mobile, tabletele și dispozitivele Internet of Things personale se conectează, cu sau fără știrea departamentului IT, în reţeaua companiei. Orice dispozitiv care prezintă vulnerabilităţi de securitate poate deveni astfel o cale de acces către alte resurse critice – informaţii financiare ale clienţilor sau sisteme care supraveghează procesul de producţie.
Prin urmare, companiile de toate dimensiunile trebuie să conștientizeze riscurile și faptul că pot fi ţinta unor atacuri care să le pericliteze integritatea reţelei, dar mai ales reputaţia și cifra de afaceri, dacă nu respectă normele de securitate esenţiale: implementarea unei soluţii de securita te specifice mediului de business, dezvoltarea de politici interne pentru limitarea accesului la date confidenţiale și pentru impunerea folosirii unor parole sigure, dar și educarea angajaţilor cu privire la ameninţări cibernetice care îi vizează în mod direct.

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnicoprofesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

autor: Alexandra Gheorghe

Specialist în securitate cibernetică. Raportând tendinţele şi progresele la nivel global în materie de securitate informatică, Alexandra scrie despre epidemiile de malware şi incidentele de securitate, în strânsă colaborare cu departamentul tehnic şi de cercetare al Bitdefender. Redactor al blogurilor hotforsecurity.com şi businessinsights.bitdefender.com.

392

Așa cum unii dintre voi au aflat, prin informații fragmentare și, din păcate, adesea greșite, o nouă doctrină de securitate informațională rusă (Доктрина информационной безопасности Российской Федерации) a apărut oficial la data de 5 decembrie 2016.

O primă precizare utilă: nu este vorba în niciun fel de prima doctrină de acest fel publicată de către autorităţile Federaţiei Ruse. Comentatorilor pripiţi le sugerez studierea lucrării mele Ciberstrategia rusă, în care cazul din 9 septembrie 2000 este disecat de la prima până la ultima literă.

A doua precizare, la fel de necesară: atunci când se citează un text, este de bonton să se indice sursa exactă, cu atât mai mult cu cât acest text este într-o limbă străină. Din păcate, boala copierii la scară mare a informaţiei principale (numită în mod obișnuit și copy-paste) are ca efect principal și nefast trecerea în plan secund a acestei necesităţi.

Expertul este surprins în primul rând de concizia textului, care nu are nicio legătură cu compilaţia greoaie de articole care caracterizează prima lucrare, alcătuită din patru părţi și a cărei lectură era îngreunată de redundanţe și schimbări de perspectivă.

Apoi, încă de la început, se oferă o definiţie a ceea ce autorităţile numesc spaţiu informaţional, cu menţionarea expresă a reţelei de Internet (fără totuși a se limita la aceasta). Aceasta reprezintă o diferenţă radicală faţă de textul iniţial, care nu menţiona Internetul în niciun fel, păstrând un ton neutru în plan tehnologic, întrucât, fără a atribui o definiţie completă, redactorii optaseră pentru o enumerare a sectoarelor și punctelor tehnice vizate.

În prezent, abordarea diferă în mod semnificativ și, fără a pierde din vedere orientarea generală, evocă de câteva ori și reţelele sociale.

Prin urmare, definiţia dată este următoarea: „Sfera informaţională trebuie înţeleasă ca un ansamblu de obiecte, de sisteme, de site-uri de Internet, de reţele de telecomunicaţii, de tehnologii, de entităţi a căror funcţie este formarea și procesarea informaţiei, procesarea și dezvoltarea tehnologiilor aferente, securitatea informaţiei, precum și mecanismele de reglementare a relaţiilor publice”.

Continuarea este, în cele din urmă, o menţinere a principiilor stabilite de către doctrina instituită în 2000, cu menţionarea expresă a apărării intereselor naţionale, cu precădere în cadrul sferei informaţionale. Precizarea este departe de a fi banală: încă din articolul 2 sunt evocate cele trei niveluri ale acestei securităţi informaţionale; în timp ce viziunea americană este bazată pe cele trei straturi (software, hardware, informaţional), alter-ego-ul ei rus se bazează pe un triptic alcătuit din individ, societate și stat. Această structură era deja prezentă în textul de acum șaisprezece ani, însă nu în mod distinct. Această particularitate este, de altfel, amintită la punctul 20.

În materie de securitate informaţională, se propune o definiţie relativ stufoasă, însă care a beneficiat de analize în textele ultimilor ani: „Securitatea informaţională reprezintă implementarea mijloacelor juridice, organizaţionale, operaţionale, de investigaţie, de analiză, de informaţii, de contra-informaţii, tehnologice și știinţifice menite să prezică, să detecteze, să disuadeze, să prevină și să respingă ameninţările sau să înlăture consecinţele acestora”.

Pentru a confirma această coerenţă, se menţionează și că această doctrină, în afară de faptul că o reactualizează pe cea din 2000, apare cronologic după Strategia de Securitate Naţională a Federaţiei Ruse din 31 decembrie 2015 (Стратегия национальной безопасности Российской Федерации).

Textul explicitează apoi care sunt interesele Federaţiei Ruse în sfera informaţională. Nicio lipsă de continuitate faţă de elementele formulate în 2000, doar câteva precizări, cu accentuarea necesităţii de a utiliza tehnologiile informaţiei nu doar pentru a îmbunătăţi democraţia și relaţiile între societatea civilă și stat, dar și pentru a păstra însăși esenţa Rusiei, și anume patrimoniul său cultural, natural, spiritual și moral și spaţiul său multi-etnic. Acest apect reiterat trădează viziunea civilizatoare proprie a textelor ruse, în timp ce în statele occidentale această caracteristică este adesea disimulată.

Stabilirea ca obiectiv a dezvoltării industriei tehnologiilor informaţiei și electronicii ruse amintește de un document trecut neobservat cu ocazia publicării, dar esenţial atât ca fond cât și ca formă: Strategia de dezvoltare a industriei tehnologiilor informaţiei în Federaţia Rusă în perioada 2014-2020. În acest document, se insistă pe protecţia și dezvoltarea acestei industrii, enumerându-se și mijloacele de realizare a obiectivului, în special analizarea succesului companiilor americane și mobilizarea sectorului militaro-industrial. Textul din 2016 reprezintă o afirmare a acestui obiectiv strategic. Acest aspect e completat ulterior la articolul 17 printr-o menţiune cu privire la suveranitatea tehnologică, conform căreia aceasta trebuie să fie viabilă pentru o reţea de companii naţionale de talie critică în sectorul IT și cel al electronicii. Acest text apărut în 2014 a fost reluat la punctul 18, unde se constată cu regret că cercetarea în domeniile vizate nu este suficient de dezvoltată, împiedicând crearea unui cadru global de securitate informaţională.

Apoi se evocă necesitatea producerii unei informaţii mai precise pe subiectele legate de Rusia și de acţiunile sale, ai căror destinatari sunt atât publicul rusofon cât și cel internaţional. Acest obiectiv trimite automat cu gândul la structura Rossia Segodina, înfiinţată în 2013 prin fuziunea dintre Vocea Rusiei și RIA Novosti.

Obiectivul asigurării suveranităţii Rusiei este din nou evocat în text, în termen foarte lacunari, însă imperativi. Se amintește faptul că acest obiectiv trebuie atins printr-o coordonare la nivel internaţional. Lucru deloc surprinzător, căci Rusia depusese deja un text la secretariatul ONU în acest sens, și, în plus, susţine Uniunea Internaţională a Telecomunicaţiilor în astfel de demersuri. Aceste precizări sunt legate în mod direct de faptul că, de la intrarea în vigoare a legii federale N 242 FZ din 21 iulie 2014, datele privind cetăţenii ruși trebuie găzduite pe servere prezente fizic pe teritoriul naţionale. Iar dacă Google și Apple s-au conformat acestei exigenţe în aprilie și respectiv septembrie 2015, reţeaua profesională LinkedIn a fost deconectată de la reţeaua rusă la cererea expresă a autorităţilor ruse. Societăţile contraveniente sunt nevoite să închirieze servere ruse sau să și le delocalizeze pe ale lor în Federaţia Rusă.

Se enunţă dualitatea spaţiului informaţional și a tehnologiilor conexe: pe de o parte, un avânt al economiei și al îmbunătăţirii raporturilor dintre administraţie și cetăţeni, pe de altă parte, introducerea ameninţărilor specifice care pot destabiliza ţara.

Punctul 13 vizează în mod specific ameninţarea teroristă, individuală sau în grup organizat, care ar putea afecta spaţiul informaţional, iar aceasta este o noutate întrucât documentul din 2000 nu explicita problema acestei ameninţări într-un mod atât de clar. O astfel de ameninţare ar putea paraliza în mod critic infrastructurile sau ar putea difuza propagandă care să atenteze la interesele Federaţiei.

Apoi este detaliată infracţionalitatea cibernetică, în special ramura sa financiară. Situaţia era deja cunoscută și prevăzută încă din 2000, când instrumentele și reţelele nu erau atât de evoluate ca în prezent. Acest aspect nu putea să lipsească din noua doctrină, dat fiind că au avut loc anumite incidente în materie de infracţionalitate cibernetică ce au lovit instituţiile bancare în Rusia în noiembrie, respectiv decembrie 2016 (incidente precum cel de la Banca Centrală, cu două miliarde de ruble furate).

Cibernetica militară este menţionată de câteva ori, însă foarte pe scurt și fără vreun aport real faţă de alte texte oficiale dedicate acestui subiect și mult mai cuprinzătoare. Articolul 21 detaliază foarte puţin rolul securităţii informaţionale pentru forţele armate, sub patru aspecte: disuasiunea și prevenirea oricărui conflict care ar putea izbucni ca urmare a utilizării tehnologiilor informaţiei; îmbunătăţirea pregătirii și a mijloacelor legate de războiul informaţional în cadrul sectorului militar; pregătirea protejării intereselor Rusiei în spaţiul informaţional; neutralizarea operaţiunilor psihologice informaţionale ce vizează pervertirea patrimoniuluii patriotic și istoric legat de naţiunea rusă. Acest ultim element denotă interesul autorităţilor ruse cu privire la acest aspect al războiului, moștenire a unei lungi tradiţii sovietice în domeniu.

Articolul 23 reprezintă o expunere a acţiunilor de securitate statală în spaţiul informaţional necesar a fi implementate. În mare, lista este un rezumat al tuturor punctelor evocate anterior, de pildă cu privire la suveranitatea statului, la protecţia infrastructurilor informaţionale, la utilizarea contra-măsurilor pentru a nu se aduce atingere valorilor Rusiei, la preferinţa pentru produsele de tehnologie a informaţiei locale, cu ajutorul cărora să se asigure un nivel de securitate informaţională etc. Un punct laconic, dar care merită toată atenţia, este cel care se referă la vigilenţa privind actele unei forţe străine prin intermediul indivizilor, serviciilor speciale (a se citi: de informaţii) și organizaţiilor care ar putea folosi tehnologia informaţiei pentru a lansa ameninţări la securitatea statului. Acest punct reprezintă conștientizarea că ciberspaţiul, sau spaţiul informaţional, este capabil, prin intermediul actorilor săi, instrumentelor sale sau rezultatelor sale, să pună în pericol stabilitatea politică, economică, financiară și militară a unui stat.

Împletirea dintre securitatea informaţională și sectorul economic este tratată mai pe larg. Aici se pot regăsi și preocupările doctrinei din 2000 cu privire la necesitatea de a avea o industrie IT și electronică locală în scopul limitării importului de bunuri și servicii de origine străină. Articolul ar putea fi rezumat după cum urmează: protecţie, inovare, competitivitate și securitatea unei reţele naţionale industriale în domeniul tehnologiei informaţiilor. Termenul de preocupare nu este exagerat în ceea ce privește insistenţa acestei problematici prezente în mai multe texte oficiale începând cu anul 2000. Configuraţia este identică cu cea elaborată de teoreticianul și practicianul protecţionismului, Friedrich List, întrucât premisele sunt aceleași: protejarea companiilor dintr-un sector industrial nou, asistarea și favorizarea lor până când acestea ating un anumit grad de competitivitate, apoi, odată mature, lăsate să se confrunte cu piaţa mondială.

Această strategie pe plan economic este identică cu cea din domeniul educaţiei, formării și cercetării știinţifice. Este folosit același raţionament: crearea unei baze solide pentru ca domeniul respectiv să atingă nivelul de competitivitate dorit. Această similitudine nu este întâmplătoare, ci denotă o strategie globală prin care efortul nu este împărţit pe sectoare, ci pe etape de progresie.

În fine, există o voinţă mărturisită, identică cu cea precizată în 2000, de a promova o viziune comună internaţională asupra conceptului de securitate informaţională. În acest sens, se precizează că spaţiul informaţional este un câmp conflictual care ar putea fi folosit pentru destabilizarea statelor cu scopuri politico-militare. Suveranitatea Federaţiei Ruse se dorește a fi protejată prin încheierea de parteneriate și elaborarea unui cadru internaţional în materie de securitate informaţională. Un detaliu rămâne totuși imprecis: atunci când se sugerează un segment de gestionare naţională a reţelei de Internet (aspect care a mai fost menţionat o dată)1, se face referire la noul proiect de reţea naţională securizată asigurată de un sistem de exploatare suveran? Sau la îngrădirea sau, mai degrabă, filtrarea porţiunii ruse din reţeaua de Internet? Acest punct ar merita să fie explicitat ulterior de către autorităţi, întrucât subiectul este încă foarte restrâns, în acest stadiu, pentru formularea oricărei previziuni tangibile.

Articolul 30 și următoarele reprezintă în principal menţiuni juridice, iar în final este specificată atribuţia exclusivă a Președintelui Federaţiei Ruse în definirea orientării în materie de politică de securitate a informaţiei (secondat se pare de Consiliul de Securitate al Federaţiei și chiar de Comisia Militaro-Industrială). Este furnizată deopotrivă lista actorilor de prim rang vizaţi de securitatea informaţiei, care cuprinde toate componentele executivului și instituţiile de sub administrarea acestuia (chiar și sub administrarea indirectă, cum este cazul Băncii Rusiei).

Se evocă dorinţa de a conserva drepturile cetăţenilor, dar și de a respecta obiectivele în materie de securitate a informaţiei, în același timp, precum și întărirea și interconectarea mijloacelor de securitate a informaţiei între diferitele componente ale structurilor de forţă, militare și civile, pe diverse niveluri teritoriale.

