Friday, July 19, 2019
Numarul 4

316

Numărul de utilizatori de Facebook este, fără îndoială, o caracteristică ce face această aplicație unică şi atractivă din mai multe puncte de vedere: o realitate pentru tineri, o descoperire pentru adulți, o mină de aur pentru companii și un instrument de intelligence pentru State.
În memoria vie nu a mai existat un mediu strategic de această dimensiune în care oamenii, indiferent de natura, culoarea și originea lor, să publice în mod voluntar și gratuit informaţii personale despre obiceiurile și despre vieţile lor de zi cu zi. Un ecosistem complex, folosit chiar

si de teroriști pentru abordarea și recrutarea de noi lupi singuratici, pentru a se apropia prin dialoguri propice și a convinge tinerii utilizatori să urmeze calea radicalizării.
Din punct de vedere social, este vorba, fără îndoială, de un fenomen îngrijorător care nu trebuie trecut cu vederea, iar din punct de vedere tehnic-informatic, și chiar de afaceri, ar putea fi o mare oportunitate de abordat cu curaj și determinare. A face dintr-o necesitate o virtute înseamnă, în acest caz, agregarea abilităţilor interdisciplinare, cum ar fi cele informatice, psihologice, educaţionale, juridice și lingvistice, pentru a proiecta și a dezvolta noi roboţi inteligenţi (cyber bot) pentru analiza lingvistică și semantică a dialogurilor desfășurate între utilizatorii reţelelor sociale.
O afacere în creștere rapidă, în care chiar și Uniunea Europeană a decis să investească sume cu șase de zero la final. Caracteristicile limbajului natural folosit de către utilizatori în reţelele deschise, cum ar fi Facebook, sunt o sursă bogată de informaţii care nu mai pot fi neglijate. Se naște astfel necesitatea de a dezvolta noi agenţi inteligenţi instruiţi în mod corespunzător, capabili să recunoască actele de comunicare ale utilizatorilor rău intenţionaţi, stilul lor de comunicare și mai ales relaţia dintre motivaţia, emoţiile și comportamentele interpersonale.
O provocare pe care generaţiile tinere de nativi digitali ar putea-o înfrunta și chiar rezolva, prin intermediul mentalităţii lor informatice, a cunoștinţelor

lor și capacităţii lor de adaptare profesională. Nimeni nu poate mai bine decât ei codifica și decodifica forma limbajului folosit astăzi pe Internet, din ce în ce mai sintetizat, nestructurat și metaforic, limbaj utilizat dealtfel pe scară largă pentru recrutarea de noi adepţi pentru radicalizare. Prin urmare, este necesar efortul de a încerca, chiar și de a intra încet, încet, pe terenul lor comun, de multe ori mediat de ore nesfârșite la playstation, formulând întrebări adecvate și interpretând răspunsurile acestora.
Cele mai mari companii IT din lume, cum ar fi Google, Facebook, Yahoo, dar și altele, au făcut primul mare pas investind masiv în alfabetizarea informatică a noilor generaţii, în special în proiecte educaţionale utile în care se predau paradigmele de programare logică, cu ajutorul cărora vor câștiga o bună capacitate de abstractizare. Acum este rândul nostru, profesori și profesioniști, să le dăm contextele operaţionale concrete și provocatoare în care sa aibă spaţiu pentru creativitate, experimentând în formă ghidată soluţii eclectice și originale, care ar putea schimba într-adevăr cursul evenimentelor de natură socială sau economică, dar mai ales siguranţa personală.
Vestea tristă din ultimele săptămâni aduce la lumină nevoia tot mai mare de a utiliza noi modele durabile pentru a aborda în mod adecvat riscurile care apar într-o lume care se schimbă cu o viteză atât de mare. Forţele de ordine, ele însele, fie ele locale sau globale, se confruntă cu mari dificultăţi în combaterea atacurilor de securitate, datorită faptului că, până nu demult, se așteptau ca ameninţările să fie de o complexitate din ce în ce mai sporită și nu, la polul opus, …dintre cele mai simple.
Riscul acum este să continuăm să ne punem aceleași întrebări, bazate pe experienţele unei lumi demult apuse, minunându-ne de fiecare dată de monotonia răspunsurilor. Din păcate nimeni, nici măcar autorităţile, nu este în măsură să vadă la orizont o soluţie care să reducă temerile și confuziile actuale. Pentru un părinte care și-a pierdut un fiu în timpul recentelor atacuri teroriste din Franţa, se pune întrebarea: cum este posibil ca în pragul celei de a patra revoluţii industriale, caracterizată prin atât de aclamata inteligenţă artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?
Monitorizarea continuă a reţelelor sociale poate este o condiţie necesară, dar nu mai este suficientă, cel puţin așa cum este concepută astăzi. Analiza atât de aclamatei «big data», bine cunoscută prin cei patru „V” (volum, viteza, varietate și veridicitate) necesită adăugarea a două noi componente: contextul de provenienţă a datelor și cultura lor. Da, doar aceasta din urmă ar putea îmbogăţi ulterior analiza tehnico-știinţifică, cu intenţia de a extrage informaţii utile pentru a identifica suficient de devreme presiunea socială care a determinat un anumit utilizator să facă un act

Cum este posibil ca în pragul celei de a patra revoluții industriale, caracterizată prin atât de aclamata inteligență artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?

specific de comunicare. În această privinţă, o abordare interesantă ar putea combina algoritmii de «inteligenţă artificială», etapele de «machine learning», și procesele de organizare a informaţiilor propuse de «big data analytics». O convergenţă strategică, dar și ambiţioasă, deoarece rezultatele de astăzi, din păcate, sunt clare: radicalizarea și propaganda nu pot fi identificate în mod automat, în forma lor completă.
Și exact aici se ascund oportunităţi importante de dezvoltare, extrem de interdisciplinare, pentru cine are ca profesie datoria să se gândească la soluţii inovatoare și eficiente. Datorită evenimentelor dramatice din ultimele luni, nu ne mai putem permite luxul de a aștepta repornirea sistemului, pentru ca problema să se rezolve «magic» singură. Din punctul meu de vedere, fiecare dintre noi în mediul său social și profesional, este titularul unei părţi mici, dar importante a soluţiei, care pentru a da roade bune va trebui neapărat împărtășită și acceptată în ansamblu. De fapt, trebuie să învăţăm de la adversarii noștri, eficacitatea lor își are rădăcinile, chiar dacă dramatice, periculoase și deplorabile, într-un singur teren comun mare, partajat și apărat la nivel mondial.

autor: Alessandro Trivilini,
șef al Laboratorului de criminalistică (forensics) al SUPSI

Dr. Alessandro Trivilini este șeful Laboratorului de criminalistică al SUPSI, creat în colaborare cu poliția și Magistratura cantonului Ticino. În cadrul SUPSI, el este și profesor de inginerie software, criminalitate informatică și securitate a informațiilor. Autor al mai multor cărți și publicații științifice, a lucrat în Silicon Valley (California) ca inginer software în domeniul securității aeroporturilor. El are un doctorat cu onoruri conferite de Politehnica din Milano în domeniul inteligenței artificiale, cu aplicare în domeniul criminalistic și la tr ibunale. El participă ca chairman și speaker la conferințe și congrese naționale și internaționale pe probleme de securitate cibernetică și criminalistică digitală. Din 2016, este membru al Comitetului științific internațional al IMA World Maintenance Forum pentru probleme de securitate cibernetică.

290

Tocmai când atacurile prin DdoS (Distributed Denial of Service) păreau să devină, în ultimii ani, doar nişte întâmplări deranjante minore, cel mult iritante, mai multe evenimente recente au demonstrat că acestea revin în forţă. Unul dintre ele, de o gravitate particulară, a avut loc în Franţa în septembrie 2016, când un important host de servere, OVH, s-a confruntat cu tentative de paralizare a reţelei prin atacuri de ordinul a 1 Tbps (TeraBits per Second). Densitatea fluxului de saturaţie a bandei este remarcabilă, însă alimentarea acestuia este cea mai îngrijorătoare. Anchetele au arătat că acest atac ar fi fost facilitat de camerele de supraveghere IP (Internet Protocol) cu protecţie slabă sau inexistentă. Iar camere de supraveghere IP egal Interneul obiectelor (Internet of Things).
Problematica Internetului Obiectelor în materie de securitate informatică se compune din două ramuri: una care priveşte explozia lor demografică, ajungând de la 8 miliarde în 2010 la probabil 80 de miliarde în orizontul de timp 2020 (potrivit biroului de studii IDATE); cealaltă priveşte securizarea acestora. Ambele ramuri sunt corelate: cum poate fi securizat în mod eficient un fenomen în plină expansiune, deci în perpetuă schimbare? Iar aici încep să intervină automobilele viitorului.
Constructorii consacraţi cum sunt giganţii sectorului digital plănuiesc deja cu seriozitate maşina autonomă a viitorului, adică pilotată cu ajutorul inteligenţei artificiale. Or inteligenţa artificială presupune delegarea parţială şi apoi totală a condusului. Acest lucru nu se poate realiza decât dacă vehiculul este capabil să garanteze respectarea celui mai fiabil itinerariu selectat, iar pentru ca acesta să fie în conformitate cu ordinul
de plecare trebuie ca vehicului să fie în permanenţă conectat cu mediul său şi cu câteva relee de comunicare. Iar dacă vehiculele anilor 2000-2015 dispuneau de o bază de date preinstalată şi integrată în ecranul de control, permiţând orientarea şoferului uman, provocarea constructorilor este de acum de a furniza o bază de date auto-evolutivă şi actualizată care să poată răspunde la mai multe cerinţe specifice cum ar fi o modificare a itinerariului datorată unui ambuteiaj temporar sau căutarea spaţiului de servicii cu tarifele cele mai avantajoase pe o rază de x kilometri. Aceasta reprezintă prima etapă înspre un stil de condus autonom dinamic (1).
Acest stil de condus va necesita un flux de informaţii actualizate, pe o paletă care porneşte de la petrecerea timpului liber (de exemplu: semnalarea unui festival care are loc în apropierea itinerariului vehiculului) şi până la securitate (de pildă: rută temporar inaccesibilă din cauza inundaţiilor). În acest scop, pot fi definite cinci categorii:

  • Infodivertismentul (semnalarea punctelor de interes turistic în jurul poziţiei sau softuri de divertisment integrate pe ecranul de control)
  • Interacţiunea cu vehiculul (indicarea consumului bateriei sau permiterea de apeluri către centrul de asistenţă al constructorului)
  • Asistenţă în timpul condusului (stil de condus ecologic sau planificarea i tinerariului)
  • Securitatea proprie a vehiculului (plată la distanţă a locurilor de parcare sau serviciu de geolocalizare pentru a situa un vehicul închiriat)


Şi totuşi, care este legătura între aceste vehicule conectate şi camerele IP amintite la începutul articolului? Simplu: acestea urmăresc aceeaşi cale îngrijorătoare.
Numărul lor va creşte în anii următori, iar anumite exemple ridică întrebări legitime. Se poate menţiona cu precădere un exemplu care a stârnit un scandal în presa de specialitate: doi cercetători în domeniul informaticii, Charlie Miller şi Chris Valasek, au reuşi să interacţioneze la distanţă cu un Jeep Cherokee (2), putând să întrebuinţeze după bunul plac toate elementele de la bordul acestui 4X4: de la sistemul de climatizare la frâne şi direcţie, totul de la o distanţă de circa 10 mile (16 kilometri). Grupul Fiat-Chrysler a luat în serios această demonstraţie şi le-a cerut utilizatorilor să corecteze acest punct slab al securităţii informatice prin adăugarea unui patch. Această preluare a controlului poate fi şi mai insidioasă, aşa cum s-a demonstrat prin modificarea substanţială a unui itinerariu ales pe harta de navigare digitală. Disecat, sistemul Uconnect reprezintă un ansamblu de funcţii care permit atât navigarea cât şi redarea de muzică sau efectuarea unui apel telefonic. Acest sistem electronic multifuncţional, regăsit mai mult sau mai puţin şi la alte grupuri din acest sector, nu este decât o poartă de intrare pentru o persoană răuintenţionată.

