Saturday, September 21, 2019
Focus

640

Raport care prezintă concluziile și elementele de reținut din ziua strategică 2016 a Asociației elvețiene pentru securitatea informațiilor (CLUSIS). În cadrul sesiunilor s-au abordat subiecte precum riscurile și starea actuală în confruntarea cu cibercrimi- nalitatea și ciberterorismul, grație intervenției experților naționali și internaționali de prestigiu. Fiecare actor din rețeaua economică elvețiană este vizat și ar trebui să ia măsuri complementare.

Sinteză
Elveţia este una din ţintele cibercriminalilor. Aceștia sunt interesaţi în special de Elveţia din cauza a trei motive principale:

  • elveţienii sunt printre cei mai bogaţi oameni din lume, așadar se fură acolo unde se găsește de furat;
  • Elveţia este un lider mondial în inovaţie, iar inovaţia implică inteligenţă ce poate fi furată (spionaj industrial și economic);
  • atât elveţienii cât și întreprinderile elveţiene subestimează foarte mult riscurile legate de Internet.

autor:
Johny Gasser

Riscuri subestimate, sindromul „noi nu suntem bancă”

Marea majoritate a întreprinderilor elveţiene (între 75 și 90%) se confruntă cu ciber-riscuri inacceptabile și nu iau măsuri de diminuare a lor decât după producerea unui incident grav. Întreprinderile elveţiene, în special IMM- urile, sunt prea numeroase pentru ca valoarea informaţiilor disponibile în sistemele lor și în celelalte aparate mobile să poată fi subestimată.

Modelul economic al infractorilor și al întreprinderilor care practică spionajul industrial nu este înţeles aproape deloc. Piratarea și spionajul industrial reprezintă activităţi economice foarte profitabile, cu o cifră de afaceri anuală estimată la 400 de miliarde de dolari.

„Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic”

Majoritatea atacurilor sunt silenţioase și foarte dificil de detectat. De pildă, băncile elveţiene nu detectaseră furtul de date ale clienţilor care a reprezentat începutul devoalării secretului bancar în Elveţia. Și totuși, băncile aparţin unui sector matur în ceea ce privește ciber securitatea. Acest fapt a ușurat înţelegerea dificultăţilor cu care se confruntă IMM-urile, sector care reprezintă majoritatea locurilor de muncă în Elveţia. Spionajul economic și industrial este o realitate, cu precădere în ţările cu un know-how recunoscut sau în care inovaţia reprezintă un domeniu productiv. Elveţia deţine ambele trăsături.

Obiectele conectate anunță o catastrofă?

Odată cu apariţia obiectelor conectate, trăim o a cincea revoluţie industrială. Din păcate, aceste obiecte sunt adesea concepute fără a se lua în considerare încă de la început aspectul securităţii și fără implicarea unor experţi în securitate. Consecinţa: regăsim aceleași greșeli care se făceau și la începuturile web-ului. Combinaţia dintre creșterea exponenţială a numărului obiectelor conectate (500 de miliarde de obiecte conectate în 2020) și lipsa lor de securitate zugrăvește un tablou deloc îmbucurător pentru viitorul persoanelor și companiilor.

Ciber-terorism, companiile elvețiene nu fac față unui pericol imediat

Elveţia nu reprezintă o ţintă prioritară pentru jihadiști. Atentatele constituie adesea acţiuni de represalii, iar cât timp Elveţia și companiile de pe teritoriul acesteia nu sunt implicate în acţiuni în cadrul conflictelor teritoriale ale terorismului, riscul rămâne scăzut.

Situaţia poate fi îmbunătăţită. Dacă starea actuală este îngrijorătoare, unele acţiuni simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Toate acestea necesită decizii și acţiuni concrete nu doar din partea companiilor, ci și a autorităţilor.

Prezentul document descrie câteva recomandări.

1. Elveția, o țintă pentru cibercriminali

Elveţia, companiile și cetăţenii săi prezintă o atracţie însemnată pentru cibercriminali. Pentru a înţelege nivelul real al ameninţării, trebuie analizat „business-model”-ul cibercriminalităţii.

Infracţionalitatea cibernetică este organizată ca o industrie

Conform PWC, cibercriminalitatea este o industrie înfloritoare, ocupând locul 2 în clasamentul infracţiunilor economice, și este singura infracţiune economică în creștere în anul 20151. Rapiditatea cu care se răspândește și gradul acesteia de maturitate au stârnit uimire. În ultimul timp, cibercriminalitatea este organizată ca o industrie „clasică”: cu furnizori, prestatori de servicii, suport post-achiziţie, legile pieţei care determină preţurile, platformele „crime as a service”: cumpăraţi un atac prin câteva click-uri, dacă nu funcţionează contactaţi hotline-ul și vi se pot chiar rambursa banii în cazul în care rezultatele nu au fost atinse…

Venituri egale cu PIB-ul Elveţiei

Cifra de afaceri a unei singure versiuni a unui malware, versiunea 3 a CryptoWall2, este de 325 de milioane de dolari, pe parcursul a doar două luni. Într-unul din studiile cele mai aprofundate în legătură cu acest subiect, The economic impact of the cybercrime and cyber espionage3, publicat în 2013 de către Center for Strategic and International Studies, veniturile cibercriminalităţii au fost estimate între 300 și 1000 de miliarde de dolari, așadar o medie de 650 de miliarde de dolari, suma ce reprezintă PIB-ul Elveţiei în 20144.

Aceste venituri provin din diverse activităţi, cele mai importante fiind: vânzarea de malware care permit acţiuni ilegale, vânzarea de date furate pentru înfăptuirea de fraude (de exemplu, în ceea ce privește cardulbancar),activităţilegatedespionajulindustrial (furt de date rezultate din cercetări, oferte comerciale, „know-how” etc.), precum și activităţi care afectează competitivitatea unui concurent (atac în DDOS, atac la reputaţie etc.).

Motivele atacării Elveţiei

Opinia generală susţine că trebuie întrunite trei elemente pentru ca o infracţiune să fie săvârșită: un mobil, o oportunitate și mijloacele necesare. Este de la sine înţeles că banii obţinuţi cu ușurinţă reprezintă mobilul. Din acest punct de vedere, Elveţia reprezintă o ţintă pentru cibercriminali din motive foarte ușor de înţeles.

Să luăm două exemple: primul, infractorul cibernetic vizează persoane fizice, plecând de la premisa că acestea deţin mai puţine sisteme de securitate decât companiile, și probabil și mai puţină expertiză. Al doilea, infractorul cibernetic este încrezător în capacităţile sale și dorește să-și maximizeze veniturile atacând companii și mizând deci pe revânzarea informaţiilor.

Cazul nr. 1 – Persoanele fizice sunt vizate

Luând în vizor persoanele fizice, infractorul cibernetic trebuie să găsească persoane care să deţină sume importante de bani și care să fie bine conectate la Internet.

Prima căutare va avea scopul de a-i descoperi pe cei mai bogaţi.În urma unei simple interogări este relevat faptul că familiile elveţiene sunt cele mai bogate din lume5. Ţinta se conturează. Iar, după o verificare asupra ratei de acces la Internet, ţinta se definește: vor fi vizaţi elveţienii.

Cazul nr. 2 – Spionajul industrial

Pentru maximizarea veniturilor din revânzarea datelor furate de la companii, sunt luaţi în vizor liderii în sectoarele inovaţie, cercetare şi dezvoltare, precum şi cei care deţin un know-how care îi diferenţiază de alţii. Cine altcineva poate reprezenta imaginea calităţii şi fiabilităţii, produse ale unui know-how şi ale unei rigori confirmate, mai bine decât marca Swiss Made?
Un studiu privind liderii în sectorul inovaţiei atestă că Elveţia este numărul 1 mondial6. Un al doilea studiu privind numărul de brevete depuse în fiecare an, înlătură orice îndoială: Elveţia este o ţintă foarte interesantă. Şi un paradis pentru spionajul industrial şi economic.

Contrar multor prejudecăţi, transformarea într-un cibercriminal necesită destul de puţine cunoştinţe tehnice.Instrumentele de „test de intruziune” sunt suficient de puternice şi de simplu de utilizat. Tutorialele şi serviciile de asistenţă permit oricui transformarea într-un „hacker” în câteva click-uri7.

Rămâne de discutat oportunitatea. Companiile elveţiene subestimează mult riscurile legate de Internet. Multe dintre acestea nu se protejează suficient. Acest aspect e detaliat în capitolul următor, Sindromul „noi nu suntem bancă”.

2. Sindromul „noi nu suntem bancă”

În timp ce băncile şi marile multinaţionale par să fi înţeles importanţa crucială a protecţiei împotriva cibercriminalităţii şi chiar dispun de mijloacele şi competenţele necesare, situaţia este încă foarte diferită în ceea ce priveşte majoritatea companiilor elveţiene. Sunt respinse investiţii esenţiale deoarece puterea de conștientizare a pericolului este slăbită de lipsa de cunoștinţe tehnice, precum și de sentimentul prezent la mulţi dintre directorii de companii: „cine ar vrea să ne atace? Totuși, noi nu suntem bancă”.

75% dintre companii sunt expuse la riscuri inacceptabile

Studiul Clarity of Cyber Security de KMPG8 evidenţiază situaţia alarmantă a companiilor elveţiene. Pentru 75% dintre companiile studiate, confruntarea cu un incident de ciber-securitate este principalul motiv pentru efectuarea de investiţii în securitate. Concluzia, 75% dintre companii sunt expuse la riscuri considerate inacceptabile pentru persoanele din conducere. Aceste riscuri deci fie nu fuseseră identificate, fie fuseseră greșit înţelese sau evaluate.

Or, paleta de companii studiate este constituită în majoritate din companii din sectorul financiar sau multinaţionale de la care se așteaptă un anumit nivel de maturitate, de mijloace și de competenţe în ciber-securitate și în gestionarea riscurilor mai avansat decât media. În altă ordine de idei, este bine de reţinut că o mare parte din economia elveţiană este generată de IMM-uri. Acestea reprezintă 66% din locurile de muncă din Elveţia, conform Oficiului Federal de Statistică9. Proporţia reală a companiilor expuse riscurilor inacceptabile este deci mai degrabă în jurul valorii de 90% decât de 75%.

Decalaj mare între percepţia directorilor și realitatea din teren

Pe scurt, directorii se cred protejaţi corespunzător și sentimentul de încredere e dominant, persoanele însărcinate cu securitatea informatică (atunci când această funcţie există în cadrul companiei) sunt preocupate de obiectul muncii lor, iar experţii externi în chestiuni de securitate implicaţi în cazul unui incident sau experţii externi de evaluare sunt îngroziţi de ceea ce constată.

Cu ocazia zilei strategice 2015 a CLUSIS, au putut fi colectate cifre ilustrative. Astfel, 87% dintre responsabilii cu chestiunile de securitate (RSSI) se consideră în prezent expuși unor riscuri importante. A se remarca faptul că această cifră este rezultatul evaluării a 90% din companiile expuse la riscuri inacceptabile.

Or, doar 62% dintre RSSI consideră că persoanele din conducerea companiilor lor înţeleg aceste riscuri. Aceste cifre sunt coroborate în studiul KPMG citat mai sus, în care 56% dintre companiile studiate deţineau o metodă pentru a îmbina business-ul cu riscurile cibernetice.

Iar situaţia este și mai îngrijorătoare. De pildă, printre persoanele studiate de CLUSIS, 66% deţin o analiză de risc întocmită de mai mult de un an. În medie, sunt publicate între 15 și 20 de vulnerabilităţi de securitate zilnic, 6.419 în 2015, din care 1.181 au permis preluarea controlului complet asupra dispozitivului afectat. Aceste date demonstrează că riscurile legate de noile tehnologii trebuie de acum înainte reevaluate zilnic, și chiar în timp real.

De unde această lipsă de proactivitate sau de viziune?

Fiecare companie se confruntă cu realităţi diferite. Și totuși, există cauze cu o recurenţă mai mare decât a altora. Motivele acestei lipse de proactivitate sunt adesea o combinaţie de patru cauze, cu un bilanţ diferit de la o organizaţie la alta: gradul de familiarizare a conducerii vizavi de noile tehnologii și de digitalizare, capacitatea experţilor tehnici de a prezenta riscurile într-un mod comprehensibil pentru persoanele din conducere, numărul și gradul de complexitate a sistemelor informatice și de telecomunicaţii și, în fine, înţelegerea aspectelor care pot reprezenta o valoare sau o motivaţie pentru cibercriminali.

A gândi precum protenţialul său inamic

Așa cum a fost explicat și anterior, cei care lansează un atac au un obiectiv principal: banii. Pentru a se proteja de atacuri, trebuie înţeleasă valoarea pe care cibercriminalii ar putea s-o intuiască în cadrul companiei.

Această valoare poate constitui simplul fapt de a deţine un cont în bancă, cum a demonstrat-o „frauda președintelui”: atacatorii se dau drept directorul companiei sau directorul economic și cer efectuarea unei plăţi în regim de urgenţă pentru o tranzacţie care trebuie să rămână confidenţială. Poliţia Cantonului Vaud indica în 2014 numeroase astfel de speţe, cea mai importantă implicând o sumă de 1,8 milioane de franci10. O sumă care poate pune la pământ majoritatea IMM-urilor, dacă nu deţin asigurările necesare. Aceste fraude sunt de actualitate încă, așa cum o confirmă și apariţiile în media11.

O altă motivaţie constant subestimată o reprezintă valoarea informaţiilor cu privire la clienţi, care permit acţiuni împotriva clienţilor înșiși, precum:

  • Furtul de date personale permite uzurparea identităţii și însușirea bunurilor unei persoane fizice, sau atacarea unei companii în ingineria socială.
  • Furtul de informaţii confidenţiale, precum planurile dispozitivelor de securitate ale unei companii sau ale unei persoane private permite o spargere reală. Acest exemplu e aplicabil sectorului asigurărilor, unde se efectuează o evaluare a amplasamentului obiect al unui contract de asigurare, dar și tuturor celor care fac analize diagnostic, evaluări, inspecţii, controale sau audituri în domenii precum securitatea fizică, securitatea informatică, sănătatea la locul de muncă, securitatea la incendiu, certificarea industrială etc. Acest furt poate fi doar o etapă în procesul infracţional; scopul final poate fi, de exemplu, spionajul industrial.
  • Furtul de informaţii care nu au aparenţa unor date confidenţiale, precum inventarele de software-uri informatice, versiunile acestora, numele dispozitivelor, datele de contact, numerele contractelor etc. Toate aceste informaţii pot fi exploatate pentru pregătirea unui atac împotriva ţintei finale. Probabil toate societăţile deţin informaţii de acest tip.
  • Introducerea sau ștergerea unei tranzacţii într-un/dintr-un sistem: un traficant poate avea interes în ștergerea urmelor unui transport de mărfuri. Sau invers, un infractor poate avea de câștigat din inserarea unei tranzacţii care nu s-a efectuat niciodată pentru mascarea unei spălări de bani. Astfel, compania se poate regăsi implicată în activităţi de trafic sau alte fraude.
  • Problematica spionajului industrial sau economic, constituind un caz aparte, va fi tratată în capitolul următor, Dacă nu s-a detectat nimic nu înseamnă că nu s-a întâmplat nimic.

3. „Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic ”

„Nu s-a întâmplat nimic, suntem bine protejaţi, poate chiar prea protejaţi. Putem cu siguranţă să reducem costurile.”Această mentalitate persistă în Elveţia. Și totuși, se neglijează faptul că industria numărul 1 în Elveţia, reprezentată de sectorul bancar, a fost constrânsă să își revizuiască întreaga strategie în urma unor furturi de date ale clienţilor din numeroase bănci. Secretul bancar elveţian ar fi fost încă solid în prezent fără aceste furturi de date. Băncile sunt considerate ca având cel mai înalt sistem de securitate și, cu toate acestea, nu detectaseră aceste furturi de date înainte ca autorităţile altor state să le semnaleze.

Puţine atacuri sunt vizibile

Raportul Symantec din 2016 cu privire la ameninţările pe Internet ilustrează profunzimea problemei acţiunilor nedetectate ale cibercriminalilor12: aproximativ 75% din site-urile legitime (adică cele care nu pot fi folosite în activităţi infracţionale) au vulnerabilităţi tehnice care le permit cibercriminalilor să atace vizitatorii acestor site-uri.

Dacă atacurile prin blocarea distributivă a serviciului (DDOS), acele acţiuni al căror scop este întreruperea serviciului, sunt vizibile imediat, nu același lucru se poate afirma în cazul în care scopul atacatorului este furtul de date. Se poate chiar ca furtul să nu fie niciodată detectat. Atunci când consecinţele ies la iveală, este posibil să nu se mai poată stabili niciodată cu certitudine o legătură cu un furt de date informatice. Exemplul cel mai elocvent este spionajul industrial.

Detectarea unuia care fotocopiază toate documentele unei companii nu era ușor. Fie era prins asupra faptei, fie erau depistate un număr neobișnuit de copii. Se putea detecta o creștere a costurilor legate de fotocopiatoare (toner, hârtie, întreţinere), iar gestul reflex ar fi fost atenţionarea persoanelor în scopul reducerii utilizării aparatelor.

În lumea virtuală, problematica rămâne aceeași: jurnalele de activităţi relevă o creștere a activităţilor, însă cum acest lucru nu generează costuri suplimentare pentru companie, ar fi surprinzător ca acest lucru să fie detectat cu mijloacele obișnuite sau tradiţionale. Sunt necesare noi metode și tehnologii.

În ambele cazuri, consecinţele pot fi teribile: un concurent poate propune același produs sau serviciu la costuri mai reduse, punând în pericol compania și locurile de muncă asigurate de aceasta.

Spionajul economic, o realitate

Center for Strategic and International Studies (CSIS) a estimat în 2014 costurile infracţiunilor cibernetice și spionajului economic la 445 de miliarde de dolari13. În 2013, CSIS condusese un studiu care lega spionajul economic cu pierderea de locuri de muncă în Statele Unite. Rezultatul era alarmant: pierderi de 100 de miliarde de dolari cauzate de spionajul economic și 508.000 de locuri de muncă pierdute, adică 0,3% din totalul locurilor de muncă din Statele Unite14.

Impactul spionajului economic sau al spionajului industrial asupra Elveţiei este foarte greu de cuantificat. Și totuși, numărul exemplelor continuă să crească. O societate precum Kudelski/Nagra, care utilizează tehnologii de ultimă generaţie în domeniul în care activează și în ciber-securitate, a fost obligată în repetate rânduri să-și apere proprietatea intelectuală în faţa instanţelor împotriva unor societăţi de renume, fără ca un act de spionaj să poată fi totuși demonstrat. Comerţul cu amănuntul în Elveţia a fost victima mai multor atacuri ţintite în ultimele luni, guvernul elveţian a fost de asemenea ţintit, deznodământul mediatic fiind furtul de date de la compania publică din domeniul aeronauticii și apărării RUAG.

De ce se recurge la spionaj?

Odată cu globalizarea, anumite persoane se consideră în stare de război economic, unde orice act ofensiv este permis. Sumele investite în cercetare și dezvoltare sunt colosale, viitorul multor companii, mari sau mici, startup-uri sau cu un istoric lung, depinde de această capacitate de a inova, de a fi primii pe piaţă, de a concretiza o idee, de a pune în practică un principiu. După cum am menţionat deja, Elveţia este lider mondial în inovare.

