Tuesday, May 21, 2019
Numarul 4

2407
Marco Essomba

Lucrez în domeniul reţelelor și securităţii de mai mult de o decadă. Ca inginer de securitate a reţelelor, consultant de securitate și, acum, fondator și CTO al iCyber-Security Group, aceste produse m-au deservit cu bine de-a lungul anilor, pentru a putea ieși în evidenţă din mulţime. Luaţi în considerare faptul că lista de mai jos nu este sponsorizată sau recomandată de nici un vendor. Ea a rezultat din experienţa mea proprie și nu reprezintă Sunteți un absolvent de IT sau un inginer de securitate a rețelelor care dorește să își îmbunătățească cariera și să iasă în evidență din mulțime? În acest caz acest articol este pentru dumneavoastră adevărul absolut.

unt părtinitor prin faptul că am ajuns să îndrăgesc aceste produse, pe care le voi înșira mai jos, utilizându-le în decursul anilor.

1.Tehnologii de routare și switching
  • Ce: Cisco este vendorul de facto pentru tehnologii de routare și switching deţinând o felie mare din piaţa enterprise.
  • De ce: Dată fiind prezenţa ubicuă a router-elor și switch-urilor Cisco în zona enterprise, merită să vă investiţi timpul pentru a învăţa bine Cisco R&S și a dobândi cunoștinţe teoretice si practice despre produse.
  • De unde să începeți: Download-aţi un simulator ca GNS3 sau VIRL http://virl.cisco.com/ sau Eve-NG: http://eve-ng.net
2.Tehnologii firewall
  • Ce: Check Point Technologies este unul dintre cele mai populare firewall-uri perimetrale enterprise.
  • De ce: Firewall-ul Check Point este cel mai utilizat în rândul companiilor din topul Fortune 500 datorită interfeţei utilizator simplă și intuitivă și datorită motorului de inspecţie puternic. Certificarea și expertiza practică sunt foarte de dorit.
  • De unde să începeți: Începeţi cu firewall-ul Check Point R80. Poate fi download-at ca un appliance virtual.
3. Detectarea intruziunilor și sisteme de prevenire
  • Ce: Sourcefire face parte acum din Cisco. Bazându-se pe motorul Snort, Sourcefire este cea mai bună opţiune IPS/IDS pentru mulţi clienţi enterprise. Datorită faptului că Sourcefire a fost cumpărată recent de către Cisco, va continua să crească în domeniul enterprise.
  • De ce: Sourcefire și Snort vă vor învăţa o mulţime de trucuri despre detectarea intruziunilor și prevenţie, pornind de la protecţia împotriva unor simple atacuri cibernetice și până la cele mai sofisticate tactici de apărare.
  • De unde să începeți: Download-aţi o versiune gratuită de Snort: https://snort.org/downloads. Un trial Sourcefire este disponibil: h t t p s : / / i n fo. s o u r c e f i r e . c o m / 4 5 D a y Fr e e E v a l – A S A 5 5 0 0 . html?keycode=000950082.
4. Secure Web Gateways
  • Ce: Clearswift este renumit pentru MIMEsweeper Content Inspection Engine care protejează email-urile și tranzacţiile web împotriva malware.
  • De ce: Deoarece securitatea cibernetică continuă să fie o provocare majoră pentru companiile mici și mari, protejarea datelor stocate sau în mișcare este o temă fierbinte.
  • De unde să începeți: Începeţi cu Clearswift SECURE Web Gateway. Solicitaţi un demo și un trial: https://www.clearswift.com/contact-us#demo.
5. Application Delivery Controllers (ADC)
  • Ce: F5 Networks este liderul pieţei Application Delivery Controllers (ADC). Cel mai popular produs F5 este F5 LTM care ajută companiile să livreze “aplicaţii fără constrângeri”.
  • De ce: ADC-urile sunt cruciale pentru livrarea de Enterprise Apps într-o manieră rapidă, sigură și elastică. Deoarece lumea aparţine acum aplicaţiilor mobile, ADC-urile F5 vor continua sa crească.
  • De unde să începeți: Începeţi cu F5 LTM. Solicitaţi download-area unui trial: https://f5.com/products/trials/product-trials.
6. Autentificare cu doi factori
  • Ce: RSA este unul dintre liderii soluţiilor de autentificare cu 2 factori din domeniul enterprise.
  • De ce: Numărul crescător de atacuri cibernetice face ca securitatea sa rămână un subiect fierbinte. O autentificare puternică rămâne una dintre cele mai eficiente prime linii de apărare împotriva infractorilor cibernetici.
  • De unde să începeți: Începeţi cu RSA SecurID. Puteţi solicita un trial: https://www.rsa.com/en-us/ products-services/identity-access-management/securid sau mă puteţi contacta.
7. Sisteme de operare și API-uri
  • Ce: Linux/Unix și alte arome derivate sunt sistemele de operare preferate utilizate ca motor principal într-o mulţime de reţele și dispozitive de securitate, ca și în sistemele back office.
  • De ce: Stăpânind arta Linux/Unix, API-urilor și CLI o să vă deschidă o lume de shell scripting, instrumente de securitate cibernetică și alte tehnologii care sunt esenţiale pentru a stăpâni operaţiunile de reţea si securitate.
  • De unde să începeți: Sunt disponibile multe arome. Vă recomand Ubuntu ca punct de plecare, deoarece este prietenos cu începătorii.

Am înfiinţat iCyber-Academy datorită lipsei semnificative de abilităţi, pe care le-am constatat luând contact cu companiile pentru a ajuta echipele lor să se descurce mai bine cu tehnologiile pe care le utilizează pentru a-si proteja afacerile. Din păcate, cel mai adesea, am observat această lipsă de abilităţi atunci când am mers la clienţi care au suferit o breșăde securitate și echipele lor erau

nesigure cum să trateze problema. Am realizat că în ciuda faptului că aveau tehnicieni foarte buni, echipele se luptau adesea să ofere o reacţie puternică și rapidă bazată pe tehnologiile și instrumentele de care dispuneau și că problemele se înrăutăţeau pe măsură ce tot mai multe instrumente erau cumpărate pentru a proteja companiile pe o scară și mai largă. Astăzi, iCyber-Academy este unul dintre liderii furnizării de training de securitate cibernetică din Europa. Furnizăm un mediu în care consultanţi de elită pot învăţa, obţine acreditări, au acces la mentoring, contacte si pot obţine oportunităţi suplimentare pentru a face afaceri. Am instruit peste 100 de consultanţi independenţi de securitate. Acelaşi mediu este disponibil și pentru companii și peste 100 de companii au fost deja instruite, adesea la faţa locului. Adesea cursurile noastre sunt livrate prin intermediul unor companii recunoscute de training, cum sunt Avnet și Arrow. iCyber-Academy 22 – Cybersecurity Trends Cea mai recentă ofertă este un program de 10 luni (de obicei de una sau mai multe săptamâni pe lună) care oferă un program complet de training end-to-end. Acesta permite echipei de securitate IT și consultanţilor pe care îi aveţi să dobândească abilităţile necesare de care au nevoie pentru a se ocupa de orice proiect de securitate. Fiecare sesiune de training este o combinaţie de cunoștinţe teoretice, activităţi practice și studii de caz din viaţa reală. După absolvirea programului, veţi putea lansa, implementa și realiza arhitecturi de soluţii de securitate cibernetică, utilizând produse de la vendori care sunt lideri în securitatea cibernetică, cum sunt: F5 Networks, Clearswift, A10 Networks, Check Point, Juniper, RSA, ProofPoint, etc. V eţi avea, de asemenea, oportunitatea de a face parte dintr-o comunitate de experţi de elită în securitate cibernetică, care poate oferi servicii profesionale la nivel de expert, la preţuri premium. Academia oferă, de asemenea, și cursuri de scurtă durată și elaborează un mediu de training online pentru 2018. Scopul nostru este să ne adresăm nevoilor de training de top, în timp ce multe alte programe valoroase sponsorizate de guverne se adresează nevoilor de training entry level.

Lista completă de cursuri de securitate

Paleta noastră de programe de training end-to-end vă permite să dobândiţi abilităţile necesare pentru a vă putea ocupa de orice proiect de securitate cibernetică. Fiecare sesiune de training este o combinaţie de cunoștinţe teoretice, activităţi practice și studii de caz din viaţa reală. Programul de training este alcătuit din 10 module, care pot fi urmate independent sau ca parte a întregului pachet:

  1. Bazele securităţii aplicaţiilor
  2. Cum să proiectezi reţele și aplicaţii securizate
  3. Firewall-uri pentru aplicaţii Web
  4.  Firewall-uri de reţea & IDS/IPS
  5. Application Delivery Infrastructure – ADI
  6.  Global Traffic Management
  7. Realtime Content Scanning – ICAP
  8. Integrating ICAP & ADC
  9. SSL Offloading
  10. Proiectarea și construirea unei platforme integrate de securitate cibernetică

După absolvirea programului, veţi putea lansa, implementa și realiza arhitecturi de soluţii de securitate cibernetică și veţi avea oportunitatea de a face parte dintr-o comunitate de experţi de elită în securitate cibernetică, care poate oferi servicii profesionale la nivel de expert, la preţuri premium. Așa cum am afirmat mai devreme, programul este disponibil prin intermediul unor companii de training recunoscute, sau companiile pot achiziţiona toată paleta de cursuri pentru angajaţii sau consultanţii lor independenţi și pot beneficia de programul de membru al Academiei pentru oportunităţi suplimentare de networking și mentoring.

BIO

Marco Essomba este Certified Application Delivery Networking și Cyber Security Expert cu o bună reputație în companii de top din industrie. El este fondatorul iCyber-Security, o companie din UK, care permite organizațiilor din sectorul bancar, financiar, sănătate, retail și asigurări să își protejeze activele digitale. https://www.linkedin.com/in/marcoessomba/ https://www.icyber-security.com

2636
Laurent Chrzanovski

Urmând – și chiar îmbunătățind – framework-ul GDPR al Uniunii Europene, Elveția a adaptat și și-a întărit legile federale pentru protecția datelor.

În majoritatea ţărilor europene conformarea la GDPR este văzută ca un motiv de îngrijorare pentru companiile care administrează date personale, deoarece amenzile în cazul încălcării regulamentului pot ajunge până la 4% din cifra de afaceri anuală. Dar în cazul persoanelor private GDPR arată mai mult ca o parașută „post-prăbușire”, în cazul violării intimităţii personale, și în funcţie de ţară, ca o modalitate de a primi o indemnizaţie de la compania vinovată sau de a o acţiona în justiţie. Dimpotrivă, Elveţia – dincolo de adoptarea acelorași sancţiuni și amenzi pentru deţinătorii și procesatorii de date care încalcă regulamentul – propune un sistem proactiv tuturor locuitorilor ţării care doresc să anticipeze și întărească protecţia datelor lor, printr-un parteneriat public-privat, cum este Swiss Internet Security Alliance. Ca o consecinţă, au luat naștere o întreagă gamă de servicii gratuite (free-of-charge) oferite cetăţenilor (hotline-uri gratuite în caz de phishing, furt de identitate, viruși care criptează datele etc.), dar efectul cel mai vizibil și mai interesant al acestor 6 luni de (r) evoluţie l-a constituit nașterea unui număr nenumărabil de contracte de „protecţie internet individuală/familială”, ieftine și bine gândite, propuse ca un serviciu adiţional de către tot felul de companii elveţiene de asigurări. O persoană cu rezidenţa în Elveţia poate adăuga acum asigurărilor de responsabilitate civică, mașină, casă sau sănătate, o extensie de „protecţie internet”, pentru tarife anuale care pornesc de la un minim de 4 CHF (3,2 EUR) și care pot ajunge la un maxim de 100 CHF (85 EUR) pe an, în funcţie de protecţia pe care și-o dorește clientul.Întregul sistem elveţian se bazează pe înscrierea individuală obligatorie și gratuită pe site-ul web IDprotect.ch, un serviciu creat de I-surance.ch și finanţat din taxele de asigurare. Acolo, fiecare individ – și nu asiguratorul său – alege care sunt datele pentru care dorește protecţie – personale / poze intime, texte, serii și numere de pașaport/CI, carduri de credit/debit s.a.m.d. Rolul lui IDprotect.ch, care se conformează unor reguli federale foarte stricte referitoare la confidenţialitatea datelor, este să scaneze 24/365 web-ul pentru a vedea dacă aceste date sunt disponibile, ceea ce ar însemna că sunt compromise.

Câteva exemple din Elveţia, Luxemburg şi Anglia de publicitate pentru asigurări Internet

Caz în care clientul este sunat imediat și sfătuit ce proceduri să urmeze și ce atitudine să adopte. Deoarece pe net totul este legat de timp(ul de reacţie), echipa de la IDprotect va începe să se ocupe imediat de cele mai urgente aspecte tehnice și juridice (fraudă, furt de identitate, asistarea clientului pentru recuperarea datelor în caz de crypto-ransomware, asistenţă medicală directă în cazul în care un copil sau adolescent din familie este victima unui caz de grooming/bullying (ademenire/ hărţuire) etc.).Un element uimitor, dacă luăm în considerare contractele de valoare medie și mare, este că pentru mai puțin de o sută de euro pe an un individ beneficiază de următoarele asigurări:

  1.  acoperire globală
  2. ajutor în eliminarea tutor scurgerilor de date private
  3. plata directă a până la 5000 CHF pentru înlocuirea dispozitivului deteriorat
  4. până la 1000 CHF pentru bunuri cumpărate online și nelivrate (în valoare de min. 200 CHF)
  5.  până la 1 milion CHF (850.000 EUR) costuri cu avocaţii – alegere liberă a avocatului –, costuri de judecata, costuri juridice*
  6. indemnizaţie pentru pierderi financiare directe (pentru profesioniști privaţi) și pierderea reputaţiei
  7. operire nelimitată a cheltuielilor de sănătate, în caz de consecinţe psihologice, pentru 5 ani
  8. 300.000 CHF în caz de invaliditate parţială cauzată de un atac (șantaj etc.)
  9. 150.000 CHF familiei în cazul morţii (sinucidere)

* Lista cazurilor acoperite este impresionantă:

  • utilizarea abuzivă a identităţii;
  • utilizarea abuzivă a credenţialelor cardurilor de credit;
  • victimă a unui phishing;
  • victimă a unui hacking;
  • victimă a unui șantaj sau ameninţări asupra individului sau a familiei sale;
  • victimă a unor mesaje sexuale, de ademenire, hărţuire (sexting, grooming, bullying);
  • victimă a furtului unei proprietaţi virtuale: proprietate intelectuală, drepturi de autor, mărci și denumiri înregistrate individual, furtul sau utilizarea neautorizată a unor imagini private sau texte confidenţiale etc.