Pentru urmărirea efectelor acestei doctrine, secretarul Consiliului de Securitate al Federaţiei prezintă anual un raport.

Prin urmare, textul nu aduce nimic revoluţionar. Este, pe de o parte, reiterarea doctrinei din 2000 și, pe de altă parte, o sinteză a documentelor conexe întocmite după apariţia acesteia dintâi, îmbogăţită, ce-i drept, cu câteva puncte specifice prin prisma experienţei ultimilor ani. Astfel, interesul pentru securitatea informaţiei în domeniile economic și financiar a fost întărită, iar reţeaua de Internet este menţionată de mai multe ori (de altfel, aceasta este singura concesie a textului altminteri neutru din punct de vedere tehnologic).

În ceea ce privește forma, a fost făcut un efort substanţial pentru ca textul să fie mai ușor de citit decât cel de dinainte, iar în ceea ce privește fondul, se observă clar că orientările viitoare fac dovadă de pragmatism.

Fără îndoială, va urma în scurt timp apariţia de documente oficiale sectoriale, așa cum s-a întâmplat și după publicarea doctrinei din septembrie 2000.

Doctrina de securitate informațională din decembrie 2016 (în rusă): https://rg.ru/2016/12/06/doktrina- infobezobasnost-site-dok.html

Strategie de securitate națională din decembrie 2015 (în rusă): http://www.consultant.ru/document/ cons_doc_LAW_191669/61a97f7ab0f2f3757fe034d1101 1c763bc2e593f/


1 д) развитие национальной системы управления российским сегментом сети «Интернет»

Expert și lector în Cyberstrategy la Business & Finance School din Strasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în imple- mentarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septem- brie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnolo- gii, comunicare și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.

433

Al 4-lea Congres macro-regional „Cybersecurity in Romania” s-a desfăşurat la Sibiu între 14 şi 16 septembrie 2016. Ocazie unică de a face bilanţul cu privire la evoluţiile sau la întârzierile în domeniul securităţii informatice în sens larg, Forumul a fost gazda unor personalităţi recunoscute ca experţi în domeniu. Ediţia din 2016 a facilitat clarificarea a 4 aspecte:

  1. adoptarea unei abordări proactive pentru gestionarea ameninţărilor geopolitice;
  2. securizarea mai puternică a internetului concomitent cu apariţia unor noi obiecte conectate;
  3. implementarea de programe de informare asupra ameninţărilor critice şi de diseminare a informaţiilor;
  4. adoptarea de noi măsuri de siguranţă în domeniul comerţului electronic.


Potrivit lui Marco OBISO, coordonator în cibersecuritate al Uniunii Internaţionale a Telecomunicaţiilor, doar 73 de state au adoptat o strategie naţională în domeniul cibersecurităţii cu scopul de a construi un ciber-spaţiu securizat şi rezistent pentru cetăţenii acestora.
Şi totuşi, celelalte ţări membre ale UIT nu au rămas inactive în acest domeniu, întrucât 103 ţări au constituite echipe de intervenţie în caz de incident de securitate informatică (Computer Incident Response Team). În afară de acţiunile preventive şi curative pe care le operează la nivel naţional, CIRT împarte informaţiile proprii cu comunitatea mondială, permiţând astfel fiecărei ţări să îşi îmbunătăţească gradul de protecţie.
În domeniul cibercriminalităţii şi protecţiei datelor, toate ţările europene şi-au adaptat legislaţia; cu toate acestea, doar Bulgaria, Finlanda, Germania, Grecia, Letonia şi Polonia au impus măsuri obligatorii de protecţie a ciberspaţiului.
În Europa, eforturile din punct de vedere legal, tehnic, organizatoric sau în materie de cooperare naţională (între sectorul privat şi cel public) şi internaţională sunt evidente, însă rămân unele aspecte care necesită îmbunătăţiri, printre care nevoia definirii unui cadru şi instituirii unei proceduri de certificare şi acreditare a specialiştilor în cibersecuritate (doar trei state au făcut-o deja) sau nevoia definirii unui cadru de aplicare a normelor de cibersecuritate. Un alt punct slab indicat de către UIT: formarea specialiştilor care să contribuie la aplicarea legii, întrucât doar 9 state au creat instituţii de formare specifice pentru forţele de ordine proprii.

Delegaţie AR Franche-Comté ale IHEDN la congres


În viziunea d-lui Dr. Dan TOFAN, expert în cadrul Agenţiei Europene însărcinate cu securitatea reţelelor şi a informaţiei, Uniunea Europeană a ţinut cont de noile ameninţări asupra ciberspaţiului, ceea ce a condus la elaborarea, de către Comisia Europeană, a unei directive care răspunde în parte observaţiilor UIT, „directiva privind s ecuritatea reţelelor şi a sistemelor informatice (NIS Directive)”. Această directivă are ca obiectiv aducerea capacităţilor de cibersecuritate la un nivel comun de dezvoltare în toate statele membre ale UE, în scopul garantării schimbului de informaţii şi de cooperare, inclusiv la nivel transfrontalier. Aceasta instituie obligaţia, pentru statele membre:

  1. De a se pregăti, solicitând să poată dispune de minimum o echipă de intervenţie în caz de incidente de securitate informatică (CSIRT) şi de o autoritate naţională competentă;
  2. De a exista cooperare între toate statele membre, c reându-se astfel un grup de cooperare, cu scopul de a susţine şi de a facilita cooperarea strategică şi schimbul de informaţii între statele membre. Acestea vor trebui să instituie o reţea CSIRT pentru promovarea unei cooperări operaţionale rapide şi eficiente în incidente specifice de cibersecuritate şi pentru a împărtăşi informaţii cu privire la riscuri;
  3. De a iniţia o cultură a securităţii în toate sectoarele vitale ale economiei şi ale societăţii şi care, în plus, depind mult de TIC, cum ar fi energia, transporturile, apa, băncile, infrastructuri ale pieţei financiare, sectorul sănătăţii şi infrastructura digitală. Întreprinderile din aceste sectoare identificate de către state ca fiind operatori de servicii esenţiale vor fi obligate să ia măsuri adecvate de securitate şi să notifice incidentele grave la autoritatea naţională competentă.
  4. În plus, principalii furnizori de servicii digitale (motoare de căutare, servicii de „cloud computing” şi comerţ online) vor fi bligate să se conformeze exigenţelor de securitate şi de notificare prevăzute de noua directivă.

Această directivă va trebui să fie aplicată, adică transpusă în legislaţia ţărilor membre, până în mai 2018. Este de remarcat faptul că aplicarea celui de-al treilea punct va implica instituirea unui program de formare a actorilor din sectoarele definite ca fiind critice.

În ceea ce priveşte această formare, intervenţia lui Daniel Ventre, titularul catedrei de cibersecuritate şi de ciberapărare din cadrul şcolilor S aint-Cyr/ Coëtquidan (şcoli de f ormare a ofiţerilor armatei terestre franceze), poate fi folosită ca discurs introductiv, întrucât oferă un cadru şi un spaţiu a temporal. Pentru acesta, „…din lectura numeroaselor strategii, politici, planuri, programe de cibersecuritate şi ciber-apărare publicate în toată lumea în ultimii ani, pare să se desprindă un consens, o convergenţă a recunoaşterii necesităţii organizării şi asigurării securităţii şi apărării domeniului ciber, adică întâi de toate securitatea şi apărarea ansamblului de sisteme tehnice şi apoi a sistemelor societăţilor traversate de aceste dintâi sisteme. De securitatea sistemelor depinde cea a statuluinaţiune. Consensul se materializează în acceptarea de către toţi a structurii unei naraţiuni simple, alcătuite din câteva noţiuni elementare. Această naraţiune se desfăşoară în jurul a trei protagonişti: „noi”, „ameninţarea” şi „ciberspaţiul”.
Acest „noi” este reprezentat de stat, naţiune, societate, totalitatea actorilor care ne împărtăşesc valorile şi interesele. Acest „noi” îşi bazează evoluţia, progresul, economia pe un soclu tehnologic. Ori securitatea nu a fost integrată la baza acestui soclu, astfel că „noi” suntem mereu în căutarea unei securităţi ideale care probabil că nu va exista niciodată din două motive: reaşezarea securităţii în compoziţia soclului tehnologic ar presupune demontarea şi reconstruirea completă, iar înaintea noastră se află adversari/inamici/oportunişti care au aceleaşi dependenţe tehnologice ca noi, însă nu neapărat aceleaşi valori, interese, obiective şi au învăţat să profite de fragilităţile noastre. Dependenţa noastră a atins un asemenea grad încât planează asupra noastră ameninţarea unui atac ale cărui efecte ar fi distructive (ciber- Armageddon). „Noi” este astfel confruntat cu „alţii”, „ameninţarea”: ei pot fi chiar printre noi (insider threat) şi aduc ameninţări vitale mode lului nostru. Acestor adversari nu li se cunoaşte numărul şi nu au frontiere. Ameninţarea mobilizează toate categoriile de infracţiuni şi de conflict (crimă organizată, delincvenţă, găşti, mafii, terorism, gherile, servicii de informaţii, insurecţii…). Evidenţierea atacurilor conduse de aliaţi şi parteneri nu contribuie la reducerea sentimentului de ameninţare globală. În anumite state, însuşi cetăţeanul este o ameninţare (ciberactivism). Aceşti adversari sunt adesea invizibili, acţionează impredictibil, sunt asimetrici. Conceptul de „noi” ameninţat trebuie deci în mod legitim să se protejeze, să se apere, să înveţe să riposteze, să atace. Acesta învaţă să-şi arate forţa, visează să găsească metode de disuasiune. Visează să domine ciberspaţiul pentru a menţine şi aici ordinea atunci când o controlează sau pentru a retrasa în acesta graniţele naţionale de suveranitate atunci când nu se mai află pe linia trasată de conducător. Anumite evenimente, incidente, mai mediatizate decât altele, ca nişte ciupituri de aducere aminte, vin să menţină conştiinţele treze şi să confere echitate structurii naraţiunii.” („Les évolutions de la cybersécurité: contraintes, facteurs, variables…”)

Potrivit lui Marian Matei, Director adjunct al Direcţiei de Combatere a Criminalităţii Organizate din cadrul Poliţiei Române, această evoluţie perpetuă a cibersecurităţii duce la apariţia unei abordări mai globale a acesteia deoarece există multe obstacole în calea unei mai bune cibersecurităţi, iar majoritatea obstacolelor nu sunt de ordin tehnic. Chiar dacă am avea o mai bună tehnologie decât cea de care dispunem astăzi, ar exista în continuare riscul ca adversarul, „ameninţarea” evocată de Daniel Ventre, să fie cu un pas înaintea noastră. Unele dintre cele mai mari obstacole cărora le facem faţă provin din analizele depăşite ale cibersecurităţii şi din politicile generate de aceste analize; în consecinţă, potrivit opiniei lui Matei, este timpul ca abordarea cibersecurităţii să se schimbe.
Primele studii cu privire la acest subiect au lăsat să se înţeleagă că ameninţarea cibernetică ar proveni din atacuri teroriste îndreptate împotriva infrastructurilor critice. Neavând încă competenţele necesare, cele mai multe state au încredinţat responsabilitatea securităţii sectorului privat, deoarece acesta deţinea majoritatea infrastructurilor esenţiale. Se credea în mod optimist că problemele internetului vor fi rezolvate de către o comunitate mondială autonomă în care guvernul trebuia să joace doar un rol minimal. Aceste idei sunt încă larg răspândite în zilele noastre, însă s-au dovedit a fi eronate. Adevăratele mize ale cibersecurităţii sunt spionajul şi criminalitatea etatizate şi creşterea capacităţilor militare ofensive, probleme care sunt mai bine tratate de către guverne. În viitor, ca efect al mondializării, vom fi şi mai interconectaţi decât suntem în prezent. Interacţiunea între marile puteri, statele mai puţin dezvoltate economic şi actorii din afara statului va determina noi modalităţi de exercitare a influenţei. În corelare cu dispoziţiile privitoare la strategia de apărare naţională, trebuie luate măsuri progresive pentru întărirea credibilităţii strategice, graţie dezvoltării şi modernizării continue a capacităţilor cibernetice şi pentru a asigura o protecţie colectivă eficientă a ciberspaţiului naţional, european şi euro-atlantic. În acelaşi timp, avem nevoie de un cadru juridic care să permită şi să susţină abordarea globală şi multinaţională în întreg domeniul ciber. Cheia succesului se află în mâinile celor care înţeleg şi îşi concentrează eforturile asupra mecanismelor de prevenţie în trei sub-domenii ale securităţii: apărarea, ordinea publică şi securitatea internă. În acest cadru, Marian Matei arată că elaborarea unui proces de planificare riguros, continu şi pluri-anual este imperativă. Pentru a fi eficient, acest proces trebuie să reunească resursele disponibile pentru susţinerea obiectivelor naţionale, europene şi euro-atlantice în domeniul cibersecurităţii iar directiva NIS, trebuie subliniat, reprezintă o evoluţie majoră.