Dacă concurenţii ar putea evita aceste investiţii în timp și în resurse, ar deţine un avantaj competitiv cel puţin substanţial, dacă nu chiar determinant.

Anumite companii, sau, cel mai adesea, anumite persoane dintr-o companie care nu deţin același nivel în termeni de inovare și deontologie, neavând răbdarea sau posibilitatea de a atinge rezultatele propriilor cercetări, sunt tentate. Cât ar fi dispuse să plătească pentru a obţine informaţii care să le permită să obţină un produs sau un procedeu similar, însă fără costurile și timpul necesare cercetării și testării?

Infractorii cibernetici se angajează să obţină anumite informaţii, sau propun spontan informaţii furate de la concurenţi. Târgul e foarte rentabil, după cum s-a văzut.

4. Obiectele conectate anunță o catastrofă?

Obiectele conectate fac parte din viaţa noastră de zi cu zi. Potrivit Gartner15, aproape 5 miliarde de obiecte conectate erau folosite la sfârșitul anului 2015, și vor fi mai mult de 20 de miliarde până în 2020. Or, aceste obiecte conectate nu sunt suficient securizate. Nu există norme de control înainte de punerea pe piaţă de noi aparate.

Când realitatea depășește ficţiunea și produce frisoane

Exemplele se multiplică: mașina pe care hackerii o accidentează, hackeri care preiau controlul unui pacemaker de la distanţă și declanșează un electroșoc care ar putea ucide dacă dispozitivul ar fi implantat unei persoane, camere de supraveghere ale cărei imagini au fost publicate pe un website rusesc, pasagerul care modifică electronica unui avion de linie și reduce puterea unui motor în perioada în care conexiunea la Internet din avion devine posibilă etc.

20 de miliarde de obiecte conectate în 2020

În prezent, 5 miliarde de obiecte conectate sunt folosite și transmit date pe Internet fără ca proprietarii lor să aibă vreun control în această privinţă, în majoritatea cazurilor. Vor fi 20 de miliarde de obiecte conectate.

Riscurile nu sunt înţelese și sunt subestimate

Faimosul frigider conectat la Internet este disponibil marelui public. Pentru mulţi, nu există niciun risc direct asociat. Trecem cu vederea faptul că, dacă este oprit la distanţă și apoi repornit, mâncarea poate deveni improprie consumului și poate provoca boli sau absenţe de la locul de muncă pe motive medicale neprevăzute. Un pericol adesea ignorat rezidă în faptul că, dacă o persoană rău intenţionată vede conţinutul frigiderului dumneavoastră și evoluţia sa, v-ar putea produce aceste absenţe și astfel să plănuiască o spargere. Același lucru e aplicabil contoarelor electrice inteligente care permit identificarea momentelor în care locuinţa este ocupată sau goală.

La scara unei ţări, am putea să ne imaginăm consecinţele unor acţiuni care ar lua în vizor toţi locuitorii acesteia.

Așadar, în timp ce fiecare aparat electric trebuie să treacă teste și norme de control, pare surprinzător faptul că revine consumatorului evaluarea securităţii acestor dispozitive și monitorizarea noutăţilor tehnologice pentru a se asigura că nu au fost descoperite noi vulnerabilităţi de securitate ale obiectului conectat care să îi pună în pericol sănătatea și chiar viaţa.

5. Ciber-terorismul nu constituie un pericol iminent pentru Elveția

Odată cu intensificarea terorismului de masă în Europa, teama faţă de acţiuni de tip ciber-terorism crește. CLUSIS a invitat specialiști în acest subiect, în special de la Geneva Center for Training and Analysis of Terrorism16, cu ocazia zilei strategice 2016. Constatarea alungă îngrijorările, locul Elveţiei în economie nu este periclitat de ameninţări iminente, însă terorismul are legături cu Elveţia. Situaţia ar putea deci să se schimbe rapid.

Ciber-terorismul jihadist, fără cazuri decelate până în prezent

Grupul auto-proclamat Stat Islamic (SI) acţionează în spaţiul virtual în același mod ca în cel real: atacă ţinte vulnerabile din ţări care îl înfruntă. Aceste atacuri, precum cel împotriva canalului de televiziune TV5 Monde care s-a confruntat cu o întrerupere a emisiei, vizau o ţintă vulnerabilă cu numeroase breșe de securitate și asimilată în mod clar cu o ţară ostilă, Franţa.

În prezent, atacurile Statului Islamic și ale simpatizanţilor acestuia nu sunt, din punct de vedere tehnologic, prea avansate. Totuși, această situaţie s-ar putea schimba rapid.

Din perspectiva neutralităţii sale și a absenţei activităţilor directe împotriva SI, Elveţia nu reprezintă în prezent o ţintă. Însă totul se poate schimba dintr-o dată, așa cum s-a putut observa în cazul informaţiei eronate de pe Wikipedia, în care Elveţia ar fi făcut parte din coaliţia internaţională împotriva SI, și în urma căruia a fost publicat de către SI un videoclip care cerea luarea în vizor a Elveţiei.

Teroriștii SI acordă o atenţie specială mesajelor lor, în aceeași măsură ca și acţiunilor lor. În acest context, un atac împotriva intereselor Elveţiei nu ar avea sens și ar constitui o schimbare bruscă de strategie.

Cu toate acestea, dacă un simbol al unei ţări participante la coaliţia internaţională împotriva SI este mai vulnerabil în Elveţia, ar putea fi vizat de un astfel de atac, iar Elveţia ar deveni astfel victimă colaterală.

Elveţia și terorismul

Teroriștii sunt uneori mai aproape de noi decât am putea crede. Am văzut-o cu ocazia atentatelor din 11 septembrie 2001, când au fost folosite telefoane mobile elveţiene. Astfel, legislaţia s-a schimbat în ceea ce privește obligativitatea de a prezenta un act de identitate pentru o cartelă preplătită.

Atunci când grupul de hackeri-activiști Anonymous a publicat un video în care declarau că aveau să înceapă atacurile împotriva SI, răspunsul acestora din urmă nu a întârziat să apară, lansând un videoclip care a reluat punct cu punct stilul și retorica Anonymous, afirmând că identitatea membrilor Anonymous le este cunoscută și că îi vor lua în vizor inclusiv din punct de vedere fizic. Acest video a fost postat de către un cetăţean elveţian plecat în Siria și fost membru al comunităţii active a Anonymous.

6. Recomandări

Chiar dacă situaţia acuală este îngrijorătoare, anumite acţiuni adesea simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Acestea presupun decizii și acţiuni concrete nu doar din partea companiilor, dar și a autorităţilor. Iată câteva sfaturi.

Recomandări pentru autoritățile elvețiene

Implementarea strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice trebuie accelerată, devenind o prioritate pentru Consiliul Federal.

Pe site-ul Confederaţiei, cel mai recent raport asupra stadiului implementării strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice (SNPC) trece în revistă anul 201417. Același lucru se constată și la rapoartele anuale ale SCOCI – Serviciul Naţional de Coordonare a Luptei împotriva Criminalităţii pe Internet, ultimul raport datând din 201418.

Apare deci legitimă întrebarea publicului și a actorilor ciber-securităţii cu privire la existenţa ciber-securităţii pe lista priorităţilor Confederaţiei.

Consiliul Federal trebuie să dea un nou impuls Strategiei sale care datează din 2012. De atunci, am asistat la ascensiunea obiectelor conectate, la zorii celei de-a 5-a revoluţii industriale (digitalizarea) și la impresionante expansiune a infracţiunilor cibernetice. În temeiul acestor constatări, crearea unui Oficiu Federal pentru tehnologia digitală pare o idee excelentă. În așteptarea înfiinţării acestuia, Consiliul Federal ar trebui să își întărească echipa de consilieri în acest domeniu.

O filieră de formare intensivă a experţilor în ciber-securitate

Toate companiile elveţiene au nevoie de expertiză în domeniul ciber-securităţii. De la analiști la experţi tehnici la experţi care să poată transpune riscurile tehnice în măsuri de protecţie a activităţilor, a companiei, inclusiv manageri pentru situaţiile de criză.

Atunci când industria producătoare de ceasuri a avut nevoie de competenţe pentru care nu exista la momentul acela formarea specifică, a fost creată o filieră de formare. Trebuie ca acest model să fie replicat pentru a înzestra Elveţia cu experţii de care are nevoie. Există deja acest tip de formare în cadrul școlilor federale, însă aceasta trebuie suplimentată. Această acţiune este direct legată de măsura nr. 8 din SNPC.

Ciber-securitatea, tematică în toate formările de excelenţă

Suntem parte a celei de-a 5-a revoluţii industriale și toate meseriile sunt sau vor fi influenţate de digitalizare. Este important ca fiecare să se gândească la noile metode de muncă, să înţeleagă ce se va întâmpla.

Ciber-securitatea trebuie să fie un subiect important în cadrul tuturor formărilor în Elveţia. Astfel, formările din învăţământul superior ar trebui, cu foarte puţine excepţii, să conţină un modul legat de ciber-securitate pentru asigurarea maximului de competenţe pentru IMM-uri.

O formare complementară ar trebui pusă la dispoziţia absolvenţilor, pentru conștientizarea rapidă a IMM-urilor și implementarea de măsuri de securitate adecvate.

Crearea unei mărci de calitate a ciber-securităţii elveţiene

Garanţia de calitate a mărcii Swiss Made este un pilon al economiei elveţiene și al succesului său. Probabil nici nu are echivalent la nivel mondial. Elveţia trebuie să păstreze acest avantaj competitiv într-o lume a digitalizării.

Atunci când cumpărăm un aparat electric, trebuie să îndeplinească niște norme de securitate, ca și o mașină sau o locuinţă. Însă nu se spune o vorbă despre ciber-securitate. Verificarea securităţii produsului cumpărat revine persoanei în cauză, iar aceasta nu are nicio modalitate de a efectua această verificare.

Crearea unei mărci de calitate elveţiană ar fi deci întemeiată. Societăţile de asigurare ar putea fi un partener privilegiat, întrucât acestea sunt direct interesate ca asiguraţii să aleagă doar tehnologii a căror securitate a fost verificată.

Elveţia, ţară a inovării, al cărei viitor depinde de capacitatea sa de a aduce valoare adăugată, trebuie să fie un pionier în acest sector pentru a asigura în mod durabil o economie solidă.

Recomandări pentru companiile elvețiene

Directorii trebuie să se implice personal în problemele de ciber-securitate

Este crucial pentru viitorul companiilor ca directorii să înţeleagă corect mizele și riscurile la care sunt expuse activităţile lor. Nu există decât foarte puţine companii care să nu prezinte un risc cibernetic important.

Pentru IMM-uri, recrutarea și păstrarea unor veritabili experţi în ciber-securitate sunt foarte rare. Colaborarea cu societăţi specializate devine deci indispensabilă.

Directorii ar trebui să își aloce timp pentru participarea la conferinţe și seminarii despre ciber-securitate și să nu privească acest aspect ca pe o problemă tehnică de încredinţat informaticienilor. De fapt, este o problemă de afaceri.

Informaţiile cu privire la pericole și oportunităţi sunt disponibile și trebuie utilizate pentru luarea unor decizi decizii corecte

În ziua de azi, nu mai sunt admisibile scuze precum „nu mi-aș fi putut imagina” sau „nu știam”. Informaţiile sunt disponibile, însă trebuie colectate, filtrate, analizate și, pe baza lor, pot fi luate decizii corecte și pertinente. Prea puţine companii sunt conștiente de informaţiile de care pot dispune prin inteligenţa economică.

Această prelucrare a datelor în scopul luării de decizii este o meserie în sine, astfel că apelarea la experţi care să transforme aceste informaţii în factor de creștere.

Inginerii cibernetici trebuie să-și adapteze mesajele pentru a le face accesibile pentru directori

Responsabilii cu Securitatea Informaţiei (RSSI) ar trebui să ia în considerare schimbarea numelui funcţiei lor și adaptarea misiunilor și sarcinilor lor în consecinţă. Gata cu securitatea informaţiilor, trăiască protejarea afacerii. Gata cu domnia sistemelor de informaţii și cu adoptarea guvernanţei business în companie. Gata cu rapoartele despre numărul de viruşi blocaţi, despre procentul de disponibilitate sau procentul de vulnerabilităţi întâmpinate şi remediate, este vremea rapoartelor despre incidentele care au reprezentat un pericol sau despre consecinţele efective faţă de afacere, despre cauzele lor şi despre măsurile luate sau cele posibile pentru ca acestea să nu se mai repete.

Specialiştii RSSI trebuie să se înarmeze cu informaţii despre activităţile infractorilor cibernetici

Infractorii cibernetici pun la dispoziţia „colegilor” lor informaţii cu privire la modul de ocolire a tehnologiilor, a măsurilor de securitate, dar şi date despre „capturile” lor. Specialiştii RSSI ar trebui să aplice aceleaşi tehnici: schimburi de informaţii, supravegherea activităţilor pe dark web (oare conturile de acces de la compania dumneavoastră sunt de vântare pe dark web?, se pregăteşte un atac împotriva datelor dumneavoastră?, care sunt tehnicile actuale utilizate de softurile malware?, care sunt campaniile de phishing şi de spearphishing în desfăşurare?).

Mijlocul cel mai eficient este probabil instituirea unei şedinţe regulate, în cadrul căreia experţi în domeniu să susţină prezentări.

În orice caz, există numeroase societăţi experte în acest domeniu, iar abonarea la programele lor de supraveghere şi alertare pare o metodă mai eficientă decât instalarea de instrumente, angajarea de experţi şi păstrarea lor în echipă, pentru a evita ca aceştia să se transforme în îndrumători pentru concurenţii dumneavoastră.


1 Raportul PWC Global Economic Crime Survey 2016: http://www.pwc.com/gx/en/services/advisory/consulting/ forensics/economic-crime-survey/cybercrime.html
2 Raportul CryptoWall version 3 threat: http://cyberthreatalliance.org/cryptowall-report.pdf
3 Raportul CSIS, The economic impact of the cybercrime and cyber espionage: http://www.mcafee.com/es/resources/reports/rp-economic-impact-cybercrime.pdf
4 PIB 2014 conform Oficiului Federal de Statistică: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/04/02/01/key/bip_nach_einkommensarten.html
5 Raportul Allianz Global Wealth Report: https://www.allianz.ch/fr/news/2015/allianz-global-wealth-report/
6 Raportul Global Innovation Index 2015: https://www.globalinnovationindex.org
7 Instrument de test de intruziune Metasploit: https://www.rapid7.com/products/metasploit/
8 Studiu KPMG Clarity on Cyber Criminality: https://www.kpmg.com/ch/en/library/articles-publications/documents/advisory/ch-pub-20150526-clarity-on-cyber-security-en.pdf
9 Statistici ale l’OFS: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/06/02/blank/key/01/groesse.html
10 Poliţia Cantonului Vaud: www.vd.ch/autorites/departements/dis/policecantonale/ medias/communiques-de-presse/archives/2014/1/28/articles/lesarnaques-contre- des-entreprises-se-poursuivent/
11 Tribune de Genève: www.tdg.ch/suisse/Geneve-croule-sous-les-fraudes- aupresident/story/25476180
12 2016 Internet Security Threat Report: www.symantec.com/security-center/threat-report 13 2014 CSIS-McAfee Global Cost of Cybercrime: www.csis.org/events/2014-mcafeereport-global-cost-cybercrime et www.mcafee.com/us/resources/reports/rpeconomic-impact-cybercrime2.pdf
14 CSIS Estimating the Cost of Cybercrime and Cyber Espionage: www.csis.org/news/csis-releases-fi rst-study-connect-cybercrime-job-loss
15 Studiul Gartner: http://www.gartner.com/newsroom/id/3165317
16 www.gctat.org
17 https://www.isb.admin.ch/isb/fr/home/themen/cyber_risiken_ncs.html
18 https://www.cybercrime.admin.ch/kobik/fr/home/publiservice/berichte.html

clussis

Mulţumiri
CLUSIS ţine să mulţumească următoarelor persoane:
– Johny Gasser, Orange Business Switzerland, autorul raportului de faţă

Intervenienţii din cadrul zilei strategice:
– Marco Obiso
– Joseph Billy Jr vicepreşedinte în securitate la Prudential şi fost Director FBI
– Mauro Vignati, Serviciile de informaţii ale Confederaţiei – Isabelle Augsburger- Bucheli, ILCE
– Sébastien Jaquier, ILCE
– Albert Pélissier, Pélissier & Partners
– Doron Tenne SICPA
– Gal Messinger, STMicroelectronics
– Jean-Paul Rouiller
– Alain Bauer, Prof. de criminologie aplicată, AB Associates – André Bourget, Cantonul Vaud
– Henri Haenni, Abilene Advisors
– Maxime Feroul, Kyos
– Luckner Saint-Dic, TriskaManagement
– Marco Preuss, Kaspersky Lab
– Jeff Primus, Actagis
– Jonathan Rod, Fortinet
– Vincent Bieri, Nexthink SA
– Brice Renaud, Palo Alto Networks
– Paul Such, SCRT
– Nicolas Arpagian, Director ştiinţific, Ciclul „Sécurité Numérique”, Institut National des Hautes Etudes de la Sécurité & de la Justice

Comitetul CLUSIS:
– Enrico Viganò, Preşedinte
– Brian Henningsen, Vice-Preşedinte
– Ursula Sury, Vice-Preşedinte pentru Elveţia Germană
– Luca Tenzi, Vice-Preşedinte pentru Elveţia Italiană
– Christophe Actis, Lara Broi, Catherine Charroin, Nadia Dali, Mo Kardaras, Sabah Detienne, Raoul Diez, Isabelle Dubois, Henri Haenni, Stefan Lüders, Giovanna DiMarzo, Albert Pélissier, Jean-Luc Pillet, Pierre Toquard, Nicolas Vernaz, Sam Vuilleumier.

Expert internațional recunoscut în domeniul securității, cu peste 15 ani de experiență, Johny Gasser acordă asistență companiilor multinaționale în scopul organizării eficiente a cibersecurității. A fost auditor IT și Information Risk Management Advisor la firma KPMG. Apoi, dorința sa de a rezolva și de a anticipa probleme l-a făcut să se alăture companiei Orange Business. Este adesea invitat în calitate de speaker la numeroase congrese internaționale de prestigiu, printre care se pot enumera evenimentele organizate de ISACA, IIA, MIT, CLUSIS, GMU International Cyber Center și multe altele.

250

„După aproape o sută șaizeci de ani de la Unificarea Italiei, nu am reușit încă să realizăm fuziunea celor nouă state din care s-a născut Italia modernă. Rezultatul este vizibil: un stat fragmentat în mai multe realităţi care nu comunică între ele. Anumite regiuni din nord se pot lăuda cu deţinerea unor standarde de producţie și a unui nivel de trai apropiate cu cele din Europa centrală, în timp ce regiunile din sud continuă de prea mult timp să stagneze, rămânând încă departe de zorii vreunei dezvoltări. Reprezentanţii politici devin din ce în ce mai concentraţi pe propriul viitor, fără a manifesta vreun interes pentru dialog sau dezbatere, și au pierdut din vedere responsabilitatea care le incumbă, implicarea în destinul teritoriilor și al comunităţilor.

autor:
Massimiliano Cannata

Din această pricină, „Rapporto Italia 2017” al Eurispes, recent prezentat la Roma în sediul prestigioase Biblioteci Naţionale Castro Pretorio, zugrăvește o „Italie polimorfă”. „Ţara noastră este angoasată” – explică Președintele Gian Maria Fara – „rata sărăciei este în creștere (unul din patru italieni consideră ca va deveni sărac, în special în cazul pierderii locului de muncă), iar acest lucru este reflectat clar de faptul că jumătate din familiile italiene au mari dificultăţi în momentul în care trag linie la sfârșitul lunii, iar foarte mulţi tineri (în jur de 13%) s-au văzut nevoiţi să revină în locuinţa familială din cauză că nu aveau un loc de muncă”.

