Friday, April 23, 2021
Numarul 4

1076

autor: Laurent Chrzanovski

  1. Instalează un antivirus cu firewall nu numai pe PC, dar si pe toate dispozitivele mobile (telefon, tableta etc.)
  2. Update-ază permanent toate soft-urile pentru a asigura o protecţie maximă din partea antivirus-ului.
  3. Atenţie maximă la descărcarea unor aplicaţii nesigure, mai ales pe mobil. Alege doar apps-uri propuse în «store»-ul oficial al sistemului de operare
  4. Citește cu mare atenţie adresa unui link propus de terţi, mai ales dacă vine pe email și este vorba de reînnoirea parolei la conturile de social media, la cardul de credit etc.
  5. Ajustează la maxim setările de securitate și privacy de la smartphone, browser-e și social media.
  6. Dezactivează geolocalizarea și automatizarea de data exchange pe mobil: activează data exchange numai când vrei să folosești o anumită app(licaţie) și numai pentru ea (browser, starea vremii, facebook, whatsapp etc)
  7. În browser-ul de internet, elimină optiunile de «save history» și «save cookies», setează «erase all data» dupa fiecare sesiune; intră în personal settings (preferences) ale browser-ului cât mai des posibil și verifică ștergerea memoriei cache și a eventualelor plug-in-uri inutile. Cookies se vor reseta la următoarea deschidere a unui website, dar este mai bine să nu rămână în memorie.
  8. Asigură-ţi datele făcând un backup pe un HD extern, zilnic sau măcar săptămânal și scanează acest HD cu antivirus-ul.
  9. Folosește parole foarte lungi cu cifre (în genul unei strofe de o poezie, începută cu o secvenţă de numere și terminată cu parenteze sau puncte de exclamaţie etc.)
  10. Setează propriile tale întrebări și răspunsuri pentru password recovery mai ales pe serviciile de email gratis și pe reţelele sociale
  11. De-cuplează obligatoriu aplicaţiile între ele: înregistrează-te în fiecare reţea sau serviciu dorit cu propria parolă, nu cu «using my yahoo, gmail, facebook, etc. account»
  12. Verfică întotdeauna că modul în care introduci date confidenţiale este «HTTPS», mai ales în cazul plăţilor online
  13. Descarcă și activează în browser AD-block și Anti-pop-up (numeroase variante)
  14. Refuză orice plug-in necunoscut, mai ales de video/multimedia, propus de un site în care nu ai 100% încredere
  15. Refuză memorarea parolelor și înregistrarea automată la acces din browser-ul PC-ului dar și în setările smartphone-ului și tabletei. În cazul în care ţi-e frică să nu pierzi parole, folosește un keychain recomandat (centralizator criptat de user/parole).
  16. Elimină cât mai rapid mesajele de pe whatsapp sau webmail după salvarea lor pe PC.
  17. Pentru tot ceea ce este confidenţial, evită folosirea de servicii gratuite de email (gmail. yahoo etc.) sau de free cloud /data sharing. (Aproape) tot ceea ce este gratuit se plătește. Mai bine abonează-te la un serviciu de mail: securitatea și viaţa ta privată merită 3 EUR pe lună!
  18. Nu publica informaţii personale sau private pe reţelele sociale (adresa, starea civila, etc.)
  19. Nu te conecta la contul bancar și evită să te conectezi la orice spaţiu virtual privat cu parolă (mail, reţele sociale, site-uri de cumpărături) din reţele wireless publice (bar, restaurant, aeroport).
  20. Dacă vrei mai multă securitate, folosește mail-uri cu semnătură PGP sau Apps de mesaje și convorbiri criptate precum Signal/Surespot, pe care numai cele mai puternice agenţii de Stat pot să le decripteze, nu și primul venit.

20-sfaturi-Trends-No-4

Un mesaj tipic de phishing «la grămadă»: autorii nici nu au folosit o adresă de email apropiată de cea originală. Sfat: chiar dacă ai un antispam bun, verifică întotdeauna adresa email de la care vin cereri de reintroducere/reiniţiere/adăugare date pe site-urile pe care le folosești (bancă, card de credit, email, reţele sociale, site-uri de cumpărătu ri etc.): 90% dintre ele sunt tentative de escrocherii. 

1280

autor: Redacția cu sprijinul lui Eduard Bisceanu,
expert, fost director adjunct CERT-RO

Evoluțiile tehnologice înregistrate în ultimii ani au adus în atenția publicului, dar și a specialiștilor, noi provocări privind asigurarea securității utilizatorilor de echipamente informatice.

Aceste preocupări au produs și continuă să producă din ce în ce mai multă informaţie referitoare la metode de protecţie online, conducând și la înregistrarea unor endinţe de creștere exponenţială a pieţei produselor de securitate cibernetică, precum și a pieţei de training specializat și readaptarea curiculelor școlare pe toate nivelurile. Totodată, schimbările de paradigmă privind impactul utilizării tehnologiei informaţiei în cadrul administraţiei publice, în business, precum și în viaţa de zi cu zi a majorităţii cetăţenilor, determină o nevoie tot mai pregnantă pentru societate de a asigura o pregătire de bază a fiecărui utilizator în raport cu riscurile generate de această realitate.

Deși există o serie de preocupări în domeniul creșterii culturii de securitate, derulate atât de instituţii publice cu competenţe în acest domeniu, precum și de entităţi private care au diverse obiective în acest domeniu sau complementare, indicatorii descriptivi ai fenomenului criminalităţii informatice, precum și statisticile publicate de organismele de tip CERT sau companiile de securitate arată o continuă creștere cantitativă și evoluţie în complexitate și materializare a riscurilor de securitate cibernetică îndreptate împotriva utilizatorului final – cetăţeanul și/sau a afacerilor mici și mijlocii. Acestea din urmă nu își permit, sau nu investesc, de regulă, în sisteme de securitate cibernetică corelate în raport cu riscurile asociate domeniilor în care-și desfășoară activitatea.

Materialele educative în domeniu, din ce în ce mai consistente din punct de vedere al utilităţii/aplicabilităţii, nu își ating întotdeauna scopul, de multe ori și datorită caracterului opţional al nevoii de cunoaștere a acestora, dar, de multe ori și datorită faptului că sunt realizate într-un limbaj mult prea tehnic pentru a fi înţelese de utilizatorii obișnuiţi, care nu au o educaţie tehnologică avansată sau la care această educaţie lipsește cu desăvârșire.

Mesajul pe care vrem să-l transmitem este că educaţia de securitate a devenit o responsabilitate socială individuală, iar prin conţinutul acestui articol încercăm să ne adresăm, într-un limbaj cât mai comun, oricărui cetăţean care deţine astăzi un mijloc de comunicare prin intermediul căruia se conectează la Internet, încercând să acoperim cu sfaturi simple riscurile de bază cu care se poate confrunta online, cu efecte directe offline.

Dezvoltarea industriei IT generează sisteme de calcul din ce în ce mai performante și de dimensiuni din ce în ce mai reduse, coroborat cu disponibilitatea pe scară largă a conexiunilor de date pe suport radio generează o mobilitate din ce în ce mai mare a echipamentelor de calcul (smartphone, laptop/notebook, tablete), precum și similitudini din ce în ce mai accentuate din punct de vedere funcţional – ce se putea face acum câţiva ani exclusiv pe un desktop PC acum este disponibil inclusiv pe un telefon mobil inteligent, noile sisteme de operare lansate pe piaţă dispunând de facilităţi evident asemănătoare, indiferent de producător.