Pentru Alexandru Cătălin COSOI, director de strategii al BITDEFENDER, într-o lume în care cibercriminalitatea se produce în câteva minute, cooperarea în domeniul securităţii şi legislaţia trebuie să se schimbe pentru a răspunde în acelaşi interval de timp, iar, în această privinţă, PPP-urile sunt esenţiale pentru atingerea acestui grad de reactivitate. Numeroase state au elaborat recent strategii naţionale de cibersecuritate care pun accentul pe un gen de parteneriat public-privat (Austria, Australia, Canada, Cehia, Estonia, Finlanda, Franţa, Ungaria, India, Japonia, Lituania, Olanda, Noua Zeelandă, Slovacia, Africa de Sud, Marea Britanie şi Statele Unite).
Este important de reţinut că parteneriatul public-privat în materie de cibersecuritate naţională îmbracă mai multe forme. Guver nele au relaţii diverse cu furnizorii de servicii de internet, cu multinaţionalele informatice (Google, Facebook etc.), cu companiile private de cibersecuritate, cu apărătorii drepturilor omului şi ai drepturilor civile, cu forţele de ordine şi cu societatea civilă. Şi totuşi, atât în documentele oficiale cât şi în discursul privind cibersecuritatea în general, parteneriatul public-privat este adesea caracterizat ca fiind o entitate unică, nesocotind această complexitate. În ciuda acestei complexităţi şi acestei diversităţi, reiese clar faptul că accentul pus pe strategii vizează relaţia dintre guvern şi proprietarii/utilizatorii de infrastructuri esenţiale aşa cum o arată, de exemplu, legea privind încrederea în economia digitală franceză, în timp ce multe alte aspecte ale cibersecurităţii sunt considerate ca fiind legate de interesul naţional, protecţia infrastructurilor esenţiale iar parteneriatele public-private joacă un rol important.
Evident, parteneriatul public-privat nu este propriu cibersecurităţii. Acesta a fost folosit foarte des de către state ca mecanism în soluţionarea altor probleme, inclusiv celor legate de securitate. Practica s-a intensificat începând cu anii 1990, când privatizarea i nfrastructurilor critice a fost considerată ca fiind benefică din punct de vedere economic pentru stat.
Deşi au fost prezentate ca un „nou” tip de gestionare, conceput cu scopul de a prelua cele mai bune elemente din cele două sectoare, parteneriate public-private au fost încheiate şi în trecut. Cu ocazia semnării convenţiei din 28 iunie 1882, publicată în martie 1883, prin care Anglia şi Franţa îşi garantau reciproc drepturi egale pentru comercianţii din posesiunile din Africa, cancelarul Bismarck a s olicitat oraşelor din Liga Hanseatică să redacteze un raport prin care să propună măsuri pentru favorizarea extinderii comerţului german pe coasta de vest a Africii, ceea ce a condus la crearea statului Camerun în 1884, în beneficiul caselor Woermann şi J antzen şi Thormahlen…
Există mai multe motive pentru care cibersecuritatea, în special în contextul protecţiei infrastructurilor esenţiale, a fost concepută ca un proiect de colaborare între sectorul public şi cel privat. Statul este responsabil cu securitatea, în particular cu securitatea naţională. Protecţia infrastructurilor esenţiale – sistemele necesare conservării securităţii naţionale (în accepţiunea cea mai largă) – este percepută ca parte integrantă a securităţii statului. Consecinţele potenţiale ale unui ciber-atac la scară largă asupra infrastructurilor esenţiale sunt atât de complexe încât este normal ca guvernul să îşi asume o anumită autoritate şi o anumită responsabilitate. Totuşi, dat fiind faptul că majoritatea infrastructurilor esenţiale sunt deţinute şi exploatate de interese private, trebuie să existe un tip de relaţie între sectorul public şi cel privat în ceea ce priveşte securitatea. Au fost încheiate o gamă largă de acorduri şi contracte denumite partene riate public-private. Acestea pornesc de la prestări solidare de ser vicii a căror executare este oarecum supravegheată prin reglementări guvernamentale (sectorul sănătăţii), până la subcontractarea unor mari proiecte de infrastructură (contruirea de poduri, găzduirea Jocurilor Olimpice etc.).
Se pot identifica PPP-uri de două mari categorii:

  1. aranjamente orizontale non-ierarhice caracterizate prin luări de decizii conform principiului consensualităţii;
  2. relaţii organizate ierarhic în care unul dintre contractori exercită şi rol de control.

În materie de cibersecuritate, strategiile naţionale se feresc să vorbească de ierarhie atunci când se referă la parteneriatul publicprivat, deoarece acest tip de contract este caracterizat prin concepte precum cooperarea, un scop împărtăşit de ambele părţi şi interese comune. Guvernul împărtăşeşte, astfel, informaţii şi resurse cu scopul de a elabora, alături de sectorul privat, un răspuns la o provocare comună. Furnizarea de informaţii cu privire la ameninţările cibernetice constituie una din principalele aşteptări ale parteneriatului, atât din partea sectorului public cât şi a sectorului privat, însă există anumite obstacole în schimbul de informaţii în ambele cazuri. Sectorul privat consideră că nu este întotdeauna uşor de făcut distincţia pe loc între o problemă tehnică oarecare, un atac slab şi un atac la scară largă. În plus, uneori semnalarea vulnerabilităţilor contravine intereselor lor comerciale, deoarece modelul lor de afaceri se bazează pe obţinerea, posedarea şi vânzarea de informaţii şi nu pe partajarea lor cu altcineva.
De asemenea, sectorul public are limitele sale în ceea ce priveşte partajarea informaţiei cu alţii. Informaţiile contextuale calsificate nu pot fi partajate cu persoane care nu au o autorizaţie de securitate adecvată. Adesea, nici chiar cei care lucrează în sectorul privat şi deţin o autorizaţie de securitate nu pot să facă nimic cu informaţiile clasificate, pentru că luarea de măsuri ar presupune implicit expunerea lor… Această problemă de partajare a informaţiei a fost considerată în mod constant ca fiind un obstacol major în cibersecuritate şi a fost pusă în discuţie de un înalt funcţionar, numind-o, cu ocazia Congresului de cibersecuritate din 2011, ca fiind una din cele două domenii principale care trebuie îmbunătăţite.
Partajarea de informaţii, inclusiv a celor sensibile, este mai eficientă atunci când există relaţii personale între cele două părţi. Oamenii sunt mult mai dispuşi să partajeze informaţii cu colegii cu care au o puternică legătură personală şi/sau profesională. Acest factor uman este important şi ar trebui să facă obiectul unei cercetări mai aprofundate, pentru a găsi mijloacele de stabilire şi de întărire a acestor relaţii în domeniile securităţii reţelelor şi funcţiei publice, care sunt caracterizate printr-o frecvenţă relativ ridicată cu care se schimbă personalul, iar multiplicarea obiectelor conectate antrenează apariţia unor noi ameninţări.

Aşa cum a subliniat şi Michal JARSKY, directorul regional de vânzări al TRENDS MICRO, orice obiect conectat la internet poate fi piratat. Care sunt reacţiile corecte în această situaţie? Niciuna, dacă nu punem în practică ceea ce Matei a numit abordarea globală a cibersecurităţii. În opinia lui Jarsky, orice reacţie care implică adoptarea unui plan de acţiune simplu de enunţat însă, uneori, dificil de aplicat. Acest plan se desfăşoară în 6 etape, şi anume: evaluarea ameninţărilor, formarea/educarea utilizatorilor, identificarea „lacunelor” tehnologice, elaborarea indicatorilor de eficienţă (Key Performance Indicators), o îmbunătăţire continuă şi un proces de sinteză.


Doris ALTENKAMP, cercetătoare şi consultant în ciber-apărare, defineşte internetul obiectelor conectate ca „un fel de reţea globală universală de neuroni” care înglobează toate aspectele vieţii noastre. Pericolul vine nu doar din partea obiectului însuşi, ci şi din partea legăturilor, „conversaţiilor” pe care le poate avea cu alte obiecte. Păstrând în minte această constatare, Altenkamp propune o metodă de judecată împrumutată din domeniul militar, ciclul OODA (Observa, Orient, Decide, Act), care permite gestionarea cunoscutului, a necunoscutului şi a necunoscuţilor „necunoscuţi” cu scopul de a naviga pe deasupra incertitudinii… Ciclul OODA începe în funcţie de comportamentul aşteptat şi de la gradul de cunoaştere a situaţiei ecosistemului obiectului conectat (de exemplu, un frigider). Observarea constă în adunarea de informaţii provenind de la ecosistemul obiectului conectat şi examinarea lor. Orientarea reprezintă obţinerea unei analize comportamentale şi complexe a sistemului şi stabilirea evaluării (risc, impact etc.). Decizia constă în traducerea „noii cunoştiinţe” în „know how” şi hotărârea acţiunilor semnificative care trebuie întreprinse. Acţionarea înseamnă punerea în aplicare a unor măsuri care interacţionează cu părţile semnificative din cadrul ecosistemului. Apoi ciclul se reia…
Pentru a diminua riscurile legate de obiectele conectate (IoT), Altenkamp consideră că trebuie acţionat în domeniile următoare:

  • Securitatea obiectelor conectate şi conectivitatea lor end-to-end;
  • Dezvoltarea de softuri specifice;
  • Crearea de date/confidenţialitatea datelor/protecţia datelor;
  • Sistemul de supraveghere complex al obiectelor conectate;
  • Guvernanţă/juridic/reglementare/gestionarea riscurilor;
  • Certificarea obiectelor conectate;
  • Formarea utilizatorilor.

Abundenţa obiectelor conectate generează noi moduri de consum, de cumpărare, de vânzare. În acest context, securizarea comerţului electronic devine mai importantă ca niciodată iar criptarea datelor şi a legăturilor reprezintă esenţa problemei.
Există, bineînţeles, dispozitive simple care pot fi aplicate, cum ar fi cel prezentat de Alain SEID, preşedintele Camerei de Comerț
și Industria din Belfort (Franța). Este vorba de un dispozitiv care se bazează mai degrabă pe intervenţia conceptului de „noi” care constată „ameninţarea” în „ciberspaţiu” decât pe o intervenţie automată. Însă acest dispozitiv nu funcţionează decât în partea din lumea fizică legată la lumea virtuală. În lumea pur virtuală, soluţiile constau cel mai adesea în instalarea unei protecţii

bazate pe p rotocoale relativ învechite şi, deci, vulnerabile, aşa cum o demonstrează Ştefan Hărşan FÁRR, consultant. Totuşi, potrivit acestuia, majoritatea punctelor slabe actuale provin din lipsa de rigoare a utilizatorilor, confirmând astfel necesitatea unuia din obiectivele directivei NIS care vizează dezvoltarea unei culturi de „cibersecuritate” în fiecare actor.
În domeniul criptării datelor, este păcat că niciun participant nu a evocat progresele care s-au făcut, cu precădere implementarea de noi moduri care folosesc tehnologii cu perspective favorabile precum criptarea cuantică (şi componentele sale criptografice) care va impune o standardizare a protocoalelor de criptare pentru dist ribuirea unei chei între două sisteme. Criptarea cuantică se bazează pe o metodă de criptare care nu poate fi spartă şi care utilizează fotoni transferaţi prin intermediul unui cablu de fibră optică total independent de reţeaua de internet. Acesta nu poate fi piratat întrucât orice tentativă care ar viza spionarea (interceptarea, copierea, ascultarea electronică etc.) unei asemenea transmisiuni modifică starea cuantică şi este detectabilă imediat. Totuşi, acoperirea semnalului nu depăşeşte în prezent 300 de kilometri. Lansarea primului satelit cuantic de către chinezi, în august 2016, deschide perspective încurajatoare deoarece vestesc încercări de transmisiuni la 2500 de kilometri. Conştientă de această miză, Comisia Europeană va lansa, în 2018, un program de cercetare dedicat tehnologiilor cuantice. Următoarele comunicări ale Congresului macro-regional „Cybersecurity in Romania” în 2017 vor avea cu siguranţă material ştiinţific nou de discutat…

autor: Pascal Tran-Huu,
Association des Auditeurs de Franche-Comté, Institut des Hautes Etudes de Défense Nationale.

Pascal Tran-Huu este fost militar de carieră și momentan lucrează în domeniul industrial. Ca ofiţer, a făcut parte din diverse unităţi, inclusiv din Forţele Speciale. După 30 de ani la datorie, a ales să lucreze în industrie. El dezvoltă activităţi în cadrul grupului industrial SYT, care produce drone și echipamente pentru vizualizare electronică; în același timp este responsabil pentru relaţii internaţionale și instituţionale în cadrul unui cluster din domeniul energiei, „Vallée de l’énergie”, și promovează peste 100 de companii din domeniu, incluzând ALSTOM, GENERAL ELECTRIC și EdF.