Cel mai important aspect al noilor servicii de asigurare propuse în Elveţia este abilitatea previzionată pentru indivizi de a obţine (la alegerea lor) o protecţie deplină care să acopere amploarea posibilă a daunelor și o provocare constantă pentru serviciile companiilor de asigurări (cu excepţia SUA sau a câtorva state asiatice avansate). Ca exemplu, o asigurare de „securitate cibernetică” pentru o companie din Franţa sau Italia se bazează pe veniturile brute ale cumpărătorului poliţei, este în general foarte scumpă și acoperă un maxim de câteva milioane în caz de daune, ceea ce se situează mult sub consecinţele financiare reale ale celor mai recente atacuri globale. Cauzele care au dus la acest sistem „semi-orb” stau în faptul că nici companiile de asigurări, nici companiile care cumpără poliţe de asigurare nu au standarde uniforme de evaluare a rezilienţei infrastructurilor, sau a pregătirii angajaţilor în domeniul cunoștinţelor de securitate de bază și a eficienţei departamentelor CISO/ CSO. Lipsa conștientizării majorităţii echipelor de conducere a companiilor stă la baza subevaluării inevitabile a dimensiunii daunelor posibile. Securitatea fiind imatură în întregul său, asigurările naţionale nu pot recompensa companiile care se conformează perfect framework-urilor NIST / GDPR cu tarife corecte și cu restituiri foarte mari în cazul unui atac, forţând mai multe sectoare (bancar, finanţe, infrastructuri critice) să contracteze, când este posibil, o companie de asigurare de peste mări. De ce i se prezice acestui serviciu nou-născut un viitor atât de strălucitor? Există mai multe motive simple care concură la crearea ecosistemului în care asigurările se poat angaja la un preţ corespunzător și restituiri mari fără risc, și toate acestea sunt îndeplinite în ţara celor 26 de cantoane.

1 Cetăţenii elveţieni sunt adesea ironizaţi ca fiind „supra-asiguraţi”, ceea ce este parţial adevărat, dar trebuie privit nu ca fiind din frică, ci ca o conștientizare a costurilor în cazul apariţiei unor probleme. Protecţia de responsabilitate civică, asigurarea de sănătate, asigurarea locuinţei și multe altele sunt obligatorii și administrate privat. Dintre acestea, sănătatea este singura asigurare publică care a devenit privată, sub supervizarea statului, prin stabilirea creșterii anuale de tarife (după un referendum popular din 1996). Programele de asigurări administrate de stat sunt doar asigurarea de șomaj și de invaliditate, precum și un mic fond de pensii, care se completează cu unele private.

O consecinţă a faptului că „toată lumea este asigurată” și a mentalităţii colective de a fi responsabil și corect cu asigurările, companiile din acest sector, benefiiciind de aceasta, pot oferi clienţilor diferite bonusuri, care sunt aproape în exclusivitate un privilegiu elveţian. Ca exemplu, putem cita faptul despăgubirii integrale în cazul spargerii unui geam de la mașină (indiferent de motiv: violenţă urbană sau incident în trafic) fără nici o reducere a „bonusului” la plata asigurării pentru anul următor. Un alt exemplu este asigurarea completă a bagajului de mână oriunde (autobuz, tren, avion) pentru mai puţin de 50 CHF pe an – odată bagajul ne-a fost furat și asigurarea ne-a plătit într-o săptămână, nu doar preţul integral al aparatului foto care fusese înăuntru,

ci și preţul valizei!

3 Fiind propusă pentru un preţ foarte rezonabil ca un „plus” la un contract deja existent – și obligatoriu prin lege – sănătate, mașină sau asigurare de locuinţă, asigurarea cibernetică este la un click distanţă, beneficiind, în termeni de marketing, de un „client captiv” (bonus) care are deja o relaţie de lungă durată cu compania.

4 Prin cunoașterea și alegerea liberă a „datelor care să fie protejate”, colaborarea dintre client și asigurator este totală. Suplimentar, platforma de asigurare își poate utiliza toate activele pentru scanarea net-ului și căutarea unor articole foarte precise și poate reduce la maxim duplicarea datelor scurse/furate atunci când este cazul.

5 Nu e cazul să fim naivi, multe dintre serviciile oferite sunt deja împachetate în asigurările obligatorii (de boală, invaliditate, moarte) sau în condiţiile financiare pe care majoritatea băncilor elveţiene le oferă (acoperirea integrală în cazul furtului datelor cardurilor de credit, taxe limitate de plătit în cazul furtului cardurilor de debit cu PIN etc.). Oricum, aceste noi asigurări vor face ca unele companii (cum este cazul celor agresive de ecommerce) să fie foarte atente cu datele elveţiene de provenienţă necunoscută sau cumpărate de pe piaţa gri. Posibilitatea cetăţenilor elveţieni de a beneficia de acoperirea unor costuri avocăţești și de judecată de până la 1 milion CHF va da posibilitatea cetăţenilor elveţieni de a acţiona în judecată, la nevoie, o companie din USA, într-un tribunal din USA, acţiune imposibilă din punct de vedere financiar pentru orice cetăţean european obișnui

BIO

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

2710
Laurent Chrzanovski

Desfășurată sub Înaltul Patronaj al Ambasadorului Elveției în România și organizată în colaborare cu Uniunea Internațională a Telecomunicațiilor (ONU-Geneva), cea de-a 5-a ediție a platformei de dialog public-privat din Europa centrală s-a desfășurat în septembrie 2017.

Auditoriul a fost constituit în majoritate din prestatori de servicii TIC, oameni de afaceri, responsabili informaţii din sectorul public și privat, iar congresul a atras, pentru al treilea an consecutiv, directori generali ai celor mai mari uzine din regiune și ai unor companii de infrastructuri critice (producţie, transport și stocare de gaz, electricitate sau petrol) din România. Prezenţa directorilor generali în persoană, și nu a responsabililor de securitate ca în cazul ediţiilor precedente, reprezintă dovada unei evoluţii atât așteptate cât și sperate pentru un dialog care constituie piatra de temelie a creării Congresului din Sibiu, una dintre rarele manifestări care nu are nici caracter tehnic, nici de marketing. Motivul participării unor asemenea VIP-uri este unul firesc: WannaCry și Not-Petya au lovit Europa în mai și în iunie, generând pierderi de miliarde de euro de în sectoare despre care se credea anterior că pot fi ţinte potenţiale ale criminalităţii organizate doar cu ocazia tranzacţiilor financiare sau în scopul obţinerii accesului la baza de date. Speakeri dintre cei mai elocvenţi au explicat în detaliu vulnerabilităţile ecosistemului nostru digital. Vulnerabilităţi atât de mari încât un singur virus devastator, Not-Petya (sau Goldeneye) „lansat pur și simplu pe internet” și nu creat special pentru o anumită întreprindere, a provocat pagube directe, fără a pune la socoteală consecinţele indirecte, la o scară inimaginabilă. Au fost date o mulţime de exemple concrete, printre altele și cazul gigantului industrial Saint-Gobain1 (220 de milioane de euro de pierderi directe – 4,4% din profit – doar în primul semestru și 3 zile de lucru cu hârtie și pixuri2),cazul gigantului din industria alimentară Mondelez (-3% din cifra de afaceri doar în trimestrul 2) sau al liderului în transporturi maritime Maersk (pierderi de 300 de milioane de euro).Concepute special pentru directorii din industrie, prezentările reprezentanţilor instituţiilor specializate ale Statului Român (Poliţie, servicii de informaţii, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, Autoritatea naţională pentru Administrare și Reglementare în Comunicaţii) au oferit radiografia întregii ţări. Publicul a beneficiat în avanpremieră de o raportare a situaţiei la zi, iar aceasta la șase luni înainte de raportările naţionale obligatorii din sarcina fiecărui stat membru al Uniunii, întocmite la sfârșitul anului și publicate în primele luni ale anului următor. Apoi, lideri recunoscuţi în domeniul securităţii au abordat aspecte cruciale pentru lumea afacerilor și pentru industrie, care prezintă o întârziere semnificativă în înţelegerea non-tehnică a insecurităţii globale a internetului.

Nicola Sotira
Intrusul râvnit

Nicola Sotira (Chief information security officer al Grupului Poste Italiane, Roma) a prezentat utilitatea smartphone-urilor în marketing, comunicarea internă și externă, dar și pentru o gamă de servicii disponibile, de la e-banking la plăţile smart sau comanda la distanţă. Un smartphone purtat de proprietar cu sine 24/7 reprezintă visul antreprenorului și coșmarul responsabilului cu securitatea: în prezent, este instrumentul tehnologic cel mai vulnerabil și cel mai des atacat în termeni absoluţi.

Când cea mai bună armată este atacată cu succes
Ido Naor

Ido Naor (Kaspersky Labs Tel Aviv) a luat urma unei infiltraţii teroriste care era cât pe ce să reușească. Pe reţelele sociale, un grup de „canadiene” tinere și drăguţe care se pregăteau să facă o „vizită de studii” în Israel a vizat niște tineri recruţi din IDF (armata israeliană) din cazărmile din apropierea Fâșiei Gaza. Ingineria socială a reușit, iar numeroși soldaţi au corespondat cu „canadienele” și apoi au descărcat un pachet de aplicaţii de chat video și audio care conţinea… un troian, care ar fi permis grupului terorist în cauză să folosească smartphone-urile tinerilor ca pe niște veritabile microfoane, aparate foto și video în avantajul lor. Doar vigilenţa ofiţerilor superiori și a ofiţerilor de informaţii a permis ca IDF să coopereze cu Kaspersky Labs, care au observat imediat mai multe formule desuete în ebraică a textelor „canadienelor”, prezenţa stranie a unei aplicaţii muzicale în pachetul trimis spre descărcare și linii de cod care trimiteau direct în… Gaza. Dacă recruţii IDF, instruiţi să fie în alertă permanentă și să deceleze atitudinile suspecte, au putut să cadă în capcana clasică a fetei drăguţe, să ne imaginăm doar pagubele pe care o operaţiune similară le-ar putea produce într-o întreprindere occidentală, unde succesul ar fi asigurat din cauza lipsei de cultură în domeniul securităţii.

O apărare pe șapte niveluri, iar nimeni nu cunoaște în prezent mai mult de două
Marco Essomba

Marco Essomba (CEO, iCyber-Security, Reading), în speech-ul său, Full Stack Cybersecurity Defense, a insistat pe necesitatea reformării în profunzime a organigramei și a modului de funcţionare a marilor întreprinderi și industrii. O viziune holistică a leadershipului asistat de un expert în securitate și antrenamente trans-departamentale sunt elemente vitale pentru a ţine piept atacurilor tot mai sofisticate, care vizează toate procesele unei întreprinderi, de la finanţe la utilaje de producţie, și în care componenta umană este cea mai vulnerabilă dintre toate. În aceste „7 niveluri” ale apărării, este crucială existenţa unor echipe motivate de către directori de nouă generaţie, în special printre ingineri, care să cunoască și să explice cel puţin 3 niveluri – sau straturi – fiecare, asigurând astfel legătura necesară cu specialiștii celorlalte niveluri și cu profesioniștii de nișă al căror singur obiectiv este de a fi cei mai buni pe nișa încredinţată. De-a lungul a două zile, peste 20 de speakeri din 10 ţări au atras atenţia asupra mai multor aspecte specifice în care mediul de afaceri și industria nu deţin cunoștinţele adecvate, de pildă cu ocazia elaborării criteriilor de angajare a unui nou Responsabil cu securitatea potrivit pentru specificul întreprinderii, sau cu ocazia alegerii, printre instrumentele de apărare de ultimă generaţie, a celui adaptat la ecosistemul întreprinderii, mai ales când aceasta din urmă deţine și folosește cantităţi semnificative de date și de servicii în cloud sau când interacţionează la distanţă cu unităţi de transport și de producţie. Ultima sesiune a Congresului, plasată sub egida Vallée de l’Energie și a Camerei de Comerţ și Industrie din Belfort, a fost consacrată exclusiv temei „Industria 4.0”. Publicului i s-a propus o privire de ansamblu a pericolelor și a vulnerabilităţilor, rezultat al colaborării dintre organizatori și speakeri, ale căror subiecte s-au completat într-un mod agreabil și au asigurat succesul întâlnirii. Expunerea directorului adjunct al Cyberint (centru special al serviciilor române de informaţii interne) a avut ca obiect blocajele actuale și viitoare cauzate de viziunea strategică legată de crearea, acum mai bine de un deceniu, a categoriei de „infrastructuri critice” sau „întreprinderi de interes strategic”, adică cele pentru care statul trebuie să contribuie la asigurarea apărării. Această doctrină, a cărei aplicaţie, deși mai generoasă, este în prezent prost înţeleasă, determină o reţinere din partea a numeroși antreprenori în a colabora cu Cyberint sau în a solicita ajutorul CERT-RO, ambele servicii de stat, în plus faţă de Poliţie, în materie de incidente și de infracţiuni informatice. Or, dacă o industrie – cu corolarul său de furnizori – cu zeci de mii de angajaţi ar da faliment ca urmare a unui atac, consecinţele sociale ar atinge o amplitudine strategică egală cu cea a unui atac asupra reţelei electrice a unei regiuni.

