Friday, July 19, 2019
Numarul 1

894
Luca Tenzi, Expert în securitate corporate, Vicepresident al CLUSIS - Swiss Information Security Association
Luca Tenzi, Expert în securitate corporate, Vicepresident
al CLUSIS – Swiss Information Security Association

Bio
Luca Tenzi este un expert în securitate corporate, cu 15 ani de experiență în companii din Fortune 500. A condus operațiuni de securitate în medii diverse. Experiența sa acoperă mai multe sectoare, incluzând producție, IT&C și instituții financiare. Luca a lucrat și a locuit în Europa, Africa, Orientul Apropiat și America Latină, specializându-se în evaluări de risc la nivel de țară și în management în zone cu risc ridicat, cum ar fi Venezuela, Irak și Libia. Luca este un gânditor strategic inovator și are o istorie bogată de colaborări cu o mare diversitate de stakeholder-i în business și securitate din lumea întreagă. Om de echipă și mentor pasionat, empatic cultural și cu abilități diplomatice, a condus implementarea și managementul unor strategii de securitate globale, programe de reducere a riscurilor și prevenirea pierderilor. A acționat ca director de securitate delegat, responsabil pentru securitatea operațiunilor și management de criză.

Convergența între securitatea fizică și cea logică este un subiect care, în ultimii ani, a ținut prima pagină a revistelor specializate în IT și a devenit o problemă asociată proceselor de management la nivel global.

Dacă pentru companiile lideri de piaţă acest element pare sa fie deja integrat în politicile manageriale implementate, situaţia nu este la fel de bună când vine vorba despre IMM-uri. Este, de asemenea, de reţinut faptul că multinaţionalele cu o puternică structură IT&C, precum cele din domeniile financiar-bancar, telecomunicaţii, IT sunt foarte bine conectate la această tendinţă de convergenţă, pe când sectorul industrial acumulează întârzieri semnificative în implementarea politicilor asociate acestui proces de convergenţă.

Însă faptele pot fi văzute și altfel, iar personal reţin că există o confuzie în raport cu această convergenţă, existând mai multe opinii divergente, de regulă acestea venind din domenii de expertiză diferite. Un exemplu concret îl reprezintă divergenţele majore de opinie între experţii în securitate fizică și cei în securitate logică, referitoare la convergenţa conceptului de securitate. O altă sursă de opinii contrare o reprezintă percepţia proprie asupra securităţii, astfel că, persoane diferite, atât din mediul intern, cât și extern unei organizaţii, pot ajunge să aibă o interpretare proprie bazată pe experienţă total opusă versiunii formale a firmei.

Așteptările unora sau altora despre convergenţă sunt diferite, în special raportat la obiectivele finale ale acestui proces – starea de securitate cibernetică, sau beneficiile directe (financiare) și indirecte (eficienţă structurală sporită).

Prima provocare în definirea convergenţei este reprezentată de identificarea structurilor care converg, existând situaţii în care procesele converg, dar și situaţii în care în final vorbim despre integrare.

În multe cazuri, convergenţa se realizează pentru conformitate organizaţională, fără o planificare sistemică reală, generând astfel noi funcţii (ca rezultat al convergenţei) insuficient descrise sau pentru al căror management organizaţia nu înţelege profilul profesional necesar.
Securitatea fizică, această necunoscută!

O primă etapă care trebuie clarificată este care sunt structurile care converg, funcţiile și poziţionarea acestora în cadrul organizaţional dat. La nivelul multinaţionalelor, conceptul utilizat este securitate corporativă, care integrează componentele de securitate fizică, securitate informatică și pe cea procedurală. Deși scopul acestui articol nu vizează aspecte de management corporatist, trebuie menţionat faptul că un element important este reprezentat de poziţionarea procesului managerial ce asigură securitatea corporatistă în cadrul organizaţiei, astfel că, importanţa acordată acestei funcţii poate oferi viziuni, responsabilităţi și influenţă strategică extinse sau dimpotrivă restrânse, persoanei care va asigura această funcţie.

Activităţile aferente asigurării securităţii lanţului de aprovizionare, protecţiei infrastructurilor critice, managementul fraudelor, protecţia executivilor și securitatea reputaţională, cele privind sectorul de business intelligence sunt câteva dintre cele pe care se concentrează domeniul securităţii corporatiste. Merită menţionate și complementarităţile cu alte funcţii interne, cum ar fi activitatea de management în domeniul resurselor umane, audit intern și managementul riscurilor.

Astfel, sunt de analizat tendinţele de convergenţă limitată sau completă a acestor funcţii.

Fiecare dintre aceste probleme și provocări adresate domeniului securităţii corporatiste au și componente ce vizează securitatea tehnologiei informaţiei și comunicaţiilor.

În consecinţă, sunt multe ameninţări cibernetice care trebuie cunoscute și monitorizate, datorită consecinţelor pe care le generează în lumea reală. Aceste ameninţări generează riscuri semnificative la adresa angajaţilor sau infrastructurilor utilizate de întreaga organizaţie, riscuri de fraude și de afectare pe termen lung a veniturilor companiei, fraude în lanţul de aprovizionare sau sincope în asigurarea continuităţii acestuia cu consecinţe asupra
obiectivelor de business etc.

Toate acestea adresează provocări serioase asupra gradului necesar de convergenţă între diversele paliere ale securităţii corporatiste, în vederea asigurării obiectivelor asumate la nivelul actului managerial.

Securitatea cibernetică a apărut ca proces managerial identificat de către antreprenori ca fiind necesar și critic, pe fondul creșterii accentuate a numărului și complexităţii atacurilor cibernetice.

Ca o consecinţă a transferului continuu de informaţii în lumea virtuală și implicit, creșterea valorii proprietăţii intelectuale online și a dependenţei companiilor de componenta informatică, responsabilii cu securitatea cibernetică au sarcina de a proteja valoarea informaţiilor din spaţiul virtual care aparţin firmei – information value chain, precum și infrastructurile critice utilizate pentru producţie și/sau gestiune, acestea devenind din ce în ce mai importante în mediul de afaceri.

Astfel, a apărut și se află într-un proces continuu de maturizare funcţia de Chief Information Security Officer – CISO. Asimetria ameninţărilor cibernetice la adresa informaţiei și/sau infrastructurii critice aparţinând companiei au dat acestei funcţii, parte a procesului de asigurare a securităţii corporatiste, un rol transversal și de suport pentru toate activităţile relevante din cadrul oricărei companii adaptate realităţilor lumii contemporane. Însă de fapt această funcţie este dependentă de structura IT a companiei și nu beneficiază de o independenţă faţă de această componentă tehnologică și operaţională, așa cum și-ar dori asociaţiile profesionale în domeniu.

Ca și în exemplul anterior, poziţiile și atribuţiile în organigrama firmelor ale funcţiilor de CTO – Chief Technology Officer și CISO vor asigura valoarea viziunii strategice de management corporatist și limitele acestor poziţii în sine.

Astfel, provocarea care va trebui să fie rezolvată în domeniul securităţii corporatiste este:
Convergență sau integrare?

Pentru a converge, se înţelege că două elemente (structuri) se vor mișca către un punct comun. Se poate presupune o mișcare către un punct comun echidistant, dar nu este o condiţie sine qua non.

În termeni antreprenoriali, am putea să spunem că ambele structuri vor trebui să facă pași comuni pentru a defini și a atinge o nouă stare care va fi diferită faţă de starea actuală. O convergenţă în a trata riscuri asimetrice și transversale căreia întreprinderile trebuie să le răspundă este definită ca o metodologie unică care poate să fie atribuită unei singure funcţii sau structuri.

În ceea ce privește integrarea, putem să definim acest proces ca o acţiune a unei structuri care va absorbi (integra) în mod total sau parţial o altă structură, ca de exemplu o structură juridică care integrează serviciul de conformitate (compliance) din cadrul unei companii.

În domeniul securităţii, se vorbește tot mai des despre convergenţa dintre domeniul securităţii fizice și cel al securităţii cibernetice. În ceea ce mă privește, am observat, în ultimii ani, o integrare din ce în ce mai evidentă, stricto sensu, a sistemelor de securitate fizică (ex: CCTV, control acces, sisteme de comandă și control etc) la nivelul infrastructurilor IT&C ale companiilor.

Evoluţia tehnologică și de piaţă a sistemelor complexe bazate pe infrastructuri IP au determinat convergenţa din ce în ce mai evidentă a infrastructurilor destinate asigurării securităţii fizice cu cele destinate asigurării serviciilor de comunicaţii electronice și tehnologiei informaţiei.

Iniţial, au fost create reţele de tip LAN – Local Area Network separate destinate elementelor de infrastructură de securitate fizică, însă pe fondul creșterii complexităţii tehnice și dimensiunii, administrarea separată a acestei infrastructuri nu mai este sustenabilă. Astăzi tehnologia permite crearea de reţele locale virtuale de tip VLAN multiple în cadrul aceleiași reţele locale fizice de tip LAN.

Deși utilizarea VLAN-urilor pentru scopuri diferite susţin procese organizaţionale diferite, administrarea elementelor de infrastructură fizică devine unică, ca de altfel și managementul riscurilor de securitate cibernetică, care pot fi generate și de vulnerabilităţile prezente la nivelul sistemelor tehnice destinate asigurării securităţii fizice.

De aici se naște prima dilemă. Protecţia infrastructurii și utilizarea unei infrastructuri comune nu generează neapărat convergenţă, însă reprezintă cu certitudine o dovadă privind integrarea funcţiei de securitate fizică prin utilizarea celor mai moderne platforme care utilizează tehnologii de tip IP. În fapt, securitatea fizică reprezintă unul dintre ultimele procese organizaţionale care profită din plin de evoluţia tehnologică și integrarea unor platforme tehnice care înainte nu comunicau direct.

Se poate exemplifica prin utilizarea unei platforme unice de management al identităţii electronice, atât pentru structura de resurse umane, structura de securitate fizică pentru controlul accesului în diferite spaţii și structura de IT pentru asigurarea accesului și drepturilor de acces la reţeaua informatică și la aplicaţiile companiei.

Astfel, o serie de start-up-uri noi în domeniul securităţii fizice furnizează pe piaţa privată o serie de produse și servicii care în trecut erau disponibile numai în domeniile apărării și aplicării legii.

Sistemele juridice la nivel global sunt chiar pre ocupate din ce în ce mai mult să asigure protecţia cetăţenilor împotriva potenţialei utilizări necontrolate a acestor noi capabilităţi disponibile pe piaţa liberă. Spre exemplificare, merită menţionate utilizarea dronelor civile, aeriene sau terestre, a capabilităţilor de monitorizare web și filtrare de conţinut online pentru obiective de business intelligence, precum și fenomenul de creștere a utilizării reţelelor sociale și complexitatea funcţiilor oferite de acestea.
Atunci ce converge?

Nu cred că se poate vorbi despre convergenţă în sensul larg dacă, de fapt, observăm o simplă integrare a unor procese similare care până în prezent erau replicate și neconectate între ele. Aș îndrăzni chiar să afirm că putem vorbi de un efect al nevoii de eficientizare a organizaţiilor și nevoii de creștere a productivităţii.

Însă, așa cum am menţionat mai sus, creșterea exponenţială a numărului și complexităţii atacurilor informatice asupra sistemelor informatice de interes public determină necesitatea de a regândi strategiile de prevenire, identificare și blocare a acestora, în cadrul proceselor de management al riscurilor. Va fi interesant de urmărit evoluţia acestor abordări într-un mediu dominat de contradicţii conceptuale și de viziuni diferite. Este rolul statelor să asigure protecţia sau firmele trebuie să-și asume total această responsabilitate? Aceste discuţii sunt influenţate permanent de elemente dogmatice și legate de conceptul de stat de drept, care, într-o lume aflată în plin proces de virtualizare, se confruntă cu provocări inedite, din ce în ce mai complicate.

Cred că, în situaţii particulare, putem evidenţia elemente de convergenţă organizaţională atunci când securitatea corporatistă integrează funcţia de CISO, devenind în fapt funcţia de securitate a întregii infrastructuri utilizate de companie, a lanţului de aprovizionare, a informaţiei de valoare pentru business – information value chain, inclusiv cea a infrastructurii IT&C.

În prezent, nu foarte multe companii mari au reușit scoaterea funcţiei de CISO din cadrul structurii IT&C, această structură păstrându-și astfel eficienţa, dar și caracterul pur defensiv. 
Tehnologia este în continuare baza securității informaționale?

„Toate aceste ameninţări de fraudă sunt însă strâns legate de alte tipologii de atac – cu malware avansat – care, la fel ca primele, sunt dificil sau chiar imposibil de monitorizat cu sistemele clasice bazate pe semnături. Vorbim în acest caz despre sisteme de tip Advanced Threat Prevention, pe care orice echipă de securitate care are o strategie internă de Cyber Security ar trebui să le ia în considerare alături de sisteme de centralizare, colec tare, corelare și analiză de intelligence. Acestea din urmă, cunoscute ca sisteme SIEM, corelate cu sisteme de gestiune a riscurilor, își dovedesc eficienţa mai ales atunci când au suficientă vizibilitate astfel încât să poată structura informaţii din mai multe surse relevante, pentru a detecta anomalii comportamentale la nivelul infrastructurii” mai adaugă Alexandra Duricu. Aceasta subliniază de asemenea faptul că „organizaţiile înţeleg nevoia de investiţii în tehnologia de securitate, dar această atitudine nu se traduce în actua lizarea sau extinderea sistemelor curente pentru prevenirea adecvată a pericolelor legate de atacurile cibernetice moderne luând de asemenea în considerare, uneori într-un mod prea relaxat, interesul din ce în ce mai crescut al angajaţilor pentru mobilitate.” Impresia generală este aceea a conştientizării nevoii de folosire mai intensă a conceptului numit mobile computing, insă unii factori de decizie au tendinţa contrară de a limita mobilitatea pentru a proteja datele din companie, pe când alţii abordează tehnologic, procedural și mai ales în mod educativ alternativa folosirii chiar și a dispozitivelor mobile personale pentru activităţile specifice lucrului la birou. „Beneficiile unui program de BYOD (Bring Your Own Device) sunt evidente în orice tip de organizaţie. Riscurile însă sunt cele care îi sperie pe toţi. Realitatea de la această oră arată că mobilitatea şi securitatea pot coexista cu uşurinţă prin folosirea tehnologiei moderne de asigurare a securităţii datelor, care foloseşte criptarea inteligentă a datelor pentru protecţia lor, indiferent că acestea se găsesc în locaţii specifice de stocare, în plin proces de transfer sau în plin proces de prelucrare. În cadrul Asseco SEE suntem conştienţi de toate aspectele relevate mai sus şi, de aceea, ne permitem să afirmăm că la ora actuală există soluţii pentru orice probleme legate de securitate, oricât ar fi acestea de avansate,” adaugă Alexandra Duricu.

