Tuesday, May 21, 2019
Numarul 3

309

autor: Marco Obiso

ITU, așa cum a solicitat comunitatea  internaţională în cadrul summit-ului  UN World,  și-a însușit  ca principiu fundamental al mandatului său necesitatea de a construi încredere și  securitate în  utilizarea   IT&C. Tehnologia informaţiei și comunicaţiilor  se poate să se fi schimbat de la inventarea telegrafului, dar misiunea ITU de a «conecta lumea» de o manieră  sigură și securizată nu s-a schimbat.

În  urmă cu 145 de ani ITU a fost  înfiinţată pentru a trata cu provocările și oportunităţile a ceea ce a fost începutul  erei informaţiei. Astăzi, IT&C a devenit o parte esenţială a dezvoltării umane. Administrarea și asigurarea furnizării  de apă, reţelele  de energie  electrică, lanţurile de distribuţie de alimente, transporturile și sistemele de navigaţie depind de IT&C.

Cybersecurity Coordinator, International Telecommunication Union, Geneva

Procesele industriale și lanţurile de aprovizionare sunt susţinute de IT&C pentru a furniza servicii mai eficient dar și pentru a sprijini construirea  capacităţilor  de utilizare eficientă a acestora.

Esenţa  provocărilor  aduse de securitatea cibernetică este că Internetul și IT&C-ul global nu au fost proiectate cu  gândul la securitate. Mediul cibernetic de  astăzi este semnificativ  diferit  de cel din urmă cu 60 de ani și provoacă  în mod continuu multe dintre abordările tradiţionale  ale securităţii,  solicitând  din ce în ce mai mult soluţii holistice și inovative. Un lucru însă este cert: securitatea cibernetică este o problemă globală care nu poate fi abordată decât global.

Ca agenţie a ONU care coordonează IT&C-ul, ITU joacă un rol pivotal în facilitarea colaborării globale și împreună cu guvernele, sectorul privat, societatea civilă și organizaţiile internaţionale poate accelera procesul dobândirii unei culturi globale de securitate cibernetică prin:

    • Facilitarea armonizării framework-urilor la nivel naţional, regional și internaţional;
    • Furnizarea unei platforme pentru discutarea și agrearea unor mecanisme tehnice, care să fie utilizate pentru diminuarea riscurilor care apar datorită utilizării neadecvate a IT&C;
    • Asistarea statelor membre în înfiinţarea structurilor organizaţionale necesare pentru răspunsul proactiv la ameninţările cibernetice, susţinând coordonarea și cooperarea cu toţi stakeholder-ii la nivel naţional și internaţional;
    • Promovarea importanţei construirii de capacităţi și cooperării internaţionale ca elemente cheie pe care ţările să le urmărească pentru a dobândi competenţele și expertiza necesare obţinerii unei culturi de securitate cibernetică la nivel naţional, regional și global.

În mai 2011, a fost făcut primul pas în această direcţie odată cu semnarea unui memorandum de cooperare [memorandum of understanding (MoU)] între ITU și Biroul ONU pentru droguri și infracţiuni (United Nations Office on Drugs and Crime) pentru cooperare globală și susţinerea statelor membre pentru diminuarea riscurilor aduse de securitatea cibernetică, având ca obiectiv utilizarea în siguranţă a IT&C. Este pentru prima dată când două organizaţii din cadrul ONU au agreat formal să coopereze la nivel global cu privire la securitatea cibernetică.

În iunie 2017, ITU a încheiat un protocol similar cu INTERPOL, urmând o abordare similară de utilizare a resurselor pentru ajutorarea respectivelor comunităţi.

ITU a realizat importanţa descentralizării și distribuirii eforturilor, împuternicind acele organizaţii și entităţi care posedă cunoștinţele și expertiza specifică necesare pentru a furniza asistenţa adecvată nu doar membrilor ITU, ci și comunităţii ca un întreg.

Stabilirea unei securităţi cibernetice globale poate fi o sarcină complexă, cu multiple faţete și provocatoare, dar dacă vom acţiona ca un întreg beneficiile aduse de societatea informaţională pot oferi umanităţii cea mai bună șansă pe care a avut-o vreodată pentru a se dezvolta în pace și securitate.

autor: Laurent Chrzanovski

Conștientizarea, mereu și întotdeauna conștientizarea. Singura raţiune de a fi a acestei reviste. Conștientizarea  este UMANĂ  înainte de a fi TEHNICĂ.

Toată   echipa   de   conducere    a   unei   companii    sau   a   unei instituţii trebuie  să  aibă  un  nivel minim  de  conștientizare  pentru a putea colabora  cu  specialiștii pe  securitate  și  IT –  CISO, CIO  și CSO – asigurându-se că nevoile minime tehnice și umane sunt satisfăcute și că investiţiile necesare sunt făcute pentru ca aceștia să îmbunătăţească  zilnic sistemele de apărare pentru a face faţă în cel mai bun mod posibil panoramei de ameninţări mutante, de la o zi la alta. Până la urmă, dacă se întâmplă un accident  major, CSO-ul poatevconfrunta încă multă vreme după aceea și echipa de conducere  și nimeni altcineva va trebui să dea socoteală pentru pierderi.

Din cauza  ameninţărilor din interior (din ignoranţă)  mai mari ca niciodată, un ecosistem  sigur poate fi construit doar cu participarea activă a tuturor angajaţilor, fără a exclude  pe nimeni. Toţi trebuie să aibă șansa de a li se furniza o capacitate minimă  de conștientizare, pentru a-și aduce o contribuţie efectivă la locul de muncă.  Până la urmă, dacă se întâmplă un accident  major, sistemul se va confrunta cu tăieri de costuri, care vor proveni în principal din prima măsură luată, de concediere  a multor angajaţi…

Într-o ediţie dedicată  atâtor afaceri ne-financiare  care devin 4.0, de la armate la marile industrii și, nu în cele din urmă, întregi sisteme de administrare guvernamentală,  avem  în sfârșit date despre costurile reale ale unui atac global indirect: „notPetya aka Goldeneye. În sfârșit lăsăm în urmă titlurile din media generalisă, „mai mult sau mai puţin Sci-Fi”, cu afirmaţiile lor despre  potenţialii  originatori, războaiel între state, concluziile  pripite etc., pentru a corela informaţiile reale despre consecinţele  acestui malware global asupra unor companii  de top, reflectate în declaraţiilor lor fiscale la jumătatea anului (S1).

În timp  ce  așteptăm  impactul  asupra profiturilor din  S1, avem deja câteva rezultate uimitoare referitoare la T2: Mondelez,  lider multinaţional în alimentaţie din SUA – pierdere de venituri de 3%; Reckitt, lider multinaţional în industria farmaceutică din UK – pierdere de venituri de 2%; Maersk, liderul mondial danez de transport maritim – pierdere de 300 de milioane USD, estimată doar ca o primă consecinţă directă a atacului.

Cel mai bun exemplu, după publicarea  rezultatelor pentru  S1 de compania  însăși1, este probabil cazul multinaţionalei franceze Saint-Gobain, unul dintre liderii globali în construcţii și materiale de mare performanţă: trei zile pierdute… au lucrat doar cu creion și hârtie2, 220 milioane de euro pierdere, ceea ce reprezintă o pierdere de 1,1% de venituri… și o scădere a profitului operaţional cu 4,4%. Și vorbim despre o companie  care a înregistrat un semestru S1 record,„incluzând și atacul”, înregistrând  o creștere  a profitului operaţional  de 6,8%. După părerea noastră, compania  a fost prudentă  atunci când a previzionat un cost anual total al atacului de  250 milioane de  euro, recunoscând  că cca. 30 milioane de euro, datoraţi consecinţelor, vor fi plătiţi în T3. Analiștii externi estimează un cost minim  al atacului de cel puţin 330 milioane de euro, care se va reflecta în cifra de afaceri pe 2017. 3

Aceste companii sunt gigantice, ele pot rezista la unul două atacuri de tip „notPetya pe an. Dar chiar și pentru ele, problema  rămâne: ce se întâmplă cu gradul de încredere?  După cum a afirmat un specialist în investiţii: „Pentru acţionari, a venit vremea să se dea socoteala”.

Pentru toate companiile  mai mici, alte atacuri ar putea avea consecinţe  severe și le-ar putea face chiar să se prăbușească. Și toate acestea, pentru ce? Mereu și întotdeauna doar pentru mentalitatea tradiţională a echipei de conducere:

  1. Nu prezentăm interes pentru hackeri, poate doar bazele noastre de date și tranzacţiile financiare să prezinte vreun interes, dar le-am securizat.
  2. Nu  înţeleg  problemele  de  securitate  cibernetică  și nu-l  am  pe  CISO  lângă  mine  în board-ul companiei.
  3. Departamentul  CSO  va rezolva toate problemele, cu companiile  specializate în acest domeniu, pentru că plătim aceste servicii.

Rezultatul este că nu se face nici o conștientizare  de jos până sus, nu se creează o cultură de securitate cibernetică  și – din nou – nu există nici un moment  de teamă că suntem sub un atac permanent, ceea ce înseamnă că nu există nici o conștientizare a faptului că întreaga companie, de la omul de serviciu și până la directorii executivi de top, ar trebui implicată în securizarea ecosistemului  digital de la locul de muncă.

Noi, occidentalii, suntem slabi și neinformaţi în mod particular, spre deosebire de alte ţări – și am putea da ca exemplu Israel și India – în care nu puţine companii cu profil industrial și-au dezvoltat echipe de black hats/white hats/red teams, construite  în jurul unor profesioniști tineri pasionaţi care urmăresc proactiv și ceas de ceas ce se întâmplă, corelând informaţii de  pe  forumuri  private, de  pe  deep  web, cu  informaţiile din reţelele proprii. Ei reprezintă elementele cheie pentru a testa toate sistemele companiei și pentru a previziona atacuri cu toţi vectorii existenţi și vulnerabilităţile deja cunoscute  de către hackeri, dar încă neutilizate.