Punct ele de intrare/ieşire care pot fi posibile puncte slabe ale vehiculelor moderne sunt:

  • Portul OBD (On Board Diagnostics)
  • Modemul 4G/LTE (Long Term Evolution)
  • Bluetooth-ul
  • CAN (Controller Area Network) Bus/VAN (Vehicle Area Network) Bus
  • Cipul RFID (Radio Frequency Identification)
  • Cititorul CD/DVD

Aceste puncte slabe nu sunt întotdeauna datorate neatenţiei sau refuzului de a lua măsuri de s ecurizare din partea fabricanţilor sau a subcontractorilor acestora. Multe puncte slabe ale softurilor sunt de fapt necunoscute (Zero Day) şi sunt corectate odată ce se află de existenţa lor. Doar că inventivitatea piraţilor şi multiplicarea punctelor de acces la vehicule moderne complică mult munca personalului însărcinat cu eradicarea lor. În plus, cererea şi obiceiul consumatorilor de a dispune de un ansamblu de funcţiuni în interiorul vehiculului face imposibilă limitarea lor tehnică; nici nu se pune problema dezactivării funcţiilor electronice care ajută la stabilizarea vehiculului în orice situaţie.
În aceste condiţii, piaţa în creştere a vehiculelor conectate va fi integrată cu uşurinţă în Internetul Obiectelor, deoarece acestea vor comunica şi interacţiona în funcţie de pasager şi de bornele statice şi mobile. Diferenţa dintre piratarea unei camere IP şi cea a unui automobil conectat constă în faptul că, în cazul în care nu funcţionează cel de-al doilea sistem de preluare a controlului, riscul unui accident mortal devine extrem de ridicat atât pentru conducător şi pasageri, cât şi pentru alţi utilizatori. Este un pericol real care a atras atenţia multor constructori şi proiectanţi de echipamente care încearcă să elimine problema prin atingerea unui prag de risc minim, de pildă prin implementarea unor iniţiative în colaborare care îşi propun schimburi de informaţii şi reîntoarcerea cercetătorilor în domeniul securităţii informatice precum şi a societăţilor creatoare de antiviruşi şi de firewalls (de exemplu, cazul Auto-ISAC [Information Sharing and Analysis Center] sau EVITA [E-safety Vehicle Intrusion Protected Applications]). Acest lucru este o necesitate deoarece munca este herculeană: se estimează, o maşină conectată conţine aproape 100 de milioane de linii de cod, iar un avion de vânătoare modern doar 8 milioane.
Aceste schimburi între diferiţi actori din domeniu ar trebui să permită nu doar creşterea nivelului de securitate, ci şi protejarea deţinătorilor de secrete tehnologice de furtul unor elemente cruciale. Iar dacă preluarea controlului de la distanţă a unui vehicul reprezintă un risc major, cel al unei sustrageri de date tehnice nu poate fi evitat, iar aceste date privesc atât conducătorul cât şi detaliile electro-magnetice ale mijlocului său de transport.
Totuşi, nu trebuie să uităm că primul mijloc de apărare în domeniul securităţii informatice rămâne tot utilizatorul preocupat de protejarea propriului bun… şi a propriei vieţi.
(1) Un vehicul autonom nu este neapărat conectat, acesta poate de exemplu să folosească diferiţi captatori şi camere integrate (ca de pildă LIDAR [Light Detection And Ranging]) în procesul de mişcare, pentru a se orienta în spaţiu. Totuşi, eficienţa sa depinde de o anumită limită geografică şi de activitatea de condus. În plus, vehiculul nu comunică cu obiec tele din jurul său: recepţionează informaţie fără însă s-o emită. Condusul a utonom dinamic presupune un schimb de date în timp real. De asemenea, un vehicul conectat nu e obligatoriu autonom, fie pentru că nu s-a selectat opţiunea de delegare a condusului, fie că aceasta nu este disponibilă pe respectivul model.
(2) În 2013, o Toyota Prius şi un Ford Espace au fost de asemenea piratate; cu toate acestea, procedura a necesitat prezenţa în interiorul maşinilor a doi specialişti, r ealizându-se astfel prin cablu şi nu de la distanţă. În 2015, s-a făcut o demonstraţie de piratare de la distanţă.

Andy Greenberg, Hackers remotely kill a cutjeep on the highway – with me in it, Wired, 21 juillet 2015 – https://www.wired.com/2015/07/
Auto-ISAhttps://www.automotiveisac.com/
EVITA Projecthttp://www.evita-project.org/

autor: Yannick Harrel

Expert și lector în Cyberstrategy la Business & Finance School din St rasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în implementarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septembrie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnologii, comunic are și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.
Numărul

Laurent Chrzanovski: Domnule Velten, cu ocazia întâlnirii „Grappa Hat” din Aosta şi apoi cu ocazia altor conferinţe, aţi suprins publicul cu o conferinţă intitulată „Are you what you sign? I say no”, un veritabil manifest cu privire la precauţiile necesare a fi luate înainte de a accepta sau de a semna orice online. De ce aţi ales această temă, dintre toate domeniile pe care le stăpâniţi, legate de cibersecuritate?
Arnaud Velten: Mă simt ataşat de acest subiect pentru că reflectă o experienţă personală. În pragul vieţii adulte, eram mai degrabă timid şi introvertit. Pentru că la acea vreme lucram, printre altele, la proiecte grafice, una dintre primele comunităţi care m-a acceptat a fost cea a artiştilor de la petrecerile la care mergeam: muzicieni, DJ, c lubberi. Nevoia mea de recunoaştere, „consacrată” de invitaţia de a participa la evenimente în discoteci private de pe plajele lacului Annecy, era pe atunci garnisită

de o poreclă cu o însemnătate pe care nu am realizat-o pe loc. Fiindcă pe atunci eram foarte slab, aceşti prieteni mă strigau „Auschwitz”. Iar, ca să-mi păstrez acest prim cerc de prieteni, n-am zis nimic şi nici nu mi-am pus prea multe întrebări până când, câţiva ani mai târziu, am aflat că bunicul meu, angajat în lupta de rezistenţă încă de la începuturile acesteia, fusese arestat de către Gestapo şi aruncat într-un vagon cu destinaţia Dachau, după ce participase la una din marile operaţiuni ale rezistenţei, maquis-ul din platoul Glières. A supravieţuit doar pentru că a reuşit să evadeze din convoi, la Dijon, iar apoi s-a alăturat maquis-ului din Jura. În momentul acela am realizat că nu mai voiam să accept glume sau porecle prosteşti doar de dragul apartenenţei la o „comunitate”.
L.C.: Raţionamentul dumneavoastră, care ar fi putut să se oprească doar la „prieteni”, merge însă mai departe…
A.V.: Da, pentru că faptul până la urmă banal pentru un adolescent de a a ccepta condiţiile „cele mai dure” pentru a se integra reprezintă începutul unei resemnări a cetăţeanului de mâine. Dacă nu îşi pune întrebări cu privire la acceptarea fiecărui „prieten” de pe reţelele sociale, dacă „semnează”, chiar şi printr-un singur clic, însuşirea condiţiilor oricărui site ale cărui clauze alege să le ignore, va ajunge să nu mai citească condiţiile şi obligaţiile dintr-un contract de muncă. Pe scurt, viaţa sa va fi dictată în orice moment de alţii, fără ca persoana vizată să-şi dea măcar seama, sau cel puţin la început.
L.C.: Cum am putea de fapt acţiona, în prezent, într-o lume digitală în care majoritatea covârşitoare a adulţilor nesocotesc riscurile?
A.V.: În ceea ce mă priveşte, aveam două opţiuni, ţinând cont de parcursul meu profesional: să devin un „hacker cu pălărie neagră” (black hat hacker) şi să „sparg sisteme”, sau să contribui la proiecte de transparenţă şi de conştientizare. Am ales cea de-a doua cale, devenind o „pălărie albă” (White Jedi). Problema cea mai dificilă în ziua de azi o reprezintă hiperconectivitatea neînţeleasă de către utilizatori (nici c hiar de către cei din lumea TIC!), în vremuri în care Internetul este cea mai mare arhivă care a existat vreodată. În prezentările mele ţinute cu scopul sensibilizării, f olosesc adesea paralele desprinse din actualităţile din media, precum omul de afaceri care avea încredere oarbă în Bernard Madoff, ecologistul american care credea că folosea o maşină germană „curată”, până în ziua în care… totul se

năruieşte în faţa unei realităţi mai tulburi. Prin aceste imagini de „ succes” care au devenit „scandaluri”, îmi doresc să arăt cum, iniţial, omul este naiv atunci când are încredere într-un individ sau într-o marcă a căror imagine pare perfectă.
L.C.: Care e scopul urmărit de dumneavoastră cu aceste exemple?
A.V: Subconştientul colectiv trebuie antrenat într-o introspecţie cu privire la felul în care toată lumea se conectează. Da, folosim reţele sociale, însă ştim oare că tocmai aceste reţele sociale în care avem atâta încredere pun la cale cea mai mare intruziune posibilă prin dezvoltarea de motoare de recunoaştere facială de foarte mare viteză? Atunci când acestea vor fi implementate, nicio imagine care vă aparţine dumneavoastră sau apropiaţilor dumneavoastră nu va rămâne pe dinafară, nici măcar cele „pierdute” în deep web. Astfel, tot trecutul dumneavoastră, şi aici nu mă refer neapărat la cel măreţ, dacă sunteţi adeptul postării online de imagini în mod sistematic, va ieşi la iveală, disponibil oricui.
L.C.: Cum am putea, din punct de vedere tehnic, să evităm astfel de necazuri, cel puţin cu ceea ce n-am postat încă online?
A.V.: Lucrez în cadrul unui grup internaţional, Think Services, alcătuit din voluntari, cu scopul de a crea o extensie, uşor de utilizat, de crowd sourcing. Odată inserată în motorul de căutare, rolul acesteia este de a indica pe loc gradul de î ncredere care poate fi acordată unui site sau unei reţele, în funcţie de cinci parametri simpli: accesibilitate şi diversitate (factori de atracţie) puse în relaţie cu maleabilitatea, încrederea şi integritatea site-ului. Momentan, ne concentrăm pe serviciile Cloud pentru început, un proiect pentru care ţin să-i mulţumesc lui P ascal Kotté şi profesorului Jean Henry Morin de la Universitatea din Geneva.

Evaluările fiecărui parametru, realizate de utilizatori ai site-urilor, constituie atât o garanţie a obiectivităţii (datorită numărului şi sistemului pe bază de voluntariat), cât şi o demonstraţie cu privire la complexitatea sistemului: fiecare va decide apoi în cunoştinţă de cauză ce e dispus să sacrifice (legat de viaţa privată, de resursele materiale dacă optează pentru un site cu plată) pentru a-şi securiza propria „reputaţie digitală”. Cartografia, una din pasiunile mele vechi, permite generarea unei imagini care, în termeni de impact, valorează adesea mai mult decât nişte lungi discursuri.
L.C.: Cum aţi trecut din lumea graficii şi a white jedi-lor la responsabilitatea comunicării pentru un eveniment atât de delicat cum este IE2S?
A.V.: Datorită concluziei aceluiaşi raţionament, la care s-au adăugat studiile pe care le-am terminat în domeniul marketingului, inteligenţei strategice şi media. Problema, în cazul evenimentelor strategice şi confidenţiale cum esteIE2S, constă în asigurarea securităţii pentru părţile care se desfăşoară în privat, aspecte pe care le cunosc doar participanţii (locul de întâlnire, adrese, ordinea de zi a şedinţelor), menţinând totuşi vizibilitatea evenimentului. Un individ sau un eveniment fără prezenţă digitală (imagini, texte, înregistrări video, hashtag-uri) este pur şi simplu inexistent în lumea în care trăim.
Evenimentele strategice, spre deosebire de marile congrese publice, trebuie documentate cu multă subtilitate, dar şi cu o oarecare distanţare obiectivă care să lase mereu loc întrebării: „dacă postez asta online, care va fi imaginea percepută de utilizatorul de pe internet?”.
L.C.: Care sunt cuvintele-cheie ale unei astfel de comunicări, cum se spune ceva ce nu trebuie spus (prea mult)?
A.V.: În primul rând, înainte de întâlnirea propriu-zisă, obiectivele comunicării trebuie fixate de către organizatorii evenimentului, iar „responsabilul cu comunicarea” trebuie să înţeleagă evenimentul pentru a se adapta specificului acestuia şi pentru a nu se abate de la obiective.

Există câteva reguli de aur, valabile pentru toate evenimentele strategice. Cea mai importantă este documentarea fără a minţi niciodată. S ubiectivitatea nu-şi are locul în puţinul care îi este oferit publicului, în cazul acestui gen de întâlniri. Astfel, în cazul fotografiilor, de exemplu, trebuie respectată întotdeauna imaginea vorbitorilor şi a persoanelor prezente. De pildă, se încearcă includerea în cadrul fotografiei exclusiv a feţei celui care a luat cuvântul.
Dacă un clişeu nu este bine realizat sau nu e discret, trebuie distrus sau şters imediat. Apoi, iar asta poate părea banal, însă afişarea cu un aparat de fotografiat mare, vizibil, indică tuturor că sunteţi acolo pentru a face fotografii: suspiciunea datorată riscului pe care îl produce „fotografia furată” dispare, câştigându-se astfel încrederea persoanelor prezente, care pot să refuze fotografierea, să consimtă postarea online sau să solicite ştergerea unei anumite imagini.
Apoi, fotografiile autorizate trebuie marcate ca atare cu elemente care nu pot fi şterse înainte de postarea lor pe reţele, fapt ce le permite organizatorilor să le distingă de cele realizate fără autorizare, în cazul în care apar online, şi să acţioneze în consecinţă.
În fine, totalitatea imaginilor şi a secvenţelor trebuie adaptate pentru a respecta direcţia dorită de organizatori.
Cheia succesului, pe lângă învăţarea din greşeli, constă în strânsa colaborare cu organizatorii pentru a cântări cu atenţie ceea ce trebuie postat online „pe loc” şi ceea ce poate aştepta până la sfârşitul întâlnirii, zilei sau întregului eveniment pentru a fi triat „la rece” şi postat în cunoştinţă de cauză. 