În opinia multor specialiști în domeniul securităţii informaţionale, anul 2016 va fi unul foarte agitat, în special în contextul ameninţărilor globale. Echipele de securitate vor avea de-a face cu o mulţime de provocări, pe care le vor adresa diferit, în funcţie de apetitul la risc al organizaţiilor lor: unii vor căuta să își consolideze infrastructura și procesele existente, alţii vor căuta metode mai eficiente și mai avansate de analiză.

Indiferent însă de direcţia strategică a fiecaruia, nu trebuie să uităm că orice structură de securitate informaţională este cu atât mai vulnerabilă cu cât utilizatorii ei sunt mai puţin educaţi în direcţia securităţii informaţionale. 

628
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)
Vassilios Manoussos, MSc,PGC,BSc,AAS
Digital Forensics & E-Crime Consultant,
Strathclyde Forensics
Associate Lecturer, Edinburgh Napier University
National Adviser (Online Safety of children and
vulnerable adults), Roshni (Scottish Charity)

BIO
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)

Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene.

Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția).

CERTIFICĂRI:
Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London). Mr. Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.
Când învățam pentru licență, unul dintre profesorii preferați avea două mantre: «ingineria simplă este inginerie bună» și «ingineria veche este inginerie bună». Avea dreptate, cel puțin în cazul celei dintâi.

Lumea continuă să mă întrebe cum să-și securizeze parolele, cum să evite neajunsurile și cum să-i împiedice pe alţii să le ghicească parolele (inginerie socială). (vedeţi și articolul meu: Cum să hack-uiești conturile prietenilor și ale celor din familie).

Adevărul este că soluţiile pot fi uneori mai simple decât par. În primul rând, bunul simţ ar trebui să primeze.

FAPT: Indiferent cât de bună este parola pe care aţi ales-o, dacă nu aveţi antivirus și firewall pe calculatorul vostru, va fi furată. Costă mai nimic și este incredibil că indivizii și chiar și micile companii nu se gândesc cât de important este să nu le ai.

FAPT: dacă vă folosiţi numele sau numele câinelui pe care îl aveţi etc. cineva vă va ghici cu ușurinţă parola. Cei care doresc să obţină parola voastră pot merge la pagina de logare în email, să tasteze adresa voastră de email, să dea click pe «Forgot password» și să folosească întrebările de securitate pentru a vă ghici parola.

FAPT: Reamintirea unei parole scurte este ușoară.

FAPT: Reamintirea unei parole din 32 de caractere nu este ușoară. Sau este?

Există un proces denumit hashing prin care se calculează o valoare pentru un șir de caractere, sau un fișier, sau chiar pentru un disc întreg. Valoarea de hash este la fel de unică ca o amprentă. Chiar dacă și valorile de hash pot fi decriptate (de ex. să validezi o valoare de hash dintr-un tabel pre-existent), este imposibil să reproduci sursa unui hash.

Metoda de hashing MD5 este una dintre cele mai vechi, și în ciuda faptului că este discutabilă utilizarea sa în anumite aplicaţii, rămâne un instrument simplu și exact. Există multe generatoare online MD5. Dacă îl alegeţi pe oricare dintre acestea și introduceţi același șir de litere sau cuvinte, codul de 32 de cifre rezultat trebuie să fie același.

Deci cum puteţi utiliza un astfel de instrument pentru a obţine o parolă sigură? Și cât de sigură poate fi acea parolă? Repet, vorbim despre o ameninţare de inginerie socială și de phishing mai degrabă decât despre un atac în care este folosită forţa brută.

Dificultatea de a obţine acea parolă hash este direct legată de cuvintele pe care le-aţi folosit ca să o obţineţi. O mică variaţie în sursă va duce la hash-uri total diferite. Să luăm numele meu ca exemplu:

Vassilis va întoarce 325fc57f275cd8a61d88800c1c52e541 în timp ce vassilis va întoarce 1534aac0fd311f42ba96a9a280c4253e

Ei bine, cât de sigură este o parolă din 32 de cifre? Să aruncăm o privire. Am utilizat verificatorul de parole my1login.com. Verificatoarele de parolă nu sunt un instrument absolut, dar unul potrivit vă va da o bună apreciere asupra stării pe care aţi ales-o.

Adăugarea unei singure majuscule crește timpul necesar pentru spargerea parolei de circa 6 ori. Acum urmează partea interesantă. Scriind același cuvânt în greacă (utilizând un alfabet ne-latin) face lucrurile și mai complicate pentru spărgătorii de parole. Pentru același cuvânt într-o limbă diferită, de la 41 de minute am ajuns la 25 de zile.

Și în final hash-ul MD5 al numelui meu (vassilis fără majusculă). Acesta ajunge la 13,000,000,000,000,000,000,000 de ani. Ei bine, aceasta este o parolă sigură.
Vă puteți reaminti parola?

Doar puţini oameni de pe planetă își pot aminti un șir alfanumeric ca acesta, așa că fie trebuie să-l scrieţi undeva, fie va trebui să-l generaţi de fiecare dată când aveţi nevoie de el. Acest lucru nu ar trebui să fie o problemă. Dacă îl folosiţi ca parolă pentru logare online, înseamnă că vă aflaţi pe un calculator conectat la Internet. Vizitaţi un site care generează MD5 (sau SHA1 sau SHA-256) și generaţi-vă parola de fiecare dată. Va fi mai ușor să vă amintiţi «Am visat o mierlă» decât fea40a4cd0ce4e-6aa9d7dfec73a236de.

Cine ar trebui să folosească această metodă

Această metodă este de departe mai sigură decât să utilizaţi numele pisicii sau data de aniversare a căsătoriei ca parolă. Organizaţiile mari ar trebui să aibă alte metode mai sofisticate care să asigure accesul la infrastructura IT. Dar persoanele particulare care doresc să se asigure că nu le va citi nimeni email-urile o pot folosi ca un punct de plecare bun spre un comportament digital mai conștient.

Ce să nu faceți
 Nu folosiţi browser-ul obișnuit aunci când vizitaţi un generator MD5. Utilizaţi modul «incognito» astfel încât alţi utilizatori care folosesc același calculator să nu știe ce faceţi.
 O valoare hash este la fel de sigură ca și sursa ei. Dacă folosiţi cuvinte ca password și 123456 valoarea hash va fi ghicită ușor.
 Nu spuneţi altor persoane cum vă stabiliţi parolele! 

658
Laurent Chrzanovski
Laurent Chrzanovski

Disclaimer:
Am ales să redactăm acest text mai mult pentru a oferi o viziune cât mai neutră posibilă asupra comportamentelor în caz de risc și nu pentru a furniza soluții-cheie aferente. Abundența referințelor pe care le-am extras din revista „Computers in Human Behavior” nu este o preferință subiectivă. Pur și simplu considerăm că această revistă – ca și altele care merg în profunzimea analizelor comportamentale – poate să ofere perspective noi și uneori chiar mai simple și de bun simț despre cum folosim cu toții noile tehnologii, care acum fac parte integrantă din viața noastră cotidiană. Problema care există atunci când te adresezi unui public românofon constă în faptul că încă nu există studii serioase sau date statistice suficiente despre întreaga gamă de comportamente în lumea digitală, specifice cetățenilor din România și Republica Moldova. De aceea ar trebui să analizăm care sunt tendințele acestui domeniu în străinătate și să reflectăm dacă fenomenologiile observate peste hotare sunt valabile pentru „e-cetățenii” din aceste două țări și în ce măsură.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Comportamentul uman față de tehnologie este azi, antro pologic vorbind, foarte apropiat de cel al învățării senzoriale pe care o are un bebeluș în primii săi 2 ani de viață. Și mă refer mai ales la generația 30+, adică aceea care nu s-a născut cu un «alter-ego» digital.

Pe scurt, în lipsa unei educaţii codificate, furnizată de către familie, mediu profesional, instituţii de stat și mass-media, cetăţeanul digital învaţă „pe propria piele”, zi de zi, ceea ce constituie pentru el o plus-valoare (culturală, economică, relaţională, socială) lucru care însă îi este sau futil sau, mai grav, nociv.
Smart-home sau atunci când toți avem între 6 luni și 1 an… și tatonăm

De pildă, un „smart home” are nevoie de minim 7-10 săptămâni de „ucenicie de descoperire intuitivă” pentru a fi înţeles și stăpânit cu folos de către pro prietarul său. Acest moment, crucial pentru securitatea fizica și digitală a persoanei care a echipat complet casa sa cu tehnologie devine chiar obiec tul unei reflexii adânci din partea cercetătorilor. Se sugerează chiar furnizarea unui device cu rol de „mamă”, adică de ghid-învăţătordisaster recovery pentru timpul necesar ca „e-locuitorul” să înveţe cum să folosească în siguranţă dispozitivele care comunică cu el și cu alţii1. Prima problematică, specifică ţărilor latine, este dorinţa de noutate, încurajată de un conformism faţă de tehnologie ca „status symbol” în cadrul societăţii, mult sporită faţă de ţările nordice sau anglo-saxone. Noile game de telefoane, tablete, laptop-uri, dispozitive IoT, smart watches, etc. sunt văzute ca un simbol de bunăstare socială și, datorită costului lor accesibil, constituie un fenomen încă mai răspândit decât cel legat de mărci și modele de mașini pe care un cetăţean a ales să le cumpere.
Dar în domeniul
securităţii, toate aceste noutăţi nu fac decât să mărească riscul deja ridicat de vulnerabilitate personală și pro fesională. La polul opus se află ţări în care aceste tehnologii deja au trecut de la faza de „noutate indispensabilă pentru a fi la modă” la faza „am într-adevăr nevoie de asta?” .

Cel mai nou studiu sociologic2, de pildă, arată că după câteva luni de utilizare IoT deja începe să își piardă valenţa sa de noutate și că cetăţenii văd ca o reală îmbunătăţire pentru viaţa lor doar foarte puţine aspecte, singurele recunoscute în unanimitate fiind cele ale securităţii de acces a propriei case prin biometrie și ale securităţii fizice anti-furt și anti-incendii.

Încet, încet, dacă reţinem datele principale ale acestui studiu, vedem că tot ceea ce este vândut ca „smart” (televiziune, frigider, home automation, monitorizare CCTV etc.) pierde orice conotaţie pozitivă și devine neutru, adica nu aduce schimbări atât de semnificative în viaţa cotidiană încât să merite cu adevărat investiţia financiară. Însă asimetria în IoT este acum la apogeu. De exemplu, dacă ne referim doar la o parte din studiile menţionate mai sus, numai pentru număr mic de participanţi securitatea sistemelor este înţeleasă sau prezintă interes. Și această neînţelegere sau lipsă de interes îi caracterizează pe toţi cei care au încredere în biometrie mai mult decât în obișnuita cheie de oţel care deschide ușa casei. Această încredere într-o nouă tehnologie nu ridică întrebări și asupra modului în care aceasta funcţionează (cine este furnizorul, care este nivelul său de securitate, cum este configurată aplicaţia biometrică etc.)

Partea pozitivă a studiului însă este că se va intra într-o anumită normalitate în utilizarea doar a dispozitivelor IoT care au o plus-valoare reală pentru viaţa personală, în funcţie de ceea ce dorește și are nevoie cetăţeanul. Exact cum un bebeluș, după câteva săptămâni, își alege, pe criterii cunoscute doar de el, obiectele lui preferate, de viaţă sau de joacă.

Va fi însă necesar să fie inserată și componenta de securitate ca și criteriu de bază, dar și aici vedem un nou „trend”, în Occident. Este vorba despre device-uri, un pic mai scumpe faţă de cele standard, dar verificate de firme de specialitate în termeni de conectivitate securizată, i.e. acest aspect constituie în sfârșit o nouă plus-valoare nu numai pentru clienţi, ci inclusiv pentru marketing-ul multor brand-uri care produc IoT de consum larg.

De asemenea, din ce în ce mai multe firme s-au lansat în crearea de aplicaţii și device-uri de securizare, armonizare și gestionare a tuturor device-urilor unei persoane sau ale unei companii, la modul de a garanta securitatea și intimitatea într-o perspectivă logică și completă3.
Devices: frica fără acțiune sau înțelegerea greșită a autoprotecției
Aceeași asimetrie între folosinţă și înţelegerea riscurilor ajunge la o fază cognitivă aproape dihotomică, cum aflăm de exemplu dintr-o recentă cercetare efectuată în SUA: teama din ce în ce mai mare de a fi atacat (hack-uit) care nu se reflectă în acţiuni reale efectuate pentru a preveni această ameninţare4. În timp ce majoritatea participanţilor la test și-au mărturisit teama că identitatea lor digitală și datele lor financiare ar putea furate, 90% dintre ei mai cred că securitatea are la bază un simplu antivrius și un firewall.

Pentru o ţară atât de tehnologizată ca și SUA, cifrele privindu-i pe cei care nu au setat nici măcar un password de deschidere a unei sesiuni sunt îngrijoratoare: 62% nu au nicio parolă pentru tableta lor, 40% nicio parolă pentru smart-phone-ul lor, și mai mult de atât 31% din persoane încă deschid laptopul personal fără să introducă vreun ID și parolă. Rezumând, uman vorbind, posesorii acestor unelte sunt siguri că până când tableta și PC-ul se află în geanta lor, iar mobilul este încă în buzunar, nu se va întâmpla nimic, exact ca și cu portmoneul sau cheile casei…

Aici sunt încă multe de făcut pentru a-i învăţa pe oameni ceea ce poate face un hacker cu un laptop sau un telefon mobil pus în „sleep mode” și care nu au parolă de acces.
Social media: se schimbă încet atitudinea, dar nu de tot
Reţelele sociale, cu toate controversele despre privacy și modul în care „big data” sunt gestionate, au început să stârnească noi comportamente sau abordări faţă de aceste platforme, în special în Occident.

În ceea ce privește instituţiile, pe lângă campanii ale poliţiei despre grooming, cyberbullying și alte violenţe virtuale, medicii au început campanii de awareness adresate școlilor și părinţilor, privind dependenţa copiilor de reţelele sociale și schimbările comportamentale, uneori grave5, ale celor care devin „online social addict”, pentru că adesea se cumulează această dependenţă cu utilizarea abuzivă a smart-phone-ului personal si cu timpul petrecut pe jocuri online, doua elemente bine studiate de câţiva ani.

Generaţional vorbind, venirea masivă a tinerilor în reţelele sociale începe să contureze noi modalităţi de utilizare a acestora. Studiile arată că din ce în ce mai mulţi utilizatori, de pildă, limitează accesul la contul lor de Facebook, conţinutul lui fiind vizibil numai unui număr foarte limitat de prieteni, iar mesajele mai banale, mai scurte și mai „de moment” sunt trimise prin Twitter6.