268

În perioada ultimilor ani, asistăm la o dezvoltare accelerată a entităților destinate combaterii amenințărilor cibernetice și m anagementului incidentelor de securitate cibernetică – c unoscute sub denumirea de CERT, precum și la o creștere (cel puțin din punct de vedere statistic) a numărului experților în acest domeniu. E vident, acest fenomen este răspunsul societății noastre la ceea ce se întâmplă în mediul online, atât din perspectiva creșterii p onderii utilizării tehnologiei în toate domeniile vieții, dar și a evoluțiilor s pectaculoase înregistrate de atacurile cibernetice la nivel global.
Deopotrivă în mediul privat, cât și în mediul guvernamental, crearea structurilor de tip CERT și angajarea de person al specializat în diverse discipline conexe domeniului securităţii cibernetice ar trebui să asigure un răspuns adecvat celor mai sofisticate atacuri cibernetice care ar putea fi generate de orice fel de actor, indiferent de motivaţia și resursele pe care acesta le are la dispoziţie.
Dar oare toate aceste structuri și pleiada de experţi prezenţi în spaţiul public au capacitatea să livreze rezultatele așteptate?
Având în vedere mesajele prezente în mai toate lucrările, articolele sau conferinţele de specialitate în ultima perioadă, pe care eu personal le percep ca fiind de regulă lipsite de proporţionalitate în raport cu nivelul real de risc, de cele mai multe ori fiind prea alarmante și de prea puţine ori oferind soluţii adaptate publicului larg sau secţiunii de public căreia se adresează, pot să afirm clar că nivelul de pericol generat de atacurile cibernetice care au loc online în prezent se situează mult sub nivelul critic care ar genera efecte devastatoare, așa cum ni se prezintă de multe ori situaţia de ansamblu a securităţii Internetului și tehnologiei în general. Referinţa generică la care mă raportez pentru a-mi susţine această afirmaţie o reprezintă creșterea evidentă și din ce în ce mai accelerată a serviciilor oferite online, atât de către guvernele multor state, precum și de mediul de afaceri. Simplu, dacă riscurile ar fi mai mari decât oportunităţile, în mod clar investiţiile în dezvoltarea de noi servicii online nu ar avea eficienţă.
Totuși, evoluţia constantă a complexităţii atacurilor cibernetice, precum și rezultatele obţinute de atacatori, pun serioase probleme comunităţilor specializate în domeniul securităţii cibernetice, atât din perspectiva asigurării securităţii cetăţeanului, utilizator de tehnologie și de servicii online sau a guvernelor care trebuie să asigure condiţiile necesare funcţionării infrastructurilor critice în condiţii de securitate, precum și din perspectiva companiilor private furnizoare de tehnologie sau servicii în acest domeniu.
Nu-mi voi susţine afirmaţiile prin copierea diverselor date statistice sau descrieri ale unor atacuri cibernetice extrem de distructive sau sofisticate care au avut loc în ultima perioadă, sunt suficiente resurse de încredere online specializate în acest sens, ci voi încerca să sintetizez câteva idei despre ceea ce consider că lipsește astăzi la nivel global, astfel încât starea de securitate și încredere în tehnologie să prevaleze ameninţărilor de orice natură și panicii generale pe care o percep de fiecare dată când ceva periculos se întâmplă online, adesea neprevăzut de nimeni.
Nu susţin aici viziuni mesianice asupra a ceea ce trebuie făcut în domeniul securităţii cibernetice, ci încerc să evidenţiez faptul că, deși se fac o serie de pași înainte în acest domeniu, prin demersuri de reglementare, înfiinţarea de structuri specializate noi etc., progresele reale se lasă așteptate iar potenţialitatea unui Armagedon cibernetic ce ar putea să se manifeste într-o stare generală de criză globală devine din ce în ce mai probabilă.
O să mă opresc în acest articol la structurile de tip CERT și de ce consider că, în general, aceste structuri nu au atins gradul de maturitate necesar pentru a face faţă situaţiei reale cu care se confruntă online.
Fie că aducem în discuţie entităţi de tip CERT guvernamentale, fie cele destinate mediului privat, acestea au fost înfiinţate cu un singur obiectiv generic: creșterea gradului de rezilienţă a infrastructurilor protejate și asigurarea securităţii informaţiilor vehiculate prin intermediul acestora, incluzând aici și funcţionalităţile critice asigurate prin intermediul tehnologiei în cadrul unor infrastructuri critice.
Aceste tipuri de entităţi au o activitate din ce în ce mai vizibilă la nivel global și în special la nivel european, paginile web ale acestor tipuri de structuri fiind abundente în informaţii utile tuturor, însă de cele mai multe ori activităţile acestor tipuri de structuri au cu preponderenţă o componentă reactiv-defensivă în detrimentul componentei preventive, mult mai importantă din perspectiva nevoii de securitate a Internetului.
Desigur, afirmaţia mea este una contestabilă, însă este inspirată de una dintre activităţile zilnice pe care le desfășor în calitate de director de securitate în cadrul unei instituţii financiar-bancare: căutarea de informaţii valide despre noi tipuri de atacuri cibernetice (Indicatori de Compromitere, Indicatori de Atac, analize de malware, evaluări specializate și încercări de atribuire a unor atacuri cibernetice complexe, etc.), în scopul de a putea adapta sistemele tehnice și procedurale ale organizaţiei pe care am fost angajat să o protejez la cele mai noi categorii de riscuri.
Dacă pentru proceduri, politici și sfaturi utile, în special pentru adecvarea răspunsului la un atac cibernetic care deja a produs efecte, paginile web și feed-urile de securitate generate de diversele organisme de tip CERT se dovedesc valoroase (Ex: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/cert_about. html, https://www.ncsc.gov.uk/, https://cert.ro/), informaţii acţionabile (cu utilitate imediată) care vizează atacuri noi, complexe, sofisticate și care generează un impact semnificativ la nivelul infrastucturilor vizate le regăsesc de cele mai multe ori în cadrul resurselor informaţionale puse la dispoziţie (atât public, cât și în cadrul unor relaţii contractuale) de companiile specializate în domeniul securităţii cibernetice.
Unii ar putea spune că este normal, pentru că aceste companii sunt înfiinţate tocmai în acest scop… însă dacă analizăm obiectivele și resursele financiare semnificative investite de guverne sau mediul de afaceri în resurse de tip CERT, înţelegem cu toţii că ceva nu merge tocmai bine.
Voi încerca să prezint câteva acţiuni pe care le consider ca fiind priorităţi de grad 0 pentru comunitate, astfel încât funcţia preventivă a unei structuri de tip CERT să prevaleze în faţa reactivităţii manifestate în prezent, astfel:

  • paradigma parteneriat public-privat trebuie schimbată prin acţiuni concrete, nu neapărat prin legislaţie. Deși pare o afirmaţie hazardată, nu există legislaţie care să interzică cooperarea reală între mediul public și cel privat, există doar decidenţi nehotărâţi (de ambele părţi) sau care nu înţeleg beneficiile diverselor formate de cooperare;
  • pe lângă campaniile publice de informare asupra pericolelor online, care de cele mai multe ori sunt orientate tot către public avizat și pe lângă permanenta căutare a responsabililor cu educaţia cetăţenilor, implicarea reală în elaborarea de materiale educaţionale simple, inteligibile și personalizate care ar putea fi puse la dispoziţia diverselor categorii de public, inclusiv prin introducerea rapidă a acestora în cadrul programelor de învăţământ la toate nivelurile;
  • campanii de educare adresate managerilor din sectorul privat și decidenţilor din sectorul public. O persoană neinformată corect ia și va lua decizii greșite sau nu va lua deciziile potrivite;
  • elaborarea de cursuri pentru formarea de competenţe în domeniul răspunsului la incidente de securitate cibernetică – accesibile din punct de vedere financiar și actualizate ca și conţinut de câte ori realitatea o impune – pe lângă certificările valoroase (scumpe și inaccesibile unei largi majorităţi) oferite de diverse entităţi private și oferta mediului academic, ar completa nevoia reală de expertiză cerută de piaţă;
  • schimbul de informaţii în timp real – nu există scuză și motivaţie reală pentru a nu pune la dispoziţie, în timp real, indicatori de atac sau de compromitere, în cazul detectării unui atac cibernetic cu impact semnificativ. Standardizarea mai rapidă a formatului schimburilor de date la nivelul comunităţii ar duce cu rapiditate la scăderea timpului de răspuns și creșterea compatibilităţii sistemelor tehnologice utilizate de diverse comunităţi de tip CERT;
  • crearea unor structuri proprii destinate detecţiei, răspunsului și analizei atacurilor cibernetice eficiente, prin adoptarea bunelor practici utilizate de companiile private cele mai eficiente în domeniu (selecţie pe criterii de competenţă a managerilor și experţilor, asigurarea unor venituri adecvate importanţei și criticalităţii activităţilor derulate, accesarea de training avansat și utilizarea unor instrumente tehnologice competitive etc.);
  • asumarea rolului de arbitru între diversele entităţi și sectoare economice care nu schimbă informaţii din motive care ţin de mediul concurenţial;
  • asumarea rolului de furnizori de încredere prin validarea diverselor tehnologii furnizate de piaţa de profil;
  • asumarea eșecurilor și valorificarea mai activă a lecţiilor învăţate;
  • furnizarea periodică a unor produse de tip Cyber Threat Intelligence, care să conţină, pe lângă componenta tehnică acţională (pe care sunt orientate majoritatea platformelor și furnizorilor actuali), analize și evaluări profesionale cu privire la evoluţia de perspectivă a mediului de securitate online în vederea consolidării componentei de prevenţie și susţinerii informaţionale a actului de decizie (atât în mediul public, cât și în cel privat).

Fără a avea pretenţia că am acoperit toate problemele comunităţii CERT sau că am oferit soluţii speciale, am certitudinea că aspectele prezentate vor crea contro verse, iar din experienţa mea, contradicţiile și critica constructivă generează evoluţie.

autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

242

Numărul de utilizatori de Facebook este, fără îndoială, o caracteristică ce face această aplicație unică şi atractivă din mai multe puncte de vedere: o realitate pentru tineri, o descoperire pentru adulți, o mină de aur pentru companii și un instrument de intelligence pentru State.
În memoria vie nu a mai existat un mediu strategic de această dimensiune în care oamenii, indiferent de natura, culoarea și originea lor, să publice în mod voluntar și gratuit informaţii personale despre obiceiurile și despre vieţile lor de zi cu zi. Un ecosistem complex, folosit chiar

si de teroriști pentru abordarea și recrutarea de noi lupi singuratici, pentru a se apropia prin dialoguri propice și a convinge tinerii utilizatori să urmeze calea radicalizării.
Din punct de vedere social, este vorba, fără îndoială, de un fenomen îngrijorător care nu trebuie trecut cu vederea, iar din punct de vedere tehnic-informatic, și chiar de afaceri, ar putea fi o mare oportunitate de abordat cu curaj și determinare. A face dintr-o necesitate o virtute înseamnă, în acest caz, agregarea abilităţilor interdisciplinare, cum ar fi cele informatice, psihologice, educaţionale, juridice și lingvistice, pentru a proiecta și a dezvolta noi roboţi inteligenţi (cyber bot) pentru analiza lingvistică și semantică a dialogurilor desfășurate între utilizatorii reţelelor sociale.
O afacere în creștere rapidă, în care chiar și Uniunea Europeană a decis să investească sume cu șase de zero la final. Caracteristicile limbajului natural folosit de către utilizatori în reţelele deschise, cum ar fi Facebook, sunt o sursă bogată de informaţii care nu mai pot fi neglijate. Se naște astfel necesitatea de a dezvolta noi agenţi inteligenţi instruiţi în mod corespunzător, capabili să recunoască actele de comunicare ale utilizatorilor rău intenţionaţi, stilul lor de comunicare și mai ales relaţia dintre motivaţia, emoţiile și comportamentele interpersonale.
O provocare pe care generaţiile tinere de nativi digitali ar putea-o înfrunta și chiar rezolva, prin intermediul mentalităţii lor informatice, a cunoștinţelor

lor și capacităţii lor de adaptare profesională. Nimeni nu poate mai bine decât ei codifica și decodifica forma limbajului folosit astăzi pe Internet, din ce în ce mai sintetizat, nestructurat și metaforic, limbaj utilizat dealtfel pe scară largă pentru recrutarea de noi adepţi pentru radicalizare. Prin urmare, este necesar efortul de a încerca, chiar și de a intra încet, încet, pe terenul lor comun, de multe ori mediat de ore nesfârșite la playstation, formulând întrebări adecvate și interpretând răspunsurile acestora.
Cele mai mari companii IT din lume, cum ar fi Google, Facebook, Yahoo, dar și altele, au făcut primul mare pas investind masiv în alfabetizarea informatică a noilor generaţii, în special în proiecte educaţionale utile în care se predau paradigmele de programare logică, cu ajutorul cărora vor câștiga o bună capacitate de abstractizare. Acum este rândul nostru, profesori și profesioniști, să le dăm contextele operaţionale concrete și provocatoare în care sa aibă spaţiu pentru creativitate, experimentând în formă ghidată soluţii eclectice și originale, care ar putea schimba într-adevăr cursul evenimentelor de natură socială sau economică, dar mai ales siguranţa personală.
Vestea tristă din ultimele săptămâni aduce la lumină nevoia tot mai mare de a utiliza noi modele durabile pentru a aborda în mod adecvat riscurile care apar într-o lume care se schimbă cu o viteză atât de mare. Forţele de ordine, ele însele, fie ele locale sau globale, se confruntă cu mari dificultăţi în combaterea atacurilor de securitate, datorită faptului că, până nu demult, se așteptau ca ameninţările să fie de o complexitate din ce în ce mai sporită și nu, la polul opus, …dintre cele mai simple.
Riscul acum este să continuăm să ne punem aceleași întrebări, bazate pe experienţele unei lumi demult apuse, minunându-ne de fiecare dată de monotonia răspunsurilor. Din păcate nimeni, nici măcar autorităţile, nu este în măsură să vadă la orizont o soluţie care să reducă temerile și confuziile actuale. Pentru un părinte care și-a pierdut un fiu în timpul recentelor atacuri teroriste din Franţa, se pune întrebarea: cum este posibil ca în pragul celei de a patra revoluţii industriale, caracterizată prin atât de aclamata inteligenţă artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?
Monitorizarea continuă a reţelelor sociale poate este o condiţie necesară, dar nu mai este suficientă, cel puţin așa cum este concepută astăzi. Analiza atât de aclamatei «big data», bine cunoscută prin cei patru „V” (volum, viteza, varietate și veridicitate) necesită adăugarea a două noi componente: contextul de provenienţă a datelor și cultura lor. Da, doar aceasta din urmă ar putea îmbogăţi ulterior analiza tehnico-știinţifică, cu intenţia de a extrage informaţii utile pentru a identifica suficient de devreme presiunea socială care a determinat un anumit utilizator să facă un act

Cum este posibil ca în pragul celei de a patra revoluții industriale, caracterizată prin atât de aclamata inteligență artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?

specific de comunicare. În această privinţă, o abordare interesantă ar putea combina algoritmii de «inteligenţă artificială», etapele de «machine learning», și procesele de organizare a informaţiilor propuse de «big data analytics». O convergenţă strategică, dar și ambiţioasă, deoarece rezultatele de astăzi, din păcate, sunt clare: radicalizarea și propaganda nu pot fi identificate în mod automat, în forma lor completă.
Și exact aici se ascund oportunităţi importante de dezvoltare, extrem de interdisciplinare, pentru cine are ca profesie datoria să se gândească la soluţii inovatoare și eficiente. Datorită evenimentelor dramatice din ultimele luni, nu ne mai putem permite luxul de a aștepta repornirea sistemului, pentru ca problema să se rezolve «magic» singură. Din punctul meu de vedere, fiecare dintre noi în mediul său social și profesional, este titularul unei părţi mici, dar importante a soluţiei, care pentru a da roade bune va trebui neapărat împărtășită și acceptată în ansamblu. De fapt, trebuie să învăţăm de la adversarii noștri, eficacitatea lor își are rădăcinile, chiar dacă dramatice, periculoase și deplorabile, într-un singur teren comun mare, partajat și apărat la nivel mondial.

autor: Alessandro Trivilini,
șef al Laboratorului de criminalistică (forensics) al SUPSI

Dr. Alessandro Trivilini este șeful Laboratorului de criminalistică al SUPSI, creat în colaborare cu poliția și Magistratura cantonului Ticino. În cadrul SUPSI, el este și profesor de inginerie software, criminalitate informatică și securitate a informațiilor. Autor al mai multor cărți și publicații științifice, a lucrat în Silicon Valley (California) ca inginer software în domeniul securității aeroporturilor. El are un doctorat cu onoruri conferite de Politehnica din Milano în domeniul inteligenței artificiale, cu aplicare în domeniul criminalistic și la tr ibunale. El participă ca chairman și speaker la conferințe și congrese naționale și internaționale pe probleme de securitate cibernetică și criminalistică digitală. Din 2016, este membru al Comitetului științific internațional al IMA World Maintenance Forum pentru probleme de securitate cibernetică.