Jean-Luc Habermacher

Jean-Luc Habermacher (Vallée de l’Energie) și Jean-Gabriel Gautraud (Bessé Conseil) au prezentat punctele de vedere aleunui risk manager și ale unui consilier în asigurări, arătând în ce măsură consilierii administraţiilor grupurilor industriale consideră încă securitatea cibernetică o problemă exclusiv tehnologică.

Jean-Gabriel Gautraud

Or, fără cultura siguranţei și a securităţii, fără o abordare fizică, umană și o supraveghere permanentă a fiecărui obiect conectat – fie și numai mașina de ambalat de la capătul lanţului de producţie – fiecare terminal conectat devine atât o pradă cât și un agresor în mâna unui infractor, întrucât dispozitivele și roboţii nu au fost concepuţi pentru securitatea oferită, ci pentru îndeplinirea eficientă a unei sarcini precise.

Virgil Stănciulescu

Virgil Stănciulescu, responsabil la ANCOM (Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii), a prevenit întreprinderile, în special industriile, cu privire la creșterea exponenţială a suprafeţei de expunere la atacuri rău-voitoare pe care o generează prin propriile decizii, de pildă prin instalarea de captatori IoT în exces sau prin dotarea cu roboţi de ultimă generaţie, de mașini care se perfecţionează în mod automat, care își preiau informaţiile din Big Data și care comunică prin canale multiple atât cu mediul fabricii, cât și cu exteriorul. Marc German (IHEDN) şi Jean-Jacques Wagner (IUT Belfort), în prezentarea lor Inteligenţa concurenţială și securitatea cibernetică sunt două feţe ale aceleeași monede a longevităţii unei întreprinderi, au analizat lumea concurenţei internaţionale, în care morala și etica sunt elemente foarte rare. Apărarea datelor, asigurarea securităţii fizice și cibernetice ale site-urilor proprii, dar și acumularea de informaţii despre planurile concurenţilor și posibilităţile de dezvoltare sunt acţiuni rezervate specialiștilor în inteligenţă care le pot gestiona, împreună cu echipa lor, în mod simultan și profesionist. Punând în balanţă o echipă internă alcătuită din profesioniști calificaţi, patronii cedează adesea în faţa preţurilor atractive de externalizare a serviciilor de analiză sau de apărare. Această decizie crește gradul de imprecizie și de risc, compromiţând în mod grav atât securitatea cât și fundamentul deciziilor strategice care vor fi luate ulterior. Atmosfera inegalabilă de networking, marcă a con gresului, precum și adaptarea sa la temele cele mai importante ale momentului, privite dintr-o perspectivă internaţională, care permite o veritabilă dezbatere de idei și de culturi, reprezintă valori care au făcut ca acest congres să fie solicitat și adaptat și în alte regiuni ale continentului. Astfel, prima ediţie consacrată Europei Occidentale a avut loc la Porrentruy (Elveţia) („Cybersecurity-Switzerland”, 7-8 decembrie 2017), iar prima ediţie dedicată spaţiului mediteraneean va avea loc la Noto (Sicilia, Italia) („Cybersecurity-Mediterranean”, 10-11 mai 2018), congresul din Sibiu fiind organizat în continuare anual, la jumătatea lunii septembrie.

Autor: Eduard Bisceanu

Unul dintre subiectele cele mai discutate în discuţiile din comunitatea de (cyber) securitate este cel legat de penuria de forţă de muncă din domeniu. Cu toate că este evident că este o problemă reală să construiești echipa potrivită de securitate pentru majoritatea business-urilor, există totuși o mulţime de lucruri care trebuie clarificate pentru a avea o înţelegere comună asupra acestui fenomen. Pe de o parte, mi se cere adesea să recomand oameni pentru astfel de job-uri, dar de obicei mi se cere nu un specialist în securitate, ci un „hacker”, un IT-ist specializat pe securitate, un specialist în securitatea reţelelor sau alte acronime similare. Solicitările de acest tip vin de la executivi de top, sau de la HR, de obicei din companii/organizaţii non IT. Acest fapt ar putea să pară grozav, comparând cu lipsa de îngrijorare legată de securitate pe care aceste categorii de oameni o manifestau cu mai mulţi ani în urmă. Dar avem totuși o mare problemă… modul în care unii specialiști HR sau chiar CxO sondează piaţa muncii pentru specialiști ne spune ceva despre nivelul lor de înţelegere relativ la aptitudinile de care au nevoie în acest domeniu.Deoarece nu doresc să-i supăr pe specialiștii HR sau pe executivii pe care îi cunosc, dar doresc să fiu totuși foarte onest în ceea ce am de spus, nu voi comenta mai mult despre motivele care stau în spatele lipsei unei viziuni clare în procesul de recrutare de specialiști în (cyber) securitate, dar voi reproduce câteva dintre sfaturile/ întrebările pe care le dau atunci când sunt consultat pe acest subiect:

  • Care este nivelul de maturitate în materie de securitate al organizaţiei pentru care recrutaţi? Cunoaște vreun model de maturitate în privinţa securităţii, sau urmează vreun standard/framework de management?
  • Dacă organizaţia este bine poziţionată în legătură cu aspectele de mai sus, specialistul HR se va baza exclusiv pe managerul de securitate al acelei organizaţii pentru a scrie descrierea job-urilor pentru toţi membrii echipei de securitate și pentru a-i intervieva din perspectiva competenţelor/cunoștinţelor?
  • Dacă procesul de recrutare este realizat pentru companii aflate la început de drum în realizarea unui framework de guvernanţă în domeniul securităţii, mai întâi au nevoie de o evaluare exactă a categoriilor de competenţe și cunoștinţe care trebuie căutate de către specialiștii HR pe piaţa muncii. Aceasta este o sarcină pe care un specialist HR nu o va putea duce la bun sfârșit niciodată.
  • Dacă există o nevoie de securitate determinată de un alt motiv decât conformitatea, atunci cel mai bun nume al acelei nevoi este RISC.
  • Dacă știţi deja care sunt riscurile la care business-ul/organizaţia voastră este expusă, puneţi-le pe hârtie și veţi avea un prim filtru pentru căutarea de specialiști în securitate.
  • Companiile și organizaţiile mici au alte nevoi decât corporaţiile și organizaţiile mari în privinţa alocării de resurse pentru securizarea operaţiunilor lor.
  • În orice caz, toată lumea are nevoie de o abordare bazată pe risc, și doar bazându- se pe o astfel de evaluare, cineva poate determina care este dimensiunea echipei de securitate și care sunt competenţele necesare în cadrul acelei echipe. Aceasta, de asemenea, NU este o sarcină pentru HR.
  • Din momentul în care necesităţile sunt bine descrise, aș recomanda o examinare atentă a profilului de specialist căutat, bazată pe necesităţile identificate. Dacă este necesară o competenţă specifică de securitate (securitate de reţea, securitate de aplicaţie, securitatea informaţiilor s.a.m.d.) atunci cine va conduce această categorie de personal și cine le va trasa sarcinile?
  • În această situaţie organizaţia are nevoie de un manager de securitate? Dacă da, atunci căutaţi un manager de securitate experimentat și nu un „hacker”, nu un inginer IT, nu un dezvoltator, nu pe cineva care să răspundă la incidente sau oricare altă persoană cu abilităţi practice. Aceștia pot fi specialiști foarte buni, dar de regulă nu vor reuși să înţeleagă business-ul pentru care îi angajaţi, cadrul general de riscuri de securitate și nu vor fi niciodată în stare să vorbească pe limba business-ului și a executivilor, necesară pentru a construi și rula un framework de securitate adaptat scopurilor de business și operaţionale.
  • Recrutaţi bazându-vă pe competenţele de care aveţi nevoie, dar și bazându-vă pe ÎNCREDERE.
  • NCREDEREA este baza unei cooperări mai bune între specialiștii în securitate și cei în HR 🙂
  • Job-ul de manager de securitate este un job în sine, așa că nu angajaţi manageri cu experienţă pentru a se ocupa de securitate, căutaţi manageri de securitate. CV-ul și realizările lor profesionale vorbesc de la sine. Cel mai simplu și concret test care i se poate da unui manager de securitate este sa fie pus să explice (ad hoc, vorbit și scris) un subiect complex de securitate cibernetică unui executiv ne-tehnic și să fie capabil să dezbată același subiect complex cu un expert practic în disciplina securităţii IT.
  • Reduceţi constrângerile de conformitate pentru echipele de securitate – conformitatea este importantă dar nu este similară cu securitatea.
  • Știind că salariile reprezintă un subiect important, voi simplifica și acest aspect: stabiliţi cât este de importantă securitatea pentru business-ul/operaţiunile voastre și investiţi în mod corespunzător. Un rol de securitate slab plătit nu poate fi ocupat de un specialist de top în domeniu sau poate ușor deveni un risc.
  • Managerul de securitate (CSO, CISO…) trebuie să raporteze poziţiei corespunzătoare din organizaţie pentru a putea fi împuternicit să ia deciziile corespunzătoare și pentru a avea vizibilitate.
  • Stabiliţi investiţiile în securitate bazându-vă pe o abordare bazată pe riscuri – dacă angajaţi managerul de securitate potrivit, ar trebui sa fie simplu – aceasta este prima sarcină pe care un specialist angajat pe o astfel de poziţie ar trebui să o rezolve.
  • O mulţime dintre fluxurile de lucru generează sau sunt expuse riscurilor de securitate – asiguraţi-vă că echipa de securitate este implicată în evaluarea/stabilirea lor.
  • Managementul de top este o ţintă valoroasă pentru infractori și alte tipuri de actori care pot crea riscuri de securitate organizaţiei voastre – uneori, anumite riscuri trebuie abordate chiar și în mediul personal al managerilor de top.
  • Nu investiţi bani într-un mediu IT în lipsa unei evaluări de securitate – chiar dacă veţi avea cea mai bună echipă IT din lume, aceasta se va concentra de obicei pe funcţionalitate și eficienţă și nu neapărat pe securizarea mediului IT.
  • Investiţi în educaţia de securitate în funcţie de roluri. Un volum uriaș de breșe exploatate și atacuri cibernetice utilizează în continuare oamenii ca vectori de atac, aceștia rămânând cea mai mare vulnerabilitate. Educaţia rămâne singura măsură de diminuare a riscurilor.
  • Chiar dacă eu cred că oricine merită o a doua șansă, de regulă nu cred în „hackeri etici”, care au învăţat securitate prin a fi mai întâi infractori, sau în companiile care se promovează cu astfel de specialiști. Nu este nimic demn de laudă în a avea un cazier infracţional. Există specialiști foarte buni, inteligenţi, de securitate, care și-au dobândit calificativele studiind și cercetând fără a fura datele și banii altor oameni. Iar… dacă o astfel de persoană are un cazier infracţional, el/ea nu a fost chiar așa de bună pe cât ar putea să creadă despre sine.

Eu consider că atunci când este recrutat un specialist în (cyber) securitate, specialistul HR trebuie supervizat de un manager de securitate sau de un expert de înalt nivel în securitate dinafara companiei. Construirea unei echipe de securitate adaptată riscurilor și obiectivelor de afaceri va conduce la un framework matur de securitate potrivit pentru orice organizaţie Punctul de plecare trebuie să-l constituie oamenii din spatele securităţii, nu tehnologia. Dacă afir

maţiile de mai sus vi se par prea generale sau învechite, atunci nu aveţi nevoie de servicii de consultanţă în domeniul securităţii, dar credeţi-mă, bazându-mă pe discuţiile pe care le am aproape zilnic pe acest subiect și de asemenea bazându-mă pe concluziile care se pot trage

 din marile eșecuri în construirea unor framework-uri adecvate de securitate cu care ne întâlnim din ce în ce mai des (WannaCry, non Petya, BadRabbit s.a.m.d.) pot afirma, fără ezitare, că există o mulţime de oameni cărora le sunt necesare, când vine vorba să angajeze oameni de securitate – punctele esenţiale. Și da, am pus cyber între paranteze intenţionat… nu există securitate cibernetică în lipsa securităţii de afaceri și/sau operaţionale, incluzând securitatea fizică și personală

BIO

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard a fost CSO în cadrul Unicredit Bank România şi ocupă în prezent poziția de National Technology Officer în cadrul Microsoft România.

432
  • Sunteţi operator de date/persoană împuternicită de operator care procesează date ale cetăţenilor din UE?
  • Aveţi un program implementat pentru protecţia datelor şi puteţi dovedi alinierea la cerinţele RGPD?
  • Integraţi cerinţele privind protecţia datelor şi a confidenţialităţii în crearea proceselor de business noi sau în dezvoltarea de sisteme/aplicaţii noi?
  • Realizaţi o monitorizare sistematică pe scară largă (inclusiv a datelor angajaţilor)/procesaţi volume mari de date personale sensibile?
  • Cum veţi trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor şi dreptul de opoziţie la crearea de profiluri ale persoanelor vizate?
  • Sunteţi în măsură să notificaţi ANSPDCP în cel mult 72 de ore de la producerea unei potenţiale încălcări a securităţii datelor cu caracter personal?