Ca în fiecare an, prezentarea raportului Eurispes a permis studierea îndeaproape a multor fenomenologii sociale și economice, prin analize și cercetări conduse de Institut. Printre acestea, lumea TIC a devenit una dintre temele centrale ale dezbaterii.

Ciber-spațiul: un avantaj ce merită păstrat

Conform previziunilor raportului Global Risks 2014 al World Economic Forum, în 2020 pierderile economice cauzate de atacurile cibernetice ar putea atinge trei mii de miliarde de dolari. Nu vor fi deci suficiente doar iniţiativele individuale pentru a face faţă unei urgenţe atât de grave. Este necesară elaborarea de planuri strategice de spectru larg, care să fie capabile să implice sectorul public, sectorul privat și cercetarea, în scopul realizării unei administrări a riscului informatic eficientă.

Atacurile informatice cauzează doar companiilor italiene daune estimate la mai mult de 9 miliarde de euro anual. Puterea și fragilitatea se asociază, în cadrul „infosferei”, „teritoriului” vital care conţine datele confidenţiale și informaţiile sensibile. Infractorii cibernetici cunosc bine acest lucru, și aleg acest domeniu ca ţintă principală a celor mai puternice atacuri la nivel mondial, adică aproape 68% dintre cazuri în 2015 (faţă de 60% în 2014). În timpul primului trimestru din 2015, infracţiunile informatice au înregistrat un salt de 30% faţă de întreg anul 2014, reprezentând mai mult de 66% dintre cele mai grave atacuri informatice. Acţiunile infractorilor vizează cel mai adesea infrastructuri critice, ca de exemplu reţele de distribuţie de energie sau reţele de telecomunicaţii. Și în acest caz, perioada de joncţiune a fost reprezentată de primul semestru al anului 2015, când s-au înregistrat mai mult de 20 de atacuri de acest tip, faţă de doar două atacuri înregistrate pe tot parcursul anului 2014 (așadar, o creștere de 900%). (Sursa: lucrarea Eurispes, bazată pe datele Clusit, 2016).

Printre potenţialele victime ale atacurilor informatice, se numără atât instituţii publice, cât și companii. IMM-urile sunt de departe cele mai vulnerabile, întrucât securitatea cibernetică presupune costuri, în special pentru implementarea unui sistem de protecţie eficientă, cheltuieli pe care companiile din această categorie nu și le pot întotdeauna permite. Dintr-un alt punct de vedere, nu trebuie subestimate daunele economice, dar și de prestigiu pe care companiile victime ale atacurilor informatice vor trebui să le suporte.

Diversele tipologii de atacuri

Conform analizelor din raportul Clusit, în Italia, sectoarele cele mai afectate de atacurile informatice au fost următoarele: informaţiile și jocurile: media online, precum și platformele de blogging și de gaming au suferit în 2015 o creștere cu 79% a atacurilor faţă de 2014; automotive: atacurile din 2015 au crescut cu 67% faţă de anul precedent; cercetare și educaţie: în acest sector, atacurile au crescut cu 50%, cu o tendinţă clară pentru activităţile de spionaj; facilităţi de cazare, hoteluri, restaurante, rezidenţe individuale și colective reprezintă o nouă categorie în raportul Clusit. În această din urmă categorie, atacurile au vizat utilizatorii. În fiecare lună, unul din trei atacuri își îndeplinește scopul și este descoperit prea târziu. În 66% dintre cazuri, descoperirea atacului nu are loc decât la mai multe luni (faţă de media globală de 51%), doar în 7% dintre cazuri (media globală) accesările prin efracţie sunt descoperite după câteva zile și în 16% dintre cazuri, după câteva săptămâni (faţă de media globală de 22%). Sursa: lucrarea Eurispes, bazată pe datele Accenture, „High Performance Security Report”, 2016

Conform unui studiu efectuat de Accenture, „HfS”, majoritatea organizaţiilor se confruntă cu lipsa în bugete a sumelor consacrate angajării de personal specializat în apărarea împotriva atacurilor informatice. 42% dintre companiile contactate declară că este nevoie urgentă de creșterea fondurilor necesare angajării de

Al 29-lea Raport Italian al Eurispes

specialiști în securitate, dar și formării resursei umane deja disponibile în cadrul companiei. 54% dintre companiile respondente consideră că această resursă este insuficient pregătită pentru prevenirea sau îndeprtarea atacurilor de securitate.

De mare interes sunt și descoperirile celui de-al patrulea studiu internaţional de la Zürich cu privire la riscul atacurilor informatice, care evidenţiază, în ceea ce privește atacurile, efectele de care se tem cel mai mult IMM-urile: furtul de date despre clientelă (20%), atingerile aduse reputaţiei companiei (17%), furtul unor sume de bani (11,5%), furturi/uzurpări de identitate (7,5%) și furturi de date despre angajaţi (6,5%).

Angajament cu privire la securitate

În ciuda gravităţii unui fenomen în plină expansiune, trebuie subliniat că doar 19% dintre marile companii au maturitatea necesară care să le permită o viziune pe termen lung cu privire la securitate, dar și dezvoltarea de planuri concrete care să implice abordări tehnologice, iar organizaţia să definească cu precizie rolurile fiecăruia în ecosistem. În schimb, 48% din companii nu sunt decât în stadiul iniţial în parcursul lor spre o securitate digitală.

Printre ameninţările cele mai frecvente în decursul celor doi ani, se remarcă: malware (80%), phishing (70%), spam (58%), atacuri de tip ransomware (37%), precum și fraude (37%).

Principalele vulnerabilităţi identificate sunt: conștientizarea colaboratorilor în ceea ce privește politicile și bunele practici comportamentale (79%), distragerea atenţiei (56%), accesul mobil la informaţiile companiei (45%), prezenţa dispozitivelor mobile personale (33%). Companiile au înţeles în special nevoia de a integra în cadrul personalului responsabili pentru managementul strategiilor de securitate cibernetică.

Cu toate acestea, în prezent, mai puţin de jumătate dintre marile companii (42%) au printre angajaţi un Chief Information Security Officer (CISO), adică un specialist ale cărui atribuţii sunt definirea viziunii strategice, implementarea programelor de protecţie a resurselor informaţionale ale companiei și minimizarea riscurilor, în timp ce în 10% dintre cazuri, introducerea acestui angajat este prevăzută în cursul acestui an. (Sursa: Osservatorio Information Security & Privacy, School of Management, Politecnico di Milano.)

În 36% dintre cazuri, securitatea informaţiei este încredinţată altor persoane în cadrul companiei, cum ar fi responsabilul cu securitatea. 12% dintre companii nu au încă o persoană dedicată acestei sarcini și nu au programat introducerea acesteia în efectivul de personal pe termen scurt. În altă ordine de idei, creșterea volumului de date și eterogenitatea surselor de informaţii fac necesară crearea unor posturi dedicate gesionării problemelor de privacy. Noul Regulament european privind protecţia datelor cu caracter personal introduce postul de Responsabil cu protecţia datelor (Data Protection Officer – DPO), a cărui existenţă va fi obligatorie pentru instituţiile publice și în cazurile specifice prevăzute de noul act normativ al UE. Responsabilul cu protecţia datelor este un specialist cu competenţe juridice, informatice, care cunoaște managementul riscurilor și analiza proceselor companiei; acesta implementează politica de gesionare a prelucrării datelor cu caracter personal, supraveghind îndeplinirea exigenţelor normative în vigoare.

Principalele obstacole

Cele mai mari obstacole cu care se confruntă companiile italiene în prezent în eforturile lor de a face faţă eficient atacurilor cibernetice rămân aceleași. Competenţele profesionale: companiile invocă lipsa mijloacelor pentru efectuarea de investiţii în formarea și angajarea de specialiști, tocmai într-un mediu în care formarea și sensibilizarea culturală sunt elemente fundamentale pentru protejarea împotriva infracţiunilor cibernetice. Bugetul: securitatea cibernetică necesită investiţii nu doar în materie de formare a resursei umane, ci și în tehnologii de ultimă generaţie (ca de pildă aplicaţii privind platforme de cognitive computing, inteligenţă artificială sau platforme de criptare a datelor). Calitatea managementului: adesea, managementul executiv consideră securitatea cibernetică o cheltuială superfluă, deși tocmai acesta ar trebui să definească o strategie viabilă proprie de securitate care să ţină cont de priorităţile afacerii printre care se regăsesc atât menţinerea reputaţiei companiei, cât și protecţia datelor acesteia.

Massimiliano Cannata (Palermo, 1968), Filozof, ziarist profesionist, autor televizual, este un expert consultant în domeniul comunicării întreprinderilor. Este membru al comitetului științific al „Anfione e Zeto”, colaborează cu„Technology Review”,„L’impresa”,„IlGiornale di Sicilia”, „Centonove Press”. Este autor al mai multor texte, centrate pe diferite subiecte, precum inovare socială, a formării, a dezvoltării organizaționale și manageriale

352

Marea majoritate a informațiilor și datelor personale care circulă în mod constant pe web au făcut ca identitatea digitală să se afle mai puțin sub controlul nostru, dar în același timp să aibă repercusiuni semnificative în viața reală de zi cu zi.

Utilizarea constantă și spasmodică a aplicaţiilor și a obiectelor conectate la o reţea de calculatoare afectează în mod iremediabil comportamentul oamenilor, care împărtășesc într-o clipită informaţii personale, fără să se gândească la consecinţe și la înlăturarea lor dificilă din lumea virtuală: de fapt odată încărcat, un fișier de pe web devine aproape imposibil de eliminat complet.

autor:
Michele Gallante

Pentru a proteja drepturile legate de difuzarea necorespunzătoare a acestor date în reţele de calculatoare și pentru a asigura intimitatea fiecărui cetăţean a luat naștere așa-numitul „drept la uitare“ și anume dreptul unei persoane de a fi uitat și de a nu-i fi aduse aminte fapte care îl privesc. În practică, acest drept este ca o garanţie pentru cei care nu doresc să fie expuși pe termen nelimitat la consecinţe dăunătoare, care le pot afecta negativ reputaţia, pentru evenimente care au avut loc în trecut (în special într-o eră digitală ca a noastră, în care cele mai multe informaţii circulă on-line). După cum a afirmat filosoful Friedrich Nietzsche „uitarea este o facultate activă“ care în lumea modernă trebuie să fie exercitată cu proceduri foarte precise.

De exemplu, să vedem cum se poate solicita dez-indexarea web pentru un motor de căutare major cum este Google1: atunci când completaţi formularul pus la dispoziţie on-line, trebuie să specificaţi motivele, și se face o copie obligatorie a unui document de identitate a solicitantului. Eliminarea reală nu este nici imediată, nici automată, și, desigur, nu se va șterge și din alte motoare de căutare, altele decât Google.

În evaluarea motivelor invocate de solicitant, motorul de căutare poate decide să nu ia în considerare o cerere nelegitimă și să refuze ștergerea conţinutului. În acel moment, utilizatorul poate face apel la clauza de confidenţialitate, la un cost de 150 € și o așteptare de cel mult șaizeci de zile. În fine, dacă nici în acest caz utilizatorul nu este mulţumit, poate face apel la o instanţă civilă împotriva Garantului, dar acest lucru, desigur, necesită timp și sume mai mari de bani.

Procedura pare ușoară, dar în 2014 Google a acceptat doar cu puţin peste 30% dintre cele 36.000 de cereri, pe motiv că nu au fost completate în mod adecvat sau pentru că motivarea a fost considerată insuficientă. Sfatul autorităţilor este să apelaţi la consultanţi experţi, pentru a nu vă pierde în procedurile birocratice și pentru a vă fi recunoscute drepturile. Cu toate acestea, chiar și în astfel de situaţii, de cele mai multe ori, informaţiile de interes public sunt dificil de eliminat, iar în cazul în care o știre a devenit virală, procedura nu este suficientă pentru o eliminare completă.

Dreptul la viaţa privată și reputaţia celor implicaţi trebuie să fie garantată, totuși aceasta este pusă în balanţă cu libertatea presei, și doar o echilibrare perfectă a intereselor va permite o decizie corespunzătoare. Așa cum a spus de Rodotà „Dreptul de a fi uitat poate înclina periculos balanţa spre falsificarea realităţii și poate deveni un instrument pentru limitarea dreptului la informare“ și din aceste motive, sunt necesare reguli clare și transparente.

Recent, Regulamentul European 679/2016 a creat o primă formă de disciplinare. De fapt, articolul 17 prevede că orice persoană are dreptul de a obţine de la operator ștergerea datelor cu caracter personal, fără întârzieri nejustificate. Totuși, acest drept se pierde atunci când divulgarea anumitor informaţii este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare, îndeplinirea unei obligaţii legale sau pentru îndeplinirea unei sarcini de interes public sau exercitarea autorităţii statului, din motive de interes public în domeniul sănătăţii publice, în scopuri de arhivare în interes public, de cercetare istorică sau știinţifică sau în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanţa de judecată.

«Drept de a fi uitat» a fost creat pentru a apăra drepturile legate de folosirea ilegitimă a datelor personale pe internet și pentru a garanta intimitatea fiecărui cetățean.

În dreptul nostru nu există reguli exprese, dar se aplică în exclusivitate matricea jurisprudenţială. La data de 3 decembrie 2015, Curtea de la Roma cu sentinţa nr. 23771 a reiterat faptul că dreptul la uitare nu este altceva decât o expresie aparte a dreptului la viaţă privată (de asemenea, exprimată la nivel european în articolele 7 și 8 din Carta drepturilor fundamentale). Concluziile desprinse din această hotărâre arată că trebuie să fie clar că faptul pe care intenţionaţi să-l faceţi uitat nu trebuie să fie recent, și că nu este de interes public.

În echilibrarea intereselor care stau la baza legii în cauză, în lipsa unei legislaţii italiene aparte, trebuie remarcat modul în care interesul public joacă un rol-cheie în decizie. De fapt, chiar și în textul unic al atribuţiilor jurnalistului (3 februarie 2016), se recomandă ca ziariștii să evite să facă referire la anumite fapte din trecut, cu excepţia cazului în care acestea sunt esenţiale pentru caracterul complet al informării.

„Uitarea este o formă de libertate“ (Khalil Gibran) și acest lucru, într-o societate dezvoltată ca a noastră, trebuie să fie spus clar și transparent, asigurând o protecţie adecvată a identităţii noastre, acordând o atenţie deosebită noii realităţi digitale. Armonizarea europeană făcută de noul regulament privind prelucrarea datelor cu caracter personal, cu caracter obligatoriu permanent începând din 25 mai 2018, este doar începutul unui schimb de intenţii menit să ducă la îndeplinirea unui drept recunoscut ca fiind fundamental.

Michele este un avocat practicant înscris în ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.

331

Asortând ateliere de lucru, de formare şi o conferinţă plenară, al 2-lea Summit IES de la Chamonix a creat o atmosferă de lucru unică, favorabilă productivităţii şi libertăţii schimburilor de idei, în inima masivului Mont-Blanc. Departe de agitaţia centrelor de decizie a marilor capitale şi ghidaţi de un program prielnic discuţiilor, parti- cipanţii se concentrează nestingheriţi pe schimburile de opinii. Summit-ul IES de la Chamonix oferă astfel participanţilor o oportuni- tate unică de a afla unii despre alţii, de a împărtăşi idei şi de a con- tribui împreună la aplicarea de noi soluţii într-un cadru privilegiat. Summit-ul este susţinut de Institutul de Înalte Studii de Apărare Naţională şi de mulți parteneri instituționali de top.

Aceste zile în care s-a desfăşurat seminarul privat au fost rezervate celor douăzeci şi cinci de directori de companii care au interacţionat cu alţi douăzeci şi cinci de experţi din cadrul administraţiei şi serviciilor de stat, din armată, jandarmerie, poliţie, ministerul economiei, din sectorul financiar sau digital.
Marele avantaj al evenimentului îl constituie cele două zile de seminar privat care reunesc un cerc restrâns de experţi şi de practicieni într-un veri- tabil Chatham House în care oamenii învaţă să se cunoască, să îşi câştige încrederea şi astfel să facă cu adevărat schimb de idei în legătură cu subiecte care îi pasionează profund. Evenimentul se încheie cu o conferinţă la care accesul publicului, studenţilor, IMM-urilor şi presei este liber.
White Paper-ul pe care vi-l propunem aici este o sinteză a părţii non- confidenţiale a dezbaterilor și reflectă câteva dintre punctele subliniate de către principalii actori ai seminarului privat.

Inteligenţa economică în epoca digitalului

Acest concept a fost de curând revizuit în totalitate în Franţa, odată cu crearea Serviciului Informaţiei Strategice şi al Securităţii Economice (SISSE), în cadrul Ministerului Economiei şi Industriei, condus de comisarul Jean-Baptiste Carpentier, numit recent de către Guvern.

Jean-Baptiste Carpentier
Comisar pentru informaţie strategică şi securitate economică

Această funcţie era îndeplinită înainte de către D2IE, Delegaţia Interministerială pentru Inteligenţa Economică, care a fost dizolvată şi înlocuită cu acest comisariat subordonat unui singur minister, aşadar cu un mai mare grad de fluiditate a informaţiilor, datorită faptului că sunt centralizate într-un serviciu propriu-zis. Un rol la fel de important îl are şi reforma din 2015 a ANSSI, Agenţia Naţională a Securităţii Sistemelor de Informaţii, care a evoluat de la rolul său iniţial de organ esenţialmente consul- tativ, de validare a conformităţii unor tehnologii şi software-uri, la o funcţie centrală cu putere coercitivă, care îi permit gestionarea situaţiei,urmărirea aplicării recomandărilor sale şi sancţionarea companiilor care nu se conformează acestora.
Mesajul transmis de această nouă autoritate a fost îndrăzneţ, însă în simbioză cu realităţile prezente de cealaltă parte a Atlanticului. Se pleacă de la constatarea că, în ceea ce priveşte domeniul digital, statul nu îşi poate asuma costurile generate de neglijenţa companiilor private și nici pe cele provocate din rea-credinţă. Astfel, scopul devine scăderea drastică a curbei riscului, aşa cum este acesta reprezentat în numeroase domenii, printr-un grafic simplu alcătuit din axa „impact” şi din axa „probabilitate”.