Totuși încă putem spune că nu este nici pe departe atinsă măcar o minimă maturitate de utilizare a acestor reţele. Fie pe Facebook, fie pe Twitter sau pe alte reţele gratuite, setarea parametrilor de privacy, mai ales a celor care privesc geolocalizarea, este o opţiune necunoscută sau ignorată de marea majoritate a utilizatorilor. Poate că nu este inutil să reamintim aici că eliminarea fizică a unor generali libieni de către coaliţie a fost posibilă calibrând rachetele exact pe localizarea furnizată de contul de Twitter setat pe telefoanele lor mobile…

Generaţia teenager-ilor începe oricum să schimbe ecosistemul relaţional digital, în sensul că este cea care va fi lovită cel mai mult, și adeseori în mod mai crunt, mai mult pe calea digitală decât pe cea fizică7, atingându-se adeseori urmări care merg până la depresie cronică sau sinucidere. În acest sens, tot prin experienţa „pe propria piele”, adolescenţii nu au aceeași opinie binevoitoare pe care o au adulţii despre aceleași reţele.

Mai mult de atât, tinerii sunt poate primii care folosesc reţelele sociale ca mijloc de „intoxicare” și nu de „informare”… cu false profiluri, false identităţi etc., pe când majoritatea adulţilor, de pildă, încă mai cred că în reţelele sociale așa-zis profesionale sunt foarte puţine identităţi ne-reale, spre deosebire de profilurile reţelelor de socializare private!

Rămâne oricum, și s-a văzut că denunţarea protocolului UE-SUA „Safe Harbour” de către UE la sfârșitul lui 2015 și toţi pașii înapoi făcuţi de aceași UE la începutul lui 2016, ca problematică semnarea contractului – fără să citim cele câteva zeci de pagini pe care le conţine – când aderăm la o reţea gratuită, care nu mai este legată atât de state, cât de acordul pe care cetăţeanul și-l dă agreând printr-un simplu click termenii și condiţiile unei licenţe8.
Alter-ego-ul „online”, de ce atât de diferit față de cel „viu»?
Cu toate acestea, majoritatea cetăţenilor au încă un sentiment mai mare de libertate, sau mai bine zis de dezinhibiţie, atunci când sunt online faţă de cum sunt ei, fizic, în viaţa de zi cu zi.

Ca o revanșă în faţa unei societăţi urbane în care relaţiile sociale reale sunt din ce în ce mai reduse, reţelele sociale au un rol terapeutic, adesea de contrapondere totală.

Cei care au prea puţine relaţii în oraș, au în schimb mii de prieteni virtuali. Cine este foarte introvertit în viaţa de zi cu zi devine cel mai afabil când se simte protejat de interfaţa ecranului…

Acest impact asupra ego-ului și a sentimentului de bunăstare, pentru care în sfârșit beneficiem de studii știinţifice făcute pe o durată si un număr suficient de subiecţi9, este reţeta succesului reţelelor. Dar în același timp, din păcate, prin imprudenţa utilizatorului, acestea devin cutia Pandorei a criminalităţii prin inginerie socială, impostură și fraudă10.

Psihologic vorbind, continuăm să asistăm la o adevărată revoluţie în relaţionarea omului cu mediul său înconjurător real faţă de cel virtual, a cărei amploare nu pare sa înceteze, ba dimpotrivă.

Studiile semantice ale comportamentului uman și ale expresiei sale online în general arată o deschidere aproape copilărească11 care a căpătat, între altele, denumirea știinţifică de „e-language” sau „Language of the Inbox”.
BYOD, întotdeauna BYOD
Nici ţările „mature”, i.e. SUA și Occident, nu și-au schimbat atitudinea lor în ceea ce privește libertatea agajaţilor de a lucra la serviciu cu propriul lor laptop și telefon. Dacă însă în marile puteri economice (SUA, UK, Franţa, Germania, Japonia…) cifrele au coborât totusi în medie sub 45% BYOD faţă de dispozitivele standard furnizate de angajator, totuși în rândul puterilor emergente (Rusia, Brazilia, Africa de Sud…) media este încă de peste 60% și chiar 85% (India, Emirate) în favoarea BYOD12.

Și aici, cele mai recente studii au arătat că fenomenul nu mai este în sine o ameninţare, dar folosirea sa fără să fie încadrată de regulamente organice și de acces securizat către serverele companiei încă reprezintă o problematică majoră. S-a adăugat în plus un fenomen relativ nou, dar a cărui amploare devine îngrijorătoare pentru securitate: folosirea dispozitivelor mobile ca VPN în cadrul firmelor care au o reţea WiFi ce nu permite angajaţilor să acceseze orice tip de website sau de reţea socială.

Așadar, problema s-a deplasat de la BYOD-laptop la BYOD-smartphone, care devine astfel o unealtă extraordinară pentru spionaj industrial și furt de date, atunci când este folosită necorespunzator sau cu rea voinţă.
Toleranță totală sau toleranță 0?
În acest context, în câmpul specialiștilor în securitate, asistăm la o luptă nemaipomenită între două abordări complet diferite.

Prima abordare, cea mai convenţională, îi reunește pe cei care sunt convinși că fenomenul BYOD și al comportamentelor umane greșite se poate contracara prin măsuri tehnice, precum separarea serverelor de email profesionale13 sau controale sporite în definirea, limitarea și trasarea accesului la cloud-ul firmei14.

A doua abordare, propusă în general de experţi în confidenţialitate, este bine rezumată de către Dan Amiga15, fostul Intelligence software security architect al Israel Defense Forces, care susţine că organizaţiile trebuie să ajungă la o disciplină de muncă cu un nivel aproape militar în ceea ce privește securitatea și la o toleranţă zero pentru cine greșește.

Este evident că ambele tabere au dreptate și motivaţii coerente în ceea ce propun, și că aplicarea unei politici reușite se situează undeva la mijlocul ambelor teorii, în funcţie de gradul de interes economic al brevetelor, activităţilor sau a bazelor de date ale fiecărei companii. Dar pentru a fi implementate, trebuie rezolvat principalul obstacol în calea securităţii, adică lipsa de cultură de bază asupra ceea ce înseamnă securitate și riscuri.

Numai atunci când un angajat sau un CEO a înţeles cu adevărat riscurile, vor fi evitate multe greșeli care se fac zilnic online și va fi acceptată inclusiv o toleranţă zero, incompatibilă cu trendul actual al psihologiei muncii care pledează pentru un liber acces la internet ca stimulator de eficacitate în muncă. Implicit, întrucât atât CEO-ul cât și angajatul firmei au fiecare o familie, preluarea unui model de educaţie privind bazele securităţii în cadrul companiei va avea consecinţe pozitive directe asupra un grup mult mai mare de cetăţeni.

Așadar, unul din cei mai buni – dar și mai neglijaţi până acum – vectori de educaţie pentru adulţi sunt chiar companiile, așa cum bine arată de exemplu acea parte a programului Child Online Protection publicat de ITU care este destinată companiilor din sectorul industrial și telco16.
Media generalistă și „Breaking News»: vectori de înspăimântare sau de conștientizare?
Desigur, rata de penetrare a unei știri către o audienţă cât mai mare o furnizează organele de presă convenţionale (radio, tv, ziare), în forma lor tradiţională sau digitală. Însă, formatul prea des senzaţionalist și prescurtat în care știri complexe sunt difuzate către un mare public are până acum, în domeniul securităţii digitale, un efect mai mult negativ, chiar înspăimântător.

Asistăm la o creștere a efectului unor astfel de știri, până la nivel de alarmare a cetăţenilor, cu efect uneori de „conspiraţionism”, dar nicidecum, în UE, nu putem să vorbim încă de o creștere a conștientizării prin media generalistă.

Într-unul dintre puţinele studii care arată percepţia cetăţenilor tuturor statelor UE privind identitatea lor digitală și riscul de furt, vedem de pildă că România este prima în topul ţărilor unde „victimizarea”, sau sentimentul de a fi victimă potenţială/reală a furtului de identitate este sporit, alături de Irlanda, Austria, Bulgaria și UK17. Dar motivaţiile acestui sentiment sunt radical diferite dacă observăm fiecare din aceste ţări în parte. Grafic după Williams, op. cit., fig. 3, p. 36

În Irlanda, UK și Austria, statul a lansat campanii de sensibilizare cu foarte puternic caracter emoţional prin mass-media, desemnate să îndrume cetăţenii să se informeze mai bine și să acceseze materiale postate online de diferite instituţii ale statului. Au urmat evident dezbateri, și un număr de emisiuni dedicate acestei tematici, care au avut ca prim efect, o creștere a fricii, dar și o documentare sporită a cetăţenilor.

În România și în Bulgaria, mass-media nu a făcut altceva decât să propage știri alarmiste, care nu au fost urmate de nicio dezbatere. Acest fenomen, dublat de o dezamăgire socială și politică a cetăţenilor, a adus un mare prejudiciu de imagine și de încredere în capacitatea Statului de a îi apăra în mediul virtual.

Lipsa unui răspuns puternic al statului pe aceleași canale – cu excepţia unor spoturi recente ale Poliţiei Naţionale asupra riscului de pedofilie pe net (grooming) – deși există în România conţinut educaţional sau informativ online, fie la CERT-RO, fie la SRI, fie în ministerele competente, explică o situaţie „de reflex uman” care nu are legătură cu numărul mare de infracţiuni sau de furturi, exact ca și în cazul impresiei bune sau proaste despre securitatea fizică pe care cetăţeanul o are în orașul unde trăiește, cum bine subliniază studiul britanic.

În SUA, dimpotrivă, un breaking news alarmant, publicat în 24 februarie de către cel mai citit ziar din ţară, USA Today18, a reușit să antreneze o dezbatere naţională și a fost urmată, în același ziar, de o serie de sfaturi de bază pentru cetăţeni.

La aterizarea unui zbor intern Dallas-Raleigh, ziaristul Steven Petrow, care își petrecuse întreaga călătorie folosind on-board internet furnizat de operatorul agreat al companiei aeriene, a fost abordat de un hacker care i-a recitat, cuvânt cu cuvânt, fragmente din emailurile trimise de acesta.

Compania responsabilă cu sistemul de operare a recunoscut rapid că acest tip de breșă este posibilă și s-a limitat la recomandarea de a nu folosi serviciile sale fără VPN, fără sisteme de protecţie bune și, culmea, „de a nu accesa sau a trimite materiale confidenţiale” prin on-board internet, la fel ca și prin reţelele WiFi terestre publice.

Articolul a stârnit indignare și vor urma anchete, procese etc. fiindcă în SUA este vorba de „liability” și dacă compania aeriană a ales acel provider, are și ea o parte din responsabilitate.

Mai ales într-un ziar de impact, cum este cel pomenit mai sus, o conversaţie cu unul dintre avocaţii American Civil Liberties Union valorează cât zeci de spoturi publicitare. Acesta, la întrebarea „cine este în pericol aici?”, a răspuns „Oricine are încredere în securitatea uneltelor tehnologice”, apoi a dat mai multe sfaturi foarte simple și utile pentru utilizatori.

Din aceste exemple ne dăm seama cum ar putea să acţioneze instituţiile și ONG-urile pentru a „folosi” aceeași media generalistă pentru a da elemente de siguranţă cetăţenilor.
Concluzie: identitatea digitală, ce este și cine trebuie să o protejeze?
Tot ce este scris mai sus duce de fapt către un singur concept: identitatea digitală și privacy. Aici, probabil, mai ales în România, ne aflăm în cea mai mare asimetrie comportamentală posibilă.

Pe de o parte, o mare majoritate a cetăţenilor sunt precauţi, sceptici sau chiar critici când este vorba de legi, măsuri sau instituţii care au sau ar putea să intervină în domeniul deja conotat negativ cu cuvântul atotcuprinzător „big brother”.

Pe de altă parte, ca occidental, mărturisesc că nu am văzut în nicio altă ţară atâta lume, de la simplu cetăţean la om politic, care nu folosește niciun email, public sau personal, cumpărat, găzduit de o firmă de încredere și legat de un contract. Este încă prea puternică atracţia conturilor gratuite, a spaţiilor de stocare online gratuite, să nu mai vorbim despre partea de reţele sociale.

A fi un cetăţean digital înseamnă a ști că orice serviciu gratuit se plătește cu… datele personale, și că acestea acum au o valoare19 de multe ori peste cei… 2-3 Euro preţul probabil al unui sistem de email închiriat pe un server securizat.

Mai mult de atât, reiese bine din cele mai recente cercetări că fiecare dintre noi este primul responsabil de securitatea datelor și a identităţii sale personale, contextul juridic creat de globalizare și de servicii (reţele, browser-e, software, sisteme de operare) pe care le folosim zilnic nemaipermiţând să fim 100% protejaţi de statul al cărui cetăţeni suntem sau în care am ales să trăim20.

Indiferent de cadrul legislativ naţional sau european, fiecare end-user, fiecare cetăţean trebuie să fie conștient de responsabilitatea sa în modul în care folosește uneltele digitale și de ceea ce posteză el însuși pe net. Apoi, nu ar strica și niște cunoștinţe de bază pentru a găsi ce postează alţii despre el, prin OSINT de pildă.

Până când nu se va hotărî un framework mai dur, dacă se va dori, la nivelul întregii UE, conceptul american de liability, în sensul larg, este de departe cel mai convingător, pentru cetăţeni ca și pentru afaceri.

„Good old”, textul lui Steven Caponi publicat în 2013 pe blogul Reuters, rămâne o excelentă lectură pentru a privi lumea digitală ca actor și nu ca victimă21; această pledoarie, destinată CEO și board-urilor firmelor americane care sunt acum responsabile legal în caz de prejudiciu adus prin criminalitate informatică, este ușor de citit și revelează cât și fiecare dintre noi este responsabil legal pentru propriul eu digital și faptele sale.