214

Tocmai când atacurile prin DdoS (Distributed Denial of Service) păreau să devină, în ultimii ani, doar nişte întâmplări deranjante minore, cel mult iritante, mai multe evenimente recente au demonstrat că acestea revin în forţă. Unul dintre ele, de o gravitate particulară, a avut loc în Franţa în septembrie 2016, când un important host de servere, OVH, s-a confruntat cu tentative de paralizare a reţelei prin atacuri de ordinul a 1 Tbps (TeraBits per Second). Densitatea fluxului de saturaţie a bandei este remarcabilă, însă alimentarea acestuia este cea mai îngrijorătoare. Anchetele au arătat că acest atac ar fi fost facilitat de camerele de supraveghere IP (Internet Protocol) cu protecţie slabă sau inexistentă. Iar camere de supraveghere IP egal Interneul obiectelor (Internet of Things).
Problematica Internetului Obiectelor în materie de securitate informatică se compune din două ramuri: una care priveşte explozia lor demografică, ajungând de la 8 miliarde în 2010 la probabil 80 de miliarde în orizontul de timp 2020 (potrivit biroului de studii IDATE); cealaltă priveşte securizarea acestora. Ambele ramuri sunt corelate: cum poate fi securizat în mod eficient un fenomen în plină expansiune, deci în perpetuă schimbare? Iar aici încep să intervină automobilele viitorului.
Constructorii consacraţi cum sunt giganţii sectorului digital plănuiesc deja cu seriozitate maşina autonomă a viitorului, adică pilotată cu ajutorul inteligenţei artificiale. Or inteligenţa artificială presupune delegarea parţială şi apoi totală a condusului. Acest lucru nu se poate realiza decât dacă vehiculul este capabil să garanteze respectarea celui mai fiabil itinerariu selectat, iar pentru ca acesta să fie în conformitate cu ordinul
de plecare trebuie ca vehicului să fie în permanenţă conectat cu mediul său şi cu câteva relee de comunicare. Iar dacă vehiculele anilor 2000-2015 dispuneau de o bază de date preinstalată şi integrată în ecranul de control, permiţând orientarea şoferului uman, provocarea constructorilor este de acum de a furniza o bază de date auto-evolutivă şi actualizată care să poată răspunde la mai multe cerinţe specifice cum ar fi o modificare a itinerariului datorată unui ambuteiaj temporar sau căutarea spaţiului de servicii cu tarifele cele mai avantajoase pe o rază de x kilometri. Aceasta reprezintă prima etapă înspre un stil de condus autonom dinamic (1).
Acest stil de condus va necesita un flux de informaţii actualizate, pe o paletă care porneşte de la petrecerea timpului liber (de exemplu: semnalarea unui festival care are loc în apropierea itinerariului vehiculului) şi până la securitate (de pildă: rută temporar inaccesibilă din cauza inundaţiilor). În acest scop, pot fi definite cinci categorii:

  • Infodivertismentul (semnalarea punctelor de interes turistic în jurul poziţiei sau softuri de divertisment integrate pe ecranul de control)
  • Interacţiunea cu vehiculul (indicarea consumului bateriei sau permiterea de apeluri către centrul de asistenţă al constructorului)
  • Asistenţă în timpul condusului (stil de condus ecologic sau planificarea i tinerariului)
  • Securitatea proprie a vehiculului (plată la distanţă a locurilor de parcare sau serviciu de geolocalizare pentru a situa un vehicul închiriat)


Şi totuşi, care este legătura între aceste vehicule conectate şi camerele IP amintite la începutul articolului? Simplu: acestea urmăresc aceeaşi cale îngrijorătoare.
Numărul lor va creşte în anii următori, iar anumite exemple ridică întrebări legitime. Se poate menţiona cu precădere un exemplu care a stârnit un scandal în presa de specialitate: doi cercetători în domeniul informaticii, Charlie Miller şi Chris Valasek, au reuşi să interacţioneze la distanţă cu un Jeep Cherokee (2), putând să întrebuinţeze după bunul plac toate elementele de la bordul acestui 4X4: de la sistemul de climatizare la frâne şi direcţie, totul de la o distanţă de circa 10 mile (16 kilometri). Grupul Fiat-Chrysler a luat în serios această demonstraţie şi le-a cerut utilizatorilor să corecteze acest punct slab al securităţii informatice prin adăugarea unui patch. Această preluare a controlului poate fi şi mai insidioasă, aşa cum s-a demonstrat prin modificarea substanţială a unui itinerariu ales pe harta de navigare digitală. Disecat, sistemul Uconnect reprezintă un ansamblu de funcţii care permit atât navigarea cât şi redarea de muzică sau efectuarea unui apel telefonic. Acest sistem electronic multifuncţional, regăsit mai mult sau mai puţin şi la alte grupuri din acest sector, nu este decât o poartă de intrare pentru o persoană răuintenţionată.

Punct ele de intrare/ieşire care pot fi posibile puncte slabe ale vehiculelor moderne sunt:

  • Portul OBD (On Board Diagnostics)
  • Modemul 4G/LTE (Long Term Evolution)
  • Bluetooth-ul
  • CAN (Controller Area Network) Bus/VAN (Vehicle Area Network) Bus
  • Cipul RFID (Radio Frequency Identification)
  • Cititorul CD/DVD

Aceste puncte slabe nu sunt întotdeauna datorate neatenţiei sau refuzului de a lua măsuri de s ecurizare din partea fabricanţilor sau a subcontractorilor acestora. Multe puncte slabe ale softurilor sunt de fapt necunoscute (Zero Day) şi sunt corectate odată ce se află de existenţa lor. Doar că inventivitatea piraţilor şi multiplicarea punctelor de acces la vehicule moderne complică mult munca personalului însărcinat cu eradicarea lor. În plus, cererea şi obiceiul consumatorilor de a dispune de un ansamblu de funcţiuni în interiorul vehiculului face imposibilă limitarea lor tehnică; nici nu se pune problema dezactivării funcţiilor electronice care ajută la stabilizarea vehiculului în orice situaţie.
În aceste condiţii, piaţa în creştere a vehiculelor conectate va fi integrată cu uşurinţă în Internetul Obiectelor, deoarece acestea vor comunica şi interacţiona în funcţie de pasager şi de bornele statice şi mobile. Diferenţa dintre piratarea unei camere IP şi cea a unui automobil conectat constă în faptul că, în cazul în care nu funcţionează cel de-al doilea sistem de preluare a controlului, riscul unui accident mortal devine extrem de ridicat atât pentru conducător şi pasageri, cât şi pentru alţi utilizatori. Este un pericol real care a atras atenţia multor constructori şi proiectanţi de echipamente care încearcă să elimine problema prin atingerea unui prag de risc minim, de pildă prin implementarea unor iniţiative în colaborare care îşi propun schimburi de informaţii şi reîntoarcerea cercetătorilor în domeniul securităţii informatice precum şi a societăţilor creatoare de antiviruşi şi de firewalls (de exemplu, cazul Auto-ISAC [Information Sharing and Analysis Center] sau EVITA [E-safety Vehicle Intrusion Protected Applications]). Acest lucru este o necesitate deoarece munca este herculeană: se estimează, o maşină conectată conţine aproape 100 de milioane de linii de cod, iar un avion de vânătoare modern doar 8 milioane.
Aceste schimburi între diferiţi actori din domeniu ar trebui să permită nu doar creşterea nivelului de securitate, ci şi protejarea deţinătorilor de secrete tehnologice de furtul unor elemente cruciale. Iar dacă preluarea controlului de la distanţă a unui vehicul reprezintă un risc major, cel al unei sustrageri de date tehnice nu poate fi evitat, iar aceste date privesc atât conducătorul cât şi detaliile electro-magnetice ale mijlocului său de transport.
Totuşi, nu trebuie să uităm că primul mijloc de apărare în domeniul securităţii informatice rămâne tot utilizatorul preocupat de protejarea propriului bun… şi a propriei vieţi.
(1) Un vehicul autonom nu este neapărat conectat, acesta poate de exemplu să folosească diferiţi captatori şi camere integrate (ca de pildă LIDAR [Light Detection And Ranging]) în procesul de mişcare, pentru a se orienta în spaţiu. Totuşi, eficienţa sa depinde de o anumită limită geografică şi de activitatea de condus. În plus, vehiculul nu comunică cu obiec tele din jurul său: recepţionează informaţie fără însă s-o emită. Condusul a utonom dinamic presupune un schimb de date în timp real. De asemenea, un vehicul conectat nu e obligatoriu autonom, fie pentru că nu s-a selectat opţiunea de delegare a condusului, fie că aceasta nu este disponibilă pe respectivul model.
(2) În 2013, o Toyota Prius şi un Ford Espace au fost de asemenea piratate; cu toate acestea, procedura a necesitat prezenţa în interiorul maşinilor a doi specialişti, r ealizându-se astfel prin cablu şi nu de la distanţă. În 2015, s-a făcut o demonstraţie de piratare de la distanţă.

Andy Greenberg, Hackers remotely kill a cutjeep on the highway – with me in it, Wired, 21 juillet 2015 – https://www.wired.com/2015/07/
Auto-ISAhttps://www.automotiveisac.com/
EVITA Projecthttp://www.evita-project.org/

autor: Yannick Harrel

Expert și lector în Cyberstrategy la Business & Finance School din St rasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în implementarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septembrie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnologii, comunic are și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.
Numărul

399

Raport care prezintă concluziile și elementele de reținut din ziua strategică 2016 a Asociației elvețiene pentru securitatea informațiilor (CLUSIS). În cadrul sesiunilor s-au abordat subiecte precum riscurile și starea actuală în confruntarea cu cibercrimi- nalitatea și ciberterorismul, grație intervenției experților naționali și internaționali de prestigiu. Fiecare actor din rețeaua economică elvețiană este vizat și ar trebui să ia măsuri complementare.

Sinteză
Elveţia este una din ţintele cibercriminalilor. Aceștia sunt interesaţi în special de Elveţia din cauza a trei motive principale:

  • elveţienii sunt printre cei mai bogaţi oameni din lume, așadar se fură acolo unde se găsește de furat;
  • Elveţia este un lider mondial în inovaţie, iar inovaţia implică inteligenţă ce poate fi furată (spionaj industrial și economic);
  • atât elveţienii cât și întreprinderile elveţiene subestimează foarte mult riscurile legate de Internet.

autor:
Johny Gasser

Riscuri subestimate, sindromul „noi nu suntem bancă”

Marea majoritate a întreprinderilor elveţiene (între 75 și 90%) se confruntă cu ciber-riscuri inacceptabile și nu iau măsuri de diminuare a lor decât după producerea unui incident grav. Întreprinderile elveţiene, în special IMM- urile, sunt prea numeroase pentru ca valoarea informaţiilor disponibile în sistemele lor și în celelalte aparate mobile să poată fi subestimată.

Modelul economic al infractorilor și al întreprinderilor care practică spionajul industrial nu este înţeles aproape deloc. Piratarea și spionajul industrial reprezintă activităţi economice foarte profitabile, cu o cifră de afaceri anuală estimată la 400 de miliarde de dolari.

„Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic”

Majoritatea atacurilor sunt silenţioase și foarte dificil de detectat. De pildă, băncile elveţiene nu detectaseră furtul de date ale clienţilor care a reprezentat începutul devoalării secretului bancar în Elveţia. Și totuși, băncile aparţin unui sector matur în ceea ce privește ciber securitatea. Acest fapt a ușurat înţelegerea dificultăţilor cu care se confruntă IMM-urile, sector care reprezintă majoritatea locurilor de muncă în Elveţia. Spionajul economic și industrial este o realitate, cu precădere în ţările cu un know-how recunoscut sau în care inovaţia reprezintă un domeniu productiv. Elveţia deţine ambele trăsături.

Obiectele conectate anunță o catastrofă?

Odată cu apariţia obiectelor conectate, trăim o a cincea revoluţie industrială. Din păcate, aceste obiecte sunt adesea concepute fără a se lua în considerare încă de la început aspectul securităţii și fără implicarea unor experţi în securitate. Consecinţa: regăsim aceleași greșeli care se făceau și la începuturile web-ului. Combinaţia dintre creșterea exponenţială a numărului obiectelor conectate (500 de miliarde de obiecte conectate în 2020) și lipsa lor de securitate zugrăvește un tablou deloc îmbucurător pentru viitorul persoanelor și companiilor.

Ciber-terorism, companiile elvețiene nu fac față unui pericol imediat

Elveţia nu reprezintă o ţintă prioritară pentru jihadiști. Atentatele constituie adesea acţiuni de represalii, iar cât timp Elveţia și companiile de pe teritoriul acesteia nu sunt implicate în acţiuni în cadrul conflictelor teritoriale ale terorismului, riscul rămâne scăzut.

Situaţia poate fi îmbunătăţită. Dacă starea actuală este îngrijorătoare, unele acţiuni simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Toate acestea necesită decizii și acţiuni concrete nu doar din partea companiilor, ci și a autorităţilor.

Prezentul document descrie câteva recomandări.

1. Elveția, o țintă pentru cibercriminali

Elveţia, companiile și cetăţenii săi prezintă o atracţie însemnată pentru cibercriminali. Pentru a înţelege nivelul real al ameninţării, trebuie analizat „business-model”-ul cibercriminalităţii.

Infracţionalitatea cibernetică este organizată ca o industrie

Conform PWC, cibercriminalitatea este o industrie înfloritoare, ocupând locul 2 în clasamentul infracţiunilor economice, și este singura infracţiune economică în creștere în anul 20151. Rapiditatea cu care se răspândește și gradul acesteia de maturitate au stârnit uimire. În ultimul timp, cibercriminalitatea este organizată ca o industrie „clasică”: cu furnizori, prestatori de servicii, suport post-achiziţie, legile pieţei care determină preţurile, platformele „crime as a service”: cumpăraţi un atac prin câteva click-uri, dacă nu funcţionează contactaţi hotline-ul și vi se pot chiar rambursa banii în cazul în care rezultatele nu au fost atinse…

Venituri egale cu PIB-ul Elveţiei

Cifra de afaceri a unei singure versiuni a unui malware, versiunea 3 a CryptoWall2, este de 325 de milioane de dolari, pe parcursul a doar două luni. Într-unul din studiile cele mai aprofundate în legătură cu acest subiect, The economic impact of the cybercrime and cyber espionage3, publicat în 2013 de către Center for Strategic and International Studies, veniturile cibercriminalităţii au fost estimate între 300 și 1000 de miliarde de dolari, așadar o medie de 650 de miliarde de dolari, suma ce reprezintă PIB-ul Elveţiei în 20144.