Grafic : © Bruce Jones:
Report Security and Risk Metrics in a Business- Friendly Way, 2009 (Information
Security 10.2009)

În acest grafic, în condiţiile în care curba scade graţie reglementărilor şi asistenţei statului în cadrul companiilor în domeniul prevenţiei şi al aplicării unui set de măsuri de prevedere, atunci statul va putea acoperi pierderile datorate evenimentelor cu probabilitate mare dar cu impact mic sau cele datorate unor evenimente neprevăzute, independente de gradul ridicat de conformare a companiilor; în schimb, asumarea propriilor greşeli va cădea în sarcina companiilor (dacă acestea se datorează unei lipse de conformări cu normele) iar asumarea costurilor cauzate de atacuri devastatoare cu o probabilitate mică de producere va fi în sarcina asigurărilor.
Analiza foarte pertinentă realizată de comisarul Carpentier a arătat cu degetul o axiomă aproape schizofrenică manifestată, în ceea ce-i priveşte pe anumiţi antreprenori, prin percepţia că lumea „cyber” nu aduce decât oportunităţi, în timp ce companiile specializate şi unii reprezentanţi ai statu- lui nu o văd decât ca pe un focar de pericole şi de ameninţări. Evoluţia culturii antreprenoriale şi instituţionale trebuie să conducă la o conştientizare a faptului că mediul digital este con- stituit atât din pericole cât şi din oportunităţi şi că statul trebuie să joace un rol de actor hotărât şi discret care să permită companiilor să dobândească o importantă plus- valoare, defensivă şi ofensivă, generatoare de beneficii măsurabile.
Însuşi conceptul de securitate acoperă un sector foarte vast faţă de ceea ce am avut ocazia să aflăm cu prilejul unor forumuri similare celui din Chamonix: conform ideilor prezentate în cadrul atelierului condus de noul şef al SISSE, managementul unei companii proactive tre- buie să aibă, în ceea ce priveşte înţelegerea sistemului în ansamblu, o strategie bazată pe o combinaţie (nonexhaustivă) din următorii factori: un sistem de o calitate certificată alert la toate nivelurile, inclusiv în materie de anti-terorism; securitatea în muncă; o conformare solidă pentru a combate riscurile frecvente, precum cele legate de ecologie, corupţie sau criminalitate; o excelentă stăpânire a informaţiei deţinute sau dobân- dite şi, în sfârşit, o strategie adaptabilă de cibersecuritate, completă şi aplicată fiecărui nivel.

Cibersecuritate

Colonelul Xavier Guimard

Director adjunct de anticipare
şi coordonare a serviciului
tehnologiilor şi sistemelor
de informaţie ale securităţii
interne din cadrul direcţiunii
Jandarmeriei Naţionale.

Problema cea mai frecven- tă continuă să fie alegerea între a trata sau nu gestio- narea riscului digital aşa cum se tratează alte riscuri. Conform experţilor prezenţi, răspunsul este, logic, unul negativ, deoarece, chiar dacă se poate aplica sche- ma securitate/siguranţă (în acest caz, securitate = contracararea riscurilor acciden- tale; siguranţă = contracararea riscurilor provocate din rea-credinţă), totalitatea acţiunilor întreprinse în lumea digitală nu poate fi încadrată în schema tradiţională de prevenţie-acţiune-reacţiune din punct de vedere juridic şi poliţienesc.
Într-adevăr, echilibrul este foarte diferit. Dacă se pleacă de la filozofia infractorului, acesta era în general pus faţă în faţă cu o situaţie dată, un câştig râvnit, o dificultate în săvârşirea faptei (de ordin tehnic, logistic, în general un factor care incumbă fiecărei companii în parte) şi un risc suportat (pedeapsa justiţiei, domeniu rezervat instituţiilor statului).
Or, în lumea digitală, schema este, în mod incontes- tabil, inversată. În ciuda mediului cu desăvârşire fizic, ultima componentă, cea a riscului, practic nu mai există. Delicventul ştie să beneficieze de toate avantajele extra teritorialităţii, alegând să îşi desfăşoare activitatea pe plan internaţional, făcând astfel ca posibilitatea de a fi prins, judecat şi condamnat pentru faptele sale să fie aproape nulă. Singura armă rămâne astfel întărirea la maximum a dificultăţilor întâmpinate de atacator. Acest domeniu depinde de investiţiile companiilor, iar statul nu are vreo implicare. Beneficiind de o vastă experienţă, statul îşi exercită rolul în domeniul crucial al prevenţiei, al furnizării şi împărtăşirii de noi explicaţii pentru com- panii cu privire la riscurile la care acestea sunt supuse, la posibilitatea de a fi atacate şi la pierderile economice pe care un atac care şi-ar îndeplini scopul le-ar produce cu siguranţă, în bugetul şi imaginea acestora.

Terorism şi lecţii de învăţat pe alte planuri

După atentatele din 13 decembrie 2015, au apărut foarte multe puncte de vedere cu privire la mai multe axe, în primul rând la cele legate de prevenţia şi apărarea unui număr cât mai mare de cetăţeni. Prima consta- tare, care reprezintă şi cea mai îndelungată bătălie de purtat, se referă la transformarea reflexelor „culturale” şi la adaptarea mentalităţii colective la noile ameninţări. De exemplu, s-a subliniat faptul că, în Franţa, un bagaj sau un colet abandonat mai generează încă o identificare, în subconştientul colectiv, cu un simplu obiect uitat şi nu cu un act intenţionat de a depozita un corp cu potenţial distructiv. Astfel, acest reflex este diametral opus cu cel al unui cetăţean israelian, de exemplu, pentru care orice obiect lăsat într-un loc public e asociat cu o ameninţare iminentă şi antrenează o mobilizare imediată.

O profesoară înarmată într-o școală din Israel

Unul din exemplele cele mai frapante şi cu siguranţă cele mai triste este cel al teroriştilor care au produs ma- sacrul de la Bataclan: timp de trei ore, ucigaşii au rămas în maşină, în apropierea locului de desfăşurare a specta- colului.
Acest fapt suspect a fost raportat prin patru apeluri telefonice la Poliţie, care însă nu a acţionat în con- formitate cu riscul potenţial evocat de cetăţenii în- grijoraţi: acesta reprezintă un semnal de alarmă care demonstrează în ce măsură şi la ce nivel al statului încă există îndoieli, din punct de vedere cultural, cu privire la pericolul iminent.
Datorită educaţiei, nimeni nu se gândeşte iniţial la ce e mai rău, ceea ce face ca misiunea educativă a statului să fie atât urgentă cât şi necesară, transformând fiecare persoană într-un actor al responsabilităţii colective, fără însă a dezvolta o paranoia.

Atlasul atentatelor din Paris, © Le Monde

Scenariile posibile de atacuri mai devastatoare decât cele din 13 noiem- brie au devenit obiectul grupurilor de lucru şi al simulărilor de crize, ceea ce indică voinţa instituţiilor franceze de a schimba atât dogma cât şi ecuaţia securitară.
Cu titlu de exemplu, nu există aproape nicio măsură reală în şcoli, pro- cedurile în caz de atac terorist fiind aceleaşi ca în cazul oricărui alt pericol (seismic, meteorologic, etc.), aşa cum au fost ele reglementate acum câteva decenii. Acest lucru conferă infractorilor care nu au nimic de pierdut timpul necesar pentru îndeplinirea măcelului înainte ca forţele statului să se mobi- lizeze pentru a reacţiona aşa cum ştiu să o facă.
Un alt aspect vital, care trebuie aplicat cât de curând, este cel legat de ajutorarea victimelor de către celelalte victime. Exemplul Bataclan demonstrează şi că, dacă populaţia ar fi avut minimele cunoştinţe de „gesturi salvatoare” de prim-ajutor (respiraţie artificială, masaj cardiac, aşezarea într-o anumită poziţie a victimei), ar fi putut fi salvate mai multe vieţi înainte de intervenţia masivă a medicilor de pe ambulanţă.
Atentatele au avut rolul de a revizui în profunzime analiza proactivă şi „live” a „semnalelor slabe”. Avantajul acestei abordări, destinate în primul rând securizării domeniului public fizic, se poate aplica cu succes atât în ciber- securitate cât şi în inteligenţa economică.
Şi în aceste domenii, lipsa de cultură a pericolului iminent, lipsa de mijloace şi barierele juridice legate de viaţa privată sunt teme care trebuie obligatoriu revizuite cu celeritate.
În şcoli, de exemplu, este nevoie de instruirea unui număr de profesori şi de părinţi pentru a fi capabili să recunoască atitudini neobişnuite şi suspecte şi să le raporteze cât mai repede ofiţerilor desemnaţi special cu care vor păstra un contact permanent.
În spaţiul public, este necesară obţinerea de către stat de mijloace de analiză în direct a fluxului de informaţii furnizate de camerele video şi în detectarea comportamentelor, prezenţelor, gesturilor neobişnuite sau sus- pecte, stabilind totodată priorităţi printre diferitele tipuri de semnale slabe. Confruntaţi cu imensitatea datelor culese, devine indispensabilă folosirea mijloacelor disponibile pentru a urmări semnale care prezintă un anumit număr de criterii ce justifică o desfăşurare de forţe şi o analiză aprofundată urgentă, întrucât au o probabilitate suficient de mare de a fi semnalele
premergătoare unei activităţi infracţionale cu impact semnificativ. Semnalarea comportamentelor îndoielnice de către cetăţenii voluntari,
fiecare în propriul cartier, pe modelul sistemului implementat de jandarme- rie, reprezintă de asemenea un avantaj major, deoarece cetăţeanul va putea indica tot ceea ce îi pare suspect, iar apoi va cădea în sarcina autorităţilor competente de a evalua fiecare situaţie, reţinând pe de o parte pistele a căror urmărire se justifică şi îndepărtând, pe de altă parte, comportamentele individuale ciudate dar care nu prezintă pericole.
Aplicarea unei bune înţelegeri a „semnalelor slabe”, în domeniul digitalu- lui, trebuie să se facă prin intermediul unei combinaţii de analiză automată şi apoi umană a anomaliilor, atât a celor din cadrul sistemului cât şi a celor îndreptate spre sistem, fie că este vorba de o instituţie sau de o companie.

Geopolitică şi mize viitoare

Olivier Kempf

Cercetător la Institutul de Realţii
Internaţionale şi Strategice (IRIS) şi directorul
publicaţiei în domeniul strategiei «La Vigie».

Ruptura mediului în care trăim de trecut este din ce în ce mai evidentă. Evenimentele teroriste, crizele se petrec cu o frecvenţă mai mare ca niciodată, iar strategia anterioară de a ataca la distanţă, de exemplu în Afganistan, pentru a-şi apăra propria ţară nu mai este de actualitate într-un stat conştient de elementele ostile de pe teritoriul său şi în care au avut loc astfel de atentate.
Schimbările radicale, diseminarea şi multiplicarea presiunilor externe sunt cele trei fronturi aliniate în interiorul Naţiunii, iar această nouă configuraţie re- clamă schimbări profunde ale procedurilor şi ale strategiilor de implementare. Cât despre latura informativă, există şi aici, în mod ideal, noi răspunsuri, printre altele cu privire la jihadism. În media s-au răspândit opinii adesea întărite prin elemente politice, conferind acestei mişcări atât o legitimi- tate „religioasă” cât şi un statut de combatant, căci, conform retoricii convenţionale, faptul că Europa s-a declarat în război implică o confruntare militară cu un inamic recunoscut ca atare şi nu o reprimare poliţienească a
unor infractori.
De altfel, se constată că un element care nu a fost cântărit la adevărata sa valoare în anii 2000 este cel al ridicării la rang de erou al „noului terorist”. Înainte de 2000, nimeni nu dorea cu adevărat să devină terorist, iar exponenţii acestui fenomen (Mesrine, Carlos) erau personaje singulare, inamici publici pe viaţă cu statut de infractori, în timp ce astăzi, teroristul e glorificat: el încarnează un reprezentant al mişcării de rezistenţă care îşi dă viaţa pentru o cauză.

Acest fenomen, probabil „consacrat” prin declaraţia de război a lui George W. Bush ca urmare a atentatelor din 2001, creează în continuare ambiţii şi a devenit un soi de aventură propusă tinerilor graţie unui discurs manipu- lator şi motivant extrem de bine structurat şi în continuă adaptare la situaţia prezentă, în ciuda stereotipurilor vehiculate adesea de către presă.
Jihadismul este o expresie modernă, concepută ca răspuns la lumea occidentală şi care utilizează atât codu- rile de comunicare modernă cât şi cele mai bune tehnici de manipulare mentală. Cutia de rezonanţă reprezentată de media favorizează într-un fel perceperea acestei mişcări dintr-o perspectivă religioasă şi de război, în de- trimentul realităţii, compusă din indivizi manipulaţi care devin asasini în virtutea unui ideal politic înainte de toate. De fapt, ne confruntăm cu un „management” extrem de sofisticat, fie că este vorba de marile atentate conduse de Al-Qaeda în anii 2000 sau de „măcelăria organizată” de Statul Islamic pe teritoriile pe care le ocupă şi în Occident, bazată pe tineri îndoctrinaţi şi căliţi în operaţiuni ţintite, care revin în ţările lor.
Metodele de prevenire şi de educare necesare a fi puse în practică sunt foarte complexe, iar situaţia jihadis- mului francez reflectă starea coeziunilor sociale actuale. Chiar dacă impactul spoturilor televizate şi al portalurilor multimedia „stop-jihadism” au fost considerate „slabe” – contul de twitter „stop djihadisme” este o picătură în oceanul celor mai bine de 30.000 de conturi pro-jiha- diste francofone –, rezultatele acestora încep să se vadă deoarece singurul scop al acestora este de a informa populaţia că există răspunsuri, că există unităţi speciali- zate de consiliere a familiilor şi, mai ales, că există o şansă ca o persoană cucerită de mesajele radicale să poată fi salvată şi reintegrată.
Asupra acestei şanse trebuie concentrate toate efortu- rile, pentru că este uşor de identificat: orice manipulare mentală reuşită trece printr-o etapă de captivare (site- urile de internet), însă nu devine eficientă decât după acapararea persoanei de către experţi în îndoctrinare în lumea fizică, urmată de deplasarea în zona de luptă.
Astfel, statul ar trebui să fie avertizat de către apropiaţi şi de familie înainte de prima întâlnire fizică dintre tânăr şi „mentorul” său, pentru a avea mai multe şanse de reuşită a acţiunii de prevenţie şi pentru a-i putea face cunoscut potenţialei victime ce va deveni dacă are încredere în terorişti.
O mare parte din jihadiştii europeni au plecat în Orien- tul Apropiat sau Mijlociu convinşi că acolo aveau să acorde ajutor umanitar, însă au ajuns în final să participe, cu arma în mână, la cel mai avansat stadiu al manipulării, iar acest lucru dovedeşte că sistemul de comandă al individului manipulat trece prin aceste două etape de îndoctrinare.
Problema care trebuie clarificată este cea a definirii ro- lului statului, a cărui prezenţă trebuie să fie mai vizibilă şi mai puţin birocratică, care trebuie să-şi asume rolul de partener important în demersul de întărire a securităţii cetăţenilor şi companiilor, fără însă a-i fi motor omni- prezent şi unic. Statul trebuie să genereze şi să inspire iniţiative fără a le conduce neapărat.
Măsurile centralizate folosite odinioară, bazate pe acţiuni ale statului, nu mai sunt eficiente într-un cadru atât de complex, în care informaţiile „pro-jihadiste” sunt mult mai numeroase decât datele site-urilor de preve- nire, în războiul informaţiei care se poartă în prezent pe internet.
De altfel, atentatele de la Paris nu trebuie să ascundă ci, din contră, să ne permită să anticipăm posibile planuri viitoare de acţiuni care se vor desfăţura înafara graniţelor Statului Islamic.
Într-adevăr, modelul de stat deplin pe care Statul Islamic îl propune are o coerenţă ideologică, oferă o explicaţie oricărei acţiuni, atrăgând orice persoană receptivă faţă de această retorică. Pentru un individ devenit consuma- tor înainte de a fi cetăţean, această metodă începe să funcţioneze în multe alte medii altermondialiste.
Au fost tratate două elemente foarte interesante. S-a subliniat că, în contextul lipsei de repere a societăţilor „de consum” în care trăim, problema generată de terorism în prezent este că, pe de o parte, indivizii se obişnuiesc cu această nouă situaţie şi că, pe de altă parte, nu există nicio legătură cauză-efect asupra companiilor.
Pentru indivizi, acest reflex aminteşte de perioada bombardamentelor Aliaţilor asupra Germaniei: în loc să stârnească revolta populaţiei împotriva regimului nazist, aceste distrugeri zilnice au fost atât de ample încât locuitorii marilor oraşe s-au obişnuit treptat cu ele. Cât despre mediul de afaceri, dacă luăm în considerare exemplul unui vehicul deţinut de o companie de transport asupra căruia are loc un atentat, va exista desigur o scădere a cifrei de afaceri pe perioada unor zile consecutive, însă nu pe termen lung.
Miza în viitor depinde de încercarea de schimbare încă de pe acum a acestei practici societale a resemnării şi a adaptării. Rezistenţa individului, în mediul fizic şi în cel

Dresda în 1945

virtual, trebuie întreţinută şi educată, pentru că deja se pot observa semnele îngrijorătoare ale structurării diverselor mişcări.
Unite datorită marginalizării societăţii de astăzi, s-ar putea ca obiectul atacurilor acestor persoane să nu mai fie civilii, ci reţele sensibile, centrale nucleare, trenuri de mare viteză sau chiar directori de companii, urmând modelul Brigăzilor Roşii şi al Facţiunii Armata Roşie.
Cazul din Notre-Dame-des-Landes (inclusiv revolta în masă împotriva proiectului de construire a unui aeroport şi acţiunile de sabotaj) poate să genereze ciber-atacuri utilizând tehnologie de vârf şi chiar asasinate ţintite. În funcţie de context, aceste grupuri şi acţiunile lor pot trece rapid de la statutul de epifenomene la încercări reuşite ale terorismului de mâine, care va fi mult mai internaţional şi mai frecvent decât atentatele jihadiste actuale, punctuale şi care vizează un anume stat

Manifestanți împotriva construirii marelui aeroport din Paris la
Notre-Dame-des-Landes © Le Monde

În acest caz, mediul de afaceri va fi lovit din plin, şi tocmai de aceea sensibilizarea şi pregătirea managementului companiilor sunt mai stringente ca oricând. Conform specialiştilor, această formă de terorism, studiată de
15 ani, începe să ia amploare şi a depăşit tadiul de „fenomen emergent”.
Una din concluziile cele mai importante ale dezbaterii este că totalitatea axelor studiate constituie într-o anumită măsură (mai puţin pentru specialişti) aşa-numite „câmpuri informe” („ciber”, mondializare, inteligenţă economică, terorism) pentru care este vitală crearea, în cadrul statului, a unor unităţi flexibile, adaptabile şi transversale de comunicare constantă cu societatea şi mediul de afaceri.
Doar printr-o mai bună înţelegere a acestor „câmpuri” care sunt, în mod paradoxal, strâns legate unele de altele, indivizii şi actorii publici şi privaţi vor putea învăţa să se adapteze şi să se protejeze pentru a se dezvolta.
Pentru Franţa, noua orientare se bazează pe crearea de instituţii care să permită societăţii şi mediului economic să devină iniţiatori majori ai şantierelor şi ai mijloacelor de aplicare a demersurilor de securizare a ţării şi nu invers.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

344

Securitatea cibernetică este un subiect complex. Societatea se mișcă rapid înspre lumea digitală. Guver- nele și companiile doresc să treacă la digitalizare pre- sându-și departamentele să se transforme de la „vechiul stil” la unul nou digital. În anii 70 au fost introduse calcu- latoarele personale, în anii 80 primele ATM-uri. În 1991 WWW a devenit accesibil public, în timp ce după 2000 telefoanele mobile au devenit un dispozitiv comun. Din 2010 s-au răspândit pe scară largă smartphone-urile, tabletele, infrastructura de cloud, Big și Open Data. mai multe studii prognozează că în 2020 vor exista cca. 34-50 de miliarde de dispozitive conectate la Internet. Considerând că populaţia globului va fi de cca. 7 miliarde, aceasta înseamnă că fiecare om va avea 5 până la 7 dispozitive conectate la Internet.
Suntem capabili să facem faţă acestui fenomen? Progresul se întâmplă mai repede decât capacitatea umană de a-l stăpâni. Cel mai recent raport Digital Economy & Society Index 2016 relevează faptul că 1/3 din populaţia Italiei nu utilizează Internetul în mod regulat și că există carenţe în specia- lizarea digitală.
Adoptarea digitalizării și a securităţii cibernetice pornește de la educaţie și conștientizare. Majoritatea atacurilor exploatează erori umane. Pornind de la statisticile generale și până la vulnerabilitatea exploatată de un atac, în 80-90% din cazuri erorile sunt umane.
Un malware, cum ar fi un ransomware, exploatează o vulnerabilitate umană. Furturile de date, cum a fost și în cazul Linkedin, reprezintă mari probleme pentru companii. O mulţime de oameni utilizează aceeași parolă pentru diferite servicii. Dacă o persoană se înregistrează într-o reţea socială cu adresa de email a companiei și utilizează aceeași parolă pentru auten- tificare pentru ambele identităţi digitale (intranetul companiei și Linkedin), aceasta poate reprezenta o vulnerabilitate și pentru companie.
Activităţile de monitorizare ale unei companii trebuie să ia în considera- re și aceste aspecte, dar eforturile pot fi invers proporţionale cu gradul de conștientizare al angajaţilor, clienţilor și utilizatorilor în general.