Și dincolo  de  conștientizare,  „să dea Dumnezeul 4.0ca  liderii  companiilor   noastre  să înţeleagă că participarea în mecanismele naţionale și globale de declarare a vulnerabilităţilor nu este împotriva interesului propriu, ci dimpotrivă. Ceea ce va fi împotriva propriilor interese va fi vizibil în câteva luni, sau în cel mai bun caz în câţiva ani, când atacuri de tipul „not-Petyas” vor avea loc săptămânal…

1 https://www.saint-gobain.com/sites/sgcom.master/files/s1-2017-fra_a.pdf
2 http://www.lemonde.fr/economie/article/2017/06/30/trois-jours-apres-la-cyberattaque-petya-saint-
gobain-travaille-a-l-ancienne_5153635_3234.html
3 http://www.securityweek.com/notpetya-attack-costs-big-companies-millions

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu.

232

Poate părea ciudată utilizarea ca titlu a numelui unuia dintre cele mai populare jocuri de calculator din glorioasa epocă a lui Commodore 128 (1985)… și totuși…

În cadrul evenimentului Maker Faire – The European Edition (Rome) a avut loc dezbaterea „Tehnologie și politici: de ce să investim în securitatea cibernetică”, ce a oferit publicului un dialog de o oră cu Roderick Coffin (FBI); Roberto Baldoni (Universitatea Sapienza din Roma); Alessandro Vitullo (Marsh Spa) și Nicola Sotira (Fundaţia GCSEC a Poștei Italiane), care au evidenţiat faptul că, de la apariţia sistemelor informatice destinate publicului larg – în Europa de Vest prin comercializarea calculatoarelor personale Amiga, Commodore 64, 128 etc. – toate statele și cetăţenii acestora trăiesc conectaţi la ritmul noutăţilor tehnologice, la care se adaptează permanent într-o oarecare măsură, în timp ce cultura generală în raport cu lumea digitală a ajuns și rămâne într-un impas global.\\

Urgența de a pune toți actorii la aceeași masă și de a aduce informația către cetățean


Începută puţin cam târziu, cam fragmentat, şi cam dispersat, educaţia asupra a tuurilor și pericolelor există, de calitate; dar rămâne la l atitudinea individului interesat să găsească online resursele informaţionale potrivite, manualul potrivit pe tema potrivită în limba potrivită, evident cu ajutorul motoarelor de căutare și cu speranţa că va fi găsit conţinutul potrivit.
Urgenţa este deci, în toate ţările membre UE, unirea forţelor active în acest domeniu și orientarea către publicul larg a celor mai eficiente mijloace de a-și prezenta și explica acţiunile și rezultatele, aplicând o strategie nouă, deoarece, în cadrul războiului global care ne este adus prin intermediul fenomenului criminalităţii informatice, strategia este de a aborda un număr cât mai mare de ţinte posibile.
Dacă luăm exemplul Italiei, există o serie de actori importanţi care au devenit deja concentratori de bune practici în domeniul educaţiei tehnologice. Aici găsim, pe lângă numeroasele ONG-uri care se ocupă de educaţia copiilor, CLUSIT (www.clusit.it – Asociaţia Italiană pentru Securitatea Sistemelor Informatice), entitate care se adresează în principal companiilor, Poliţia Naţională, sub coordonarea Poliţiei Comunicaţiilor, care deţine una dintre cele mai moderne pagini web dedicate educaţiei adulţilor și c opiilor (www.commissariatodips.it), Autoritatea pentru Protecţia Datelor cu Caracter Personal – Garante della Privacy (www.garanteprivacy.it) și Centrul G lobal de Securitate administrat în cadrul Poștei Italiene (www.gcsec.org – cu rolul de a gestiona securitatea cibernetică prin coordonarea de proiecte care implică diverse instituţii ale statului italian și străine, organizaţii private, mediul academic și instituţii internaţionale cum ar fi ONU, NATO etc.).

Camioane speciale? Un stand de 185 mp la cel mai vizitat târg din Roma? Da, este posibil

Primul actor care a investit masiv într-un instrument polivalent destinat comunicării cu publicul larg este Poliţia Naţională care, împreună cu parteneri privaţi, au circulat două camioane construite la comandă pentru a aduce educaţia privind pericolele în utilizarea reţelelor sociale în centrul tuturor regiunilor ţării, în marele proiect „Una Vita da Social”, un proiect care a început în 2014 și care este în prezent la al treilea turneu naţional.

Header al web-site-ului Poliţiei Comunicaţiilor și cele două camioane „Una Vita da Social”.

Realizarea unor itinerarii în scop educaţional este un concept eficient, poate cel mai promiţător pentru acest tip de acţiuni. Dar, există și iniţiative curajoase care au procedat exact invers, investind o sumă inedită în acest domeniu prin atragerea mai multor parteneri pentru o acţiune de numai… 3 zile!
Vorbim despre un proiect care a presupus închirierea unei săli de 200 mp, din care 185 mp utili, în cadrul unuia dintre cele mai populare târguri expoziţionale de inovare din lume, Maker Faire, a cărui ediţie europeană a avut loc la Roma între 14-16 octombrie 2016.
Maker Faire Roma : 100.000 m2, 130.000 de vizitatori plus 60.000 de copii în cadrul ½ de zi gratuită pentru școli

Crearea, construirea, amenajarea în întregime a unui pavilion la nivelul celor mai înalte standarde de design italian și aducerea unei acţiuni de conștientizare în domeniul securităţii cibernetice la un asemenea eveniment cu recunoaștere mondială – conţinând și un pavilion dedicat dronelor, unul dedicat domeniului Internet of Things și un pavilion dedicat dezvoltării obiectelor 3D și domeniului pirateriei informatice – iată o provocare care ar fi cunoscut un răspuns direct și negativ al oricărui consiliu de administrare al unei corporaţii de mari dimensiuni. Deoarece numai o astfel de structură este capabilă să elibereze fondurile necesare pentru o astfel de operaţiune de comunicare publică.
Susţinută încă din ianuarie 2016 de către Nicola Sotira, Information Security Manager al Poștei Ita liene și director general al GCSEC (interviu publicat în acest număr), iniţiativa trebuia să fie atractivă și în aceeași măsură inovatoare, să se poată ridica la nivelul Maker Faire și să profite de vizibilitatea acestei manifestări. Lui Massimo Cappelli, Operations Planning Manager al GCSEC, i-a revenit sarcina de a construi conceptul, de a găsi cei mai buni parteneri și de a alege produsele care vor fi lansate cu această ocazie, pe scurt, tot ceea ce va deveni un întreg plan media de pus în practică.
Cu rapiditate, încă din luna martie, partenerii au fost identificaţi și produsele definite: două manuale cu conţinut educaţional ale ITU, traduse pentru această ocazie, premiera italiană a expoziţiei „Eroi și victime ale reţelelor sociale, de la hieroglife la Facebook” realizată de Swiss Webacademy – România, platforma multimedia de testare a cunoștinţelor utilizatorilor de internet, denumită „Cyber-quest”, și promovarea diverselor servicii online și off-line furnizate cetăţenilor de Poliţia Naţională.

300

Delegaţia franceză a avut o prezenţă semnificativă în septembrie 2016 la Sibiu, cu ocazia celei de a 4 a ediţii a Congresului „Cybersecurity in Romania” organizat de Swiss Webacademy.

A fost cea de-a doua participare, ca rezultat al cooperării reale între asociaţia auditorilor IHEDN Franche-Comté și organizatorii congresului.

România nu reprezintă un spaţiu străin pentru această delegaţie care organizează o dată pe an o conferinţă la Parlamentul European din Strasbourg, ocazie cu care a avut colaborări cu domnii Iuliu Winkler, Ioan Mircea Pascu și Christian Dan Proda, toţi foști demnitari în Guvernul României.

A fost o decizie firească pentru Jean-Jacques Wagner, profesor la Universitatea Franche-Comté, formator în domeniile gestionării crizelor și business intelligence și membru al Comitetului Director al asociaţiei auditorilor IHEDN Franche-Comté, să propună o participare semnificativă la congresul de la Sibiu.

Misiunea IHEDN este, de asemenea, de a se face cunoscută prin diseminarea de informaţii despre valorile sale și de a se prezenta publicului larg prin cele mai eficiente și calitative mecanisme.

După luarea acestei decizii, le-a fost solicitată participarea Profesorului Daniel Ventre și a domnului Elvio Salomon din partea Consiliului Europei, amândoi specialiști recunoscuţi în domeniul securităţii cibernetice.

De asemenea, au fost identificaţi cei mai buni oameni pentru a participa, astfel: Alain Sevilla, colonel de jandarmerie, conducător de curs la Universitatea din Strasbourg, Jean-Luc Habermacher, Președinte al Asociaţiei în domeniul energiei – Vallée de l’énergie din Belfort, responsabil cu managementul riscurilor al unor mari grupuri industriale, vice președinte al asociaţiei auditorilor IHEDN Franche-Comté, Alain Seid – Președintele Camerei de Comerţ și Industrie din Belfort, Pascal Tran-Huu, căpitan în

ppl-jean

rezervă al foţelor terestre franceze, specialist în domeniul informaţiilor și implicat în activităţile derulate în domeniul energiei de către asociaţia Vallée de l’Energie, Belfort.

Toţi au prezentat viziunile lor asupra riscurilor de securitate cibernetică și modalităţilor eficiente de răspuns la acestea, în special pentru protejarea afacerilor, de la cele mici, la cele de interes strategic. Toate prezentările realizate au fost bazate pe o experienţă extinsă și practică profesională dobândită de-a lungul unor cariere de excepţie. Astfel, s-a consolidat dorinţa de a continua și chiar crește prezenţa franceză la ediţiile viitoare ale Congresului de la Sibiu.

Succesul evident al ediţiei din 2016 ne-a motivat încă o dată să participăm la acest efort de a transmite cât mai eficient informaţii referitoare la pericolele care ameninţă societăţile noastre astăzi, precum și necesitatea de a deprinde o gândire și un comportament anticipativ în raport cu acestea.