Aceste venituri provin din diverse activităţi, cele mai importante fiind: vânzarea de malware care permit acţiuni ilegale, vânzarea de date furate pentru înfăptuirea de fraude (de exemplu, în ceea ce privește cardulbancar),activităţilegatedespionajulindustrial (furt de date rezultate din cercetări, oferte comerciale, „know-how” etc.), precum și activităţi care afectează competitivitatea unui concurent (atac în DDOS, atac la reputaţie etc.).

Motivele atacării Elveţiei

Opinia generală susţine că trebuie întrunite trei elemente pentru ca o infracţiune să fie săvârșită: un mobil, o oportunitate și mijloacele necesare. Este de la sine înţeles că banii obţinuţi cu ușurinţă reprezintă mobilul. Din acest punct de vedere, Elveţia reprezintă o ţintă pentru cibercriminali din motive foarte ușor de înţeles.

Să luăm două exemple: primul, infractorul cibernetic vizează persoane fizice, plecând de la premisa că acestea deţin mai puţine sisteme de securitate decât companiile, și probabil și mai puţină expertiză. Al doilea, infractorul cibernetic este încrezător în capacităţile sale și dorește să-și maximizeze veniturile atacând companii și mizând deci pe revânzarea informaţiilor.

Cazul nr. 1 – Persoanele fizice sunt vizate

Luând în vizor persoanele fizice, infractorul cibernetic trebuie să găsească persoane care să deţină sume importante de bani și care să fie bine conectate la Internet.

Prima căutare va avea scopul de a-i descoperi pe cei mai bogaţi.În urma unei simple interogări este relevat faptul că familiile elveţiene sunt cele mai bogate din lume5. Ţinta se conturează. Iar, după o verificare asupra ratei de acces la Internet, ţinta se definește: vor fi vizaţi elveţienii.

Cazul nr. 2 – Spionajul industrial

Pentru maximizarea veniturilor din revânzarea datelor furate de la companii, sunt luaţi în vizor liderii în sectoarele inovaţie, cercetare şi dezvoltare, precum şi cei care deţin un know-how care îi diferenţiază de alţii. Cine altcineva poate reprezenta imaginea calităţii şi fiabilităţii, produse ale unui know-how şi ale unei rigori confirmate, mai bine decât marca Swiss Made?
Un studiu privind liderii în sectorul inovaţiei atestă că Elveţia este numărul 1 mondial6. Un al doilea studiu privind numărul de brevete depuse în fiecare an, înlătură orice îndoială: Elveţia este o ţintă foarte interesantă. Şi un paradis pentru spionajul industrial şi economic.

Contrar multor prejudecăţi, transformarea într-un cibercriminal necesită destul de puţine cunoştinţe tehnice.Instrumentele de „test de intruziune” sunt suficient de puternice şi de simplu de utilizat. Tutorialele şi serviciile de asistenţă permit oricui transformarea într-un „hacker” în câteva click-uri7.

Rămâne de discutat oportunitatea. Companiile elveţiene subestimează mult riscurile legate de Internet. Multe dintre acestea nu se protejează suficient. Acest aspect e detaliat în capitolul următor, Sindromul „noi nu suntem bancă”.

2. Sindromul „noi nu suntem bancă”

În timp ce băncile şi marile multinaţionale par să fi înţeles importanţa crucială a protecţiei împotriva cibercriminalităţii şi chiar dispun de mijloacele şi competenţele necesare, situaţia este încă foarte diferită în ceea ce priveşte majoritatea companiilor elveţiene. Sunt respinse investiţii esenţiale deoarece puterea de conștientizare a pericolului este slăbită de lipsa de cunoștinţe tehnice, precum și de sentimentul prezent la mulţi dintre directorii de companii: „cine ar vrea să ne atace? Totuși, noi nu suntem bancă”.

75% dintre companii sunt expuse la riscuri inacceptabile

Studiul Clarity of Cyber Security de KMPG8 evidenţiază situaţia alarmantă a companiilor elveţiene. Pentru 75% dintre companiile studiate, confruntarea cu un incident de ciber-securitate este principalul motiv pentru efectuarea de investiţii în securitate. Concluzia, 75% dintre companii sunt expuse la riscuri considerate inacceptabile pentru persoanele din conducere. Aceste riscuri deci fie nu fuseseră identificate, fie fuseseră greșit înţelese sau evaluate.

Or, paleta de companii studiate este constituită în majoritate din companii din sectorul financiar sau multinaţionale de la care se așteaptă un anumit nivel de maturitate, de mijloace și de competenţe în ciber-securitate și în gestionarea riscurilor mai avansat decât media. În altă ordine de idei, este bine de reţinut că o mare parte din economia elveţiană este generată de IMM-uri. Acestea reprezintă 66% din locurile de muncă din Elveţia, conform Oficiului Federal de Statistică9. Proporţia reală a companiilor expuse riscurilor inacceptabile este deci mai degrabă în jurul valorii de 90% decât de 75%.

Decalaj mare între percepţia directorilor și realitatea din teren

Pe scurt, directorii se cred protejaţi corespunzător și sentimentul de încredere e dominant, persoanele însărcinate cu securitatea informatică (atunci când această funcţie există în cadrul companiei) sunt preocupate de obiectul muncii lor, iar experţii externi în chestiuni de securitate implicaţi în cazul unui incident sau experţii externi de evaluare sunt îngroziţi de ceea ce constată.

Cu ocazia zilei strategice 2015 a CLUSIS, au putut fi colectate cifre ilustrative. Astfel, 87% dintre responsabilii cu chestiunile de securitate (RSSI) se consideră în prezent expuși unor riscuri importante. A se remarca faptul că această cifră este rezultatul evaluării a 90% din companiile expuse la riscuri inacceptabile.

Or, doar 62% dintre RSSI consideră că persoanele din conducerea companiilor lor înţeleg aceste riscuri. Aceste cifre sunt coroborate în studiul KPMG citat mai sus, în care 56% dintre companiile studiate deţineau o metodă pentru a îmbina business-ul cu riscurile cibernetice.

Iar situaţia este și mai îngrijorătoare. De pildă, printre persoanele studiate de CLUSIS, 66% deţin o analiză de risc întocmită de mai mult de un an. În medie, sunt publicate între 15 și 20 de vulnerabilităţi de securitate zilnic, 6.419 în 2015, din care 1.181 au permis preluarea controlului complet asupra dispozitivului afectat. Aceste date demonstrează că riscurile legate de noile tehnologii trebuie de acum înainte reevaluate zilnic, și chiar în timp real.

De unde această lipsă de proactivitate sau de viziune?

Fiecare companie se confruntă cu realităţi diferite. Și totuși, există cauze cu o recurenţă mai mare decât a altora. Motivele acestei lipse de proactivitate sunt adesea o combinaţie de patru cauze, cu un bilanţ diferit de la o organizaţie la alta: gradul de familiarizare a conducerii vizavi de noile tehnologii și de digitalizare, capacitatea experţilor tehnici de a prezenta riscurile într-un mod comprehensibil pentru persoanele din conducere, numărul și gradul de complexitate a sistemelor informatice și de telecomunicaţii și, în fine, înţelegerea aspectelor care pot reprezenta o valoare sau o motivaţie pentru cibercriminali.

A gândi precum protenţialul său inamic

Așa cum a fost explicat și anterior, cei care lansează un atac au un obiectiv principal: banii. Pentru a se proteja de atacuri, trebuie înţeleasă valoarea pe care cibercriminalii ar putea s-o intuiască în cadrul companiei.

Această valoare poate constitui simplul fapt de a deţine un cont în bancă, cum a demonstrat-o „frauda președintelui”: atacatorii se dau drept directorul companiei sau directorul economic și cer efectuarea unei plăţi în regim de urgenţă pentru o tranzacţie care trebuie să rămână confidenţială. Poliţia Cantonului Vaud indica în 2014 numeroase astfel de speţe, cea mai importantă implicând o sumă de 1,8 milioane de franci10. O sumă care poate pune la pământ majoritatea IMM-urilor, dacă nu deţin asigurările necesare. Aceste fraude sunt de actualitate încă, așa cum o confirmă și apariţiile în media11.

O altă motivaţie constant subestimată o reprezintă valoarea informaţiilor cu privire la clienţi, care permit acţiuni împotriva clienţilor înșiși, precum:

  • Furtul de date personale permite uzurparea identităţii și însușirea bunurilor unei persoane fizice, sau atacarea unei companii în ingineria socială.
  • Furtul de informaţii confidenţiale, precum planurile dispozitivelor de securitate ale unei companii sau ale unei persoane private permite o spargere reală. Acest exemplu e aplicabil sectorului asigurărilor, unde se efectuează o evaluare a amplasamentului obiect al unui contract de asigurare, dar și tuturor celor care fac analize diagnostic, evaluări, inspecţii, controale sau audituri în domenii precum securitatea fizică, securitatea informatică, sănătatea la locul de muncă, securitatea la incendiu, certificarea industrială etc. Acest furt poate fi doar o etapă în procesul infracţional; scopul final poate fi, de exemplu, spionajul industrial.
  • Furtul de informaţii care nu au aparenţa unor date confidenţiale, precum inventarele de software-uri informatice, versiunile acestora, numele dispozitivelor, datele de contact, numerele contractelor etc. Toate aceste informaţii pot fi exploatate pentru pregătirea unui atac împotriva ţintei finale. Probabil toate societăţile deţin informaţii de acest tip.
  • Introducerea sau ștergerea unei tranzacţii într-un/dintr-un sistem: un traficant poate avea interes în ștergerea urmelor unui transport de mărfuri. Sau invers, un infractor poate avea de câștigat din inserarea unei tranzacţii care nu s-a efectuat niciodată pentru mascarea unei spălări de bani. Astfel, compania se poate regăsi implicată în activităţi de trafic sau alte fraude.
  • Problematica spionajului industrial sau economic, constituind un caz aparte, va fi tratată în capitolul următor, Dacă nu s-a detectat nimic nu înseamnă că nu s-a întâmplat nimic.

3. „Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic ”

„Nu s-a întâmplat nimic, suntem bine protejaţi, poate chiar prea protejaţi. Putem cu siguranţă să reducem costurile.”Această mentalitate persistă în Elveţia. Și totuși, se neglijează faptul că industria numărul 1 în Elveţia, reprezentată de sectorul bancar, a fost constrânsă să își revizuiască întreaga strategie în urma unor furturi de date ale clienţilor din numeroase bănci. Secretul bancar elveţian ar fi fost încă solid în prezent fără aceste furturi de date. Băncile sunt considerate ca având cel mai înalt sistem de securitate și, cu toate acestea, nu detectaseră aceste furturi de date înainte ca autorităţile altor state să le semnaleze.

Puţine atacuri sunt vizibile

Raportul Symantec din 2016 cu privire la ameninţările pe Internet ilustrează profunzimea problemei acţiunilor nedetectate ale cibercriminalilor12: aproximativ 75% din site-urile legitime (adică cele care nu pot fi folosite în activităţi infracţionale) au vulnerabilităţi tehnice care le permit cibercriminalilor să atace vizitatorii acestor site-uri.

Dacă atacurile prin blocarea distributivă a serviciului (DDOS), acele acţiuni al căror scop este întreruperea serviciului, sunt vizibile imediat, nu același lucru se poate afirma în cazul în care scopul atacatorului este furtul de date. Se poate chiar ca furtul să nu fie niciodată detectat. Atunci când consecinţele ies la iveală, este posibil să nu se mai poată stabili niciodată cu certitudine o legătură cu un furt de date informatice. Exemplul cel mai elocvent este spionajul industrial.

Detectarea unuia care fotocopiază toate documentele unei companii nu era ușor. Fie era prins asupra faptei, fie erau depistate un număr neobișnuit de copii. Se putea detecta o creștere a costurilor legate de fotocopiatoare (toner, hârtie, întreţinere), iar gestul reflex ar fi fost atenţionarea persoanelor în scopul reducerii utilizării aparatelor.

În lumea virtuală, problematica rămâne aceeași: jurnalele de activităţi relevă o creștere a activităţilor, însă cum acest lucru nu generează costuri suplimentare pentru companie, ar fi surprinzător ca acest lucru să fie detectat cu mijloacele obișnuite sau tradiţionale. Sunt necesare noi metode și tehnologii.

În ambele cazuri, consecinţele pot fi teribile: un concurent poate propune același produs sau serviciu la costuri mai reduse, punând în pericol compania și locurile de muncă asigurate de aceasta.

Spionajul economic, o realitate

Center for Strategic and International Studies (CSIS) a estimat în 2014 costurile infracţiunilor cibernetice și spionajului economic la 445 de miliarde de dolari13. În 2013, CSIS condusese un studiu care lega spionajul economic cu pierderea de locuri de muncă în Statele Unite. Rezultatul era alarmant: pierderi de 100 de miliarde de dolari cauzate de spionajul economic și 508.000 de locuri de muncă pierdute, adică 0,3% din totalul locurilor de muncă din Statele Unite14.

Impactul spionajului economic sau al spionajului industrial asupra Elveţiei este foarte greu de cuantificat. Și totuși, numărul exemplelor continuă să crească. O societate precum Kudelski/Nagra, care utilizează tehnologii de ultimă generaţie în domeniul în care activează și în ciber-securitate, a fost obligată în repetate rânduri să-și apere proprietatea intelectuală în faţa instanţelor împotriva unor societăţi de renume, fără ca un act de spionaj să poată fi totuși demonstrat. Comerţul cu amănuntul în Elveţia a fost victima mai multor atacuri ţintite în ultimele luni, guvernul elveţian a fost de asemenea ţintit, deznodământul mediatic fiind furtul de date de la compania publică din domeniul aeronauticii și apărării RUAG.

De ce se recurge la spionaj?

Odată cu globalizarea, anumite persoane se consideră în stare de război economic, unde orice act ofensiv este permis. Sumele investite în cercetare și dezvoltare sunt colosale, viitorul multor companii, mari sau mici, startup-uri sau cu un istoric lung, depinde de această capacitate de a inova, de a fi primii pe piaţă, de a concretiza o idee, de a pune în practică un principiu. După cum am menţionat deja, Elveţia este lider mondial în inovare.

Dacă concurenţii ar putea evita aceste investiţii în timp și în resurse, ar deţine un avantaj competitiv cel puţin substanţial, dacă nu chiar determinant.