Un departament de informaţii privind ameninţările cibernetice trebuie să monitorizeze și Deep Web-ul pentru a verifica dacă scurgerea anumitor date poate avea vreun impact asupra companiei. Bazele de date publicate pe Dark Web pot conţine informaţii care pot dăuna business-ului și intereselor companiei.


Un al doilea aspect îl con- stituie lipsurile din oferta edu- caţională în privinţa securităţii cibernetice. Italia se află pe locul
22 din 28 de ţări europene (21 după Brexit) ca număr de absolvenţi STEM (Science Technology Engineering
Mathematics).

În studiul „The 2015 (ISC)2 Global Information Security Workforce Study” realizat de Frost & Sullivan, se vede în mod clar necesarul global de cunoștinţe, aptitudini și abilităţi în domeniul securităţii IT. În piaţă există o lipsă acută de experţi (analiști de securitate, auditori de securitate, arhitecţi de securitate…) precum și de competenţe (evaluarea și administrarea riscu- rilor, investigarea și răspunsul la incidente, guvernanţă…).

Programele educaţionale trebuie să includă mai multe subiecte STEM și o abordare progresivă și mai profundă în securitatea cibernetică, pentru studenţii interesaţi. În prezent securitatea cibernetică este doar un subiect printre altele, în cadrul unui program de masterat, cu puţine activităţi prac- tice. Este prea târziu să mai apelăm la analiști de securitate sau la alţi experţi operaţionali. Piaţa italiană are o lipsă de resurse operaţionale în securitatea IT, care trebuie completată.
Programele educaţionale naţionale în domeniul securităţii cibernetice trebuie să înceapă cu programe puternice STEM și de conștientizare pentru a insemina bazele subiectelor de securitate cibernetică. Universităţile tre- buie să înceapă să creeze programe dedicate pentru securitatea cibernetică, cu training-uri operaţionale. În Italia există o lipsă acută de programe univer- sitare de securitate cibernetică și facultăţile de inginerie, mai ales, trebuie să vină cu o soluţie.
Soluţiile nu trebuie să fie decuplate de mediul de muncă. Examinând National Initiative for Cybersecurity Education (NICE) din SUA și com- parând această iniţiativă cu framework-ul naţional de securitate cibernetică

(National Cybersecurity Framework) (adoptat și în Italia), nu se văd cu claritate conexiunile dintre cele două iniţiative. Între ele există un fel de pod neterminat.
Iniţiativa naţională pentru educaţie în domeniul securităţii cibernetice (National Initiative for Cyber- security Education) a NIST prezintă 7 categorii (provizio- nare sigură, operare și întreţinere, protecţie și apărare, investigare, supraveghere și guvernare, colectare și operare, analiză). Pentru fiecare categorie, sunt stabi- lite zone de specialitate (cca. 32 în total). Pentru fiecare zonă specializată sunt stabilite anumite sarcini (task-uri) pe care un expert trebuie să le execute, dobândind cunoștinţe specifice, abilităţi și aptitudini [Knowledge, Skills and Abilities (KSA)] circa 800.
Dobândirea de KSA permite aspirarea către anumite funcţii, listate de asemenea în framework. Problema o reprezintă lacunele logice dintre cele 2 iniţiative (educaţională și operaţională), deoarece categorisirea subiectelor în cele 2 framework-uri este diferită.
Framework-ul este împărţit în 5 funcţii (identificare, protecţie, detectare, răspuns, recuperare) cu subcategorii diferite s.a.m.d. Efortul de a conecta framework-ul NICE cu cel de securitate cibernetică naţională a fost lăsat în seama cititorului. Ar fi fost util să se folosească un limbaj și un framework comun pentru a descrie categoriile educaţionale și de training pentru a avea o anumită con- tinuitate în domeniu.

În concluzie, câteva recomandări pentru Italia ar fi:

1. Începerea diseminării campaniilor de conștienti- zare începând încă de la grădiniță, nu prin
inițiative sporadice ci prin inserarea lor în activități educaționale;
2. Creșterea învățământului STEM pe toate nivelele educaționale;
3. Introducerea unor programe de securitate cibernetică în licee și a unor cursuri de securitate cibernetică în universități;
4. După framework-ul național de securitate cibernetică, adoptat de Italia, următorul pas care trebuie făcut este dezvoltarea unor programe educaționale care să instruiască lumea în efectua- rea funcțiilor și activităților listate în framework.

© Cybersecurity Trends mulțumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din iulie- august 2016).

autor: Massimo Cappelli

Massimo este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activitățile educaționale și de cercetare ale fundației. A urmat studii economice și ulterior a obținut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică și geo-istoria regiunilor de frontieră) concentrat pe programe de protecția infrastructurilor critice și un masterat în «Intelligence and Security Studies» (Studii de securitate și informații). Anterior a ocupat funcția de Associate Expert in Risk Resilience and Assurance (ex- pert asociat în asigurare și reziliență la riscuri) la Booz & Company și Booz Allen Hamilton. A fost și consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.

337
Scurt istoric recent al relaţiilor nesănătoase între state, agenţii de informaţii, guverne și mercenari.

DISCLAIMER: acest articol este intenționat polemic și nu își propune stabilirea de „fapte” sau de „adevăruri”. Subiectiv „by default”, fără a prezenta fapte, articolul are ca scop invitarea cititorilor la reflecție asupra lumii digitale în care trăim și încurajarea acestora să își organizeze, fiecare pentru sine, propriile mijloace de apărare digitală personală, profesională, socială și familială.

autor:
Laurent Chrzanovski

Contextul articolului: de la isteria mediatică la manualul „Tallinn 2.0”

Există multe motive ale publicării acestui text într-o revistă de conștientizare a cititorilor în domeniul cyber-securităţii.

În primul rând, se estimează că, odată cu ultimele alegeri americane și primele o sută de zile ale Președintelui Donald Trump la Casa Albă, limitele intoxicării mediatice, fie că aceasta provine de la vreun stat sau vreo entitate, au depășit niveluri record, deţinute înainte„pe timp de pace”, în Occident, de către cei vizaţi în timpul mccarthysmului, apoi în timpul crizei rachetelor din Cuba.

Spre deosebire de cele două episoade ale istoriei noastre recente, tema centrală a acestei campanii de intoxicare 4.0 este acum fenomenul „cyberwar”. Spre deosebire de lupta „ideologică” a războiului rece, acest subiect este total străin marelui public din cauza lipsei de educaţie și de cultură în acest domeniu. Mai rău chiar, oamenii au impresia că sunt doar spectatorii unei lupte între titani și că ei nu reprezintă o ţintă, nesocotind astfel măsuri de precauţie necesare propriei securităţi, obiectul principal pentru care a fost înfiinţată și revista noastră.

Or, în acest război virtual murdar care nu cunoaște limite, drepturile cetăţenești și datele fiecăruia dintre noi constituie o parte fundamentală, nu doar din competiţia tehnologică a marilor puteri, dar și din luptele interne în fiecare stat, la care asistăm în prezent.

În al doilea rând, asistăm în sfârșit, din partea celei de-a patra puteri, la o reacţie raţională de sprijinire a apărării cetăţenilor.

Tonul a fost dat în 5 februarie anul trecut, cu ocazia publicării magistralului „Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, prezentat oficiat la Washington în 8 februarie. Această lucrare, publicată de Cambridge University Press, a fost redactată de către cei mai buni experţi occidentali în domeniu, cu sprijinul NATO Cooperative Cyber Defence Centre of Excellence.

Organismele „policy makers” dispun în sfârșit de un instrument fin care le ajută în evaluarea gravităţii unui act ilegal pe Internet, de la breșă până la intruziune, de la phishing la malware, de la spionaj la sabotaj, culminând cu incidentul grav și, în ultimă instanţă, cyber-atacul, instituind astfel încă un rând de definiţii precise folosite în sectorul privat, create și actualizate constant de către NIST1 (National Institute of Standards and Technology).

 

 

 

 

 

 

 

Astfel, indispensabilul Associated Press Stylebook a schimbat imediat definiţia cuvântului „cyberattack”, care numai vizează doar evenimente care duc la o distrugere masivă și de mare amploare. De remarcat este că termenul „cyberwar”, atât de drag oamenilor politici, militari și redactorilor șef, nu se regăsește în terminologia agreată de către Stylebook, terminologie pe care orice jurnalist anglofon preocupat de deontologia profesională ar trebui să o adopte.

Această acţiune simplă, aparent banală, va avea consecinţe majore într-un stat precum SUA, în care justiţia este prin definiţie evolutivă. Faptul de a fi suspectat de perpetuarea unui atac reprezintă cu siguranţă acuzaţia cibernetică cea mai gravă în prezent, folosită în mod eronat. Astfel, justiţia americană și, prin extensie, întreaga lume, prin adoptarea vocabularului anglofon în domeniul digital, va fi obligată, pe termen mediu, să își adapteze textele normative în funcţie de gravitatea infracţiunii comise2.

Istoricul unui război murdar prin câteva episoade cunoscute de toată lumea

Începând cu 2010 și după scandalul rapoartelor de război (War Logs), WikiLeaks a devenit un actor mediatic major. Însă odată cu succesul siteului whisteblower-ilor, s-a instituit o nouă politică, stăpânită perfect de către marile puteri occidentale: cea a „scurgerilor de informaţii orchestrate”. Răspândite de o presă avidă de scandaluri, circumstanţele lor sunt necunoscute marelui public, deși stau la originea războiului de informaţii purtat între actorii importanţi din lumea serviciilor de informaţii.

2013: cazul Snowden sau o veritabilă victorie dorită de către „învinși”

Părăsirea funcţiei de către Edward Snowden, în spe- cial sejurul său la Hong Kong (20 mai 2013), apoi plecarea sa la Moscova (22 iunie 2013), generează două probleme elementare care ţin de principiile fundamentale ale agenţiilor de informaţii ale marilor puteri și de relaţiile diplomatice internaţionale.

Dacă Snowden deţinea într-adevăr atâtea secrete vitale pentru NSA, cum de nu a trezit nicio suspiciune îmbarcarea sa din Hawaii cu destinaţia Hong Kong, de vreme ce concediul care îi fusese acordat implica un zbor intern pentru efectuarea, în SUA, a unui tratament contra epilepsiei? Cum de nu a fost „cules” de contractanţi americani atunci când a ajuns la destinaţie (după 12 ore de zbor!) sau „eliminat” înainte de primul contact cu jurnaliștii de la The Guardian? Cum a putut, cu un pașaport retras și cu un tratat reciproc de extrădare între Hong Kong și SUA, să treacă de controalele vamale ale aeroportului din Hong Kong și să se îmbarce pentru un zbor la Moscova?

Există multe răspunsuri plauzibile, în care se evocă talentele personale ale d-lui Snowden și resursele noilor săi prieteni, însă, așa cum o afirmă neoficial și specialiștii serviciilor de informaţii din state neimplicate, „I don’t buy it” (nu prea cred).

Într-adevăr, Edward Snowden se dovedește a fi o „armă fatală” pentru agenţiile de informaţii și pentru Departamentul de Stat american. Acel an fusese marcat de evenimente tensionate: în plan intern, raporturile dintre Președintele Obama și NSA erau la cel mai jos nivel3; în plan geopolitic mondial, SUA suferiseră câteva înfrângeri diplomatice succesive în faţa Rusiei4, culminând cu abandonarea oricărei iniţiative de intervenţie americană în Siria ca urmare a renunţării, de către regimul de la Damasc, la armele chimice deţinute.

În microcosmosul raporturilor de forţă între „deep State” (agenţiile si servici de intelligence) și „elected State” (președinţia, parlamentul) din Statele Unite, „cazul Snowden” a permis conducerii NSA să ceară alocări substanţiale, obţinând astfel cel mai mare buget anual din istoria sa (oficial, 10,77 miliarde de dolari, fără cheltuielile clasificate), plasând agenţia, în ceea ce privește finanţarea, imediat sub CIA și departe de resursele acordate Inteligenţei militare.

În contextul mondial, prezenţa lui Snowden la Hong Kong indică și o alegere tactică ideală. Probabil miza o reprezenta și alegerea Chinei de a mușca sau nu din „momeală”, oferind astfel o armă diplomatică de care SUA aveau mare nevoie în ajunul vizitei Președintelui chinez Xi Jinping în America în luna iunie, o vizită de stat de două zile în care cyber-securitatea reprezenta una din temele centrale.

„Omiţând” să-l aresteze pe Snowden la aeroport, adevăratul conducător al Hong Kong-ului și-a permis să nu facă nicio concesie cu ocazia summit-ului cu Barack Obama din iunie5. Plecarea orchestrată a lui Snowden spre Moscova a oferit, în schimb, Casei Albe pretextul îndelung așteptat de a îngheţa relaţiile bilaterale între Washington și Moscova într-un mod fără precedent, la câteva luni după intervenţia americano-europeană în Ucraina care a culminat cu fuga lui Ianukovici în februarie 2014.

În timp ce Snowden era la Moscova, Statele Unite au putut crea un nou inamic global credibil, indispensabil pentru menţinerea creșterii sectorului tehnologic și militaro-industrial, o temă asupra căreia vom mai reveni.

Tocmai sectorul tehnologic este marele învingător al aventurii lui Snowden. După dezvăluirile sale, state terţe, care s-au declarat șocate de informaţiile pe care le deţineau de mult timp, au fost forţate să investească masiv în cyber-securitate, un domeniu dominat la acea vreme de Israel: în 2013, exporturile americane au atins un record (3 miliarde de dolari, ceea ce a egalat suma contractelor israeliene din domeniul exporturilor), asigurându-și și mai multe contracte și o creștere uimitoare, atingând 6 miliarde de dolari pentru fiecare din cele două state în 2015 – iar perspectivele americane se ridică chiar și la valoarea de 20 de miliarde pe an peste trei ani.

Iar Rusia? Aceasta și-a putut regăsi mândria pierdută din 1991, redevenind adversarul numărul unu al celei mai mari puteri mondiale și revenind într-o stare de confruntare în care excelează. Punând punct negocierilor bilaterale cu SUA care deveniseră complet sterile, Rusia s-a putut concentra pe mărirea sferei sale de influenţă și a profitat de agresivitatea mediatică americană pentru a justifica creșterea exponenţială a cheltuielilor sale tehnologice și militare.

Din toate punctele de vedere, cel mai mare perdant al „cazului Snowden” nu este altcineva decât contribuabilul european, adică noi toţi.

2014-2015: mercenari indezirabili sau luptă între state? Căderea în două etape a Hacking Team

Așa-numitul „mercenariat” al grupurilor private specializate în spionaj sau în tehnici de atac ţintit, care acţionează parţial și punctual în interesul unui stat este un alt mit elaborat de către marile puteri.

În lumea criminalităţii, se regăsesc, bineînţeles, grupări mafiote cu o foarte mare capacitate tehnologică. Însă această capacitate le este de folos cu precădere în scopuri pur „civile”: spălare de bani, fraude, extorcări, vânzare de produse ilegale sau de conţinut ilegal și, în fine, vânzare în sistem de „pay-per-service” a unor instrumente – în general deja folosite – care pot ataca un adversar comercial (zero-days, ransomewares, botnets etc.).

În schimb, în lumea ermetică a informaţiilor și a operaţiilor tactice („offensive security”) a marilor puteri, contractanţii privaţi de calitate sunt rari iar implicarea directă, atât tehnică dar și logistică, a statului care le finanţează ţine de domeniul evidenţei.

Scandalul companiei italiene Hacking Team este un exemplu elocvent. În nebuloasa investitorilor care au permis crearea și dezvoltarea „mercenarilor spionajului” se regăsesc, cu o cotă de 16%, Finlombardia (societatea de investiţii a Regiunii Lombardia). Așadar, banii contribuabilului italian6.

Iniţial aflată în serviciul autorităţilor italiene, apoi în cel al unor entităţi publice din întreaga lume, inclusiv al FBI, Hacking Team a început să deranjeze autorităţile europene prin lipsa completă de morală, așa cum s-a întâmplat în cazul comisiei de anchetă a ONU cu privire la situaţia din Darfur, care menţionează deja în iunie 2014 compania ca furnizor de ţinte pentru regimul de la Khartoum7.

În ciuda acestor lucruri, susţinerea serviciilor de informaţii italiene nu slăbește, întrucât atunci când Ministrul Comerţului decide, în decembrie 2014, să retragă companiei licenţa de export, îi va fi retrasă încrederea de către propriul său guvern în mai puţin de o lună, într-o turnură grotescă. Graţie contractelor CEO-ului de la Hacking Team și ameninţărilor cu expunerea instituţiilor italiene care făceau parte din clientelă, compania va fi „condamnată” să se supună prevederilor Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies8 în vigoare între UE și un număr mare de state terţe.

Însă nu furnizarea de servicii dictatorilor și regimurilor paria9 au făcut ca această companie să fie atacată în iulie 2015 și să-i fie furate mai mult de 4GB de materiale compromiţătoare.

În concurenţă cu o gamă foarte restrânsă de companii de același fel, majoritatea cu sediul în Israel și în SUA, Hacking Team, înfiinţată în 2003, s-a dezvoltat rapid, fapt ce a deranjat cu siguranţă competitorii, astfel că o singură tranzacţie cu un client nepotrivit a antrenat probabil o reacţie la înălţimea tensiunilor existente în acest domeniu, adică piratarea unui pachet enorm de date vitale.

Un exploit atribuit unui singur hacker, care a acţionat sub pseudonimul Phineas Fisher… este credibilă, această variantă solitară de Robin Hood? Probabil, însă explicaţia mai logică, ţinând cont de tehnologia folosită, ar fi că tocmai concurenţii și inamicii Hacking Team i-au venit de hac.

Însă așa cum pasărea Phoenix renaște din propria cenușă, se pare că această înfrângere a fost doar una provizorie, astfel că CEO-ul și-a sporit numărul de contracte și de noi clienţi10, săvârșind (tristă ironie a sorţii) activităţi interzise serviciilor de informaţii.