Arnaud Velten

Expert în strategie şi tactici digitale, Arnaud Velten (@bizcom) a avut primul contact cu informatica underground în adolescenţă, pentru ca apoi să continue studiile în comunicare, audiovizual şi marketing şi să se specializeze în inteligenţă strategică.
În toate experienţele sale (în jurnalism, blogging, arte, activităţi conexe evenimentelor), îşi foloseşte cunoştinţele dobândite din zona underground şi le aplică în comunicarea digitală.
Astfel, în 2007, contribuie la elaborarea unui CV izometric (Isomap) iar, în 2009, inventează o metodă de brainstorming intitulată „Emerge map”. Observator discret, persoană de legătură cu conexiuni fără pereche, contribuie încă din 2010 la multe evenimente în calitate de influent formator de opinie şi animator. În 2014 se alătură staff-ului de la Cyber Security Alliance şi de la summitul IE2S.

Laurent Chrzanovski: Domnule Réville, sunteţi unul din principalii artizani ai celui de-al doilea Summit al Inteligenţei Economice şi al Securităţii/Siguranţei, IES2. Cum aţi reuşit, într-un timp atât de scurt, să treceţi de la o idee la realizarea unui colocviu de lucru care să reunească atât de mulţi intervenienţi de prestigiu, pe teme atât de diferite?
Christophe Réville: În calitate de auditor al Institutului de Înalte Studii de Apărare Naţională (IHEDN), cu studii în inteligenţă economică şi fiind preocupat de problematica securităţii prin agenţia mea franceză de contraspionaj economic, particip de mult timp la colocvii, congrese, forumuri, conferinţe şi alte simpozioane pe astfel de teme. Împreună cu colegul meu Jean-Pierre Troadec, el însuşi auditor al IHEDN şi specialist în inteligenţă economică, am constatat că aceste evenimente, instructive şi interesante fără îndoială, nu permiteau crearea de veritabile contacte cu participanţii de înalt nivel care îşi împărtăşesc cunoştinţele în astfel de întâlniri. Acest proiect de Summit al Inteligenţei Economice şi al Securităţii/Siguranţei a încolţit acum câţiva ani şi a luat fiinţă cu ocazia primei ediţii din 2015. Ideea noastră – copierea unei formule cunoscute în lumea anglo-saxonă şi ilustrată de exemplu prin forumul de la Davos – consta în crearea unui eveniment în care timpul de lucru este strict limitat, iar timpul alocat networking-ului este foarte generos. Scopul îl constituie alcătuirea unui grup de mărime rezonabilă, pentru ca participanţii să se poată cunoaşte cu adevărat între ei şi să comunice pe subiecte care îi preocupă. Am reuşit astfel să reunim în jur de cincizeci de participanţi, jumătate dintre aceştia fiind reprezentanţi ai statului şi ai marilor agenţii guvernamentale, iar cealaltă jumătate – responsabili şi conducători ai unor companii importante care pot împărtăşi din experienţa lor în realităţile vieţii economice, în deplină libertate şi confidenţialitate. Susţinerea din partea IHEDN ne conferă acces la „reţeaua reţelelor” şi la cele mai înalte autorităţi ale statului. Astfel, ne-a fost uşor, în 2014-2015, să punem la punct acest eveniment în câteva luni şi să organizăm şi a doua ediţie în acest an.
Laurent Chrzanovski: Comunicarea principalelor concluzii ale atelierelor de lucru în faţa unui public alcătuit din invitaţi selectaţi de dumneavoastră, dând astfel şansa studenţilor sau reprezentanţilor din media să le cunoască, reprezintă o decizie rară care merită lăudată. Cum a fost primită această decizie de către actorii din domeniile cele mai „confidenţiale” din cadrul Summitului?
Christophe Réville: Numărul de locuri din cadrul Summitului este limitat în mod intenţionat, pentru a favoriza mai degrabă calitatea lucrărilor, şi nu cantitatea. Totuşi, este importantă şi deschiderea către publicul extern şi accesibilizarea sintezei discuţiilor care au avut loc cu ocazia seminarului privat – sau cel puţin a ceea ce poate fi spus. Misiunea noastră la Institutul de Înalte Studii de Apărare Naţională este propagarea spiritului Apărării naţionale şi de securitate în mijlocul societăţii civile. Interesul studenţilor pe aceste teme este în creştere, este de datoria noastră să îi primim în număr cât mai mare, astfel că ei sunt invitaţi şi le sunt acoperite toate costurile. În acelaşi timp, reprezentanţii IMM-urilor invitate îşi asumă apoi în rol de diseminare a informaţiilor dobândite la Summit în cadrul cercurilor lor profesionale.
Din partea participanţilor, această iniţiativă este apreciată, întrucât compensează aspectul uşor „elitist” al seminarului privat, unde nu are acces toată lumea.
Laurent Chrzanovski: În vremuri în care doar multimaţionalele cele mai expuse şi organizaţiile internaţionale vizate încep să vehiculeze termenul „securitate logică”, summitul a demonstrat într-un mod fulminant că toate domeniile cuprinse în acest concept sunt implicate: securitate fizică, video, ciber, inteligenţă economică, siguranţă, atitudine de rezistenţă şi apărare.
Christophe Réville: Noţiunea de securitate a sistemelor de informaţii a făcut dintotdeauna parte din conceptul de inteligenţă economică. Însă, contrar unor anumiţi specialişti, noi credem că nu trebuie să ne rezumăm managementul informaţiei doar la protejarea acesteia. De altfel, acesta e un concept cu sens dublu. Protejarea informaţiei altuia este o condiţie evidentă în procesul de supraveghere şi de colectare de informaţii de către companie sau organizaţie. Protejarea companiei sau a capitalului informaţional al acesteia acoperă un spectru foarte larg: de la securitatea fizică a personalului şi a infrastructurilor până la asigurarea posibilităţii de a acţiona în caz de ameninţare identificată sau presupusă. În acest domeniu, factorul uman este cel mai important. Totodată, în acest domeniu, porţile de intrare sunt cele mai evidente, dar şi cele care necesită cea mai multă subtilitate, iar tehnicile de obţinere a informaţiei, de inginerie socială, actele viclene (ameninţare, extorcare, şantaj etc.) au căpătat un avânt important. Dincolo de mijloacele şi de tehnicile de protecţie se află o muncă imensă de educare, de sensibilizare, de formare, care trebuie investită în întregul colectiv al organizaţiei. Această muncă are repercusiuni asupra resurselor umane (contracte de muncă şi regulament interior), care trebuie să obţină acordul personalului vizat. Vorbim astfel de o muncă importantă şi de lungă durată care trebuie implementată la faţa locului, mai ales în organizaţii importante: însăşi baza organizării companiei trebuie regândită şi reîntemeiată cu acordul întregului personal.
Chiar dacă societăţile sunt dispuse să investească (sume relativ modeste, de altfel) în sisteme de protecţie, totuşi nu dau dovadă de acelaşi entuziasm când vine vorba de adoptarea unei politici de reglementare, de sensibilizare sau de motivare a personalului. Ori, nimic nu se realizează fără ca toţi actorii să fie mobilizaţi în jurul conceptului de securitate – şi chiar de supravieţuire – a companiei lor.
Laurent Chrzanovski: Cum s-a desfăşurat procesul de selecţie a participanţilor care, pe lângă faptul că sunt printre cei mai notorii în s ectorul lor, au fost c apabili mai ales să îşi asume contribuţia la una din cele mai vaste iniţiative transdisciplinare pe care le-am remarcat în ultimul timp?
Christophe Réville: Toţi experţii prezenţi la Summitul Inteligenţei Economice şi al Securităţii/Siguranţei sunt foarte interesaţi şi preocupaţi de această participare şi sunt conştienţi că locul lor e unul privilegiat. Încurajaţi de adoptarea regulii „Chatham house” care impune ca orice sursă de informaţii să rămână total confidenţială, se simt în siguranţă şi nu ezită să împărtăşească informaţii de prim rang. Modesta noastră organizaţie este contactată la personalităţi de înalt nivel care doresc să participe la Summit în calitate de experţi. Suntem uneori obligaţi să facem alegeri drastice.
Într-adevăr, şi aspectul pluridisciplinar face parte din marile originalităţi ale Summit-ului. Scopul nostru este de a facilita comunicarea între două lumi care nu obişnuiesc să-şi vorbească: lumea inteligenţei economice – adesea considerată ca fiind foarte ancorată în mediile universitare – şi lumea securităţii, deseori coborâtă la imaginea caricaturală a paznicului de parcare.
În fine, există clar o distincţie, în mediul restrâns al inteligenţei economice/ securităţii, între cei „care au fost la Summit” (2015 sau 2016) şi care fac parte din Cercul IES2 şi ceilalţi. Preţul participării este ridicat: angajamentul, disponibilitatea (trei zile reprezintă o perioadă foarte lungă pentru personalităţi de altfel foarte solicitate), libertatea de stil şi de exprimare.
Laurent Chrzanovski: S-a vorbit destul de des de semantică, or nici definiţiile cuvintelor, nici valoarea trecută sau actuală a termenilor vocabularului de specialitate nu au pus probleme de înţelegere, nici chiar atunci când au fost folosiţi în moduri foarte diferite de către participanţii la Summit. Într-o lume a celor mai nefericite neînţelegeri „lingvistice” între echipele unei aceleiaşi companii de talie mare, cum explicaţi acest succes?
Christophe Réville: De la un anumit nivel, specialiştii cunosc contextul şi nuanţele acoperite de un anume cuvânt. Am depăşit nivelul directorilor de securitate sau a responsabililor cu supravegherea; publicul nostru este alcătuit din administratori de societăţi sau din directori care au o viziune strategică multidimensională şi adesea multiculturală. Chiar dacă predispoziţia noastră este esenţialmente franceză sau, în orice caz, francofonă, au fost evocate strategii mondiale luând exemple de bune practici cunoscute în anumite ţări străine şi adaptate specificităţilor franceze, atât culturale cât şi sociologice, care sunt foarte particulare – iar acest lucru nu constituie întotdeauna o calitate.
Evocarea diferenţelor între definiţiilor cuvintelor securitate şi siguranţă, în funcţie de mediul profesional al persoanei vizate este un demers interesant. Şi totuşi, în final, toată lumea se înţelege.
Laurent Chrzanovski: Cu ocazia majorităţii întâlnirilor pe care le-am putut urmări în 2016 în Europa, cel mai important câştig în privinţa rezultatelor obţinute merită o diseminare în cercul decidenţilor din sectorul privat, dar şi din cel public. Cum aveţi de gând să „popularizaţi” principalele concluzii ale Summit-ului pentru a fi îmbrăţişate de mediile politice, economice şi cetăţeneşti?
Christophe Réville: Un rezumat scris al sintezei publice a Summitului Inteligenţei Economice şi al Securiţăţii/Siguranţei 2016 va fi, bineînţeles, publicat în câteva săptămâni. Totuşi, dincolo de difuzarea către un număr

Dincolo de mijloacele şi de tehnicile de protecţie se află o muncă imensă de educare, de sensibilizare, de formare a întregului colectiv al organizaţiei.

cât mai mare, lucrăm mai ales la influenţa directă asupra decidenţilor care s-au angajat să-şi orienteze strategia şi politicile în sensul ideilor decise împreună cu puterile publice cu ocazia Summit-ului. Finalizarea lucrărilor va fi cu siguranţă foarte puţin mediatizată sau notorie, însă noi vizăm eficienţa pe teren mai degrabă decât o recunoaştere a publicului. Astfel, nu există nici condescendenţă şi nici respingere din partea publicului, ci doar un interes deosebit pentru eficienţă maximă cât mai rapid posibil în acţiuni concrete, în respectarea legii şi a interesului general.
Laurent Chrzanovski: Care sunt impresiile dumnea voastră „la cald”? Care este, după părerea dumneavoastră, cea mai mare reuşită a celui de-al doilea Summit şi care sunt detaliile pe care v-aţi dori să le perfectaţi?
Christophe Réville: În primul rând, prima noastră satisfacţie este că acest al doilea Summit a avut loc, iar apoi că a avut loc în condiţii bune. Este într-adevăr o adevărată provocare perenizarea acestui eveniment, căruia îi dorim multe ediţii susţinute de IHEDN.

