Monday, December 17, 2018
Numarul 2

343

În ultimii 25 de ani, de la apariția web-ului, asistăm la formarea unei „lumi paralele”, incompletă deocamdată, pentru că nu tot ce există în lumea reală are deja un omolog în spațiul cibernetic. Lumea virtuală a schimbat totul: comunicarea, accesul la informații, învățarea, cercetarea, asistența medicală, comerțul, administrarea afacerilor, transportul și administrația publică, și cel mai important: ne-a schimbat comportamentul. Doar motivațiile se păstrează, pentru că acțiunile își au originea și efectele în lumea reală, chiar dacă mijloacele sunt parțial sau integral electronice.

Civilizaţia noastră are câteva mii de ani vechime și nu este nici pe departe perfectă, spaţiul cibernetic are doar 25 de ani, deci nu putem avea pretenţia să fie dominat de echilibru si armonie. Mai mult, nu exista nicio barieră, tehnologică sau morală, care să permită doar aspectelor „bune” ale vieţii reale să-și dezvolte un „alte-ego” electronic, și asta ar putea fi o explicaţie, puţin filosofică, pentru ameninţările care nu au întârziat să apară, să se manifeste și să evolueze în spaţiul cibernetic.

autor:
Toma Cîmpeanu

CEO Asociaţia Naţională pentru Securitatea Sistemelor Informatice

Venind în completarea multitudinii de articole puternic teoretizate, prin seria de materiale pe care v-o propunem dorim să explicăm și să exemplificăm manifestările și consecinţele infracţiunilor cibernetice.

Dintre principalele evoluţii voi menţiona aici două:

1 Entitățile ostile: în locul programatorului care concepea un virus de „amoru’ artei” sau ca să demonstreze „că poate”, au apărut grupările de criminalitate informatică, transfrontaliere și multidisciplinare, care urmăresc câștiguri materiale în această „industrie” cu o rată de profitabilitate estimată la 1500%, grupările hacktiviste și teroriste, precum și actorii statali, singurii care dispun de capabilităţile tehnice și resursele financiare pentru realizarea de malware sofisticat. Din acest punct de vedere, România, ca parte a NATO și UE, se confruntă cu aceleași ameninţări ca și aliaţii noștri.

(IBM X-Force)

2 „Industria” Cybercrime se maturizează și apare specializarea. Identificăm acum finanţatori, proiectanţi/dezvoltatori, distribuitori și cumpărători. De asemenea, asistăm la dezvoltarea Cybercrime-as-a-Service în tandem cu finanțele subterane: o piaţă neagră pe care se comercializează atât instrumentele de atac cibernetic (care se pot achiziţiona sau închiria) cât și rezultatele, să le spunem „roadele” infracţiunilor cibernetice; și pentru că nimic nu este gratis, infractorii cibernetici apelează la instrumente de plată și optează pentru cele care asigură anonimatul, ireversibilitatea si viteza transferului. Pentru că există o astfel de piaţă, infractorii cibernetici din ziua de azi nu mai au nevoie de cunoștinţe tehnice specializate ci doar de un card de credit, putând să achiziţioneze malware ca atare sau să angajeze serviciul de exploatare/utilizare al acestuia (mai jos vor fi oferite exemple concrete).

Cybercrime-as-a-Service îmbracă mai multe forme (o clasificare McAfee):

– Reasearch-as-a-Service – în acest caz nu se poate vorbi neapărat de o piaţă neagră, ci mai degrabă gri. Aici regăsim organizaţiile care identifică și prezintă vulnerabilităţi 0-day către companii selectate după anumite criterii de eligibilitate. Totuși, nu se exclud intermediarii care nu mai aplică aceleași criterii stricte, informaţia putând ajunge la entităţi care o folosesc ulterior în scopuri infracţionale. De asemenea, în aceeaşi categorie includem agregarea de informaţii în baze de date care sunt ulterior folosite în alte scopuri decât cele declarate iniţial. Astfel, în oferta unor adevărate magazine virtuale ilegale găsim:

– Crimeware-as-a-Service – identificarea și dezvoltarea de kit-uri de exploatare, instrumente suport (keyloggers, bots), soluţii de mascare a conţinutului malware (cryptors, polymorphic builders), roboţi și chiar dispozitive hardware conexe (skimmers).

– Cybercrime Infrastructure-as-a-Service – odată ce infractorii cibernetici obţin instrumentele necesare, pentru atacul propriu-zis aceștia pot închiria reţele de calculatoare pentru un atac DDoS, pentru transmiterea cu succes a unui număr uriaș de emailuri, sau pot accesa platforme pe care să-și hosteze conţinutul malware.

– Hacking-as-a-Service – având un cost superior alternativei în care se achiziţionează componentele individuale, „cumpărarea” unui atac reprezintă varianta care necesită cele mai puţine cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credenţiale, date despre cardurile de credit etc.

Finanțele subterane s-au dezvoltat în special pentru că infractorii (și nu ne rezumăm la cei cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.

Economia digitală subterană, ca orice economie, se bazează pe fluxul liber de fonduri. Varietatea mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază faţă de lumea reală, plăţile fizice fiind efectuate către monede digitale nedetectabile.

Multe mecanisme de plată cu aspect important on-line oferă un număr de caracteristici care le face atractive ca și instrument financiar pentru organizaţiile criminale – anonimatul, transferuri rapide, ieftine și ireversibile și tranzacțiile financiare disimulate.

În multe privinţe, unele mecanisme de plată pot oferi un nivel de anonimat similar banilor lichizi, dar într-un mediu on-line. Europol a realizat o statistică privind mijloacele de plată preferate pentru anumite tipuri de operaţiuni:

Exemplu – economia phishing-ului

Phishingul este una dintre cele mai des întâlnite infracţiuni informatice, urmărind obţinerea unor informaţii personale care ulterior să fie folosite pentru obţinerea de foloase materiale. Phishingul imbracă multe forme, în exemplu ne vom referi la situaţia unui infractor fără cunoştinţe tehnice profunde dar cu abilităţi de navigare în darknet, acolo unde se găsesc magazinele virtuale amintite mai sus (este un exemplu mult simplificat, care surprinde însă principalele aspecte specifice).

Am văzut că acesta poate achiziţiona o bază de date de 10 milioane de adrese de mail din Florida cu mai puţin de 1000 dolari. Către aceste adrese transmite un mesaj email în care pretinde că este un reprezentant al statului, dintr-o instituţie de supraveghere bancară reală, şi solicită cetăţenilor să-şi introducă datele privind contul și cardul, pentru a valida informaţiile transmise de bănci.

Un astfel de mail este în general blocat de filtrele anti-spam în proporţie de 99% (conform CISCO Annual Report 2015), aşa că, pentru a diminua efectul filtrelor, subiectul nostru achiziţioneză cu aproximativ 5000 dolari un mecanism de livrare emailuri de pe un număr mare de adrese IP (volum mic per adresă IP; așa numitul spam snowshoe). Rata de succes în acest caz este de 10% (filtrele opresc doar 90%, sursă www.getcybersafe.ca).

Evident, nu e suficient ca email-ul să ajungă la destinatar, ci trebuie să fie suficient de credibil (și destinatarul suficient de naiv) ca să-l determine să-și transmită datele. Jumătate din mail-uri sunt deschise și 10 % dintre destinatari dau click pe link-ul din mail (www.getcybersafe.ca).

Așadar, infractorul din acest exemplu trebuie sa-și construiască o pagină web care să semene cat mai mult cu cea originală, a instituţiei de supraveghere bancară a carei identitate o asumă, iar numele de domeniu sa fie de asemenea foarte asemănător. Pentru toate acestea considerăm un cost de 10.000 dolari. Pe această pagină, destinatari care au fost păcăliţi îşi vor lăsa datele privind cardurile şi conturile lor. Dintre cei care ajung pe pagina web, doar 10% îşi completează datele, natura infomaţiilor îi descurajează pe cei mai prudenţi 90% (www.getcybersafe.ca).

În cazul nostru concret, infractorul fără studii de specialitate obţine 5.000 de seturi de date privind carduri bancare, pe care le comercializează, la rândul său, de data aceasta de pe poziţia de vânzător şi nu de cumpărător (ca până acum), prin magazinele virtuale ilicite din darkweb, obţinând în medie 60 dolari/buc conducând la un total de 300.000 dolari.

Conform statisticilor Europol, în acest caz plăţile se fac cel mai adesea în Bitcoin.

Așadar:

  • 10 milioane de adrese mail – achiziționate inițial cu 1000 dolari
  • 1 milion de mail-uri ajung la destinație (10%, prin spam snowshoe, cost expediere 5000 dolari)
  • 500.000 mail-uri sunt deschise (jumatate dintre cele care trec de filtre)
  • 50.000 de destinatari acceseaza adresa web din email (10% dintre cei care deschid mail-ul)
  • 5.000 de destinatari introduc datele solicitate în pagina web (10% dintre cei care ajung pe pagina web falsă)
  • Cost pagină web 4=10.000 dolari Obs. Procentul celor păcăliți este de 0.05% din totalul destinatarilor
  • 5.000 de seturi de date privind carduri bancare = 300.000 dolari (60 dolari/buc)

Sumarizând:

  • Total investiție = aproximativ 16-20.000 dolari • Venituri = 300.000 dolari
  • Profit = 1500%!

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft. De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național „România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

409

Rolul Internetului în ziua de astăzi nu poate fi neglijat. Acesta facilitează comunicarea rapidă și cost eficientă dintre oameni, oferind oportunități vaste pentru afaceri, cetățeni și guverne pentru a-și administra activitățile. Cu toate acestea, Internetul devine un mediu tot mai atractiv pentru diverse elemente malițioase cum ar fi: Script Kiddies, „Hacktivists”, crima organizată, terorismul și intruși sponsorizați de stat. Acestea reprezintă grupuri de actori de amenințare, care au diferite capacități, motive și metode în urmărirea scopurilor lor.

Dezvoltarea rapidă a tehnologiilor oferă răufăcătorilor oportunităţi variate de a găsi cea mai potrivită și cost avantajoasă cale de intruziune. Atât sectorului public, cît și celui privat îi vine tot mai greu și mai greu să facă faţă provocărilor de securitate cibernetică. Timpurile cînd organizaţiile erau în stare să reziste de sine stătător la presiunile atacatorilor cibernetici au trecut.

autor:
Natalia Spinu

Incidentele cibernetice recente care au avut loc în marele companii cum ar fi Sony, eBay și JP Morgan, la fel ca și în cadrul organizaţiilor guvernamentale cum ar fi Oficiul de management al personalului SUA, care au investit milioane de dolari în securitatea cibernetică, au demonstrat cît de reale sunt ameninţările. Dar ce să zicem despre companiile mai mici, care au capacităţi mai reduse în protecţia mediului său de afaceri?

Din acest motiv cooperarea și schimbul de informaţii joacă un rol tot mai important în asigurarea securităţii cibernetice. Beneficiile unor astfel de parteneriate sunt evidente – schimbul de informaţii permite de a consolida capacităţile de detectare a tuturor membrilor participanţi într-o reţea unică de informare, facilitează transferul rapid a cunoștinţelor în domeniul ameninţărilor, previne propagarea ameninţărilor și reduce dublarea eforturilor.

Oricum, implementarea componentei de schimb de informaţii în mediul corporativ sau guvernamental nu este o sarcină atît de ușoară cum s-ar fi părut. Există multe provocări din partea sectorului public și cel privat, care împiedică atingerea scopului comun – de a fi mai rezistent atacurilor cibernetice. Cîteva din ele ar fi:

Inițiativa. Cine trebuie să iniţieze și să coordoneze procesul? Trebuie să fie guvernul sau lumea afacerilor? În general, publicul consideră lumea afacerilor de a fi forţa motrice a dezvoltării tehnologiilor, cea mai avansată în domeniul securităţii cibernetice și acea forţă care„știe cel mai bine ce de făcut și cum de făcut”. În contrast cu sectorul privat, sectorul public, care pe de o parte este o piaţă pentru servicii, pe de alta parte crede «De ce ar trebui să aibă grijă de întreaga naţiune?».

Concurența de piață. Companiile private ar putea percepe cunoașterea ameninţării ca avantaj competitiv. Din alt punct de vedere, instituţiile de reglementare ar putea interpreta schimbul de cunoștinţe ca un comportament anticoncurenţial.

Reputația. „Ok. Dacă voi dezvălui informaţia privind ameninţarea și o voi face publică, cine va avea încredere apoi în serviciile pe care le prestez?” Temerile de a aduce daune reputaţiei sale în urma divulgării informaţiei va avea o reflecţie negativă în mass-media.

Confidențialitate. În unele ţări, legislaţia în domeniul protecţiei datelor naţionale consideră adresa Internet Protocol (IP) și alte elemente ale informaţiei cibernetice ca date cu caracter personal, care nu pot fi împărtășite fără acordul explicit al proprietarului său.

Autoritate. Cine din cadrul unei companii sau a unei instituţii ar trebui să deţină autoritatea de a dezvălui informaţiile? Ar trebui să fie reprezentantul managementului de nivel superior sau un specialist din domeniul securităţii IT?

Confidențialitate. Sunt diferite tipuri de secrete: secret de stat, secret din domeniul afacerilor, secret personal, și altele. Ce informaţie anume poate fi dezvăluită pentru, pe de o parte, a atinge scopurile comune, dar și pe de altă parte a păstra secretele ce ţin de aceste informaţii?

Capacitate. Nu este de ajuns doar de a face parte dintr-o iniţiativă de schimb de informaţii. Pe de o parte, organizaţia trebuie să deţină capacităţi umane și tehnice pentru a raporta comunităţii informaţia referitor la ameninţări, iar pe de altă parte să fie în stare să utilizeze informaţia recepţionată.