Pe scurt, instituţiile statului italian într-un mod mai mult sau mai puţin direct, împreună cu banii contribuabilului italian, în mod direct, sunt actorii care au permis ca Hacking Team să existe și, mai mult decât atât, să îndeplinească muncile murdare ale serviciilor italiene și europene și să obţină contracte în peste 75 de ţări, garnisite cu moartea oponenţilor politici și a jurnaliștilor plătiţi din banii contribuabililor italieni.

Aceasta este singura morală demnă de reţinut: Italia, stat european democratic, a permis și permite în continuare astfel de lucruri în numele concurenţei tehnologice. Însă, contrar marilor puteri, Italia nu deţine mijloacele de a subjuga complet o companie intereselor serviciilor de informaţii proprii sau de a împiedica o astfel de companie să treacă linia roșie care marchează teritoriile Internetului rezervate marilor puteri.

În acest context, nu putem decât să surâdem amar în faţa insistenţei mediatice a marilor puteri de a lua distanţă faţă de „mercenarii web-ului” care nu sunt dispuși să se lege cu un cordon ombilical permanent de agenţiilor lor de informaţii și care nu doresc să se supună în mod exclusiv consimţământului lor în cazul vânzării către state terţe.

Legendarele departamente de „black ops” și „birourile fantomă” ale serviciilor de stat și-au schimbat doar costumul și numele. Acum au trecut în civil, nu mai au grad militar și se numesc „commissioners” sau „privateers11. Și nu ne înșelăm deloc: tot impozitele noastre sunt cele pe care contează guvernele noastre… atunci când se spionează unele pe altele și când ne spionează pe noi.

2015: FBI vs Apple („San Bernardino case”): o manevră publicitară magnifică

În data de 2 decembrie 2015 a avut loc cel mai grav atac armat din Statele Unite din ultimii trei ani, soldat cu 14 morţi și 22 de răniţi. Un cuplu înarmat, susţinător ai Statului Islamic, a deschis focul asupra unor persoane dintr-un centru social din San Bernardino, în apropiere de Los Angeles. Ambii teroriști au fost apoi uciși într-un schimb de focuri cu poliţia. Telefonul Apple iPhone 5C al soţului, Syed Rizwan Farook, a fost găsit intact.

A început atunci o operaţiune de publicitate fără precedent în presa nespecializată. O încleștare tragicomică prin care FBI a târât în instanţă Apple cu scopul de a primi acces la datele stocate în telefonul și în cloud-ul teroristului.

Fără a aminti serviciile de informaţii, există pe plan mondial cel puţin 3 companii – toate „commissioners” sau companii cu care statele au contracte – capabile să decripteze iPhone-uri. Care a fost așadar scopul urmărit prin această operaţiune de intoxicare de mare anvergură?

Înainte de toate, între Apple și agenţiile americane este de mult timp în desfășurare, în culise, o partidă de șah cu privire la datele care sunt furnizate autorităţilor și la condiţiile în care acestea sunt furnizate. Apple este, conform majorităţii centrelor de cercetare specializate, unul din ultimii giganţi ai netului care a renunţat la pretenţii după intrarea în vigoare a Patriot Act, formulând niște condiţii rămase necunoscute până astăzi.

Însăși reputaţia Apple este în joc. Dacă FBI declară pe loc că deţine toate datele de pe iPhone, toată publicitatea făcută securităţii și confidenţialităţii sistemului de criptare a iPhone-urilor Apple, un avantaj concurenţial important, ar fi în van.

Poziţia Apple, centrată pe „protejarea consumatorului-proprietar”, rămâne inflexibilă, iar FBI avea să comunice, câteva luni mai târziu, că a reușit decriptarea iPhone-ului graţie unor hackeri misterioși12.

Ambii protagoniști ies curaţi din această „comedie”. Spargerea unui singur iPhone de generaţie depășită a necesitat atâtea luni, așadar proprietarii de iPhone 6 și, mai nou, iPhone 7, pot fi siguri că nimeni nu le poate invada intimitatea. Este exact genul de iluzionism care îl determină pe consumator să creadă că nu mai are nevoie să înveţe să se protejeze el însuși, în mod activ.

2013-prezent: căutarea disperată a unui inamic (credibil, de preferință)

Acest capitol ambiţios nu constituie în niciun fel o acuzaţie adusă vreunui stat menţionat. Fără a trece linia roșie a nenumăratelor „teorii ale conspiraţiei”, este totuși de datoria noastră să furnizăm cititorului câteva informaţii credibile și să fixăm un cadru geopolitic cât mai obiectiv cu putinţă.

Câteva axiome incontestabile vor fi de folos pentru o mai bună înţelegere a fenomenului:

1 „Cyber-statele”: mari puteri, puteri în curs de dezvoltare, puteri regionale

În ciuda a ceea ce se vehiculează în media, cele „patru puteri” sunt foarte inegale. Două dintre acestea sunt, de departe, mult înaintea celorlalte în ceea ce privește tehnologiile și resursele, atât cele defensive cât și cele ofensive în toate domeniile, de la atacuri frontale la infiltraţii hibride și până la operaţiuni ale agenţiilor de informaţii: SUA și Israelul.

Urmează apoi Rusia, putere în curs de dezvoltare care a făcut salturi calitative majore în decursul ultimilor ani, atât prin creșterea stabilă a nivelului tehnologic defensiv și ofensiv, cât și, mai ales, prin stăpânirea la perfecţie a războiului purtat de agenţiile de informaţii.

În fine, lista e completată de China, cu resursele umane colosale de care dispune și care îi permit să exceleze cu precădere în protecţia propriului teritoriu și în tehnologiile destinate colectării de date sensibile, mai ales cele cu plus-valoare economică. Toate analizele recente sunt rezultate ale unor cercetări efectuate în spaţiul occidental, așadar evoluţia capacităţii reale a Chinei este doar speculativă.

Urmează apoi statele în care autorităţile publice deţin capacităţi excelente în domeniul ciberneticii, care ar putea fi numite „puteri regionale”, conform unei scheme politico-militare „clasice” deoarece toate, fără excepţie, se situează mult sub cei „2+2” giganţi. Se pot aminti, desigur, Marea Britanie, Franţa, Canada, însă mai ales, în ultimul timp, India, Turcia sau Iranul, aceste state urmând, în materie de apărare și de atac cibernetic, politici, reguli și evoluţii proprii.

În acest context, merită menţionat faptul că, Marea Britanie, Canada, Australia și Noua Zeelandă fac parte, alături de SUA, din alianţa „Five Eyes”, care nu are nici pe departe ca unic scop schimbul de informaţii strategice…

2 Punerea unui atac cibernetic pe seama unui anumit stat, la scurt timp după ce acesta s-a produs, este o decizie pur politică

Nevoia de a comunica în procesul de gestionare a unei crize majore s-a transformat în nevoia de a „arăta vinovatul cu degetul”, nevoie atât de vitală mijloacelor mass media. Astfel, într-o lume a acţiunilor ilegale dintre cele mai insidioase (de la cele mai simple acţiuni până la veritabile atacuri), este de datoria victimei (companie sau stat) să identifice „atacatorul”, iar în lipsa unei identificări, tot ecosistemul său uman și de tehnologie a securităţii riscă să cadă în derizoriu.

În cazul statelor, această logică a fost „legitimată” de atacurile iniţiate de Federaţia Rusă în Estonia (2007), apoi înainte și în timpul războiului între Federaţia Rusă și Georgia (2008). Însă aceste două atacuri, masive și complexe, nu reprezentau decât versiunea modernă a tehnicilor de sabotare a comunicaţiilor adversarului, adică varianta „cyber” a unei componente vitale a războiului tradiţional (DDoS = saturarea serverelor; DdoT = saturarea liniilor telefonice și a altor mijloace de transmisie).

În cazul Georgiei s-a asistat la primul război veritabil clasic însoţit de acţiuni „cyber”, acestea din urmă incluzând piratarea directă a interfeţei web a mai multor mijloace de informare în masă, a site-ului Președinţiei etc.

Însă în niciun caz nu pot fi numite „atacuri cibernetice” în accepţiunea noii definiţii a Associated Press Stylebook: în urma acestor acţiuni, procesul de disaster recovery a fost rapid.

În schimb, în cazul unor veritabile atacuri (Sony, TV5 Monde, Ivano-Frankivsk etc.) care au adus atingere sistemului, care s-au soldat cu furturi de date etc., acestea sunt înfăptuite conform unei metode complexe de a acţiona, iar pentru ca acţiunea să fie săvârșită eficient este nevoie de luni sau chiar de ani de inginerie socială și de infiltrări de tot soiul.

În consecinţă, agenţiile de informaţii și marile multinaţionale în domeniul securităţii sunt capabile să depisteze indicii care să le permită identificarea unui „ultim atacator verificat”, însă doar după luni de muncă asiduă în investigarea fiecărei componente a atacului, atât tehnică, dar și umană13. Există și „certitudini” cu privire la cine este în spatele acestei „ultime verigi”, adică acuzarea unui organism oficiat al unui stat terţ, însă acestea sunt rare în comparaţie cu multitudinea de atacuri importante și nu pot fi făcute publice decât după lungi investigaţii, în niciun caz în ziua atacului sau în timpul săptămânilor care îi urmează.

3 Punerea unui atac cibernetic pe seama unui anumit stat este un act care urmărește un scop în primul rând economic și geostrategic

„Managementul crizei” militar reprezintă o doctrină economică din care marile state occidentale (mai ales după izbucnirea celor două războaie aproape simultane în Afganistan și în Irak) sperau să-și hrănească an de an prin finanţări de urgenţă (fonduri „negre” sau „rezerve”) agenţiile, armata și îndeosebi sectoarele militaro-industriale, tehnologice proprii, precum și cele ale aliaţilor lor.

Imprevizibilul constă în apariţia celei mai cumplite situaţii: nici state de reconstruit, crize de deplasat sau lupte interstatale, ci o ameninţare a cărei gravitate, specificitate și anvergură a depășit predicţiile tuturor teoreticie- nilor „managementului crizei”, așa cum a fost acesta definit la sfârșitul se- colului XX: grupurile fundamentaliste islamiste.

Confruntaţi cu Al Qaeda, AQMI, ISIS sau altele, devine imposibilă justificarea cheltuielilor colosale de armament greu sau „reconstruirea” la scară mare a ţărilor fragmentate de războaie al căror sfârșit nu este aproape (Libia, Irak, Sudan, Siria, Yemen etc.). Așa cum au declarat sub protecţia anonimatului anumiţi furnizori ai Pentagonului, „este imposibil să vinzi submarine nucleare, avioane care nu pot fi detectate, rachete ofensive sau defensive folosind grupările islamice ca argument pentru vânzare”.

În acest context, pentru stimularea finanţării cercetării, capacităţilor tehnologice, achiziţiilor și vânzărilor, trebuia să fie făcută o alegere între implicarea într-un „cyberwar management” cu o credibilitate deosebit de fragilă și care ar fi stârnit multe nemulţumiri în domeniul pur militaro-industrial, sau revenirea la o schemă de război rece cu componenta „cyber” pe post de valoare (exponenţială) adăugată.

SUA și aliaţii săi nu puteau să se mulţumească cu mitul tehnologiei cibernetice a regimului nord-coreean (auto-proclamat responsabil pentru atacul contra Sony). Aceasta pentru simplul motiv că alegerea Coreei de Nord ca ţap ispășitor ar fi constituit pe de o parte un joc extrem de periculos și, pe de altă parte, nu ar fi convins aliaţii europeni întrucât înseși fundamentele unei asemenea „puteri” sunt nerealiste. Într-un articol din 201514, în timp ce fostul director al FBI, James Comey, susţinea că avea o „high confidence” că acest stat a fost responsabil pentru atacul asupra Sony, agenţi ai Pentagonu- lui declarau că „The majority of its combat systems are antiquated, with many of the weapons systems dating from the 1960s, 70s and 80s”. O super-putere a
ciberneticii cu sisteme militare arhaice… ceva nemaivăzut, chiar dacă acest stat a putut fi cel care a comandat atacul, având în vedere faptul că dis- pune de mijloacele necesare pentru a contracta serviciile unor mercenari din state asiatice15.

Celălalt ţap ispășitor ideal era Iranul, însă și aici era vorba de o putere regională a cărei recentă reapariţie pe scena internaţională a zădărnicit definitiv crearea unei mișcări omogene a aliaţilor împotriva fostei Persii.

Declicul s-a produs astfel imediat după cazul Snowden și a fost încă și mai pronunţat odată cu sfârșitul euro-maidanului din Kiev. Până în acest moment și mai ales după anexarea Crimeei de către Rusia, pentru SUA și aliaţii lor retorica a fost mai degrabă centrată pe pericolul reprezentat de China.

Zugrăvirea Chinei ca inamic cibernetic al Occidentului ar fi avut, desigur, avantajul deţinerii unei palete credibile de argumente, însă ar fi dat o lovitură fatală economiilor noastre încă împotmolite de efectele crizei din 2007. De altfel, toţi specialiștii au remarcat că, după întâlnirea din 2015 dintre Barack Obama și Xi Jinping, China a scăpat aproape complet de postura sa de „suspect nr. 1” în ceea ce privește provenienţa atacurilor cibernetice.

Avantajul Rusiei constă în oferirea unei panorame de contrast total: pe de o parte, se observă renașterea unei elite și progresul în domeniul cercetării, dezvoltării și implementării tehnologiilor cibernetice și militare de avangardă, fără a pune la socoteală talentele de nivel mondial, diplomatice și financiare – o bancă naţională care a gestionat perfect criza din 2007 și apoi embargoul. Însă, pe de altă parte, rămâne un uriaș cu picioare de lut, amestecând vechea și noua gardă, sectoarele de vârf ramuri întregi ale economiei de redefinit, dependenţă total de preţul materiilor prime și de fluctuaţiile dolarului etc.

În fine, inamicul ideal se află acolo, perfect justificat și justificabil clasei politice și publicului după reacţiile Moscovei – prevăzute și atât de dorite de marile puteri occidentale – de după euro-maidan.

Așa se face că atacul care a vizat postul TV5 Monde în 8-9 aprilie 2015, opera unui așa-numit „Ciber-califat” care se revendică de la ISIS fără ca acesta din urmă s-o confirme, a determinat ca ancheta să vizeze un grup de hackeri numit APT28 (sau Pawn Storm), suspectat de majoritatea specialiștilor ca fiind strâns legat de organele de securitate ale Federaţiei Ruse.

În afară de faptul că argumentele care susţin motivaţia Rusiei de a viza TV5 Monde sunt foarte îndoielnice, problema de bază o reprezintă tehnologia folosită. Este vorba de un produs al APT28 folosit și descoperit cu doi ani înainte de către aceeași multinaţională de cyber-securitate responsabilă cu protecţia TV5 Monde.

În 2015, aproape oricine putea să facă rost de acest produs al APT28 și să-l modifice cu ușurinţă16 pe forumurile din dark web. Mai era necesară doar achiziţionarea prin metoda pay per service a unui mijloc de infiltrare în sistemul canalului de televiziune, ale cărui parole de la reţele erau scrise pe post-it-uri lipite pe peretele de sticlă al redacţiei17

Cât despre „intervalul” orelor de muncă ale răufăcătorilor, teoria conform căreia acesta corespunde fusului orar al Moscovei este pur și simplu ridicolă. Pe de o parte fiindcă această zonă acoperă o bună parte din ţările orientale iar, pe de altă parte, un asemenea raţionament presupune ca un hacker să aibă aceleași ore de muncă precum un angajat la bancă…

În orice caz, versiunea oficială a fost deja consacrată și, potrivit acesteia, Rusia a fost cea care a orchestrat atacul TV5 Monde. Până în prezent, acest fapt reprezintă cea mai bună dovadă de politică de atribuire, în perfectă concordanţă cu politica franceză și occidentală faţă de Rusia la momentul atacului: Rusia nu iese neapărat nevinovată, însă nu reprezintă totuși decât încă o ţară adăugată la lunga listă a potenţialilor suspecţi.

Marea problemă pe care o reprezintă aceste declaraţii și „jocurile de război” care le însoţesc, al căror impact noi, în calitate de cetăţeni europeni, nu îl putem determina la adevărata valoare, este că, pentru vechiul continent, ele constituie porţi deschise spre mai multe soluţii, deopotrivă periculoase și oneroase.

În primul rând, mult prea puţini cetăţeni sunt preocupaţi de faptul că Europa nu reprezintă o putere, neavând nici diplomaţie comună, nici armată comună, nici servicii de informaţii comune. Ea reprezintă cel mult un „gigant economic” în ansamblul său, prin nesocotirea enormelor diferenţe între statele care o compun. Astfel, alocările suplimentare din bugetele publice (bugetul anual și fondul de rezervă) destinate îmbunătăţirii capacităţilor tehnologice în domeniul ciber-securităţii – sau al apărării, pe scurt – ar reprezenta, deci, pentru majoritatea statelor UE, cadouri făcute marilor puteri politice și militare, în special Statelor Unite, întrucât 9 din 10 state ale UE sunt membre NATO.

Un risc major, convenabil conducătorilor fiecărui stat, l-ar reprezenta forţarea cetăţenilor să-și abandoneze treptat anumite drepturi fundamentale în numele securităţii, pentru a întări sistemele de supraveghere, ceea ce ar constitui un act politic perfect justificabil în timp de război, chiar dacă acest război este unul digital.

Mijloacele mass media și cinematografia vehiculând o propagandă care afectează procesul de conștientizare cetățenească

Din cauză că s-a pierdut din vedere bunăstarea socială a cetăţeanului și ca urmare a inundării acestuia cu „breaking news”, cyber-războaie între state, mijloacele mass media reduc la tăcere toţi stimulii care îl determină să se preocupe de propria protecţie personală, întrucât acesta nu se mai simte vizat de ceea ce se întâmplă. De cealaltă parte, aceste „titluri spectaculoase” sunt folosite, mai ales de către Israel și Rusia, pentru a sensibiliza indivizii și companiile într-un „elan patriotic” de solidaritate faţă de patria lor, în care toţi cetăţenii trebuie să contribuie pentru creșterea nivelului naţional de apărare…

În acest elan de propagandă, cinematografia americană nu se lasă mai prejos. Ca și în cazul lui Chris Kyle, CPO al Navy Seals transformat în erou de către Clint Eastwood în 2015 în filmul „American Sniper”, omul perfect mânat de un simţ personal al moralei în lupta împotriva unui sistem care nu îi convine și în continuarea luptei inclusiv în exil este zugrăvit în „Snowden” (2016).


Faţă de aceste blockbuster-uri, filmul excelent „The Fifth Estate” (2013) al lui Bill Condon care are ca subiect crearea WikiLeaks și personalitatea lui Julian Assange este cu siguranţă mai aproape de realitatea omului în cauză decât mitologiile cinematografice create în jurul personajelor Kyle și Snowden.

De asemenea, „Jason Bourne” (2016), îndepărtându-se de primele trei episoade din saga, prezintă o versiune plauzibilă a intruziunii reale a forţei coercitive a agenţiilor americane în cadrul marilor companii ale Internetului, în special din domeniul browserelor, mesageriilor instant și reţelelor sociale.