Formula poate fi încă extinsă, aşa cum s-a întâmplat şi după prima ediţie. Multe detalii logistice şi de organizare pot fi îmbunătăţite, esenţial rămâne totuşi faptul că atât fondul cât şi forma să fie apreciate de participanţi şi ca toţi aceştia să-şi manifeste dorinţa de a reveni la ediţia următoare. Ne păstrăm crezul: „securizarea lumii de mâine la înălţime”.
Laurent Chrzanovski: Aveţi deja vreo idee cu privire la îmbunătăţirile sau la noile direcţii tematice pe care aţi dori să le aplicaţi în următoarea ediţie a unui Summit deja pe de-a întregul funcţional după doar doi ani?
Christophe Réville: În 2016, programul a fost influenţat de evenimentele dramatice petrecute în ţara noastră în acest an. Au fost formulate opinii, concrete dar şi subtile, privind lupta antiteroristă în companii, rezistenţă şi apărarea intereselor noastre în faţa noilor ameninţări. De altfel, aceasta este şi tema reluată în cadrul următorului colocviu anual al Clubului Directorilor de Securitate a Companiilor care se ţine în 15 decembrie; CSDE este unul dintre partenerii noştri etici şi ştiinţifici.
Cu siguranţă că în 2017 actualitatea ne va furniza teme de reflecţie. Totuşi, câmpul de reflecţie şi de acţiune centrat pe tema inteligenţei economice şi a securităţii/siguranţei este vast şi va lăsa loc unor lucrări ample. Trebuie să fim reactivi şi proactivi şi să anticipăm noile ameninţări.
Anunţarea unei teme este puţin prematură, comitetul nostru nu s-a reunit încă pentru a determina axele de lucru din 2017, însă vom dezbate cu siguranţă evenimentele imprevizibile în care au fost înregistrate semnale slabe, ca de exemplu riscul de insurecţii pe teritoriul nostru – eveniment cu probabilitate redusă, dar pentru care armata elveţiană a avut o oarec are preocupare acum patru ani – puterile publice s-au pregătit pentru un astfel de dezastru, însă nu se reflectă nimic în plan economic concret, care rămâne totuşi câmpul nostru de acţiune principal. Contextul electoral naţional al Franţei în prima jumătate a anului 2017 va mobiliza de asemenea atenţia. Se vor petrece schimbări în agenţiile naţionale; este de datoria noastră să ne exercităm influenţa etică şi pozitivă asupra viitoarelor politici publice, dând glas preocupărilor conducătorilor companiilor.

Fotografii: © IES, Christophe Réville, puse la dispozi ție pentru acest articol, reproducerea interzisă

Christophe Réville

Co-fondator şi supervizor al Summitului IES Chamonix Mont-Blanc 2015, Christophe Réville este s pecialist în management, comunicare şi factori umani în inteligenţa economică la IHEDN Lyon (Institut des hautes études de défense nationale). Co-iniţiator al Summitului IES Chamonix Mont-Blanc 2015, Christophe Réville conduce o societate de consultanţă şi de formare în comunicare şi strategie a companiei. Absolvent al şcolii de business EMLYON, după cincis prezece ani în fruntea unor companii specializate în comunicare, s-a orientat către formarea în cadrul companiei. Cu studii în programare neuro-lingvistică, în analiză tranzacţională şi gestaltism, a dezvoltat programe de sprijin pentru echipe în domeniul motivării, managementului schimbării şi gestionării factorilor umani în jurul problematicilor de securitate şi de inteligenţă economică. Specialist în comunicarea interpersonală, şi-a aprofundat studiile în contraspionajul economic din punct de vedere al resurselor şi al factorilor umani. Auditor al IHEDN (a 178-a sesiune, 2009), Christophe Réville este rezerv ist al jandarmeriei (şef de escadron în rezervă) şi membru al reţelei de apărare cibernetică al rezervei, parte din statul-major al forţelor armate.

305

Asortând ateliere de lucru, de formare şi o conferinţă plenară, al 2-lea Summit IES de la Chamonix a creat o atmosferă de lucru unică, favorabilă productivităţii şi libertăţii schimburilor de idei, în inima masivului Mont-Blanc. Departe de agitaţia centrelor de decizie a marilor capitale şi ghidaţi de un program prielnic discuţiilor, parti- cipanţii se concentrează nestingheriţi pe schimburile de opinii. Summit-ul IES de la Chamonix oferă astfel participanţilor o oportuni- tate unică de a afla unii despre alţii, de a împărtăşi idei şi de a con- tribui împreună la aplicarea de noi soluţii într-un cadru privilegiat. Summit-ul este susţinut de Institutul de Înalte Studii de Apărare Naţională şi de mulți parteneri instituționali de top.

Aceste zile în care s-a desfăşurat seminarul privat au fost rezervate celor douăzeci şi cinci de directori de companii care au interacţionat cu alţi douăzeci şi cinci de experţi din cadrul administraţiei şi serviciilor de stat, din armată, jandarmerie, poliţie, ministerul economiei, din sectorul financiar sau digital.
Marele avantaj al evenimentului îl constituie cele două zile de seminar privat care reunesc un cerc restrâns de experţi şi de practicieni într-un veri- tabil Chatham House în care oamenii învaţă să se cunoască, să îşi câştige încrederea şi astfel să facă cu adevărat schimb de idei în legătură cu subiecte care îi pasionează profund. Evenimentul se încheie cu o conferinţă la care accesul publicului, studenţilor, IMM-urilor şi presei este liber.
White Paper-ul pe care vi-l propunem aici este o sinteză a părţii non- confidenţiale a dezbaterilor și reflectă câteva dintre punctele subliniate de către principalii actori ai seminarului privat.

Inteligenţa economică în epoca digitalului

Acest concept a fost de curând revizuit în totalitate în Franţa, odată cu crearea Serviciului Informaţiei Strategice şi al Securităţii Economice (SISSE), în cadrul Ministerului Economiei şi Industriei, condus de comisarul Jean-Baptiste Carpentier, numit recent de către Guvern.

Jean-Baptiste Carpentier
Comisar pentru informaţie strategică şi securitate economică

Această funcţie era îndeplinită înainte de către D2IE, Delegaţia Interministerială pentru Inteligenţa Economică, care a fost dizolvată şi înlocuită cu acest comisariat subordonat unui singur minister, aşadar cu un mai mare grad de fluiditate a informaţiilor, datorită faptului că sunt centralizate într-un serviciu propriu-zis. Un rol la fel de important îl are şi reforma din 2015 a ANSSI, Agenţia Naţională a Securităţii Sistemelor de Informaţii, care a evoluat de la rolul său iniţial de organ esenţialmente consul- tativ, de validare a conformităţii unor tehnologii şi software-uri, la o funcţie centrală cu putere coercitivă, care îi permit gestionarea situaţiei,urmărirea aplicării recomandărilor sale şi sancţionarea companiilor care nu se conformează acestora.
Mesajul transmis de această nouă autoritate a fost îndrăzneţ, însă în simbioză cu realităţile prezente de cealaltă parte a Atlanticului. Se pleacă de la constatarea că, în ceea ce priveşte domeniul digital, statul nu îşi poate asuma costurile generate de neglijenţa companiilor private și nici pe cele provocate din rea-credinţă. Astfel, scopul devine scăderea drastică a curbei riscului, aşa cum este acesta reprezentat în numeroase domenii, printr-un grafic simplu alcătuit din axa „impact” şi din axa „probabilitate”.

Grafic : © Bruce Jones:
Report Security and Risk Metrics in a Business- Friendly Way, 2009 (Information
Security 10.2009)

În acest grafic, în condiţiile în care curba scade graţie reglementărilor şi asistenţei statului în cadrul companiilor în domeniul prevenţiei şi al aplicării unui set de măsuri de prevedere, atunci statul va putea acoperi pierderile datorate evenimentelor cu probabilitate mare dar cu impact mic sau cele datorate unor evenimente neprevăzute, independente de gradul ridicat de conformare a companiilor; în schimb, asumarea propriilor greşeli va cădea în sarcina companiilor (dacă acestea se datorează unei lipse de conformări cu normele) iar asumarea costurilor cauzate de atacuri devastatoare cu o probabilitate mică de producere va fi în sarcina asigurărilor.
Analiza foarte pertinentă realizată de comisarul Carpentier a arătat cu degetul o axiomă aproape schizofrenică manifestată, în ceea ce-i priveşte pe anumiţi antreprenori, prin percepţia că lumea „cyber” nu aduce decât oportunităţi, în timp ce companiile specializate şi unii reprezentanţi ai statu- lui nu o văd decât ca pe un focar de pericole şi de ameninţări. Evoluţia culturii antreprenoriale şi instituţionale trebuie să conducă la o conştientizare a faptului că mediul digital este con- stituit atât din pericole cât şi din oportunităţi şi că statul trebuie să joace un rol de actor hotărât şi discret care să permită companiilor să dobândească o importantă plus- valoare, defensivă şi ofensivă, generatoare de beneficii măsurabile.
Însuşi conceptul de securitate acoperă un sector foarte vast faţă de ceea ce am avut ocazia să aflăm cu prilejul unor forumuri similare celui din Chamonix: conform ideilor prezentate în cadrul atelierului condus de noul şef al SISSE, managementul unei companii proactive tre- buie să aibă, în ceea ce priveşte înţelegerea sistemului în ansamblu, o strategie bazată pe o combinaţie (nonexhaustivă) din următorii factori: un sistem de o calitate certificată alert la toate nivelurile, inclusiv în materie de anti-terorism; securitatea în muncă; o conformare solidă pentru a combate riscurile frecvente, precum cele legate de ecologie, corupţie sau criminalitate; o excelentă stăpânire a informaţiei deţinute sau dobân- dite şi, în sfârşit, o strategie adaptabilă de cibersecuritate, completă şi aplicată fiecărui nivel.

Cibersecuritate

Colonelul Xavier Guimard

Director adjunct de anticipare
şi coordonare a serviciului
tehnologiilor şi sistemelor
de informaţie ale securităţii
interne din cadrul direcţiunii
Jandarmeriei Naţionale.

Problema cea mai frecven- tă continuă să fie alegerea între a trata sau nu gestio- narea riscului digital aşa cum se tratează alte riscuri. Conform experţilor prezenţi, răspunsul este, logic, unul negativ, deoarece, chiar dacă se poate aplica sche- ma securitate/siguranţă (în acest caz, securitate = contracararea riscurilor acciden- tale; siguranţă = contracararea riscurilor provocate din rea-credinţă), totalitatea acţiunilor întreprinse în lumea digitală nu poate fi încadrată în schema tradiţională de prevenţie-acţiune-reacţiune din punct de vedere juridic şi poliţienesc.
Într-adevăr, echilibrul este foarte diferit. Dacă se pleacă de la filozofia infractorului, acesta era în general pus faţă în faţă cu o situaţie dată, un câştig râvnit, o dificultate în săvârşirea faptei (de ordin tehnic, logistic, în general un factor care incumbă fiecărei companii în parte) şi un risc suportat (pedeapsa justiţiei, domeniu rezervat instituţiilor statului).
Or, în lumea digitală, schema este, în mod incontes- tabil, inversată. În ciuda mediului cu desăvârşire fizic, ultima componentă, cea a riscului, practic nu mai există. Delicventul ştie să beneficieze de toate avantajele extra teritorialităţii, alegând să îşi desfăşoare activitatea pe plan internaţional, făcând astfel ca posibilitatea de a fi prins, judecat şi condamnat pentru faptele sale să fie aproape nulă. Singura armă rămâne astfel întărirea la maximum a dificultăţilor întâmpinate de atacator. Acest domeniu depinde de investiţiile companiilor, iar statul nu are vreo implicare. Beneficiind de o vastă experienţă, statul îşi exercită rolul în domeniul crucial al prevenţiei, al furnizării şi împărtăşirii de noi explicaţii pentru com- panii cu privire la riscurile la care acestea sunt supuse, la posibilitatea de a fi atacate şi la pierderile economice pe care un atac care şi-ar îndeplini scopul le-ar produce cu siguranţă, în bugetul şi imaginea acestora.

Terorism şi lecţii de învăţat pe alte planuri

După atentatele din 13 decembrie 2015, au apărut foarte multe puncte de vedere cu privire la mai multe axe, în primul rând la cele legate de prevenţia şi apărarea unui număr cât mai mare de cetăţeni. Prima consta- tare, care reprezintă şi cea mai îndelungată bătălie de purtat, se referă la transformarea reflexelor „culturale” şi la adaptarea mentalităţii colective la noile ameninţări. De exemplu, s-a subliniat faptul că, în Franţa, un bagaj sau un colet abandonat mai generează încă o identificare, în subconştientul colectiv, cu un simplu obiect uitat şi nu cu un act intenţionat de a depozita un corp cu potenţial distructiv. Astfel, acest reflex este diametral opus cu cel al unui cetăţean israelian, de exemplu, pentru care orice obiect lăsat într-un loc public e asociat cu o ameninţare iminentă şi antrenează o mobilizare imediată.

O profesoară înarmată într-o școală din Israel

Unul din exemplele cele mai frapante şi cu siguranţă cele mai triste este cel al teroriştilor care au produs ma- sacrul de la Bataclan: timp de trei ore, ucigaşii au rămas în maşină, în apropierea locului de desfăşurare a specta- colului.
Acest fapt suspect a fost raportat prin patru apeluri telefonice la Poliţie, care însă nu a acţionat în con- formitate cu riscul potenţial evocat de cetăţenii în- grijoraţi: acesta reprezintă un semnal de alarmă care demonstrează în ce măsură şi la ce nivel al statului încă există îndoieli, din punct de vedere cultural, cu privire la pericolul iminent.
Datorită educaţiei, nimeni nu se gândeşte iniţial la ce e mai rău, ceea ce face ca misiunea educativă a statului să fie atât urgentă cât şi necesară, transformând fiecare persoană într-un actor al responsabilităţii colective, fără însă a dezvolta o paranoia.