Interesant este modul în care diferite state abordează aceste probleme. Potrivit unui studiu recent1, realizat de Agenţia Uniunii Europene pentru Securitate Informaţională și de Reţea (European Union Agency for Network and Information Security – ENISA), ţările membre ale uniunii europene, la fel ca și Mediul Economic European (European Economic Area – EEA), ţările membre a Asociaţiei Europeane de Liber Schimb (European Free Trade Association – EFTA), s-au examinat diverse modalităţi de promovare a schimbului de informaţii în domeniul cibernetic. De bază sunt „legislaţia de comandă și control”,„reglementare prin cooperare”,„auto-reglementare”.

Abordarea prin „legislaţie de comandă și control” presupune aplicarea unor norme legale obligatorii în legislaţia naţională, care identifică părţile care trebuie să distribuie informaţia despre incidente cibernetice anumitor entităţi. Un bun exemplu de aplicare a acestor norme este Directiva 2009/140/EC, prin care au fost introduse amendamente în legislaţia UE ce ţine de comunicaţii electronice și de prestatorii serviciilor de comunicaţii electronice publice pentru a „notifica organele regulatorii competente despre încălcările în domeniul securităţii sau pierderii integrităţii care a avut un impact semnificativ asupra reţelelor sau serviciilor”2.

Abordarea prin prisma „reglementării bazate pe cooperare”, presupune existenţa unui organism de reglementare care ar facilita în mod direct crearea centrelor sectoriale de analiză şi schimb de informaţii (ISACs), sub forma unor parteneriate public-private (PPP) axate pe schimbul de informaţii la nivel intersectorial. Acestea reprezintă comunităţi închise, în unele cazuri, cu un număr limitat de participanţi, unde schimbul de informaţii, de regulă, se realizează în bază de voluntariat în cadrul unor reuniuni comune, organizate de mai multe ori pe an, fiind coordonate de instituţiile guvernamentale. Un exemplu de iniţiativă bazată pe “reglementare prin cooperare” revine Centrului Naţional privind Securitatea Cibernetică (NCSC) a Olandei care a organizat centre sectoriale de analiză şi schimb de informaţii pe aşa domenii ca apa, energia, finanţe şi altele; ISACs-uri similare au fost organizate de către Centrul guvernamental pentru protecţia infrastructurii naţionale a Regatului Unit, și altele.

În cele din urmă, o abordare bazată pe „auto-reglementare” presupune iniţiative ce promovează şi susţin schimbul de informaţii ce urmează a fi redirecţionate în concordanţă cu statutul fiecărei organizaţii în parte, indiferent dacă acestea sunt: guvernamentale sau private, comerciale sau non-profit, naţionale sau internaţionale. De regulă, respectiva abordare este preluată şi utilizată de către instituţiile apropiate sectorului de securitate cibernetică, precum Echipele de Răspuns la Incidentele legate de Securitatea Calculatoarelor (CSIRT-uri), companii în domeniul securităţii informaţionale sau comunităţile de experţi în domeniu. Iniţiative europene sesizabile de acest gen sunt „Centrul Industrial Cybersecurity” (CCI) din Spania, „N6 Network Security Incident Exchange” din Polonia, „Asociaţia de experţi de infrastructură critică” din Italia și altele.

Există, de asemenea, şi o alternativă în abordarea problemelor cu privire la partajarea de informaţii cibernetice. Spre exemplu, companiile şi-ar putea avansa poziţionarea în domeniul securităţii cibernetice prin obţinerea de informaţii ameninţătoare din surse comerciale sau de tip „open source”. Cu toate acestea, în primul caz, compania ar urma să deţină un buget semnificativ de (~ 250 000 euro pe an și mai mult), în al doilea caz se necesită din partea companiei o capacitatea de a procesa informaţia în formă brută, în lipsă de fiabilitate, înșelătoare, incompletă și irelevantă în vederea transformării ulterioare a acesteia în ceva atacabil.

În Republica Moldova, schimbul de informaţii privind securitatea cibernetică este la o etapă incipientă. Cu toate acestea, primele acţiuni în această direcţie au fost realizate în anul 2009, prin adoptarea legii privind prevenirea şi combaterea criminalităţii informatice. În prezent, schimbul de informaţii se organizează ad hoc, ca reacţie de răspuns și, în mare parte, corelate cu investigarea infracţiunilor cibernetice. În comparaţie cu ţările Uniunii Europene, în Republica Moldova se aplică abordarea bazată pe „legislaţia de comandă şi control” şi „auto-reglementarea” în vederea soluţionării dificultăţilor privind schimbul de informaţii.

„Legislaţia de comandă şi control” la nivel naţional, privind reglementarea schimbului de informaţii constă dintr-o singură lege (Legea nr. 20 din 03.02.2009 „privind prevenirea și combaterea criminalităţii informatice”) și trei decizii guvernamentale (Hotărîrea Guvernului nr. 735 din 11.06.2002 „cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova “, Hotărîrea Guvernului nr. 857 din 31.10.2013 „privind Strategia naţională de dezvoltare a societăţii informaţionale «Moldova digitală 2020» și Hotărârea Guvernului nr. 811 din 29.10.2015 cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”). Per ansamblu, legislaţia obligă furnizorii de servicii electronice (ESP) să raporteze către organismele naţionale competente, incidentele privind securitatea cibernetică şi a criminalităţii informatice, permite instituţiilor competente să solicite de la ESPs şi autorităţile administraţiei publice informaţii necesare pentru derularea investigaţiei, stabilirea obiectivelor de dezvoltare precum şi încurajarea schimbului de informaţii cibernetice la nivel public şi privat inclusiv susţinerea activităţilor de cooperare.

Aplicabilitatea abordării bazate pe „auto-reglementare” la nivel naţional datează din 2010, odată cu înfiinţarea Echipei de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD. Iniţial, rolul echipei se limita doar la asigurarea unui răspuns la incidentele de securitate cibernetică din cadrul reţelelor guvernamentale. Cu toate acestea, echipa CERT-GOV-MD de la bun început a stabilit relaţii bazate pe încredere cu organizaţiile naţionale competente în domeniu (Serviciul de Informaţii şi Securitate, Ministerul Afacerilor Interne, Procuratura Generală, Centrul pentru Combaterea Crimelor Informatice și altele), precum și organizaţii internaţionale (OSCE, UNDP, IMPACT și altele), devenind membru al comunităţii internaţionale CSIRT (Reprezentant de încredere și acorduri bilaterale cu alte CSIRT-uri) obţinând astfel pe de o parte încrederea din partea canalelor de comunicare cu care operează iar pe de altă parte acces la surse informaţionale valoroase de natură ameninţătoare. Realizările menţionate, plasează CERT-GOV-MD într-o poziţie unică în vederea soluţionării problemelor cheie privind schimbul de informaţii cibernetice prin aplicarea abordării bazate pe „auto-reglementare”. În acest scop, Programul naţional de securitate cibernetică a Republicii Moldova deligă către CERT-GOV-MD sarcina de a crea un Sistem naţional de conştientizare a ameninţărilor cibernetice în timp real.

În conformitate cu planul stabilit de Programul Naţional de securitate cibernetică a Republicii Moldova, dezvoltarea și punerea în aplicare a unui astfel de sistem se preconizează a fi realizată în perioada anilor 2016 – 2017. Cu toate acestea, din cauza resurselor umane extrem de limitate cuplate cu un volum mare de muncă a echipei CERT-GOV-MD, succesul realizării acestui planul în termenul prestabilit nu este cert.

Abordarea prin prisma unei „reglementări bazate pe cooperare”, presupune dorinţa întreprinderilor de a coopera în vederea soluţionării problemelor comune ce ţin de securitatea cibernetică. În acest context, o prioritate a Guvernului ar fi susţinerea întreprinderilor în direcţia atingerii obiectivelor stabilite. Cu toate acestea, în Republica Moldova, acest cult al cooperării reciproce la nivel de întreprinderi pe tema securităţii cibernetice l-a moment nu s-a conturat clar şi nici nu este evidentă măsura în care acestea sunt dispuse să se implice şi să acţioneze.

Reieșind din prevederile Strategiei Naţionale „Moldova digitală 2020” privind „Stimularea schimbului reciproc de informaţii privind ameninţări, vulnerabilităţi, riscuri, precum şi incidente şi atacuri cibernetice între sectorul public şi privat “, CERT-GOV-MD a întreprins o încercare în a depăși acest „punct mort” semnalat la nivel de comunicare, organizând astfel în anul 2015, prima conferinţă dedicată rolului PPP-ului în domeniul securităţii cibernetice. Conferinţa a reunit experţi de talie mondială, reprezentanţi ai instituţiilor implicate în combaterea incidentelor privind securitatea cibernetică şi a criminalităţii informatice, cei mai mari furnizori de servicii Internet din Moldova, parlamentarii şi companiile private cointeresate de astfel de parteneriate, cu scopul de a obţine schimb de experienţă și viziuni în domeniul securităţii cibernetice, înlăturarea barierelor privind eventuale neînţelegeri, stabilirea unor puncte de contact și crearea cadrului necesar pentru viitoarele cooperări. Totuși, deși rezultatele aceste iniţiative din partea CERT-GOV-MD, au confirmat prezenţa problemei susmenţionate, sectorul privat rămâne a fi mult mai interest în aşi vinde produsele şi serviciile în detrimentul soluţionării problemei naţionale de Securitate cibernetică. Şi totuși, la finele evenimentului din 2015, un reprezentant al Asociaţiei sectorului IT a remarcat: „În orice caz, afacerile IT în Moldova sunt deschise pentru un dialog constructiv”.

Internetul a devenit un mediu virtual extrem de periculos. În ultimii ani, tot mai multe întreprinderi specializate în domeniul securităţii cibernetice au ajuns victime a infractorilor cibernetici. Cu siguranţă, doar prin cunoașterea surselor ameninţătoare în continua lor schimbare, obţinem un scut indispensabil în asigurarea securităţii organizaţiei. Cu toate acestea, sunt foarte puţine întreprinderi în lume care sunt capabile şi dispun de mecanismele necesare de a se asigura corect şi sigur împotriva atacurilor cibernetice din surse proprii. Prin urmare, devine din ce în ce mai popular schimbul reciproc de informaţii cu caracter ameninţător, inclusiv depășirea acestor dificultăţi şi vulnerabilităţi cu implicarea unor costuri minime şi obţinerea de eficienţă maximă.

Și totuși, diversitatea specificului fiecărei naţiuni în parte implică o abordare diferită a problemelor de securitate cibernetică, inclusiv aplicarea acestora în rândul ţărilor europene. Revenind la cazul Republicii Moldova, care ar fi poziţionarea acesteia în rândul acestor ţări?

Potrivit cercetărilor reflectate în acest articol, concluzionăm că Republica Moldova este abia la etapa iniţială în direcţia soluţionării şi depășirii cu succes a vulnerabilităţilor privind atacurile cibernetice utilizând ca instrument: comunicarea şi schimbul de informaţii. Experienţa acumulată de-a lungul timpul a demonstrat că aplicarea unui set de măsuri administrativ-legislative diferenţiate pentru fiecare ţară în parte nu va genera rezultatul dorit. În același timp, sectorul privat nu este pregătit să colaboreze în domeniul schimbului de informaţii şi experienţă privind securitatea cibernetică din moment ce nu obţin beneficii de ordin economic.

Cele menţionate anterior, reprezintă un argument solid referitor la identificarea „auto-reglementării” drept cea mai aplicabilă abordare la nivel naţional. Pași siguri în această direcţie au fost făcuţi de Echipa de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD, care pe de o parte a obţinut relaţii solide cu comunităţile locale şi cele internaţionale iar pe de altă parte deţine acces la surse valoroase de informaţii ameninţătoare. În pofida realizărilor deja menţionate, succesul obiectivelor stabilite este unul incert din moment ce resursele CERT-GOV-MD sunt extrem de limitate.


1 European Union Agency for Network and Information Security, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (Heraklion: ENISA, 2015).
2 Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU, 2009).

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

386

Încă de la începutul anilor 1990, odată cu creșterea semnificativă a comunicaţiilor digitale și a Internetului, se vorbește tot mai mult de noţiuni precum realitatea virtuală, spaţiul virtual sau spaţiul cibernetic. Interacţionăm tot mai mult cu spaţiul cibernetic prin intermediul diferitelor tipuri de obiecte cu rol de interfaţă, denumite adesea terminale. Iniţial aceste terminale erau de fapt bine-cunoscutele computere, însă în ultimii ani tot mai multe obiecte personale devin terminale (interfeţe) de interacţiune cu spaţiul cibernetic, căpătând denumirea generică de obiecte „inteligente”, precum telefoanele, ceasurile sau ochelarii.

autor:
Cătălin Pătraşcu

Deși poate părea un pic exagerat, s-ar putea totuși concluziona că, pe măsură ce aceste terminale personale devin tot mai atașate de noi, ne transformăm noi înșiși în niște terminale ale spaţiului cibernetic. Subiectul este destul de controversat, aflându-se undeva la limita dintre știinţă și ficţiune, mai ales dacă amintim și de anumite teorii, precum cea promovată recent de Elon Musk – CEO și fondator al Tesla și SpaceX, conform cărora întregul Univers cunoscut de noi este de fapt o realitate virtuala simulată de un computer.

Din punct de vedere al securităţii cibernetice, managementul identităţii reprezintă o componentă vitală. Acest lucru este evident dacă ne gândim la o companie ai căror angajaţi trebuie să aibă acces la diferite sisteme și aplicaţi informatice, în funcţie de rolul și nevoile fiecăruia. Cu ajutorul sistemelor de management al identităţii se realizează autentificarea utilizatorilor, se asigură trasabilitate a acţiunilor acestora și se implementează politicile de acces.