Aceste demersuri nu trebuie să fie adresate numai unor grupuri restrânse, oricât de importante ar fi acestea, ci tuturor cetăţenilor și în special publicului tânăr. Acest subiect constituie, de asemenea, o preocupare prioritară a IHEDN Franche-Comté.

Ne vom revedea în septembrie 2017 la Sibiu!

Material publicat în Cybersecurity Trends, nr. 3/2016

Jean-Jacques Wagner,
Institut des Hautes Etudes de Défense Nationale, AR10 – Franche-Comté

Jean-Jacques Wagner predă la Universitatea din Franche-Comté, Franţa, și în special la Institutul Belfort-Montbéliard, de aproape 30 de ani. Organizează misiuni de cercetare în Romania de câţiva ani, are legături strânse cu mediul de afaceri colaborând în cadrul Camerei de Comerţ și Industrie și clusterului Vallée de l’Energie.
Delegaţia

389

Atacurile cibernetice au devenit în prezent atât de frecvente încât tind să devină neinteresante și să nu mai țină prima pagină a publicațiilor. Și, ca o consecință a faptului că atacurile au crescut în ultimii ani, a crescut exponențial și numărul de firme de securitate care pretind că rezolvă aceste atacuri.

Dar nu este oare această relaţie directă între numărul de incidente cibernetice și numărul de instrumente pentru a le opri contraintuitivă? Furnizează cu adevărat  aceste firme soluţii, sau doar valorifică o piaţă nișată și aflată în plină expansiune?

Trist este faptul că majoritatea firmelor de securitate au doar soluţii care adresează părţi din întreaga problemă și multe dintre acestea oferă valoare doar după ce atacul a avut loc și paguba a fost produsă. Firmele care oferă servicii de securitate ar trebui să găsească o cale de a rezolva cu adevărat problemele de securitate, în abordare globală (incluzând în special partea de prevenţie prin educaţie,  adresând atât mașina dar mai ales omul care o operează) și să ajungă astfel să câștige și să reușească să păstreze încrederea clienţilor și în cele din urmă a consumatorului final subsumat clienţilor.

Chiar dacă au adoptat jargonul industriei de securitate și cu toate promisiunile unor servicii de securitate de neegalat, furnizorii de securitate se află la o răscruce de drumuri, în care nu sunt în stare să-și parieze banii pe serviciile pe care le oferă, fapt ce se datorează pur și simplu neîncrederii suficiente în propriile lor soluţii.

Pe măsură ce piaţa de securitate se transformă pe zi ce trece într-un nostim Babylon, trebuie să găsim diamantele brute în mijlocul acestei pieţe zgomotoase, firme care să găsească într-adevăr soluţii complexe și coerente care vor rezolva de fapt problemele cu care se confruntă companiile în  fiecare zi. Cel mai eficient mod în care firmele își pot demonstra valoarea este să își poziţioneze produsele și serviciile pe piaţă și să ofere în același timp asigurări pentru rezultatele acestora.

Este timpul ca industria de securitate să se scuture de întregul balast bine marketizat și să crească gradul de responsabilizare, astfel încât să ajungă să facă din „mediul digital” un loc mai sigur.

Piața de securitate de astăzi

Securitatea cibernetică, la fel ca majoritatea celorlalte sisteme de infrastructură de securitate tradiţionale, se perimează rapid, pe măsură ce sistemele informatice se descentralizează, migrează în cloud, sau chiar ca urmare a extinderii și creșterii exponenţiale a numărului de utilizatori la distanţă (mobili) în întreaga lume. Formele de apărare tradiţionale încep să nu mai funcţioneze atâta timp cât hackerii le-au depășit demult, creând un joc permanent „de-a șoarecele și pisica” cu industria de securitate în dorinţa de a-i prinde din urmă pe infractorii cibernetici. Mai mult, acest decalaj în materie de securitate este accentuat de convergenţa noilor forţe precum „Internet of things” și explozia „Big Data”. Astăzi, comportamentul uman, mai ales la locul de muncă, este scufundat în tehnologie, lăsând Managerii de Securitate să se lupte să rezolve problemele ce apar precum și să adreseze riscurile nou identificate.

De acest lucru au profitat „vendor-ii” și au sărit pe fiecare tendinţă trecătoare ce le cauzează Managerilor de Securitate frustrare și panică. Iar în panica lor, managerii de securitate cedează, cumpărând promisiunile unor soluţii de securitate inovative, specializate sau de ultimă generaţie, fără să știe de fapt, cât de bine vor performa soluţiile respective, datorită noutăţii lor raportat la noutatea tipului de ameninţare.

Această evoluţie fulminantă percepută pe piaţă solicită, de asemenea, investitorii să cumpere, continuând astfel lanţul de adoptare de decizii și de investiţii, fără nici o delimitare clară a valorii practice -critice la un moment dat și cărora și giganţii pieţei înarmaţi cu cele mai bune soluţii cad pradă și devin victime ale atacurilor.

Construirea încrederii în aceste condiţii este aproape imposibilă.

Produsul vs Tendințe

În ciuda multitudinii de revendicări – „lider al X” sau „soluţie unică Y” – care „tulbură apele” pieţei de securitate, există diamante în stare brută, companii de securitate care rezolvă cu adevărat problemele cu care se confruntă zi de zi afacerile și indivizii. Cum pot acești furnizori de soluţii să iasă în evidenţă? În cazul în care mai poate fi insuflată încredere în piaţă?

Primul pas ar fi prin evitarea tendinţelor actuale ale firmelor de securitate. Să evite să se îngrijoreze prea mult „că nu ţin pasul” cu concurenţa, sau că soluţia lor nu sună la fel de bine și că ceea ce fac ei e o pierdere de timp. În schimb, firmele de securitate ar trebui să se concentreze pe punctele lor forte și să evidenţieze funcţionalitatea și eficienţa produselor și soluţiilor lor. Rezultatele sunt ceea ce contează, nu prestigiul, care e menit pur și simplu să suscite interes.

Încredere nu zgomot

Acest lucru ne induce ideea de asigurare, nu este suficient pentru un furnizor de securitate să spună clientului că este cel mai bun; validarea de către o terţă parte face să disipeze zgomotul, marketingul să nu mai valoreze nimic și astfel să dovedească de fapt că soluţiile propuse sunt cele viabile.

Firmele de securitate trebuie să își dovedească eficacitatea și să își pună ele însele pielea în joc pentru asta. Cele mai multe firme mari din domeniu deţin o anumită formă de asigurare cibernetică de la asiguratori terţi, dar această asigurare are valoare numai după ce o daună se produce. Firmele au nevoie de o soluţie suficient de puternică pentru a preveni pierderile în primul rând. Este nevoie de soluţii de securitate atât de puternice încât un asigurător terţ să fie suficient de încrezător să susţină afirmaţiile potrivit cărora firma oferă soluţii de protecţie de neegalat.

Subiectul poate fi tabu, atâta timp cât vedem că securitate 100%  este adesea imposibil de asigurat. Dar, garanţiile de securitate fac diferenţa în final. Dacă firma de securitate  are încredere că propriul ei produs nu va eșua, clientul poate de asemenea să creadă acest lucru, și să ajungă cu acest nivel de încredere la consumatorul final.

Este varianta unui câștig trivalent.

Autor: Gabriel Ţuţu

Material publicat în Cybersecurity Trends, nr. 3/2016

autor: Gabriel Ţuţu

General Manager, INFOPRIMUS GLOBAL SECURITY Bucureşti -România Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contras pionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – A NESPP, licență nr. 0269/14 – analiză de informații și antit erorism cibernetic.

495

Mecanismul prin care omul înţelege lucrurile noi, cu multe necunoscute, se bazează pe presupuneri derivate din experienţe anterioare ce implică lucruri sau fenomene asemănătoare, cu completări și substituiri ce în final au menirea de a forma o imagine nu neapărat perfectă dar satisfăcător de completă. Când un astfel the proces nu rezultă într-o eroare ce ar declanșa un mecanism de corectare, aceste presupuneri devin convingeri și ulterior vor fi privite ca adevăruri incontestabile. Deși natural, acest fenomen este unul relativ periculos, deoarece atunci când presupunerile noastre ajung a fi greșite, putem cădea în capcana de a lua decizii greșite nu pentru că logica ne înșeală ci deoarece ea se bazează pe elemente fundamentale false.

iot

Când vine vorba de internet și securitate cibernetică aceste concepte sunt atât de complexe, cu așa de multe ramificaţii, încât deseori și specialiștii sunt nevoiţi să opereze cu presupusul. Marketingul modern este în special dăunător, deoarece se folosește de această junglă de informaţii pentru a crea un cadru propice în care mărfurile și serviciile sunt ușor de plasat. Un cadru plin de emoţii, teamă, informaţii parţiale, în care limitările tehnologiei sunt ascunse și elementele forte aduse în prim plan. Este important însă ca din când în când să ne oprim și să analizăm condiţiile în care operăm pentru că fiecare sistem este diferit, și numai dacă înţelegem toate laturile acestora putem cu adevărat aplica mecanisme eficiente pentru apărarea lor, și în final, a propriei noastre persoane.

Securitatea, în general

Înainte însă să intrăm în detaliile securităţii sistemului informatic modern, și când spun modern mă refer nu la ultimii zeci de ani ci la ultimii câţiva ani, de când lumea informaţiei a luat o cale extrem de distribuită, să încercăm să analizăm conceptul de securitate, în sensul acestuia cel mai personal, și  anume referitor la propria persoană sau grup de persoane, fie ea o familie sau o companie.