Paşii de urmat pentru conformitatea cu RGPD

Pentru a putea fi aliniat la cerinţele RGPD este vital să identificaţi care sunt toate datele cu caracter personal pe care le procesaţi în cadrul organizaţiei, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de securitate care controlează/filtrează accesul la aceste date, pe toată durata lor de viaţă. Recomandare etape în procesul de aliniere la RGPD:

  • GDPR Quick Scan – este o evaluare rapidă/workshop cu părţile cheie interesate pentru identificarea diferenţelor fluxurilor principale, estimare de efort şi durata de implementare.
  • Analiza – Evaluarea completă a conformităţii cu cerinţele RGPD – este o evaluare detaliată a conformităţii şi maturităţii cu RGPD.
  • Implementare – Implementarea Programului de Protecţie a Datelor – este un program holistic pentru realizarea conformităţii cu RGPD. Între activităţile principale ale acestor etape se numără şi realizarea Evaluării Impactului asupra Securităţii Datelor (DPIA) şi Inventarul Datelor cu Caracter Personal (un inventar al datelor şi fluxurilor de date din cadrul organizaţiei).
ANSSI – Partener editorial permanent Cybersecurity Trends

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din indus tria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

541

Autor: Mariana Urs, Cyberint

George Kennan în 1947
George Kennan în 1947

În faţa atacurilor cibernetice de proporţii petrecute în ultimii ani, deseori, replica statelor ţintă a rămas nevăzută. Însă în spatele uşilor închise, discuţiile au fost lungi şi complicate, învârtindu-se în jurul câtorva întrebări la care nu s-au găsit încă răspunsuri1: Care este echivalentul unui atac cibernetic în repertoriul clasic al războiului şi care se cuvine a fi reacţia unei entităţi atacate? Care sunt graniţele câmpului de bătălie cibernetic? Care dintre strategiile de securitate apărute pe parcursul anilor se potriveşte mai bine spaţiului operaţional cibernetic2? În definitiv, dacă istoria nu se repetă, atunci ea… rimează. Cu ce rimează însă cyber-ul? La începutul acestei veri, într-una dintre sălile de ședinţă ale Congresului Statelor Unite au fost chemate în audienţa Comitetului Senatului pentru Servicii Armate câteva persoane: James Clapper, fostul director al National Intelligence, Michael Hayden, fostul director al CIA și James Stavridis, amiral în retragere al Marinei SUA. Discuţiile, prezidate de senatorul John McCain, au fost dedicate politicii descurajării (deterrence) în domeniul securităţii cibernetice. Dar, în vreme ce întreaga presă americană vuia din pricina scandalului provocat de spargerea serverelor Comitetului Naţional Democrat, la ședinţă nu asista mai nimeni. Așa cum a remarcat, nu fără o undă de regret, și unul dintre senatori, sala era aproape goală3. În discursurile celor chemaţi în acea zi în faţa Senatului SUA puteau fi recunoscute ecourile doctrinei îngrădirii – (containment) propuse de diplomatul şi teoreticianul american George Kennan4 cu peste şaptezeci de ani în urmă. În 1946, în debutul războiului rece, SUA deţineau un avantaj militar şi economic incontestabil, însă teoria avansată de Kennan, având la bază excepţionalismul american şi capacitatea de rezilienţă a însăşi societăţii americane, pornea de la perspectiva unui conflict inerent cu Uniunea Sovietică, în care SUA urmau să fie angajate cu sau fără voinţa lor. Inevitabil, date fiind diferenţele ideologice capitale, adversarul avea să forţeze starea de conflict. Orice acţiuni, directe ori subversive, puteau fi folosite de statul sovietic pentru subminarea regimurilor diferite ideologic. George Kennan, în perioada petrecută la Moscova, ajunsese la concluzia că acest conflict, care deja lua proporţii, putea fi câştigat exclusiv prin impunerea unor limite clare geografice şi de acţiune între cele două lumi şi utilizarea unor mijloace diplomatice sau militare de fiecare dată când situaţia o cerea pentru asigurarea securităţii SUA şi a aliaţilor săi5. În scurt timp, s-a ajuns la un echilibru de putere carea a condus la impunerea unei politici a descurajării (deterrence) continue a adversarului. Această doctrină s-a bazat pe (1) costul uriaş asociat utilizării capabilităţilor distructive (nucleare) deţinute de ambele tabere, precum şi pe (2) capacitatea de garantare a unei riposte dure la orice atac direct. În ce fel însă pot fi aplicate aceste doctrine, ale îngrădirii şi descurajării, spaţiului cibernetic6, în condiţiile în care nici actorii şi nici ameninţările nu se circumscriu sistemului de putere definitoriu războiului rece, a devenit o chestiune aprins dezbătută. Într-o lume în care un actor statal, o grupare criminală sau o entitate teroristă pot avea, teoretic, acces la acelaşi arsenal cibernetic pe care îl îmbogăţesc constant cu chiar armele adversarului, logica jocului de şah poate părea multora ca fiind deja perimată. Pe de o parte, există voci care susţin că regulile containment-ului nu s-au schimbat în timp: câtă vreme se admite o definiţie clară a atacului cibernetic, iar adversarul este convins de faptul că reacţia statului ţintă la un astfel de atac poate fi extrem de severă, doctrina funcţionează7. Sau, așa cum scria George Kennan în 1946, „Dacă adversarul dispune de suficientă forţă și transmite faptul că este pregătit să o folosească, atunci rareori trebuie să o și facă”, astfel încât, „dacă situaţiile sunt gestionate corect, nu sunt necesare confruntări care să știrbească prestigiul uneia sau alteia dintre părţi”8. Pe de altă parte, regulile jocului în spaţiul cibernetic fac încă subiectul negocierilor, atât la nivel naţional, cât şi pe plan global. Dezbaterea actuală din SUA din jurul definirii unei strategii naţionale de securitate cibernetică pune în discuţie o serie de chestiuni stringente şi edificatoare din perspectiva doctrinei descurajării atacurilor cibernetice: necesitatea evaluării impactului evenimentului produs, colectarea de informaţii din diverse medii, inclusiv prin colaborarea cu mediul privat, atribuirea atacului şi adaptarea reacţiei la acesta în funcţie de adversarul identificat, agrearea la nivel internaţional a unui set de reguli şi definiţii privind activitatea în spaţiul cibernetic. Date fiind caracteristicile spaţiului cibernetic, domeniile ţintă se întrepătrund, fie că ţin de securitatea naţională, fie aparţin sectorului privat sau că afectează viaţa personală a cetăţeanului. De aceea, nu trebuie pierdut din vedere nici faptul că măsurile enumerate mai sus se pot realiza doar pornind de la educarea şi informarea cetăţenilor, în spiritul unei transparenţe vitale pentru un stat democratic. Atunci când se vorbește despre conflict sau război în spaţiul cibernetic, o premisă fundamentală de la care se pleacă și nu poate fi ignorată ţine de diferenţa majoră faţă de războiul convenţional: odată o armă cibernetică folosită, aceasta poate fi modificată de adversar și utilizată împotriva aceluia care a lansat atacul. În aceste condiţii, problema fundamentală ţine de capacitatea de apărare și rezilienţă a sistemelor IT&C care prezintă relevanţă pentru securitatea naţională. Dacă gradul de rezilienţă al acestor sisteme este redus, riscul asociat unui contraatac presupune un cost prea mare pentru securitatea naţională, ceea ce afectează ab initio capacitatea unui stat de a duce o politică eficientă în privinţa descurajării atacurilor. Pentru a echilibra balanţa, în viziunea multor experţi şi decidenţi, descurajarea în domeniul cibernetic poate și chiar trebuie să ia și alte forme: riposta la un atac cibernetic poate veni pe orice alt plan și orice resurse ale statului pot fi utilizate, inclusiv stabilirea de sancţiuni economice sau in extremis, intervenţie armată9.

Barack Obama și Toomas Hendrik Ilves in 2009

Punerea în practică a unei astfel de strategii este însă dificilă, aşa cum sublinia şi preşedintele estonian, Toomas Ilves: „Cea mai mare problemă în cyber ţine de deterrence. Discutăm deja de ani de zile în cadrul NATO despre ce ar trebui să facem.Se impune, deci, construirea, într-o primă etapă la nivel naţional, a unor mecanisme clare și eficiente de reacţie la ameninţări cibernetice. Mai mult, aceste mecanisme trebuie să includă și definirea și evaluarea atacurilor din punct de vedere al pericolului pe care îl reprezintă pentru securitatea naţională. Ce este un atac cibernetic și când devine un atac relevant din perspectiva securităţii naţionale? Având în vedere că în fiecare zi se petrec sute de atacuri numai la nivelul infrastructurilor informatice de control industrial din SUA11, este indispensabilă stabilirea unor sisteme de referinţă şi a unor parametri prin intermediul cărora să se evalueze gravitatea acestora şi măsurile de intervenţie necesare. O astfel de evaluare ar permite, în subsidiar, şi alegerea unor priorităţi în descurajarea adversarului, căci „nu totul poate fi descurajat”12. Mai mult, dat fiind specificul domeniului cyber, pentru a avea un proces decizional eficient, informările către beneficiarii legali se cuvin a fi axate pe implicaţiile la nivel sistemic şi pe evoluţiile preconizate, și mai puţin pe aspectele pur tehnice legate de un atac. Urmărind aceeași idee, un principiu care ar putea îmbunătăţi mecanismul decizional este acela al separării instituţionale între persoanele care stabilesc politicile naţionale în domeniul cyber și cei care activează nemijlocit în zona tehnică sau în afaceri13. Pentru ca aceste politici să aibă un impact real, este necesară crearea unui cadru prin care să se poată realiza un schimb de informaţii rapid cu mediul privat14, deoarece în cele mai multe ţări, actorii economici privaţi deţin și administrează mare parte din infrastructura cibernetică a unui stat, în cazul SUA, procentul ridicându-se la 80-90%15. În stabilirea acestor colaborări se iveşte însă problema, deloc banală, a gestionării informaţiilor sensibile. Pe de o parte, supraclasificarea provoacă o serie de dificultăţi atât în relaţia cu partenerii privaţi cât şi în ceea ce priveşte capacitatea statului de a-şi proiecta puterea prin intermediul dezvăluirii unor capabilităţi ofensive sau defensive din arsenalul cyber. Pe de altă parte însă, vehicularea datelor sensibile permite şi altor actori din spatiul cyber să se „educe” privind capacităţile de care dispune un stat şi să îşi adapteze atacurile în funcţie de informaţiile astfel aflate. Un prim corolar în ceea ce priveşte necesitatea schimbului de informaţii cu zona privată este, deci, verificarea atentă a entităţilor cu care se colaborează din perspectiva securităţii naţionale16. Există însă şi consecinţe adiacente acestei colaborări: dată fiind dificultatea atribuirii publice a unor atacuri cibernetice de către stat, firmele private îşi pot asuma astfel de acţiuni atunci când la nivel oficial nu se doreşte sau nu se poate asuma problema atribuirii. Creşterea gradului de transparenţă este, în definitiv, în interesul cetăţeanului şi al societăţii în ansamblul său. Există însă şi un al doilea corolar: prin informaţiile lansate public de firme private acestea pot urmări şi protejarea şi promovarea propriilor interese. Astfel, se poate ajunge la vehicularea unor interpretări discutabile asupra unor chestiuni tehnice sau sensibile care implică elemente ce rămân de regulă absconse publicului obişnuit. Caracterul global şi concurenţial al internetului şi, implicit, al pieţei pe care activează companiile de profil, nu constituie în sine un sistem de verificare absolut a informaţiilor oferite de diferite entităţi. Reacţia la un atac cibernetic trebuie calibrată şi în funcţie de adversar17: se impune cunoaşterea atât a actorului din spatele atacului, a obiectivelor şi arsenalului cibernetic pe care îl are la dispoziţie, cât şi a grupului de interese care constituie sau este în strânsă relaţie cu factorii decizionali. Această cunoaştere trebuie să meargă până la nivel individual, pentru a fi astfel identificate pârghiile la care se poate face apel pentru descurajarea acestuia din a se implica sau din a lansa activităţi care să prejudicieze securitatea naţională a statului ţintă18. O lecţie derivată şi din experienţa tratativelor purtate pe marginea înarmării nucleare19 este aceea a construirii unor strategii adaptate fiecăruia dintre actorii statali majori.

Noua doctrină informațională rusă din decembrie 2016

Mai mult, pentru asigurarea unui grad minim de securitate cibernetică la nivel global, definiţiile, regulile şi măsurile asociate acestui domeniu trebuie împărtăşite la nivelul comunităţii internaţionale20. Stabilirea unor rules of engagement, cu atât mai mult dacă ţinem cont că spaţiul cyber a fost definit ca domeniul operaţional al NATO, poate simplifica mecanismele care vizează descurajarea adversarilor cibernetici. Indispensabilitatea unui atare demers este dată chiar de caracteristicile spaţiului cibernetic. În condiţiile în care un atac este atribuit unui actor cibernetic care nu este localizat pe teritoriul statului ţintă, reacţia faţă de acesta ar presupune utilizarea unor infrastructuri de comunicaţii aflate pe teritoriul altui stat. Se iveşte următoarea dilemă: este utilizarea infrastructurii unui alt stat pentru desfăşurarea unei operaţiuni cibernetice ofensive un act de război? În definitiv, ce constituie, în plan practic, un act de război în domeniul cyber? Şi cum ar putea arăta o definiţie a unui act de război în spaţiul cibernetic care să fie unanim recunoscută?21 Nu în ultimul rând, toate aspectele expuse mai sus nu sunt însă fezabile într-o societate democratică fără a avea cetăţeni informaţi privind regulile minime de securitate online. În condiţiile în care 60-70% dintre incidentele cibernetice ar putea fi prevenite în cazul aplicării unor măsuri de securitate minime, fără educarea cetăţeanului, eforturile depuse la nivel instituţional riscă să nu aibă efect22. În definitiv, trebuie asigurată nu doar rezilienţa infrastructurilor cibernetice în faţa unui atac informatic, ci şi rezilienţa societăţii în ansamblul său. Aşa cum în materie de politici sociale sau economice există mai multe curente de gândire, acelaşi lucru este deja valabil şi pentru spaţiul cibernetic. Perspectiva pe care să se fundamenteze cadrul legislativ privind spaţiul cibernetic trebuie să fie înţeleasă şi dezbătută la nivelul societăţii, cetăţeanul trebuind să aibă acces la raţionamentul din spatele unor politici naţionale de securitate cibernetică. Pe lângă aceste elemente referitoare la securitatea cibernetică, din punct de vedere doctrinar, se adăugă şi problematica securităţii informaţionale, asociate implicit securităţii cibernetice de state precum Federaţia Rusă23. Dacă ţările occidentale pun accentul îndeosebi pe asigurarea unei securităţi la nivel tehnic, perspectiva Federaţiei Ruse este sensibil diferită, centrală ca importanţă fiind informaţia care poate fi accesibilă prin intermediul tehnologiei24. Securitatea informaţională25 aduce în discuţie un set de probleme adiacente, care implică exercitarea suveranităţii naţionale şi controlul guvernamental asupra „segmentului” de internet al ţării respective26. Mediul cibernetic fiind profund interconectat, se impune deci, găsirea unui echilibru între legislaţiile naţionale şi viziunea agreată la nivel internaţional asupra regulilor aplicabile la nivel global pe internet.27 În definitiv, internetul poate şi este folosit ca principal vehicul informaţional, ceea ce are un impact notabil asupra securităţii naţionale a unui stat28.