Un aspect uneori trecut ușor cu vederea este că și sistemele de gestionare a identităţii necesită a fi securizate și acest lucru nu este ușor, datorită complexităţii și suprafeţei mari de atac a acestora, în sensul că sunt alcătuite din mai multe module, unelte de management, aplicaţii care interacţionează cu utilizatorii și mecanisme de audit. În plus, aceste sisteme reprezintă o ţintă extrem de valoroasă pentru atacatori deoarece gestionează credenţiale de autentificare (parole, certificate digitale). În concluzie, probabilitatea ca sistemele de management al identităţii să devină o ţintă a atacurilor cibernetice este destul de mare.

Între aspectele generale care fac posibilă exploatarea sistemelor de management al identităţii regăsim:

  • Complexitatea și schimbările tehnologice rapide sunt în favoarea atacatorilor;
  • Cu cât includ mai multe module/sisteme, cu atât pot prezenta mai multe vulnerabilităţi;
  • Administratorii înfruntă birocraţia aferentă managementului schimbării;
  • Companiile se grăbesc uneori să implementeze tehnologii foarte noi sau imature, acestea prezentând deseori vulnerabilităţi încă nedescoperite;
  • Multitudinea de nivele la care pot fi atacate: reţea, baze de date, mecanisme de autentificare, unelte de management, aplicaţii, agenţi de sistem și chiar la nivel de logică de funcţionare.

Unele dintre cele mai frecvente greșeli de implementare a sistemelor de management al identităţii sunt următoarele:

  • Existenţa unor conturi active ale unor foști angajaţi sau ale unor persoane care în final nu au activat în cadrul organizaţiei;
  • Prea multe conturi cu rol de administrare sau incluse în grupurile de administrare;
  • Utilizatori care au acces la resurse de care nu au nevoie sau nu mai au nevoie;
  • Existenţa unor conturi comune de administrare utilizate concomitent de mai multe persoane;
  • Permiterea accesului la sistemele și aplicaţiile critice prin intermediul unor terminale neadministrate de organizaţie.

Cu toate suspiciunile legate de afectarea intimităţii individului și vulnera- bilităţile generate de complexitatea acestora, sistemele de management al identităţii reprezintă una dintre principalele arme împotriva unor eventuale atacuri, mai ales dacă ne referim la furtul de identitate sau la atacurile iniţiate din interiorul organizaţiilor.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

402

Abstract:

The connections between the virtual environment and the physical space are ever more increasing. A low level of security of your virtual world could translate into a lot of real stress, loss of personal content or money. The awareness of the average Internet user is still close to ground level. In this article, the author raises a few questions designed to increase security awareness, describing a few ways to have a safer cyber existence. Long story short: use strong passwords, install security patches, keep your AV up to date and beware of social engineering scams. When it comes to cyber security it is difficult to talk in terms of totally safe or 100% secure. So be reasonable. Keep yourself up to date with the latest in matters of IT security. And be careful where you click!

autor:
Daniel Rădan

Despre securitate în mediul virtual s-au scris mulți Terrabytes de informații și se vor mai scrie încă. De ce? Pentru că vorbim de un mediu dinamic, aflat în permanentă schimbare. Pentru că tehnologiile folosite sunt înlocuite, actualizate și modificate constant, apărând astfel noi și noi provocări. Și pentru că nivelul de awareness al utilizatorilor de Internet este încă unul foarte scăzut.

Mediul online are din ce în ce mai multe conexiuni cu spaţiul fizic. Iar multe dintre lucrurile pe care le facem în primul au implicaţii în cel de-al doilea. Astfel, când securitatea este compromisă în spaţiul virtual, utilizatorii pot avea parte de consecinţe dintre cele mai neplăcute în spaţiul fizic. De la stresul creat prin simpla funcţionare greoaie a computerului, la dispariţia sau afectarea integrităţii unor materiale personale (fotografii, videoclipuri, creaţii artistice), la prejudicii de imagine și/ sau financiare.

În general, utilizatorii de Internet care sunt conștienţi de riscuri adoptă unele măsuri care, în opinia lor, ar trebui să fie suficiente pentru o bună protecţie. Cel puţin experienţele anterioare le-au dovedit că au fost suficiente. Tu te-ai întrebat vreodată dacă măsurile tale de securitate sunt suficiente pentru a te proteja în online?

Departe de a oferi garanţia unei securităţi impenetrabile, întrebările următoare și comentariile aferente fiecăreia te vor ajuta să înţelegi mai bine multiplele faţete ale securităţii în spaţiul virtual.

Instalezi softuri pe care nu le-ai căutat în primă instanță?

Principiul ar fi următorul: dacă nu l-ai căutat de la început, nu-l instala! Multe ameninţări online vin sub forma de cereri de a da click pe un anumit link sau de a deschide atașamentul unui mesaj e-mail. Altele îţi deschid niște ferestre pop-up foarte enervante care îţi cer sa rulezi un extraordinar scanner de securitate sau să instalezi un codec ori un player cu ajutorul cărora poţi vizualiza diverse conţinuturi.

Evită să dai curs unor asemenea cereri. Dacă dorești totuși să instalezi o astfel de aplicaţie, fă o verificare înainte (gândește-te că și atunci când cum- peri un produs online, în prealabil te documentezi cu privire la calităţile și performanţele acestuia). Iar dacă e necesar să instalezi acel soft, încearcă să îl descarci direct de la sursă și nu de pe terţe website-uri.

Actualizezi softurile pe care le-ai instalat?

Dacă nu faci asta încă, ar trebui. Fie că e vorba de sistemul de operare în sine ori de alte softuri adiacente. De multe ori, atacatorii exploatează vulnerabilităţi ale unor aplicaţii de tip vizualizator de documente, player de conţinut multimedia etc.. Majoritatea acestor produse primesc în mod constant actualizări din partea producătorilor. Instalează-le cât mai curând posibil!

Dezinstalezi aplicațiile de care nu mai ai nevoie?

Dacă nu mai ai nevoie de un anumit soft, dezinstalează-l! Astfel, vor fi mai ușor de urmărit aplicaţiile care necesită a fi actualizate, iar de multe ori va permite o executare rapidă a sarcinilor de către calculator (sunt frecvente aplicaţiile de mici dimensiuni și add-on-urile care se instalează împreună cu diverse softuri și care pornesc odată cu computerul, ocupând memoria acestuia și afectându-i performanţele).

Folosești o singură parolă pentru toate conturile tale online?

Deși e simplu de utilizat, o parolă unică nu e cea mai bună idee din punct de vedere al securităţii. Utilizează parole dificil de intuit de către atacatori, formate din cifre, litere, caractere speciale. Și urmează principiul: conturi diferite, parole diferite. Poate părea complicat, dar în cazul în care un atacator obţine parola de la contul personal de e-mail, nu va putea compromite și contul de e-mail de serviciu și pe cele de Facebook, PayPal, Tweeter, MyBanking etc.

De asemenea, este o măsură de siguranţă suplimentară folosirea modalităţilor de autentificare în mai mulţi pași (ex: parolă + token, parolă + cod transmis prin SMS etc.).

Îți protejezi conexiunea la Internet?

Dacă folosești un router pentru a te conecta la Internet, asigură-te că ai schimbat parolele implicite ale acestuia (de cele mai multe ori, astfel de dispozitive au parole standard de genul ”1234”, ”0000”, ”admin”, ”root”). De asemenea, actualizează firmware-ul și instalează patch-urile de securitate. Asigură-te că routerul este configurat să ofere conexiuni criptate (tehnologia de criptare WPA2 este cea mai puternică formulă disponibilă în majoritatea routerelor moderne). Urmând acești pași, vei reduce considerabil șansele ca agresorii cibernetici să preia sub control conexiunea ta de Internet, folosind-o pentru a-ţi compromite computerul, pentru a-ţi afla credenţialele de acces la diferite conturi sau pentru a o folosi ca paravan (”proxy”) pentru derularea altor atacuri informatice.

Cât de relaxat ești când te conectezi la rețele Wi-Fi publice?

Ideal ar fi să nu te conectezi niciodată la reţele Wi-Fi sau hot-spot-uri publice. Dar daca situaţia o impune, odată conectat nu accesa conturi personale sau profesionale sensibile. De multe ori, conexiunile gratuite fie sunt compromise de infractori cibernetici care obţin astfel credenţialele celor conectaţi la reţeaua respectivă, fie sunt create tocmai în acest scop.

Folosești programe de tip anti-virus?

În ciuda sloganurilor cu care sunt promovate de către unii producători, programele anti-virus nu asigură protecţie 100%. Ele sunt eficiente sau chiar foarte eficiente în a identifica produse malware cunoscute, dar performanţa lor scade considerabil când apar mostre noi de malware. Cu toate acestea, este important să ai un produs anti-virus instalat. Aplicaţia anti-virus ar trebui să funcţioneze ca unul dintre straturile de protecţie ale computerului tău. Și, fie că e vorba de o variantă cu plată sau de una gratuita, asigură-te că primește la timp toate actualizările și este activă permanent (în lipsa actualizărilor, un program anti-virus oferă o protecţie nu cu mult mai mare decât oferă un joc de cărţi sau o aplicaţie de desenat).

Ești atent la datele tale personale?

Nu completa formulare primite via e-mail, prin care ţi se cer date cu caracter personal, parole, coduri secrete sau PIN-uri. Când vine vorba de date sensibile, instituţiile publice, băncile sau marile companii sunt mai… conservatoare și nu solicită să le fie transmise prin banalul e-mail. Așa că, cel mai probabil, acel mesaj prin care ţi se spune că banca ta dorește să actualizeze datele clienţilor și are nevoie și de ale tale, inclusiv numărul cardului bancar, codul PIN și parola de conectare la contul de MyBanking… ai ghicit! Nu e de la bancă!

Observi cu ușurință schemele de inginerie socială?

În ce constă ingineria socială? Păi… în acel banner unde scrie că este nevoie doar să dai click pe un link dacă vrei să afli cum s-a produs cel mai recent accident aviatic ori să vezi în ce ipostaze incendiare a fost surprinsă o celebritate. Tot inginerie socială este și atunci când ești anunţat că tocmai ai câștigat o suma de bani, o excursie sau o cină romantică, în urma unei extrageri la care nu îţi amintești să te fi înscris, apoi ești rugat să transmiţi datele personale ori să depui ceva bani într-un cont pentru a intra în posesia premiului.

Indiferent de promisiune, ingineria socială îţi va cere ceva: să deschizi un fișier atașat în e-mail sau transmis prin instant messaging, să urmezi un link, să instalezi un soft, să completezi cu datele tale un formular.

Privește cu suspiciune astfel de cereri și nu te lăsa atras în schemă.

Asigurarea unui nivel ridicat de securitate în on- line nu este o sarcină ușoară. Dar costurile insecurităţii se pot dovedi a fi mult mai greu de suportat. Așadar, informează-te permanent cu privire la evoluţiile în materie de securitate IT! Implementează mai multe soluţii/metode de protecţie, nu te baza pe o singură aplicaţie. Și, cel mai important, fii vigilent!

214

Majoritatea intruziunilor de securitate cibernetică captează interesul știrilor în momentul în care se întâmplă – genul de titluri de știri de care companiile se feresc. Dar deteriorarea reputației și situației financiare durează încă multă vreme de la apariția la știri. Kevin Taylor analizează repercusiunile pe termen lung ale câtorva astfel de situații de profil înalt.