1. Securitatea conexiunii la Internet

1.1 Aveţi încredere în conexiunea la Internet de acasă? Dacă da, de ce? Aţi citit vreodată contractul semnat cu furnizorul de servicii? Are clauze care vă protejează conexiunea? Cablul sau fibra optică care se conectează la consola operatorului în scara blocului sau în afara locuinţei sunt protejate cu un minim de măsuri de securitate fizică?

Spaţiul public este plin de temeri privind accesul serviciilor secrete la comunicaţiile individuale, dar puţini își pun problema încrederii în furnizorul de servicii. De ce? Pentru că, de regulă, pe angajaţii furnizorilor de servicii Internet nu-i verifică nimeni la angajare, iar accesul la conţinutul comunicaţiilor dumneavoastră este la un click distanţă de aceștia.

Marii furnizori de servicii de comunicaţii sunt conștienţi de această preocupare pentru confidenţialitate, în special cei care au experienţe acumulate din operarea pe spaţiile unor state cu tradiţie în protejarea drepturilor individuale.

Solicitaţi furnizorului de servicii Internet informaţii despre modul în care vă protejează comunicaţiile, de preferat înaintea semnării contractului de servicii !

1.2 Conexiunea la Internet prin WiFi de acasă – conectarea la Internet pe suport radio, de regulă cunoscut sub denumirea de WiFi, se poate realiza prin intermediul dispozitivelor (acces point) pe care vi le furnizează operatorul dumneavoastră de servicii sau pe care vi le achiziţionaţi singur. Configurarea acestor echipamente de comunicaţii a devenit destul de accesibilă utilizatorilor obișnuiţi, care nu posedă un nivel avansat de cunoștinţe, însă configurarea corectă din punct de vedere al securităţii prin utilizarea funcţiilor native cu care este prevăzut echipamentul se poate dovedi dificilă. Puteţi apela la un specialist de încredere pentru achiziţionarea și/sau configurarea unui astfel de echipament.

În afara preţului convenabil, dimensiunilor și capacităţilor de comunicaţii pe care vi de doriţi, trebuie să aveţi în vedere ca echipamentul să permită comunicaţia criptată prin utilizarea standardului WPA2 (selectabil ca atare din meniul de configurare al echipamentului), cel mai sigur standard de criptare comercial pentru conexiuni wireless în prezent. Desigur, există echipamente wireless cu funcţii de securitate complexe, însă utilizarea unui mecanism de criptare comercial de tip WPA 2 și al unei parole complexe (cifre, litere mari, litere mici, semne de punctuatie – combinate), poate fi suficientă pentru asigurarea securităţii conexiunii unui utilizator obișnuit.

De câţiva ani, echipamentele instalate la domiciliu sau la sediul firmei de furnizorii de servicii Internet sunt prevăzute cu criptare WPA 2, iar echipamentul vine cu această opţiune activă și cu parola deja activată. Schimbaţi parola imediat – parola iniţială este fie scrisă pe echipament, fie pe contractul de furnizare a serviciilor și poate fi deja compromisă.

Riscurile aferente utilizării fără parolă a unui punct de acces radio la domiciliu, ar putea fi:

  • accesarea neautorizată din proximitatea locuinţei a echipamentului și a comunicaţiilor derulate prin el
  • accesarea de către orice persoană a echipamentului, conectarea la Internet și derularea de activităţi ilegale online, astfel făptuitorul aparent ce va fi identificat la o investigaţie oficială locuiește la domiciliul dumneavoastră și vă puteţi aștepta oricând cel puţin la o vizită a organelor de aplicare a legii.

2. Securitatea financiară online

Utilizarea instrumentelor de plată electronice și a facilităţilor de plată din ce în ce mai accesibile în mediul virtual reprezintă fără dubiu vectori de îmbunătăţire a vieţii individului și un factor de progres. De la plata online a utilităţilor, a taxelor și impozitelor și până la utilizarea magazinelor virtuale pentru cumpărături de orice fel – toate contribuie la confortul individului sau la eficienţa unei afaceri, iar creșterea ponderii bankingului online și comerţului online trebuie încurajate. Este necesar însă ca toate persoanele care utilizează instrumente electronice de plată să aibă cunoștinţe de bază privind securitatea tranzacţiilor financiare online, pentru că disponibilitatea banilor online este și va fi în continuare privită și ca o oportunitate pentru o serie de infractori.

Având în vedere multitudinea tehnologiilor și mecanismelor utilizate pentru realizarea unui magazin online sau pentru un serviciu de internet banking/mobile banking, este destul de dificil să se elaboreze sfaturi detaliate universal valabile pentru asigurarea securităţii financiare online.

Există însă o serie de sfaturi de bază care pot micșora drastic șansa utilizatorul de a deveni victima unei fraude online, astfel:

  • informaţi-vă la banca emitentă a cardului dumneavoastră de credit/debit în raport cu elementele de siguranţă de care acesta dispune, precum și la condiţiile de siguranţă privind utilizarea acestui instrument
  • informaţi-vă cu atenţie asupra elementelor de siguranţă pe care banca dumneavoastră le pune la dispoziţie pentru utilizatorii serviciilor de mobile banking/internet banking
  • nu faceţi cumpărături online de la magazine virtuale necunoscute sau care nu oferă suficiente informaţii pentru identificarea vânzătorului (numele firmei, sediul social, prezentarea unor elemente de siguranţă a tranzacţiilor) sau care nu permit conectarea prin intermediul unei conexiuni de tip https (protocol care securizeaza conexiunea între terminalul dumneavoastră și serverul pe care este găzduit magazinul virtual – conexiunea de tip https poate fi verificată vizual în câmpul de adrese web din browserul dumneavoastră)
  • nu folosiţi pentru operaţiuni financiare terminale pe care aveţi instalat software piratat – software-ul piratat este un vector eficient de distribuţie a virușilor informatici destinaţi furtului de informaţii bancare
  • instalaţi-vă un antivirus cu licenţă și aveţi în vedere actualizarea permanentă a acestuia. Există aplicaţii antivirus care verifică și validează securitatea unei conexiuni online sau care dispun de baze de date privind reputaţia unei pagini web – acestea scad semnificativ șansele să vă conectaţi la un site web fals – inclusiv pe terminale de tip smartphone
  • evitaţi instalarea de aplicaţii ale căror funcţii nu le cunoașteţi în totalitate pe terminalul mobil utilizat la plăţi electronice – acestea pot avea funcţii ascunse destinate furtului de date financiare
  • nu folosiţi aplicaţii de mobile banking pe terminale mobile modificate neautorizat (ex: jailbreaking) și pe care aţi instalat aplicaţii din magazine virtuale neoficiale
  • nu deschideţi atașamente trimise prin mail de la persoane necunoscute și în niciun caz nu introduceţi în formulare primite prin email datele financiare – băncile nu solicită așa ceva
  • nu vă conectaţi la magazine virtuale sau la site-ul băncii dumneavoastră utilizând link-uri primite prin email sau mesaje electronice de orice fel
  • introduceţi manual adresele web ale site-urilor pe care vă conectaţi în vederea derulării de operaţiuni financiare
  • nu utilizaţi parole unice și nu le stocaţi în fișiere neprotejate pe telefonul sau computerul dumneavoastră
  • deși este un sfat greu de pus în practică – nu este indicat să efectuaţi plăţi online prin utilizarea acelorași terminale electronice pe care le utilizaţi pentru entertainment (gaming, vizionare de conţinut multimedia online etc.)

3. Securitatea social media

Deși majoritatea utilizatorilor de Internet utilizează platforme sociale – Facebook, Twitter, Linkedin, Instagram etc. – foarte puţini dintre utilizatori sunt conștienţi în raport cu riscurile cu care se pot confrunta pe aceste platforme.