Doar apoi vin soluţiile tehnice, care sunt multe, adesea foarte bune și nu neapărat scumpe, dar care niciodată nu vor salva daunele făcute de naivitatea umană și buna credinţă faţă de necunoscuţi, prin mail-uri, reţele sau forum-uri. Cum bine scrie Luca Tenzi în acest număr al revistei, este timpul să abandonăm conceptele de securitate fizică și cibernetică și să re-învăţăm bazele prudenţei, care în marile multinaţionale are un nume extraordinar de potrivit: securitatea logică. 
Note:
1 Victor R.L. Shen, Cheng-Ying Yang, Chien Hung Chen, A smart home management system with hierarchical behavior suggestion and recovery mechanism, in Computer Standards & Interfaces 41 (2015), pp. 98-111
2 Tainyi (Ted) Luor, Hsi-Peng Lu, Hueiju Yu, Yinshiu Lu, Exploring the critical quality attributes and models of smart homes, in Maturitas 82 (2015), pp. 377-386
3 Martin Henze, Lars Hermerschmidt, Daniel Kerpen, Roger Fling, Bernhard Rumpec, Klaus Wehrle, A comprehensive approach to privacy in the cloud-based Internet of Things, in Future Generation Computer Systems 56 (2016), pp. 701-718
4 Jon D. Elhai, Brian J. Hall, Anxiety about internet hacking: Results from a community sample, in Computers in Human Behavior 54 (2016) 180-185
5 Nikos Xanidis, Catherine M. Brignell, The association between the use of social network sites, sleep quality and cognitive function during the day, in Computers in Human Behavior 55 (2016), pp. 121-126
6 Francesco Buccafurri, Gianluca Lax, Serena Nicolazzo, Antonino Nocera, Comparing Twitter and Facebook user behavior: Privacy and other aspects, in Computers in Human Behavior 52 (2015), pp. 87-95
7 Tracy E. Waasdorp, Catherine P. Bradshaw, The Overlap Between Cyberbullying and Traditional Bullying, in Journal of Adolescent Health 56 (2015), pp. 483-488
8 Jeff rey T. Child, Shawn C. Starcher, Fuzzy Facebook privacy boundaries: Exploring mediated lurking, vague-booking, and Facebook privacy management, in Computers in Human Behavior 54 (2016) 483- 490
9 Jan-Erik Lönnqvist, Fenne grosse Deters, Facebook friends, subjective well-being, social support, and personality, in Computers in Human Behavior 55 (2016) 113-120
10 Ryan Heartfi eld and George Loukas, A taxonomy of attacks and a survey of defense mechanisms for semantic social engineering attacks. ACM Computing Surveys 48:3, Article 37 (December 2015), 39 pages
11 Heather Macdonald, The Language of the Inbox A Radical Rethinking of Hospitality, in David Goodman and Mark Freeman (eds.), Psychology and the Other, Oxford 2015, 19 pp.
12 Morufu Olalere, Mohd Taufi k Abdullah, Ramlan Mahmod, Azizol Abdullah, A Review of Bring Your Own Device on Security Issues, in SAGE Open 2015:3 (April-June), pp. 1-11
13 Fernando Sanchez, Zhenhai Duan, Yingfei Dong, Blocking spam by separating end-user machines from legitimate mail server machines, in Security and Communications Networks 9 (2016), pp. 316-326
14 Nikos Fotiou, Apostolis Machas, George C. Polyzos, George Xylomenos, Access control as a service for the Cloud, in Journal of Internet Services and Applications 6:11 (2015)
15 M. Heller, Military-grade security focuses on isolation and action, Tech Target, 03/03/2016 (http:// searchsecurity.techtarget.com/news/4500277986/Military-grade-security-focuses-on-isolation-andaction)
16 ITU/D, Guidelines for Industry on Child Online Protection, revised ed. 2015 (http://www.itu.int/en/cop/ Documents/bD_Broch_INDUSTRY_0909.pdf)
17 Matthew L. Williams, Guardians upon high: an application of routine activities theory to online identity theft in Europe at the country and individual level, in British journal of Criminology 56 (2016), pp. 21-48
18 http://www.usatoday.com/story/tech/columnist/2016/02/24/got-hacked-my-mac-while-writingstory/80844720/
19 Cf. un rezumat a problematicii in M. van Lieshout, The value of Personal Data, in J. Camenisch, S.Fischer-Hüber, M. Hansen (eds.), Privacy and Identity Management for the Future Internet in the Age of Globalisation, Cham 2015, pp. 26-38
20 Michael Searson, Marsali Hancock, Nusrat Soheil, Gregory Shepherd, Digital citizenship within global contexts, in Education and Information technologies 20 (2015), pp. 729-741
21 Steven L. Caponi, Cybersecurity and the board of directors: avoiding personal liability, , incepe pe http:// blogs.reuters.com/fi nancial-regulatory-forum/2013/07/25/cybersecurity-and-the-board-of-directorsavoiding- personal-liability-part-i-of-iii/

ITU Child Online Protection Focal Point

ITU Child Online Protection
Focal Point

O zi din viața lui CARLA LICCIARDELLO

„Prin amabilitatea UNICEF”

ITU este o agenție a Națiunilor Unite specializată pe tehnologia informației și comunicații – IT&C. Noi alocăm spectrul global radio și orbitele sateliților, dezvoltăm standarde tehnice care să asigure interconectarea rețelelor și tehno logiilor și ne luptăm să îmbunătățim accesul la IT&C în comunitățile defavorizate din lumea întreagă. ITU se angajează să conecteze toți oamenii din lume, indiferent unde trăiesc și indiferent de posibilitățile lor. Prin munca noastră, protejăm și sprijinim dreptul fundamental la comunicare al tuturor.

Bio
Carla Licciardello ITU Child Online Protection Focal Point Carla Licciardello este Child Online Protection Focal Point la International Telecommunication Union ITU, în Geneva. Responsabilitatea ei principală sunt activitățile ITU Child Online Protection, incluzând dezvoltarea de proiecte cu statele membre și alte organizații internaționale. Lucrează și în domeniul Cybersecurity și oferă suport în relațiile interagenții. Înainte de a se alătura ITU, Licciardello a lucrat pentru misiunea italiană de la Geneva și la ONU. La ONU Licciardello s-a concentrat pe Disaster Risk Reduction. Licciardello a lucrat în asistență în comunicații și sprijin umanitar pe politici pentru statele membre care au fost victime ale unor dezastre naturale.

Redacţia: Descrieți principalele zone pe care vă concentrați/ cele mai mari proiecte privind utilizarea Internetului și a tehnologiilor aferente de către copii – ce vă bucură, ce vă supără, cum arată succesul în ceea ce faceți?

Carla Licciardello: Puterea de a dezlănţui adevăratul potenţial IT&C stă în mâinile copiilor și ale tinerilor. IT&C-ul este un instrument excelent pentru dezvoltarea copiilor, furnizându-le oportunitatea de a învăţa, crea și de a se angaja în rezolvarea de probleme – „democratizarea” IT&C înseamnă că acesta devine și mai prevalent. În ciuda beneficiilor profunde pe care IT&C-ul le poate oferi, copiii și tinerii sunt confruntaţi cu noi și semnificative riscuri. Copiii pot fi expuși unui conţinut inadecvat, sau unor contacte inadecvate cum ar fi potenţialii prădători sexuali. Reputaţia lor poate avea de suferit prin publicarea unor informaţii personale sensibile, fie online, fie prin „sexting”, nereușind să înţeleagă efectul pe termen lung al amprentei lor digitale. Copiii pot fi implicaţi în comportamente riscante sau necorespunzătoare care să creeze repercusiuni negative asupra lor și posibil asupra altora.

Din acest motiv ITU consideră aceste aspecte ca fiind o prioritate și în 2008 a lansat iniţiativa Child Online Protection (COP). Aceasta implică parteneri din toate sectoarele comunităţii globale, într-un dialog internaţional care să abordeze aspectele legate de siguranţa copiilor online și să creeze o experienţă online acreditată pentru copiii din întreaga lume. COP reunește parteneri din toate grupurile de stakeholder-i care să sprijine eforturile globale de protejare a copiilor online prin forumuri, cum ar fi grupul de lucru pentru protecţia online a copiilor, ca și prin acoperirea globală a agenţiei ONU. Împreună am parcurs un drum lung. Siguranţa online a copiilor este în topul agendei politice a multor ţări și a devenit o prioritate de top pentru o varietate largă de stakeholder-i, inclusiv companii private și instituţii financiare. Scopul nostru comun de a asigura încrederea în ciberspaţiu nu poate fi obţinut de ţări sau stakeholder-i care să lucreze izolat, cu toţii trebuie să lucrăm împreună dacă dorim să avem succes în eliminarea neajunsurilor. Într-o lume tot mai interconectată, care nu cunoaște graniţe, este vital ca aceste eforturi diverse să fie aliniate scopului comun de a obţine un ciberspaţiu mai sigur și mai de încredere.
Redacţia: Imaginați-vă că ați fi în aceeași profesie și peste 10 ani, ce credeți că va fi diferit?

Carla Licciardello: Cred că în 10 ani Internetul, care este încă în copilărie, va înflori și mai mult. Tendinţele din lumea digitală de azi indică faptul că va crește conectivitatea wireless, la viteze care vor crește exponenţial și că se vor transfera volume imense de date, în mișcare. Aceasta înseamnă că va trebui să ne folosim de realizările de până acum pentru a ne asigura că reţelele vor fi sigure în funcţionare (nu vor pica) și că viitoarele generaţii de utilizatori vor putea naviga în ciberspaţiu într-un mediu mai sigur.

Pe măsură ce continuăm să lucrăm pentru a asigura utilizarea IT&C atât în ţările în curs de dezvoltare, cât și în ţările mai puţin dezvoltate – de unde vor proveni cu precădere următoarele miliarde de utilizatori – va trebui să folosim efectul de pârghie al acestei răspândiri a IT&C-ului pentru a permite dezvoltarea socială și protecţia mediului, a genera bunăstare și a furniza sănătate și educaţie copiilor de pe glob.

Trebuie să recunoaștem de asemenea că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă, indiferent unde vor trăi, copiii nu vor avea încredere să-l utilizeze. Putem asigura această încredere doar lucrând împreună cu toţi stakeholder-ii din toate ţările, luînd în considerare în mod special faptul că vor apărea noi provocări, ceea ce înseamnă că vor trebui dezvoltate și împărtășite noi instrumente și mecanisme de coordonare.

Redacţia: Cum trebuie să colaboreze companiile și ceilalți stakeholder-i pentru a rezolva diferitele provocări și oportunități legate de prezența copiilor în lumea digitală?

Carla Licciardello: Pentru a reduce riscurile aduse de revoluţia digitală, permiţând mai multor copii și tineri să culeagă beneficiile sale, guvernele, societatea civilă, comunităţile locale, organizaţiile internaţionale și sectorul privat trebuie să își stabilească niște obiective comune. Industria de profil joacă un rol critic în stabilirea fundaţiei pentru o utilizare mai sigură a serviciilor bazate pe Internet și a altor tehnologii.

De exemplu, parteneriatele public-private sunt esenţiale pentru construirea unui răspuns coordonat naţional, regional și internaţional la probleme ca abuzurile sexuale online asupra copiilor, și pentru asigurarea partajării de informaţii între diferiţi stakeholder-i. Industria, agenţiile de aplicare a legii, guvernele și societatea civilă trebuie să colaboreze strâns pentru a se asigura că se aplică framework-uri legale adecvate, în concordanţă cu standardele internaţionale. Astfel de framework-uri trebuie să condamne orice formă de abuz sau de exploatare sexuală a copiilor, să protejeze copiii care sunt victime ale unui astfel de abuz sau exploatare și să se asigure că raportarea și procesele de investigare și de eliminare a conţinutului lucrează cât mai eficient posibil.

Redacţia: Cine sau ce organizație considerați că joacă un rol de lider în promovarea drepturilor copiilor în lumea digitală și de ce?

Carla Licciardello: Naţiunile Unite joacă un rol important în lumea digitală ca facilitator global pentru diferiţi stakeholder-i care să stea la aceeași masă și să discute, identifice și implementeze soluţii care să conducă la un Internet disponibil universal, deschis, sigur și de încredere.

Redacţia: Ce programe și aplicații creative și inovative veți dezvolta pentru copii și părinți pentru participarea civică și/sau cetățenia digitală?

Carla Licciardello: Cred că trebuie să stimulăm producţia de conţinut educaţional și creativ online pentru copii, precum și să promovăm experienţa online pozitivă a copiilor. Măsurile tehnice pot fi un element important în a ne asigura că tinerii sunt protejaţi în faţa riscurilor potenţiale din online, dar acestea sunt doar un element al ecuaţiei. Instrumentele de control parental, conștientizarea și educaţia sunt de asemenea componente cheie care vor ajuta la împuternicirea și informarea copiilor din diferite grupe de vârstă, ca și a părinţilor, îngrijitorilor și educatorilor.

Stakeholder-ii pot sprijini proactiv drepturile copiilor colaborând la înlăturarea diferenţelor digitale. Participarea copiilor necesită alfabetizare digitală, abilitatea de a înţelege și de a participa în lumea digitală. Fără această abi litate, cetăţenii nu vor putea participa la multe din funcţiile sociale care au fost „digitalizate”, incluzând, dar fără a ne limita la, completarea formularelor de impozite, sprijinul acordat candidaţilor politici, semnarea de petiţii online, înregistrarea unui nou născut, ori simpla accesare a unor informaţii comerciale, de sănătate, educaţionale sau culturale. Prin urmare este crucial să dezvoltăm programe care sprijină iniţiative multimedia pentru a furniza copiilor

– în mod special din zone rurale sau subdezvoltate – abilităţile digitale de care au nevoie pentru a fi încrezători, conectaţi și cetăţeni angajaţi activ, și a le permite participarea deplină, în siguranţă, la lumea digitală.

Trebuie să dezvoltăm de asemenea platforme online care promovează dreptul copiilor de a se autoexprima, să facilităm participarea la viaţa publică și să încurajăm colaborarea, antreprenoriatul și participarea civică. În concluzie, este important să dezvoltăm programe de colaborare cu societatea civică locală și cu guvernele, pe priorităţi naţionale/locale, pentru a extinde accesul universal și echitabil la informaţie și la tehnologiile de comunicare, platforme și dispozitive, și la infrastructura corespunzătoare pe care acestea să funcţioneze. 

“Trebuie să re cunoaştem că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă , indiferent unde vor tră i, copiii nu vor avea încredere să-l utilizeze.”

879

Aurelian Mircea Grigore
Membru activ în ISACA Romania și Membru Colaborator al ANSSI

Toma Cîmpeanu,
CEO Asociaţia Naţională
pentru Securitatea
Sistemelor Informatice

Programele malware exploatează punctele slabe și vulnerabilităţile sistemelor software la nivelul sistemului de operare (OS), aplicaţiilor, utilitarelor software, dar și la niveluri hardware (ex. chip-uri de calculator). Complexitatea software-ului oferă un avantaj pentru cei care dezvoltă malware, astfel programele malware sofisticate și utilizatorii acestora pot ascunde activităţile lor și îşi pot acoperi urmele prin furnizarea de adrese false, redirecţionarea traficului, ștergerea activităţilor lor (de exemplu, ștergerea fișierelor și a informaţiilor din fișierele jurnal), „plantând” informaţii false sau lucrând în afara ţării în care se desfășoară activitatea rău intenţionată. Aplicaţiile malware polimorfe își schimbă semnăturile (ex. nume de fișiere și locaţii) şi/sau indicatorii de compromitere, astfel încât software-ul antivirus nu poate identifica componentele programului pentru a le elimina. Unele tipuri de malware fac foarte dificilă eliminarea, deoarece acestea se pot ascunde prin modificarea setărilor de fișiere și permisiuni de directoare. În unele cazuri, programele malware par a fi eliminate, dar apoi se vor reinstala după repornire.