La sfârșitul anului 2013, gigantul american de retail, Target, a suferit ceea ce s-a considerat la acel moment a fi cea mai mare scurgere de date din istorie. Datele personale ale peste 70 de milioane de clienţi au fost compromise în acel atac, inclusiv datele financiare ale nu mai puţin de 40 de milioane de oameni.
După peste 1 an de zile de la intruziune, o decizie a tribunalului din St Paul Minnesota a obligat Target să facă provizioane de 10 milioane de dolari, ca o compensaţie pentru clienţii care au fost afectaţi.
La scurt timp după aceea, Target a crezut că a reușit să obţină o înţelegere cu Mastercard, pentru o compensaţie de 19 milioane de dolari. Cu toate acestea, mai multe bănci asociate cu compania de carduri bancare au refuzat să accepte acea sumă și, la sfârșitul lui 2015, s-a ajuns la un acord final pentru compensaţii de 39 milioane de dolari. Suplimentar, cam în același timp, Target a agreat cu Visa compensaţii în valoare de alte 67 de milioane de dolari.
Și de parcă asta nu ar fi fost destul de rău, același procuror din Minnesota a cerut ca Target să își dezvolte strategia de securitate cibernetică – pornind în principal de la faptul că Target a știut de breșa de securitate din 2013, dar iniţial a ignorat-o. Imediat după aceea Target a trebuit să concedieze 1700 de angajaţi și să închidă 133 de magazine.
Credeţi că povestea s-a încheiat aici? Nu. Astăzi, la 4 ani de la intruziunea iniţială, Target continuă să plătească consecinţele și să fie subiectul știrilor. Într-un caz din instanţă în care au pledat avocaţi din Connecticut, Illinois și New York, compania a fost obligată să plătească daune de 18,5 milioane de dolari către 47 de state americane și către Districtul Columbia. De fapt, dacă adăugăm taxele de judecată și alte costuri, o estimare conservatoare ne dă un cost total al intruziunii de la Target de ordinul a 250 milioane de dolari. Și cine poate afirma că povestea s-ar opri aici.
Intruziunea de la Target a avut loc în momentul în care hackerii au profitat de securitatea precară a unui furnizor (3rd party) pentru a accesa reţeaua companiei. După aceea a urmat ceea ce ar putea constitui un exemplu școală de ceea ce nu trebuie făcut – nu s-a încercat nici eliminarea cauzei intruziunii și nici nu s-a acţionat imediat pentru eliminarea ei. După patru ani, compania continuă să plătească preţul neglijenţei – atât financiar, cât și în privinţa reputaţiei.
Dar dacă vreţi un exemplu despre cum s-o dai cu adevărat în bară, în tratarea unei intruziuni de securitate cibernetică, nu trebuie să căutaţi în altă parte, este suficient să ne uităm la Yahoo! – o companie pentru care probabil a și fost inventat semnul exclamării .
Anul trecut, pe parcursul câtorva luni sinuoase, au transpirat știri conform cărora Yahoo! ar fi suferit mai multe atacuri cibernetice. Revelarea faptului că în 2017 un atac „sponsorizat de un stat” a afectat cca. 500 de milioane de utilizatori părea a fi un rău suficient de mare. Dar, în iulie, anul trecut, într-o declaraţie către Securities Exchange Commission (SEC), Yahoo! a recunoscut că a primit primele notificări despre intruziune încă din 2014 – cu mai mult de 2 ani mai devreme.
Lucrurile nu ar fi putut lua un curs mai rău pentru companie, nu-i așa? Ba da, au luat. Deoarece doar după câteva luni, compania a trebuit să recunoască că are neacoperită o intruziune încă și mai veche, care ar fi compromis conturile a cca. un miliard de utilizatori Yahoo!. Iată ce a declarat compania la SEC:
„Pe baza aprofundării analizei datelor realizate de experţi juridici (forensic), credem că, în august 2013, o terţă parte, neautorizată, a furat datele asociate cu peste 1 miliard de conturi. Nu am reușit să identificăm intruziunea asociată cu acest furt de date.”
Nici nu știu care a fost cel mai rău lucru – faptul că au știut că au avut o intruziune și că au păstrat tăcerea, sau faptul că nici măcar nu au notificat faptul că s-a întâmplat decât după mai bine de 3 ani. Dimensiunea impactului financiar a acestei intruziuni de abia de acum va fi văzută, cu excepţia unei singure zone și anume a modului în care a afectat valoarea de piaţă a companiei.
Deoarece știrile despre acest furt de date au apărut tocmai în perioada în care Verizon se pregătea să achiziţioneze Yahoo! – valoarea tranzacţiei a fost redusă cu 350 de milioane de dolari, până la momentul semnării tranzacţiei. Ba chiar, la un moment dat, Verizon încerca să reducă preţul de cumpărare cu aproape 900 de milioane de dolari.
Ca urmare a recunoașterii intruziunii, Yahoo! a condus o campanie de sfătuire a clienţilor să-și modifice parolele și să verifice dacă au fost victima unor tranzacţii neobișnuite. Dar la 3 ani după furt, această acţiune seamănă cu a potcovi un cal mort.
Ceea ce se poate vedea din aceste două cazuri este că deși știrile imediate produc niște daune, ramificaţiile pe termen lung sunt mult mai rele. Apar tot felul de solicitări de compensaţii, povestea nu este uitată iar numele companiei rănâne asociat pentru totdeauna cu cuvinte cum ar fi „hack” sau „furt de date”. În cazul apariţiei unui atac, companiile au datoria să își informeze toţi clienţii potenţial afectaţi, cât mai curând posibil. Și să își consilieze clienţii despre măsurile de securitate pe care aceștia trebuie să le ia imediat. Mai mult, din punct de vedere tehnologic companiile trebuie să știe cum să își oprească sistemele, pentru a combate intruziunea și a se asigura că sistemele de back-up pot restaura datele la un moment de timp precedent atacului.
Modul în care ești pregătit pentru un atac, și modul în care tratezi unul atunci când apare contează foarte mult, după cum au arătat și judecătorii din cazul Target. Acesta poate limita pierderile, reduce compensaţiile și poate ajuta la diminuarea pierderii reputaţionale. Mai mult, companiile trebuie să investească nu numai într-o securitate cibernetică mai puternică, ci trebuie și să își instruiască directorii executivi despre modul în care trebuie să reacţioneze în cazul unei intruziuni.

Kevin Taylor

Kevin, FCIPR, este un consultant de comunicare și scriitor respectat, precum și un comentator apreciat în domeniul securității IT în afaceri și tehnologie, telecomunicații și în special în domeniul comunicațiilor mobile. El este Fellow și fost Președinte al Institutului de Relații Publice din UK și a fost consultant al consiliului de conducere al unor brand-uri globale, precum și al unor start-up-uri din domeniul tehnologiei. La Robertson Taylor PR, a înființat Standing Tall, o rețea de consultanți independenți care oferă o gamă largă de servicii de marketing și suport
în afaceri. El este, de asemenea VP Communications la Ensygnia – o companie nou intrată pe piața identității mobile, autentificării și plăților mobile.

226
Romulus Maier

Cursa securităţii cibernetice a pornit în urmă cu peste 30 de ani. Brian, primul virus de PC, a apărut în 1986. Virusul BHP, pentru C64, a apărut chiar mai devreme. Nu ne propunem să parcurgem toată istoria, dar merită să amintim măcar cele mai importante atacuri cibernetice din prima jumătate a acestui an.
Grupul de hackeri de la Shadow Brokers au apărut în prim plan în august anul trecut, când au declarat că au spart uneltele de spionare utilizate în cadrul operaţiunii Equation Group a NSA. Datele furate au început să circule pe net, punctul culminant constituindu-l „scurgerile de informaţii” din aprilie 2017, când au fost făcute publice mai multe unelte de spionare NSA, inclusiv exploit-ul Windows EternalBlue, care a fost utilizat ulterior de către alţi hackeri în cel puţin 2 atacuri de tip ransomware.
Ransomware-ul WannaCry a lovit în 12 mai, infectând sute de mii de calculatoare și blocând spitale, utilităţi și companii de toate dimensiunile. Hackerii din spatele atacului au reușit să încaseze despăgubiri de „doar” 130.000 de dolari
În 10 iunie, un alt ransomware, Erebus, a criptat 153 de servere Linux găzduite de ISP-stul sud-coreean Nayana, servere pe care se aflau peste 3.400 de site-uri web, hackerii cerând o despăgubire de 1 milion de dolari, pe care Nayana a și plătit-o.
Petya/NotPetya/Nyetya/Goldeneye, un alt ransomware, a făcut ravagii tot în iunie, printre victime numărându-se compania farmaceutică americană Merk, compania daneză de transport naval Maersk, compania petrolieră rusească Rosnoft, adevărata ţintă fiind după cât se pare Ucraina, unde au fost afectate companii de producere a energiei, aeroporturi, companii de transport și banca centrală.
Să mai amintim doar de Wikileaks CIA Vault 7, pe 7 martie fiind publicate 8.761 de documente furate de la CIA, între acestea aflându-se unelte de spionare și de hacking pentru iOS, Android, Windows și smart TV-uri; de bug-ul Cloudbleed, anunţat de Cloudflare în februarie, care pune în pericol câteva milioane de site-uri web; și de faptul că o bază de date cu datele personale ale 198 de milioane de alegători americani a fost expusă public (descoperire anunţată în 19 iunie).
Am putea continua enumerând și alte atacuri cibernetice, fără a le putea epuiza pentru că în timpul în care le enumerăm apar altele noi.
O mulţime de companii de securitate, de organizaţii și de state, atât din domeniul privat, cât și de stat – „băieţii buni” – încearcă să oprească aceste atacuri, să diminueze pagubele și să prevină viitoarele atacuri. Pot câștiga? Da, pot câștiga o bătălie, pot câștiga bătălie după bătălie, dar nu pot câștiga războiul. Cel puţin nu cu instrumentele și abordarea de acum. Problema constă în complexitate și în faptul că „băieţii răi”, inventivi, vor găsi întotdeauna o nouă cale de atac.
Includerea în software a unor căi de acces secrete (back doors) pentru autorităţi și serviciile secrete, este o prostie, acestea putând ajunge oricând pe mâna cui nu trebuie. Secretomania și ne-împărtășirea vulnerabilităţilor este nu mai puţin dăunătoare, după cum s-a văzut și în cazul NSA/EternalBlue, Target sau Yahoo!
Volumele de informaţii și viteza cu care acestea circulă au devenit prea mari pentru a mai putea fi stăpânite de oameni. Tehnologia este obligatorie, trebuie și va crește în performanţă prin înglobarea de de inteligenţă artificială (AI) și algoritmi de Machine Learning.
Dar rezultatele nu vor fi nici pe departe cele dorite dacă în centrul preocupărilor nu se va afla omul și colaborarea între oameni și instituţii. Ameninţările cibernetice nu pot fi rezolvate individual. Toţi actorii vieţii digitale trebuie să colaboreze, să împărtășească informaţii și să acţioneze, fie ei utilizatori obișnuiţi, specialiști în securitate, furnizori de tehnologie și soluţii, companii private sau instituţii de stat.\
Pentru a rezolva problemele existente, acestea trebuie mai întâi conștientizate, iar apoi oamenii trebuie implicaţi într-un proces de învăţare și instruire continuă.
Acest lucru încearcă să îl realizeze atât conferinţa „Cybersecurity in Romania”, ajunsă la a 5-a ediţie și care va avea loc anul acesta în perioada 13-15 septembrie 2017, la Sibiu, cât și revista trimestrială „Cybersecurity Trends”.
Avem convingerea că pașii de până acum au fost făcuţi în direcţia corectă.
„Cybersecurity in Romania” a devenit o platformă de dialog între diferiţi actori ai lumii digitale de pe întreg globul, este unul dintre puţinele evenimente de profil susţinute de ONU, prin Uniunea Internaţională a Comunicaţiilor (ITU) și primul eveniment de profil pornit din România care va fi exportat în Europa de Vest, în perioada 7-8 decembrie urmând să aibă loc o primă ediţie elveţiană a conferinţei.
Revista „Cybersecurity Trends” a cunoscut și ea consacrarea internaţională, ediţiei în limba română adăugându-li-se ediţii în franceză, italiană, engleză, iar din septembrie și germană.
Vă așteptăm în septembrie la Sibiu, să ne citiţi, în print sau online, și să împărtășiţi vestea bună și informaţiile publicate.

289

Prolog: O fraudă bancară care a fost executată cu succes în Germania luna trecută, prin hacking asupra rețelei O2 Telefonica, aceasta a fost știrea care a îngrozit industria de telefonie mobilă. Steve Buck de la Evolved Intelligence explică de ce, până la urmă, acest eveniment ar putea fi o veste bună.

Start-ul sau începutul sfârșitului?

În luna mai, O2 Telefonica din Germania a confirmat că a fost victima unui atac asupra reţelei mobile prin care hacker-ii au golit conturile bancare ale unui număr ne- precizat de clienţi. Infractorii au spart sistemul de autenti- ficare în doi pași, prin SMS, utilizat de atât de multe bănci.
Vulnerabilitatea utilizată de hackeri a fost sistemul de semnalizare denumit SS7 pe care operatorii mobili îl utilizează pentru interconectare – și este o parte a reţelei globale care face ca mobilele să fie în mod efectiv mobile. Anul trecut, în aprilie, această vulnerabilitate a fost prezentată la show-ul american de televiziune „60 de minute”, fiind demonstrată în mod public, anterior, la Chaos Computer Congress în 2015. Echipamentul necesar pentru accesarea SS7 era pe de o parte prea scump, iar pe de altă parte necesita expertiză tehnică pentru a putea fi utilizat. Această protecţie limitată nu mai este de actualitate – instrumentele, tehnicile și până și serviciul fiind disponibile pentru oricine și tranzacţionate „deschis” pentru foarte puţini bani pe dark web.
Pătrunderea prin hacking în semnalizările reţelei a permis infractorilor nu numai să localizeze și să urmărească telefoanele mobile, ci și să urmărească utilizatorii prin interceptarea comunicaţiilor prin telefon. Posibilitatea de a redirecţiona mobilele a fost slăbiciunea centrală în cazul furtului din Germania.
Conform rapoartelor confirmate în legătură cu incidentul O2, infractorii au utilizat iniţial tehnici de phishing pentru fraude bancare și spyware pentru a infecta conturile clienţilor, pentru a fura detalii despre aceștia, parole și alte informaţii personale. După ce au reușit să obţină acces la conturile online ale utilizatorilor, au putut să vadă și să ţintească conturile cu „o pleașcă bogată”.
Infractorii au redirecţionat apoi mobilele deţinătorilor de conturi către propriile telefoane mobile, astfel încât – noaptea ca hoţii – au putut să le golească conturile.
În momentul în care banca a trimis un SMS automat cu Transaction Authentication Number (mTAN), acesta a fost recepţionat de infractori și nu de către clienţi. Având această informaţie, infractorii au putut autoriza transferurile bancare, în propriile conturi, bine ascunse și au putut elimina redirecţionarea mobilelor. Eliminarea redirecţionării după furt i-a ajutat și să își ascundă urmele și să permită amânarea descoperirii hoţiei.
O2, în Germania, a confirmat faptul că atacul a avut loc și a afirmat într-o declaraţie către ziarul Suddeutsche Zeitung că: „Infractorii au executat un atac dintr-o reţea a unui operator de telefonie mobilă străin. Atacul a redirecţionat mesajele SMS primite de către anumiţi clienţi germani, către atacatori.”
Acesta este primul incident de masă care fraudează semnalizarea SS7 și marea majoritate a utilizatorilor nu sunt conștienţi că se poate întâmpla. Băncile și operatorii mobili, totuși, s-au enervat și caută soluţii de combatere a ameninţării.