De exemplu, insulina este un supliment esenţial unei persoane suferinde de diabet, lipsa ei putând avea consecinţe grave asupra sănătăţii persoanei în cauză, deci dacă privim „siguranţa insulinei”, din acest punct de vedere, este important ca ea să nu se piardă, să nu fie furată, să nu se deterioreze, adică să fie la dispoziţia persoanei atunci când este nevoie de ea. Dacă însă analizăm o pompă de insulină, lucrurile se complică. Aceasta este un dispozitiv ce analizează în mod dinamic nivelul de glicemie și injectează doza necesară în mod automat. Dacă analizăm „siguranţa pompei” din punct de vedere al persoanei, observăm că nu mai este de ajuns să ne asigurăm că acesta este la dispoziţia persoanei la nevoie, dar trebuie de asemenea să ne asigurăm că nimeni nu are acces la elementul de configurare al dispozitivului, deoarece poate provoca rău persoanei prin relaţia sa intimă cu corpul acestuia.

internet

Trebuie să gândim în mod similar și atunci când este vorba de un grup, doar că și în acest caz, vom avea elemente adiţionale. Astfel, în cazul unui grup, fie o familie sau o firmă, nu este suficient dacă este asigurată siguranţa fiecărui individ membru al grupului, trebuie de asemenea să ne asigurăm că grupul, ca și unitate, este în siguranţă. De exemplu în cazul unei firme, angajaţii pot fi în siguranţă din punct de vedere al persoanei, însă firma poate da faliment din cauza unui eveniment care afectează funcţionarea acesteia, nu neapărat sănătatea angajaţilor.

Mecanisme de apărare în formă consolidată și distribuită

Cel mai simplu și mai bine înţeles model de securitate este cea consolidată, adică acela în jurul căruia putem plasa un perimetru de securitate. În viaţa reală, acesta este cel mai popular mecanism de securitate, începând din antichitate, cetăţi medievale, clădiri de maximă siguranţă, casele  noastre, nenumărate exemple construite pe acest model ceea ce nu este întâmplător, ci datorită faptului că este cel mai ușor de apărat. Este suficient să avem un perimetru relativ impenetrabil, și un număr limitat de accese, și indiferent cât de vulnerabile sunt elementele din interior, siguranţa acestora este asigurată de perimetru. Mecanismele de apărare sunt de asemena bine înţelese și la  îndemâna oricui. Pereţii de beton asigură un grad ridicat de impenetrabilitate, avem posibilitatea să punem la uși paznici, o secretară este un filtru biometric excepţional, ce poate identifica străinii sau pe cei care fac ceva suspect în incinta clădirii, un câine este de asemena un excelent filtru biometric și nu este deloc complicat să obţinem unul pentru a îmbunătăţi siguranţa locuinţei sau a curţii.

Aceeași situaţie este valabilă și în cazul securităţii cibernetice în regim consolidat, unde avem o multitudine de mecanisme, relativ sigure, pentru a implementa securitatea pe acest model care a funcţionat multă vreme, practic de la începuturile reţelelor. Problema este că acest model nu mai poate fi aplicat structurilor informaţionale moderne, deoarece lucrurile s-au schimbat radical și perioada când bunurile informaţionale ale unei organizaţii  puteau fi plasate în astfel de incinte a apus. Nu mai avem programul contabil, baza de date, ERP-ul, etc. în reţeaua locală, le avem la furnizorul de servicii online, adică ele urmează un model de securitate distribuit în jurul căruia nu mai poate fi trasat un perimetru și deci avem nevoie de alte mecanisme de apărare.

Această formă de securitate distribuită este fundamental diferită de cea consolidată și din păcate deseori greșit înţeleasă chiar și de cei ce profesează în domeniu. În principal modul de gândire în cazul acestor mecanisme se reduce la modelul consolidat și deseori este privit simplistic: nu este un cadru consolidat, sunt mai multe cadre consolidate, apărate fiecare de perimetre separate, și de aici pornesc o serie de neînţelegeri din care se nasc nenumărate vulnerabilităţi pe plan informaţional.

Un exemplu similar din lumea fizică, pe care îl putem înţelegem ușor, este sistemul bancar. Este un sistem care se practică de multă vreme și în care bunurile nu sunt ţinute exclusiv în perimetrul casei, ci o parte rămâne în casă, banii se duc în cont, iar unele bunuri de valoare sunt în caseta de bunuri în seiful băncii. Reacţia naturală a oricui va fi probabil că de fapt acest model este chiar mai sigur decât cel clasic, cu toate bunurile în perimetrul casei, deoarece perimetrul de securitate al băncii este mai bun decât cel al casei. Este normal să privim lucrurile astfel, iar marketingul in domeniul cibernetic se și folosește de această slăbiciune a noastră de a vedea jumătatea plină a paharului și de a pierde detalii „puţin aparente” dar care în anumite situaţii pot deveni călcâiul lui Ahile al întregului sistem.

Revenind la exemplul cu banca, este într-adevăr incontestabil că o bancă are un perimetru de securitate mai bun decât orice casă, și atât timp cât bunul se află în caseta de depozit, sentimentul de siguranţă este justificat. Dar dacă bunul respectiv este un obiect de care avem nevoie zilnic și dimineaţa trebuie transportat la sediul firmei și seara înapoi în bancă perioada de tranziţie în care bunul nu se află nici în perimetrul de siguranţă al băncii și nici în perimetrul de siguranţă al firmei devine semnificativă, și erodează aura de siguranţă a sistemului complex: bancă + firmă. Dacă bancherii se plictisesc să ne ducă de două ori pe zi în seif și decid să  scoată ușa casetei de valori pe geam ca noi să avem acces la conţinutul ei oricând dorim, toată această aură dispare complet. În acest scenariu, caseta nu mai beneficiază de perimetrul de securitate al băncii absolut deloc. Indiferent că dosul casetei se află în bancă, ușa ei este în afara băncii și tot ceea ce separă bunul din casetă de un răufăcător este ușa casetei în sine. Deci sistemului cu două perimetre de securitate i-au fost introduse o serie de elemente de vulnerabilitate: perioada de tranziţie, încuietoarea casetei, tăria casetei, pers oanacare deţine cheia, elementele de siguranţă ale cheii, elementele de securitate în care cheia este ţinută, etc.

Dacă această situaţie paradoxală pare familiară este pentru că descrie în mod fidel condiţiile de securitate ale cadrului distribuit din domeniul informaţional.

iot-securiti-privacy

Căsuţele poștale, pozele noastre, conturile bancare online, și toate celelalte conturi în care noi depozităm bunuri informaţionale și nu numai suferă de aceste găuri de siguranţă profund neînţelese pe care le desconsiderăm cu sintagma falsă că securitatea unui furnizor de platformă informaţională este mai avansată decât cea a PC-ului nostru.

De fapt, dacă e să asigurăm securitatea unui bun informaţional în acest cadru, trebuie să ne asigurăm că toate etapele de existenţă ale acestuia sunt securizate. Elementele de siguranţă nu sunt cumulative, ci au o sinergie inversă: cu cât mai multe elemente cu atât devine sistemul mai nesigur. Când un alpinist urcă pe munte, acesta depinde de multiple elemente de siguranţă: coarda, roca, ancora, carabinele, secundul, și așa mai departe. Dacă cedează oricare din aceste elemente, rezultatul poate fi fatal, și cu cât introducem mai multe elemente, cu atât creștem posibilitatea ca unul din ele să cedeze.

Revenind la sistemul informaţional, nu este deci suficient să ne bazăm pe siguranţa perimetrului și nu ne putem permite să plasăm un obiect nesigur în acest cadru, trebuie să ne asigurăm că obiectele în sine sunt sigure în toate etapele acestora de folosire. De exemplu, în situaţia în care nu putem fi siguri că un sistem de schimb de fișiere este securizat, însă suntem nevoiţi să-l folosim, putem foarte simplu cripta datele din fișier și transmite cheia beneficiarului pe o altă cale. Soluţii există însă ele nu sunt întotdeauna evidente.

Paradigmele de securitate în online

În modelul de securitate distribuit există două paradigme fundamentale de care trebuie ţinut cont: izolarea, în sensul de a avea siguranţa că nimeni nu interceptează sau alterează tranzacţiile și certitudinea identităţii, adică siguranţa că partenerul cu care tranzacţionăm este cel corect. Iar dacă în viaţa de zi cu zi acestea sunt triviale, în domeniul cibernetic unde elementele de identificare sunt incomparabil mai slabe, și tranzacţiile se efectuează în teren ostil lucrurile sunt mult mai complicate si cele două elemente trebuie respectate cu stricteţe și concomitent, altfel nu putem vorbi deloc de securitate. De exemplu, dacă avem izolare dar nu avem certitudinea identităţii putem cădea în capcana de a tranzacţiona, în siguranţă, cu o entitate malefică, iar dacă avem certitudinea identităţii și nu avem izolare, putem fi monitorizaţi, sau tranzacţia poate fi interceptată și alterată fără cunoștinţa noastră.

În 1995 Netscape a introdus pentru prima dată conceptul de SSL (secured socket layer), un mecanism extrem de eficient capabil să asigure ambele principii, dar numai în forma ei iniţială denumită MASSL (mutually  authenticated SSL) care din păcate în ciuda faptului că există de atâta vreme, nu s-a răspândit din motive practice. Ceea ce cunoaște majoritatea internauţilor ca SSL este o formă simplificată în care numai serverul posedă certificat de autenticitate, clientul nu, și deci  certitudinea identităţii nu poate fi asigurată pe latura clientului. De aceea se recurge la forme mai nesigure de autentificare cu care suntem obișnuiţi dar care rămân vulnerabile la diferite forme de atac: prin forţare, furt de identitate, interpunere, etc. Este important să fim informaţi cu privire la aceste neajunsuri și atunci când alegem furnizorul de serviciu sau metoda prin care stocăm/manipulăm un anume bun informaţional să decidem în cunoștinţă de cauză pe criterii de importanţă, sensibilitate, și așa mai departe.

Un alt fenomen deosebit de periculos este introducerea unui nou tip de SSL denumit DV (domain validated) SSL, care de fapt este un SSL care nu poartă certitudinea identităţii sitului, ci doar faptul că a fost emis pentru situl în cauză, ceea ce are valoare zero. Orice răufăcător poate cumpăra un domeniu ieftin și să ruleze un sit de furt de date cu  DV-SSL care va părea 100% legitim, pentru că browserele nu emit nici o alertă, și chiar dacă acest tip de SSL poate garanta izolarea, internautul nebănuitor poate tasta parola într-un pagină ce fură date, deoarece nu avem certitudinea identităţii.