Cyber deterrence – o doctrină funcţională? 

Aşa cum am arătat şi mai sus, doctrina descurajării29 se bazează pe două principii fundamentale: (1) convingerea potenţialului adversar că un atac nu va avea sorţi de izbândă, eventual nu fără un cost enorm pentru acesta și (2) încredinţarea acestuia că un atac ar conduce inevitabil la un răspuns care să presupună pierderi mai mari decât ar fi dispus să sufere30. În timpul războiului rece, politica de deterrence se plia pe realitatea unei mutual assured destruction – distrugere mutuală asigurată, dată de prezenţa armelor nucleare. Mai mult, pacea a fost astfel menţinută şi mulţumită unui eşafodaj de tratate şi instituţii internaţionale care au vegheat la neproliferarea armelor nucleare. „Armele cibernetice”, în schimb, nu pot face obiectul neproliferării, în condiţiile în care acestea (1) pot fi dezvoltate şi utilizate de orice tip de entitate, (2) atribuirea unui atac este dificilă şi (3) în majoritatea situaţiilor nu prezintă un pericol devastator31. Dezbaterea asupra aplicabilităţii doctrinei descurajării în spaţiul cibernetic a creat, în ultimii ani, mai multe tabere. Pe lângă aceia care remarcă absenţa unei strategii de deterrence şi cer implementarea acesteia cât mai repede32, există experţi care afirmă că deja ne bucurăm de efectele unui cyber deterrence apărută în mod natural în relaţiile dintre state33 sau care, dimpotrivă, susţin că această teorie nu se poate aplica spaţiului cibernetic decât parţial, pe cu totul alte coordonate decât cele ale conflictului convenţional. „Descurajarea funcţionează deja. Funcţionează chiar fantastic, dat fiind că, din ce ne putem da seama, încă n-a murit nimeni din cauza unui atac cibernetic”, spunea în iulie anul acesta Jason Healey, director al Consiliului Atlantic pentru Cyber Statecraft Initiative34. Realitatea de pe teren arată că în ciuda accesului la arme cibernetice care ar putea cauza daune şi pierderi de vieţi omeneşti similare actelor de război clasice, statele nu le folosesc (încă?) în acest scop. Pe de altă parte, acelaşi Healey arată că, dacă istoria digitală a ultimilor douăzeci de ani este străbătută de această veritabilă linie roşie, pe lângă ea, actorii statali nu recunosc alte reguli, făcând uz de arsenalul cibernetic în acţiuni de spionaj, furt de proprietate intelectuală şi chiar distrugere de bunuri. În această logică, am avea de-a face cu conceptul de intra-war deterrence (descurajare intra-război): de câţiva ani se află deja în derulare un conflict cibernetic. O caracteristică specifică a acestuia este însă că diferenţierea între capabilităţile ofensive şi cele defensive ale unui stat sunt greu de identificat. Astfel, acest tip de conflict este deosebit de predispus escaladării, creându-se o dilemă de securitate pentru state, care se percep ca găsindu-se în mod constant prinse într-o „ambuscadă”. În acest context, măsurile de descurajare adaptate adversarului sunt sau pot fi interpretate, în acelaşi registru, ca fiind măsuri coercitive, obiectivul fiind mai degrabă asigurarea supremaţiei, decât menţinerea unei stări de stabilitate. O interpretare concurentă prezintă însă spaţiul cibernetic ca având caracteristici care nu suportă aplicarea unei strategii a descurajării. Pe baza teoriilor lui John Mearsheimer şi Jonathan Shimshoni, dr. Richard Harknett de la Universitatea din Cincinatti35 argumentează că diferenţa majoră între armele convenţionale şi cibernetice şi cele nucleare ţine de costul utilizării acestora: folosirea armelor nucleare prezintă, în orice circumstanţe, un cost inacceptabil pentru un stat. De aceea, prezenţa armelor nucleare poate conduce la un echilibru

Prof. Richard J. Harknett

stabil dat de inacţiune, în vreme ce utilizarea armelor convenţionale sau cibernetice presupune un cost mai redus, acceptabil în anumite situaţii, ceea reduce gradul de stabilitate al mediului. Astfel, o politică a descurajării conduce la escaladarea conflictului, tocmai pentru că presupune un comportament reţinut, care încurajează alte state să testeze limitele atacurilor cibernetice. Potrivit lui Harknett, normele în spaţiul cibernetic nu pot fi impuse dintru început pe baze teoretice, ele pot apărea doar ca rezultat al unor comportamente şi a unor acţiuni, iar nu în absenţa lor. Acesta susţine, deci, că mediul operaţional cibernetic nu seamănă cu nimic din ceea ce a fost până acum şi de aceea strategia de securitate trebuie construită pornind de la caracteristicile sale specifice, iar nu de la bazele teoretice formulate până în prezent în relaţiile internaţionale. Această perspectivă reţine ca element esenţial dinamicitatea spaţiului operaţional cibernetic, care este diametral opusă stării de echilibru dată de o politică clasică a descurajării. Harknett afirmă că operaţiunile cyber, prin însăşi natura lor, exclud descurajarea. Spaţiul cibernetic, structural interconectat, este în continuă schimbare mulţumită progreselor constante ale tehnologiei, atât la nivel software, cât şi hardware. Nu este un domeniu militar prin excelenţă, ci este un domeniu în care este necesar să se acţioneze şi din punct de vedere militar. Încercarea de a-l segmenta, pentru a-i aplica noţiunile de spaţiu caracteristice războiului clasic, este inaplicabilă. Mediul cibernetic este interpretat ca fiind un „mediu strategic persistent-ofensiv”, un spaţiu în care apărarea are un efect limitat strict în timp şi nu produce un impact de lungă durată la nivelul capacităţii ofensive a adversarului. Mai mult, din perspectivă defensivă, persistenţa ofensivă se traduce prin faptul că la orice moment dat în timp, un stat poate presupune că există o entitate care îl atacă. O caracteristică a mediului cibernetic ar fi, deci, că, atât apărarea cât şi atacul sunt ubicue, de aceea securitatea cibernetică necesită „persistenţă – câştigarea şi reţinerea iniţiativei”. Aceasta se poate realiza prin anticiparea de către actori a felului în care un adversar ar reuşi să le exploateze vulnerabilităţile şi, de asemenea a felului în care pot fi exploatate vulnerabilităţile adversarului. Prima etapă presupune deci întărirea rezilienţei sistemelor, precum şi măsuri de apărare ale sistemelor a căror atacare poate produce un impact asupra securităţii naţionale. Care sunt, așadar, concluziile care se desprind, dincolo de abordările teoretice diferite? Este aplicabilă o politică de containment & deterrence spaţiului cibernetic? Dat fiind dinamismul intrinsec acestui mediu, necesitatea dezvoltării constante a arsenalului defensiv, coroborată cu tentaţia testării în scop ofensiv a unor arme cibernetice mereu noi, conduce la asumarea de către unele state aunei stări de conflict perpetue36 şi multi-direcţionale, dar cu efecte limitate şi controlabile ca impact asupra securităţii naţionale a altor state. Îngrădirea şi descurajarea adversarilor cibernetici se poate implementa doar în urma identificării şi agreării la nivel internaţional a unui prag-limită, dincolo de care costurile incursiunilor ofensive să crească exponenţial. „Zona gri” a spaţiului cibernetic va rămâne însă, inevitabil, un domeniu de vânătoare pentru actori mai mari sau mai mici37. În consecinţă, vulnerabilităţile, riscurile şi ameninţările la adresa securităţii naţionale care provin din spaţiul cibernetic pot fi contrabalansate doar prin implementarea sistematică a unor măsuri de apărare şi întărire a rezilienţei sistemelor IT&C care devin, pe zi ce trece, esenţiale pentru stat, pentru societate, dar şi pentru fiecare cetăţean în parte.

CSS text-justify Example

Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”, International Security, vol. 41, nr. 3, pp. 44–71, p. 47, disponibil online la http://www.mitpressjournals.org/doi/pdf/10.1162/ISEC_a_00266 (accesat la 31.10.2017); Levi Maxey, „Cyber Deterrence – Left of Virtual Boom”, The Cipher Brief, 23.07.2017, disponibil online la https://www.thecipherbrief.com/cyber-deterrence-left-of-virtualboom (accesat la 31.10.2017). 2 Vezi NATO Cyber Defence Fact Sheet, aprilie 2017, disponibil online la https://www.nato.int/ nato_static_fl 2014/assets/pdf/pdf_201_03/20170331_1704-factsheet-cyber-defence-en.pdf (accesat la 31.10.2017). 3 Veziînregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017, disponibilă la https://www.c-span.org/video/?428339-1/former-intel-chiefs-testify-us-cyber-defensestrategy( accesat la 31.10.2017). 4 George Kennan (1904-2005), diplomat şi istoric american, teoretician al doctrinei containment-ului. A se vedea şi Henry Kissinger, “The Age of Kennan”, The New York Times, 10.11.2011, disponibil online la http://www.nytimes.com/2011/11/13/books/review/george-f-kennan-an-american-life-by-johnlewis- gaddis-book-review.html (accesat la 31.10.2017). 5 George Kennan, The Long Telegram, 22.02.1946, Moscova, disponibilă la https://nsarchive2.gwu.edu// coldwar/documents/episode-1/kennan.htm (accesat la 31.10.2017). 6 Vezi Stephen Kotkin, „What Would Kennan Do?”, Princeton Alumni Weekly,, 2.03.2016, disponibil online la https://paw.princeton.edu/article/what-would-kennan-do (accesat la 31.10.2017). 7 Vezi Matthew Rojansky, „George Kennan Is Still the Russia Expert America Needs”, Foreign Policy, 22.12.2016, disponibil online la http://foreignpolicy.com/2016/12/22/why-george-kennan-is-stillamericas- most-relevant-russia-expert-trump-putin-ussr/ (accesat la 31.10.2017); 8 George Kennan, The Long Telegram… 9 Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”… p. 45. 10 David E. Sanger, „As Russian Hackers Probe, NATO Has No Clear Cyberwar Strategy,” The New York Times, 16.06.2016, disponibil online la https://www.nytimes.com/2016/06/17/world/europe/natorussia- cyberwarfare.html (accesat la 31.10.2017). 11 Franklin D. Kramer, Robert J. Butler, Catherine Lotrionte, Cyber and Deterrence. The Military-Civil Nexus in High-End Confl ict, Atlantic Council – Brent Scowcroft Center On International Security, ianuarie 2017, disponibil online la http://www.atlanticcouncil.org/images/publications/Cyber_and_ Deterrence_web_0103.pdf (accesat la 31.10.2017). 12 Sean D. Carberry, “Why there’s no silver bullet for cyber deterrence”, 06.06.2017, FCW, disponibil online la https://fcw.com/articles/2017/06/06/carberry-cyber-deterrence.aspx (accesat la 31.10.2017). 13 Vezi declaraţia lui Will Hurd, reprezentantului statului Texas în CongresulSUA, în cadrul Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017, înregistrare disponibilă online la https://www.c-span.org/ video/?434886-2/representative-hurd-cybersecurity-policy (accesat la 31.10.2017). 14 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 19.10.2017, disponibilă la https://www.c-span.org/video/?435980-1/white-house-cyber-coordinator-declinestestify- cyber-defense-strategy-hearing(accesat la 31.10.2017). 15 Vezi înregistrarea Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017, disponibilă online lahttps://www.cspan. org/video/?434886-4/cybersecurity-conference-panel-1(accesat la 31.10.2017). 16 Ibidem. 17 Sean D. Carberry, “Why there’s no silver bullet for cyber deterrence”, 06.06.2017, FCW, disponibil online la https://fcw.com/articles/2017/06/06/carberry-cyber-deterrence.aspx (accesat la 31.10.2017). 18 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 19 Ibidem. 20 Michael N. Schmitt (ed.), Tallinn Manual 2.0 On the International Law Applicable to Cyber Operations, Cambridge University Press, 2017. 21 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 22 Ibidem. 23 Vezi Доктрина информационной безопасности Российской Федерации (Doctrina asupra securităţii informaţionale a Federaţiei Ruse), 5.12.2016, disponibilă online la http://www.mid.ru/ documents/10180/2563110/Ukaz_Prezidenta_Rossiiskoi_Federatsii_ot_05122016.pdf/b579d736- cb99-46ac-b4f7-a0b6bc102ed1 (accesat la 31.10.2017); Yannick Harrel, Noua doctrină informaţională rusă din decembrie 2016, in Cybersecurity Trendsn. 2017/1, pp. 35-37 24 Pavel Sharikov, “What is behind Russia’s new information security doctrine?”, Russia Direct, 13.12.2016, disponibil online la http://www.russia-direct.org/opinion/what-behind-new-russiasinformation- security-doctrine (accesat la 31.10.2017). 25 Pavel Sharikov, „Russia and the US: Frenemies in Cyberspace”, în Suggestions on Russia-US Cooperation on Cybersecurity, East West Institute, p. 6, disponibil online la https://www.eastwest. ngo/sites/default/fi les/RIAC-EWI-Russia-US-Cybersecurity-Policybrief11-en.pdf (accesat la 31.10.2017). 26 Ibidem. 27 Ibidem. 28 Bruce W. McConnell, “On the Need for Cooperation”, în Suggestions on Russia-US Cooperation on Cybersecurity, East West Institute, p. 8, disponibil online la https://www.eastwest.ngo/sites/default/ fi les/RIAC-EWI-Russia-US-Cybersecurity-Policybrief11-en.pdf (accesat la 31.10.2017). 29 Pentru mai multe detalii, a se vedea Joseph S. Nye Jr., „Deterrence and Dissuasion in Cyberspace”… p. 52. 30 Dorothy Denning, “Cybersecurity’s next phase:Cyber-deterrence”, The Conversation, 13.12.2016, disponibil online la https://theconversation.com/cybersecuritys-next-phase-cyber-deterrence- 67090(accesat la 31.10.2017). 31 Ibidem. 32 Vezi înregistrarea Ședinţei Comitetului Senatului SUA pentru Servicii Armate din data de 11.05.2017… 33 Jason Healey, „Cyber Deterrence Is Working – So Far”, The Cipher Brief, 23.07.2017, disponibil online la https://www.thecipherbrief.com/cyber-deterrence-is-working-so-far(accesat la 31.10.2017). 34 Ibidem. 35 Brad D. Williams, „Meet the scholar challenging the cyber deterrence paradigm”, Fifth Domain, 19.07.2017, disponibil online la https://www.fi fthdomain.com/home/2017/07/19/meet-the-scholarchallenging- the-cyber-deterrence-paradigm/(accesat la 31.10.2017). 36 Vezi transcrierea Conferinţei Challenges facing US Military, organizată de Council on Foreign Relations, 3.05.2017, disponibilă online lahttps://www.cfr.org/event/challenges-facing-usmilitary( accesat la 31.10.2017). 37 Vezi înregistrarea Conferinţei asupra securităţii cibernetice organizate de George Washington University Center for Cyber and Homeland Security, 29.09.2017….