Pentru cei care sunt interesaţi de securitatea personală, este necesară conștientizarea a cel puţin două categorii de riscuri:

  • riscul expunerii involuntare de date cu caracter personal sau de astfel de informaţii despre propria persoană, familie, patrimoniul personal – care pot fi folosite împotriva dumneavoastră în diferite scheme infracţionale de către infractori (nu numai de către cei cibernetici)
  • riscul utilizării platformelor de social media pentru distribuţia de aplicaţii de tip malware destinate extragerii neautorizate de date de pe terminalele dumneavoastră sau chiar distrugerii/afectării disponibilităţii acestora

Având în vedere aceste categorii mari de riscuri, ţineţi cont de următoarele sfaturi:

  • informaţi-vă cu atenţie care sunt setările cele mai potrivite pentru profilul creat în cadrul unei reţele sociale, asfel încât să cunoașteţi cu exactitate ce date pot fi vizualizate despre dumneavoastră online de către oricine și de către prietenii/conexiunile dumneavoastră virtuale
  • nu postaţi conţinut care vă poate afecta intimitatea sau informaţii detaliate despre patrimoniul dumneavoastră și activităţile/locaţiile la care sunteţi prezenţi fizic – pot fi utlizate de infractori ca instrumente eficiente pentru planificarea unor jafuri asupra locuinţei dumneavoastră
  • nu deschideţi linkuri primite prin intermediul reţelelor sociale sau conţinut venit de la persoane necunoscute – pot fi vectori de distribuţie a unor viruși periculoși
  • nu introduceţi datele de conectare la reţelele sociale pe care le utilizaţi pe formulare primite prin mail sau alte tipuri de mesagerie online – introduceţi adresele web și parolele manual
  • nu folosiţi aceeași parolă pentru mai multe platforme sociale, mail, plăţi online etc. – compromiterea unei astfel de resurse poate duce la compromiterea întregii dumneavoastră vieţi virtuale
  • nu vă conectaţi online cu necunoscuţi, dacă nu doriţi ca aceștia să acceseze secţiunea privată a profilului dumneavoastră
  • educaţi-vă și controlaţi copiii la utilizarea reţelelor sociale pentru a nu vă expune involuntar la fraude și pentru a evita expunerea psihologică a acestuia în faţa conţinutului periculos și inclusiv protejarea fizică a acestuia
  • evitarea întâlnirilor cu necunoscuţi în lumea reală.

4. Securitatea terminalelor mobile

În ultima perioadă sunt disponibile online o serie de date despre riscuri privind utilizare telefoanelor mobile inteligente, insă de multe ori acestea sunt prea tehnice și nu oferă o imagine simplă, necesară utilizatorului normal. Cu riscul de a plictisi utilizatorii experimentaţi o să încercăm să descriem problema în limbaj cât mai comun.

În primul rând terminalele mobile inteligente nu mai sunt doar telefoane mobile, ci sunt sisteme de calcul complexe, cu componente similare oricărui sistem informatic de tip desktop PC sau laptop/notebook, sens în care, din punct de vedere al securităţii, ar trebui tratate similar. Mai mult, componenta de mobilitate și conectivitate permanentă vine cu riscuri suplimentare la adresa securităţii individului sau a afacerilor. Spre exemplificare, dacă ne imaginăm lumea spionajului clasic cu 10-15 ani în urmă, pentru a putea urmări o persoană permanent, a putea asculta convorbirile ambientale la orice moment, a putea vedea imagini din locul în care se află la orice oră, a știi ce și cu cine comunică permanent – erau activităţi care presupuneau eforturi logistice semnificative și resurse tehnologice și umane importante. Astăzi, un terminal mobil oferă toate aceste facilităţi în timp real pe scară largă, evident nu numai serviciilor de informaţii despre care presupunem că ar trebui să aibă un scop legitim să ne urmărească, ci oricăror persoane care dispun de resurse și cunoștinţe minimale, precum și de un motiv să ne invadeze viaţa personală.

Trebuie să fiţi conștienţi că terminalul mobil inteligent pe care il deţineţi dispune de o cameră video performantă și un microfon de calitate, un dispozitiv GPS destul de precis – precum și de conectivitate permanentă la Internet – făcând din acesta mijlocul perfect de spionaj.

Ce trebuie să faceţi pentru a vă proteja cât mai bine viaţa intimă, finanţele, familia sau afacerea? Iată câteva sfaturi simple care vă pot ţine departe de o mare parte din necazurile pe care vi le-ar putea provoca utilizarea tehnologiei fără limite:

  • nu folosiţi telefoane mobile modificate pentru a putea instala aplicaţii din magazine virtuale neoficiale (ex prin procedeul numit jailbreak)
  • citiţi condiţiile legale de utilizare a aplicaţiilor pe care le instalaţi care rulează pe ecran înainte de a da acceptul pentru instalare – o mare parte a aplicaţiilor solicită acces la date de trafic, agenda telefonică, date de localizare, microfon, camera video, pozele stocate local etc. – apreciaţi singuri dacă aplicaţia pe care o instalaţi necesită acces la aceste date pentru a funcţiona pe terminalul dumneavoastră
  • nu instalaţi aplicaţii ale căror funcţii nu sunt descrise în totalitate și informaţi-vă online cu privire la acestea – despre majoritatea aplicaţiilor populare există o multitudine de date online
  • instalaţi un antivirus performant pe terminal – recomandăm aplicaţiile antivirus care verifică și aplicaţiile mobile și dispun inclusiv de „liste negre” cu aplicaţii nelegitime
  • protejaţi terminalul cu parole puternice (cât mai multe caractere de mai multe tipuri – cifre, litere, simboluri)
  • nu stocaţi parolele neprotejat în memoria terminalului
  • anumite tipuri de telefoane mobile dispun de facilităţi de criptare a datelor stocate – această facilitate asigură un grad ridicat de securitate în caz de pierdere sau accesare neautorizată a terminalului
  • nu lăsaţi telefonul nesupravegheat în locuri în care acesta poate fi accesat de persoane străine – în mai puţin de un minut pe telefonul dumneavoastră poate fi instalată o aplicaţie cu funcţii spion, ascunse total utilizatorului legitim
  • nu deschideţi linkuri primite pe sms sau prin alte metode de mesagerie (WhatsApp, WeChat, Telegram, Facebook Messenger, Hangouts etc.) sau fișiere primite prin aceleași mijloace de la persoane necunoscute și verificaţi-le și pe cele primite de la cei din agenda telefonică
  • nu accesaţi pagini web cu șanse mari de distribuţie de malware de pe terminalul mobil
  • nu menţineţi conectivitatea WiFi sau Bluetooth deschise dacă nu le utilizaţi
  • nu folosiţi aplicaţii de tip mobile banking pe telefoane utilizate de regula pentru entertainment (instalarea/dezinstalarea frecventă de jocuri online fără a verifica sursele de instalare)
  • verificaţi periodic prin intermediul facilităţilor de cost control dacă aveţi de plată sume mai mari decât pentru serviciile utilizate – se pot datora unei aplicaţii instalate ilegitim care accesează netransparent servicii cu suprataxă
  • nu duceţi telefonul la service-uri neautorizate
  • stabiliţi politici clare de utilizare a terminalelor mobile personale în reţeaua firmei – fără prezenţa unor măsuri de securitate suplimentare în cadrul instrastructurii informatice a firmei introducerea necontrolată de către angajaţi a terminalelor personale în reţeaua firmei poate genera riscuri majore la adresa securităţii acesteia
  • când situaţia vă permite și dacă nu aveţi nevoie de conectivitate permanentă – întrerupeţi conexiunea la Internet când aceasta nu este necesară – sau folosiţi setările care permit accesul permanent la Internet numai anumitor aplicaţii, în funcţie de nevoile dumneavoastră de comunicare
  • mergeţi cu terminalul la service în condiţiile în care acumulatorii încep să se consume mai repede decât de obicei – dacă acumulatorul este în stare bună, este posibil ca terminalul să fie infectat cu o aplicaţie malware periculoasă pentru intimitatea dumneavoastră. 