Securitatea în acest cadru modern bazat pe servicii (SaaS) nu este deloc simplu de înţeles și cu atât mai greu de asigurat, deoarece din nefericire există un profund handicap tehnologic ce provine din faptul că este imposibil să asigurăm ambele paradigme în orice situaţie, și deci există o inerentă slăbiciune a sistemului care nu poate fi eliminată tehnologic, și trebuie analizată și redusă metodologic.

Securitatea în spațiul IoT

Spaţiul IoT (Internet of Things) este la rândul său un spaţiu online, dar din păcate cu un grad și mai mare de nesiguranţă ce provine din mai multe motive. Dacă în cazul aplicaţiei tipice de tip serviciu, contul se află, precum caseta de valori, la furnizorul de servicii și acesta asigură o anume mentenanţă ce include corectarea vulnerabilităţilor, siguranţa perimetrului din spatele casetei impune anumite reguli de acces și așa mai departe, în cazul dispozitivelor IoT, majoritatea sunt plasate în domiciliu sau alte locuri nesigure, care nu beneficiază de reguli stricte, de profesionalism, de mentenanţă, de corectarea vulnerabilităţilor și este practic imposibil de determinat dacă au fost accesate fraudulos. Aceste obiecte sunt oarecum ale nimănui pentru că responsabilitatea siguranţei lor nu este asumată de nimeni. De exemplu, zilele acestea a avut loc un atac masiv asupra coastei de est a Statelor Unite ce a fost executat de către camere IP și alte dispozitive din casele cetăţenilor nebănuitori.

Ceea ce este și mai grav este că, de multe ori, aceste dispozitive au o relaţie intimă cu posesorii lor, precum pompa de insulină în cazul bolnavului de diabet. Acesta poate dăuna posesorului nu numai prin pierderea de informaţii, care este în sine grav, dar și prin faptul că dispozitivul poate executa funcţii pe care posesorul se bazează, de exemplu poate fi o ușă inteligentă, un sistem de alarmă inteligent, și așa mai departe, care dacă nu-și execută funcţia  corect poate produce pagube serioase.

Deci și în cazul IoT, ca și în cel al serviciilor online, trebuie să căutăm și să analizăm punctele de dependenţă (coarda, roca, ancora, carabina, etc.) ale sistemului și trebuie să ne asigurăm că toate aceste puncte sunt solide,  deoarece fiecare introduce slăbiciuni prin care întregul sistem poate ceda. Poate fi util să ne formulăm o listă de întrebări care să ne ajute să înţelegem aceste puncte de slăbiciune și cum ne afectează ele. Nu este ușor, deoarece responsabilitatea este profund diluată în cazul IoT și aproape fiecare dispozitiv este condiţionat diferit atât din punct de vedere tehnic cât și din punct de vedere al relaţiei cu persoana, familia, firma în care este plasat. Orice astfel de listă de întrebări trebuie să conţină însă cel puţin anumite întrebări elementare la care noi, beneficiarii dispozitivului, trebuie să putem să răspundem cu un grad ridicat de certitudine, ca semn că înţelegem problema, riscurile asociate și avem un plan pentru cazul în care lucrurile deraiază. De exemplu:

  •  ce fel de informaţie colectează dispozitivul
  •  unde este stocată această informaţie
  •  poate informaţia colectată să fie interceptată în tranzit
  •  poate informaţia să fie furată în timpul stocării
  •  a cui proprietate este informaţia colectată
  •  cine controlează dispozitivul
  •  cine corectează vulnerabilităţile când acestea sunt descoperite
  •  cum știu dacă dispozitivul este sub controlul unui factor maliţios
  •  cum opresc dispozitivul în cazul în care a fost deturnat
  •  în ce fel pot fi afectat eu sau cei pentru care sunt răspunzători în cazul în care oricare din aceste  întrebări eșuează.

Va fi foarte greu sau chiar imposibil să dau răspuns tuturor acestor întrebări de aceea ultima întrebare din listă este în special importantă. Aceasta e întrebarea pe baza căreia pot decide dacă voi face un compromis sau voi prefera să nu risc. Evident, răspunsul va fi diferit în funcţie de dispozitiv. Pentru un bec inteligent, poate cel mai grav va fi că voi pierde obiectul deci riscul e redus, dar în cazul unor dispozitive mai complicate,

iot-and-business

situaţia poate fi mult mai gravă. Pe 4 Decembrie 2011, o dronă militară americană a fost deturnată de iranieni și capturată pentru că nimeni nu și-a pus penultima întrebare din lista anterioară. Nu e cazul să analizăm în detaliu incidentul, dar putem să ne imaginăm cât de gravă este situaţia pe toate planurile: politic, tehnologic, informaţional, financiar, fără să mai vorbim de încrederea populară.

Această mult așteptată și prematur preaslăvită lume a IoT este încă un copil nenăscut care are mult potenţial pozitiv dar care, dacă nu suntem atenţi, poate genera și o catastrofă mondială. În ultimul rând, fiecare din noi este responsabil să înţeleagă seriozitatea acestei situaţii și să ia atitudine ca atare ori de câte ori puterea decizională este la noi. Atunci când cumpărăm astfel de produse sau atunci când autorităţile ne consultă cu privire la legile care guvernează aceste dispozitive.

Securitatea informatică este un concept foarte complex și greu de definit în sine, și cu cât un sistem este mai complicat, cu atât este mai greu să-l analizăm și să-l înţelegem. Și cu toate că este greu să găsim o formulă generală care să ne acopere din toate unghiurile, este  relativ ușor să înţelegem fiecare situaţie în parte prin prisma securităţii personale, pentru că acest lucru dincolo de anumite generalităţi este un subiect profund personal și cei mai capabili de a găsi întrebări și de a răspunde la ele vor fi cei în cauză. Nu este nevoie decât de logică elementară, un pic de timp alocat și un exerciţiu mint al prin care să luăm toate elementele afectate de un astfel de sistem, componentele cu care interacţionează, felul în care interacţionează, importanţa lor, căile de acces, și modul în care toate acestea afectează persoana, familia, firma, etc., beneficiile finale ale acestora și riscurile la care ne expunem. Și chiar dacă nu vom găsi toate întrebările, și în consecinţă toate răspunsurile, vom fi mai în siguranţă pentru că vom putea elimina cea mai mare majoritate a riscurilor, pentru că în final este responsabilitatea fiecăruia să se asigure că lucrurile din jurul său nu îi pun persoana în pericol.

Autor: Ștefan Hărșan Fárr

Material publicat în Cybersecurity Trends, nr. 3/2016

Ștefan Hărșan Fárr
Antreprenor, Consultant independent

Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de apli cații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, semantica și proiectarea limbajelor calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale.

Interviu cu Bianca Turchetti, responsabilă cu realizarea conceptului, montarea și gestionarea standului de conștientizare în domeniul Internetului al Poștei Italiene – GCSEC – Poliției Comunicațiilor în cadrul Maker Faire, ediția europeană (Fiera di Roma, 14-16 octombrie 2016).

Laurent Chrzanovski: Dna. Turchetti, înainte de a intra direct în subiect, vă rugăm să descrieți pe scurt parcursul dumneavoastră profesional. 

Bianca Turchetti: Cariera mea profesională a fost cu totul altfel: am absolvit administrarea afacerilor și primul meu angajament profesional a fost alături de responsabilul administrativ al unei societăţi comerciale care organizează „L’Isola del Cinema di Roma”, o reuniune anuală dedicată cinematografiei, din cadrul manifestării „Estate Romana”.

Am rămas tot în domeniul administrativ și ulterior, pentru a mă apropia de lumea comunicării, m-am întors, după șapte ani, să mă ocup de gestionarea și organizarea de evenimente, în aceeași agenţie.

În timpul celor șapte ani am deschis o mică firmă de catering și evenimente de lux și am lucrat un an la PosteVita ca manager de  produs.

Laurent Chrzanovski: Compania dumneavoastră este recunoscută pentru calitatea și diversitatea produselor sale, care variază de la promovarea și organizarea de evenimente de cel mai înalt nivel până la realizarea de pavilioane expoziționale personalizate pentru evenimente de prim rang, cum ar fi cel al lui ENI/Agip sau ultima ediție a Premiului de Formula 1 de la Monza. Colaborați de ceva timp cu Poșta Italiană pentru diverse campanii promoționale adresate unor segmente de public foarte diferite. Ne puteți explica cum se naște, de la idee la proiect, un pavilion expozițional după primele contacte cu clientul? 

Bianca Turchetti: După ce am primit de la client o scurtă descriere în care acesta ne explica cum ar dori să realizeze un spaţiu de expunere (în acest caz), activăm imediat toate departamentele implicate în proiect: departamentul de creativitate pentru cei care sunt interesaţi de manifestări artistice, graficienii care pun bazele modului în care „vedem” noi proiectul, se trece apoi la un expert în grafica 3D care începe să ne deseneze ideile și, odată confruntate cu clientul, se fac eventualele modificări, acolo unde este necesar, apoi se trece la proiectarea efectivă corespunzătoare în cel mai mic detaliu a caracteristicilor tehnice ale proiectului și ne recomandă toate materialele necesare pentru montaj.

turchetti-img1turchetti-img2

Laurent Chrzanovski: Prezentarea campaniei de conștientizare față de pericolele web într-un pavilion de această calitate este o avanpremieră mondială, pentru a demonstra dorința Poștei Italiene, a GCSEC și a Poliției Comunicațiilor de a investi „acolo unde publicul nu se așteaptă” într-un târg de „makers”. Îmi imaginez că propunerea dumneavoastră de pavilion a reușit să seducă liderii pentru a face acest pas, foarte costisitor, având în vedere evenimentul și calitatea cerută de către companie. Cum ați reușit să colaborați cu instituțiile organizatoare ale expoziției (Poștă, GCSEC și Poliție), să țineți cont de ideile și de nevoile lor și să generați în același timp un proiect care din punctul de vedere al prezentării se ridică la nivelul celor de Grand Prix? 