Atlasul atentatelor din Paris, © Le Monde

Scenariile posibile de atacuri mai devastatoare decât cele din 13 noiem- brie au devenit obiectul grupurilor de lucru şi al simulărilor de crize, ceea ce indică voinţa instituţiilor franceze de a schimba atât dogma cât şi ecuaţia securitară.
Cu titlu de exemplu, nu există aproape nicio măsură reală în şcoli, pro- cedurile în caz de atac terorist fiind aceleaşi ca în cazul oricărui alt pericol (seismic, meteorologic, etc.), aşa cum au fost ele reglementate acum câteva decenii. Acest lucru conferă infractorilor care nu au nimic de pierdut timpul necesar pentru îndeplinirea măcelului înainte ca forţele statului să se mobi- lizeze pentru a reacţiona aşa cum ştiu să o facă.
Un alt aspect vital, care trebuie aplicat cât de curând, este cel legat de ajutorarea victimelor de către celelalte victime. Exemplul Bataclan demonstrează şi că, dacă populaţia ar fi avut minimele cunoştinţe de „gesturi salvatoare” de prim-ajutor (respiraţie artificială, masaj cardiac, aşezarea într-o anumită poziţie a victimei), ar fi putut fi salvate mai multe vieţi înainte de intervenţia masivă a medicilor de pe ambulanţă.
Atentatele au avut rolul de a revizui în profunzime analiza proactivă şi „live” a „semnalelor slabe”. Avantajul acestei abordări, destinate în primul rând securizării domeniului public fizic, se poate aplica cu succes atât în ciber- securitate cât şi în inteligenţa economică.
Şi în aceste domenii, lipsa de cultură a pericolului iminent, lipsa de mijloace şi barierele juridice legate de viaţa privată sunt teme care trebuie obligatoriu revizuite cu celeritate.
În şcoli, de exemplu, este nevoie de instruirea unui număr de profesori şi de părinţi pentru a fi capabili să recunoască atitudini neobişnuite şi suspecte şi să le raporteze cât mai repede ofiţerilor desemnaţi special cu care vor păstra un contact permanent.
În spaţiul public, este necesară obţinerea de către stat de mijloace de analiză în direct a fluxului de informaţii furnizate de camerele video şi în detectarea comportamentelor, prezenţelor, gesturilor neobişnuite sau sus- pecte, stabilind totodată priorităţi printre diferitele tipuri de semnale slabe. Confruntaţi cu imensitatea datelor culese, devine indispensabilă folosirea mijloacelor disponibile pentru a urmări semnale care prezintă un anumit număr de criterii ce justifică o desfăşurare de forţe şi o analiză aprofundată urgentă, întrucât au o probabilitate suficient de mare de a fi semnalele
premergătoare unei activităţi infracţionale cu impact semnificativ. Semnalarea comportamentelor îndoielnice de către cetăţenii voluntari,
fiecare în propriul cartier, pe modelul sistemului implementat de jandarme- rie, reprezintă de asemenea un avantaj major, deoarece cetăţeanul va putea indica tot ceea ce îi pare suspect, iar apoi va cădea în sarcina autorităţilor competente de a evalua fiecare situaţie, reţinând pe de o parte pistele a căror urmărire se justifică şi îndepărtând, pe de altă parte, comportamentele individuale ciudate dar care nu prezintă pericole.
Aplicarea unei bune înţelegeri a „semnalelor slabe”, în domeniul digitalu- lui, trebuie să se facă prin intermediul unei combinaţii de analiză automată şi apoi umană a anomaliilor, atât a celor din cadrul sistemului cât şi a celor îndreptate spre sistem, fie că este vorba de o instituţie sau de o companie.

Geopolitică şi mize viitoare

Olivier Kempf

Cercetător la Institutul de Realţii
Internaţionale şi Strategice (IRIS) şi directorul
publicaţiei în domeniul strategiei «La Vigie».

Ruptura mediului în care trăim de trecut este din ce în ce mai evidentă. Evenimentele teroriste, crizele se petrec cu o frecvenţă mai mare ca niciodată, iar strategia anterioară de a ataca la distanţă, de exemplu în Afganistan, pentru a-şi apăra propria ţară nu mai este de actualitate într-un stat conştient de elementele ostile de pe teritoriul său şi în care au avut loc astfel de atentate.
Schimbările radicale, diseminarea şi multiplicarea presiunilor externe sunt cele trei fronturi aliniate în interiorul Naţiunii, iar această nouă configuraţie re- clamă schimbări profunde ale procedurilor şi ale strategiilor de implementare. Cât despre latura informativă, există şi aici, în mod ideal, noi răspunsuri, printre altele cu privire la jihadism. În media s-au răspândit opinii adesea întărite prin elemente politice, conferind acestei mişcări atât o legitimi- tate „religioasă” cât şi un statut de combatant, căci, conform retoricii convenţionale, faptul că Europa s-a declarat în război implică o confruntare militară cu un inamic recunoscut ca atare şi nu o reprimare poliţienească a
unor infractori.
De altfel, se constată că un element care nu a fost cântărit la adevărata sa valoare în anii 2000 este cel al ridicării la rang de erou al „noului terorist”. Înainte de 2000, nimeni nu dorea cu adevărat să devină terorist, iar exponenţii acestui fenomen (Mesrine, Carlos) erau personaje singulare, inamici publici pe viaţă cu statut de infractori, în timp ce astăzi, teroristul e glorificat: el încarnează un reprezentant al mişcării de rezistenţă care îşi dă viaţa pentru o cauză.

Acest fenomen, probabil „consacrat” prin declaraţia de război a lui George W. Bush ca urmare a atentatelor din 2001, creează în continuare ambiţii şi a devenit un soi de aventură propusă tinerilor graţie unui discurs manipu- lator şi motivant extrem de bine structurat şi în continuă adaptare la situaţia prezentă, în ciuda stereotipurilor vehiculate adesea de către presă.
Jihadismul este o expresie modernă, concepută ca răspuns la lumea occidentală şi care utilizează atât codu- rile de comunicare modernă cât şi cele mai bune tehnici de manipulare mentală. Cutia de rezonanţă reprezentată de media favorizează într-un fel perceperea acestei mişcări dintr-o perspectivă religioasă şi de război, în de- trimentul realităţii, compusă din indivizi manipulaţi care devin asasini în virtutea unui ideal politic înainte de toate. De fapt, ne confruntăm cu un „management” extrem de sofisticat, fie că este vorba de marile atentate conduse de Al-Qaeda în anii 2000 sau de „măcelăria organizată” de Statul Islamic pe teritoriile pe care le ocupă şi în Occident, bazată pe tineri îndoctrinaţi şi căliţi în operaţiuni ţintite, care revin în ţările lor.
Metodele de prevenire şi de educare necesare a fi puse în practică sunt foarte complexe, iar situaţia jihadis- mului francez reflectă starea coeziunilor sociale actuale. Chiar dacă impactul spoturilor televizate şi al portalurilor multimedia „stop-jihadism” au fost considerate „slabe” – contul de twitter „stop djihadisme” este o picătură în oceanul celor mai bine de 30.000 de conturi pro-jiha- diste francofone –, rezultatele acestora încep să se vadă deoarece singurul scop al acestora este de a informa populaţia că există răspunsuri, că există unităţi speciali- zate de consiliere a familiilor şi, mai ales, că există o şansă ca o persoană cucerită de mesajele radicale să poată fi salvată şi reintegrată.
Asupra acestei şanse trebuie concentrate toate efortu- rile, pentru că este uşor de identificat: orice manipulare mentală reuşită trece printr-o etapă de captivare (site- urile de internet), însă nu devine eficientă decât după acapararea persoanei de către experţi în îndoctrinare în lumea fizică, urmată de deplasarea în zona de luptă.
Astfel, statul ar trebui să fie avertizat de către apropiaţi şi de familie înainte de prima întâlnire fizică dintre tânăr şi „mentorul” său, pentru a avea mai multe şanse de reuşită a acţiunii de prevenţie şi pentru a-i putea face cunoscut potenţialei victime ce va deveni dacă are încredere în terorişti.
O mare parte din jihadiştii europeni au plecat în Orien- tul Apropiat sau Mijlociu convinşi că acolo aveau să acorde ajutor umanitar, însă au ajuns în final să participe, cu arma în mână, la cel mai avansat stadiu al manipulării, iar acest lucru dovedeşte că sistemul de comandă al individului manipulat trece prin aceste două etape de îndoctrinare.
Problema care trebuie clarificată este cea a definirii ro- lului statului, a cărui prezenţă trebuie să fie mai vizibilă şi mai puţin birocratică, care trebuie să-şi asume rolul de partener important în demersul de întărire a securităţii cetăţenilor şi companiilor, fără însă a-i fi motor omni- prezent şi unic. Statul trebuie să genereze şi să inspire iniţiative fără a le conduce neapărat.
Măsurile centralizate folosite odinioară, bazate pe acţiuni ale statului, nu mai sunt eficiente într-un cadru atât de complex, în care informaţiile „pro-jihadiste” sunt mult mai numeroase decât datele site-urilor de preve- nire, în războiul informaţiei care se poartă în prezent pe internet.
De altfel, atentatele de la Paris nu trebuie să ascundă ci, din contră, să ne permită să anticipăm posibile planuri viitoare de acţiuni care se vor desfăţura înafara graniţelor Statului Islamic.
Într-adevăr, modelul de stat deplin pe care Statul Islamic îl propune are o coerenţă ideologică, oferă o explicaţie oricărei acţiuni, atrăgând orice persoană receptivă faţă de această retorică. Pentru un individ devenit consuma- tor înainte de a fi cetăţean, această metodă începe să funcţioneze în multe alte medii altermondialiste.
Au fost tratate două elemente foarte interesante. S-a subliniat că, în contextul lipsei de repere a societăţilor „de consum” în care trăim, problema generată de terorism în prezent este că, pe de o parte, indivizii se obişnuiesc cu această nouă situaţie şi că, pe de altă parte, nu există nicio legătură cauză-efect asupra companiilor.
Pentru indivizi, acest reflex aminteşte de perioada bombardamentelor Aliaţilor asupra Germaniei: în loc să stârnească revolta populaţiei împotriva regimului nazist, aceste distrugeri zilnice au fost atât de ample încât locuitorii marilor oraşe s-au obişnuit treptat cu ele. Cât despre mediul de afaceri, dacă luăm în considerare exemplul unui vehicul deţinut de o companie de transport asupra căruia are loc un atentat, va exista desigur o scădere a cifrei de afaceri pe perioada unor zile consecutive, însă nu pe termen lung.
Miza în viitor depinde de încercarea de schimbare încă de pe acum a acestei practici societale a resemnării şi a adaptării. Rezistenţa individului, în mediul fizic şi în cel

Dresda în 1945

virtual, trebuie întreţinută şi educată, pentru că deja se pot observa semnele îngrijorătoare ale structurării diverselor mişcări.
Unite datorită marginalizării societăţii de astăzi, s-ar putea ca obiectul atacurilor acestor persoane să nu mai fie civilii, ci reţele sensibile, centrale nucleare, trenuri de mare viteză sau chiar directori de companii, urmând modelul Brigăzilor Roşii şi al Facţiunii Armata Roşie.
Cazul din Notre-Dame-des-Landes (inclusiv revolta în masă împotriva proiectului de construire a unui aeroport şi acţiunile de sabotaj) poate să genereze ciber-atacuri utilizând tehnologie de vârf şi chiar asasinate ţintite. În funcţie de context, aceste grupuri şi acţiunile lor pot trece rapid de la statutul de epifenomene la încercări reuşite ale terorismului de mâine, care va fi mult mai internaţional şi mai frecvent decât atentatele jihadiste actuale, punctuale şi care vizează un anume stat

Manifestanți împotriva construirii marelui aeroport din Paris la
Notre-Dame-des-Landes © Le Monde

În acest caz, mediul de afaceri va fi lovit din plin, şi tocmai de aceea sensibilizarea şi pregătirea managementului companiilor sunt mai stringente ca oricând. Conform specialiştilor, această formă de terorism, studiată de
15 ani, începe să ia amploare şi a depăşit tadiul de „fenomen emergent”.
Una din concluziile cele mai importante ale dezbaterii este că totalitatea axelor studiate constituie într-o anumită măsură (mai puţin pentru specialişti) aşa-numite „câmpuri informe” („ciber”, mondializare, inteligenţă economică, terorism) pentru care este vitală crearea, în cadrul statului, a unor unităţi flexibile, adaptabile şi transversale de comunicare constantă cu societatea şi mediul de afaceri.
Doar printr-o mai bună înţelegere a acestor „câmpuri” care sunt, în mod paradoxal, strâns legate unele de altele, indivizii şi actorii publici şi privaţi vor putea învăţa să se adapteze şi să se protejeze pentru a se dezvolta.
Pentru Franţa, noua orientare se bazează pe crearea de instituţii care să permită societăţii şi mediului economic să devină iniţiatori majori ai şantierelor şi ai mijloacelor de aplicare a demersurilor de securizare a ţării şi nu invers.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