Recent, CEO-ul Vodafone, Vittorio Colao, a recunoscut că problema securităţii cibernetice este una dintre cele care „nu-l lasă să doarmă noaptea”. Colao a afirmat că este necesară o abordare pan-Europeană pentru a stăvili ameninţările infractorilor cibernetici și a făcut apel la:
„O colaborare mult mai amplă între companiile din domeniu pentru crearea unui sistem de apărare cibernetică mai integrat.”
Nu există nici un dubiu că operatorii și companiile luptă într-un război al securităţii cibernetice pe mai multe fronturi – în sistemele lor IT, pe dispozitivele lor și în reţelele lor. Hackerii vor utiliza în mod evident orice mecanism care le permite să atace sistemele, să fure date, să paralizeze operaţiuni și să fraudeze companiile și clienţii acestora. Odată cu creșterea fenomenului Bring Your Own Device, nu mai este suficient pentru companii să încerce să protejeze traficul pe propriul backbone IP, ci este necesară și asigurarea securităţii peste reţeaua mobilă, end to end (de la un capăt la altul).
Aceasta este o cerinţă recunoscută în SUA, unde congresmanul Ted Lieu face presiuni asupra reglementatorilor americani pentru acţiona în cazul
vulnerabilităţii SS7. În momentul în care Camera Reprezentanţilor din SUA a anunţat că începe să protejeze dispozitivele mobile ale membrilor Congresului și ale personalului acestora cu securitate endpoint pentru a ajuta la identificarea ameninţărilor, cum ar fi reţele WiFi nesecurizate și aplicaţii maliţioase, Lieu a salutat mișcarea dar a continuat să descrie securitatea cibernetică a Congresului ca o «clădire cu ușile încuiate dar cu o fereastră deschisă».
„Membrii Congresului și personalul acestora sunt foarte dependenţi de dispozitivele lor mobile pentru a-și desfășura munca, dar acestea nu sunt protejate în mod adecvat”, a spus Lieu. Congresmanul este conștient că simpla închidere a unui geam deschis, prin protejarea dispozitivului nu este suficientă atâta timp cât reţeaua însăși rămâne vulnerabilă.
Desigur, congresmanul Lieu este implicat în mod direct în povestea legată de securitatea SS7, deoarece telefonul său personal a fost cel hack-uit în programul de televiziune„60 de minute”. În mod natural, el a reacţionat rapid la aflarea veștii despre atacul SS7 din Germania.
„Toate conturile protejate prin autentificare în doi pași, bazată pe text, cum sunt conturile bancare, se află în faţa unui risc potenţial până când FCC și industria telecom nu vor rezolva breșa de securitate devastatoare SS7”, a spus el. Între timp, în Germania, operatorul rival Deutsche Telekom s-a grăbit să își re- asigure clienţii că un astfel de atac nu s-ar putea întâmpla în reţeaua proprie. O declaraţie de pe site-ul DT afirmă că este unul dintre primii operatori de telecomunicaţii, la nivel mondial, care a implementat un firewall SS7 care ar fi
blocat și prevenit atacul care a a vut loc asupra O2.
Breșa de semnalizare este o moștenire a relaţiilor între «reţele de încredere» care existau înainte ca piaţa telecom să devină atât de deschisă. Aceasta este o slăbiciune care este amplificată și de mărimea pieţei de astăzi. Ca să vă formaţi o idee, propriul nostru firewall de semnalizare poate fi instalat software pe Network Interface Units (NIFs) care pot fi implementate la unul din cca. 60 de operatori de reţea de pe glob. Aceste NIF-uri permit oferirea serviciilor de roaming cu valoare adăugată ale operatorilor. În sistemele noastre circulă undeva la ordinul a 12 miliarde de mesaje de semnalizare SS7 în fiecare zi.
Dincolo de dimensiune, o altă provocare o reprezintă faptul că mesajele frauduloase de semnalizare imită adesea unele dintre mesajele care oferă valoare adăugată serviciilor și care aduc venituri operatorilor. Mesajele care conduc aceste servicii diferă de semnalizarea normală, astfel încât sistemul trebuie să facă distincţie între aceste semnale neuzuale și cele nesigure – cele nedăunătoare de cele dăunătoare.
Numărul mesajelor pe care le vedem ca fiind neobișnuite dar sunt sigure este de departe mai mare decât numărul mesajelor frauduloase. Cu toate acestea, putem considera că numărul de mesaje potenţial frauduloase sunt de ordinul a unu pe secundă în fiecare reţea de pe glob. Oprirea cu precizie a acestor mesaje dăunătoare fără a afecta traficul normal de reţea este provocarea pe care firewall- urile de semnalizare trebuie să o înfrunte.
Avem încredere că firewall-urile de semnalizare pe care le furnizăm operatorilor ar fi depistat și blocat atacul asupra O2 – de fapt unul dintre firewall-urile noastre a oprit un astfel de atac chiar în timpul incidentului O2. O modalitate prin care putem face asta este prin măsurarea distanţei și vitezei pentru luarea unei decizii în privinţa update-urilor de localizare care au existat în spatele atacului O2. Un dispozitiv mobil care semnalizează din Germania într-o seară, nu poate semnaliza legitim puţin mai târziu de pe o insulă din Pacific sau din Caraibe, de exemplu. Abonatul nu ar fi putut parcurge acea distanţă în acel interval de timp. Dar, așa cum au subliniat Vodafone și Deutsche Telekom, măsurile luate de un operator individual oferă doar o soluţie limitată. Trebuie întreprinse acţiuni concertate din partea întregii industrii pentru o protecţie adecvată împotriva fraudatorilor care încearcă să exploateze breșele semnalizării SS7.
Poate această primă confirmare a acestui tip de atac, care sperie industria mobilă, poate constitui catalizatorul care să accelereze implementarea măsurilor de protecţie. În loc să fie începutul unor vremuri rele, să sperăm că semnalizează începutul

Steve Buck

Steve are peste 30 de ani de experiență în telecomunicații mobile, ocupând poziții de inginerie și marketing, atât pentru producători de echipamente, cât și pentru operatori mobili. Are experiență în domeniul fraudelor, identității și produselor de risc pentru companii, în domeniul bancar, retail, sector public și alte verticale. În anii‚ 80, Steve a lucrat pentru Racal Research (care s-a desprins din Vodafone) în domeniul R&D pentru ceea ce urma să devină tehnologia GSM. A dezvoltat hardware și software pentru testare în timp real a tehnologiei în UK – făcând primul apel GSM din UK în 1986. S-a alăturat Motorola în 1998 contribuind la definirea standardelor GSM pentru fazele 1 și 2, la începutul anilor ’90, conducând dezvoltarea de firmware GSM și administrând dezvoltarea unor noi stații de bază. La începutul lui 1995, s-a alăturat Aethos ca director de produse, derulând activități de marketing, management de produs și dezvoltare, oferind suport pentru zeci de milioane de abonați prepay. Logica a achiziționat Aethos în 1998. Steve a continuat să conducă furnizarea de servicii prepay, furnizând prima rețea de soluții pentru mesagerie prepay și, subsecvent, s-a ocupat de management de produse pentru MMS, pentru Logica. Steve a fost VP Products pentru T-Mobile (UK) între 2004 și 2009, lansând un număr de servicii inovative, care au fost premiate, incluzând primul serviciu adevărat de internet mobil din UK. Steve s-a alăturat NSN (Nokia networks) în 2009 unde a condus business-ul, de 200 milioane de dolari, de experiența utilizatorilor. După o scurtă perioadă la Amdocs, în OSS, Steve a condus departamentul de Product Management de la Equifax, o agenție de referințe de credit, vânzând soluții de evaluare a riscului, detectarea fraudelor și de identitate, către o multitudine de companii, inclusiv bănci, instituții financiare, retaileri, operatori telecom și organizații din sectorul public. Steve s-a alăturat Evolved Intelligence în 2015.

1240

Atunci când vine vorba de gestionarea incidentelor de securitate cibernetică, cu toții știm că în teorie trebuie să ne asigurăm că dispunem de următoarele capabilități: prevenție, detecție și răspuns. Din fericire există deja o multitudine de tehnologii, open source, gratuite sau comerciale, care adresează aceste nevoi și pe care atât utilizatorii casnici cât și companiile au început să le folosească.

Cu toate acestea, tot mai multe studii afirmă faptul că, în medie, unei companii îi trebuie zeci de zile să detecteze faptul că sistemul informatic a fost compromis și, ceea ce este și mai grav, are nevoie de asemenea de câteva zeci de zile să remedieze problema. Întrebarea evidentă care se pune este: ce anume scăpăm din vedere? Iar în rândurile care urmează regăsiţi o opinie personală ca răspuns la această întrebare.

autor:
Cătălin Pătraşcu

Una dintre cele mai mari probleme cu care se confruntă companiile la nivel global atunci când vine vorba de asigurarea securităţii cibernetice este insuficienţa personalului specializat în acest domeniu. Însă acesta este doar un argument în plus pentru care avem nevoie de două componente importante care, după părerea mea, sunt neglijate de cele mai multe ori atunci când se creionează strategiile de asigurare a securităţii cibernetice într-o companie: vizibilitatea și controlul.
Sunt din ce în ce mai multe companii care utilizează peste zece unelte/ tehnologii de securitate de tipurile: antivirus, firewall, IDS/IPS, web application firewall, email gateway, web gateway, web proxy, sanboxing, SIEM etc. Și cu toate acestea există cazuri în care unele dintre aceste companii au probleme serioase cu detectarea și remedierea breșelor și compromiterilor din propriile reţele. De vină pentru acest lucru este lipsa asigurării corespunzătoare a celor două componente vitale, din nou: vizibilitatea și controlul.
Explicaţia este simplă și la îndemâna oricui: fiecare tehnologie utilizată are propriile facilităţi de vizibilitate și control, punând la dispoziţie diferite interfeţe grafice sau de tip consolă de comenzi (CLI), însă este aproape imposibil ca personalul dedicat să urmărească datele furnizate de toate aceste tehnologii în același timp. Și chiar dacă ar încerca să facă acest lucru, tot ar întâmpina greutăţi în corelarea informaţiilor puse la dispoziţie de fiecare dintre aceste tehnologii.
Partea frumoasă este că, în teorie, dacă ne asigurăm că avem vizibilitate și control în infrastructura IT este aproape suficient pentru asigurarea celor trei capabilităţi de care vorbeam la început: prevenţie, detecţie și răspuns. Pentru a atinge acest obiectiv avem la dispoziţie două mari opţiuni: achiziţia de soluţii de securitate integrate care oferă deja vizibilitate și facilităţi de control adecvate, sau integrarea mai multor tehnologii de sine stătătoare astfel încât să obţinem aceste facilităţi.
Un exemplu simplu de unealtă care trebuie pusă la dispoziţia responsabililor cu securitatea informatică este o consolă grafică în care aceștia să poată urmări evenimentele importante din infrastructura IT, să poată realiza investigaţii mai amănunţite și, foarte important, să poată lua măsuri/acţiuni din cadrul aceleiași console.
Închei prin a-mi exprima speranţa că rândurile de mai sus vă vor fi utile în viitoarele discuţii cu furnizorii de tehnologie de securitate și în implementările proiectelor de securizare a infrastructurilor cibernetice.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

304

Introducere

Se vorbeşte mult despre oraşele conectate, pe care unii le numesc „inteligente” („Smart Cities”). Administrarea megapolilor devine o miză civilă majoră într-o eră în care se întrevede o demografie planetară explozivă, în principal urbană, deci potenţială sursă de haos în cazul în care nu este gestionată corect. Însă ca orice lucru legat de „inteligenţa” artificială, oraşele conectate hrănesc fantasmele cele mai credule şi hrănesc apetiturile cele mai nesăţioase, într-un climat vădit ostil oricărei tentative de punere la îndoială. Aceste orașe „inteligente” generează așteptări absurde în ceea ce privește ordinea și confortul, așteptări la care e dificil de renunţat dacă nu li se cunoaște costul real. Este foarte important să fie pus în discuţie aportul lor real, pentru a putea beneficia la maximum de anumite tehnologii. Toate acestea fără a scăpa din vedere, totuși, măsurile de precauţie împotriva pericolelor pe care le implică, chiar cu riscul de a renunţa la câteva dintre promisiunile lor, prea costisitoare în planul vieţii private și al libertăţii.
În rândurile care urmează, îmi permit să revin asupra comunicării din data de 3 noiembrie 2016 la Yverdon în cadrul CyberSec Conférence și să abordez anumite aspecte pe care, pe atunci, doar le schiţasem.

Orașul conectat

Încă de la început, trebuie precizat ce se înţelege prin oraș conectat; este vorba de un ecosistem care se bazează pe culegerea, agregarea și partajarea2 datelor legate de utilizarea orașului de către locuitorii acestuia. Sursele acestor date sunt diverse: ele pot fi generate automat de captatori sau de obiecte conectate, dar pot proveni, de asemenea, din bazele de date alcătuite de administraţiile publice sau companiile private, sau chiar produse de către utilizatori.