Bianca Turchetti: Am avut norocul de a găsi interlocutori foarte „luminaţi”, proiectul a fost foarte diferit datorită publicului ţintă și, în special, a tematicii specifice acestui târg.

Am dorit să dăm standului o notă elegantă, conștienţi fiind de tratarea unor subiecte foarte sensibile, am știut că ţinta va fi diferită faţă de restul  pavilioanelor, de aceea ne-am bazat mult pe linii esenţiale și directe, pornind de

turchetti-img3turcheti-img4

turchetti-img5

turchetti-img6

la elementele vizuale de comunicare și identitate, la instalaţiile tehnice de mare impact emoţional (firele suspendate din a doua sală) și la avatarul care să atragă atenţia chiar și celor mai tineri vizitatori.

Laurent Chrzanovski: În plus față de talentul specific designului italian, în combinația de culori a pereților și a tapiseriei, a corpurilor de  iluminat, a designului standului se vede o înțelegere reală a problemei. Adică ați reușit să realizați o legătură foarte coerentă între expoziția despre  „trecut”, sala “web-ului periculos”, coridorul „web-ului bun” și sala de sfaturi ale Poliției și ale Poștei. Ce dificultăți suplimentare și ce provocări ați întâmpinat în realizarea acestui pavilion în comparație cu alte proiecte? 

Bianca Turchetti: M-am sfătuit cu experţi în domeniu, ideea de a crea un parcurs explicativ s-a născut din dorinţa de a face publicul să înţeleagă un proces logic și istoric, pornind de la panourile dumneavoastră foarte clare și convingătoare, ce analizează situaţii de viaţă comune și foarte delicate împreună cu toate problematicile conexe, pentru a ajunge apoi, la finalul parcursului, la un fel de „soluţie” a problemelor prezentate datorită prezenţei valoroase a autorităţilor de aplicare a legii.

Laurent Chrzanovski: V-am văzut un pic stresată în ziua deschiderii, în ciuda faptului că ați avut un pavilion frumos, obiectiv vorbind. A fost o emoție „obișnuită” legată de orice expoziție sau a fost și „teama de a nu fi înțeles bine ideea”?

Bianca Turchetti: Partea cea mai frumoasă în această muncă este că de fiecare dată, cu fiecare ocazie, vezi cum se naște, se proiectează și se dezvoltă o idee care într-un fel e a ta, m-am atașat foarte mult de acest eveniment, nu numai datorită profunzimii temelor abordate, dar mai ales pentru că am muncit cu toţii împreună pentru un singur scop.

Cu siguranţă, teama de a greși este întotdeauna acolo, dar în cele din urmă, atunci când se stinge lumina, iar clientul îţi spune că „ai facut o treabă minunată”, este lucrul cel mai plin de satisfacţii din lume!

turchetti-img7turchetti-img8
turchetti-img9

Laurent Chrzanovski: În sala Poliției cu “web-ul periculos”, sloganul și exemplele de criminalitate informatică (de la agresiune la phishing) au fost tipărite și agățate de un fir subțire, ca și viața noastră digitală. Cine a avut această idee?

Bianca Turchetti: Ideea a venit de la una dintre artistele noastre,  Giovanna La Forgia, a fost prima dată când am lucrat împreună și trebuie să recunosc că, iniţial, am fost cu toţii un pic nervoși văzând cantitatea de lucru dar, din fericire, clientului i-au plăcut imediat propunerile pe care i le-am făcut, iar acest lucru ne-a dat posibilitatea să ne concentrăm mai bine pentru a oferi soluţii la înălţimea acestui eveniment.

Laurent Chrzanovski: Acum, „la cald”, imediat după încheierea maratonului de trei zile, sunteți mulțumită de rezultat? Sau cunoscând acum problematica foarte dificilă a securității pe Internet, aveți deja idei  despre cum să tratați acest subiect și mai bine data viitoare? 

Bianca Turchetti: Cred că acest lucru este o bază excelentă de pornire, cu siguranţă dificultatea tematicilor tratate și schimbările rapide și constante

tuschetti-img9

ale acestora sunt principala problematică, orice altceva, producţie, grafică, etc. merg mână în mână. Dar suntem pregătiţi pentru o evoluţie și o îmbunătăţire constantă a serviciilor noastre.

Laurent Chrzanovski: Ca profesionistă, credeți că vizibilitatea (media, vizitatori, net)  pavilionului a m erit at curajul Poștei de a se angaja în această  chestiune care nu are un ROI (Return on Investment – rata de  recuperare a investiției) direct? 

Bianca Turchetti: Iniţial am fost un pic descurajaţi de locul care ne-a fost dat, dar dacă ne gândim acum la rezultat, la tipul de stand pe care l-am creat, cred că am reușit să profitam la maxim de poziţia noastră, dacă am fi fost într-un alt pavilion, probabil nu am fi avut același rezultat, iar fluxul de vizitatori o demonstrează.

Laurent Chrzanovski: Câteva anecdote cu privire la desfășurarea evenimentului sau la interacțiunea  dintre vizitatorii și expozanții pavilionului?

Bianca Turchetti: Am avut momente amuzante în timpul montării expoziţiei, ne-am făcut unele îmbunătăţiri în spaţiul pe care l-am avut la dispoziţie, am pictat un

turchetti-img10

zid care era intr-o stare deplorabilă și iniţial am fost trași la răspundere de organizatorii târgului, deoarece, potrivit lor, am provocat pagube structurii, dar după ce au văzut starea jalnică a acestui spaţiu, chiar ne-au mulţumit…

În timpul târgului, mulţi oameni au cerut  gazdelor  informaţii total în afara subiectului, cum ar fi dacă vindem produsele financiare ale Poștei sau dacă se pot scoate bani în interiorul standului, gândindu-se că era vorba de un bancomat al Poștei Italiene…

Laurent Chrzanovski: În loc de încheiere: cum va rămâne în memoria dumneavoastră acest eveniment special?

Bianca Turchetti: O colaborare perfectă, chiar dacă nu ne cunoșteam între noi, în doar câteva zile am creat un mediu foarte informal și plăcut, cea mai bună dovadă fiind mulţumirile nu numai din partea clientului, dar și din partea celor care au lucrat cu noi. A fost cu adevărat o aventură minunată.

Material publicat în Cybersecurity Trends, nr. 3/2016

Autor: Laurent Chrzanovski

Bianca Turchetti

Bianca Turchetti este Senior Project Manager la Overseas Group, una dintre cele mai importante companii de organizare de evenimente, creație și management, advertising ambiental și comunicare high-profile din Italia.

Interviu cu Nicola Sotira, General Manager al Global Cyber Security Center în cadrul Poștei Italiene

Laurent Chrzanovski: Domnule Sotira, cum fac față companiile italiene amenințărilor cibernetice din ziua de azi?

Nicola Sotira: Ei bine, este o panoramă foarte complexă. Ca să vă faceţi o idee, datorită raportului anual al CLUSIT (Asociaţia Italiană pentru Securitatea Sistemelor Informatice, NdR) știm că numărul a tacurilor și impactul lor asupra economiei italiene este în creștere. Pe de altă parte, alt studiu realizat anul acesta de către KPMG și BT, arată că 94% dintre decidenţii cheie din IT sunt conștienţi de aceste ameninţări și știu că atacurile cibernetice pot face rău organizaţiilor lor. Dar din același studiu reiese și partea întunecată a medaliei, și anume faptul că 47% dintre cei intervievaţi recunosc că nu au o strategie pentru a combate criminalitatea cibernetică.

Laurent Chrzanovski: De unde credeți că provine această problemă și care credeți că sunt rădăcinile acestei dihotomii? 

Nicola Sotira: Ne confruntăm cu probleme de management și cu modul în care managementul adresează securitatea cibernetică în organizaţiile lor.

Faptul că nu au o strategie în acest domeniu semnifică faptul că board-ul companiei nu este cu adevărat angajat în domeniul protecţiei digitale. Pentru a aborda corect acest domeniu avem nevoie de un angajament puternic al conducerii executive și avem nevoie ca securitatea cibernetică să facă parte din agenda lor, alături de problemele financiare și de business.

În plus dacă corelăm aceste date cu altele relevate de studiul KPMG și BT, care arată că 97% dintre companii au fost ţinta unor atacuri cibernetice și au trebuit să se confrunte cu acestea, 47% dintre acestea au mărturisit că au avut dificultăţi majore în administrarea și combaterea acestor atacuri. Astfel ajungem la subiectul educaţiei și training-ului în cadrul companiei, dacă este să vorbim despre conștientizare, și despre procesul de recrutare a angajaţilor, și despre a ști sau nu dacă profilul specialiștilor în securitate se potrivește activităţilor companiei.

Laurent Chrzanovski: Cum credeți că va evolua acest peisaj  nearmonios?

Nicola Sotira: Companiile au început să înţeleagă că securitatea cibernetică este un subiect major și că mai presus de toate securitatea este o parte a business-ului, nu ceva colateral. Multe companii au cooptat specialiștii de securitate în board, realizând că problemele trebuie rezolvate direct, la cel mai înalt nivel, pentru a interveni cât mai rapid posibil. De fapt, impactul unui atac de succes este devastator asupra business-ului

laurent-si-nicola-1
laurent-si-nicola-2

și CEO au început să înţeleagă asta: când serverele se opresc, mașinile se opresc, întregul lanţ industrial se oprește, pe scurt, toate activităţile sunt paralizate. În plus, dificultatea este dată și de extensia perimetrului de vulnerabilitate, care nu se mai limitează nici pe departe doar la zona unui server PC. O să vă dau un exemplu recent: o companie a fost atacată cu succes prin intermediul sistemului de aer condiţionat, deoarece firma care răspundea de controlul acestor aparate le-a conectat la reţeaua WiFi a companiei, deci infractorii au penetrat compania „prin aparatele de aer condiţionat”…

Laurent Chrzanovski: Prin urmare ce ar trebui făcut?