Fenomenul malware a crescut de la evenimente pur și simplu deranjante la software și sisteme care pot compromite computerele guvernamentale, pot captura informaţii de acces sau pot fura banii unui individ. Cei care controlează programe malware pot obţine informaţii personale și financiare, pot afecta companiile și instituţiile financiare, ameninţând mijloacele de trai ale oamenilor și averea personală.

Dezvoltatorii de malware au creat aplicaţii pentru a controla alte programe periculoase sau reţele de calculatoare infectate. Au apărut astfel reţele de calculatoare/terminale infectate de tip botnet controlate prin intermediul unor centre de comandă și control (C & C).
Unele dintre utilizările unui bot sau botnet includ:
Rularea unui atac distribuit denial-of-service (DDoS), care poate trimite fluxuri mari de pachete User Datagram Protocol (UDP), cereri Internet Message Protocol Control (ICMP) sau Transmission Control Protocol (TCP) sync requests
Infectarea altor computere dintr-o reţea prin preluarea controlului complet al unei mașini victimă
Utilizarea și partajarea de cantităţi mari de lăţime de bandă în rândul comunităţilor hacker-ilor
Instalarea unui backdoor pentru a menţine accesul după o exploatare cu succes
Găzduirea datelor ilegale pe un sistem făcându-l parte a unei reţele de partajare de informaţii ilegale (software sau filme piratate) Pentru a infecta sau a compromite un sistem informatic, un atac cibernetic trece prin trei faze:

1 Pre-compromiterea – Această etapă constă din:
a. Recunoașterea ţintei sau a victimei
b. Personalizarea programelor malware pentru provocarea de daune, obţinerea de date și spionarea ţintei
c. Stabilirea unui mijloc de acces
2 Compromiterea – În această etapă, sistemul ţintă este exploatat în avantajul atacatorului (hacker) și, ulterior, malware-ul este instalat pe sistemele vulnerabile.
3 Post-compromiterea – Odată compromise sistemele vulnerabile ale reţelei, atacatorul stabilește un centru de C & C pentru a direcţiona atacurile cibernetice viitoare.

Infractorii cibernetici nu folosesc numai programe malware pentru a avea acces la informaţii proprietare, sensibile si personale, ci aplică și tehnici de tip „piggyback” pentru:
Capturarea informaţiilor de acces on-line banking
Transmiterea de surse și destinaţii Internet Protocol (IP) și liste de e-mail
Manipularea site-urilor de jocuri de noroc online, în avantajul lor
Monitorizarea practicilor neadecvate de actualizare a sistemelor
Studierea de obiceiuri și rutine de navigare ale ţintei
Capturarea activităţilor de navigare pe mobil ale ţintei
Studierea reţelelor sociale și site-urilor de mesagerie

Practicile neadecvate de programare si timpul au permis infractorilor cibernetici să devină organizaţi și fiind conștienţi că nu toată lumea dispune de cea mai bună securitate, au inceput să vizeze persoanele mai puţin pregătite.
Evoluția Ransomware

Utilizarea instrumentelor ransomware de către infractorii cibernetici și rezultatele înregistrate au condus la dezvoltarea şi diversificarea acestora. Pe parcursul ultimelor câteva luni, cercetatorii au raportat, pentru prima dată, un ransomware capabil să cripteze fișierele fără conexiune la Internet, nefiind necesară comunicarea cu serverele lor C & C pentru procesul de criptare.

Printre noile instrumente se remarcă Locky ransomware, al cărui mod de operare se aseamănă cu troianul bancar Dridex, precum și o versiune nouă a CTB-Locker care atacă serverele de web. CTB-Locker, vizează site-uri web WordPress, criptează fișierele și-i cere proprietarului site-ului răscumpărarea acestora.

În plus, ofertele RaaS (Ransom-as-a-Service) sunt din ce în ce mai populare pe site-urile închise DeepWeb și forumuri Darknet. Aceste servicii permit potenţialilor atacatori crearea cu ușurinţă de variante ransomware, profiturile fiind obţinute din viitoarele infecţii de succes. Recent, a fost identificat un nou RaaS „botezat” Cerber ransomware, care este oferit pe un forum subteran din Rusia. Anterior acestuia a fost ORx-Locker, oferit ca un serviciu prin intermediul unei platforme găzduite pe un .onion server.

Ransomware-ul se răspândește putând lua forme noi, inclusiv tradiţionalele link-uri de e-mail sau site-uri web de phishing.

Utilizarea JavaScript în Ransomware

Cercetătorii in securitate au descoperit o noua variantă a RaaS – ransomware-as-a-service: Ransom32. Spre deosebire de altele, inclusiv Tox și FAKIN, aceasta dezvoltare este oarecum diferită, deoarece folosește un framework JavaScript numit NW.js. Computerworld a semnalat această evoluţie la începutul lunii ianuarie.

Ransom32 solicită ca victimele sa efectueze plata în termen de 4 zile, altfel, în termen de o săptamână, întregul hard disk va fi distrus.

Problema rezidă în faptul că NW.js este un framework legitim, ceea ce face chiar mai dificil ca Ransom32 să fie adăugat la soluţii de detectare a programelor malware bazate pe semnături, jucătorii din piaţa de securitate raportând că mulţi dintre ei nu au avut o acoperire mare de detecţie pentru primele câteva săptămâni după ce software-ul a fost descoperit.
Ransomware continuă să crească

Atacurile ransomware și ameninţările avansate aferente au crescut în număr și rafinament în ultimul an. Variantele anterioare ransomware au suferit o scădere de 10 până la 30 la sută a profitului în cazul în care acestea au fost folosite de către infractori, în timp ce Ransom32 urcă la 25 la sută.

Până în prezent, Ransom32 a fost observat doar infectând PC-uri Windows, dar nu se așteaptă să rămână limitat la Windows pentru foarte mult timp, infractorii cibernetici generând pachete pentru Linux sau Mac pentru a-şi extinde spectrul de acţiune.
Cerber Ransomware – Nou, dar matur

Un nou ransomware criptografic, numit Cerber de creatorii săi, a început recent să vizeze utilizatorii de Windows. Comportamentul Cerber este asemănător cu majoritatea ransomware:
Codează o largă varietate de fișiere de sistem (inclusiv share-uri Windows și de reţea) cu criptare AES-256, și adaugă extensia .cerber
Evită infectarea utilizatorilor în majoritatea statelor post-Sovietice
Prezintă note de răscumpărare cu instrucţiuni privind modul de efectuare a plăţii (acesta solicită iniţial 1,24 Bitcoin), și oferă posibilitatea de a decripta un fișier ca un demonstraţie de bună-credinţă.

Un alt lucru interesant este faptul că Cerber nu este pro pagat de către dezvoltatorii săi. În schimb, ei oferă aceasta «ca serviciu» vizitatorilor unui forum subteran închis din Rusia. Până în prezent, victimele nu au nicio modalitate de a-și decripta ei înșiși fișierele, astfel încât acestea fie plătesc preţul și speră că infractorii le vor trimite cheia de decriptare, sau se resemnează și renunţă la fișierele respective pentru totdeauna.
KeRanger – Noul Ransomware vizează pentru prima dată Mac-urile

Hackerii au infectat Mac-uri cu KeRanger ransomware printr-o copie contaminată Transmission, un program popular pentru transferul de date prin intermediul reţelei de partajare de fișiere peer-to-peer BitTorrent.

KeRanger, care blochează datele de pe Mac-uri, făcându-le inaccesibile utilizatorilor, a fost descărcat de aproximativ 6500 de ori înainte ca Apple si dezvoltatorii sa fie capabili să-l contracareze.

Mai mult, experţii în securitate cibernetică au declarat că în perioada următoare se așteaptă la o creştere a atacurilor pe Mac-uri.

Distribuția Ransomware

Cea mai mare parte a vectorilor de distribuţie de variante ransomware implică ingineria socială. De exemplu, sunt utilizate mesajele de poștă electronică, inclusiv fișiere Office rău intenţionate, mesajele de tip spam cu linkuri maliţioase sau campanii de publicitatea dăunătoare care exploatează site-uri WordPress vulnerabile sau site-uri Joomla cu cod maliţios încorporat. Distribuirea profită de asemenea, de avantajul comenzilor macro și kit-urilor de exploatare (exploit kits), cum ar fi Nuclear sau Angler. Uneori sunt exploatate vulnerabilităţile browser-ului sau certificatele digitale furate.
Manipularea atacurilor Ransomware

Un val recent de atacuri ransomware a fost observat la nivel global, cu un număr mare de infecţii raportate în Statele Unite ale Americii, Marea Britanie, Germania și Israel. Atacatorii nu par a avea un obiectiv specific, ţintele fiind foarte diverse: spitale, instituţii financiare și companii, şi neputându-se identifica o industrie vizată preponderent.

În continuare, gasiti sugestiile noastre privind acţiunile recomandate pentru a evita atacurile de tip ransomware, precum și modul de acţiune în cazul după infectări:
Apărați organizația împotriva potențialelor amenințări

Instruirea angajaţilor dumneavoastră – deoarece componenta umană este cea mai slabă verigă din securitatea cibernetică organizaţională și majoritatea cazurilor implică inginerie socială asupra unora dintre angajaţi. Stabiliţi reguli privind utilizarea sistemelor companiei și descrieţi cum arată mesajele de phishing.
Creșterea gradului de conștientizare în ceea ce privește acceptarea fișierelor care sosesc prin intermediul mesajelor de e-mail – instruiţi angajaţii dumneavoastră să nu deschidă fișiere suspecte sau fișiere trimise de expeditori necunoscuţi. Luaţi în considerare punerea în aplicare a unei politici organizaţionale privind abordarea unor astfel de fișiere. Vă recomandăm blocarea sau izolarea fișierelor cu următoarele extensii: js (JavaScript), jar (Java), bat (Batch file), exe (executable file), cpl (Control Panel), scr (Screensaver), com (COM file) and pif (Program Information file).
Dezactivaţi script-urile Macro care rulează pe fișiere Office trimise prin e-mail – in ultimele luni, au fost raportate mai multe cazuri de atacuri ransomware care utilizează acest vector. De obicei, comenzile Macro sunt dezactivate în mod implicit și nu recomandăm să le permiteţi activarea. In plus, vă sugerăm să utilizaţi software-ul Office Viewer pentru a deschide fișiere Word și Excel pentru care nu este necesară editarea.
Limitarea privilegiilor de utilizator și monitorizarea în mod constant a staţiilor de lucru – gestionarea atentă a privilegiilor de utilizator și a privilegiilor de administrator poate ajuta la evitarea răspândirii ransomware în reţeaua organizaţiei. Mai mult decât atât, monitorizarea activităţii asupra staţiilor de lucru va fi utilă pentru depistarea timpurie a oricărei infecţii și blocarea înmulţirii către alte sisteme și resurse de reţea.
Creaţi reguli care blochează programele de executare din dosarele AppData / LocalAppData. Mai multe variante ale ransomware-ului sunt executate din aceste directoare, inclusiv CryptoLocker. Prin urmare, crearea unor astfel de norme poate reduce riscul de criptare în mod semnificativ.
Păstraţi sistemele dvs. actualizate – în multe cazuri, hackerii profita de sisteme învechite pentru a se infiltra în reţea. Prin urmare, actualizările frecvente ale sistemelor organizaţionale și implementarea patch-urilor de securitate publicate pot reduce în mod semnificativ șansele de infecţie.
Utilizaţi un software terţ dedicat pentru a face faţă ameninţării. De exemplu, AppLocker pentru Windows, care este inclus în sistemul de operare, ajută la combaterea malware. Vă recomandăm contactarea unui furnizor de securitate organizaţională și luarea în considerare a soluţiilor oferite.

Acţiuni de urmat dacă sunteți infectat
Restaurarea fișierelor – unele instrumente ransomware creează o copie a fișierului, o criptează și apoi șterge fișierul original. În cazul în care ștergerea se realizează prin intermediul funcţiilor de ștergere din sistemului de operare, există o șansă de a restabili fișierele, deoarece, în majoritatea cazurilor, sistemul de operare nu suprascrie imediat fișerele.
Decriptarea fișierelor criptate – decriptarea va fi posibilă dacă au fost infectate cu unul dintre următoarele trei tipuri ransomware: Bitcryptor, CoinVault sau Linux.Encoder.1. Prin urmare, detectarea exactă a genului de ransomware care a atacat PC-ul este crucială.
Efectuaţi back-up pentru fișiere pe un dispozitiv de stocare separat în mod regulat – cele mai bune practici pentru a evita daunele produse de un atac ransomware este de a efectua back-up pentru toate fișierele importante pe un dispozitiv de stocare deconectat de la reţeaua organizaţională, deoarece unele variante ransomware sunt capabile de a cripta fișierele stocate pe dispozitive conectate. De exemplu, cercetătorii au raportat recent un ransomware care criptează fișierele stocate pe folderul Cloud Sync.
Dacă este detectat ransomware în organizaţie, deconectaţi imediat echipamentul infectat de la reţea. Nu încercaţi să eliminaţi malware-ul și nu reporniţi sistemul înainte de a identifica varianta de ransomware. În unele cazuri, efectuarea uneia dintre aceste acţiuni vor face decriptarea imposibilă, chiar și dacă se plăteşte răscumpărarea.
Bio – Aurelian Mircea Grigore

Aurelian Mircea Grigore activează de 15 ani în domeniul securității cibernetice, cu o experiență acumulată pe parcursul evoluției profesionale. A ocupat funcții de administrator de sistem, specialist în tehnologii de securitate, consultant în Securitate informatică, auditor de sisteme informaționale si a dezvoltat servicii de securitate cibernetică pentru infrastructurile critice, sisteme de control industrial și SCADA precum și pentru sectoarele public, bancar și IMM.

A participat la traducerea și adaptarea de standarde de securitate în cadrul ASRO, este membru activ în ISACA Romania și Membru Colaborator al ANSSI.

A colaborat cu fundația CAESAR și TaskForce AMCHAM pentru promovarea securității cibernetice.

Bio – Toma Cîmpeanu

Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft.

De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național “România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.

ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

2382
Natalia-Spinu-Trends-No-4
Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

Intimitatea. Ce este? De ce a devenit un aspect atât de acut al modernității? Cum să o protejăm? Acestea sunt întrebările despre care aș dori să discutăm. Noi corporații și tehnologii dezvoltă radical libertățile noastre dar permit și o invazie fără precedent în viața noastră privată. Telefonul mobil te ajută să păstrezi legătura cu familia și prietenii, dar ușurează și accesul agențiilor de securitate la locul în care te afli.

Căutările pe care le faceţi pe Internet despre informaţii medicale sensibile ar putea părea un secret între voi și motorul de căutare, dar companii ca Yahoo, What’s Up, Facebook și Google crează tezaure de informaţii prin trasarea și înregistrarea activităţilor voastre online. Informaţiile voastre personale sunt potenţial disponibile oricui are destul cash sau poate obţine o citaţie din partea unui judecător sau a unui investigator pentru aplicarea legii.

Legile naţionale și internaţionale trebuie aliniate cu nevoile crescânde de intimitate, care apar odată cu noile tehnologii. Mai multe administraţii statale au optat și pentru utilizarea de malware pentru a se angaja în spionarea sau sabotarea unor reţele de calculatoare ale unor dizidenţi sau ne-rezidenţi, în numele «securităţii naţionale».

Respectul pentru intimitatea indivizilor, autonomie, anonimitate și dreptul la libera asociere trebuie pus în balanţă cu îngrijorările legitime care ţin de aplicarea legii. Guvernele naţionale trebuie să elaboreze metode legale de verificare care să prevină abuzul puterilor statului, iar organismele internaţionale trebuie să ia în considerare modul în care mediul tehnologic în schimbare modelează bunele practici de securitate ale agenţiilor.

Există mai multe tipuri de intimitate. Acestea includ intimitatea comunicaţiilor, ceea ce înseamnă nesupravegherea comunicaţiilor, intimitatea informaţiilor, sau așa numita intimitate a datelor și intimitatea personală, ne-manipularea informaţiilor despre indivizi. Acest articol se concentrează pe intimitatea personală.

Intimitatea personală este dreptul fundamental al oricărui cetăţean de a controla propriile informaţii personale și de a decide dacă le dezvăluie sau nu. Înregistrările medicale, datele biometrice, relaţiile personale și situaţia financiară sunt exemple de astfel de informaţii care pot fi utilizate în scopuri maliţioase și din acest motiv trebuie protejate. Intimitatea personală se confruntă cu multe aspecte recunoscute la nivel global. Unele dintre provocările de păstrare a intimităţii sunt legate de sistemele de calcul guvernamentale și private.

Guvernele colectează volume uriașe de informaţii intime personale. Nu există cale de scăpare, chiar dacă un individ se mută într-o altă ţară, acea ţară va începe să colecteze informaţii despre acel individ. Corporaţiile private și companiile, cum sunt companiile de telecomunicaţii și site-urile de media socială urmăresc și colectează volume enorme de date. Guvernele devin tot mai digitalizate și majoritatea datelor personale sunt colectate și stocate pe sistemele IT ale administraţiei. Această combinaţie de date personale și private deţinute de organizaţii externe crează riscuri semnificative în privinţa intimităţii cetăţenilor.

Companiile private colectează date personale practic peste tot în ciberspaţiu. Fie că utilizaţi Facebook, faceţi cumpărături online sau navigaţi pe Internet, modul în care utilizaţi Internetul furnizează volume enorme de informaţii despre voi, mediul în care vă aflaţi și despre comportamentul vostru. Informaţiile personale reprezintă cea mai mare valoare pentru organizaţiile externe. Acestea colectează informaţiile voastre personale și le vând altora. Acesta este modul în care companiile private fac bani, prin monetizarea informaţiilor voastre personale. Oamenii plătesc acest preţ prin utilizarea serviciilor oferite «gratuit». Cu cât utilizatorii dezvăluie mai multe informaţii despre ei, cu atât apar mai multe violări ale intimităţii.

Nu în cele din urmă, indivizii care posedă fonduri suficiente pot face rost de instrumente de supraveghere puternice, cu ajutorul cărora să comită diferite fraude, spionaj economic sau alte abuzuri ilegale asupra intimităţii cetăţenilor și a altora. Principala problemă fiind că tendinţele din legislaţia actuală tind să adreseze riscurile de violare a intimităţii care vin dinspre guverne și companii, nu și din partea unor indivizi.

Recentele încălcări ale securităţii datelor au arătat cât de vulnerabili și de lipsiţi de ajutor sunt cetăţenii obișnuiţi, indiferent de măsurile legale, politice și tehnice care se iau pentru protecţia lor. Mai mult, dificultăţile de punere în practică a «dreptului de a fi uitat» din industria privată și acordurile legale, cum este «acordul umbrelă» dintre SUA și UE, care permit unui stat străin să aibă acces la informaţiile personale sensibile ale oricărui cetăţean sau ne-cetăţean al altui stat, doar pe baza unei solicitări formale, complică și mai mult aspectele legate de protejarea intimităţii.

Chiar dacă nu există nici o scăpare în faţa lui «Big brother» anumite lucruri pot fi făcute de către indivizi pentru a se proteja. Câteva dintre acţiunile care pot fi luate în considerare sunt:

Controlaţi ce informaţii personale faceţi disponibile pentru utilizare și observare publică fără restricţii. Puneţi-vă întrebarea «dacă fac disponibilă această informaţie, cum ar putea acest lucru să mă afecteze pe mine, pe prietenii mei, colegii mei sau organizaţia din care fac parte, în viitor?» Din momentul în care informaţia este publicată pe Internet, nu o mai puteţi lua înapoi. Este postată pentru totdeauna!

Reţineţi că orice activitate desfășuraţi, în special pe Internet, va fi urmărită. Pentru totdeauna!

Protejarea informaţiilor personale poate părea o misiune lipsită de sorţi de izbândă, dar există câţiva pași simpli pe care toţi utilizatorii de Internet îi pot urma pentru a se proteja și a-și proteja intimitatea online.

1 Securizați-vă dispozitivele. Utilizaţi blocarea ecranului, autentificarea în doi pași, parolele și facilităţile de recunoaștere a amprentei pentru a vă securiza smartphone-ul, tableta și calculatoarele.

2 Utilizați parole puternice. Folosiţi parole complexe, care să includă majuscule, cifre și caractere speciale și schimbaţi-le în mod regulat.

3 Fiți proprietarul vieții voastre digitale. Gândiţi-vă ce anume postaţi online. Tot ceea ce puneţi pe Internet – email-uri, poze, tweet-uri și bloguri – vor putea fi accesate pentru totdeauna. Fiţi proprietarul vieţii voastre digitale prin postarea doar a acelor lucruri care doriţi să poată fi văzute. Închideţi conturile online pe care nu le mai utilizaţi!

4 Personalizați setările conturilor voastre și ale aplicațiilor. Multe conturi și aplicaţii au setări implicite care încurajează utilizatorii să partajeze mai multe tipuri de informaţii. Verificaţi setările contului vostru pentru a vă asigura că informaţiile voastre sunt vizibile doar celor pe care îi autorizaţi. Cu cât partajaţi mai puţine informaţii despre viaţa voastră personală, cu atât este mai bine.

5 Gândiți-vă înainte să instalați o aplicație. Înainte să download-aţi o aplicaţie mobilă, înţelegeţi ce informaţii va accesa acea aplicaţie (cum ar fi locul, accesul la reţelele sociale etc.) și ajustaţi-vă setările de intimitate în mod corespunzător.

6 Gândiți înainte să acționați. Fiţi precauţi atunci când vi se oferă ceva ce pare prea bun ca să fie și adevărat, când vi se solicită informaţii personale, sau când vi se sugerează să daţi click pe un link sau să deschideţi un attachment. În astfel de situaţii poate fi vorba despre un malware sau puteţi fi redirectat către un site cu conţinut maliţios. Intimitatea personală rămâne o chestiune deschisă. Se fac multe lucruri pentru protejarea ei, dar mult mai multe rămân de făcut atât la nivel naţional, cât și internaţional, pentru a ajunge la un nivel acceptabil pentru toţi în privinţa securităţii datelor personale. Acum este vremea în care vigilenţa personală, conștientizarea, și – mai important – dorinţa de a proteja intimitatea devin o piatră de temelie în asigurarea protecţiei intimităţii personale, nu numai în ţara noastră, ci pe tot globul și în ciberspaţiu.
Intimitatea personală este dreptul funda mental al oricărui cetățean de a controla propriile informații personale și de a decide dacă le dezvăluie sau nu.

594
Untitled-2
Autor : Alexandru Stoian, consultant securitate cibernetica, CERT-RO

Unul dintre cele mai răspândite dispozitive destinate utilizatorilor casnici (home automation) este Raspberry Pi. În prezent piața este dominată de Raspberry Pi 2 (Pi 3 fiind disponibil de puțin timp în oferta câtorva producători externi), care oferă un pachet suficient de performant pentru a putea fi folosit cu succes, nu doar pentru pornirea și oprirea unor servo-mecanisme, sau pentru a efectua operațiuni simple bazate pe date culese de la multitudinea de senzori disponibili în piață, ci chiar pentru a permite construcția unor roboți complecși care, până acum câțiva ani, ar fi necesitat un întreg departament de cercetare-dezvoltare. Specificațiile tehnice ale acestui dispozitiv includ un procesor cu 4 nuclee și 1 GB de RAM.

Există chiar și un model mai mic, apărut recent, denumit Raspberry Pi Zero, care dispune de doar două porturi USB și nu are interfaţă Ethernet. Acesta este folosit cu succes în multiple proiecte, inclusiv ca staţie radio portabilă alimentată de la un panou solar.

Configuraţia suficient de puternică și design-ul compact au făcut ca Raspberry Pi să atragă atenţia specialiștilor în intruziuni informatice. Astfel, combinat cu o baterie externă, un card wireless și un modem 3G, cu o distribuţie Linux specifică (precum Kali Linux 2.0), acesta devine o puternică platformă de atac, permiţând o multitudine de atacuri cibernetice, unele dintre acestea fiind detaliate mai jos, cum ar fi „Evil-Twin”, „Network Implant” și chiar „Man In The Middle” pentru reţelele mai mici.

Evil-Twin reprezintă unul dintre cele mai simple atacuri informatice ce pot fi derulate cu ajutorul unui dispozitiv precum cel descris mai sus. Acest tip de atac permite crearea unui punct de acces wireless care să pară similar cu unul legitim, numai că traficul făcut prin acesta, cu excepţia celui securizat prin SSL/TLS, poate fi interceptat. Acest fapt permite atacatorului să aibă acces la diferite informaţii confidenţiale ale utilizatorilor, precum credenţialele de acces la diferite servicii online.

În 29 Februarie 2016 a apărut Raspberry Pi 3, având inclusă o interfaţă wireless 802.11n, Bluetooth 4.1 și procesor mai puternic pe 64 biţi. Totul într-un pachet de aceleași dimensiuni, eliminând însa nevoia pentru un card w ireless extern. Aparent acest model este compatibil chiar și cu Windows 10 IOT, extinzând şi mai mult plaja de aplicabilitate a acestei platforme. 

592

maxresdefault

Abstract

Cyber security has become a national security priority and the responsibility to manage it belongs to governments, through its public institutions, but in cooperation with the private sector. The digital economy has become a vital component of state and global economy and in this context ensuring cyber security is vital.

So we have to consolidate national legal and institutional framework in the field of cyber crime and cyber security, in order to maintain a free and non-discriminatory access to the Internet.

The complex legislative reform was generated by the need to have appropiate and coherent legislative measures in line with the actual context and with the evolutions of society and technologies and to implement the obligations Romania assumed at European and international level.

Significant legislative improvement were made in the last years in Romania. The legislative reform comprised the modification of the Criminal Code and of the Criminal Procedure Code, also as regards incrimination, for the first time, of cyber crime and computer related crimes.

So that the national legal framework to be consolidate, a Cyber Security Law should be approved. Such a legislative act is very neccesary at a time when an important number of computers in our country were and continue to be involved in differernt cyber incidents or attacks, mostly without the knowledge of the owners.

Provocările societăţii moderne sunt tot mai complexe şi mai variate, fapt dеtеrminat dе schimbărilе cе au loc pе fondul procеsului dе globalizarе și dе dеpеndеnța informațională. Evoluţia recentă a agresiunilor cibernetice a făcut ca acestea să reprezinte cea mai mare provocare pentru societatea informaţională. În context, asigurarеa sеcurității cibеrnеticе a dеvenit o componеntă importantă a sеcurității naționalе.

 

În ultimii ani s-a constatat o divеrsificarе a mijloacеlor şi mеtodеlor utilizatе în derularea agresiunilor cibernetice, concomitеnt cu crеştеrеa nivеlului tеhnologic şi spеcializarеa infractorilor.

Agresiunile cibernetice reprezintă o ameninţare atât la nivel statal, cât şi la nivel individual. Dеpеndеnţa dе tеhnologiе a sociеtăţii modеrnе generează riscuri în planul siguranţei viеţii cotidiеnе a cеtăţеnilor. Orice utilizator al unui calculator conectat la internet poate fi ţinta unui atac cibernetic.

În ultimii ani, România a întrеprins un amplu procеs dе rеformă lеgislativă, carе a vizat pе dе o partе modificarеa cеlor două coduri în matеriе pеnală, iar pе dе altă partе rеvizuirеa întrеgii lеgislaţii pеnalе şi procеsual pеnalе.

În anul 2001, în cadrul Consiliului Еuropеi, a fost adoptată Convеnţia privind Criminalitatеa Informatică. La data dе 15 mai 2004 România a ratificat, prin lеgеa nr. 64/2004, printrе primеlе statе, Convеnţia Consiliului Еuropеi privind Criminalitatеa Informatică, adoptată la Budapеsta la 23 noiеmbriе 2001.

Lеgеa 161/20031 (Titlul III – Prеvеnirеa şi combatеrеa criminalităţii informaticе) a implеmеntat în mod fidеl prеvеdеrilе Convеnţiеi, fiind folosită dе Consiliul Еuropеi ca еxеmplu în numеroasе activităţi dе asistеnţă tеhnică2. Ultеrior, prеvеdеrilе dе drеpt substanţial şi procеdural din acеastă lеgе au fost prеluatе şi dеzvoltatе în noilе coduri.

De asemenea Lеgеa 365/20023 a statuat infracţiunilе privind comеrţul еlеctronic, iar lеgеa nr. 8/19964 a rеglеmеntat faptеlе dе rеproducеrе și/sau distribuirе nеautorizată a programеlor informaticе protеjatе.