322

Securitatea cibernetică este un subiect complex. Societatea se mișcă rapid înspre lumea digitală. Guver- nele și companiile doresc să treacă la digitalizare pre- sându-și departamentele să se transforme de la „vechiul stil” la unul nou digital. În anii 70 au fost introduse calcu- latoarele personale, în anii 80 primele ATM-uri. În 1991 WWW a devenit accesibil public, în timp ce după 2000 telefoanele mobile au devenit un dispozitiv comun. Din 2010 s-au răspândit pe scară largă smartphone-urile, tabletele, infrastructura de cloud, Big și Open Data. mai multe studii prognozează că în 2020 vor exista cca. 34-50 de miliarde de dispozitive conectate la Internet. Considerând că populaţia globului va fi de cca. 7 miliarde, aceasta înseamnă că fiecare om va avea 5 până la 7 dispozitive conectate la Internet.
Suntem capabili să facem faţă acestui fenomen? Progresul se întâmplă mai repede decât capacitatea umană de a-l stăpâni. Cel mai recent raport Digital Economy & Society Index 2016 relevează faptul că 1/3 din populaţia Italiei nu utilizează Internetul în mod regulat și că există carenţe în specia- lizarea digitală.
Adoptarea digitalizării și a securităţii cibernetice pornește de la educaţie și conștientizare. Majoritatea atacurilor exploatează erori umane. Pornind de la statisticile generale și până la vulnerabilitatea exploatată de un atac, în 80-90% din cazuri erorile sunt umane.
Un malware, cum ar fi un ransomware, exploatează o vulnerabilitate umană. Furturile de date, cum a fost și în cazul Linkedin, reprezintă mari probleme pentru companii. O mulţime de oameni utilizează aceeași parolă pentru diferite servicii. Dacă o persoană se înregistrează într-o reţea socială cu adresa de email a companiei și utilizează aceeași parolă pentru auten- tificare pentru ambele identităţi digitale (intranetul companiei și Linkedin), aceasta poate reprezenta o vulnerabilitate și pentru companie.
Activităţile de monitorizare ale unei companii trebuie să ia în considera- re și aceste aspecte, dar eforturile pot fi invers proporţionale cu gradul de conștientizare al angajaţilor, clienţilor și utilizatorilor în general.

Un departament de informaţii privind ameninţările cibernetice trebuie să monitorizeze și Deep Web-ul pentru a verifica dacă scurgerea anumitor date poate avea vreun impact asupra companiei. Bazele de date publicate pe Dark Web pot conţine informaţii care pot dăuna business-ului și intereselor companiei.


Un al doilea aspect îl con- stituie lipsurile din oferta edu- caţională în privinţa securităţii cibernetice. Italia se află pe locul
22 din 28 de ţări europene (21 după Brexit) ca număr de absolvenţi STEM (Science Technology Engineering
Mathematics).

În studiul „The 2015 (ISC)2 Global Information Security Workforce Study” realizat de Frost & Sullivan, se vede în mod clar necesarul global de cunoștinţe, aptitudini și abilităţi în domeniul securităţii IT. În piaţă există o lipsă acută de experţi (analiști de securitate, auditori de securitate, arhitecţi de securitate…) precum și de competenţe (evaluarea și administrarea riscu- rilor, investigarea și răspunsul la incidente, guvernanţă…).

Programele educaţionale trebuie să includă mai multe subiecte STEM și o abordare progresivă și mai profundă în securitatea cibernetică, pentru studenţii interesaţi. În prezent securitatea cibernetică este doar un subiect printre altele, în cadrul unui program de masterat, cu puţine activităţi prac- tice. Este prea târziu să mai apelăm la analiști de securitate sau la alţi experţi operaţionali. Piaţa italiană are o lipsă de resurse operaţionale în securitatea IT, care trebuie completată.
Programele educaţionale naţionale în domeniul securităţii cibernetice trebuie să înceapă cu programe puternice STEM și de conștientizare pentru a insemina bazele subiectelor de securitate cibernetică. Universităţile tre- buie să înceapă să creeze programe dedicate pentru securitatea cibernetică, cu training-uri operaţionale. În Italia există o lipsă acută de programe univer- sitare de securitate cibernetică și facultăţile de inginerie, mai ales, trebuie să vină cu o soluţie.
Soluţiile nu trebuie să fie decuplate de mediul de muncă. Examinând National Initiative for Cybersecurity Education (NICE) din SUA și com- parând această iniţiativă cu framework-ul naţional de securitate cibernetică

(National Cybersecurity Framework) (adoptat și în Italia), nu se văd cu claritate conexiunile dintre cele două iniţiative. Între ele există un fel de pod neterminat.
Iniţiativa naţională pentru educaţie în domeniul securităţii cibernetice (National Initiative for Cyber- security Education) a NIST prezintă 7 categorii (provizio- nare sigură, operare și întreţinere, protecţie și apărare, investigare, supraveghere și guvernare, colectare și operare, analiză). Pentru fiecare categorie, sunt stabi- lite zone de specialitate (cca. 32 în total). Pentru fiecare zonă specializată sunt stabilite anumite sarcini (task-uri) pe care un expert trebuie să le execute, dobândind cunoștinţe specifice, abilităţi și aptitudini [Knowledge, Skills and Abilities (KSA)] circa 800.
Dobândirea de KSA permite aspirarea către anumite funcţii, listate de asemenea în framework. Problema o reprezintă lacunele logice dintre cele 2 iniţiative (educaţională și operaţională), deoarece categorisirea subiectelor în cele 2 framework-uri este diferită.
Framework-ul este împărţit în 5 funcţii (identificare, protecţie, detectare, răspuns, recuperare) cu subcategorii diferite s.a.m.d. Efortul de a conecta framework-ul NICE cu cel de securitate cibernetică naţională a fost lăsat în seama cititorului. Ar fi fost util să se folosească un limbaj și un framework comun pentru a descrie categoriile educaţionale și de training pentru a avea o anumită con- tinuitate în domeniu.

În concluzie, câteva recomandări pentru Italia ar fi:

1. Începerea diseminării campaniilor de conștienti- zare începând încă de la grădiniță, nu prin
inițiative sporadice ci prin inserarea lor în activități educaționale;
2. Creșterea învățământului STEM pe toate nivelele educaționale;
3. Introducerea unor programe de securitate cibernetică în licee și a unor cursuri de securitate cibernetică în universități;
4. După framework-ul național de securitate cibernetică, adoptat de Italia, următorul pas care trebuie făcut este dezvoltarea unor programe educaționale care să instruiască lumea în efectua- rea funcțiilor și activităților listate în framework.

© Cybersecurity Trends mulțumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din iulie- august 2016).

autor: Massimo Cappelli

Massimo este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activitățile educaționale și de cercetare ale fundației. A urmat studii economice și ulterior a obținut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică și geo-istoria regiunilor de frontieră) concentrat pe programe de protecția infrastructurilor critice și un masterat în «Intelligence and Security Studies» (Studii de securitate și informații). Anterior a ocupat funcția de Associate Expert in Risk Resilience and Assurance (ex- pert asociat în asigurare și reziliență la riscuri) la Booz & Company și Booz Allen Hamilton. A fost și consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.

399

«Dacă îți cunoști inamicii și te cunoști pe tine însuți, nu trebuie să-ți fie frică de rezultatul a o sută de bătălii» Sun Tzu, Arta războiului, cartea a III a.
Ca și în secolul VI î.e.n., și astăzi rolul cunoștinţelor și informaţiilor este esenţial în luarea de decizii la nivel funcţional și strategic. În era IoT (Internet of Things) și a comunicaţiilor digitale, care este valoarea informaţiilor voastre și cât sunt acestea de securizate?
De fapt, puterea informaţiilor este bine cunoscută de companiile moderne, care dispun de analiști care să eva- lueze competiţia (Business Intelligence), de specialiști în securitatea fizică pentru a preveni accesul neautorizat în corporaţie, și de soft-uri tehnologic avansate care să prevină intruziunea infractorilor cibernetici. Dar, din păcate, nu este suficient pentru a proteja compania și a preveni accesul nedorit.
Evident, toate contramăsurile sunt inutile atunci când atacurile utilizează metodologii care pot ocoli toate procedurile menite să protejeze bunurile. De fapt, chiar și cele mai sofisticate încuietori din lume pot fi deschise cu ușurinţă dacă proprietarul îţi dă cheia, fără să-și dea seama. Din aceste motive, cei mai buni hacker-i combină „forţa brută” tehnologică, cu ingineria socială, pentru a le facilita accesul într-un sistem prin înșelăciune.
Faimosul hacker și expert în ingineria socială, Kevin Mitnick, descrie ingineria socială ca „utilizarea influenţei și a persuasiunii pentru a-i înșela și manipula pe alţii, prin convingerea acestora că cel care se ocupă de așa ceva este altcineva decât este”. Alţi autori definesc ingineria socială ca „arta sau știinţa manipulării umane pentru a obţine informaţii confidenţiale și sensibile”.
Conform rapoartelor Clusit1 și Verizon2 pe 2016, așa numitele „metode de elicitare”, o serie de tehnici de colectare de date utilizate pentru a obţine cunoștinţe sau informaţii de la oameni, prin exploatarea slăbiciunilor comune ale comportamentului uman, au reprezentat cele mai critice aspecte în securitatea informaţiilor în 2015. Printre cele mai cunoscute tehnici se numără phishing-ul, mail-uri în sine inofensive trimise cu scop de fraudă, destinate să instaleze printr-un simplu „click” malware pe calculatorul vostru și să vă fure credenţiale private.
Nu subestimaţi apelurile telefonice de la colegi suspecţi (în companiile mari este dificil să cunoști pe toată lumea) menite să obţină informaţii confidenţiale. Ceva mai complicat, dar nu mai puţin utilizată ca metodă, este așa numita „plonjare în tomberon” („Dumpster diving”) – scotocirea prin gunoi în căutarea de informaţii -, „momeala” („Baiting”) – abandonarea în anumite locuri, cum ar fi lift, baie sau hol, a unor dispozitive infectate, de genul stick-urilor USB, care odată conectate la calculator instalează programe maliţioase -, „umbra” („Tailgating”) – urmărirea îndeaproape a cuiva care are permisiunea și abilitatea de a intra în zone private, pentru a obţine o intruziune ilegală – și în cele din urmă „spionarea peste umăr” („Shoulder surfing”) – spionarea victimei din spate pentru a-i fura credenţialele de acces la sistem, adesea victima este urmărită atunci când își utilzează smartphone-ul sau când își introduce PIN-ul la un ATM sau la un POS. Aceste tehnici reprezintă doar preludiul unui atac cibernetic, pentru violarea confidenţialităţii, integrităţii și disponibilităţii informaţiilor3.
În consecinţă, faptul esenţial care trebuie înţeles este că achiziţionarea unor informaţii aparent neimportante permit adesea infractorilor cibernetici să ocolească contramăsurile sistemice. Kevin Mitnick spune:„de ce să pierzi timpul cu strategii elaborate când poţi printr-un simplu apel telefonic să obţii informaţii de la oameni nevinovaţi și neavertizaţi și să le folosești pentru a deschide ușa.”
Până și cei mai bine pregătiţi oameni pot cădea în capcana ingineriei sociale, deoarece cele mai utilizate slăbiciuni se bazează pe prejudecăţi comportamen- tale și cognitive (scurtături și euristică) care conduc la o evaluare incorectă, profitând de evaluarea eronată a informaţiilor deţinute. Omul este infailibil și emoţiile umane pot fi adesea exploatate împotriva utilizatorilor și organizaţiei.
Prin urmare, până și cei mai bine pregătiţi utilizatori pot cădea victime. Este celebru cazul directorului CIA, John Brennan, căruia i-a fost compromis email- ul. De fapt, în octombrie 2015, un grup de hacker-i denumit CWA (Crackas With Attitude), prin tehnici de inginerie socială și în urma unor discuţii cu ingineri de la renumitul furnizor american de comunicaţii Verizon, au pătruns în contul de email al victimei de pe AOL (American Online), preluând administrarea contului și accesul la documente relevante și sensibile.
Atacurile prin inginerie socială pot produce nu doar pierderi economice dar pot afecta și reputaţia prin impactul asociat, care în multe cazuri este cu mult mai mare și care poate afecta serios stabilitatea organizaţiei.
Aceste fenomene trebuie să facă parte din cultura de securitate, instruire și conștientizare a angajaţilor în privinţa ameninţărilor existente, comportamentului riscant și a celor mai bune practici. Evident, fără a ne- glija contramăsurile tehnice cum ar fi scanarea email-urilor, update-urile de software, verificarea angajaţilor, utiliza- rea criptării, a firewall-urilor și a sistemelor de detectare a intruziunilor.
Pentru a reduce efectiv riscurile unor astfel de atacuri, trebuie să adoptaţi metode de instruire interactivă pen- tru angajaţi, prin „analize”, „interpretarea de roluri”, simulări, supervizate în permanenţă de un corp de control, căruia angajaţii să îi poată raporta și căruia să îi poată pune întrebări despre situaţiile dubioase care pot apărea în activitatea lor. Tehnicile folosite de atacatori sunt bine puse la punct și exploatează scheme de persuasiune4, care în absenţa unei instruiri corespunzătoare pot păcăli pe oricine.
© Cybersecurity Trends multumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din octombrie 2016).