908

Constientizare-Trends-No-4Realizat de Swiss Webacademy, împreună cu Inspectoratul General a Poliţiei Române, Silensec si Bitdefender evenimentul din 23 septembrie a adunat 560 de copii și adolescenţi, însoţiţi de profesorii lor. Șeful Departamentului de preventie al Poliţiei Române s-a adresat copiilor, urmat de o prezentare «taylor made» susţinută de către specialiști Bitdefender și de diferite activităţi, dintre care merită menţionat quiz-ul «Stop.Think. Connect» dotat cu premii. De asemenea, o videoconferinţă a permis adolescenţilor să aibă un dialog în direct cu Dr. Szymon Vojcik, președinte Safer Internet Polonia și gazdele sale din World Child Online Protection Congress, care a avut loc la Varșovia în aceeași zi.

În cadrul aceluiași eveniment, mai multi adulţi au participat la seara de conștientizare dedicată publicului larg, unde specialiști ITU, SRI, IGPR și analiști internaţionali au vorbit despre soluţiile de bază necesare pentru a se proteja mai ales la folosirea smartphone-ului sau la utilizarea reţelelor de internet wireless publice.

În total, 980 de elevi și 110 adulţi au învăţat care sunt cele mai periculoase capcane ale mediului digital și, mai ales, cum să se apere în mod simplu și imediat…

884
Aflaţi cum hackerii pot face ravagii și învăţaţi ce puteţi face pentru a vă proteja

Afacerile locale sau agenţiile guvernamentale sunt o parte importantă a comunităţii. Oamenii se simt în siguranţă aici. Viaţa e bună. Dar, acestea au de asemenea o parte întunecată.

Atacurile cibernetice sofisticate sunt orientate de regulă către aceste organizaţii, fie că vorbim despre întreprinderile mici și mijlocii (IMM-uri) fie despre agenţiile guvernamentale. Aceste infracţiuni nu fac întotdeauna valuri în presă, cum fac cele privind atacurile care au lovit state naţionale sau entităţi mari precum Sony, dar sunt mult mai extinse. Vestea bună? Vă puteţi proteja afacerea dumneavoastră de aceste atacuri cibernetice. Vă vom arăta cum.

Ameninţările cibernetice sunt mult mai sofisticate astăzi decât oricând, ceea ce face ca infractorii să vizeze întreprinderile mici din comunitate. Infractorii cibernetici pot fi „hacktiviști” cu agende sociale care doresc să perturbe afacerea dumneavoastră de zi cu zi sau grupări infracţionale organizate care folosesc datele financiare sau personale ale clienţilor dumneavoastră în scopuri ilicite.

În 2014, firmele mici cu venituri anuale de mai puţin de 100 milioane $ au redus cu 20% cheltuielile de securitate, în timp ce companiile mari au crescut investiţiile în securitate cu 5%.

Cyber Crime în afacerile curente

IMM-urile investesc de obicei mai puţin timp și bani în securitatea reţelei decât companiile mari. Aceasta înseamnă că sunt ţinte ușoare pentru infractorii cibernetici. Dar chiar dacă întreprinderile mici nu sunt ţintite în mod specific, atacurile automatizate scanează în mod constant în căutarea de date vulnerabile și computere neprotejate care pot fi folosite ca o resursă.

Încălcări ale securităţii la companii mari au costat în 2013, în medie, între £ 450.000 ($ 697.000) și £ 850.000 (1,3 milioane $). Pentru o afacere mică, o încălcare ar putea costa între £ 35.000 și 65.000 £. Deturnarea companiilor mai mici mai degrabă decât a entităţilor individuale mari păstrează atacatorii în anonimat, departe de mass-media și de guvern, permiţându-le să facă profituri mari de la mai multe companii compromise. În unele cazuri, întreprinderile mici nu sunt nici măcar ţinta finală. Sunt de multe ori cea mai slabă verigă într-un atac, lanţ de încredere, în care atacatorii vizeză parteneri de afaceri mai mari.

Vânzarea cu amănuntul este una dintre primele cinci industrii în ceea ce privește volumul de atacuri și tentativele de intruziuni. Chiar și organizaţiile mici și mijlocii pot stoca date valoroase, care înseamnă bani pentru băieţii răi. Și infractorii cibernetici pot viza segmente de piaţă, verticale care le permit să profite de vulnerabilităţi comune și profituri ridicate de la mai multe victime.

Actualizați-vă măsurile de protecție

În ciuda ameninţărilor care evoluează rapid, multe IMM-uri și agenţii locale sunt încă axate pe strategiile de apărare moștenite, cum ar fi un firewall simplu. Primul pas este un upgrade la firewall de ultimă generaţie NGFW sau united threat (UTM), dispozitiv care combină toate metodele de apărare existente astăzi într-un unic device, ușor de administrat și rentabil.

PRIMUL PAS

Platforma WatchGuard oferă cele mai performante metode de apărare din industrie în fiecare categorie și lucrează la viteză redusă, astfel încât să nu utilizeze la maxim performanţa reţelei chiar și cu toate motoarele de securitate pornite. WatchGuard Firebox® M200 și M300 sunt firewall-uri cu până la 218% mai rapide decât concurenţa, cu performanţă de neegalat și până la 385% mai rapide pentru inspecţia traficului criptat.

PASUL DOI

Dispozitivele de securitate sofisticate de astăzi au controale pentru a detecta diferite părţi ale unui atac, dar atacatorii pot găsi încă modalităţi de a se sustrage mecanismelor de apărare. Apărarea în profunzime umple golurile. Teoria din spate este că trebuie să creaţi mai multe straturi (sau link-uri) de apărare pentru a preveni diferite tipuri de atacuri, cu atât mai multe pentru a maximiza protecţia dumneavoastră. Cu cât un sistem de securitate are mai multe nivele cu atât complică sarcina unui atacator și reduce șansele unei breșe.

PASUL TREI

Ameninţările trebuie să fie mai întâi identificate, pentru ca apoi să fie blocate. Organizaţiile mici sunt atacate și compromise în fiecare zi, dar o treime din acestea nu își pot da seama dacă au fost atacate sau nu. În mod normal unei organizaţii mici îi ia aproape 80 de zile ca să își dea seama dacă a fost penetrată. Până realizează această problemă pagubele deja au fost produse. Aceste breșe sunt nedetectate deoarece aceste organizaţii au prea multe date de analizat și nu pot face faţă. Deoarece nu există o apărare perfectă, o metoda bună pentru creșterea securităţii este implementarea de unelte pentru identificarea ameninţărilor și blocarea acestora.Organizaţiile au nevoie de o unealtă care furnizează date despre celelalte unelte de securitate și corelează toate aceste date într-un singur incident care ajuta la detectarea și blocarea ameninţărilor complexe.

Protejarea organizațiilor mici și mijlocii

Firmele și agenţiile guvernamentale de mărime mică sau mijlocie sunt vizate de atacatori care folosesc medote sofisticate și complexe. WatchGuard furnizează apărare de nivel enterprise proiectată pentru nevoile organizaţiilor mici și mijlocii. 