283

Conștientizarea copiilor și adulţilor: după recordul UE (1059 de copii) stabilit cu ziua gratuită de prevenţie (13 septembrie) realizată în cadrul congresului „Cybersecurity-Romania” ediţia a 6-a de către Swiss Webacademy împreună cu Poliţia Română, Inspectoratul Școlar Sibiu și în colaborare cu Telekom, a fost rândul Elveţiei să stabilească un record, odată cu ziua gratuită de prevenţie (6 decembrie) realizată în cadrul premierei congresului „Cybersecurity-Switzerland” de către Swiss Webacademy împreună cu Police du Jura, Police de Genève, Ville de Porrentruy și în colaborare cu UBS și UPC… 440 adolescenţi (18 clase complete ale liceului orașului) și profesorii lor au luat parte la 2 sedinţe de 90 de minute de conștientizare – cu celebrul concurs de întrebări la sfârșitul prezentărilor asupra riscurilor ţinute de către Poliţia din Jura, Daniela Chrzanovski și de către un invitat cu totul special, Pierre-Alain Dard, Director Brigada Minorilor din Geneva, orașul multicultural unde toate noile tendinţe și riscuri din mediile sociale se vând în timp real în rândul tinerilor. Seara, la 19:30, au venit nu mai puţin de 115 adulţi, printre care 27 CEO de IMM-uri și 28 de administratori IT din sectorul public, să beneficieze de o conferinţă dedicată problematicilor observate în 2017 și soluţiilor de bază de luat. După alocuţiunea inaugurală a lui Pierre- Arnauld Fueg, Primarul oraşului Porrentruy, prezentările au fost ţinute în tandem de către Francisco Arenas, Manager UPC Business Solutions Elveţia Francofonă și Laurent Chrzanovski. Cu mare surprindere, cele 90 de minute de prezentări au dat naștere unei sesiuni Q&A de… peste 50 de minute. Acest moment confirmă iniţiativa noastră și arată clar, în ceea ce privește Elveţia, că adulţii sunt extrem de dornici de a afla mai multe despre tematică, despre ce se întâmplă, și despre ce pot să facă pentru a se proteja.

538

autor: Laurent Chrzanovski

Pe modelul “Cybersecurity-Romania”,Pe modelul “Cybersecurity-Romania”,prima ediţie a platformei noastre dedialog public-privat Vest-Europeană,„Cybersecurity-Switzerland” a avut loc laPorrentruy (Elveţia) în 7 și 8 decembrie.Vom reveni pe larg asupra dezbaterilorţinute acolo în cadrul subiectului central al următoarei ediţii arevistei noastre.Orizonturile acoperite de către peste 40 de speakeri de elităau pictat un adevărat tablou al situaţiei în care ne aflăm acum:de la IATA la Panelul Interguvernamental pentru SchimbăriClimatice, de la Armata Elveţiană la Jandarmeria Franceză, de laSRI la Serviciile de Inteligenţa Federale, de la bănci la riscurileagricole, toţi au constatat că nu mai este aproape nicio graniţăîntre spaţiul digital și spaţiul fizic, acesta din urmă fiind zilnicinvadat de obiecte conectate în plus faţă de toate cele pe caredeja le folosim ca persoane, de la smartphone la componenteleIoT ale mașinilor.Fiecare, în domeniul său, a și observat două tendinţe mari:atacuri din ce în ce mai sofisticate și constante (se vorbeștedin ce în ce mai mult de advanced threats, persistent fiind subînţeles și mai bine arfi înlocuit cu mutant) și „fake news” fiind înţelese ca „fake news AND data”, acesteafiind menite să deranjeze constant noua tendinţă în automatizare, aceea de machinelearning.Fără a lăuda sau a denigra pe nimeni, se observă că doctrina cybersecurity aFederaţiei Ruse, așa cum a fost prevăzută din 2000, este din ce în ce mai de actualitate,exact ca și varianta franceză, foarte apropriată, elaborată de către Daniel Ventre cucele 3 nivele de cybersecurity. În ambele cazuri, trebuie distinse dar corelate simbioticsfera informaţională, care include info-intox în știri și în date, și sfera tehnologică, carecuprinde atacuri la reţele, la hardware și la software.Ori competenţele unui responsabil de securitate foarte rar sunt în măsură egalăîn ambele sfere. Așadar, cum a subliniat cu tărie Pascal Buchner (CIO și responsabilde securitate al International Air Transport Association), este timpul să terminăm cumetodologia de a lucre pe nișe sau, mai rău, în „silozuri”, care comunică și se înţeleggreu între ele.Echipele SOC din viitor vor trebui constituite din echipe rodate cu membri căroracompetenţele le sunt atât diferite cât și complementare, de la specialiști în Humint lacei în analiza de info, de la specialiști în vulnerabilitatea reţelelor la cei în backdoors șithreats (black hats, white hats, red hats), specialiști în gestiunea de riscuri și de crize,ș.a.m.d., o echipă care să aibă o cunoștinţă completă și o vizibilitate permanentăasupra tuturor obiectelor conectate ale unei structuri, nu numai ale celor din „IT”.Este si o nouă abordare a domeniului nostru, mai comprehensibilă pentrupatroni deja asfixiaţi de „compliance” și care nu înţeleg jargonul tehnic al majorităţiiCSO-urilor. Vorbim de securitatea fizică și personală, de securitatea „tout court”, încare orice obiect conectat poate trece într-o clipă de la funcţional, la disfuncţional, lanefuncţional, poate să fie lovit, parazitat, poate să devină un vector pentru terţi saupentru un atacator asupra structur ii gazdă. Conștientizarea a revenit încă odată pentrua fi una dintre tematicile centrale, având în vedere că greșelile umane, intenţionatesau nu, sunt la rădăcina unei majorităţi atot covârșitoare a problemelor de securitate.Uman? Pericol iminent? Acestea sunt cuvintele pe care orice patron sau director lepoate înţelege. Și există uși de intrare pentru toţi cei care dorim un ecosistem digitalmai sigur, pentru că până la urmă patronul hotărăște bugetele și forma de securitatea structurii sale…

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu.

544

Al 4-lea Congres macro-regional „Cybersecurity in Romania” s-a desfăşurat la Sibiu între 14 şi 16 septembrie 2016. Ocazie unică de a face bilanţul cu privire la evoluţiile sau la întârzierile în domeniul securităţii informatice în sens larg, Forumul a fost gazda unor personalităţi recunoscute ca experţi în domeniu. Ediţia din 2016 a facilitat clarificarea a 4 aspecte:

  1. adoptarea unei abordări proactive pentru gestionarea ameninţărilor geopolitice;
  2. securizarea mai puternică a internetului concomitent cu apariţia unor noi obiecte conectate;
  3. implementarea de programe de informare asupra ameninţărilor critice şi de diseminare a informaţiilor;
  4. adoptarea de noi măsuri de siguranţă în domeniul comerţului electronic.


Potrivit lui Marco OBISO, coordonator în cibersecuritate al Uniunii Internaţionale a Telecomunicaţiilor, doar 73 de state au adoptat o strategie naţională în domeniul cibersecurităţii cu scopul de a construi un ciber-spaţiu securizat şi rezistent pentru cetăţenii acestora.
Şi totuşi, celelalte ţări membre ale UIT nu au rămas inactive în acest domeniu, întrucât 103 ţări au constituite echipe de intervenţie în caz de incident de securitate informatică (Computer Incident Response Team). În afară de acţiunile preventive şi curative pe care le operează la nivel naţional, CIRT împarte informaţiile proprii cu comunitatea mondială, permiţând astfel fiecărei ţări să îşi îmbunătăţească gradul de protecţie.
În domeniul cibercriminalităţii şi protecţiei datelor, toate ţările europene şi-au adaptat legislaţia; cu toate acestea, doar Bulgaria, Finlanda, Germania, Grecia, Letonia şi Polonia au impus măsuri obligatorii de protecţie a ciberspaţiului.
În Europa, eforturile din punct de vedere legal, tehnic, organizatoric sau în materie de cooperare naţională (între sectorul privat şi cel public) şi internaţională sunt evidente, însă rămân unele aspecte care necesită îmbunătăţiri, printre care nevoia definirii unui cadru şi instituirii unei proceduri de certificare şi acreditare a specialiştilor în cibersecuritate (doar trei state au făcut-o deja) sau nevoia definirii unui cadru de aplicare a normelor de cibersecuritate. Un alt punct slab indicat de către UIT: formarea specialiştilor care să contribuie la aplicarea legii, întrucât doar 9 state au creat instituţii de formare specifice pentru forţele de ordine proprii.

Delegaţie AR Franche-Comté ale IHEDN la congres


În viziunea d-lui Dr. Dan TOFAN, expert în cadrul Agenţiei Europene însărcinate cu securitatea reţelelor şi a informaţiei, Uniunea Europeană a ţinut cont de noile ameninţări asupra ciberspaţiului, ceea ce a condus la elaborarea, de către Comisia Europeană, a unei directive care răspunde în parte observaţiilor UIT, „directiva privind s ecuritatea reţelelor şi a sistemelor informatice (NIS Directive)”. Această directivă are ca obiectiv aducerea capacităţilor de cibersecuritate la un nivel comun de dezvoltare în toate statele membre ale UE, în scopul garantării schimbului de informaţii şi de cooperare, inclusiv la nivel transfrontalier. Aceasta instituie obligaţia, pentru statele membre:

  1. De a se pregăti, solicitând să poată dispune de minimum o echipă de intervenţie în caz de incidente de securitate informatică (CSIRT) şi de o autoritate naţională competentă;
  2. De a exista cooperare între toate statele membre, c reându-se astfel un grup de cooperare, cu scopul de a susţine şi de a facilita cooperarea strategică şi schimbul de informaţii între statele membre. Acestea vor trebui să instituie o reţea CSIRT pentru promovarea unei cooperări operaţionale rapide şi eficiente în incidente specifice de cibersecuritate şi pentru a împărtăşi informaţii cu privire la riscuri;
  3. De a iniţia o cultură a securităţii în toate sectoarele vitale ale economiei şi ale societăţii şi care, în plus, depind mult de TIC, cum ar fi energia, transporturile, apa, băncile, infrastructuri ale pieţei financiare, sectorul sănătăţii şi infrastructura digitală. Întreprinderile din aceste sectoare identificate de către state ca fiind operatori de servicii esenţiale vor fi obligate să ia măsuri adecvate de securitate şi să notifice incidentele grave la autoritatea naţională competentă.
  4. În plus, principalii furnizori de servicii digitale (motoare de căutare, servicii de „cloud computing” şi comerţ online) vor fi bligate să se conformeze exigenţelor de securitate şi de notificare prevăzute de noua directivă.

Această directivă va trebui să fie aplicată, adică transpusă în legislaţia ţărilor membre, până în mai 2018. Este de remarcat faptul că aplicarea celui de-al treilea punct va implica instituirea unui program de formare a actorilor din sectoarele definite ca fiind critice.