Această colectare de date are mai multe scopuri. În general, se invocă la grămadă avantaje precum îmbunătăţirea calităţii vieţii cetăţenilor, buna gestionare a resurselor colective, facilitarea mobilităţii sau rezolvarea problemelor de securitate. Miza este cu precădere crearea unei legături pentru informarea la distanţă și în timp real cu privire la disponibilitatea echipamentelor colective (blocaje în trafic, rata de ocupare a locurilor de parcare, localizarea mijloacelor de transport în comun, rezervarea sălilor de sport), dar și informarea cu privire la proximitatea, amplasamentul, programul de funcţionare al magazinelor sau al atracţiilor turistice, informarea cu privire la serviciile existente sau gestionarea infrastructurilor colective. Aceste câteva exemple ilustrează avantajele propuse prin implementarea sistemului. Însă nu menţionează și riscurile și pericolele pe care le implică.
Într-adevăr, prin colectarea de date, protejarea sferei private reprezintă o miză crucială și clarifică aspectele cele mai vagi ale sistemului care se pune în practică. În privinţa orașelor conectate, există patru aspecte care ridică probleme: colectarea automată de date din domeniul public (a), datele considerate „publice” pe care indivizii le schimbă prin intermediul telefoanelor lor „inteligente” (b), integrarea lor în informatica de tip cloud (c) și, mai presus de toate, interpretarea acestei mase de date cu scopul unei
„guvernări algoritmice” (d). Preconcepţiile acestei politici numerice ne vor permite, în final, ca o concluzie, să stabilim o paralelă între respectarea sferei private și recunoașterea socială a libertăţii individuale.\

Date colectate automat în domeniul public

Un număr mare de date legate de orașele conectate sunt generate în mod automat prin capturi instantanee preluate de pe drumurile publice sau infrastructurile private deschise publicului. Însă alegerea unui aparat de captat imaginea nu este întâmplătoare. Supravegherea traficului se poate realiza în mai multe moduri: prin numărarea vehiculelor care trec pe sub o buclă magnetică, prin înregistrare video a traficului sau prin înregistrarea semnalelor GPS care permit, de exemplu, identificarea vehiculelor participante la trafic. Astfel că, în timp ce numărătoarea vehiculelor cu ajutorul unei bucle magnetice nu generează date personale, ci doar valori incrementale statistice, nu același lucru se poate spune despre camerele video sau de captarea semnalelor GPS.
În momentul în care colectarea de date de pe drumurile publice poate implica date personale, principiile impuse de legile aplicabile în materie de protecţia personalităţii trebuie respectate cu titlu preventiv.
În primul rând, conform principiului legalităţii (art. 4, alin. 1 din Legea federală privind protecţia datelor – LPD; art. 35 din Legea privind informarea publicului, accesul la documente și protecţia datelor personale – LIPAD), prelucrarea datelor trebuie justificată de îndeplinirea unei sarcini prevăzute de un text normativ sau prin consimţământul expres al celui vizat. Acest lucru reduce de la bun început scopurile care ar putea justifica o colectare de date. În ceea ce privește principiul proporţionalităţii (art. 4, alin. 2 LPD; art. 35 alin. 1 și 2; art. 36 alin. 1 LIPAD), operatorul responsabil de prelucrarea datelor are obligaţia de a se asigura că impactul acestei prelucrări este rezonabil în raport cu scopul urmărit. Datorită acestor principii, se începe elaborarea unei proceduri pentru acţiunile care preced colectarea datelor, cu scopul de a asigura confidenţialitatea încă de la conceperea proiectului („Privacy by Design”). Astfel, de fiecare dată când scopul urmărit o permite, se vor alege cu predilecţie mijloace de colectare care nu generează date personale: operatorul responsabil cu prelucrarea nu mai are datoria de a cripta datele pentru a le asigura confidenţialitatea, începând de la mijlocul de colectare și până la locul unde sunt amplasate mașinile de calcul, apoi pe toată durata de viaţă a acestora din urmă.
Protecţia datelor se dovedește și mai importantă în domeniul privat deschis publicului: datele sunt prelucrate de către actori privaţi, fără posibilitatea refuzului colectării acestora. În epoca în care trăim, refuzul de a intra într-o zonă supravegheată video este sinonim cu renunţarea la a frecventa majoritatea magazinelor, începând de la hypermarketuri.
Necesitatea de a aplica acest ansamblu de principii indică deja pericolul unei colectări necontrolate de date din domeniul public pentru protejarea sferei private. Aceste principii au ca scop evitarea unei tentaţii proprii oricărei tehnici: tentaţia de a se concentra asupra mijloacelor și de a pierde din vedere scopul urmărit. Istoria tehnicilor ne arată că umanitatea are tendinţa de a folosi o tehnică dincolo de nevoile imediate și fundamentate, pentru simplul motiv că este disponibilă, generând astfel chiar noi tipuri de nevoi. Așa se explică tentaţia utilizării tehnicilor digitale de vârf pentru afirmarea propriei modernităţi.

Date generate de către utilizatori

Datele colectate în cadrul orașelor conectate nu se limitează la cele colectate automat din domeniul public sau deschis publicului. Dimpotrivă. Utilizatorii creează ei înșiși, cu ajutorul telefoanelor „inteligente” („smartphone- uri”), o mulţime de date personale geo-localizate, fie că este vorba de comunicarea de informaţii pe reţele sociale sau de interogarea serviciilor de informaţii ale orașului, pe stradă. Aceste aparate portabile pot fi deci considerate veritabili colectori de date.
Și alte obiecte conectate furnizează propriile pachete de date. Anumite date se adaugă celor proprii orașului conectat. Ne referim, de exemplu, la datele aparent fără importanţă referitoare la consumul agregat al gospodăriilor. Acestea permit compararea obiceiurilor de consum privat cu cele ale vecinilor pentru a le îmbunătăţi. Conectarea unor asemenea contoare la Internet face posibilă avertizarea la distanţă, pe telefonul
„inteligent”, orice consum programat sau neprevăzut. Sense, o aplicaţie folosită la scară largă, permite dezagregarea în timp real a curbei de sarcină electrică globală a gospodăriei, pentru a determina apoi ce aparate sunt folosite în casă și în ce moment3. Aplicaţia, prin realizarea de comparaţii între datele colectate și curbele de consum ale altor utilizatori, ajunge să cunoască mai multe despre felul în care este gospodărită locuinţa decât înșiși proprietarii și poate genera un tabel al obiceiurilor de viaţă ale locuitorilor acesteia sau chiar un profil al personalităţii lor.
La acest tablou se adaugă și precizarea că obiectele conectate sunt adesea fabricate de producători puţin preocupaţi de securitatea informatică: numeroasele breșe de securitate permit astfel unor terţi să vizioneze imagini care ar trebui să fie confidenţiale. Astfel, camerele video contactate care îi permit proprietarului să supravegheze de la distanţă împrejurimile casei pot oferi hoţilor informaţii preţioase cu privire la momentele în care nu este prezent. Site-ul www.shodan.io ţine o evidenţă a imaginilor surprinse de camere video nesecurizate.
Fenomenul obiectelor conectate a luat o asemenea amploare încât Ubisoft, editorul „Watch Dogs”, proclamă
„Noi reprezentăm datele” pe site-ul lor, cu ocazia lansării celei de-a doua versiuni a jocului. Acest lucru nu reprezintă o lipsă de interes a utilizatorilor faţă de viaţa lor privată, ci mai degrabă un discurs pe care-l adoptă promotorii reţelelor sociale și companiile care trăiesc din partajarea informaţiei pe Internet cu unicul scop de a-și extinde sfera de putere. Incoerenţele acestui tip de discurs merită însă analizate.

De exemplu, în 2009, Éric Schmidt, CEO Google și ex- CEO Novell, a făcut o afirmaţie de bun simţ, dar care a îngrozit multă lume: „Dacă faceţi ceva despre care nimeni nu trebuie să afle, poate ar fi mai bine să începeţi să nu mai faceţi lucrul respectiv.” Éric Schmidt nu a făcut decât să reia un proverb tradiţional chinezesc, de unde și impresia pasageră de înţelepciune pe care o emană afirmaţia sa. Observatorii avizaţi au arătat totuși că Éric Schmidt aplica această gândire în privinţa căutărilor efectuate pe Internet, iar acest lucru schimba totul. Această frază a stârnit rapid temeri în legătură cu încălcarea vieţii private. Însă acest profet al „morţii vieţii private” și-o apără pe a sa prin mijloace absurde: în 2005, a târât-o în justiţie pe jurnalista Elinor Mills pentru articolul său Google balances privacy, reach4, în care relata anumite detalii din viaţa lui privată (avere, acţiuni recent vândute pe Bursă…) obţinute de pe Internet cu ajutorul motorului de căutare Google dedicat jurnaliștilor CNET (News.com).
Hubert Guillaud, bazându-se pe un studiu de Joseph Turow, Michael Hennessy și Nora Draper din 2015, ne reamintește că „mai mult de jumătate dintre consumatorii americani nu doresc să piardă controlul asupra informaţiilor lor, însă consideră că această pierdere a controlului se petrece deja”. Departe de a considera că cedarea drepturilor personale în schimbul ofertelor personalizate reprezintă un compromis în care fiecare parte ar ieși câștigată, publicul se prezintă mai degrabă resemnat și lipsit de apărare. Suntem departe de discursul triumfalist practicat de cei care vând astfel de produse. Iar Hubert Guillaud încheie pertinent: „Neputinţa nu valorează consimţământ”5.

Orașe conectate și informatică de tip cloud

Crearea de legături: cine ar îndrăzni să critice acest ţel aparent măreţ, creator al unei armonii universale funcţionale? Scopurile urmărite de orașul conectat presupun o comunicare a datelor și a sistemelor între ele, sau cel puţin utilizarea unei semantici comune standardizate. Cu alte cuvinte, orașul conectat trece practic prin informatica de tip cloud („Big Data”). Orașele conectate și informatica de tip cloud se completează: datele orașelor conectate alimentează informatica de tip cloud, iar aceasta, în schimb, oferă chei de interpretare încrucișată cu informaţii din alte surse.
Odată ce toate „informaţiile legate de o persoană identificată sau identificabilă” sunt considerate ca date personale, acestea nu mai există independent de propriul context. Altfel spus, datele personale în sine sunt rare. Ceea ce le face să fie personale este legătura cu o persoană (determinată, sau chiar determinabilă). Orașul conectat, precum și informatica de tip cloud, funcţionează pentru a crea legături și participă la crearea de date personale… și deci la eroziunea sferei private.
Legătura către o persoană fizică se poate realiza prin obiectele pe care aceasta le utilizează, chiar dacă acestea nu sunt expres asociate respectivei persoane. Este de ajuns ca datele să fie asociate unui punct fix. De aceea, adresele IP ale calculatoarelor private sunt considerate date personale. Prin verificarea lor încrucișată cu alte date se realizează restul de operaţiuni. Dacă se stabilește doar o singură dată o legătură expresă între calculator și utilizator, de exemplu printr-un formular de comandă, toate datele adunate în jurul adresei IP pot fi asociate unei persoane fizice determinate.

Or operatorul responsabil cu prelucrarea datelor trebuie să asigure confidenţialitatea datelor personale care se găsesc în sfera sa de influenţă. Nu putem pune la dispoziţie date aparent lipsite de importanţă decât dacă ţinem cont de informatica de tip cloud și de posibilităţile de verificare încrucișată uimitoare pe care aceasta le oferă utilizatorilor. Regulile de securitate trebuie regândite și consolidate în mod regulat, cu precădere cele care garantează anonimatul. Cel care transformă datele în date deschise trebuie, în plus, să se asigure că poate pune capăt oricând distribuirii sau reutilizării acestora de către terţi, atunci când aceștia încalcă regulile de prelucrare ce garantează anonimatul. Doar distribuirea sub licenţă dă dreptul la prelucrare, cel puţin la nivel teoretic, dacă nu și faptic. Licenţele libere pot fi un exemplu în acest sens, cu condiţia ca acestea să se concentreze mai mult pe menţinerea anonimatului și nu atât pe transformarea datelor în date deschise, însă cele două scopuri nu sunt neapărat incompatibile.