Anumite companii, sau, cel mai adesea, anumite persoane dintr-o companie care nu deţin același nivel în termeni de inovare și deontologie, neavând răbdarea sau posibilitatea de a atinge rezultatele propriilor cercetări, sunt tentate. Cât ar fi dispuse să plătească pentru a obţine informaţii care să le permită să obţină un produs sau un procedeu similar, însă fără costurile și timpul necesare cercetării și testării?

Infractorii cibernetici se angajează să obţină anumite informaţii, sau propun spontan informaţii furate de la concurenţi. Târgul e foarte rentabil, după cum s-a văzut.

4. Obiectele conectate anunță o catastrofă?

Obiectele conectate fac parte din viaţa noastră de zi cu zi. Potrivit Gartner15, aproape 5 miliarde de obiecte conectate erau folosite la sfârșitul anului 2015, și vor fi mai mult de 20 de miliarde până în 2020. Or, aceste obiecte conectate nu sunt suficient securizate. Nu există norme de control înainte de punerea pe piaţă de noi aparate.

Când realitatea depășește ficţiunea și produce frisoane

Exemplele se multiplică: mașina pe care hackerii o accidentează, hackeri care preiau controlul unui pacemaker de la distanţă și declanșează un electroșoc care ar putea ucide dacă dispozitivul ar fi implantat unei persoane, camere de supraveghere ale cărei imagini au fost publicate pe un website rusesc, pasagerul care modifică electronica unui avion de linie și reduce puterea unui motor în perioada în care conexiunea la Internet din avion devine posibilă etc.

20 de miliarde de obiecte conectate în 2020

În prezent, 5 miliarde de obiecte conectate sunt folosite și transmit date pe Internet fără ca proprietarii lor să aibă vreun control în această privinţă, în majoritatea cazurilor. Vor fi 20 de miliarde de obiecte conectate.

Riscurile nu sunt înţelese și sunt subestimate

Faimosul frigider conectat la Internet este disponibil marelui public. Pentru mulţi, nu există niciun risc direct asociat. Trecem cu vederea faptul că, dacă este oprit la distanţă și apoi repornit, mâncarea poate deveni improprie consumului și poate provoca boli sau absenţe de la locul de muncă pe motive medicale neprevăzute. Un pericol adesea ignorat rezidă în faptul că, dacă o persoană rău intenţionată vede conţinutul frigiderului dumneavoastră și evoluţia sa, v-ar putea produce aceste absenţe și astfel să plănuiască o spargere. Același lucru e aplicabil contoarelor electrice inteligente care permit identificarea momentelor în care locuinţa este ocupată sau goală.

La scara unei ţări, am putea să ne imaginăm consecinţele unor acţiuni care ar lua în vizor toţi locuitorii acesteia.

Așadar, în timp ce fiecare aparat electric trebuie să treacă teste și norme de control, pare surprinzător faptul că revine consumatorului evaluarea securităţii acestor dispozitive și monitorizarea noutăţilor tehnologice pentru a se asigura că nu au fost descoperite noi vulnerabilităţi de securitate ale obiectului conectat care să îi pună în pericol sănătatea și chiar viaţa.

5. Ciber-terorismul nu constituie un pericol iminent pentru Elveția

Odată cu intensificarea terorismului de masă în Europa, teama faţă de acţiuni de tip ciber-terorism crește. CLUSIS a invitat specialiști în acest subiect, în special de la Geneva Center for Training and Analysis of Terrorism16, cu ocazia zilei strategice 2016. Constatarea alungă îngrijorările, locul Elveţiei în economie nu este periclitat de ameninţări iminente, însă terorismul are legături cu Elveţia. Situaţia ar putea deci să se schimbe rapid.

Ciber-terorismul jihadist, fără cazuri decelate până în prezent

Grupul auto-proclamat Stat Islamic (SI) acţionează în spaţiul virtual în același mod ca în cel real: atacă ţinte vulnerabile din ţări care îl înfruntă. Aceste atacuri, precum cel împotriva canalului de televiziune TV5 Monde care s-a confruntat cu o întrerupere a emisiei, vizau o ţintă vulnerabilă cu numeroase breșe de securitate și asimilată în mod clar cu o ţară ostilă, Franţa.

În prezent, atacurile Statului Islamic și ale simpatizanţilor acestuia nu sunt, din punct de vedere tehnologic, prea avansate. Totuși, această situaţie s-ar putea schimba rapid.

Din perspectiva neutralităţii sale și a absenţei activităţilor directe împotriva SI, Elveţia nu reprezintă în prezent o ţintă. Însă totul se poate schimba dintr-o dată, așa cum s-a putut observa în cazul informaţiei eronate de pe Wikipedia, în care Elveţia ar fi făcut parte din coaliţia internaţională împotriva SI, și în urma căruia a fost publicat de către SI un videoclip care cerea luarea în vizor a Elveţiei.

Teroriștii SI acordă o atenţie specială mesajelor lor, în aceeași măsură ca și acţiunilor lor. În acest context, un atac împotriva intereselor Elveţiei nu ar avea sens și ar constitui o schimbare bruscă de strategie.

Cu toate acestea, dacă un simbol al unei ţări participante la coaliţia internaţională împotriva SI este mai vulnerabil în Elveţia, ar putea fi vizat de un astfel de atac, iar Elveţia ar deveni astfel victimă colaterală.

Elveţia și terorismul

Teroriștii sunt uneori mai aproape de noi decât am putea crede. Am văzut-o cu ocazia atentatelor din 11 septembrie 2001, când au fost folosite telefoane mobile elveţiene. Astfel, legislaţia s-a schimbat în ceea ce privește obligativitatea de a prezenta un act de identitate pentru o cartelă preplătită.

Atunci când grupul de hackeri-activiști Anonymous a publicat un video în care declarau că aveau să înceapă atacurile împotriva SI, răspunsul acestora din urmă nu a întârziat să apară, lansând un videoclip care a reluat punct cu punct stilul și retorica Anonymous, afirmând că identitatea membrilor Anonymous le este cunoscută și că îi vor lua în vizor inclusiv din punct de vedere fizic. Acest video a fost postat de către un cetăţean elveţian plecat în Siria și fost membru al comunităţii active a Anonymous.

6. Recomandări

Chiar dacă situaţia acuală este îngrijorătoare, anumite acţiuni adesea simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Acestea presupun decizii și acţiuni concrete nu doar din partea companiilor, dar și a autorităţilor. Iată câteva sfaturi.

Recomandări pentru autoritățile elvețiene

Implementarea strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice trebuie accelerată, devenind o prioritate pentru Consiliul Federal.

Pe site-ul Confederaţiei, cel mai recent raport asupra stadiului implementării strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice (SNPC) trece în revistă anul 201417. Același lucru se constată și la rapoartele anuale ale SCOCI – Serviciul Naţional de Coordonare a Luptei împotriva Criminalităţii pe Internet, ultimul raport datând din 201418.

Apare deci legitimă întrebarea publicului și a actorilor ciber-securităţii cu privire la existenţa ciber-securităţii pe lista priorităţilor Confederaţiei.

Consiliul Federal trebuie să dea un nou impuls Strategiei sale care datează din 2012. De atunci, am asistat la ascensiunea obiectelor conectate, la zorii celei de-a 5-a revoluţii industriale (digitalizarea) și la impresionante expansiune a infracţiunilor cibernetice. În temeiul acestor constatări, crearea unui Oficiu Federal pentru tehnologia digitală pare o idee excelentă. În așteptarea înfiinţării acestuia, Consiliul Federal ar trebui să își întărească echipa de consilieri în acest domeniu.

O filieră de formare intensivă a experţilor în ciber-securitate

Toate companiile elveţiene au nevoie de expertiză în domeniul ciber-securităţii. De la analiști la experţi tehnici la experţi care să poată transpune riscurile tehnice în măsuri de protecţie a activităţilor, a companiei, inclusiv manageri pentru situaţiile de criză.

Atunci când industria producătoare de ceasuri a avut nevoie de competenţe pentru care nu exista la momentul acela formarea specifică, a fost creată o filieră de formare. Trebuie ca acest model să fie replicat pentru a înzestra Elveţia cu experţii de care are nevoie. Există deja acest tip de formare în cadrul școlilor federale, însă aceasta trebuie suplimentată. Această acţiune este direct legată de măsura nr. 8 din SNPC.

Ciber-securitatea, tematică în toate formările de excelenţă

Suntem parte a celei de-a 5-a revoluţii industriale și toate meseriile sunt sau vor fi influenţate de digitalizare. Este important ca fiecare să se gândească la noile metode de muncă, să înţeleagă ce se va întâmpla.

Ciber-securitatea trebuie să fie un subiect important în cadrul tuturor formărilor în Elveţia. Astfel, formările din învăţământul superior ar trebui, cu foarte puţine excepţii, să conţină un modul legat de ciber-securitate pentru asigurarea maximului de competenţe pentru IMM-uri.

O formare complementară ar trebui pusă la dispoziţia absolvenţilor, pentru conștientizarea rapidă a IMM-urilor și implementarea de măsuri de securitate adecvate.

Crearea unei mărci de calitate a ciber-securităţii elveţiene

Garanţia de calitate a mărcii Swiss Made este un pilon al economiei elveţiene și al succesului său. Probabil nici nu are echivalent la nivel mondial. Elveţia trebuie să păstreze acest avantaj competitiv într-o lume a digitalizării.

Atunci când cumpărăm un aparat electric, trebuie să îndeplinească niște norme de securitate, ca și o mașină sau o locuinţă. Însă nu se spune o vorbă despre ciber-securitate. Verificarea securităţii produsului cumpărat revine persoanei în cauză, iar aceasta nu are nicio modalitate de a efectua această verificare.

Crearea unei mărci de calitate elveţiană ar fi deci întemeiată. Societăţile de asigurare ar putea fi un partener privilegiat, întrucât acestea sunt direct interesate ca asiguraţii să aleagă doar tehnologii a căror securitate a fost verificată.

Elveţia, ţară a inovării, al cărei viitor depinde de capacitatea sa de a aduce valoare adăugată, trebuie să fie un pionier în acest sector pentru a asigura în mod durabil o economie solidă.

Recomandări pentru companiile elvețiene

Directorii trebuie să se implice personal în problemele de ciber-securitate

Este crucial pentru viitorul companiilor ca directorii să înţeleagă corect mizele și riscurile la care sunt expuse activităţile lor. Nu există decât foarte puţine companii care să nu prezinte un risc cibernetic important.

Pentru IMM-uri, recrutarea și păstrarea unor veritabili experţi în ciber-securitate sunt foarte rare. Colaborarea cu societăţi specializate devine deci indispensabilă.

Directorii ar trebui să își aloce timp pentru participarea la conferinţe și seminarii despre ciber-securitate și să nu privească acest aspect ca pe o problemă tehnică de încredinţat informaticienilor. De fapt, este o problemă de afaceri.

Informaţiile cu privire la pericole și oportunităţi sunt disponibile și trebuie utilizate pentru luarea unor decizi decizii corecte

În ziua de azi, nu mai sunt admisibile scuze precum „nu mi-aș fi putut imagina” sau „nu știam”. Informaţiile sunt disponibile, însă trebuie colectate, filtrate, analizate și, pe baza lor, pot fi luate decizii corecte și pertinente. Prea puţine companii sunt conștiente de informaţiile de care pot dispune prin inteligenţa economică.

Această prelucrare a datelor în scopul luării de decizii este o meserie în sine, astfel că apelarea la experţi care să transforme aceste informaţii în factor de creștere.

Inginerii cibernetici trebuie să-și adapteze mesajele pentru a le face accesibile pentru directori

Responsabilii cu Securitatea Informaţiei (RSSI) ar trebui să ia în considerare schimbarea numelui funcţiei lor și adaptarea misiunilor și sarcinilor lor în consecinţă. Gata cu securitatea informaţiilor, trăiască protejarea afacerii. Gata cu domnia sistemelor de informaţii și cu adoptarea guvernanţei business în companie. Gata cu rapoartele despre numărul de viruşi blocaţi, despre procentul de disponibilitate sau procentul de vulnerabilităţi întâmpinate şi remediate, este vremea rapoartelor despre incidentele care au reprezentat un pericol sau despre consecinţele efective faţă de afacere, despre cauzele lor şi despre măsurile luate sau cele posibile pentru ca acestea să nu se mai repete.

Specialiştii RSSI trebuie să se înarmeze cu informaţii despre activităţile infractorilor cibernetici

Infractorii cibernetici pun la dispoziţia „colegilor” lor informaţii cu privire la modul de ocolire a tehnologiilor, a măsurilor de securitate, dar şi date despre „capturile” lor. Specialiştii RSSI ar trebui să aplice aceleaşi tehnici: schimburi de informaţii, supravegherea activităţilor pe dark web (oare conturile de acces de la compania dumneavoastră sunt de vântare pe dark web?, se pregăteşte un atac împotriva datelor dumneavoastră?, care sunt tehnicile actuale utilizate de softurile malware?, care sunt campaniile de phishing şi de spearphishing în desfăşurare?).

Mijlocul cel mai eficient este probabil instituirea unei şedinţe regulate, în cadrul căreia experţi în domeniu să susţină prezentări.

În orice caz, există numeroase societăţi experte în acest domeniu, iar abonarea la programele lor de supraveghere şi alertare pare o metodă mai eficientă decât instalarea de instrumente, angajarea de experţi şi păstrarea lor în echipă, pentru a evita ca aceştia să se transforme în îndrumători pentru concurenţii dumneavoastră.