În ceea ce priveşte această formare, intervenţia lui Daniel Ventre, titularul catedrei de cibersecuritate şi de ciberapărare din cadrul şcolilor S aint-Cyr/ Coëtquidan (şcoli de f ormare a ofiţerilor armatei terestre franceze), poate fi folosită ca discurs introductiv, întrucât oferă un cadru şi un spaţiu a temporal. Pentru acesta, „…din lectura numeroaselor strategii, politici, planuri, programe de cibersecuritate şi ciber-apărare publicate în toată lumea în ultimii ani, pare să se desprindă un consens, o convergenţă a recunoaşterii necesităţii organizării şi asigurării securităţii şi apărării domeniului ciber, adică întâi de toate securitatea şi apărarea ansamblului de sisteme tehnice şi apoi a sistemelor societăţilor traversate de aceste dintâi sisteme. De securitatea sistemelor depinde cea a statuluinaţiune. Consensul se materializează în acceptarea de către toţi a structurii unei naraţiuni simple, alcătuite din câteva noţiuni elementare. Această naraţiune se desfăşoară în jurul a trei protagonişti: „noi”, „ameninţarea” şi „ciberspaţiul”.
Acest „noi” este reprezentat de stat, naţiune, societate, totalitatea actorilor care ne împărtăşesc valorile şi interesele. Acest „noi” îşi bazează evoluţia, progresul, economia pe un soclu tehnologic. Ori securitatea nu a fost integrată la baza acestui soclu, astfel că „noi” suntem mereu în căutarea unei securităţi ideale care probabil că nu va exista niciodată din două motive: reaşezarea securităţii în compoziţia soclului tehnologic ar presupune demontarea şi reconstruirea completă, iar înaintea noastră se află adversari/inamici/oportunişti care au aceleaşi dependenţe tehnologice ca noi, însă nu neapărat aceleaşi valori, interese, obiective şi au învăţat să profite de fragilităţile noastre. Dependenţa noastră a atins un asemenea grad încât planează asupra noastră ameninţarea unui atac ale cărui efecte ar fi distructive (ciber- Armageddon). „Noi” este astfel confruntat cu „alţii”, „ameninţarea”: ei pot fi chiar printre noi (insider threat) şi aduc ameninţări vitale mode lului nostru. Acestor adversari nu li se cunoaşte numărul şi nu au frontiere. Ameninţarea mobilizează toate categoriile de infracţiuni şi de conflict (crimă organizată, delincvenţă, găşti, mafii, terorism, gherile, servicii de informaţii, insurecţii…). Evidenţierea atacurilor conduse de aliaţi şi parteneri nu contribuie la reducerea sentimentului de ameninţare globală. În anumite state, însuşi cetăţeanul este o ameninţare (ciberactivism). Aceşti adversari sunt adesea invizibili, acţionează impredictibil, sunt asimetrici. Conceptul de „noi” ameninţat trebuie deci în mod legitim să se protejeze, să se apere, să înveţe să riposteze, să atace. Acesta învaţă să-şi arate forţa, visează să găsească metode de disuasiune. Visează să domine ciberspaţiul pentru a menţine şi aici ordinea atunci când o controlează sau pentru a retrasa în acesta graniţele naţionale de suveranitate atunci când nu se mai află pe linia trasată de conducător. Anumite evenimente, incidente, mai mediatizate decât altele, ca nişte ciupituri de aducere aminte, vin să menţină conştiinţele treze şi să confere echitate structurii naraţiunii.” („Les évolutions de la cybersécurité: contraintes, facteurs, variables…”)

Potrivit lui Marian Matei, Director adjunct al Direcţiei de Combatere a Criminalităţii Organizate din cadrul Poliţiei Române, această evoluţie perpetuă a cibersecurităţii duce la apariţia unei abordări mai globale a acesteia deoarece există multe obstacole în calea unei mai bune cibersecurităţi, iar majoritatea obstacolelor nu sunt de ordin tehnic. Chiar dacă am avea o mai bună tehnologie decât cea de care dispunem astăzi, ar exista în continuare riscul ca adversarul, „ameninţarea” evocată de Daniel Ventre, să fie cu un pas înaintea noastră. Unele dintre cele mai mari obstacole cărora le facem faţă provin din analizele depăşite ale cibersecurităţii şi din politicile generate de aceste analize; în consecinţă, potrivit opiniei lui Matei, este timpul ca abordarea cibersecurităţii să se schimbe.
Primele studii cu privire la acest subiect au lăsat să se înţeleagă că ameninţarea cibernetică ar proveni din atacuri teroriste îndreptate împotriva infrastructurilor critice. Neavând încă competenţele necesare, cele mai multe state au încredinţat responsabilitatea securităţii sectorului privat, deoarece acesta deţinea majoritatea infrastructurilor esenţiale. Se credea în mod optimist că problemele internetului vor fi rezolvate de către o comunitate mondială autonomă în care guvernul trebuia să joace doar un rol minimal. Aceste idei sunt încă larg răspândite în zilele noastre, însă s-au dovedit a fi eronate. Adevăratele mize ale cibersecurităţii sunt spionajul şi criminalitatea etatizate şi creşterea capacităţilor militare ofensive, probleme care sunt mai bine tratate de către guverne. În viitor, ca efect al mondializării, vom fi şi mai interconectaţi decât suntem în prezent. Interacţiunea între marile puteri, statele mai puţin dezvoltate economic şi actorii din afara statului va determina noi modalităţi de exercitare a influenţei. În corelare cu dispoziţiile privitoare la strategia de apărare naţională, trebuie luate măsuri progresive pentru întărirea credibilităţii strategice, graţie dezvoltării şi modernizării continue a capacităţilor cibernetice şi pentru a asigura o protecţie colectivă eficientă a ciberspaţiului naţional, european şi euro-atlantic. În acelaşi timp, avem nevoie de un cadru juridic care să permită şi să susţină abordarea globală şi multinaţională în întreg domeniul ciber. Cheia succesului se află în mâinile celor care înţeleg şi îşi concentrează eforturile asupra mecanismelor de prevenţie în trei sub-domenii ale securităţii: apărarea, ordinea publică şi securitatea internă. În acest cadru, Marian Matei arată că elaborarea unui proces de planificare riguros, continu şi pluri-anual este imperativă. Pentru a fi eficient, acest proces trebuie să reunească resursele disponibile pentru susţinerea obiectivelor naţionale, europene şi euro-atlantice în domeniul cibersecurităţii iar directiva NIS, trebuie subliniat, reprezintă o evoluţie majoră.

Pentru Alexandru Cătălin COSOI, director de strategii al BITDEFENDER, într-o lume în care cibercriminalitatea se produce în câteva minute, cooperarea în domeniul securităţii şi legislaţia trebuie să se schimbe pentru a răspunde în acelaşi interval de timp, iar, în această privinţă, PPP-urile sunt esenţiale pentru atingerea acestui grad de reactivitate. Numeroase state au elaborat recent strategii naţionale de cibersecuritate care pun accentul pe un gen de parteneriat public-privat (Austria, Australia, Canada, Cehia, Estonia, Finlanda, Franţa, Ungaria, India, Japonia, Lituania, Olanda, Noua Zeelandă, Slovacia, Africa de Sud, Marea Britanie şi Statele Unite).
Este important de reţinut că parteneriatul public-privat în materie de cibersecuritate naţională îmbracă mai multe forme. Guver nele au relaţii diverse cu furnizorii de servicii de internet, cu multinaţionalele informatice (Google, Facebook etc.), cu companiile private de cibersecuritate, cu apărătorii drepturilor omului şi ai drepturilor civile, cu forţele de ordine şi cu societatea civilă. Şi totuşi, atât în documentele oficiale cât şi în discursul privind cibersecuritatea în general, parteneriatul public-privat este adesea caracterizat ca fiind o entitate unică, nesocotind această complexitate. În ciuda acestei complexităţi şi acestei diversităţi, reiese clar faptul că accentul pus pe strategii vizează relaţia dintre guvern şi proprietarii/utilizatorii de infrastructuri esenţiale aşa cum o arată, de exemplu, legea privind încrederea în economia digitală franceză, în timp ce multe alte aspecte ale cibersecurităţii sunt considerate ca fiind legate de interesul naţional, protecţia infrastructurilor esenţiale iar parteneriatele public-private joacă un rol important.
Evident, parteneriatul public-privat nu este propriu cibersecurităţii. Acesta a fost folosit foarte des de către state ca mecanism în soluţionarea altor probleme, inclusiv celor legate de securitate. Practica s-a intensificat începând cu anii 1990, când privatizarea i nfrastructurilor critice a fost considerată ca fiind benefică din punct de vedere economic pentru stat.
Deşi au fost prezentate ca un „nou” tip de gestionare, conceput cu scopul de a prelua cele mai bune elemente din cele două sectoare, parteneriate public-private au fost încheiate şi în trecut. Cu ocazia semnării convenţiei din 28 iunie 1882, publicată în martie 1883, prin care Anglia şi Franţa îşi garantau reciproc drepturi egale pentru comercianţii din posesiunile din Africa, cancelarul Bismarck a s olicitat oraşelor din Liga Hanseatică să redacteze un raport prin care să propună măsuri pentru favorizarea extinderii comerţului german pe coasta de vest a Africii, ceea ce a condus la crearea statului Camerun în 1884, în beneficiul caselor Woermann şi J antzen şi Thormahlen…
Există mai multe motive pentru care cibersecuritatea, în special în contextul protecţiei infrastructurilor esenţiale, a fost concepută ca un proiect de colaborare între sectorul public şi cel privat. Statul este responsabil cu securitatea, în particular cu securitatea naţională. Protecţia infrastructurilor esenţiale – sistemele necesare conservării securităţii naţionale (în accepţiunea cea mai largă) – este percepută ca parte integrantă a securităţii statului. Consecinţele potenţiale ale unui ciber-atac la scară largă asupra infrastructurilor esenţiale sunt atât de complexe încât este normal ca guvernul să îşi asume o anumită autoritate şi o anumită responsabilitate. Totuşi, dat fiind faptul că majoritatea infrastructurilor esenţiale sunt deţinute şi exploatate de interese private, trebuie să existe un tip de relaţie între sectorul public şi cel privat în ceea ce priveşte securitatea. Au fost încheiate o gamă largă de acorduri şi contracte denumite partene riate public-private. Acestea pornesc de la prestări solidare de ser vicii a căror executare este oarecum supravegheată prin reglementări guvernamentale (sectorul sănătăţii), până la subcontractarea unor mari proiecte de infrastructură (contruirea de poduri, găzduirea Jocurilor Olimpice etc.).
Se pot identifica PPP-uri de două mari categorii:

  1. aranjamente orizontale non-ierarhice caracterizate prin luări de decizii conform principiului consensualităţii;
  2. relaţii organizate ierarhic în care unul dintre contractori exercită şi rol de control.

În materie de cibersecuritate, strategiile naţionale se feresc să vorbească de ierarhie atunci când se referă la parteneriatul publicprivat, deoarece acest tip de contract este caracterizat prin concepte precum cooperarea, un scop împărtăşit de ambele părţi şi interese comune. Guvernul împărtăşeşte, astfel, informaţii şi resurse cu scopul de a elabora, alături de sectorul privat, un răspuns la o provocare comună. Furnizarea de informaţii cu privire la ameninţările cibernetice constituie una din principalele aşteptări ale parteneriatului, atât din partea sectorului public cât şi a sectorului privat, însă există anumite obstacole în schimbul de informaţii în ambele cazuri. Sectorul privat consideră că nu este întotdeauna uşor de făcut distincţia pe loc între o problemă tehnică oarecare, un atac slab şi un atac la scară largă. În plus, uneori semnalarea vulnerabilităţilor contravine intereselor lor comerciale, deoarece modelul lor de afaceri se bazează pe obţinerea, posedarea şi vânzarea de informaţii şi nu pe partajarea lor cu altcineva.
De asemenea, sectorul public are limitele sale în ceea ce priveşte partajarea informaţiei cu alţii. Informaţiile contextuale calsificate nu pot fi partajate cu persoane care nu au o autorizaţie de securitate adecvată. Adesea, nici chiar cei care lucrează în sectorul privat şi deţin o autorizaţie de securitate nu pot să facă nimic cu informaţiile clasificate, pentru că luarea de măsuri ar presupune implicit expunerea lor… Această problemă de partajare a informaţiei a fost considerată în mod constant ca fiind un obstacol major în cibersecuritate şi a fost pusă în discuţie de un înalt funcţionar, numind-o, cu ocazia Congresului de cibersecuritate din 2011, ca fiind una din cele două domenii principale care trebuie îmbunătăţite.
Partajarea de informaţii, inclusiv a celor sensibile, este mai eficientă atunci când există relaţii personale între cele două părţi. Oamenii sunt mult mai dispuşi să partajeze informaţii cu colegii cu care au o puternică legătură personală şi/sau profesională. Acest factor uman este important şi ar trebui să facă obiectul unei cercetări mai aprofundate, pentru a găsi mijloacele de stabilire şi de întărire a acestor relaţii în domeniile securităţii reţelelor şi funcţiei publice, care sunt caracterizate printr-o frecvenţă relativ ridicată cu care se schimbă personalul, iar multiplicarea obiectelor conectate antrenează apariţia unor noi ameninţări.

Aşa cum a subliniat şi Michal JARSKY, directorul regional de vânzări al TRENDS MICRO, orice obiect conectat la internet poate fi piratat. Care sunt reacţiile corecte în această situaţie? Niciuna, dacă nu punem în practică ceea ce Matei a numit abordarea globală a cibersecurităţii. În opinia lui Jarsky, orice reacţie care implică adoptarea unui plan de acţiune simplu de enunţat însă, uneori, dificil de aplicat. Acest plan se desfăşoară în 6 etape, şi anume: evaluarea ameninţărilor, formarea/educarea utilizatorilor, identificarea „lacunelor” tehnologice, elaborarea indicatorilor de eficienţă (Key Performance Indicators), o îmbunătăţire continuă şi un proces de sinteză.


Doris ALTENKAMP, cercetătoare şi consultant în ciber-apărare, defineşte internetul obiectelor conectate ca „un fel de reţea globală universală de neuroni” care înglobează toate aspectele vieţii noastre. Pericolul vine nu doar din partea obiectului însuşi, ci şi din partea legăturilor, „conversaţiilor” pe care le poate avea cu alte obiecte. Păstrând în minte această constatare, Altenkamp propune o metodă de judecată împrumutată din domeniul militar, ciclul OODA (Observa, Orient, Decide, Act), care permite gestionarea cunoscutului, a necunoscutului şi a necunoscuţilor „necunoscuţi” cu scopul de a naviga pe deasupra incertitudinii… Ciclul OODA începe în funcţie de comportamentul aşteptat şi de la gradul de cunoaştere a situaţiei ecosistemului obiectului conectat (de exemplu, un frigider). Observarea constă în adunarea de informaţii provenind de la ecosistemul obiectului conectat şi examinarea lor. Orientarea reprezintă obţinerea unei analize comportamentale şi complexe a sistemului şi stabilirea evaluării (risc, impact etc.). Decizia constă în traducerea „noii cunoştiinţe” în „know how” şi hotărârea acţiunilor semnificative care trebuie întreprinse. Acţionarea înseamnă punerea în aplicare a unor măsuri care interacţionează cu părţile semnificative din cadrul ecosistemului. Apoi ciclul se reia…
Pentru a diminua riscurile legate de obiectele conectate (IoT), Altenkamp consideră că trebuie acţionat în domeniile următoare:

  • Securitatea obiectelor conectate şi conectivitatea lor end-to-end;
  • Dezvoltarea de softuri specifice;
  • Crearea de date/confidenţialitatea datelor/protecţia datelor;
  • Sistemul de supraveghere complex al obiectelor conectate;
  • Guvernanţă/juridic/reglementare/gestionarea riscurilor;
  • Certificarea obiectelor conectate;
  • Formarea utilizatorilor.