Note:

1 CLUSIT – Italian Association for information security, Report 2016, https://clusit.it/rapportoclusit/
2 Verizon’s 2016 Data Breach Investigations Report, http://www. verizonenterprise.com/verizon-insights-lab/dbir/2016/
3 Isabella Corradini, Luisa Franchina, Social Engineering: technological and human aspects, Themis Edition
4 R. B. Cialdini, Influence: The Psychology of Persuasion, 1984

autor: Michele Gallante,

GCSEC

Michele este un avocat practicant înscrisîn ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.

307

Amenințările din spațiul cibernetic și complexitatea acestora nu mai constituie de ceva vreme o noutate, mai ales în contextul în care noțiunea de perimetru de rețea începe să nu mai aibă sens odată cu adoptarea tehnologiilor de tip cloud.
Strategiile de securitate bazate pe încercarea de a trasa graniţe în spaţiul cibernetic reprezintă o dovadă a adaptării unor concepte tradiţionale într-un con- text nou. De altfel, nici graniţele tradiţionale nu sunt 100% eficiente, acest fapt fiind cauzat, printre altele, de motive valabile și în cazul graniţelor din spaţiul cibernetic: nevoia de creare a punctelor de trecere a graniţelor.
Piaţa tehnologiilor de securitate cibernetică a cu- noscut o creștere exponenţială în ultimul deceniu, iar soluţiile care oferă protecţie perimetrală (firewall, secure gateway, proxy, IDS/IPS, UTM etc.) sunt încă destul de apreciate și utilizate. Doar că se impune conștientizarea faptului că aceste tehnologii sunt absolut necesare însă nu mai sunt și suficiente. Organizaţiile au nevoie de tehnologii suplimentare care să ofere facilităţi de securitate cibernetică în contextul în care datele acestora părăsesc frecvent perimetrul de reţea intern, fiind stocate și distribuite prin intermediul unor sisteme și reţele care nu le aparţin, precum în cazul utilizării tehnologiilor de tip cloud.
Răspunsul unanim acceptat la această provocare constă în utili- zarea unor standarde și tehnologii adecvate de criptare. Implementate corespunzător, tehnologiile de criptare permit asigurarea confidenţiali- tăţii, integrităţii și non-repudierii datelor, rămânând în discuţie doar asigu- rarea disponibilităţii acestora. Astfel, pentru a obţine un nivel optim de securitate, am putea opta pentru utilizarea tehnologiilor de criptare și a unor sisteme informatice distribuite/redundante care să asigure stocarea, procesarea și transmiterea datelor.
Nu puţini experţi și oameni de știinţă prevăd un viitor influenţat în mare măsură de tehnologiile de criptare, precum Blockchain – o tehnologie care se presupune că va revoluţiona inclusiv domeniul securităţii ciber- netice. Pe de altă parte, tot mai multe voci din rândul structurilor care asigură securitatea naţională a statelor lumii privesc criptarea și ca pe o ameninţare la adresa securităţii, mai cu seamă pentru că această tehno- logie este din ce în ce mai utilizată de organizaţiile teroriste pentru a-și planifica acţiunile în secret.
Pentru a încheia într-o notă optimistă cu privire la viitorul criptării, ca un punct de vedere strict personal, aș aminti de platforma experimentală Mylar, dezvoltată de românca Raluca Ada Popa în cadrul studiilor de doctorat de la Massachusetts Institute of Technology, care demonstrează cum uneltele de criptare și cele destinate asigurării securităţii naţionale pot coexista, în sensul că se pot realiza căutări după cuvinte cheie în fișiere și baze de date criptate, fără a fi nevoie să se acceseze tot conţinutul acestora.

autor: Cătălin Pătraşcu

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

322

Supravegherea ca metodă de colectare a informației a existat de la începutul omenirii. Liderii politici ai Romei Antice dețineau propriile rețele de supraveghere, fiind astfel mereu informați cu privire la potențialele conspirații și intrigi la adresa lor. În Evul Mediu, Regina Angliei, Elizabeth I, folosea agenți secreți pentru a fi mereu cu un pas înaintea adversarilor săi. În timpul Războiului Rece, forțele secrete Stasi ale Germaniei de Est au construit o rețea de supraveghere, care a fost compusă din mai mult de 91 000 de ofițeri și aproape 200 000 de informatori pentru a monitoriza activitățile cetățenilor săi în vederea „sufocării neliniștii”.1
Odată cu era digitală, tehnicile de supraveghere au evoluat în paralel cu progresul tehnologic. Acum, nu mai este necesar de a menţine un personal numeros de informatori pentru a putea colecta informaţia dorită. Zecile de dispozitive digitale, care ne înconjoară în viaţa de zi cu zi, au devenit precum ochii tăcuţi și urechile ascultătoare în raport cu indicaţiile parvenite din partea stăpânului real.
Mai mult decât atât, fiind motivată și energizată de opor- tunitatea „gratuită” pentru a-și satisface nevoile sociale, aici și acum, societatea dependentă de Internet, aduce fiecare parte din experienţa trăită la dispoziţia giganţilor de Internet – prin pro- pria voinţă!

Detalii cu privire la această mișcare au devenit cunoscute publicului larg la mulţi ani după ce Edward Snowden, contrac- tor al CIA a sustras în anul 2013 informaţii secrete de la Agenţia Naţională de Securitate NSA din SUA. După șocul iniţial și evaluarea ulterioară a impactului, scurgerea de informaţii a fost definită ca fiind „cea mai mare și mai dăunătoare publicare de informaţii clasificate din istoria forţelor de securitate a SUA”2. Cu toate acestea, SUA, precum și istoria inteligenţei mondiale „știe” multe povești cu privire la divulgarea de informaţii neautorizate. Atunci rămâne de văzut ce anume a transformat acest caz în unul special?

La prima vedere, descoperirile lui Snowden, nu prezentau nimic nou – un grup de state exploata în mod activ punctele slabe ale arhitecturii de Internet pentru a promova interesele lor naţionale prin abilitatea „de a avea acces la cabluri, routere și servere cloud a marilor companii de Internet.”3 Şi ce? – Sunt multe exemple cunoscute4 de implicare a statului în materie de supra- veghere activă și intruzivă a reţelelor de Internet.
Deşi astfel de practici sunt comune pentru ţările totalitare, nu s-a auzit vreodată despre implicarea statelor dezvoltate occidentale, pilonii democraţiei mondiale în acţiuni ce ţin de supravegherea în masă a justiţiei şi a supremaţiei legii, subminareaa principiilor democratice fundamentale, la care au fost destinate să servească.
Amploarea acestor activităţi de supraveghere cibernetică5 a fost atât de mare, încât a devenit o ameninţare cibernetică la nivel mondial pentru democraţiile din întreaga lume, alături de terorismul cibernetic, criminali- tatea informatică și conflictele cibernetice.
A trecut suficient timp pentru a putea evalua impactul real şi consecinţele descoperirii lui Snowden. Prin urmare, acest articol, încearcă să răspundă la întrebarea: „Ar trebui luate în considerare fenomenele de supraveghere la nivel mondial drept o nouă realitate inevitabilă în care vom continua să trăim sau echilibrul între necesitatea asigurării securităţii naţionale și a principiilor democratice vor fi restaurate?”
În acest scop, este important să se înţeleagă cum poate deveni posibilă o supraveghere la nivel mondial, din moment ce aceste lucruri nu pot fi făcute dintr-o dată.
Rădăcinile acestui mare potenţial, ne întorc în anii 50, atunci când Regatul Unit al Marii Britanii și al Statelor Unite au adoptat în mod oficial un acord multilateral de informaţii, care s-a aplicat şi pentru alte reţele de telecomunicaţii secrete, inclusiv și regulile privind schimbul reciproc de informaţii. Ulterior, acordul a fost extins pentru a include Australia, Canada, Noua Zeelandă precum și „alte 30 de ţări ca „părţi terţe”6, pentru a monitoriza comunicaţiile Uniunii Sovietice și ale blocului său de Est.
În conformitate cu acest cadru, multiple programe de supraveghere au fost puse în aplicare pentru a permite în mod legal, în cadrul procesului de Informaţii Externe de Supraveghere (FISA), interceptarea comunicaţiilor existente în acea perioadă de timp. Acest proces de colectare a informaţiei a fost utilizat până în anul 2001, când atacurile teroriste 9/11 au schimbat totul. În conformitate cu informaţiile secrete devenite publice din cadrul„National Security Agency Inspector General draft report”7, imediat după ce au avut loc atacurile, NSA a început să evalueze lacunele privind colectarea informaţiilor de semnal, în scopul de a consolida capacitatea sa de con- tracarare a ameninţărilor neîntâlnite anterior.
Rezultatele evaluării au identificat, că de fapt, cea mai mare parte din comunicaţii, inclusiv a celor care au fost utilizate de către teroriști în timpul atacurilor 9/11, „nu se mai strecoară prin semnale radio sau prin sisteme de telefonie”, dar prin intermediul Internetului. Dificultăţile semnificative create, precum cele de interceptare legală s-au dovedit a fi nepotrivite pentru supravegherea eficientă a obiectivelor ţintă, care la rândul său şi-ar putea schimba cu ușurinţă numărul de telefon sau adresa de Protocol de pe Internet cu mult înainte ca NSA să obţină autorizarea pentru interceptare.
Din cauza unei „urgenţe emergente”, președintele
George W. Bush a emis un memorandum, numit „Autori- zarea pentru activităţi specifice de supraveghere electronică pe parcursul unei perioade limitate cu scopul de a detecta și a preveni actele de terorism în Statele Unite ale Americii”, care, în cele din urmă a permis directorului NSA să-și dea acordul pentru a intercepta „comunicaţiile prin cablu efectuate în interiorul sau în afara statelor Unite ale Americii” în cazul în care au existat motive de a presupune că sursa ţintă a fost implicată în terorism. În rezultatul acestui acord şi asistenţei bazate pe voluntariat cu 4 din cei peste 100 de parteneri din sectorul privat, NSA a obţinut acces la 81% din conţinutul interceptărilor telefonice la nivel internaţional și de meta date a Statelor Unite ale Americii, precum și conţinutul e-mail-urilor, în conformitate cu recentul aranjament „Programul de Supraveghere a Președintelui”.
Programul s-a desfășurat fără modificări esenţiale până
în luna martie 2004, când, în rezultatul examinării pre- liminare a componentelor sale de către Departamentul SUA de Justiţie, s-a descoperit că doar trei din cele patru categorii de informaţii colectate în cadrul „Autorizaţiei”, au fost legale. În particular, în metoda de colectare de meta date prin intermediul Internetului, numită „bulk data” au fost găsite reglementari controversate – precum colectarea mai degrabă a informaţiilor integrale decât a datelor selectate în mod specific. De atunci, a început procesul de legalizare a autorităţii atribuite politic, prin trecerea la ordinele judecătoreşti. În cele din urmă, de la începutul anului 2007, NSA a pierdut controlul puterii de supraveghere a legii.
Totuși, acesta nu a fost sfârșitul poveștii. Scurgerea de date datorată lui „Snowden” a relevat faptul că imediat după ce și-a pierdut capacitatea, NSA a început s-o creeze din nou, dar, de această dată, la un nivel mult mai extins. În acest scop, aceasta și-a angajat partenerii „spion alianţă”, care vizează o parte importantă a traficului de date Internet la nivel global, cu miliarde de utilizatori.
Reacţia comunităţii inteligente privind scurgerea de informaţii a fost extrem de negativă. Nu putea fi altfel– rezultatele muncii migăloase de zeci de ani au fost puse dintr-o dată în pericol. În general, comunitatea inteligentă consideră că scurgerea de informaţii datorată lui „Snowden” a făcut lucruri mult mai importante pentru protejarea valorilor democratice decât acţiunile lor proprii, prin diminuarea încrederii societăţii și giganţilor tehnologiei în agenţiile de informaţii, care au început a fi percepute mai degrabă drept instrument de supra- veghere în masă și control total, decât agenţii angrenate în lupta cu terorismul, crimele cibernetice și informaţii in- teligente externe.
Avocaţii NSA susţin că, metoda de colectare utilizată,
„bulk data”, a fost un sacrificiu necesar din cauza imperfecţiunilor tehnologiei de supraveghere, și este vital s-o menţină „vie”. Mai mult decât atât, în realitate, agenţiile de informaţii inteligente nu deţin capacităţi de a citi toate mesajele pe care le colectează, ci numai acelea ce se referă la obiectivele lor – constituind un pro- centaj minoritar din totalul informaţiilor colectate.8
Cu toate acestea, în ciuda obiectivelor declarate, scurgerile secrete de documente au dezvăluit că oricine şi în orice moment poate deveni o ţintă, fără dovezi de implicare în infracţiuni, acte de terorism sau alte activităţi rău intenţionate. De exemplu, în 2014, a devenit cunoscut faptul că SUA a vizat 122 de lideri politici, inclusiv aliaţii săi cei mai apropiaţi.9 Chiar și cetăţenii Statelor Unite, cei ale căror interese au fost implicate în această „capacitate” ar putea fi supravegheaţi „accidental”, fără consecinţe grave – „şi fără a prezenta un motiv de îngrijorare”10. Ce se poate spune despre locuitorii altor naţiuni democratice și mai puţin democratice?
Pe parcursul secolelor, supravegherea a fost și rămâne a fi una dintre principalele pietre de temelie care stau la baza puterii politice. Perioada de tranziţie, a creat noi oportunităţi, schimbând metodele de execuţie, dar nu și scopul. Un grup de state s-a folosit rapid de acestea în secret. Dezvăluirea publică a activităţilor lor de către o persoană din interior, Edward Snowden, a relevat încălcări grave ale principiilor democratice fundamen- tale. Amploarea acestor activităţi a fost atât de mare, încât a devenit o ameninţare globală pentru democraţiile din întreaga lume. A trecut suficient timp pentru a privi înapoi și a evalua astfel rolul articolului dat în a găsi un răspuns la întrebarea „Ar trebui ca fenomenul supravegherii globale să fie considerat o nouă realitate în care vom con- tinua să trăim, sau un echilibrul între necesitatea asigurării principiilor de securitate naţională și democraţie?”
Cercetările efectuate au demonstrat că bazele pentru această mișcare au fost construite pe parcursul a zeci de ani. Începând cu anii ’50, SUA s-a axat pe crearea și extinderea capacităţii sale de supraveghere electronică pentru a contracara ameninţările provenite din spaţiul Uniunii Sovietice și blocului Estic. Odată cu începutul