Interpretarea datelor și administrarea algoritmică

Interpretarea datelor orașului conectat poate ascunde pericolele cele mai grave. Odată integrate în informatica de tip cloud, aceste date pot completa profilul indivizilor și categorisirea lor în modele de care cu greu se mai scapă. Scopul informaticii de tip cloud rămâne determinarea profilului generic al utilizatorilor şi categorisirea lor, în aşa fel încât comportamentul lor de consum să poată fi prevăzut, pentru o manipulare mai eficientă. Informatica de tip cloud este un instrument puternic de control, care merge dincolo de confuzia între ascuns şi ilegal folosită de cei care vând produse pentru a șubrezi sfera privată. În afara caracterului extrem de simplist al problemei şi obiectificarea inacceptabilă a celuilalt pe care aceasta o antrenează, acest mecanism de schiţare a profilului face ca furnizorii să dispună de situaţia indivizilor după voie, din mai multe motive.
Primul motiv îl constituie faptul că șubrezirea sferei private ascunde mai presus de orice un raport de putere. Demonstraţia acestui fapt este meritul lui Daniel J. Solove, profesor de drept american. Hubert Guillaud citează această opinie a unui expert în securitate, Bruce Schneier, intervievat în
2006: „Noţiunea de viaţă privată ne protejează de cei care deţin puterea, chiar dacă nu săvârşim nicio faptă ilegală atunci când suntem supravegheaţi. […] Dacă suntem observaţi în orice moment, […] ne pierdem individualitatea”. Hubert Guillaud încheie: „Miza vieţii private constă în tensiunea democratică între cel puternic şi cel slab6”.
Însă mecanismul de încadrare într-un profil, aşa cum este acesta realizat cu ajutorul informaticii de tip cloud este şi mai profund. Tot Daniel J. Solove, considerând că analogia între Internet şi sistemul Big Brother al lui Orwell propusă de unii nu era pertinentă, a propus o paralelă cu Procesul, celebrul roman de Franz Kafka. Profesorul de drept considera că, fără îndoială, sentimentul de opresiune din roman este generat de faptul că eroul, Joseph K., este judecat pe baza unor fapte care nu îi sunt comunicate, de către oameni pe care nu îi cunoaşte, în virtutea unor reguli şi valori care îi sunt necunoscute şi fără să afle posibilele consecinţe ale procedurii în curs7. Există multe necunoscute iar acest lucru, mai presus de toate, înlătură orice posibilitate de a se apăra. Ce putere poate fi mai arbitrară de atât? Iar Daniel J. Solove se întreabă: nu semănăm puţin cu Josef K. în faţa companiilor GAFAM8 şi a autorităţilor străine care le guvernează?
Antoinette Rouvroy, juristă şi cercetător al FNRS la universitatea din Namur, afirmă acelaşi lucru: „Veţi fi categorisiţi în funcţie de datele brute care pentru dumneavoastră nu au nicio însemnătate, în funcţie de algoritmi despre care nici nu aveţi idee cum funcţionează, iar acest lucru va avea impact asupra vieţii dumneavoastră, […] asupra modului de reacţie”9.
Acesta este pericolul principal pe care îl ascunde conceptul de oraş co- nectat, pe care Antoinette Rouvroz l-a numit „guvernamentalitate algorit- mică”. În acest caz, pericolul nu constă atât în informaţia propriu-zisă cât în interpretarea şi instrumentalizarea sa. Pretinzând că aceste date colectate masiv şi automat pot fi caracterizate prin „obiectivitate”, inginerii informatici și finanţatorii lor nu se mulţumesc doar să prezinte conducătorilor politici colectarea de date ca mijloc de verificare a eficienţei politicilor publice și gradul de însușire a lor de către populaţie; aceștia le propun extragerea „raţiunii” politicilor publice viitoare din conceptul de dată. Corelările masive pe post de modele de gândire, mașinării pe post de îngrăditoare umane, acesta este programul lor. Pe scurt, avem de a face cu versiunea modernă a confuziei recurente între mijloace și scop, dublată de o lipsă severă de cunoaștere a specificului naturii umane.
Ar trebui puse în discuţie atât „inteligenţa” artificială, teoria informaţiei și viziunea mecanicistă asupra vieţii și omului.
Voi sublinia doar un punct esenţial: categorisind comportamentul persoanelor în conformitate cu corelările rezultate în urma analizării unei cantităţi imense de date, inginerii informatici ne privează de orice viitor, distrugând fundamentele recunoașterii sociale a libertăţii individuale deja amputată de către operatorii de date personale. Ne constrâng astfel să urmăm niște modele complet inadaptate și greșite.
Se poate sesiza natura pericolului deviaţiilor din următorul exemplu. Anumiţi indivizi, deranjaţi de
„imperfecţiunile umane”, au avut idea înlocuirii judecătorilor… cu roboţi. Aplicarea legilor și a jurisprudenţei s-ar fi făcut în felul acesta cu mai multă rigoare – a se citi: cu mai multă insensibilitate la înţelegerea situaţiei. Judecarea celui care a încălcat legea s-ar fi făcut în funcţie de statistici, altfel spus de o cunoaștere parţială a trecutului aplicată în viitor. Există oare o modalitate mai bună de a îndepărta unei persoane orice posibilitate de evoluţie? De a-i refuza orice drept de a fi ascultată? Stadiul următor ar consta în instaurarea unei justiţii predictive, adică arestarea celor al căror profil i-ar semnala ca potenţiali infractori. Restul ne este cunoscut, a mai fost evocat. Ne-am putea lăuda cu atingerea unui nivel istoric inegalabil de barbarie. Oare judecarea cuiva în baza trecutului altora reprezintă o violenţă inadmisibilă? Odată ce acest sistem ar fi implementat, ce judecător ar avea curajul să dea o decizie în contradictoriu cu predicţiile statistice promovate de mașinărie?
Ar fi naiv să credem că datele sunt obiective din simplul fapt că au fost colectate în mod automat și sistematic: o dată nu este „ceva dat”, ci este construită, în special prin alegerea mijlocului de colectare și a amplasamentului. Teoriile informaţiei au uitat acest lucru prea repede. În general, cel care caută ceva nu găsește decât ceea ce căuta și poate rata esenţialul fără să își dea seama. Fenomenologia, prin noţiunea de intenţionalitate, ne-a amintit acest lucru10. De asemenea, mijloacele de

colectare nu surprind încontinuu date, ci înregistrează doar o parte din realitate, nu neapărat cea mai relevantă. Mijlocul de colectare nu face decât să filtreze realul în funcţie de intenţiile – și chiar de prejudecăţile – celui care îl instalează și nu surprinde posibilul rămas în stadiul de intenţie. Or acesta din urmă este esenţial în înţelegerea viitorului. Oare nu prin tatonări se modelează viitorul? Doar o critică coerentă ne-ar permite să privim în perspectivă informaţiile și mijloacele folosite în colectarea lor.
Și oare stabilirea profilurilor care rezultă dintr-o dată devenită infra-individuală pentru a putea fi calculată, apoi recompusă artificial în profiluri supra-individuale prin corelări nu ne golește de Subiectele care suntem? Iar dacă datele nu reprezintă realul, dacă nu au sens pentru cei care pretind că pot descrie comportamentul, s-ar mai putea pretinde că o administrare a orașului prin intermediul datelor este pertinentă?
În plus, nimic nu demonstrează că aceste corelări între date semnalează un raport de la cauză la efect. Însă comparaţiile nu pot fi luate întotdeauna drept dovadă. Însuși nucleul „inteligenţei” artificiale se bazează pe confuzia între corelare şi raport de cauzalitate. Acest lucru poate genera consecinţele cele mai absurde. Chiar vrem să ne supunem la aşa ceva? În timp ce „inteligenţa” artificială, bazându-se pe corelări, se îndepărtează de orice sens şi se mulţumeşte cu preziceri fără înţelegerea prealabilă a contextului, putem oare să ne aliniem politicile pe sugestiile sale? În timp ce ştiinţele universului au depăşit modelul scientist conform căruia întreaga realitate ar fi conţinută în „sâmburele primordial”, „inteligenţa” artificială limitează viitorul la o simplă proiecţie a trecutului; este înţelept să o lăsăm să ne închidă astfel orizonturile viitoare?
Punctele menţionate mai sus subliniază necesitatea combaterii proiectelor în derulare care vizează
„organizarea automatizată a lumii”11, cum ar fi cel condus de Sidewalk Labs, o filială a Alphabet, companie care controlează Google. Este vorba nici mai mult nici mai puţin despre conceperea unui oraş în totalitate „construit plecând de la Internet”, cu ajutorul buclelor de retroacţiune, apoi aplicarea acestui model la scara întregii planete12. Acest lucru înseamnă atribuirea puterii de a decide pentru întreaga umanitate unui grup de oameni: Google City nu doar elimină orice program politic, dar corespunde aspectului celui mai de temut al totalitarismului. Hannah Arendt susţinea că acesta din urmă viza nu doar restrângerea libertăţii, ci și eradicarea oricărei urme de spontaneitate13. Nu cumva s-ar întâmpla exact același lucru dacă am accepta proiectul Alphabet? Dacă ne gândim că spontaneitatea, pentru Hannah Arendt, nu este o simplă fantezie, ci corespunde mai degrabă unei expresii a interiorităţii, manifestării surprinzătoare și prin definiţie imprevizibile a originalităţii propriului nostru fel de a fi, înţelegem că Google City alimentează în definitiv ambiţia transumanistă a eradicării umanului din om.

A fi Subiect în ziua de azi

Marea miză nu este oare să aflăm cine suntem și cine dorim să devenim? Vrem oare să acceptăm să fim reduși la date sau să ne comparăm cu automate? Nu suntem mult mai mult de atât? Nu cumva am uitat de ceea ce ne conferă valoarea noastră specifică? În timp ce robotul, reproductibil la infinit, este preocupat de greșeală și de rezultat, fiinţa umană, singulară cu condiţia de a deveni Cine este, nu are cumva mai degrabă preocuparea finalităţii?
În domeniul sensului și al libertăţii care ne caracterizează, lucrurile posibile, atunci când relevă ceva despre natura noastră profundă, nu sunt oare mai importante decât rezultatele? Aristotel a subliniat acest lucru în mod surprinzător, afirmând că actualizarea unei potenţialităţi rămâne totuși o potenţialitate, insistând asupra caracterului dinamic și creator al modului de acţiune uman. Evenimentele esenţiale ale existenţei noastre, cele care fac ca viaţa să merite să fie trăită, sunt oare doar cuantificabile în rezultate? E de dorit ca acest lucru să nu se întâmple, căci rezultatul nu depinde de sens, la fel cum nici mijloacele de scop. Iar, spre deosebire de date, noi suntem sursă de sens.

În definitiv, scopul existenţei nu este munca internă care ne permite să devenim Cine suntem, însușindu-ne istoria? Pe drumul acesta, eșecurile ne învaţă cel puţin la fel de multe ca victoriile. Iar politicile economice sau sociale trebuie să ţină cont de sensul vieţii noastre, fiindcă altfel la ce ar servi acestea?
Trecerea de la „știinţele umane” la „disciplinele Subiectului” se va realiza după multă muncă. Aceasta implică perceperea fiinţei umane în specificităţile sale, nu ca obiect al unei știinţe, ci ca Subiect14, și necesită dezvoltarea unei alte metode decât cea adoptată de știinţele tradiţionale. Cerinţele de reproductibilitate, de cuantificare și de refutabilitate trebuie să fie înlocuite de alte abordări, proprii studierii Subiectului15. S-ar putea evita necesitatea „știinţelor” umane de autovalidare a ipotezelor prin metode necorespunzătoare.

Marea eroziune

Informatica de tip cloud erodează sfera privată la fel cum guvernarea algoritmică depreciază fundamentul recunoașterii sociale a libertăţii noastre individuale. Importanţa datelor comparative care în prezent se află în mâinile furnizorilor de servicii face din comportamentul nostru unul mai previzibil pentru acești furnizori decât pentru noi înșine. Acest lucru îl determină pe Alexandre Lacroix să afirme că fiinţa liberă de mâine va fi cea al cărei comportament se va dovedi mai puţin previzibil pentru furnizor decât pentru ea însăși16. Aceasta este legătura dintre sfera privată și libertatea individuală, iar protejarea sferei private ne garantează libertatea.
Pentru a parafraza titlul celebrei lucrări a lui Karl Polanyi, La Grande Transformation, dacă ar fi să caracterizăm efectul principal al informaticii de tip cloud, cu siguranţă l-am descrie ca „marea eroziune”.
Pentru a o evita, ni se oferă mai multe alternative. În primul rând, fiecare trebuie să rămână stăpânul datelor sale personale. Se poate vorbi despre proprietate, însă în sensul pe care acest termen îl avea în secolul Luminilor, care diferă de sensul capitalist și îl exclude pe cel pe care îl are acum. Într-adevăr, în timp ce, în secolul Luminilor, proprietatea era garanţia materială oferită fiecăruia – în întărirea celei deţinute de fiecare – împotriva puterii unuia singur (tiranul), în capitalism, proprietatea este dreptul exclusiv al fiecăruia împotriva tuturor ( Thomas Hobbes).

Acest  scop  poate fi   atins dacă  autorităţile   politice impun, pentru dreptul de a distribui datele orașului conectat,  o licenţă care să le asigure anonimatul în timp și care să ţină cont de evoluţia informaticii de tip cloud. Imposibilitatea  reidentificării datelor  orașului  conectat  trebuie  deci să fie obligatorie și presupune o vigilenţă permanentă. În această privinţă, Avrind Narayanan și Vitaly Shmatikov  ne reamintesc că

Polivalenţa și puterea  algoritmilor de reidentificare implică faptul că termeni precum «identificabil  personal»  și «cvasi-identificatori»  nu au nicio semnificaţie tehnică. Din moment ce anumite atribute pot identifica în mod unic, orice atribut poate fi identificat în combinaţie cu alţii.”

În plus, trebuie să ne asigurăm de caracterul deschis al datelor colectate și fiecare ar trebui să știe ce algoritmi, ce reguli de interpretare sunt aplicate datelor care îi privesc17.
În fine, trebuie respectate cu stricteţe relaţiile dintre indivizi și colectivitate, iar teoria informaţiei trebuie confruntată cu teoriile cunoașterii.

„Vast program”, spunea Charles De Gaulle. Tocmai de aceea, este cu atât mai pasionant.

Pascal Verniory1

Pascal Verniory este doctor în filozofie (opțiune transdisciplinaritate – etică, economie, drept), avocat cu drept de practică și, de mulți ani, responsabil juridic al Direcției generale a sistemelor de informații a Cantonului Geneva. În cadrul tezei sale transdisciplinare, a dezvoltat o viziune critică a drepturilor de autor așa cum sunt ele reglementate în prezent, propunând o abordare multidisciplinară (antropologie, sociologie, etică, economie, istorie, estetică și drept comparat); în spiritul opiniei sale despre raporturile pe care sâmburele personalității le are cu activitatea creatoare, autorul are o abordare personală și critică cu privire la robotică și la „inteligența” artificială.