Abundenţa obiectelor conectate generează noi moduri de consum, de cumpărare, de vânzare. În acest context, securizarea comerţului electronic devine mai importantă ca niciodată iar criptarea datelor şi a legăturilor reprezintă esenţa problemei.
Există, bineînţeles, dispozitive simple care pot fi aplicate, cum ar fi cel prezentat de Alain SEID, preşedintele Camerei de Comerț
și Industria din Belfort (Franța). Este vorba de un dispozitiv care se bazează mai degrabă pe intervenţia conceptului de „noi” care constată „ameninţarea” în „ciberspaţiu” decât pe o intervenţie automată. Însă acest dispozitiv nu funcţionează decât în partea din lumea fizică legată la lumea virtuală. În lumea pur virtuală, soluţiile constau cel mai adesea în instalarea unei protecţii

bazate pe p rotocoale relativ învechite şi, deci, vulnerabile, aşa cum o demonstrează Ştefan Hărşan FÁRR, consultant. Totuşi, potrivit acestuia, majoritatea punctelor slabe actuale provin din lipsa de rigoare a utilizatorilor, confirmând astfel necesitatea unuia din obiectivele directivei NIS care vizează dezvoltarea unei culturi de „cibersecuritate” în fiecare actor.
În domeniul criptării datelor, este păcat că niciun participant nu a evocat progresele care s-au făcut, cu precădere implementarea de noi moduri care folosesc tehnologii cu perspective favorabile precum criptarea cuantică (şi componentele sale criptografice) care va impune o standardizare a protocoalelor de criptare pentru dist ribuirea unei chei între două sisteme. Criptarea cuantică se bazează pe o metodă de criptare care nu poate fi spartă şi care utilizează fotoni transferaţi prin intermediul unui cablu de fibră optică total independent de reţeaua de internet. Acesta nu poate fi piratat întrucât orice tentativă care ar viza spionarea (interceptarea, copierea, ascultarea electronică etc.) unei asemenea transmisiuni modifică starea cuantică şi este detectabilă imediat. Totuşi, acoperirea semnalului nu depăşeşte în prezent 300 de kilometri. Lansarea primului satelit cuantic de către chinezi, în august 2016, deschide perspective încurajatoare deoarece vestesc încercări de transmisiuni la 2500 de kilometri. Conştientă de această miză, Comisia Europeană va lansa, în 2018, un program de cercetare dedicat tehnologiilor cuantice. Următoarele comunicări ale Congresului macro-regional „Cybersecurity in Romania” în 2017 vor avea cu siguranţă material ştiinţific nou de discutat…

autor: Pascal Tran-Huu,
Association des Auditeurs de Franche-Comté, Institut des Hautes Etudes de Défense Nationale.

Pascal Tran-Huu este fost militar de carieră și momentan lucrează în domeniul industrial. Ca ofiţer, a făcut parte din diverse unităţi, inclusiv din Forţele Speciale. După 30 de ani la datorie, a ales să lucreze în industrie. El dezvoltă activităţi în cadrul grupului industrial SYT, care produce drone și echipamente pentru vizualizare electronică; în același timp este responsabil pentru relaţii internaţionale și instituţionale în cadrul unui cluster din domeniul energiei, „Vallée de l’énergie”, și promovează peste 100 de companii din domeniu, incluzând ALSTOM, GENERAL ELECTRIC și EdF.

323

În perioada ultimilor ani, asistăm la o dezvoltare accelerată a entităților destinate combaterii amenințărilor cibernetice și m anagementului incidentelor de securitate cibernetică – c unoscute sub denumirea de CERT, precum și la o creștere (cel puțin din punct de vedere statistic) a numărului experților în acest domeniu. E vident, acest fenomen este răspunsul societății noastre la ceea ce se întâmplă în mediul online, atât din perspectiva creșterii p onderii utilizării tehnologiei în toate domeniile vieții, dar și a evoluțiilor s pectaculoase înregistrate de atacurile cibernetice la nivel global.
Deopotrivă în mediul privat, cât și în mediul guvernamental, crearea structurilor de tip CERT și angajarea de person al specializat în diverse discipline conexe domeniului securităţii cibernetice ar trebui să asigure un răspuns adecvat celor mai sofisticate atacuri cibernetice care ar putea fi generate de orice fel de actor, indiferent de motivaţia și resursele pe care acesta le are la dispoziţie.
Dar oare toate aceste structuri și pleiada de experţi prezenţi în spaţiul public au capacitatea să livreze rezultatele așteptate?
Având în vedere mesajele prezente în mai toate lucrările, articolele sau conferinţele de specialitate în ultima perioadă, pe care eu personal le percep ca fiind de regulă lipsite de proporţionalitate în raport cu nivelul real de risc, de cele mai multe ori fiind prea alarmante și de prea puţine ori oferind soluţii adaptate publicului larg sau secţiunii de public căreia se adresează, pot să afirm clar că nivelul de pericol generat de atacurile cibernetice care au loc online în prezent se situează mult sub nivelul critic care ar genera efecte devastatoare, așa cum ni se prezintă de multe ori situaţia de ansamblu a securităţii Internetului și tehnologiei în general. Referinţa generică la care mă raportez pentru a-mi susţine această afirmaţie o reprezintă creșterea evidentă și din ce în ce mai accelerată a serviciilor oferite online, atât de către guvernele multor state, precum și de mediul de afaceri. Simplu, dacă riscurile ar fi mai mari decât oportunităţile, în mod clar investiţiile în dezvoltarea de noi servicii online nu ar avea eficienţă.
Totuși, evoluţia constantă a complexităţii atacurilor cibernetice, precum și rezultatele obţinute de atacatori, pun serioase probleme comunităţilor specializate în domeniul securităţii cibernetice, atât din perspectiva asigurării securităţii cetăţeanului, utilizator de tehnologie și de servicii online sau a guvernelor care trebuie să asigure condiţiile necesare funcţionării infrastructurilor critice în condiţii de securitate, precum și din perspectiva companiilor private furnizoare de tehnologie sau servicii în acest domeniu.
Nu-mi voi susţine afirmaţiile prin copierea diverselor date statistice sau descrieri ale unor atacuri cibernetice extrem de distructive sau sofisticate care au avut loc în ultima perioadă, sunt suficiente resurse de încredere online specializate în acest sens, ci voi încerca să sintetizez câteva idei despre ceea ce consider că lipsește astăzi la nivel global, astfel încât starea de securitate și încredere în tehnologie să prevaleze ameninţărilor de orice natură și panicii generale pe care o percep de fiecare dată când ceva periculos se întâmplă online, adesea neprevăzut de nimeni.
Nu susţin aici viziuni mesianice asupra a ceea ce trebuie făcut în domeniul securităţii cibernetice, ci încerc să evidenţiez faptul că, deși se fac o serie de pași înainte în acest domeniu, prin demersuri de reglementare, înfiinţarea de structuri specializate noi etc., progresele reale se lasă așteptate iar potenţialitatea unui Armagedon cibernetic ce ar putea să se manifeste într-o stare generală de criză globală devine din ce în ce mai probabilă.
O să mă opresc în acest articol la structurile de tip CERT și de ce consider că, în general, aceste structuri nu au atins gradul de maturitate necesar pentru a face faţă situaţiei reale cu care se confruntă online.
Fie că aducem în discuţie entităţi de tip CERT guvernamentale, fie cele destinate mediului privat, acestea au fost înfiinţate cu un singur obiectiv generic: creșterea gradului de rezilienţă a infrastructurilor protejate și asigurarea securităţii informaţiilor vehiculate prin intermediul acestora, incluzând aici și funcţionalităţile critice asigurate prin intermediul tehnologiei în cadrul unor infrastructuri critice.
Aceste tipuri de entităţi au o activitate din ce în ce mai vizibilă la nivel global și în special la nivel european, paginile web ale acestor tipuri de structuri fiind abundente în informaţii utile tuturor, însă de cele mai multe ori activităţile acestor tipuri de structuri au cu preponderenţă o componentă reactiv-defensivă în detrimentul componentei preventive, mult mai importantă din perspectiva nevoii de securitate a Internetului.
Desigur, afirmaţia mea este una contestabilă, însă este inspirată de una dintre activităţile zilnice pe care le desfășor în calitate de director de securitate în cadrul unei instituţii financiar-bancare: căutarea de informaţii valide despre noi tipuri de atacuri cibernetice (Indicatori de Compromitere, Indicatori de Atac, analize de malware, evaluări specializate și încercări de atribuire a unor atacuri cibernetice complexe, etc.), în scopul de a putea adapta sistemele tehnice și procedurale ale organizaţiei pe care am fost angajat să o protejez la cele mai noi categorii de riscuri.
Dacă pentru proceduri, politici și sfaturi utile, în special pentru adecvarea răspunsului la un atac cibernetic care deja a produs efecte, paginile web și feed-urile de securitate generate de diversele organisme de tip CERT se dovedesc valoroase (Ex: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/cert_about. html, https://www.ncsc.gov.uk/, https://cert.ro/), informaţii acţionabile (cu utilitate imediată) care vizează atacuri noi, complexe, sofisticate și care generează un impact semnificativ la nivelul infrastucturilor vizate le regăsesc de cele mai multe ori în cadrul resurselor informaţionale puse la dispoziţie (atât public, cât și în cadrul unor relaţii contractuale) de companiile specializate în domeniul securităţii cibernetice.
Unii ar putea spune că este normal, pentru că aceste companii sunt înfiinţate tocmai în acest scop… însă dacă analizăm obiectivele și resursele financiare semnificative investite de guverne sau mediul de afaceri în resurse de tip CERT, înţelegem cu toţii că ceva nu merge tocmai bine.
Voi încerca să prezint câteva acţiuni pe care le consider ca fiind priorităţi de grad 0 pentru comunitate, astfel încât funcţia preventivă a unei structuri de tip CERT să prevaleze în faţa reactivităţii manifestate în prezent, astfel:

  • paradigma parteneriat public-privat trebuie schimbată prin acţiuni concrete, nu neapărat prin legislaţie. Deși pare o afirmaţie hazardată, nu există legislaţie care să interzică cooperarea reală între mediul public și cel privat, există doar decidenţi nehotărâţi (de ambele părţi) sau care nu înţeleg beneficiile diverselor formate de cooperare;
  • pe lângă campaniile publice de informare asupra pericolelor online, care de cele mai multe ori sunt orientate tot către public avizat și pe lângă permanenta căutare a responsabililor cu educaţia cetăţenilor, implicarea reală în elaborarea de materiale educaţionale simple, inteligibile și personalizate care ar putea fi puse la dispoziţia diverselor categorii de public, inclusiv prin introducerea rapidă a acestora în cadrul programelor de învăţământ la toate nivelurile;
  • campanii de educare adresate managerilor din sectorul privat și decidenţilor din sectorul public. O persoană neinformată corect ia și va lua decizii greșite sau nu va lua deciziile potrivite;
  • elaborarea de cursuri pentru formarea de competenţe în domeniul răspunsului la incidente de securitate cibernetică – accesibile din punct de vedere financiar și actualizate ca și conţinut de câte ori realitatea o impune – pe lângă certificările valoroase (scumpe și inaccesibile unei largi majorităţi) oferite de diverse entităţi private și oferta mediului academic, ar completa nevoia reală de expertiză cerută de piaţă;
  • schimbul de informaţii în timp real – nu există scuză și motivaţie reală pentru a nu pune la dispoziţie, în timp real, indicatori de atac sau de compromitere, în cazul detectării unui atac cibernetic cu impact semnificativ. Standardizarea mai rapidă a formatului schimburilor de date la nivelul comunităţii ar duce cu rapiditate la scăderea timpului de răspuns și creșterea compatibilităţii sistemelor tehnologice utilizate de diverse comunităţi de tip CERT;
  • crearea unor structuri proprii destinate detecţiei, răspunsului și analizei atacurilor cibernetice eficiente, prin adoptarea bunelor practici utilizate de companiile private cele mai eficiente în domeniu (selecţie pe criterii de competenţă a managerilor și experţilor, asigurarea unor venituri adecvate importanţei și criticalităţii activităţilor derulate, accesarea de training avansat și utilizarea unor instrumente tehnologice competitive etc.);
  • asumarea rolului de arbitru între diversele entităţi și sectoare economice care nu schimbă informaţii din motive care ţin de mediul concurenţial;
  • asumarea rolului de furnizori de încredere prin validarea diverselor tehnologii furnizate de piaţa de profil;
  • asumarea eșecurilor și valorificarea mai activă a lecţiilor învăţate;
  • furnizarea periodică a unor produse de tip Cyber Threat Intelligence, care să conţină, pe lângă componenta tehnică acţională (pe care sunt orientate majoritatea platformelor și furnizorilor actuali), analize și evaluări profesionale cu privire la evoluţia de perspectivă a mediului de securitate online în vederea consolidării componentei de prevenţie și susţinerii informaţionale a actului de decizie (atât în mediul public, cât și în cel privat).

Fără a avea pretenţia că am acoperit toate problemele comunităţii CERT sau că am oferit soluţii speciale, am certitudinea că aspectele prezentate vor crea contro verse, iar din experienţa mea, contradicţiile și critica constructivă generează evoluţie.

autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

EDITIE SPECIALA – INTERNET OF THINGS

1738
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1452
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2627
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1547
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1484
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1521
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...