837
Dorin-Pena
Dorin Pena, director general Cisco Romania

autor: Radu Crahmaliuc

Cu ocazia lansării unor noi produse și soluții din cadrul strategiei „Security Everywhere”, am avut ocazia să discutăm cu Dorin Pena, director general Cisco Romania, despre poziționarea companiei în procesul de transformare digitală, precum și despre strategia Cisco de a oferi soluții de securitate pentru orice punct al rețelei.

Cybersecurity: Recent Cisco a anunțat noi soluții în cadrul strategiei „Security Eveywhere”. Ce detalii ne puteți furniza despre conceptul acestei strategii?

Dorin Pena: Suntem într-o perioadă dinamică pentru piaţa de produse de securitate; ameninţările informatice devin tot mai sofisticate, iar aria de dispozitive și platforme afectate se extinde, pe fondul utilizării unui număr tot mai mare de dispozitive mobile, conectate în Cloud, precum și IoT (Internet of Things). În același timp, companiile folosesc o gamă complexă de soluţii punctuale, care, din design, nu sunt interoperabile. Din acest motiv, echipele de securitate au vizibilitate redusă asupra potenţialelor ameninţări și compromisuri la nivelul reţelelor lor. Cisco abordează piaţa de soluţii pentru asigurarea securităţii de reţea ca orice altă arhitectură, prin integrarea soluţiilor de securitate la nivelul întregii infrastructuri de reţea – inclusiv routere, switch-uri și centre de date – evitând eventuale vulnerabilităţi în faţa unui atac și reducând De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale semnificativ timpul de detecţie și de remediere. Strategia noastră Security Everywhere se dezvoltă continuu și oferă cele mai inovative soluţii, inclusiv pentru Cloud, reţea și endpoints, precum și un serviciu de înţelegere a ameninţărilor.

Cybersecurity: Care sunt soluțiile disponibile în acest moment și roadmap-ul lansărilor viitoare?

Dorin Pena: Soluţiile de securitate de la Cisco includ produse și servicii concepute să asigure securitatea la nivelul întregii infrastructuri de reţea: înainte ca atacul cibernetic să aibă loc, în timp ce acesta se întâmplă, precum și ulterior.

Portofoliul de servicii de securitate de la Cisco include:

  • Servicii de consultanță privind securitatea – Evaluarea potenţialelor ameninţări la adresa clienţilor noștri, proiectarea și dezvoltarea strategiei de securitate pentru aceștia
  • Servicii integrate – Cu ajutorul cărora clienţii sunt sprijiniţi să integreze produsele lor de securitate, migrarea de la alte soluţii, inclusiv soluţiile existente, și optimizarea tehnologiilor de securitate existente pentru a maximiza eficienţa de securitate
  • Managed Services – Clienţilor le sunt oferite cele mai bune soluţii de suport, găzduire și gestionare a politicii de securitate.

Portofoliul nostru de tehnologii de securitate include firewall-uri, reţele virtuale private (VPN), Unified Threat Management, servicii de acces securizat și de identitate, soluţii de securitate Web și E-mail, sisteme de prevenire a atacurilor, protecţie anti-malware avansată, analiză a comportamentului în reţea, și multe altele. De asemenea, recent am adăugat câteva achiziţii, incluzând Sourcefire, openDNS, Lancope și multe altele.

Cybersecurity: Sistemele cu extindere regională pot utiliza soluții de analiză sau procesare la capetele rețelei, folosind sisteme FOG Computing, un concept pentru care Cisco a dezvoltat un pachet dedicat de soluții. Care sunt cele mai noi componente ale soluțiilor de tip FOG din portofoliul Cisco?

Dorin Pena: Cu interfeţe de programare a aplicaţiilor (API-uri) deschise, servicii de bază și o interfaţă cadru, pentru a proiecta, dezvolta și implementa propriile aplicaţii, Cisco oferă suport pentru aplicaţii IoT din Cloud până în FOG.

Componentele cheie în infrastructura Cisco FOG:

  • Conectivitate în reţea
  • Securitate cibernetică și fizică pentru a crește protecţia bunurilor fizice și digitale
  • Dezvoltare și hosting pentru aplicaţii de la marginea reţelei și până în cloud
  • Analiză de date
  • Management și automatizare

Cybersecurity: Tranziția către economia digitală a produs o serie de mutații la nivelul structurilor organizaționale și a modelelor de business. În ce stadiu se află Cisco în procesul intern de transformare digitală a companiei?

Dorin Pena: Transformarea digitală nu se rezumă la automatizarea fluxurilor de lucru existente sau la introducerea unor instrumente noi și tehnologii care să înlocuiască procesele tradiţionale. Companiile digitale lideri de piaţă conectează toate aspectele afacerilor lor – de la software, la servicii, și toate procesele incluse – într-un mod sincronizat și agil. Astfel, transformarea digitală presupune crearea unui ciclu continuu de soluţii inovative în portofoliul de produse și în modul de operare. Clienţii noștri ne întreabă tot timpul despre transformare în business și reinventare pe o scară complet diferită decât chiar în epoca Internetului. Discuţiile sunt despre provocări și oportunităţi în business, iar tehnologia este elementul cheie. Pentru companiile care văd potenţialul, dar și riscurile unei lumi tehnologizate, modul în care se întâlnesc strategiile lor de afaceri și tehnologia dintr-o industrie este acum punctul cheie. La Cisco, încearcăm să avansăm cât de repede pentru ca mai întâi noi să beneficiem de transformarea digitală în interiorul companiei. În anii 90, Cisco era pionier în e-business; acum, ne asumăm o provocare similară, alături de partenerii și clienţii noștri. 

1073
raoul
Raoul Chiesa, Fondator și președinte, Security Brokers SCpA rc@security-brokers.com
De ce sunt importante codările de securitate împreună cu soluţiile Cyber Intelligence și sursele corecte de informare

autor: Raoul „Nobody” Chiesa

În septembrie 2015 Security Brokers (SB) a definitivat o amplă analiză cu tema „Targeted Threats Team”, demarată în ianuarie 2013, bazată pe o cercetare de peste 24 de luni și corelarea datelor. Studiul a analizat cele mai importante incidente de Securitate și breșe de date identificate în ultimii 10 ani, cu începere din anul 2004. Lecţia învăţată a fost deosebit de impresionantă și a afectat întrucâtva tiparele de gândire și de operare de până acum. În prezentul articol ne propunem să trecem în revistă elementele cheie rezultate în urma acestui proiect de cercetare și noile elemente logice pe care nu le putem încă aplica intern în organizaţiile noastre în lunile următoare și în viitorul apropiat.

În prima parte a acestui articol vor fi prezentate cele mai importante tendinţe legate de ameninţările informatice, breșe, scurgeri de date și atacuri de pagini Web, precum și impactul acestora asupra organizaţiilor.

A doua parte a articolului oferă o vedere generală asupra importanţei conceptului «Secure Programming» și a greșelilor specifice care pot să apară în timpul rulării testelor de securitate sau activităţilor de tip Advanced Penetration Testing specific aplicaţiilor Web.

Introducere

Ideea unui articol dedicat a apărut în ultimele luni ale anului 2014, când au fost analizate datele studiului „World’s biggest data breach” (Ref. a) ce conţineau analiza a zece ani de evenimente de securitate, breșe, scurgeri, ameninţări, lansate împotriva tuturor sectoarelor de piaţă posibile, enume rate în Tabelul 1.