1 Pascal Verniory își exprimă în acest articol punctul de vedere personal. Opiniile sale nu reflectă poziţia angajatorului său.
2 Noţiunile de dată și de informaţie sunt înţelese în mod diametral opus de către informaticieni și de către juriști: pentru juriști, data reprezintă forma brută (fără contextualizare sau interpretare) a informaţiei, în timp ce pentru teoria informaţiei – și deci pentru informaticieni – informaţia este cea care devine „dată” prin punerea acesteia în context. În cadrul acestui articol, noţiunea de „dată” trebuie înţeleasă în sensul pe care îl prevede legea.
3 BOGOST Ian, Home Monitoring Will Soon Monitor You, The Atlantic ( Washington), 11.11.2016.
4 MILLS Elinor, Google balances privacy, reach, 14.07.2005, CNET News, https://www.cnet.com/news/ google-balances-privacy-reach-1/, consultat la data de 25.03.2017.
5 GUILLAUD Hubert, Données personnelles : l’impuissance n’est pas le consentement, 11.06.2015,http://www. internetactu.net/2015/06/11/donnees-personnelles-limpuissance-nest-pas-le-consentement/, consultat la data de 25.03.2017.
6 GUILLAUDHubert, La valeur sociale de la vie privée, în InternetActu.net, nr. 241 (23.10.2009), http://www.internetactu.net/2009/10/21/la-valeur-sociale-de-la-vie-privee
7 SOLOVE Daniel J., The Digital Person : Technology and Privacy in the Information Age, New York University Press, New York 2006 ; “I’ve Got Nothing to Hide” and Other Misunderstandings of Privacy, în San Diego Law Review, vol. 44 (2007), pp. 745-772 ; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565
8 GAFAM: Google, Amazon, Facebook, Apple, Microsoft
9 ROUVROY Antoinette, STIEGLER Bernard, Le régime de vérité numérique – De la gouvernementalité algorithmique à un nouvel État de droit, 07.10.2014, înSocio, La nouvelle revue des sciences sociales, 4 | 2015, Dossier : Le tournant numérique… Et après?, pp. 113-140 ; http://socio.revues.org/1251
10 În legătură cu acest subiect, a se vedea mai alesBORTOFT Henri, Prenons l’apparence au sérieux, Triades, 2012
11 SADIN Éric, La Silicolonisation du monde – L’irrésistible expansion du libéralisme numérique, L’Échappée, Paris 2016, pp. 108-109
12 PIRENAAlexis, Et si Google créait sa propre ville avec ses propres règles ?, 06.04.2016, www.numerama.com/ tech/161094-et-si-google-creait-sa-propre-ville-avec-ses-propres-regles.html, consultat la data de 28.03.2017
13 ARENDT Hannah, Le Système totalitaire – Les Origines du totalitarisme, Le Seuil, coll. Points, Paris 2002, p. 190
14 Titlul unei lucrări a lui Jean-François Malherbe ilustrează bine acest concept: Subiect al vieţii sau obiect al îngrijirii? (Sujet de vie ou objet de soins ? Introduction à la pratique de l’éthique clinique, Éditions Fides, Montréal 2007)
15 VERNIORY Pascal, “Human Sciences” or “Disciplines of the Subject”?, în Human and Social Studies – Research and Practices, Iaşi (România), vol. 2, nr. 3 (septembrie 2013), pp. 33-58
16 LACROIX Alexandre, En finir avec le hasard ?, în Philosophie Magazine, nr. 102 (septembrie 2016)
17 În acest sens se orientează și legislaţia europeană, odată cu adoptarea Regulamentului 2016/679 din 27 aprilie 2016 (regulament general privind protecţia datelor), care va intra în vigoare în mai 2018; acesta prevede că persoana vizată va putea să ceară socoteală operatorului responsabil cu prelucrarea datelor nu doar cu privire la datele personale din administrarea sa, ci și cu privire la algoritmii care le sunt aplicaţi.

213

Când vine vorba despre breșe și furturi de date, nu ducem lipsă de știri. În fiecare zi vedem titluri de știri, conform cărora instituții și mărci de renume au căzut victimele fraudatorilor. Și aceste incidente de profil ridicat nu reprezintă decât vârful aisbergului.

Introducerea noului Regulament General de Protecţie a Datelor (GDPR) în Europa, începând de anul viitor, care obligă la raportarea tuturor furturilor de date, va releva adevărata dimensiune a fenomenului.
Dar în timp ce transparenţa este bună, pe de altă parte multe organizaţii ar putea fi atrase într-o serie de activităţi frenetice în care strategia să se bazeze pe frică iar investiţiile să se concentreze pe tehnologii de blocare, ceea ce poate duce la sporirea fricţiunilor cu utilizatorii.

Experții scot în evidență problemele

Conform  unui studiu recent  iCyber-Security,  în care au fost  solicitate  opinii de la 10% dintre consultanţii independenţi de top în securitate cibernetică din UK, teama, competenţele reduse și reacţiile impulsive reprezintă norma atunci când se pune problema securizării activelor digitale britanice. Nu suprinde faptul că multe vulnerabilităţi pornesc de la practici neconforme, cum ar fi parole slabe – un punct comun de plecare pentru multe intruziuni.
Multe dintre acestea se datorează eșecului de a investi resurse, timp și efort pentru instruirea angajaţilor pe teme de securitate și protecţia utilizatorilor ceea ce duce la un deficit de competenţe cibernetice corespunzătoare și de expertiză în UK. Mult prea adesea se întâmplă ca un incident, o intruziune sau o pierdere de date să escaladeze securitatea cibernetică până la agenda priorităţilor din board-ul companiilor.
Studiul iCyber-Security întărește această opinie prin confirmarea faptului că 43% dintre consultanţii de securitate consideră că instruirea și competenţele reprezintă cea mai mare ameninţare cibernetică cu care companiile din UK se confruntă. Un procent ameţitor de 93% consideră că investiţiile în securitatea cibernetică sunt insuficiente. Și același procent menţionează că investiţiile în acest domeniu sunt determinate de „ameninţări”. La final, 40% consideră acoperirea media negativă a intruziunilor, iar 30% lipsa de resurse competente ca determinante pentru outsourcing-ul securităţii cibernetice.
Deci, ce se întâmplă și de unde provin majoritatea ameninţărilor?
Ei bine, se pare că Application Level și Distributed Denial of Service (DDoS) sunt cele mai comune forme de atac, „parolele slabe” fiind cea mai răspândită vulnerabilitate. Dacă privim spre viitor, 40% dintre consultanţii pe probleme de securitate se așteaptă ca ransomware-ul și, 30% Identity Harvesting (furtul de identitate), să devină mai proeminente în următorii
2-3 ani, iar serviciile de cloud și dispozitivele conectate (IoT ) să devină zonele cel mai frecvent ţintite.

Reglementare sporită și consecințe

Multor organizaţii lipsa reglementărilor din industrie nu le-a fost de ajutor. Puţini vor contesta faptul că utilizatorii și companiile au nevoie de mai multă protecţie. Noile reglementări GDPR europene, care vor intra în vigoare de la 25 mai 2018, sunt considerate de unii consultanţi ca fiind deja depășite.
Cu toate acestea, multe companii, în mod special IMM-urile, nu sunt pregătite pentru această nouă reglementare și pentru notificarea în 72 de ore a intruziunilor și pentru îndeplinirea cerinţelor implicate. Nerespectarea reglementărilor poate duce la amenzi mari de până la 4% din cifra de afaceri anuală. Atât pentru companiile mari, cât și pentru cele mici, aceasta ar putea duce la paralizarea afacerilor dacă mai adăugăm și pierderile de business și pierderea reputaţiei.

Să avem o abordare pozitivă

Pe măsură ce lumea noastră digitală crește, vor crește și incidentele de securitate cibernetică iar intruziunile vor deveni inevitabile. Este de înţeles că organizaţiile din UK se simt ameninţate de dimensiunea, complexitatea și consecinţele implicate de securizarea datelor lor.
Totuși, este vital ca organizaţiile să nu permită o atitudine negativă în privinţa investiţiilor în securitatea cibernetică, ceea ce ar exacerba situaţia. A venit vremea ca investiţiile în securitatea cibernetică să devină o „opţiune pozitivă” și nu una pur reactivă și făcută din dorinţa conformării.
În prezent 80% din investiţiile în securitatea cibernetică se concentrează pe 20% dintre ameninţări. Trebuie ca abordarea să fie reconsiderată cu atenţie pentru a rebalansa situaţia și a realoca investiţiile în zonele în care pot să aibă cel mai mare impact.
Organizaţiile trebuie să scape de reţinerile pe care le au și să comunice problemele de securitate cu care se confruntă. Mult prea adesea este cerut ajutorul specialiștilor DUPĂ ce datele au fost compromise, când deja este prea târziu. Este mult mai înţelept să determini, planifici și să elimini vulnerabilităţile ÎNAINTE ca o intruziune să aibă loc.
Mulţi experţi în securitate cibernetică consideră că riscurile pot fi reduse dacă sunt angajaţi mai repede, în momentul în care sistemele și procesele sunt proiectate. Aceasta le-ar permite să optimizeze infrastructura și investiţiile, să facă IT-ul mai productiv și să prevină riscurile viitoare prin inovaţie tehnică, bune practici și o instruire cuprinzătoare pe securitatea cibernetică.

Acoperirea deficitului de competențe

Aceasta ne conduce spre adevărata esenţă a problemei: lipsa acută de profesioniști în securitate cibernetică cu care se confruntă companiile din UK, unde peste două treimi din companii se confruntă deja cu probleme de recrutare pentru angajarea personalului necesar pentru a se apăra în cazul unor atacuri majore.
Aproape jumătate din companiile britanice afirmă că deficitul de competenţe are un „impact semnificativ” asupra clienţilor lor și au determinat intruziuni în calculatoarele lor. Acest fapt este simptomatic pentru deficitul global de experţi în securitate, care ar urma să ajungă la 1,2 milioane în 2020 și să crească cu 20% pentru a ajunge la 1,8 milioane în 2022, conform asociaţiei ISC Squared.
Este esenţial ca Marea Britanie să investească rapid în extinderea fondului de profesioniști acreditaţi în securitate cibernetică. Fraudatorii și infractorii cibernetici nu au graniţe, astfel încât companiile au nevoie de strategii de securitate cibernetică mai ample și de experţi mai bine calificaţi pentru a le proteja mărcile și a le asigura securitatea afacerilor de azi și de mâine.
În timp ce majoritatea companiilor au cel puţin câteva protecţii tehnice de bază, cum ar fi firewall-uri, software cu patch-uri la zi și programe anti-malware, puţine sunt conștiente că pot fi certificate pentru toate măsurile de protecţie care sunt necesare.

Să cultivăm talentele naționale

Chiar înainte de intruziunea NHS, Guvernul UK a recunoscut securitatea cibernetică ca fiind o problemă de importanţă naţională – nu numai pentru companii ci și pentru infrastructură.
Anul acesta, în februarie, s-a deschis National Cyber Security Centre (NCSC) pentru a se asigura o concentrare clară în definirea rolului National Cyber Security Council (NCSC) în prevenirea atacurilor. 12 echipe separate de guvernul central au sarcina de a aborda și preveni potenţiale atacuri cibernetice.
Pentru a extinde competenţele, Guvernul a încheiat un parteneriat cu British Computer Society pentru a introduce module de curs de securitate cibernetică în curricula cursurilor de știinţa calculatoarelor, pentru a crea un plus de 20.000 de oameni cu competenţe pe an. În același timp, s-a făcut o investiţie de 20 de milioane
de lire sterline într-o nouă curriculă, pentru a oferi mai multor mii dintre cele mai strălucitoare tinere minţi oportunitatea de a dobândi cele mai recente competenţe, în timpul ciclului secundar de studii, în cadrul unor cluburi extracurriculare. Se speră ca astfel să se identifice și să se inspire viitoarele talente pentru a ajuta Marea Britanie să se confrunte cu provocările pe care le va avea de înfruntat.
Suplimentar, acum există facilităţi de training dedicate pentru experţi acreditaţi, pentru ca aceștia să- și sporească cunoștinţele și expertiza.
De exemplu, iCyber-Academy din Thames Valley, susţine o gamă largă de certificări și programe de training ale vendorilor și workshop-uri regulate pentru dobândirea de competenţe, precum și cursuri online pentru cursanţii proprii dar și pentru consultanţi și experţi în securitate cibernetică externi. Se observă o creștere a solicitărilor de cursuri pe măsură ce mai multe companii, persoane fizice și instituţii educaţionale se înscriu pentru dezvoltarea de competenţe.

Rescrierea regulilor, începând de la vârf

Ar fi  ușor pentru companii  să se simtă copleșite  de ameninţări și de urmările intruziunilor asupra datelor, iar pentru personal și clienţi să fie anxioși în privinţa consecinţelor. Totuși, tratând problema securităţii cibernetice ca pe o pro- blemă „umană”, și nu ca pe o problemă puă de IT, companiile pot dobândi un oarecare control.
Prin intermediul unui training adecvat ei își pot înzestra personalul în așa fel încât să diminueze riscurile și să își încurajeze clienţii să-și administreze mult mai eficient setările de securitate, parolele etc. Printr-o abordare mai proactivă, și nu doar prin răspunsuri reactive, și prin extinderea investiţiilor pentru a include specialiști și consultanţi independenţi în securitate, precum și pentru suport IT, nu ar trebui să existe nici un motiv pentru care să nu își poată reduce vulnerabilităţile.
Multe dintre aceste schimbări trebuie să vină de la vârf. Aceasta presupune ca directorii executivi să își însușească o parte din problematică și să o includă pe agenda discuţiilor regulate despre business, să încurajeze și să sprijine iniţiativele de securitate cibernetică, să alcătuiască echipe multifuncţionale și să responsabilizeze angajaţii prin resurse corespunzătoare.
Pentru a schimba cu adevărat atitudinea faţă de securitatea cibernetică, „crearea unei lumi digitale mai sigure” trebuie să devină piatra de temelie a modului în care facem business – nu ca ceva de care să-ţi fie frică, ci ca o alternativă de îmbrăţișat, celebrat și în care trebuie investit.

Alison Hanley

Alison Hanley este un consultant de marketing independent, specializată în fintech, cloud, servicii mobile și securitate cibernetică. Cu o carieră care se întinde pe o perioadă de 25 de ani, ea a lucrat pentru câteva companii europene de IT de top, atât din zona de consumer cât și businesses-to-business.

EDITIE SPECIALA – INTERNET OF THINGS

1591
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1337
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2368
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1431
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1374
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1381
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...