mileniului următor, a apărut o nouă ameninţare – terorismul internaţional. Acesta a lovit puternic SUA. Ca răspuns, s-au luat măsuri extraordinare de stabilire a unei noi linii de apărare, dar, totodată, distrugând total echilibrul valorilor democratice. Treptat, echilibrul tindea a fi restaurat, dar, cu toate acestea, NSA deja nu a mai putut fi oprită. Cu ajutorul aliaţilor spioni, precum și a companiilor din sectorul privat a fost creată o reţea nouă de suprave- ghere cu o capacitate de a supraveghea activităţile a miliarde de oameni.
În ciuda scopurilor proclamate, scurgerea documentelor secrete a dezvăluit că oricine, în orice moment ar putea a deveni un obiectiv, indiferent de acorduri politice, legalitatea activităţilor, sau chiar cetăţenie.
Ei bine, ce am putea comenta cu referire la aceasta? – Bun venit într-o nouă lume curajoasă! În timp ce viitorul nu poate fi clar definit pe baza traiectoriei istorice, se poate concluziona că fiecare pericol nou la adresa democraţiei mondiale a devenit generator al intensificării mecanismului de supraveghere, deteriorând astfel democraţia în sine. Prin urmare, colabo- rarea internaţională și schimbul de informaţii cu privire la problemele cele mai acute ale lumii este esenţială pentru a conserva realizările omenirii de-a lungul timpului pentru generaţiile viitoare

Note:

1 Anthony Zurcher, Roman Empire to the NSA: A world history of government spying (BBC News Magazine,
2013). Available at http://www.bbc.com/news/magazine-24749166 [accessed on 05.12.2016].
2 Executive Summary of Review of the Unauthorized Disclosures of Former National Security Agency
Contractor Edward Snowden (U.S. House of Representatives, 2015).
3 Jovan Kurbalija, An introduction to Internet governance (Geneva: DiploFoundation, 2014), p 71.
4 According to Reporters Without Borders Special Report “Enemies of the Internet” in 2013 were registered
five state enemies involved in “grave violations of freedom of information and human rights”, specifically:
Syria, China, Iran, Bahrain and Vietnam.
5 According to Amnesty International NSA global surveillance programs covered “193 countries around
the world” with billions of potential victims. [Global opposition to USA big brother mass surveillance
(Amnesty International, 2015). Available at https://www.amnesty.org/en/press-releases/2015/03/global-
opposition-to-usa-big-brother-mass-surveillance/ [Accessed on 06.12.2016]].
6 Laura Poitras, Marcel Rosenbach and Holger Stark, US Intelligence Watches Germany Closely (Der Spiegel,
2013). Available at http://www.spiegel.de/international/world/germany-is-a-both-a-partner-to-and-a-
target-of-nsa-surveillance-a-916029.html [Accessed on 07.12.2016].
7 National Security Agency inspector general draft report (NSA, 2009). Available at http://apps.
washingtonpost.com/g/page/world/national-security-agency-inspector-general-draft-report/277/
[Accessed on 07.12.2016].
8 Robin Simcox. Surveillance after Snowden. Effective Espionage in an Age of Transparency (London: The
Henry Jackson Society, 2015).
9 Laura Poitras, Marcel Rosenbach and Holger Stark, GCHQ and NSA Targeted Private German Companies
and Merkel (Spiegel, 2014). Available at http://www.spiegel.de/international/germany/gchq-and-nsa-
targeted-private-german-companies-a-961444.html [Accessed on 07.12.2016].
10 Barton Gellman and Laura Poitras, U.S., British intelligence mining data from nine U.S. Internet
companies in broad secret program ( The Washington Post, 2013). Available at https://www.
washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-
broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html [Accessed on
07.12.2016]

autor: Natalia Spinu,
Head of the Cyber Security Center CERT-GOV-MD

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefă de departament în cadrul Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

931
Carlo-De-Micheli
Carlo De Micheli

autor: Carlo De Micheli

În anii ’80 a fost depus primul patent pentru comunicare radio NFC. În anul 2004, Philips, Nokia, și Sony au creat primul forum NFC (Near Field Communication). De atunci, NFC a devenit un standard adoptat de companii mari ca Apple și Samsung care îl introduc în cele mai noi tipuri de smartphone-uri și este prezent în întreaga lume în milioane de badge-uri și carduri fără contact. Companiile de transport au început să folosească carduri radio pentru sistemele folosite la metrou și autobuze. Este foarte confortabil pentru călători, aceștia trebuind doar să apropie cardul lor de un cititor pentru a-și plăti călătoria cu mijlocul de transport.

Această inovaţie a venit însă și cu toate problemele de securitate pe care o autentificare de la distanţă (chiar și din apropiere) le-ar putea implica. Un exemplu în acest sens este sistemul Oyster pentru metrou, din Marea Britanie, care a fost subiectul unei slabe autentificări în operaţiunile de scriere sau citire a cardurilor. Doua din cele mai mari companii de credit carduri, Visa și Mastercard, au venit cu propriile sisteme NFC, respectiv PayWave și PayPass.

Când industria de carduri de credit şi de debit a început să adopte NFC, au fost adoptate de asemenea și unele reguli de bază de securitate. În majoritatea ţărilor există o limită de plăţi de aproximativ 25 de euro per tranzacţie NFC. Acest lucru limitează sumele tranzacţionate cu autorizare fără PIN sau cip sau citire magnetică sau semnătura, pentru o accelerare a plăţilor. Companii mari precum McDonalds au devenit promotoare şi au adoptat această tehnologie, lansând o serie de oferte cum ar fi o cafea gratuită la o comandă plătită prin intermediul NFC.

În anul 2012, am început testarea de carduri NFC în laboratorul nostru de la Security Brokers. O bună perioadă de timp au fost realizate o mulţime de studii despre cum se citesc aceste tipuri de carduri, la ce distanţă pot fi citite şi cum pot fi extrase datele din ele. Există comenzi specifice, care pot fi trimise „low level” direct cardurilor prin frecvenţe radio, la care cardurile răspund direct cu datele conţinute în ele. În prezent, găsim cititoare hardware în cele mai multe smartphone-uri de ultimă generaţie iar software-ul aferent poate fi descărcat de pe app store.

Ce date pot fi extrase de pe cardurile NFC?

Ne-am aştepta ca numerele de card de credit şi de debit să fie diferite la un card cu limitare de plată la 25 euro pe tranzacţie NFC, faţă de un card tradiţional. La toate cardurile am testat PAN (Primary Account Number), și numărul cardului pe care îl găsiţi scris în relief pe faţa cardului a fost exact același cu numărul folosit pentru tranzacţiile NFC.

Acest număr poate fi citit folosind un cititor NFC standard şi un mic software scris pentru un anumit tip de card, de exemplu, Mastercard şi Visa au comenzi diferite pentru a citi date de pe carduri.

De altfel, datele accesibile NFC, care sunt uşor de citit fără sa fie necesar vreun tip de autentificare, includ de asemenea data de expirare a cardului şi prenumele proprietarului!

Acest lucru dă unui atacator informaţii suficiente pentru a procesa o tranzacţie. Retailerii care adoptă această tehnologie şi clienţii lor cu siguranţă economisesc timp în efectuarea plăţilor, dar asta cu preţul unui mare risc de acces la date confidenţiale şi de fraudă tangibilă pentru clienţi, bănci şi companiile de asigurare aferente.

Care sunt diferitele scenarii de fraudă?

Focus-Trends-No-4Scenariul de bază de fraudă prin NFC are ca principiu scanarea unui card şi folosirea PAN şi a datei de expirare a cardului pentru a efectua o tranzacţie online sau off-line.

Cardurile NFC pot fi scanate de la o distanţă foarte mică, de la câţiva milimetri la câţiva centimetri. Am descoperit în urma testelor noastre că folosind o antenă 12x10cm, un card poate fi citit de la până la 10 centimetri distanţă. Credem că acest interval poate fi încă îmbunătăţit în continuare prin utilizarea unui sistem mai puternic de antene şi circuite.

Exploatând diferite metode de tranzacţionare utilizate în Europa versus alte ţări precum Statele Unite, se pare că scanarea unui card într-o ţară şi efectuarea tranzacţiei în altă ţară este, probabil, cea mai uşoară cale de extragere de cash.

Focus-Img-2-Trends-No-4Există moduri diferite de a efectua o plată cu cardul, prima și cea mai utilizată fiind plata online. Informaţiile minime cerute de bancă pentru a permite o tranzacţie sunt PAN şi data de expirare a cardului. Pentru securitatea clienţilor lor, unele companii cer o parolă suplimentară (de exemplu Verified by Visa), sau un one time token trimis prin SMS sau prezent pe un device, sau adresa proprietarului, sau CVV/CVV2 (codul de verificare de 3 cifre scris pe spatele cardului). Cu alte cuvinte, există multe căi de de limitare a unei tranzacţii cerând informaţii care nu sunt prezente în datele publice ce ar putea fi citite prin NFC. Există site-uri de comerţ electronic care încă nu cer CVV sau alte detalii pentru a efectua o tranzacţie, ceea ce înseamnă o cale dechisa de extragere de cash pentru atacatori.

În tranzacţiile «card prezent», în care clientul oferă cardul, acesta este autentificat fie prin intermediul CIP și PIN, sau este citit magnetic şi semnat. Trucul din spatele încasării se bazează pe metodele de rezervă ale acestor tipuri de tranzacţii. Dacă CIP-ul nu reuşeşte, se bazează pe banda magnetică. Dacă banda magnetică nu reuşeşte, va trebui să fie introdus manual în sistem PAN şi data de expirare.

În timp ce în Europa CIP și PIN sunt dominante, în Statele Unite tranzacţia cu bandă magnetică este încă un standard folosit pe scară largă. O simplă propoziţie «the stripe isn’t working, please type the code» (banda magnetică nu funcţionează, vă rog să tastaţi codul) face posibil pentru un atacator să determine casierul la un supermarket, chelnerul dintr-un restaurant, angajatul unei cabine de taxare de autostradă să tasteze direct PAN-ul şi data expirării fără a încerca măcar să treacă cardul prin cititorul magnetic.

Adesea se cere să se arate fizic cardul unui angajat pentru a fi copiate numerele. Acest lucru înseamnă că cu o simplă imprimantă de carduri şi cu o staţie de scanare NFC, care să se afle undeva pe un alt continent, se poate avea la dispoziţie un set întreg pentru o operaţiune de carding la nivel global.

Ce riscăm noi din postura de clienţi?

O staţie de scanare poate fi imaginată ca un mini-PC, cu o baterie de lungă durată, ascuns lângă un terminal de plată NFC, de exemplu într-un restaurant fast-food sau la un automat de bilete în gară. Mini-PC-ul poate stoca local sau poate trimite prin Internet detaliile cardurilor scanate de la oamenii aflaţi în apropierea antenei ascunse. Este ca un skimmer de ATM-uri, dar cardul nu trebuie nici macar sa fie introdus în mod voluntar în maşină.

Care sunt soluţiile?

Din postura de clienţi putem să ne plângem emitenţilor de carduri şi să cerem băncilor să ne emită carduri fără NFC (cardurile cu NFC au un simbol unic pe ele similar cu pictograma WiFi), sau să folosim portofele speciale care au ecranare împotriva undelor radio.

Băncile trebuie să acţioneze imediat pentru a-și actualiza sistemele şi pentru a evita carding în masă, implementând o soluţie care include autentificare înainte de a avea acces la detaliile cardului. În acelaşi timp este cu siguranţă necesară o monitorizare sporită a tuturor tranzacţiilor cu cardul și a notificărilor care vin de la clienţi prin intermediul mesajelor text sau al smartphone-urilor. 

EDITIE SPECIALA – INTERNET OF THINGS

1807
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1504
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2809
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1597
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1530
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1579
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...