Tabel-1-Trends-No-4

Lista în sine ar trebui să fie suficientă pentru a realiza dimensiunile și mărimea problemei. Autorii raportului au organizat metodologia de scurgeri de date după următoarele criterii: Incidente publicate de hackeri, interne, laptopuri pierdute sau furate, dispozitive digital media pierdute sau furate și condiţii slabe de securitate.

În timp ce parcurgeam raportul toţi eram deosebit de uimiţi; ne aminteam de luna februarie 2014, când analizam excelenta lucrare „Strategies to mitigate cyber intrusions” publicată de Australian Signals Directorate (ASD), din cadrul Departamentului de Apărare din Australia: da, discutam despre acea deosebit de bine educată echipă folosită la investigarea și rezolvarea incidentelor de securitate din anii ‘90 (Ref. b).

Parcurgând ghidurile publicate de ASD, am rămas surprinși de faptul că nici un fel de recomandări sau reguli explicite nu au fost adoptate în privinţa unor domenii precum Secure Coding sau Secure Programming. Am găsit „Reguli de configurare a aplicaţiilor de utilizator” menite să adreseze intruziunile ce exploatează vulnerabilităţile Java sau macro codurile maliţioase din fișierele Microsoft Office, precum și Application whitelisting (#1 pe lista ASD), dar încă nu un item specific legat de exemplu de S-SLDC (Secure Software Life Development Cycle), OWASP Top-Ten, sau atenţionări generale despre nivelele de securitate ale programelor. Și după cum poate fi ușor de verificat, niciun fel de menţiuni legate de mediile Cybercrime Intelligence. Tocmai de aceea în cadrul echipei SB s-a decis rularea unei analize diferite care să evidenţieze aceste macro-erori, atât procedural cât și tehnologic, pe baza acestui volum impresionant de date, ajutând astfel audienţa și cititorii să înţeleagă cât de mult pot contribui cele două concepte Cyber Intelligence și Secure Coding la mai buna prevenire a unor scenarii atât de
neplăcute.

Prima concluzie evidentă ce a reieșit este oarecum înfricoșătoare: nici una dintre organizaţiile victimă nu știe „Cine sau Ce” i-a afectat, în ciuda unor bugete importante alocate pentru o „mai bună” Securitate IT, produse, software și consultanţi de vârf. Ceea ce este semnificativ și ne poate conduce către o paradigmă, ce va crește în importanţă în anii următori. La fel cum astăzi suntem conștienţi de faptul că informaţiile despre breșele din companiile noastre, precum și acele semnale și indicatori despre următoarele posibile atacuri trebuie găsite în afara mediilor noastre. Trebuie deci să vorbim despre Cyber Intelligence, unde Intelligence („information & data”) se aplică contextului și spaţiului unde acţionăm în fiecare zi.

Cyber Intelligence (Bazate Pe Open Sources)

Cyber Intelligence reprezintă un serviciu ce poate fi aplicat oricăror tipuri de afaceri, de la companiile private (Finanţe Energie, Apă, Modă, Jocuri. etc…) la organizaţiile guvernamentale și militare. Acest serviciu este obligatoriu, fiind în permanenţă actualizat cu ceea ce se întâmplă, pentru a înţelege mai bine ce s-ar putea și cu siguranţă se va întâmpla.

Aceste servicii sunt bazate pe două diferite modalităţi de abordare: bazate pe Open-Source și pe Closed-Source Intelligence. În primul caz, companii specializate culeg din mediile Web (IPv4, IPv6, siteuri Web, Portaluri de știri, etc.) toate informaţiile disponibile și le organizează pe sectoare, topologii și cuvinte cheie. Un exemplu este prezentat mai sus (în „Figura 1”), printr-o captură de ecran de pe portalul Web „BRICA” (Ref. c).

BRICA-Cover-Story-No-4

Așa cum se poate vedea, informaţiile și datele sunt corelate cu profilul clienţilor, fiind bazate în special pe sectoarele de business și infrastructura IT a acestora.

Risk-Intelligence-No-4În această abordare specifică, BRICA nu doar administrează și organizează acele alerte tehnice de securitate, ci și colectează, analizează și clasifică conţinutul alertelor incipiente („Early Warning type”) selectate cu atenţie și asociate diferitelor tipuri de riscuri și ameninţări cibernetice, din diferite Risk-Intelligence2-No-4zone de business. Informaţii corecte despre noile ameninţări globale, ameninţări malware și campanii Cybercrime, fraude și farse, ameninţări de mediu, activităţi infracţionale, precum și acţiuni de terorism sau ameninţări legate de sănătatea umană.

În fine, BRICA include ca trăsătură nativă un sistem pentru Online Risk Alerting & Management Portal, integrat cu interfeţele Web disponibile pentru abonaţii săi, de unde este administrat și modulul de Risk Intelligence; așa cum per total următoarele categorii sunt acoperite de diferite echipe de analiză:

Considerând natura acestui articol, e lesne de menţionat importanţa ce trebuie acordată categoriei „Aplicaţii” din zona ICT Technology Risks.

Pornind de la resursa dată ca exemplu (s-a ales BRICA pentru că asta se folosește) credem că fiecare organizaţie trebuie să aibă disponibilă o singură resursă de date, integrată cu elemente de analiză a riscului și securitatea informaţiei, ce poate contribui la prevenirea atacurilor IT.

Cyber Intelligence (Bazat Pe Closed Sources)

După această primă trecere în revistă a instrumentelor Cyber Intelligence bazate pe OpenSources, haideţi să le discutăm pe cele bazate pe Closed Sources. Trebuie să fie evident cât de importantă este corelaţia dintre conceptul de Cyber Intelligence și problemele legate de programarea nesigură și codurile afectate: multe organizaţii afectate au realizat că breșele de securitate au apărut când era prea târziu. De aceea este important ca informaţiile trebuie obţinute pe cât posibil înainte de producerea unui incident: este exact obiectivul pe care se bazează metodele Closed Sources din conceptul Cyber Intelligence.

Este vorba despre o abordare total diferită faţă de primele metode analizate, bazată în mod curent pe un abonament anual, ce poate fi rezumat ca:

  • AML (Anti Money-Laundering) Intelligence & Consulting:
    3C (Compromised Credit Cards), conturi bancare, etc.
  • BOTNETs Intelligence
  • E-CRIME Intelligence
  • MALWARE Intelligence (sau sisteme „POS”)
  • THREAT Intelligence
  • TARGETED THREAT Intelligence

În timpul diferitelor noastre activităţi am întâlnit informaţii ce proveneau din sectorul militar, în special despre date secrete furate din diferite calculatoare compromise („zombies”), cu parole de identificare și logare provenite din diferite secţii ale Ministerului Apărării.

În limbaj tehnic aceste informaţii sunt numite „feeds” și provin din atacuri ţintă plănuite special pentru organizaţiile vizate; furnizorul care se aseamănă cu o agenţie privată ce operează în spaţiul cibernetic, obţine aceste feeds din diferite medii precum „Cyber” (Cyber Intelligence), Human (HumInt – Human Intelligence, precum operaţiunile sub acoperire) și Signal ( SigInt, Signal Intelligence, de exemplu interceptarea traficului C&C din gâtuiri). Suma tuturor acestor informaţii este alocată centrelor Intelligence Data, analizate de către Intelligence Analysts, ce alocă un anumit număr de ore pe lună pentru fiecare organizaţie client.

Este clar că discutăm despre servicii speciale de securitate, cu o importantă valoare adăugată, pentru care costurile de subscripţie sunt ceva mai ridicate decât informaţiile provenite din Open sources.