1 Raportul PWC Global Economic Crime Survey 2016: http://www.pwc.com/gx/en/services/advisory/consulting/ forensics/economic-crime-survey/cybercrime.html
2 Raportul CryptoWall version 3 threat: http://cyberthreatalliance.org/cryptowall-report.pdf
3 Raportul CSIS, The economic impact of the cybercrime and cyber espionage: http://www.mcafee.com/es/resources/reports/rp-economic-impact-cybercrime.pdf
4 PIB 2014 conform Oficiului Federal de Statistică: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/04/02/01/key/bip_nach_einkommensarten.html
5 Raportul Allianz Global Wealth Report: https://www.allianz.ch/fr/news/2015/allianz-global-wealth-report/
6 Raportul Global Innovation Index 2015: https://www.globalinnovationindex.org
7 Instrument de test de intruziune Metasploit: https://www.rapid7.com/products/metasploit/
8 Studiu KPMG Clarity on Cyber Criminality: https://www.kpmg.com/ch/en/library/articles-publications/documents/advisory/ch-pub-20150526-clarity-on-cyber-security-en.pdf
9 Statistici ale l’OFS: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/06/02/blank/key/01/groesse.html
10 Poliţia Cantonului Vaud: www.vd.ch/autorites/departements/dis/policecantonale/ medias/communiques-de-presse/archives/2014/1/28/articles/lesarnaques-contre- des-entreprises-se-poursuivent/
11 Tribune de Genève: www.tdg.ch/suisse/Geneve-croule-sous-les-fraudes- aupresident/story/25476180
12 2016 Internet Security Threat Report: www.symantec.com/security-center/threat-report 13 2014 CSIS-McAfee Global Cost of Cybercrime: www.csis.org/events/2014-mcafeereport-global-cost-cybercrime et www.mcafee.com/us/resources/reports/rpeconomic-impact-cybercrime2.pdf
14 CSIS Estimating the Cost of Cybercrime and Cyber Espionage: www.csis.org/news/csis-releases-fi rst-study-connect-cybercrime-job-loss
15 Studiul Gartner: http://www.gartner.com/newsroom/id/3165317
16 www.gctat.org
17 https://www.isb.admin.ch/isb/fr/home/themen/cyber_risiken_ncs.html
18 https://www.cybercrime.admin.ch/kobik/fr/home/publiservice/berichte.html

clussis

Mulţumiri
CLUSIS ţine să mulţumească următoarelor persoane:
– Johny Gasser, Orange Business Switzerland, autorul raportului de faţă

Intervenienţii din cadrul zilei strategice:
– Marco Obiso
– Joseph Billy Jr vicepreşedinte în securitate la Prudential şi fost Director FBI
– Mauro Vignati, Serviciile de informaţii ale Confederaţiei – Isabelle Augsburger- Bucheli, ILCE
– Sébastien Jaquier, ILCE
– Albert Pélissier, Pélissier & Partners
– Doron Tenne SICPA
– Gal Messinger, STMicroelectronics
– Jean-Paul Rouiller
– Alain Bauer, Prof. de criminologie aplicată, AB Associates – André Bourget, Cantonul Vaud
– Henri Haenni, Abilene Advisors
– Maxime Feroul, Kyos
– Luckner Saint-Dic, TriskaManagement
– Marco Preuss, Kaspersky Lab
– Jeff Primus, Actagis
– Jonathan Rod, Fortinet
– Vincent Bieri, Nexthink SA
– Brice Renaud, Palo Alto Networks
– Paul Such, SCRT
– Nicolas Arpagian, Director ştiinţific, Ciclul „Sécurité Numérique”, Institut National des Hautes Etudes de la Sécurité & de la Justice

Comitetul CLUSIS:
– Enrico Viganò, Preşedinte
– Brian Henningsen, Vice-Preşedinte
– Ursula Sury, Vice-Preşedinte pentru Elveţia Germană
– Luca Tenzi, Vice-Preşedinte pentru Elveţia Italiană
– Christophe Actis, Lara Broi, Catherine Charroin, Nadia Dali, Mo Kardaras, Sabah Detienne, Raoul Diez, Isabelle Dubois, Henri Haenni, Stefan Lüders, Giovanna DiMarzo, Albert Pélissier, Jean-Luc Pillet, Pierre Toquard, Nicolas Vernaz, Sam Vuilleumier.

Expert internațional recunoscut în domeniul securității, cu peste 15 ani de experiență, Johny Gasser acordă asistență companiilor multinaționale în scopul organizării eficiente a cibersecurității. A fost auditor IT și Information Risk Management Advisor la firma KPMG. Apoi, dorința sa de a rezolva și de a anticipa probleme l-a făcut să se alăture companiei Orange Business. Este adesea invitat în calitate de speaker la numeroase congrese internaționale de prestigiu, printre care se pot enumera evenimentele organizate de ISACA, IIA, MIT, CLUSIS, GMU International Cyber Center și multe altele.

164

„După aproape o sută șaizeci de ani de la Unificarea Italiei, nu am reușit încă să realizăm fuziunea celor nouă state din care s-a născut Italia modernă. Rezultatul este vizibil: un stat fragmentat în mai multe realităţi care nu comunică între ele. Anumite regiuni din nord se pot lăuda cu deţinerea unor standarde de producţie și a unui nivel de trai apropiate cu cele din Europa centrală, în timp ce regiunile din sud continuă de prea mult timp să stagneze, rămânând încă departe de zorii vreunei dezvoltări. Reprezentanţii politici devin din ce în ce mai concentraţi pe propriul viitor, fără a manifesta vreun interes pentru dialog sau dezbatere, și au pierdut din vedere responsabilitatea care le incumbă, implicarea în destinul teritoriilor și al comunităţilor.

autor:
Massimiliano Cannata

Din această pricină, „Rapporto Italia 2017” al Eurispes, recent prezentat la Roma în sediul prestigioase Biblioteci Naţionale Castro Pretorio, zugrăvește o „Italie polimorfă”. „Ţara noastră este angoasată” – explică Președintele Gian Maria Fara – „rata sărăciei este în creștere (unul din patru italieni consideră ca va deveni sărac, în special în cazul pierderii locului de muncă), iar acest lucru este reflectat clar de faptul că jumătate din familiile italiene au mari dificultăţi în momentul în care trag linie la sfârșitul lunii, iar foarte mulţi tineri (în jur de 13%) s-au văzut nevoiţi să revină în locuinţa familială din cauză că nu aveau un loc de muncă”.

Ca în fiecare an, prezentarea raportului Eurispes a permis studierea îndeaproape a multor fenomenologii sociale și economice, prin analize și cercetări conduse de Institut. Printre acestea, lumea TIC a devenit una dintre temele centrale ale dezbaterii.

Ciber-spațiul: un avantaj ce merită păstrat

Conform previziunilor raportului Global Risks 2014 al World Economic Forum, în 2020 pierderile economice cauzate de atacurile cibernetice ar putea atinge trei mii de miliarde de dolari. Nu vor fi deci suficiente doar iniţiativele individuale pentru a face faţă unei urgenţe atât de grave. Este necesară elaborarea de planuri strategice de spectru larg, care să fie capabile să implice sectorul public, sectorul privat și cercetarea, în scopul realizării unei administrări a riscului informatic eficientă.

Atacurile informatice cauzează doar companiilor italiene daune estimate la mai mult de 9 miliarde de euro anual. Puterea și fragilitatea se asociază, în cadrul „infosferei”, „teritoriului” vital care conţine datele confidenţiale și informaţiile sensibile. Infractorii cibernetici cunosc bine acest lucru, și aleg acest domeniu ca ţintă principală a celor mai puternice atacuri la nivel mondial, adică aproape 68% dintre cazuri în 2015 (faţă de 60% în 2014). În timpul primului trimestru din 2015, infracţiunile informatice au înregistrat un salt de 30% faţă de întreg anul 2014, reprezentând mai mult de 66% dintre cele mai grave atacuri informatice. Acţiunile infractorilor vizează cel mai adesea infrastructuri critice, ca de exemplu reţele de distribuţie de energie sau reţele de telecomunicaţii. Și în acest caz, perioada de joncţiune a fost reprezentată de primul semestru al anului 2015, când s-au înregistrat mai mult de 20 de atacuri de acest tip, faţă de doar două atacuri înregistrate pe tot parcursul anului 2014 (așadar, o creștere de 900%). (Sursa: lucrarea Eurispes, bazată pe datele Clusit, 2016).

Printre potenţialele victime ale atacurilor informatice, se numără atât instituţii publice, cât și companii. IMM-urile sunt de departe cele mai vulnerabile, întrucât securitatea cibernetică presupune costuri, în special pentru implementarea unui sistem de protecţie eficientă, cheltuieli pe care companiile din această categorie nu și le pot întotdeauna permite. Dintr-un alt punct de vedere, nu trebuie subestimate daunele economice, dar și de prestigiu pe care companiile victime ale atacurilor informatice vor trebui să le suporte.

Diversele tipologii de atacuri

Conform analizelor din raportul Clusit, în Italia, sectoarele cele mai afectate de atacurile informatice au fost următoarele: informaţiile și jocurile: media online, precum și platformele de blogging și de gaming au suferit în 2015 o creștere cu 79% a atacurilor faţă de 2014; automotive: atacurile din 2015 au crescut cu 67% faţă de anul precedent; cercetare și educaţie: în acest sector, atacurile au crescut cu 50%, cu o tendinţă clară pentru activităţile de spionaj; facilităţi de cazare, hoteluri, restaurante, rezidenţe individuale și colective reprezintă o nouă categorie în raportul Clusit. În această din urmă categorie, atacurile au vizat utilizatorii. În fiecare lună, unul din trei atacuri își îndeplinește scopul și este descoperit prea târziu. În 66% dintre cazuri, descoperirea atacului nu are loc decât la mai multe luni (faţă de media globală de 51%), doar în 7% dintre cazuri (media globală) accesările prin efracţie sunt descoperite după câteva zile și în 16% dintre cazuri, după câteva săptămâni (faţă de media globală de 22%). Sursa: lucrarea Eurispes, bazată pe datele Accenture, „High Performance Security Report”, 2016

Conform unui studiu efectuat de Accenture, „HfS”, majoritatea organizaţiilor se confruntă cu lipsa în bugete a sumelor consacrate angajării de personal specializat în apărarea împotriva atacurilor informatice. 42% dintre companiile contactate declară că este nevoie urgentă de creșterea fondurilor necesare angajării de

Al 29-lea Raport Italian al Eurispes

specialiști în securitate, dar și formării resursei umane deja disponibile în cadrul companiei. 54% dintre companiile respondente consideră că această resursă este insuficient pregătită pentru prevenirea sau îndeprtarea atacurilor de securitate.

De mare interes sunt și descoperirile celui de-al patrulea studiu internaţional de la Zürich cu privire la riscul atacurilor informatice, care evidenţiază, în ceea ce privește atacurile, efectele de care se tem cel mai mult IMM-urile: furtul de date despre clientelă (20%), atingerile aduse reputaţiei companiei (17%), furtul unor sume de bani (11,5%), furturi/uzurpări de identitate (7,5%) și furturi de date despre angajaţi (6,5%).

Angajament cu privire la securitate

În ciuda gravităţii unui fenomen în plină expansiune, trebuie subliniat că doar 19% dintre marile companii au maturitatea necesară care să le permită o viziune pe termen lung cu privire la securitate, dar și dezvoltarea de planuri concrete care să implice abordări tehnologice, iar organizaţia să definească cu precizie rolurile fiecăruia în ecosistem. În schimb, 48% din companii nu sunt decât în stadiul iniţial în parcursul lor spre o securitate digitală.

Printre ameninţările cele mai frecvente în decursul celor doi ani, se remarcă: malware (80%), phishing (70%), spam (58%), atacuri de tip ransomware (37%), precum și fraude (37%).

Principalele vulnerabilităţi identificate sunt: conștientizarea colaboratorilor în ceea ce privește politicile și bunele practici comportamentale (79%), distragerea atenţiei (56%), accesul mobil la informaţiile companiei (45%), prezenţa dispozitivelor mobile personale (33%). Companiile au înţeles în special nevoia de a integra în cadrul personalului responsabili pentru managementul strategiilor de securitate cibernetică.

Cu toate acestea, în prezent, mai puţin de jumătate dintre marile companii (42%) au printre angajaţi un Chief Information Security Officer (CISO), adică un specialist ale cărui atribuţii sunt definirea viziunii strategice, implementarea programelor de protecţie a resurselor informaţionale ale companiei și minimizarea riscurilor, în timp ce în 10% dintre cazuri, introducerea acestui angajat este prevăzută în cursul acestui an. (Sursa: Osservatorio Information Security & Privacy, School of Management, Politecnico di Milano.)

În 36% dintre cazuri, securitatea informaţiei este încredinţată altor persoane în cadrul companiei, cum ar fi responsabilul cu securitatea. 12% dintre companii nu au încă o persoană dedicată acestei sarcini și nu au programat introducerea acesteia în efectivul de personal pe termen scurt. În altă ordine de idei, creșterea volumului de date și eterogenitatea surselor de informaţii fac necesară crearea unor posturi dedicate gesionării problemelor de privacy. Noul Regulament european privind protecţia datelor cu caracter personal introduce postul de Responsabil cu protecţia datelor (Data Protection Officer – DPO), a cărui existenţă va fi obligatorie pentru instituţiile publice și în cazurile specifice prevăzute de noul act normativ al UE. Responsabilul cu protecţia datelor este un specialist cu competenţe juridice, informatice, care cunoaște managementul riscurilor și analiza proceselor companiei; acesta implementează politica de gesionare a prelucrării datelor cu caracter personal, supraveghind îndeplinirea exigenţelor normative în vigoare.

Principalele obstacole

Cele mai mari obstacole cu care se confruntă companiile italiene în prezent în eforturile lor de a face faţă eficient atacurilor cibernetice rămân aceleași. Competenţele profesionale: companiile invocă lipsa mijloacelor pentru efectuarea de investiţii în formarea și angajarea de specialiști, tocmai într-un mediu în care formarea și sensibilizarea culturală sunt elemente fundamentale pentru protejarea împotriva infracţiunilor cibernetice. Bugetul: securitatea cibernetică necesită investiţii nu doar în materie de formare a resursei umane, ci și în tehnologii de ultimă generaţie (ca de pildă aplicaţii privind platforme de cognitive computing, inteligenţă artificială sau platforme de criptare a datelor). Calitatea managementului: adesea, managementul executiv consideră securitatea cibernetică o cheltuială superfluă, deși tocmai acesta ar trebui să definească o strategie viabilă proprie de securitate care să ţină cont de priorităţile afacerii printre care se regăsesc atât menţinerea reputaţiei companiei, cât și protecţia datelor acesteia.

Massimiliano Cannata (Palermo, 1968), Filozof, ziarist profesionist, autor televizual, este un expert consultant în domeniul comunicării întreprinderilor. Este membru al comitetului științific al „Anfione e Zeto”, colaborează cu„Technology Review”,„L’impresa”,„IlGiornale di Sicilia”, „Centonove Press”. Este autor al mai multor texte, centrate pe diferite subiecte, precum inovare socială, a formării, a dezvoltării organizaționale și manageriale

EDITIE SPECIALA – INTERNET OF THINGS

1591
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1338
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2368
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1431
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1376
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1381
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...