Au fost adoptatе cеlе două noi coduri şi a lеgilor dе punеrе î n aplicarе a acеstora5, iar la data dе 1 fеbruariе 2014 acеstеa au intrat în vigoarе6. În domеniul criminalităţii informaticе noilе coduri implеmеntеază standardеlе intеrnaţionalе îndеosеbi cu trimitеrе la Convеnţia Consiliului Еuropеi privind criminalitatеa informatică.

O dată cu intrarеa în vigoarе a noului cod, infracţiunile informatice au fost inclusе în dispoziţiilе Codului Pеnal, astfеl7:
Titlul II. Infracţiuni contra patrimoniului. Capitolul IV – Fraudе comisе prin sistеmе informaticе şi mijloacе dе plată еlеctronicе (Frauda informatică art.249 – sancţionată antеrior prin Lеgеa nr. 161/2003, Еfеctuarеa dе opеraţiuni financiarе în mod fraudulos art.250, Accеptarеa opеraţiunilor financiarе еfеctuatе în mod fraudulos art.251 – prеvăzutе antеrior în Lеgеa nr.365/2002)
Titlul VI – Infracţiuni dе fals. Capitolul III – Falsul în înscrisuri Titlul VII. Infracţiuni contra siguranţеi publicе. Capitolul VI Infracţiuni contra siguranţеi şi intеgrităţii sistеmеlor şi datеlor informaticе (Accеsul ilеgal la un sistеm informatic art.360, Intеrcеptarеa ilеgală a unеi transmisii dе datе informaticе art.361, Altеrarеa intеgrităţii datеlor informaticе art.362, Pеrturbarеa funcţionării sistеmеlor informaticе art.363, Transfеrul nеautorizat dе datе informaticе art.364, Opеraţiuni ilеgalе cu dispzitivе sau programе informaticе art.365 – incriminatе antеrior dе lеgеa nr.161/2003, încadrulTitlului III)
Titlul I. Infracţiuni contra pеrsoanеi. Capitolul VIII – Infracţiuni contra libеrtăţii şi intеgrităţii sеxualе
Titlul VIII. Infracţiuni carе aduc atingеrе unor rеlaţii privind conviеţuirеa socială. Capitolul I. Infracţiuni contra ordinii şi liniştii publicе.

Lеgеa nr. 18 pеntru aprobarеa OUG 98/2010 privind idеntificarеa, dеsеmnarеa şi protеcţia infrastructurilor criticе a fost adoptată ca dеmеrs dеrivat din nеcеsitatеa transpunеrii în lеgislaţia intеrnă a Dirеctivеi еuropеnе 2008/114/CЕ8. În 2011 a fost adoptată OUG nr. 111/2011 privind comunicaţiilе еlеctronicе, aprobată cu modificări şi complеtări prin Lеgеa nr. 140/2012, cu modificărilе şi complеtărilе ultеrioarе.

Totodată, prin Hotărârеa dе Guvеrn nr. 494/2011 a fost înfiinţat CЕRT-RO ce arе ca principală misiunе analizarеa disfuncţionalităţilor procеduralе şi tеhnicе la nivеlul infrastructurilor criticе. În scopul idеntificării, nеutralizării şi limitării еfеctеlor atacurilor cibеrnеticе, în România s-au constituit o sеriе dе CЕRT-uri la nivеlul unor instituţii cu atribuţii.

Prin Hotărârеa nr. 271 din 15 mai 20139 (publicată în Monitorul Oficial nr. 296 din 23 mai 2013), Guvеrnul Româniеi a aprobat Stratеgia dе sеcuritatе cibеrnеtică a Româniеi şi Planul dе acţiunе la nivеl naţional privind implеmеntarеa Sistеmului naţional dе sеcuritatе cibеrnеtică.

Stratеgia dе sеcuritatе cibеrnеtică a Româniеi conţinе obiеctivе pе tеrmеn scurt şi lung şi accеntuеază că, din cauza faptului că atacurilе cibеrnеticе sunt din cе în cе mai frеcvеntе şi complеxе, еstе nеcеsar un nivеl dе sеcuritatе crеscând pеntru infrastructura digitală. România îşi propunе să asigurе normalitatеa în spaţiul cibеrnеtic rеducând riscurilе şi еxploatând oportunităţilе prin îmbunătăţirеa cunoştinţеlor, capabilităţilor şi mеcanismеlor dе dеciziе10.

După aprobarеa Stratеgiеi dе Sеcuritatе Cibеrnеtică a Româniеi, a fost constituit Consiliul Opеrativ dе Sеcuritatе Cibеrnеtică (COSC), organismul prin carе sе rеalizеază coordonarеa unitară a Sistеmului Naţional dе Sеcuritatе Cibеrnеtică.

Iar în anul 2013 prin hotărârе a CSAT a fost aprobat Planul dе acţiunе la nivеlul naţional privind implеmеntarеa Sistеmului Naţional dе Sеcuritatе Cibеrnеtică (SNSC). SNSC rеprеzintă cadrul gеnеral dе coopеrarе carе rеunеştе autorităţi şi instituţii publicе, cu rеsponsabilităţi şi capabilităţi în domеniu, în vеdеrеa coordonării acţiunilor la nivеl naţional pеntru asigurarеa sеcurităţii spaţiului cibеrnеtic, inclusiv prin coopеrarеa cu mеdiul acadеmic şi cеl dе afacеri, asociaţiilе profеsionalе şi organizaţiilе nеguvеrnamеntalе11. Coordonarеa unitară a SNSC sе rеalizеază dе cătrе COSC, coordonat tеhnic dе cătrе SRI.

Un alt pas important a fost reprezentat de adoptarea în anul 2014, prin Hotărârе a CSAT, a Programului Naţional dе Managеmеnt al Riscurilor (PMR) în domеniul sеcurităţii cibеrnеticе, cât şi Sistеmul Naţional dе Alеrtă Cibеrnеtică (SNAC).

În cadrul șеdinţеi dе Guvеrn din 30 apriliе 2014, a fost adoptat proiеctul dе Lеgе privind sеcuritatеa cibеrnеtică, iar la 19 dеcеmbriе 2014, proiеctul a fost adoptat, cu amеndamеntе, dе Sеnatul Româniеi.

Curtеa Constituţională a dеclarat prin Decizia nr. 17 din 21 ianuarie 201512 proiеctul dе lеgе privind securitatea cibernetică nеconstituţional în intеgralitatе, aducând o serie de obiеcţii privind confuziilе și condiţionărilе pе carе lеgеa lе incumbă cu trimitеrе la dеţinătorii dе infrastructuri cibеrnеticе.13

Prin adoptarеa proiectului de Lеge privind sеcuritatea cibеrnеtică14 s-a dorit crеarеa unui cadru unitar dе acţiunе a autorităţilor compеtеntе, statuarea unor drepturi şi obligaţii pentru deţinătorii de infrastructuri cibernetice, în vederea responsabilizării acestora, dar şi identificarea unui program privind managеmеntul riscului în caz dе incidеnt cibеrnеtic.

Totodată, proiectul de lege urmăreşte definirea obligaţiilor ce revin autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice şi furnizorilor de servicii prevăzuţi de lege, în scopul protejării infrastructurilor cibernetice.

Lеgеa a fost întâmpinată cu multе critici în primul rând din prisma tеmеi insuflatе dе posibilitatеa rеstrângеrii еxеrciţiului drеpturilor și libеrtăţilor cеtăţеnеști pеntru asigurarеa sеcurităţii naţionalе.

Însă, potrivit prevederilor constituţionale, „exеrciţiul unor drеpturi sau al unor libеrtăţi poatе fi rеstrâns numai prin lеgе şi numai dacă sе impunе, după caz, pеntru: apărarеa sеcurităţii naţionalе, a ordinii, a sănătăţii ori a moralеi publicе, a drеpturilor şi a libеrtăţilor cеtăţеnilor; dеsfăşurarеa instrucţiеi pеnalе; prеvеnirеa consеcinţеlor unеi calamităţi naturalе, alе unui dеzastru ori alе unui sinistru dеosеbit dе grav”.15

În prezent au fost reluate demersurile pentru elaborarea unui nou proiect de lege. Proiectul privind Legea securităţii cibernetice îşi propune protejarea, în spaţiul cibernetic, a dreptului la viaţă intimă, familială şi privată al cetăţenilor, în special a datelor cu caracter personal gestionate de către deţinătorii de infrastructuri cibernetice, precum şi la creşterea capacităţii de reacţie la incidentele cibernetice, prin impunerea de cerinţe minime de securitate cibernetică şi prin stabilirea principiilor de acţiune pentru gestionarea incidentelor de securitate cibernetică.

Persoanele fizice sunt de asemenea expuse agresiunilor cibernetice în contextul în care deţinătorii de infrastructuri cibernetice stochează, gestionează şi prelucrează datele cu caracter personal fizice (existând riscul exfiltrării datelor cu caracter personal în vederea utilizării acestora pentru derularea unor agresiuni cibernetice).

În acest sens, la nivel european există preocupări referitoare la adoptarea unui Regulament privind protecţia datelor cu caracter personal, fiind elaborat la nivelul Parlamentului European şi al Consiliului, la 27 noiembrie 2015, un nou Proiect de Regulament privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Noul Proiect de Regulament stabileşte mai multe linii de acţiune precum: crearea unui set unic de norme la nivel european privind protecţia datelor, existenţa dreptului „de a fi uitat” prin posibilitatea ştergerii datelor, dreptul de portabilitate al datelor, desemnarea unor autorităţi de supraveghere în fiecare stat membru care să supravegheze transferul şi utilizarea datelor cu caracter personal.

În plan naţional, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritatea de supraveghere desemnată pentru supravegherea lucrului cu date cu caracter personal, în conformitate cu prevederile legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Potrivit Legii nr. 677/2001, operatorul de servicii de comunicaţii este obligat să aplice măsuri tehnice adecvate pentru protejarea datelor caracter personal împotriva oricărei distrugeri, deteriorări sau afectări a acestora, iar măsurile trebuie să asigure un nivel de securitate adecvat. Autoritatea de supraveghere este cea care trebuie să elaboreze periodic cerinţele minime de securitate.

O altă preocupare la nivel european o reprezintă adoptarea Directivei privind securitatea reţelelor şi a informaţiei (NIS) care are în vedere asigurarea unui nivel comun ridicat de securitate a reţelelor şi a infrastructurilor. Proiectul de Directivă urmăreşte adoptarea măsurilor corespunzătoare pentru gestionarea riscurilor de securitate şi stabilirea unor standarde unice pentru deţinătorii de infrastructuri cibernetice.

Concluzionând, în actualul contеxt dе sеcuritatе, adoptarеa unui cadru lеgal carе să sprijinе dеzvoltarеa capacităţilor еlеmеntеlor dе sеcuritatе alе statului еstе o nеcеsitatе pеntru oricе ţară. Totodată, asigurarea unui spaţiu cibernetic sigur este responsabilitatea atât a statului cât şi a autorităţilor competente, a sectorului privat şi a societăţii civile. Consolidarea încrederii între stat şi societatea civilă şi creşterea culturii de securitate cibernetică prin educarea societăţii civile sunt puncte esenţiale de atins în obţinerea unui deziderat privind spaţiul cibernetic.

Bibliografie
Constituția Româniеi, rеpublicată, Monitorul Oficial al Româniеi, nr. 763 din 03.10.2003
Lеgеa nr.286/2009 privind Codul Pеnal, publicată în Monitorul Oficial nr.510 din 24.07.2009, modificată prin Lеgеa nr.27/2012 pеntru modificarеa și complеtarеa Codului Pеnal al Româniеi și a Lеgii nr. 286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.180 din 20.03.2012, Lеgеa nr.63/2012 pеntru modificarеa și complеtarеa Codului pеnal al Româniеi și a Lеgii nr.286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.258 din 19.04.2012, Lеgеa nr.187/2012 pеntru punеrеa în aplicarе a Lеgii nr.286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.757 din 12.11.2012
Noul Cod Pеnal intrat în vigoarе la 01.02.2014, disponibil la http://www.mpublic.ro/ncp.pdf
Lеgеa nr.255/2013 pеntru punеrеa în aplicarе a Lеgii nr.135/2010 privind Codul dе Procеdură Pеnală și pеntru modificarеa și complеtarеa unor actе normativе carе cuprind dispoziții procеsualе pеnalе, publicată în Monitorul Oficial nr.515 din 14.08.2013;
Lеgеa nr. 365/2002 privind comеrţul еlеctronic, publicată în Monitorul Oficial nr. 959 din 29.11.2006
Lеgеa nr.8/1996 privind drеpturilе dе autor şi drеpturilе conеxе, împrеună cu Lеgеa nr. 285/2004, carе modifică şi complеtеază lеgеa mеnţionată antеrior, publicat în Monitorul Oficial nr. 60 din 26.03.1996
Hotărârеa nr. 271/2013 pеntru aprobarеa Stratеgiеi dе Sеcuritatе Cibеrnеtică a Româniеi şi a Planului dе acţiunе la nivеlnaţional privind implеmеntarеa Sistеmului naţional dе Sеcuritatе Cibеrnеtică, publicată în Monitorul Oficial nr. 296 din 23.05.2013
Proiectul de lege nr. 580/2014 privind securitatea cibernetică a României, disponibil la http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf
Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro
Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private

Note:
1 Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, publicată în Monitorul Ofi cial al României, Partea I, nr. 279 din 21 aprilie 2003, cu modifi cările şi completările ulterioare
2 www.coe.int/cybercrime
3 Legea 365/2002 cu modifi cările aduse prin legea 121/2006 – legea comerțului electronic
4 Legea nr.8/1996 privind drepturile de autor şi drepturile conexe, împreună cu Legea nr. 285/2004, care modifi că şi completează legea menţionată anterior
5 Legea nr. 286/2009 privind Codul Penal
Legea nr. 135/2010 noului Cod de Procedură Penală
Legea nr. 187/2012 pentru punerea în aplicare a noului Cod penal
Legea nr. 255/2013 de punere în aplicare a Legii nr. 135/2010; www.legalis.ro
6 Disponibile în limba română la: http://www.just.ro/MinisterulJusti%C8%9Biei/NoileCoduri/ncp_ncpp_05092013/tabid/2604/Default.aspx
7 Noul Cod Penal intrat în vigoare la 01.02.2014, disponibil la http://www.mpublic.ro/ncp.pdf
8 Directiva europeană 2008/114/CE din 08.12.2008 privind identifi carea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora, Jurnalul Ofi cial al Uniunii Europene L345/75, disponibil la www.cpic.mai.gov.ro
9 http://www.cert-ro.eu/fi les/doc/StrategiaDeSecuritateCiberneticaARomaniei.pdf
10 Hotărârea nr. 271/2013 pentru aprobarea Strategiei de Securitate Cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de Securitate Cibernetică
11 Proiectul de Lege nr. 580/2014
12 Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Ofi cial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro
13 Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Ofi cial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro
14 Proiectul de lege nr. 580/2014 privind securitatea cibernetică a României, disponibil la http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf
15 Art.53, alin.2, Constituţia României republicată, Monitorul Ofi cial al României, nr. 763 din 3.10.2003

matei

Cătălin Matei

CEO Veracomp. din 2007. Anterior a ocupat poziția de director de vanzari la Transglobal, DNA Software și DATACOM.