Important este că în timp, am putut observa cum unele investiţii aprobate de diferite organizaţii pot returna valoarea, prin campanii targetate împotriva pericolelor interne, precum campaniile de hacking, atacurile de phishing, breșele de date, pagube legate de reputaţie și imagine, pierderea continuităţii în business.

Secure Coding (Sau Secure Programming)

După ce în precedentele capitole am putut vedea o imagine de ansamblu, putem realiza că este o mare greșeală să ne concentrăm doar pe siguranţa codării, fără a explica în ce măsură datele furate pot fi recuperate în exteriorul organizaţiei.

În ciuda tuturor atacurilor ce apar non-stop, 24 de ore pe zi, pe durata celor 20 de ani de experienţa ai companiei SB am observat că foarte puţine organizaţii apelează la soluţii de tipul Secure SLDC (Software Life Development Cycle).

Un alt semnal clar că „ceva este putred aici” este legat de numărul de organizaţii care aplică programe de instruire Secure Coding. Ca exemplu, SB oferă peste 80 de programe de instruire pentru securitatea informaţiei, dintre care circa 20 de cursuri din gama Secure Coding se află permanent în catalogul de training. Din păcate, doar 2% dintre clienţii SB investesc în programe de instruire specializate, un procent extrem de redus ce se explică parţial prin lipsa de investiţii în resurse umane și prin externalizarea scrierii de coduri către terţe companii, ce nu acorda atenţia cuvenită pericolelor de securitate.

De aceea am decis ca ultima secţiune a articolului să se bazeze pe informaţii provenite din propria noastră experienţă, bazată pe un număr de peste 1000 de teste de penetrare, prin diferite aplicaţii Web, comerciale sau Open source.

Chiar dacă suntem în anul 2015, încă întâlnim o sumedenie de probleme legate de penetrarea SQL, ceea ce arată că programatorii nu au învăţat încă lecţia. E dramatic faptul că echipele de securitate mai identifică încă acest gen de greșeli de programare – indiferent de limbajul folosit, de la PHP la .ASP – ce permite oricărui atacator extern să exploateze bug-urile aplicaţiei și să câștige accesul direct (citire, scriere, ștergere) la peste 10.000 de tabele din baza de date de back-end.

Aceasta conduce la vulnerabilitatea următoare, legată în principal de administrarea sistemului, de tipul „Excessive database user grants” ce permite atacatorilor să obţină sute de mii de parole de utilizator; această vulnerabilitate e asociată adesea cu „Weak password hashing algorithm”, ce permite atacatorilor să spargă mult mai rapid parolele utilizatorilor.

Destul de des am întâlnit vulnerabilităţi ce pot fi identificate numai prin metode „Privileged Testing”: chiar după testarea tipică de penetrare „black-box” în care echipa nu dispune de nicio informaţie de tipul UserIDs/Passwords, am cerut clienţilor să ne dea alte 3 seturi de identificare pentru fiecare profil pe care îl rulează în aplicaţie, precum „User”, „Special User” și „Administrator”. Vulnerabilitatea este numită „Cross-User Interaction” și am identificat-o aproape de fiecare dată în care am rulat un test de penetrare, probabil pentru că companiile de testare a standardelor de securitate nu furnizează clienţilor aceste tipuri de teste.

Acum putem vorbi despre atacurile de tip DoS, ce apar ca buguri în aplicaţii, ca de exemplu Slow Loris DoS (Ref d.) vulnerabilitate care spre deosebire de o sesiune HTTP nu expiră: cele mai expuse categorii de clienţi sunt cei din gama SME (Small and Medium size Enterprise), care în marea lor majoritate rulează servicii Internet pe linii ADSL standard.

Deoarece din experienţa de teren și diferitele scenarii întâlnite la client am acumulat peste 1000 de proiecte de testare a securităţii, vom rezuma principalele vulnerabilităţi în formă tabelară. Pentru fiecare vulnerabilitate redată în Tabelul 3 se detaliază impactul și se face o scurtă descriere.

Concluzii

Această lucrare s-a focalizat pe diferitele greșeli făcute de organizaţiile din întreaga lume, indiferent de mărime și maturitate în domeniul Securităţii Informatice.

Deși diferitele modalităţi de abordare și folosirea de diferite soluţii depind în mod categoric de resursele disponibile (buget, personal IT, experienţa și pregătirea administratorilor de sistem și programatorilor), credem că orice trebuie să înceapă cu măsurile care sunt foarte ușor de dezvoltat în interiorul oricărei organizaţii: popularizarea internă și instruirea tuturor angajaţilor.

Este un proces care ajută nu numai specialiștii IT, din Securitatea Informatică sau management, dar și colegii din alte departamente la buna îndeplinire a obiectivului comun: securitatea informaţiei din propria organizaţie. Un obiectiv ce trebuie să reprezinte o prioritate absolută pentru organizaţiile orientate către sectoarele critice de securitate a datelor.

Referințe

  • „World’s biggest data breach”: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  • Australian Signals Directorate „Strategies to Mitigate Targeted Cyber Intrusions”: http://www.asd.gov.au/infosec/top-mitigations/mitigations-2014-table.htm
  • Cyber open source Intelligence portal: https://brica.de/
  • Slow loris DoS: http://it.wikipedia.org/wiki/Slowloris

1130
Stefan-Harsar-Faar
Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)
Principiul separării zonelor de comunicare în vederea asigurării securităţii informaţionale

autor: Ștefan Hărșan Fárr

În lumea noastră din ce în ce mai conectată informaţia are valoare foarte mare, însă secretul informaţional este un subiect neglijat sau chiar descurajat deoarece jucătorii cheie în domeniul comunicaţiei electronice au interes direct în a avea acces la cât mai multă informaţie. Acest fenomen creează un amestec foarte periculos în care technologicul, economicul, politicul, legalul și nu în ultimul rând factorul uman interferează în așa fel încât este din ce în ce mai greu să păstrăm secret informaţia noastră personală sau al companiei de care aparţinem. Statele vor să știe totul despre noi, ei spun că este pentru protecţia noarstră dar de fapt este vorba despre influenţă și control; furnizorii de servicii ne spun că vor să știe mai mult pentru a îmbunătăţi calitatea serviciilor, dar de fapt vor metode mai eficiente de a-și plasa produsele. Nu a trebuit mult până când au intrat în joc și criminalii cu un scop mai puţin ambiţios: să fure informaţie și să o vândă la cine dă mai mult. Și în mijlocul acestei frenezii, ne aflăm noi și informaţia noastră.

De bine de rău, oamenii înţeleg valoarea informaţiei, înţeleg beneficiul de a avea mai multă informaţie decât concurenţa, înţeleg importanţa de a păstra secret acest avantaj, de a avea informţie în comun cu alţii, informaţie ce trebuie protejată pentru binele grupului sau necesitatea de a proteja informaţia altora plasată in custodie. Problema este că tot acest peisaj informaţional este așa de complex, de întortochiat, plin de interese, de neadevăruri și neînţelegeri că mulţi vor eșua în aceste îndatoriri fără să-și dea seama. Acest lucru este foarte grav, pentru că toate aceste informaţii sunt conectate, iar un intrus va fi capabil să extragă informaţie din aproape în aproape, până când ajunge la ceea ce este valoros. Și de multe ori ceea ce este valoros pentru un intrus, este dezastruos pentru victimă.