În fine, documentarul-ficţiune „Zero days” (2016) de Alex Gibney, bazat pe cazul Stuxnet – malware creat ad hoc pentru a distruge cinci laboratoare iraniene de îmbogăţire a uraniului printr-o componentă a centrifugelor folosite – este edificator. Desigur, nu reprezintă decât un „adevăr” care trebuie confruntat cu alte „adevăruri” la fel de plauzibile în ceea ce privește detaliile implicării statelor participante la acţiune (SUA și Israel), însă constituie un excelent vademecum despre crearea unei veritabile arme de sabotaj cibernetic și eșuarea totală a stăpânirii acesteia după operaţiunea pentru care a fost concepută, Stuxnet continuând să infecteze anual câteva zeci de infrastructuri.

Apoteoza anului 2017: „Vault 7 CIA Leaks” sau revanșa „deep State” față de un președinte incomod

Frenezia denunţurilor din toate direcţiile conform cărora Rusia18 și-a pus la dispoziţie toate mijloacele necesare pentru ca Trump să câștige alegerile americane are, se pare, o doză de adevăr. Însă acest val inedit de acuzaţii foarte grave de ingerinţă, din partea unui stat terţ, într-un proces democratic naţional – raportul agenţiilor Președintelui Trump nu a dezvăluit nimic, sub pretextul secretului apărării – tinde să ne facă să uităm că guvernele celor 3 ciber-puteri terţe erau toate pro-Trump în mod deschis.

În afară de Rusia, Israel și China, există atâtea ţări care nu au rămas pasive în ultimii doi ani. Iar asta fără a aminti nenumăraţii inamici interni acumulaţi de-a lungul anilor de către cuplul Clinton, în cadrul diferitelor organe de stat, cărora li se adaugă grupurile de hackeri americani, care sunt la fel de performanţi precum omologii lor ruși.

Fără a reveni asupra subiectului atribuirii de furturi de informaţii confidenţiale care au împănat campania electorală americană, am asistat la ceea ce pare, din toate punctele de vedere, o premieră în expunerea la pericole a unei părţi a securităţii naţionale dintr-un stat: publicarea de către WikiLeaks a dosarelor programului Vault7 al CIA.

Dacă susţinerile avocaţilor WikiLeaks sunt corecte, niște personaje puternice din CIA, cu acces la întreg ansamblul de dosare secrete, au „oferit” WikiLeaks cea mai mare scurgere de documente „ciber” de până acum, un act în chip de revanșă fără morală, fără a mai pune la socoteală că trădează absența totală a patriotismului și a deontologiei profesionale din partea autorilor săi.

Dacă acest scenariu se confirmă, are o oarecare logică. Întrucât candidatul Trump declarase deschis, în 10 octombrie 2016, „I love WikiLeaks”, o propoziţie rămasă în istorie și pusă în contextul atacurilor sistematice ale aceluiași candidat Trump împotriva tuturor serviciilor secrete ale SUA, CIA ar fi răspuns prompt, organizând această scurgere de date.

Oricare ar fi autorul acestei scurgeri de date, rezultatul este foarte grav, iar CIA a ieșit câștigătoare din trei puncte de vedere19:

1 Un președinte este umilit chiar pe site-ul pe care îl lăuda. Spre deosebire de

candidatul Trump din 2016, Trump ca Președinte al Statelor Unite nu își poate permite să laude o organizaţie care deţine documentesecrete de interes naţional al cărei fondator este sub mandat de arestare Interpol și împotriva căruia au fost formulate de către Ministerul Public american vreo zece capete de acuzare.

2 CIA va avea dreptul, așa cum a făcut-o și NSA după cazul Snowden, să ceară și să primească alocări bugetare suplimentare pentru a „astupa breșele de securitate” – chiar dacă toată lumea știe că Vault7 nu mai este funcţional de mult timp, cel puţin nu în forma în care a fost extras și publicat în prezent.

3 Cu niște focuri de avertizare lansate atât de repede, raportul de forţă dintre Casa Albă și serviciile de intelligence este mai mult decât niciodată favorabil serviciilor. Președintele a fost prevenit, la fiecare declaraţie necontrolată ar putea suporta costurile unor acţiuni de același fel…

Concluzia: despre adevărata „piraterie a anului”, nicio apariție în media

În această învălmășeală de minciuni, informaţii, intoxicări, semi-adevăruri, lumea „ciber” cea mai ascunsă, în care se joacă totul, adică „dark web-ul” în care „comunică” și „lucrează” infractori, servicii secrete, mercenari, a fost zguduită din temelii în data de 3 februarie.
O cincime din „dark web” a fost neutralizată de hackerii Anonymous20. Aici este vorba cu siguranţă de un stat. Însă care? Nu se va ști niciodată, însă serviciile afectate, comunicaţiile indisponibilizate, pierderile de date încă necunoscute în prezent sunt rezultatul unei operaţiuni în care s-au folosit tehnologii de vârf necunoscute, un „zero day” complex, cu consecinţe mai grave decât pot fi imaginate, un know-how pe care doar „mercenarii de stat” îl au.

Se pare că 2017 a început ca „anul tuturor pericolelor cibernetice și manipulării mediatice posibile”…


1 https://www.nist.gov/cyberframework
2 Cf. printre alte articole la alegere: J. Wolff, Why We Need to Be Much More Careful About How
We Use the Word Cyberattack (Slate News, 30.03.2017): http://www.slate.com/blogs/future_ tense/2017/03/30/we_should_be_careful_when_we_use_the_word_cyberattack.html; R. Slater, What makes a cyberattack? Experts lobby to restrict the term (ABC News, 28.03.2017): http://abcnews.go.com/Technology/wireStory/makes-cyberattack-experts-lobby-restrict- term-46420726
3 https://www.theguardian.com/us-news/2015/jun/03/barack-obama-surveillance-reform- vacillation-caution-fear
4 https://imrussia.org/en/russia-and-the-world/642-us-russia-relations-in-2013-a-year-of-living- ambiguously
5 http://money.cnn.com/2013/06/10/news/obama-china-cybersecurity/
6 https://www.privacyinternational.org/node/147
7 http://www.ibtimes.co.uk/hacking-team-sold-spy-software-blacklisted-sudan-stonewalled-
un-investigation-1509465
8 http://www.wassenaar.org
9 https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sells-
spyware-repressive-countries/
10 Cf. D. Kushner, Fear This Man. To spies, David Vincenzetti is a salesman. To tyrants, he is
a savior. How the Italian mogul built a hacking empire, in Foreign Policy 3/2016 http:// foreignpolicy.com/2016/04/26/fear-this-man-cyber-warfare-hacking-team-david- vincenzetti/
11 Cu privire la acest subiect, a se vedea paralela excelentă făcută de către F. Egloff între corsarii de altădată și mercenarii net-ului de astăzi în „Cybersecurity and the Age of Privateering: A Historical Analogy”, Working Paper, Oxford 2015: https://www.politics. ox.ac.uk/publications/cybersecurity-and-the-age-of-privateering-a-historical-analogy. html
12 https://www.theguardian.com/technology/2016/apr/27/fbi-apple- iphone-secret-hack-san-bernardino
13 Cf. lucrării excelente a E. Nunes ; P. Shakarian ; G.I. Simari ; A. Ruef, Argumentation models for cyber attribution, in 2016 IEEE/ ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM), pp. 837-844: https://arxiv.org/ pdf/1607.02171.pdf
14 https://www.bloomberg.com/news/articles/2016-04-19/north- korean-cyber-capability-among-world-s-best-brooks-says
15 A se vedea posibilele consecinţe internaţionale, dacă există cumva dovezile cu privire la implicarea statului în cauză, în studiul recent al lui C. Sullivan, “The Sony 2014 Hack and the Role of International Law”, in Journal of National Security, Law and Policy 8:3 (2016) : http://jnslp.com/wp-content/uploads/2016/07/The_2014_Sony_ Hack_and_International_Law.pdf
16 http://www.cnetfrance.fr/news/cyberattaque-contre-tv5-monde- ou-le-ba-ba-du-hacker-debutant-39817950.htm
17 A se vedea raportul complet al atacului întocmit de specialiști ai multinaţionalei coreene AhnLab: http://global.ahnlab.com/global/ upload/download/documents/1506306551185339.pdf
18 Cel mai recent și mai neutru articol despre acest subiect este probabil cel al lui Hal Berghel, On the Problem of (Cyber) Attribution, in Computer 50:3 (2017), pp. 84-9: http://ieeexplore.ieee.org/stamp/ stamp.jsp?tp=&arnumber=7888425
19 http://www.paulcraigroberts.org/2017/01/17/trump-vs-cia-paul- craig-roberts/
20 http://securityaffairs.co/wordpress/55990/deep-web/freedom- hosting-ii-hack.html

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

428

«Dacă îți cunoști inamicii și te cunoști pe tine însuți, nu trebuie să-ți fie frică de rezultatul a o sută de bătălii» Sun Tzu, Arta războiului, cartea a III a.
Ca și în secolul VI î.e.n., și astăzi rolul cunoștinţelor și informaţiilor este esenţial în luarea de decizii la nivel funcţional și strategic. În era IoT (Internet of Things) și a comunicaţiilor digitale, care este valoarea informaţiilor voastre și cât sunt acestea de securizate?
De fapt, puterea informaţiilor este bine cunoscută de companiile moderne, care dispun de analiști care să eva- lueze competiţia (Business Intelligence), de specialiști în securitatea fizică pentru a preveni accesul neautorizat în corporaţie, și de soft-uri tehnologic avansate care să prevină intruziunea infractorilor cibernetici. Dar, din păcate, nu este suficient pentru a proteja compania și a preveni accesul nedorit.
Evident, toate contramăsurile sunt inutile atunci când atacurile utilizează metodologii care pot ocoli toate procedurile menite să protejeze bunurile. De fapt, chiar și cele mai sofisticate încuietori din lume pot fi deschise cu ușurinţă dacă proprietarul îţi dă cheia, fără să-și dea seama. Din aceste motive, cei mai buni hacker-i combină „forţa brută” tehnologică, cu ingineria socială, pentru a le facilita accesul într-un sistem prin înșelăciune.
Faimosul hacker și expert în ingineria socială, Kevin Mitnick, descrie ingineria socială ca „utilizarea influenţei și a persuasiunii pentru a-i înșela și manipula pe alţii, prin convingerea acestora că cel care se ocupă de așa ceva este altcineva decât este”. Alţi autori definesc ingineria socială ca „arta sau știinţa manipulării umane pentru a obţine informaţii confidenţiale și sensibile”.
Conform rapoartelor Clusit1 și Verizon2 pe 2016, așa numitele „metode de elicitare”, o serie de tehnici de colectare de date utilizate pentru a obţine cunoștinţe sau informaţii de la oameni, prin exploatarea slăbiciunilor comune ale comportamentului uman, au reprezentat cele mai critice aspecte în securitatea informaţiilor în 2015. Printre cele mai cunoscute tehnici se numără phishing-ul, mail-uri în sine inofensive trimise cu scop de fraudă, destinate să instaleze printr-un simplu „click” malware pe calculatorul vostru și să vă fure credenţiale private.
Nu subestimaţi apelurile telefonice de la colegi suspecţi (în companiile mari este dificil să cunoști pe toată lumea) menite să obţină informaţii confidenţiale. Ceva mai complicat, dar nu mai puţin utilizată ca metodă, este așa numita „plonjare în tomberon” („Dumpster diving”) – scotocirea prin gunoi în căutarea de informaţii -, „momeala” („Baiting”) – abandonarea în anumite locuri, cum ar fi lift, baie sau hol, a unor dispozitive infectate, de genul stick-urilor USB, care odată conectate la calculator instalează programe maliţioase -, „umbra” („Tailgating”) – urmărirea îndeaproape a cuiva care are permisiunea și abilitatea de a intra în zone private, pentru a obţine o intruziune ilegală – și în cele din urmă „spionarea peste umăr” („Shoulder surfing”) – spionarea victimei din spate pentru a-i fura credenţialele de acces la sistem, adesea victima este urmărită atunci când își utilzează smartphone-ul sau când își introduce PIN-ul la un ATM sau la un POS. Aceste tehnici reprezintă doar preludiul unui atac cibernetic, pentru violarea confidenţialităţii, integrităţii și disponibilităţii informaţiilor3.
În consecinţă, faptul esenţial care trebuie înţeles este că achiziţionarea unor informaţii aparent neimportante permit adesea infractorilor cibernetici să ocolească contramăsurile sistemice. Kevin Mitnick spune:„de ce să pierzi timpul cu strategii elaborate când poţi printr-un simplu apel telefonic să obţii informaţii de la oameni nevinovaţi și neavertizaţi și să le folosești pentru a deschide ușa.”
Până și cei mai bine pregătiţi oameni pot cădea în capcana ingineriei sociale, deoarece cele mai utilizate slăbiciuni se bazează pe prejudecăţi comportamen- tale și cognitive (scurtături și euristică) care conduc la o evaluare incorectă, profitând de evaluarea eronată a informaţiilor deţinute. Omul este infailibil și emoţiile umane pot fi adesea exploatate împotriva utilizatorilor și organizaţiei.
Prin urmare, până și cei mai bine pregătiţi utilizatori pot cădea victime. Este celebru cazul directorului CIA, John Brennan, căruia i-a fost compromis email- ul. De fapt, în octombrie 2015, un grup de hacker-i denumit CWA (Crackas With Attitude), prin tehnici de inginerie socială și în urma unor discuţii cu ingineri de la renumitul furnizor american de comunicaţii Verizon, au pătruns în contul de email al victimei de pe AOL (American Online), preluând administrarea contului și accesul la documente relevante și sensibile.
Atacurile prin inginerie socială pot produce nu doar pierderi economice dar pot afecta și reputaţia prin impactul asociat, care în multe cazuri este cu mult mai mare și care poate afecta serios stabilitatea organizaţiei.
Aceste fenomene trebuie să facă parte din cultura de securitate, instruire și conștientizare a angajaţilor în privinţa ameninţărilor existente, comportamentului riscant și a celor mai bune practici. Evident, fără a ne- glija contramăsurile tehnice cum ar fi scanarea email-urilor, update-urile de software, verificarea angajaţilor, utiliza- rea criptării, a firewall-urilor și a sistemelor de detectare a intruziunilor.
Pentru a reduce efectiv riscurile unor astfel de atacuri, trebuie să adoptaţi metode de instruire interactivă pen- tru angajaţi, prin „analize”, „interpretarea de roluri”, simulări, supervizate în permanenţă de un corp de control, căruia angajaţii să îi poată raporta și căruia să îi poată pune întrebări despre situaţiile dubioase care pot apărea în activitatea lor. Tehnicile folosite de atacatori sunt bine puse la punct și exploatează scheme de persuasiune4, care în absenţa unei instruiri corespunzătoare pot păcăli pe oricine.
© Cybersecurity Trends multumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din octombrie 2016).

Note:

1 CLUSIT – Italian Association for information security, Report 2016, https://clusit.it/rapportoclusit/
2 Verizon’s 2016 Data Breach Investigations Report, http://www. verizonenterprise.com/verizon-insights-lab/dbir/2016/
3 Isabella Corradini, Luisa Franchina, Social Engineering: technological and human aspects, Themis Edition
4 R. B. Cialdini, Influence: The Psychology of Persuasion, 1984

autor: Michele Gallante,

GCSEC

Michele este un avocat practicant înscrisîn ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.

549

Adoptat la data de 27 aprilie 2016, acest regulament ambiţios și orientat spre viitor va fi direct aplicabil în fiecare stat membru al Uniunii Europene începând cu 25 mai 2018. Conţine 99 de articole și e structurat în zece mari capitole, în care se prevăd dispoziţii generale, principii aplicabile, drepturile persoanei vizate, problema operatorilor și a persoanelor împuternicite de operatori, transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, autorităţile de supraveghere independente, regulile de cooperare și coerenţă, căile de atac, răspunderea și sancţiunile, dispoziţiile referitoare la situaţiile specifice de prelucrare, actele delegate și actele de punere în aplicare și, în fine, dispoziţiile finale. Articolul de faţă prezintă esenţialul acestui regulament, așa cum reiese din partea introductivă a documentului care precede articolele propriu-zise. Pentru completare, au fost făcute trimiteri la textul complet1.

autor:
Isabelle Dubois

Obiectivul regulamentului îl constituie întărirea drepturilor persoanelor fizice în materie de protecţie a datelor și de facilitare a liberei circulaţii a datelor cu caracter personal într-o piaţă digitală unică, cu precădere printr-o reducere a sarcinilor administrative.

Fundamentul acestuia îl constituie respectarea tuturor drepturilor fundamentale și a principiilor recunoscute în Carta drepturilor fundamentale a Uniunii Europene, consacrate în tratate, și în special dreptul la respectarea vieţii private și familiale, a domiciliului și a comunicărilor, dreptul la protecţia datelor cu caracter personal, dreptul la libertatea de gândire, de conștiinţă și de religie, dreptul la libertatea de exprimare și de informare, dreptul la libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și respectarea diversităţii culturale, religioase și lingvistice.

Regulamentul pornește de la o constatare: evoluţia tehnologică și globalizarea necesită „un cadru solid și mai coerent în materie de protecţie a datelor în Uniune, însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă”. Este precizat și că persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorităţi publice ar trebui să fie consolidată.

Infografic explicativ al Uniunii Europene © Uniunea Europeana

Acest Regulament, ambițios și în mod decisiv pentru viitor, va fi aplicat în toate statele membre ale UE începând cu data de 25 mai 2018.

Pentru aplicarea sa, regulamentul lasă statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea datelor sensibile. Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligaţiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competenţe echivalente pentru monitorizarea și asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal și sancţiuni echivalente pentru infracţiuni în statele membre. Regulamentul trebuie să permită asigurarea unui nivel omogen de protecţie a persoanelor fizice pe tot teritoriul Uniunii. Pot exista anumite derogări pentru microîntreprinderi și IMM-uri.

Domeniul de aplicare este, de asemenea, stabilit. Astfel, regulamentul va fi aplicabil:

  • persoanelor fizice, indiferent de cetăţenia sau de locul de reședinţă al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora;
  • indiferent de tehnologia folosită;
  • prelucrării datelor cu caracter personal prin mijloace automatizate, precum și prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă;
  • în cazul prelucrării de date cu caracter personal de către un organism de stat, este aplicabil Regulamentul 45/2001, căruia îi vor trebui aduse modificările necesare;
  • nu se va aplica prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială, însă se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activităţi personale sau domestice;
  • nu se va aplica prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice și al prevenirii acestora, care face obiectul unui regulament specific;
  • oricărei prelucrări a datelor cu caracter personal în cadrul activităţilor unui sediu (exercitarea efectivă și reală a unei activităţi) al unui operator sau al unei persoane împuternicite de operator din Uniune, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii;
  • prelucrării datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune, în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată;
  • prelucrării datelor cu caracter personal legate de monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;
  • unui operator care nu este stabilit în Uniune, ci într-o misiune diplomatică sau într-un oficiu consular al unui stat membru, în cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public;
  • oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă, inclusiv datelor cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, prin „mijloace pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării”, însă nu informaţiilor anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Pseudonimizarea este încurajată;
  • nu se aplică persoanelor decedate (funcţie cedată statelor membre).