Nicola Sotira: Ţinând cont de complexitatea peisajului ameninţărilor, trebuie să construim și să punem la punct toate strategiile, pentru a face faţă noilor pericole, dar și pentru a continua să le supraveghem pe cele  existente. Nu trebuie să uităm niciodată că „vechile” tehnici funcţionează încă foarte bine. Vă pot da cel mai bun exemplu în legătură cu aceasta. În ultimele luni, o multinaţională din SUA a pierdut aproape 3 milioane USD în urma unui e-mail de phishing. Cum a fost posibil? E-mailul fals a fost conceput perfect, în cele mai mici detalii și de la șeful de departament și până la responsabilul financiar au aprobat transferul unei sume „normale” pentru acel nivel de business către un cont bancar din China.

Succesul s-a datorat unui lung proces de inginerie socială, infractorii știind că acea companie este în proces de restructurare, cu schimbări la nivelul factorilor de decizie și șefilor de departamente, mimând perfect interacţiunile umane și de încredere reciprocă între membrii noii echipe constituite. Singura eroare pe care au făcut-o atacatorii, acesta fiind și norocul  extraordinar al companiei, a fost că în acea zi banca din China a fost închisă din cauza unei sărbători naţionale, astfel încât oamenii legii, și în special FBI, au reușit să blocheze transferul banilor și să îi recupereze înainte să li se piardă urma. Dar revenind la cele afirmate anterior, acei câţiva antreprenori care mai sunt sceptici și care argumentează că securitatea nu este o chestiune de business ar trebui să reflecteze la acest caz. Dacă acest atac ar fi fost finalizat cu succes, ar fi devenit automat o problemă de business și compania ar fi trebuit să înregistreze o pierdere de 3 milioane USD în balanţa anuală.

Laurent Chrzanovski: Cum vă explicați că phishing-ul mai poate avea succes la un asemenea nivel, pentru că nu vorbim despre o persoană fizică, sau despre un IMM și nici măcar despre o companie locală?  

Nicola Sotira: Acest atac ne aduce către nucleul iniţiativelor pe care încercăm să le lansăm cu GCSEC. Atunci când vine vorba despre apărare, a miza totul pe tehnologie este o greșeală. Suntem oameni și problemele sunt pur și simplu umane, înainte de a deveni tehnologice. Compania despre care vorbim avea cu siguranţă instalate cele mai bune firewall-uri, antiviruși, protecţie la phishing și alte sisteme de securitate, dar mail-ul fals a trecut cumva de acestea și cineva a avut încrederea de a da click pe el. Un simplu click este dovada evidentă că indiferent ce sistem de securitate ai cumpăra, în lipsa educării angajaţilor, vei eșua din ce în ce mai mult. Aceasta este noua tendinţă. Din acest  motiv am decis să venim la Maker Faire cu un stand uriaș dedicat în întregime conștientizării. Am  prezentat de asemenea aplicaţia (app) CyberQuest pentru a măsura nivelul general de cunoștinţe al cetăţenilor pe subiecte de securitate și pentru a-i ajuta pe cei care vor folosi aplicaţia să conștientizeze riscurile la care sunt expuși online, indiferent de vârstă sau de profesie.

Laurent Chrzanovski: Relatând despre standul Poste Italiane/GCSEC/Polizia Nazionale, un ziar a  titrat că Dvs. considerați că este urgent să se facă o „alfabetizare digitală a societății”. Ce ați vrut să spuneți cu asta?

Nicola Sotira: Avem foarte mult de lucru, o muncă enormă de făcut. Graba de adoptare a tehnologiilor nu a fost însoţită și de o grabă de cunoaștere, cultură și educaţie despre cum să le utilizăm în siguranţă.

cyberquest

Folosim instrumente, unul sau două smartphone-uri, cu storage real, baze de date, PC-uri și una sau două conexiuni DSL conectate în permanenţă la internet… Mobilitatea oferită de smartphone-uri face ca prioritatea pentru o cultură digitală să fie și mai fierbinte, deoarece nu mai avem acea „barieră” pe care o aveam în urmă cu câţiva ani cu laptop-urile și PC-urile la care trebuia să te logezi ca să te conectezi la net. Acum suntem online 24/7/365, lucrăm cu smartphone-ul, adormim lângă acesta și tot el este și pe post de ceas deșteptător… Smartphone-ul partajează informaţii tot timpul, astfel încât nu se mai pune problema de a

scopri

înfiera un obiect ci se pune problema educării oamenilor despre ceea ce acest obiect este capabil.

Laurent Chrzanovski: Și în privința companiilor? 

Nicola Sotira: Trebuie să convingem board-ul să nu se mai gândească la securitatea cibernetică doar sub aspect tehnologic. Aceasta presupune team-building-uri constante, traininguri regulate de scurtă și lungă durată cu angajaţii, în funcţie de nivelul de importanţă al acestora în companie și alocarea controlată a accesului la materiale sensibile etc.

Laurent Chrzanovski: Pornind de aici și până la realitatea de a convinge Gruppo Poste Italiane să lanseze acest stand de clasă mondială la extrem de popularul târg „Maker Faire. The European Edition”, este un obiectiv pe care multe fundații nu au reușit să-l depășească. Cum ați reușit să vă concretizați ideea? 

Nicola Sotira: Parteneriatul cu ITU și cu Poliţia Comunicaţiilor ne-a ajutat să construim un concept foarte solid. Am reușit deoarece Poșta Italiană este conștientă de problematica imensă a pericolelor web, de la indivizi, la echipamentele de orice fel pe care le utilizăm, și până la autostrăzi, căi ferate și infrastructuri critice. Am vrut să arătăm, de asemenea, că doar Poșta Italiană și GCSEC pot realiza puţin dacă nu vom crește rapid cultura digitală a companiilor și a indivizilor. Difuzarea educaţiei, culturii, a bunelor practici și a conștientizării sunt raţiunile existenţei GCSEC și stau la baza deciziei de a înfiinţa fundaţia.

Laurent Chrzanovski: Care sunt primele reacții? 

Nicola Sotira: Ei bine, este încă prea devreme să analizăm profund impactul evenimentului, dar numărul de vizitatori, interesul publicului de toate vârstele, faptul că și-au făcut timp să viziteze cele 3 secţiuni ale expoziţiei, utilizarea noii aplicaţii și apoi întrebările  adresate membrilor echipei noastre și echipei de poliţie, dar și acoperirea mediatică au arătat că nu a fost o investiţie greșită. Mai mult, suntem mândri că pe lângă comunitatea vorbitorilor de engleză, italienii sunt acum primii beneficiari ai celor mai noi linii directoare ale ITU, elaborate în toamna lui 2015 și la începutul lui 2016. Acestea pot fi descărcate acum gratuit de pe site-ul  GCSEC. Acestea, împreună cu aplicaţia despre care am vorbit, sunt deja o realizare care își va arăta roadele multă vreme după ce acest eveniment își va fi închis porţile.

Autor: Laurent Chrzanovski

Material publicat în Cybersecurity Trends, nr. 3/2016

Nicola Sotira

Nicola Sotira este Director General al Global Cyber Security Center și Information Security Manager în cadrul Poștei Italiene. El lucrează în IT de peste 20 de ani, acumulând experienţă în cadrul unor companii internaţionale. Anterior, Nicola Sotira a fost director de vânzări la UC&C & Security Practices din cadrul WestconGroup Italia și VP Sales Italia în cadrul Clavister AB. Este profesor la Masteratul Network Security al La Sapienza University, Membru al Association for Computing Machinery. Promotor al inovaţiei tehnologice, a fost membru al mai multor start-up-uri din Italia și de peste graniţă.

354

Analiza atacurilor cibernetice identificate în perioada ultimilor 2-3 ani evidențiază în primul rând faptul că modalitatea în care este abordată în prezent securitatea infrastructurilor atacate nu este eficientă, iar răspunsurile adecvate nu par a fi prezente nici în ofertele de tehnol ogii și servicii pe care le generează piața globală de profil, nici în măsurile legislative și administrative ale guvernelor.
Această concluzie poate fi susţinută prin analiza calitativă și cantitativă a volumelor uriașe de date generate de platformele dedicate colectării de alerte privind incidentele de Securitate cibernetică care au loc la nivel global. Evoluţia calitativă a atacurilor relevă o utilizare în creștere a unor tipuri de malware din ce în ce mai greu de detectat, indiferent de soluţiile tehnologice destinate detecţiei utilizate la nivelul infrastructurii atacate, iar evoluţiile cantitative generează din ce în ce mai multe date, pentru analiza eficientă a cărora majoritatea instrumentelor tehnologice existente nu demonstrează decât cel mult o valoare adăugată pentru investigaţia postincident.

Nu mi-am propus o analiză a statisticilor din ce în ce mai numeroase care descriu incidentele/atacurile ce se derulează online în ultima perioadă și nici redactarea unei analize tehnice, ci voi încerca să argumentez o potenţială soluţie care ar permite îmbunătăţirea răspunsului mediului de afaceri la ameninţările cibernetice reale, inclusiv printr-un model de business sustenabil și cu efecte directe în costurile pe care le implică reducerea riscurilor de Securitate cibernetică.
Unul dintre factorii care permit atacatorilor, indiferent de natura și motivaţia acestora, să extindă un anumit tip de atac asupra mai multor categorii de infrastructuri din același domeniu de activitate este lipsa de comunicare reală la nivelul segmentului de business ameninţat. De regulă, și aici exemplul cel mai bun este domeniul financiar-bancar, comunicarea între companiile care activează într-un mediu competitiv este limitată, motivele fiind lesne de înţeles. Există numeroase exemple în perioada ultimilor ani când, dacă o bancă care a fost victima unui atac cibernetic reușit ar fi transmis comunităţii date descriptive minimale referitoare la incident

(ex: indicatori de compromitere) – care sub nicio formă nu ar putea conduce la afectarea obiectivelor de afaceri și nici nu ar fi prejudiciat aplicarea reglementărilor privind confidenţialitatea adoptate în domeniul bancar, ar fi fost evitate atacuri similar îndreptate cu succes ulterior asupra altor bănci.