R: Ce inseamna solutiile de securitate pentru Veracomp?
CM: Inseamna foarte mult! Inca de la inceput, componenta de securitate a fost una dintre cele mai importante din portofoliul Veracomp. In acest moment pe acest segment de solutii avem o serie branduri leader: F5, Fortinet, RSA si isheriff (fostul eTrust).Practic, in proiectele de securitate pe care le avem acoperim prin brandurile din portofoliul intregul spectru de necesitati! De altfel, acest lucru se reflecta in mod direct si in cifra de afaceri realizata. Aproape 60% din proiectele incheiate si veniturile realizate in 2014 au fost realizate cu solutiile de securitate – si, partial, networking ar trebui sa adaug pentru claritate. Adaug networking pentru ca, de cele mai multe ori, cele doua se completeaza in procente variabile – nu doar la nivel de proiect, dar chiar si la nivel de produs. Este destul de dificil de facut o separare completa, iar faptul ca layerul de securitate apare tot mai pregnant nu numai in solutiile de networking, dar si in cele de stocare sau chiar telecomunicatii – spune ceva!

R: Cum se raporteaza Veracomp la conceptul de cybersecurity?
CM: Extrem de bine!
Notiunea de cybersecurity este un concept care inglobeaza tehnologii, procese si metode menite sa protejeze sistemele informatice si datele impotriva accesului neautorizat. F5, Fortinet si RSA sunt recunoscuti la nivel global pentru strategia, eforturile si investitiile pe care fac in cercetare-dezvoltare in domeniul cybersecurity. De altfel, Fortinet este unul din fondatorii Anti Cyber Threat Alliance (cyberthreatalliance.org). Ca atare, prin intermediul producatorilor pe care ii detinem in portoliul de solutii ne pozitionam cel putin bine pe acest segment.

R: Cum se traduce Cybersecurity din experienta clientului final?
CM: In mod cert, in ultimii 2 ani, la nivel global dar si local, spectrul amenintarilor cibernetice a capatat o complexitate mult mai mare. Mai mult, s-a marit considerabil si suprafata de atac, prin expunerea in Internet a diverselor aplicatii si servicii.Ca si exemplu, atacurile volumetrice asupra infrastructurii, de natura bruta, au fost inlocuite cu atacuri „multi stage”, sofisticate, a caror detectie este mult mai dificila.

R: Care credeti ca sunt tendintele 2015 in domeniul cybersecurity?
CM:  Cand vorbim de cybersecurity, de fapt vorbim de noile atacuri si metode aparute. Atacurile au evoluat foarte mult in ultimii ani de la atacuri brute la atacuri sofisticate de tip APT, iar in ultimul timp putem vorbi de atacuri orchestrate politic de tari, ca instrumente politice. In climatul geo-politic existent, Romania poate deveni o tinta a acestui nou tip de atac. Faptul ca gradul de sofisticare al atacurilor a crescut este foarte evident in banking. Se observa evolutia clara de la atacurile cu troieni ca: Zeus, Citadel sau Conficker, la variante de atacuri customizate pentru anumite banci, ca si exemplu fiind multiplele atacuri din 2014 ale malware-ului Dyre. Atacurile directionate indica o cunoastere foarte buna de catre atacatori a masurilor de protectie existente in infrastructura atacata. Este vizibil un alt trend care va evolua rapid, si in Romania de altfel, si anume atacurile asupra sistemelor de operare si aplicatiilor dispozitivelor mobile.

R: Care este componenta cel mai dificil de gestionat intr-un proiect de securitate?
CM: In anii facultatii, perioada cea mai dificiala era, invariabil, sesiunea. Au trecut ‘cativa’ ani de atunci, iar acum privesc lucrurile cu totul diferit: atata timp cat totul depinde de tine si, in mare, stii la ce sa te astepti, solutia este simpla, iar cheia sta in planificarea corecta. La fel si daca variabilele sunt oamenii din jurul tau: increderea, intelegerea si sustinerea sunt principii elementare in viata, nu doar in business. Acestea ajuta enorm la depasirea situatiilor sensibile. Adevarata lupta –indiferent de tipologia proiectului – nu se reduce la bugete sau idetnificarea si implemetarea solutiei; adevarata lupta se duce cu sistemele. Componenta financiara este, fara indoiala, una dintre cele mai dificile de gestionat, mai ales in contextul actual: ca distribuitor avem responsabilitatea de a finanta proiectele, care in multe cazuri sar din schema si termenele uzuale, asumate de colegi din alte tari europene. Cu toate acestea, suntem – la ora actuala – unul dintre cei mai stabili distribuitori de solutii din piata romaneasca, iar aici este ‘meritul’ apartenetei la o suprastructura.     

R: Care sunt obiectivele Veracomp pentru 2015?
CM: Am inceput 2015 in forta. Vom investi masiv in echipa propria echipa pe care intentionam sa o crestem semnificativ pana la sfasitul anului. Vom face eforturi sustinute pentru a realiza cat mai corect, complet si rapid transferul de competente la nivelul retelei de parteneri.Am pregatit, in acest sens, un calendar de evenimente, seminare si traininguri pe care vrem sa organiza pentru a ne atinge acest obiectiv. Aceste doua componente – dezvoltarea echipei si transferul de competente – sunt elemente esentiale ale strategiei noastre. In ceea ce priveste cifra de afaceri: am incheiat 2014 cu o crestere de aproximativ 50% fata de 2013. Si in 2015 ne dorim sa mentinem un trend ascendent, dar cu valori procentuale mai modeste decat in anul precedent: prioritatea este sa consolidam!

1676

tutu

Gabriel Ţuţu

Administrator al firmei AL FAYOUM BUISNESS SRL – specializată
în activități de Business Intelligence și Consultanță de securitate – NATO Cod NCAGE – 1GGFL. Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contraspionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – ANESPP, licență nr. 0269/14 – analiză de informații și antiterorism cibernetic.

Amenințarea “insideri-lor” aflați în poziții de încredere, cu acces la aspecte critice ale inrastructurii de Tehnologia Informației dintr-o organizație, fie guvernamentale, militare, sau din sectorul privat, care pot să compromită în mod intenționat și să saboteze secretele acestora sau informații protejate de drepturi proprietare, a devenit una dintre principalele amenințări cu care se confruntă securitatea națională și infrastructura critică încă de la ascensiunea internetului în mijlocul anilor 1980. Un motiv pentru creșterea acestei amenințări este explozia masivă și exponențială a disponibilității informațiilor protejate de drepturi proprietare sau clasificate în cadrul organizațiilor. Un al doilea factor de risc cheie este ușurința relativă a accesului profesioniștilor “de încredere” din domeniul IT care operează în aceste medii “securizate”, începând de la operatorii care introduc date și până la administratorii de rețea.

Pentru a accentua acești factori de risc, există o ideologie extremistă în curs de dezvoltare, potrivit căreia toate informațiile, inclusiv informațiile secrete sau protejate de drepturi proprietare ale unei organizații trebuie să fie accesibile în mod neîngrădit tuturor. Julian Assange, creatorul celebrului Wikileaks este, probabil, exponentul cel mai important al acestei mantre ideologice. Această ideologie privind deschiderea completă insistă asupra faptului că autoritatea guvernamentală ar trebui să fie transparentă permanent și să mențină această transparență chiar și în perioadele de urgență națională, atunci când statele sunt amenințate de către grupări teroriste care au intenția de a lansa atacuri împotriva infrastructurilor critice sau asupra populației. “Secretele nasc și susțin corupția”, spune această ideologie. Aceasta a fost motivația lui Assange atunci când a creat WikiLeaks în 2006, ca produs derivat din activitatea “insideri-lor”, de descărcare a informațiilor secrete sau protejate de drepturi proprietare, a căror identități au fost criptate pentru a le proteja de potențiale expuneri sau de urmărire penală.

În această nouă tendință de dezvoltare a “amenințarilor provenite de la insider-ii din domeniul Tehnologiei Informației”, care sunt reprezentați de cele mai multe ori de persoane fizice care desfășoară activități de sorginte radicală în țările occidentale, se înscriu în prezent contributorii la activitățile ilegale ale site-urilor militante precum Wikileaks, care expun în mod intenționat documente secrete ale guvernelor occidentale, precum și grupurile de tip hacktivist, cum ar fi “Anonymous”, care s-au angajat în operațiuni de razboi cibernetic împotriva unor ținte occidentale.

Definirea amenințării insider-ilor

O “amenințare din interior” este o trădare a încrederii de către persoanele fizice care sunt angajate în cadrul organizațiilor si cărora li se oferă acces la componentele IT critice, ceea ce le permite să compromită în mod intenționat aceste organizații, cu scopul de a sabota capacitatea lor de a-și îndeplini misiunile. Astfel de acte de trădare includ, fără a se limita la, spionaj în numele unui guvern străin sau a unei afaceri concurente, divulgarea neautorizată a informațiilor secrete sau protejate de drepturi proprietare către mass-media, precum și orice altă activitate care ar conduce implicit la degradarea resurselor sau a capacităților operaționale ale unei organizații. Activitatea unui “insider” ar putea fi catalogată drept o acțiune individuală, singulară sau în complicitate cu alte persoane, fie din interiorul sau din afara organizației.

Tipuri de “amenințări din interior”

În domeniul tehnologiei informației, există trei categorii generale de posibile amenințări din interior.

Prima amenințare implică furtul de secrete sau a de drepturi proprietare, furturi care pot trece neobservate timp de luni sau chiar ani.

Al doilea tip de amenințare o reprezintă eliminarea în mod ilegal și transferul informațiilor protejate de drepturi proprietare de la o organizație către un concurent în afaceri.

A treia amenințare este reprezentată de diseminarea instantă a unui “volum mare” de informații secrete ale unei organizații către un terț, cum ar fi o organizație media sau site-uri militante, în vederea devoalării acestora la nivel global, în scopul de a deteriora grav integritatea organizațională a țintei vizate

Identificarea marker-ilor personali și de comportament pe care îi produc “insider-ii

Pe baza profilurilor publicate ale persoanelor care au devenit “amenințări din interior” la adresa țărilor sau organizațiilor lor, cum ar fi Bradley Manning și Edward Snowden, au fost evidențiați mai mulți markeri cheie. Acești indicatori de risc pot fi defalcați a fi de natură  personală și/sau comportamentală. În timp ce indicatorii de risc de natură personală se referă la caracteristicile psihologice ale unui individ care predispun la risc, indicatorii de risc de natură comportamentală caracterizează ansamblul activităților ”îngrijorătoare” ale unor astfel de persoane, care, analizate în ansamblu, generează un semnal de avertizare potrivit căruia un “insider” poate fi angajat într-un furt metodic împotriva unei organizații sau a într-o activitate de trădare împotriva țării.

Trebuie subliniat faptul că nu există un indicator de risc unic care să fie determinant în identificarea unui potențial “insider” care amenință o organizație. Acești indicatori de risc trebuie să fie luați în considerare în ansamblu, fiind cunoscut faptul că fiecare dintre aceștia ar putea suferi schimbări, într-o direcție sau alta în timp, fie prin reducea intensității lor, fie prin escaladarea lor și generarea în timp a unei situații îngrijorătoare. Mai mult decât atât, un număr mare de persoane din cadrul unei organizații ar putea prezenta o serie de indicatori de risc la un moment dat, dar care nu vor depăși pragul deținerii informației ”din interior” către amenințarea realizată. Cu toate acestea, cele mai multe dintre persoanele care devin trădători ai organizației sau țării lor au fost semnalate ulterior descoperii lor că au afișat numeroși indicatori de risc personal și de comportament în timpul fazelor de pregătire pre-incident, indicatori care ar fi putut și ar fi trebuit semnalați în timp util.

Identificarea preventivă a amenințării din interior în domeniul Tehnologiei Informației

Pentru a identifica preventiv un individ susceptibil într-o organizație, care pare a se fi înscris pe o traiectorie de a deveni ”insider” este crucial pentru profesioniștii de securitate să dezvolte mecanisme de alertă privind indicatorii de risc referitori la caracteristicile personale și de comportament pe care o persoană îi posedă și îi manifestă în activitățile cotidiene. O astfel de conștientizare a situației necesită, de asemenea, înțelegerea profilurilor psihologice și comportamentale ale persoanelor de tipul Bradley Manning și Edward Snowden, care au progresat de-a lungul acestor traiectorii de ”trădători din interior”.

Pentru a preveni un incident împotriva unei organizații sau guvern generat de o ”amenințare din interior”, profesioniștii de securitate trebuie, prin urmare, să dezvolte un mecanism de conștientizare cuprinzătoare și detaliată a tuturor indicatorilor de risc personal și de comportament care ar putea afecta angajații lor.

În primul rând, ar trebui instituite la angajare procese de screening adecvate, care să urmărească indicatorii de risc menționați. În al doilea rând, infrastructura de comunicații internă a organizației ar trebui să fie monitorizată în mod regulat cu privire la activități potențial suspecte. În al treilea rând, colegii și managerii unui angajat cu potențial de risc constituie prima linie de apărare împotriva unor astfel de persoane care ar putea deveni o “amenințare din interior” la adresa organizației lor. Toți angajații trebuie să fie instruiți pentru a ajuta la protejarea securității organizației lor, de a raporta orice comportamente suspecte care ar putea fi asociate cu un potențial risc de compromitere a informațiilor gestionate în organizație.

În cele din urmă, una dintre cele mai eficiente metode pentru a învinge amenințarea de tip ”insider” este de a reduce în mod substanțial factorii organizaționali care ar putea crește ușurința unui “insider” de a transmite clandestin în exterior informații sensibile. Regulamentele stricte trebuie să prevadă cu claritate drepturile de acces la informații clasificate precum și procedurile prin care aceste informații pot să fie extrase și vehiculate.

Mai presus de toate, organizațiile trebuie să promoveze în rândul angajaților lor o cultură bazată pe un puternic simț al responsabilității individuale și colective pentru a proteja informațiile sensibile, care rezultă dintr-un angajament ferm de identificare cu obiectivele și valorile organizației.

EDITIE SPECIALA – INTERNET OF THINGS

1807
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1504
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2809
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1597
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1530
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1579
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...