Apoi urmează definițiile și caracteristicile specifice. Consimțământul trebuie să aibă caracteristicile următoare:

  • este dat printr-o acţiune fără echivoc care stabilește că persoana vizată acceptă printr-o manifestare de voinţă liberă, specifică, informată și lipsită de ambiguitate ca datele cu caracter personal care o privesc să fie prelucrate (acest lucru trebuie să poată fi probat); se promovează astfel conceptul de„opt in”, prin opoziţie cu cel de„opt out”;
  • presupune cunoașterea identităţii operatorului și a persoanei împuternicite de operator și scopurile prelucrării datelor;
  • presupune „dispunerea cu adevărat de libertatea de a alege” și posibilitatea refuzului sau a retragerii consimţământului fără ca persoana să fie prejudiciată. Nu trebuie să existe un dezechilibru evident între persoana vizată și operator (ca, de altfel, nici între persoană și o autoritate publică);
  • trebuie să existe un consimţământ în funcţie de scopul preconizat, cu excepţia prelucrării datelor în scopuri de cercetare știinţifică, caz în care este de ajuns consimţământul doar pentru anumite domenii de cercetare sau părţi ale proiectelor de cercetare.

Datele cu caracter personal privind sănătatea sunt, de asemenea, definite ca fiind toate datele având legătură cu starea de sănătate a persoanei vizate „care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate, inclusiv informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză”; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice și eșantioane de material biologic, precum și orice informaţii privind, de exemplu, „o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”.

Sunt enumerate apoi principiile, după cum urmează:

  • orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă;
  • persoanele trebuie să fie informate „în mod transparent” cu privire la colectarea, utilizarea, consultarea, prelucrarea datelor, procese actuale sau viitoare. Informaţie accesibilă, ușor de înţeles, expusă în termeni simpli și clari. Același lucru cu privire la identitatea operatorului și scopul prelucrării, drepturile persoanelor, precum și riscurile și regulile în materie;
  • scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării. O prelucrare cu alte scopuri este admisibilă dacă este compatibilă” cu scopul iniţial (cum ar fi arhivarea);
  • datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Perioada pentru care datele cu caracter personal sunt stocate este „limitată strict la minimum”, astfel că sunt stabilite termene de către operatori. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit prin alte mijloace;
  • datele cu caracter personal care sunt inexacte sunt rectificate sau șterse;
  • securitatea și confidenţialitatea „adecvate” ale datelor trebuie asigurate, accesul neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare trebuie prevenite.

Se poate observa că, prin acest regulament, sunt întărite dreptul de acces a persoanei vizate, inclusiv dreptul „de a fi uitată”, voinţa ca persoana vizată să poată să reintre în posesia datelor personale, responsabilităţile operatorului și a persoanei împuternicite de operator, rolul responsabilului cu protecţia datelor și cel al autorităţilor de supraveghere, precum și sancţiunile aplicabile contravenienţilor.


1 http://eur-lex.europa.eu/search.html?textScope0=ti-te&qid=1469976055573&DTS_DOM=EU_LAW&type=advanced&lang=fr&andText0=R%C3%88GLEMENT%20(UE)%202016/679&SUBDOM_INIT=LEGISLATION&DTS_ SUBDOM=LEGISLATION

Avocat de formare și fost judecător cantonal, Isabelle Dubois a fost prima atașată în domeniul protecției datelor și al transparenței din cantonul Geneva. Din ianuarie 2014, lucrează cu organizații din postura de colaborator independent al Ad Hoc Resolution și întocmește expertize și îndrumări în materie. Predă protecția datelor în cadrul Universității din Geneva și HES-SO Lausanne.

638

Serviciile asociate cu conceptul de cloud există încă de la apariția Internetului, iar noile modele de afaceri bazate pe cloud evoluează constant transformând totodată modelele clasice de guvernanță IT. Această tendință este mai mult decât evidentă dacă ne uităm la statisticile ce conțin indicatorii de creștere a pieței de cloud și evoluțiile rapide și complexe ale produselor și serviciilor lansate pe piață de jucătorii relevanți în acest sector.

Chiar dacă pe anumite pieţe mature evoluţiile acestui domeniu par predictibile și ireversibile, anumite regiuni/ ţări sau sectoare de afaceri menţin un potenţial crescut de conflict, în special în raport cu perspectivele de adoptare și implementare pe termen scurt a unor soluţii bazate pe infrastructuri publice de cloud.

autor:
Eduard Bisceanu

Deoarece obiectivul meu nu este de a teoretiza fără sens despre conceptul de cloud, voi face o scurtă trecere în revistă a principalelor probleme despre care cred că trebuie înţelese și aduse la un numitor comun, atât prin efortul industriei de profil, dar și a principalilor potenţiali beneficiari, care deja nu mai pot ignora fără costuri evoluţiile în domeniul cloud computing:

– o mare parte a furnizorilor de produse și servicii în cloud se promovează prin intermediul impactului semnificativ la nivelul costurilor și profesionalismului propriilor angajaţi. În principiu, este mult mai eficient din perspectiva costurilor să utilizezi o infrastructură IT flexibilă (hardware și sofware) bazată pe nevoia reală de consum a unei organizaţii, adaptabilă ușor și imediat în raport cu dinamica acestor nevoi. De asemenea, este evident că o organizaţie de top, al cărui profil exclusiv de activitate este să elaboreze soluţii IT utilizate la nivel global, deţine capabilităţi tehnice mai bune decât marea majoritate a organizaţiilor al căror focus principal nu este domeniul IT (câte firme sau organizaţii pot spune că sunt mai buni ca Microsoft, Google sau Amazon?). Totuși, trebuie avut în vedere faptul că sunt sectoare de afaceri care, din motive extrem de pragmatice, nu-și pot transfera afacerea complet în cloud, iar anumite soluţii hibride nu oferă încă un nivel acceptabil de scalabilitate și nici nu sunt în mod evident eficiente din punct de vedere al costurilor. De asemenea, așa cum istoria ne-a dovedit de nenumărate ori, chiar și cei mai buni dintre noi pot greși. Având în vedere cele de mai sus, cred că majoritatea vânzătorilor de cloud (în orice configuraţie posibilă) trebuie să-și promoveze serviciile prin utilizarea unui personal care cunoaște în detaliu domeniile economice vizate, precum și contextul financiar și legislativ în care potenţialii clienţi există;

– de câţiva ani citesc și aud în cadrul unor conferinţe specializate, mai mult sau mai puţin publice, despre faptul că cerinţele de securitate sunt considerate ca fiind un factor care blochează evoluţia pieţei de cloud. Cred că acest tip de afirmaţie nu prezintă realitatea așa cum este de fapt și aș îndrăzni să afirm că de fapt, industria de cloud, în special liniile de marketing și integratorii de soluţii, nu este încă pe deplin adaptată unor anumite cerinţe de securitate sau anumitor condiţii specifice privind protecţia vieţii private online, fără a intra în prea multe detalii referitoare la obligaţii legale care au impact direct asupra gradului de libertate pe care anumite sectoare economice sau instituţii și-l pot asuma în alegerea unor tipuri de produse și servicii de pe piaţa de profil. Având în vedere diversitatea și evoluţia permanentă a pieţei actuale de cloud, am convingerea că nu securitatea și/sau protecţia vieţii private blochează uneori tranziţia către cloud a unor organizaţii, ci lipsa de înţelegere a pieţei și tehnologie, lipsa de competenţe complete pentru un astfel de proiect, o piaţă imatură care nu se adaptează nevoilor locale și nu generează un grad suficient de personalizare a soluţiilor oferite, mentalităţi conservatoare – toate acestea ar trebui să constituie obstacole ce trebuie depășite, atât de către actorii relevanţi din piaţă, dar și de către beneficiari, deopotrivă din spaţiul public și privat;

– în calitate de profesionist în domeniul securităţii, recomand furnizorilor din acest domeniu să-și concentreze eforturile pentru a putea oferi ceea ce caută orice organizaţie din perspectiva securităţii: ÎNCREDERE și nu pentru a rezolva punctual cerinţe de securitate sau privind protecţia vieţii private. De obicei, când comitetul de directori al unei organizaţii non – IT evaluează fezabilitatea unui potenţial contract, caută argumente solide referitoare la costuri și garanţii de încredere, ce vizează un obiectiv mai larg decât securitatea operaţiunilor ce urmează a fi externalizate în infrastructura unui terţ.

O contribuţie semnificativă la evaluarea gradului de încredere în produsele și serviciile unui furnizor de cloud o pot avea (cel puţin) răspunsuri clare la următoarele întrebări:

– unde, exact, vor fi stocate datele organizaţiei mele? – Prezentarea infrastructurii asociate unor servicii și produse de tip cloud ca fiind distribuită geografic la nivel global, ca strategie de marketing, ne oferă doar o imagine a dimensiunii impresionante a unei afaceri de acest tip….însă nu este în măsură să contribuie la asigurarea unui grad de încredere adecvat. În majoritatea prezentărilor care promovează industria cloud se afirmă că epoca data center-elor este la apus …în condiţiile în care orice afacere bazată pe cloud nu poate exista fără o infrastructură solidă de data center-e. Scalabilitatea acestei infrastructuri, localizarea data center-elor și condiţiile de securitate fizică în cadrul acestora sunt factori care pot contribui la încrederea unui potenţial client și uneori cerinţe legale obligatorii fără îndeplinirea cărora
o parte dintre potenţialii clienţi își vor asuma în continuare costurile și riscurile administrării unor data center-e proprii;

– Cât de măsurabile sunt disponibilitatea și redundanţa canalelor de comunicaţii utilizate de client pentru accesul la infrastructura și/sau serviciile de cloud? – planurile de continuitate a afacerii obligatorii în anumite sectoare economice trebuie să conţină răspunsuri și soluţii clare privind acest aspect, rar abordat în cadrul strategiilor de marketing ale industriei cloud;

– Care sunt garanţiile privind securitatea infrastructurii și aplicaţiilor în cloud ? De cele mai multe ori astfel de garanţii sunt oferite doar la nivel generic, sunt oferite date statistice privind nivelul scăzut de incidente de securitate și ne este prezentat profesionalismul specialiștilor în securitate ai furnizorului de cloud – și clientul are profesioniști! Externalizarea infrastructurii și a unor servicii în cloud transferă responsabilitatea administrării acestora de către un terţ – potenţialul client are nevoie de mult mai multe detalii și dovezi palpabile privind o abordare profesionistă și scalabilă a securităţii în cloud. Există chiar posibilitatea ca anumite autorităţi de reglementare și/sau control în domeniul nostru de activitate să solicite în detaliu date privind arhitectura de securitate a infrastructurii externalizate din motive de conformitate – foarte rar acest tip de suport pentru clienţi se regăsește în descrierea produselor și serviciilor de tip cloud;

– De ce credeţi că ţările mai mici sau mai puţin dezvoltate economic nu au nevoie de aceeași abordare privind utilizarea cloud-ului ca statele dezvoltate din vestul Europei sau SUA? Internetul permite accesul la prezentări realizate de aceleași companii pentru diferite zone din lume, iar diferenţele sunt evidente. De exemplu, se pot observa fără prea mare efort diferenţe de abordare a unor pieţe prin investiţii directe în infrastructura asociată pe teritoriul acelor state. Desigur că este de la sine înţeles că investiţiile companiilor specializate în acest domeniu ţin cont de oportunităţi și de dimensiunea unor pieţe …însă este foarte posibil ca anumiţi potenţiali clienţi din Estul Europei să aibă exact același nivel de cerinţe ca cei din Vestul Europei. A ignora total acestă realitate în strategia de afaceri contribuie semnificativ la afectarea nivelului de încredere;

– (Pentru furnizorii de securitate în cloud sau prin intermediul unor infrastructuri cloud) – Ce tipuri, exact, de date vor fi accesate în infrastructura locală a clientului și ce date vor fi injectate în această infrastructură? Chiar dacă sunt oarecum ușor de înţeles avantajele utilizării unei infrastructuri complexe de tip cloud pentru analiza datelor rezultate din diferite tipuri de incidente și atacuri cibernetice, nu vrem să ajungem să ne protejăm infrastructurile de… parteneri. Deci, dacă nu ne cunoaștem și nu avem încă construită o relaţie de afaceri bazată pe garanţii de încredere – aceasta trebuie construită înainte de a ne pro- pune o soluţie „automatizată” bazată pe cloud cu acces extins la infrastructura pe care noi suntem plătiţi să o protejăm;

– Care este înţelegerea comună corectă a conceptului de cloud hibrid? – deși este un subiect care merită o abordare conceptuală și tehnică extinsă și o potenţială soluţie pentru foarte multe din domeniile încă inaccesibile pieţei de cloud, din discuţiile pe care le-am avut cu diverși furnizori am constatat că există diferenţe semnificative privind înţelegerea și modelele de promovare și implementare a acestui tip de cloud. Deși sinceritatea este de multe ori sancţionată, aș vorbi în numele multor colegi de breaslă de-ai mei …efortul de a înţelege oferta unui potenţial furnizor trebuie să fie minim.

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

585

Payment Service Directive (PSD2) este o nouă directivă europeană ce va trebui implementată în mediile financiar-bancar europene de la începutul lui 2018. Această directivă va aduce schimbări fundamentale în mediul financiar-bancar european.

Principalele schimbări prevăzute se referă la nevoia de a furniza interfeţe de operare pentru așa-numiţii furnizori terţi și nevoia de întărire a autentificării clienţilor bancari și suport pentru autentificare prin două sau mai multe elemente (multi factor authentication), pentru cele mai multe tipuri de plăţi.

autor:
Mihai Scemtovici

Astfel, furnizorii de servicii și nu numai pot deveni furnizori de servicii de iniţiere plăţi sau furnizori de servicii de informaţii conturi, adică vor fi în măsură de a „revinde” servicii bancare, împachetate împreună cu serviciile pe care le oferă în mod tradiţional, oferind noi beneficii clienţilor existenţi. Imaginaţi-vă ce pachete atractive de servicii bancare combinate ar putea oferi un operator telecom sau un lanţ de hypermarket-uri.

Deși sunt opinii avizate care spun că băncile vor avea de suferit, trebuie totuși văzută și partea plină a paharului. Astfel, o bancă care a deschis interfeţe de calitate către un furnizor are automat acces la o bază de clienţi mult mai mare decât a reușit să abordeze până acum pe canalele clasice, având în vedere că penetrarea telecom în rândul populaţiei este de peste 100%, iar a bancarizării de maxim 60% (chiar și hypermarket-urile au o penetrare atractivă în mediile non-urbane, prin lanţurile de mini-market-uri din sate).

Din acest motiv băncile trebuie să fie în măsură să ofere interfeţe fiabile pe de o parte și sigure pe de altă parte, având în vedere sensibilitatea informaţiilor care urmează a fi tranzacţionate.

Băncile anunţă că va fi o competiţie, astfel, cele care vor oferi interfeţe ușor de folosit și extensive ca și funcţionalităţi vor fi mai atractive și vor fi deasemenea în poziţie mai bună de negociere a termenilor comerciali cu furnizorii de servicii.

Ce trebuie să facă o bancă? Aceasta ar trebui să dezvolte interfeţe către aplicaţiile interne și să le expună către terţi. Aceste interfeţe (API) trebuie dezvoltate, expuse securizat și întreţinute ulterior, deoarece industria bancară este una dinamică. Resursele umane implicate sunt deasemenea critice, atât în momentul dezvoltării interfeţelor și al efectuării conexiunii cu sistemele furnizorului de servicii, cât și în mod continuu, a managementului acestor interfeţe.

Există aplicaţii care pot rezolva complet aceste nevoi? Da, acestea există, sunt soluţiile din categoria API Management. În cele ce urmează vom încerca să propunem un ghid, pe care o bancă să îl poate utiliza în evaluarea unei astfel de soluţii. Care ar fi pașii și la ce funcţionalităţi cheie anume ar trebui să se uite o bancă pentru a se asigura că soluţia de API Management pe care o va achiziţiona va răspunde nevoilor prezente și viitoare și îi va asigura o poziţie confortabilă faţă de competiţie?

Primul pas ar fi alegerea unei soluţii care se află în categoria liderilor sau cel puţin a challenger-ilor, în rapoartele independente pe industrie (de ex. Gartner).

Fiindcă API-urile pe care urmează să le dezvoltăm nu vor servi unor aplicaţii de divertisment, ci este vorba despre o bancă, organizaţie aflată în top-ul ţintelor atacurilor cibernetice, primul lucru la care m-aș uita ar fi acela că aplicaţia să ofere funcţionalităţi solide în domeniul securităţii informatice. Va avea API-ul creat protecţie „by design” împotriva ameninţărilor, este în acord cu metodologiile comunităţii Open Web Application Security Project (OWASP)? Permite API-urilor nou create o ușoară integrare cu aplicaţii de tip Single Sign-On sau Identity Management oferind o securitate completă pe aplicaţii, mobile sau Cloud?

În al doilea rând, având în vedere faptul că vorbim despre o aplicaţie care trebuie să suporte sute de mii sau chiar milioane de tranzacţii, pe unitate de timp, al doilea lucru la care recomand unei bănci să se uite este scalabilitatea. Va menţine API-ul creat aceeași performanţă ridicată și în perioadele aglomerate, de Crăciun de exemplu? Are posibilitatea prioritizării, rutării inteligente, dinamice a cerinţelor venite de la aplicaţiile cu care se leagă.

Al treilea lucru important, având în vedere că acesta aplicaţie trebuie să susţină și competiţia, se referă la flexibilitatea aplicaţiei și la ușurinţa cu care această este folosită de către bancă, dar mai ales de către partenerii externi ai băncii. Imaginaţi-vă că un furnizor de servicii își leagă operaţiunile la două bănci. Una îi oferă API-uri ușor de folosit, flexibile, cu interfeţe de administrare prietenoase, cu o alta care are încontinuu probleme, clienţii ei întâmpină erori de utilizare, trebuie să apeleze des la suportul băncii. În aceste condiţii, furnizorul va recomanda cu precădere clienţilor serviciile primei bănci, chiar dacă acestea ar fi, să spunem, cu o idee mai scumpe. Nu vi se pare un scenariu cunoscut și în prezent?

Ultimele aspecte pe care le-aș lua în seamă, deși nu sunt deloc din categoria „în ultimul rând”, ar fi acelea referitoare la flexibilitatea de a realiza API-uri către aplicaţiile mobile (având în vedere că device-urile mobile au depășit deja ca număr device-urile fixe), deasemenea la posibilitatea băncii de a controla cu exactitate tipul de acces și a-l contabiliza în vederea facturării. Aș lua de asemenea în calcul posibilitatea oferirii accesului din cloud, către aplicaţia mea, având totodată în vedere că tranziţia către cloud are deja o anvergură care o face de neoprit, din punct de vedere al adopţiei și de ce nu, mi-ar plăcea să pot crea API-uri cu „drag and drop”, indiferent dacă trebuie să mă leg la o aplicaţie, fie ea și o aplicaţie care nu mai are suport (băncile mai au și astfel de aplicaţii), o bază de date sau altă sursă de date.

Ca să concluzionez, dacă aș fi bancher, mi-aș dori ca soluţia de API Management să fie foarte scalabilă, cu securitate solidă, să acopere tot ciclul de viaţă al unui API, să poată crea un API nou în minute, să ofere suport mobil de calitate și funcţionalităţi avansate de administrare de către bancă, de către partenerii care se vor lega la resursele băncii, oferind în același timp control total și clienţilor băncii cu privire la drepturile pe care le dau furnizorului de servicii TPP, având oricând posibilitatea să dezactiveze/activeze opţiuni, pentru a avea acces la noi funcţionalităţi ale aplicaţiilor.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

ANSSI – Partener editorial permanent Cybersecurity Trends
Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administra- tive în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații.
Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.
ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instru- mentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

EDITIE SPECIALA – INTERNET OF THINGS

1879
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1551
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2897
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1651
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1588
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1650
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...