Trecând peste necesitatea implicării autorităţilor de reglementare, dar luând în calcul efectele imediate și pe termen lung ale măsurilor de reglementare care sunt în curs de implementare la nivel national și la nivelul UE (Ex: Directiva NIS, Data Protection), care vor genera efecte pozitive asupra nivelului general de Securitate cibernetică, voi încerca să aduc câteva argumente pentru ca, de exemplu băncile, urmând alte exemple din trecut (ROMCARD, Biroul de Credit etc.) care au fost generate tot ca răspuns la realităţi pe care nu le-au mai p utut ignora, să se organizeze singure, beneficiul final fiind controlul r iscurilor de Securitate și al banilor aruncaţi uneori pe soluţii tehnologice și servicii care se dovedesc inutile într-o situaţie reală: \

  • Constituirea unei structuri de tip CERT private va fi sub controlul total al acţionarilor – orice decizie privind serviciile oferite, structura funcţională, investiţiile și costurile operaţionale;
  • Constituirea într-o structură privată poate fi susţinută pe un model de business, astfel încât, pe baza unei guvernanţe coerente și exploatând nevoia de servicii de pe piaţa de profil, CERT-ul financiar poate deveni o entitate care se autofinanţează într-o perioadă scurtă de timp și de ce nu, în timp, generatoare de profit;
  • Obiectivul principal al unui CERT privat în sectorul financiar bancar este schimbul de informaţii în timp real la nivelul întregului sector, astfel încât să fie asigurat un răspuns adecvat la orice potenţială ameninţare cibernetică;
  • Cooperarea informală și formală cu sectorul public (CERT-RO, CyberINT etc.) ar putea fi realizată prin intermediul acestei platforme, unice, la nivelul întregului sector bancar;
  • Colectarea de date cu un nivel de calitate ridicat referitoare la ameninţările cibernetice care afectează domeniul financiar-bancar poate constitui baza pentru constituirea unui sistem de alerte bazat pe analize proprii, conţinând date validate și evaluări realiste ale riscurilor la care este expus sectorul financiar-bancar din România, evident și prin raportare la contextul global;
  • În cadrul CERT-ului privat se pot dezvolta capabilităţi tehnologice și expertiză specifice avansate de răspuns la incidente de securitate cibernetică, care ar putea completa în situaţii de criză, capabilităţile proprii dezvoltate la nivelul fiecărei entităţi din sistem;
  • Având în vedere perspectiva obligativităţii realizării managementului și raportării incidentelor de Securitate cibernetică la nivelul întregului sistem financiar b ancar, identificat ca furnizor de servicii esenţiale în noua Directivă NIS, o structură de tip CERT susţinută de întregul sector ar putea contribui la eficientizarea gradului de conformitate cu cerinţele legale și costurilor aferente acestui proces;
  • Diversitatea tehnologică care există în sectorul f inanciar-bancar în raport cu soluţiile utilizate pentru reducerea riscurilor de Securitate cibernetică creează dificultăţi majore în ceea ce privește transmiterea de informaţii tehnice între diferite entităţi. Ca și în cazul comunităţilor de tip CERT guvernamentale, utilizarea unor comunicări standardizate poate crea un limbaj comun pe acest segment de activitate, având ca obiectiv final creșterea capacităţii de răspuns la atacuri cibernetice la nivelul întregului sector de business;
  • Nu în ultimul rând, cooperarea la nivel international cu structuri similare este un proces care ar aduce beneficii evidente, atât în perioadele de operare normală, cât și, în special, în situaţii de risc, natura distribuită și globală a unora dintre atacurile cibernetice cu grad ridicat de risc făcând din cooperarea internaţională, bazată pe criterii clare de încredere, un factor decisiv privind capacitatea de protejare reală a infrastructurilor informatice și de comunicaţii utilizate pe scară din ce în ce mai largă în sectorul financiar bancar.
autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

226

Cifrele sunt îngrijorătoare. Activitățile ce țin de criminalitatea cibernetică vor provoca pagube de 2.000 de miliarde de dolari până în 2019, potrivit estimărilor analiștilor de la Juniper Research.
Ameninţările de tip ransomware au provocat daune de peste 200 milioane de dolari în primele trei luni ale anului 2016, conform datelor publicate de FBI. Cifrele reflectă numărul de plângeri oficiale raportate către FBI, număr care reprezintă doar o parte din totalul incidentelor reale. Motivul este evident – cele mai multe companii sunt reticente în a recunoaște public că sistemele de s ecuritate le-au fost compromise și că au cedat tentativelor de șantaj, plătind sume exorbitante pentru a recupera accesul la date confidenţiale.
Forumul Economic Mondial atrage atenţia asupra faptului că o mare parte din activitatea hackerilor trece neobservată, în special în zona spionajului industrial unde accesul la documente confidenţiale e dificil de detectat.
Drept urmare, victimele sunt îndemnate să raporteze cazurile de infecţii pentru a oferi o imagine de ansamblu asupra magnitudinii ameninţării de tip ransomware și a impactului pe care îl are asupra utilizatorilor și organizaţiilor.

Organizații păgubite

În ultimele luni s-a înregistrat o creștere a numărului de atacuri de tip ransomware, în special asupra companiilor mici și medii din domeniul financiar, al securităţii și al sănătăţii publice.
Spitalele au fost ţinte predilecte. În februarie 2016, un spital din Los A ngeles, SUA, a plătit echivalentul în Bitcoins a 17.000 de dolari pentru a redobândi accesul la reţeaua internă și la datele criptate de hackeri. Iniţial, aceștia au cerut 3,4 milioane de dolari, dar în urma negocierilor, hackerii au acceptat o sumă mai mică.
Spitalul Metodist din Kentucky, Chino Valley Medical Center și Desert Valley sunt alte câteva instituţii medicale care au fost infectate cu Locky, un tip de ransomware extrem de rezistent, apărut la începutul anului 2016. În Germania, spitalele Lukas și Klinikum Arnsberg au fost atacate de ransomware, dar au refuzat ferm să plătească răscumpărarea.
Principalele motive pentru care spitalele sunt mai ușor de atacat decât alte companii ţin de ineficienţa sau chiar inexistenţa unor sisteme de securitate competente care să protejeze datele extrem de sensibile ale pacienţilor. Odată compromise, informaţiile despre pacient pot fi vândute pe piaţa neagră. Conform companiei de raportare de credite Experian, ra poartele medicale sunt de zece ori mai valoroase și, prin urmare, mai scumpe decât cardurile de credit.
Dar infractorii nu discriminează, ei vizează orice tip de organizaţie care stochează sau are acces la date valoroase. O echipă din circuitul NASCAR a plătit pentru a recupera informaţii cheie în valoare de două milioane de dolari, după ce a fost ţinta lui TeslaCrypt, o altă versiune de ransomware. Cauza este lipsa unui plan de backup al datelor dar și a cunoștinţelor necesare pentru a alege o soluţie de securitate potrivită.

De unde vin banii

Un studiu realizat de Bitdefender în noiembrie 2015 arată că 48% dintre românii victime ale clasei de viruși ransomware au plătit pentru a-și recupera datele personale de pe terminalul blocat. Românii spun că ar plăti în primul rând pentru programele software din computer, urmate de documentele de serviciu și de fotografiile personale. Suma medie pe care ar fi dispuși să o plătească este de 550 de lei.

Fig. Suma pe care utilizatorii ar plăti-o pentru a-și recupera datele, per țară

Cât privește companiile, se pare că acestea au fluturat deja steagul alb, contrar recomandărilor primite de la specialiști, de a nu ceda presiunilor din partea hackerilor. Studiile realizate de Citrix în Marea Britanie arată că acestea cumpără valută virtuală pentru a putea satisfice cererile hackerilor î ntr-un timp cât mai scurt, în cazul în care devin victimele criminalilor informatici.

Ce ne așteaptă în 2017

Dezvoltatorii clasei de ameninţări ransomware nu au niciun motiv să se oprească aici. Noi variante se vor dezvoltă în 2017, dat fiind că virusul este ușor de programat pe multiple platforme, este depistat cu dificultate de soluţiile de securitate și produce daune financiare importante.
Este de așteptat ca malware-ul să se extindă și mai mult pe platforme mobile precum Android și pe alte sisteme de operare (OS X și Linux). În prima jumătate a anului 2016, la nivel global, ransomware-ul a reprezentat principala ameninţare cibernetică care ţintește sistemul Android, conform statisticilor Bitdefender. De exemplu, familia de viruși SLocker reprezintă jumătate din amenintările pe mobil în Danemarca și un sfert în ţări precum Germania, Australia și Marea Britanie.
Acest lucru este îngrijorător în contextul în care telefoanele mobile, tabletele și dispozitivele Internet of Things personale se conectează, cu sau fără știrea departamentului IT, în reţeaua companiei. Orice dispozitiv care prezintă vulnerabilităţi de securitate poate deveni astfel o cale de acces către alte resurse critice – informaţii financiare ale clienţilor sau sisteme care supraveghează procesul de producţie.
Prin urmare, companiile de toate dimensiunile trebuie să conștientizeze riscurile și faptul că pot fi ţinta unor atacuri care să le pericliteze integritatea reţelei, dar mai ales reputaţia și cifra de afaceri, dacă nu respectă normele de securitate esenţiale: implementarea unei soluţii de securita te specifice mediului de business, dezvoltarea de politici interne pentru limitarea accesului la date confidenţiale și pentru impunerea folosirii unor parole sigure, dar și educarea angajaţilor cu privire la ameninţări cibernetice care îi vizează în mod direct.

ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnicoprofesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

autor: Alexandra Gheorghe

Specialist în securitate cibernetică. Raportând tendinţele şi progresele la nivel global în materie de securitate informatică, Alexandra scrie despre epidemiile de malware şi incidentele de securitate, în strânsă colaborare cu departamentul tehnic şi de cercetare al Bitdefender. Redactor al blogurilor hotforsecurity.com şi businessinsights.bitdefender.com.

EDITIE SPECIALA – INTERNET OF THINGS

1738
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1452
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2627
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1547
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1484
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1521
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...