Cea mai vulnerabilă verigă în acest lanţ informaţional este procesul de comunicare, dar ca să înţelegem de ce, este nevoi de un pic de context. Când principiile reţelelor au fost elaborate la început, nimeni nu s-a gândit că va prinde așa magnitudine. Reţeaua a fost menită să existe pe linii private, departe de răufăcători. Nici când reţeaua a luat amploare odată cu nașterea internetului, creatorii acestuia nu au avut securitatea pe primele planuri, până la urmă internetul a fost creat să ne unească, nu să ne despartă. În consecinţă nu avem nici un protocol de nivel jos care să asigure securitatea informaţiei în timpul comunicării. Să ne închipuim internetul ca o mulţime de oameni, unde dacă cineva dorește să transmită un mesaj la altcineva va pune mesajul într-un plic nesigilat, și-l va da din mână în mână până la destinaţie. Evident că în această schemă, nu există nici o certitudine cu privire la originea mesajului, dacă acesta a ajuns într-adevăr la destinaţie, dacă a fost adăugat sau șters ceva din mesaj în tranzit, sau câţi în afară de destinatar au mai citit mesajul.

Emailul simplu, care este construit direct peste aceste protocoale, fără nici un adaos de securitate, în consecinţă suferă de toate deficienţele enumerate: autorul poate fi falsificat, livrarea poate fi deturnată, conţinutul poate fi interceptat și / sau alterat în tranzit. Și pentru că oamenii în general nu sunt conștienţi de aceste vulnerabilităţi, sau le ignoră „doar de data aceasta”, emailul devine un instrument de temut în mâna unui criminal cibernetic. Factorul uman joacă un rol important aici: structura noastră socială este construită pe încredere, de aceea, încrederea este starea de-facto al tuturor, într-atât încât considerăm starea opusă, cea de neîncredere constantă, ca fiind o stare anormală, o boală mintală. Dar dacă ţinem cont de faptul că între 70% și 90% (în funcţie de sezon) din totalitatea de emailuri care circulă pe net sunt de fapt nesolicitate sau maliţioase, paranoia ar trebui sa fie starea de fapt. Să ne închipuim comparativ grupul menţionat anterior ca o mulţime distopică în care știm că șapte din zece indivizi sunt acolo pentru că vor ceva de la ceilalţi: unii care vând parfumuri contrafăcute, alţii o pereche de ghete furate din fabrică, altu-i hoţ de buzunare, etc. Problema e că oricât de logic pare că trebuie să ne ferim, nici un om normal nu poate trăi cu o așa teamă constantă așa că vrând nevrând ne lăsăm garda jos și atunci inevitabilul se întâmplă. Devenim victimele unui atac prin email: troian, extracţie de informaţie denumit phishing, etc.

Problema cu serviciile de comunicare asincrone nu se termină aici. Foarte mulţi folosim emailuri publice, sau alte servicii de comunicare cum sunt reţelele sociale, și așa mai departe. Conexiunea dintre browser și server se întâmplă de obicei printr-un canal securizat; vedem https:// în bara de adresă, un protocol de criptare construit peste protocoalele de bază menită să securizeze comunicarea. Deși asta înseamnă că transferul de informaţie între client și server e sigur, serverul, serviciul, rămâne un punct de vulnerabilitate. Majoritatea serviciilor de comunicare de genul acesta online (chat, email, reţele sociale) au în business-modelul lor extragerea de informaţii din comunicarea oamenilor și chiar dacă nu ascund acest fapt, există o tăcere generalizată în legătură cu acest subiect. Însă poarta pe care aceștia o introduc în mijlocul transferului de informaţie poate deveni un vector important în pierderea de informaţii. Trebuie să înţelegem că de câte ori comunicăm prin aceste metode, ne ţinem informaţia noastră într-un punct de tranzit care stă 24/7 liber la atac și tot ceea ce ţine răufăcătorii departe este o parolă. Gravitatea problemei este exacerbată de faptul că factorul uman joacă și aici un rol important. Deși noi avem impresia că informaţia noastră stă în siguranţă în spatele unor sisteme conduse de profesioniști ai domeniului sunt și ei din păcate susceptibili la aceleași inginerii sociale ca toţi ceilalţi, doar că atunci când ei pierd informaţii, pierd și informaţiile tuturor clienţilor stocate în bazele lor de date.

În 2011, stafful intern al RSA, compania care a inventat mecanismul de criptare asincron cu acelasi nume și cel mai puternic pe piaţă la ora actuală, a fost manipulat prin mecanisme de “social engineering” în urma căreia intrușii au pus mâna pe cheile „master” ale produsului lor principal RSA SecureID (tokenuri hard de securitate). În urma acestuia, intrușii au intrat în serverele celui mai mare contractor de servicii de apărare al Statelor Unite, Lockheed. Este foarte interesant de văzut cum se conectează lucrurile. Spargerea de la Lockheed nu s-a datorat nici structurii slabe de siguranţă a Lockheed, nici personalului Lockheed, nici structurii de siguranţă a dispozitivului și nici al sistemului în sine. Ea s-a datorat neglijenţei personalului care a căzut în capcana unei campanii de phishing. Aceasta nu este singurul exemplu de acest fel. Sunt nenumărate situaţii în care compania a pierdut date importante și a încasat pierderi enorme din cauza acestui fenomen de phishing: în 2013, criminali chinezi și-au asigurat acces la serverele a peste o sută de corporaţii americane și au furat tot ce le-a stat la îndemână, proprietate intelectuală, arhivele comunicării cu clienţii lor. Tot în 2013, o mare companie americană, Target, a fost atacată prin această metodă și intrușii au furat datele personale ale 110 milioane de oameni, incluzând datele despre cărţile lor de credit. 2014 Home Depot, tot în Statele Unite, 100 milioane de înregistrări cu date personale pierdute. 2015, Pentagonul și tot în 2015 firma britanică de telecomunicaţii TalkTalk a avut o pierdere de 35 milioane de Lire Sterline datorită aceluiași fenomen.

Toate aceste exemple au în comun un singur lucru, factorul uman și mediile de comunicare asincron: email, reţele sociale, chat, sms, etc. Sunt exemple din sectoare cu securitate ultra-avansată, cu oameni pregătiţi să nu cadă pradă acestor inginerii, și totuși, se întâmplă. Se întâmplă pentru că oamenii nu pot fi vigilenţi tot timpul. Paranoia nu este o stare normală. Asta nu înseamnă că trebuie să păţim ca în povestea cu drobul de sare, trebuie doar să recunoaștem lipsurile cu care am fost „dotaţi” și să găsim soluţi să ne apărăm de ele. Este crucial de important să înţelegem că lipsa secretului informaţional în timpul comunicării poate avea efecte dezastruoase nu numai asupra persoanei noastre sau al companiei de care aparţinem dar și al altor persoane de ale căror date răspundem. Și acest lucru nu numai prin pierderea de informaţie directă în momentul comunicării, ci și prin efecte colaterale, legate de aceste pierderi. Deoarece un intrus va merge din aproape în aproape, de la datele personale cele mai nesemnificative, până când ajunge le cele care ne doboară toată securitatea. Acesta este mecanismul de „social engineering”. Deasemenea este important să înţelegem că trebuie să ne ferim datele nu numai de greșelile la care suntem noi predispuși dar și de greșelile la care furnizorii de servicii pe care le folosim sunt predispuși.

Un foarte important aspect care trebuie observat în toate aceste atacuri este că ele sunt amestecate cu comunicarea de zi cu zi, ceea ce ne face să lăsăm garda jos mai mult decât e cazul și din cauza asta mai devreme sau mai târziu vom da clickul fatal. Dar dacă nu putem noi filtra comunicarea care ajunge amestecat pe o singură cale, cel dorit, cu cel nedorit sau chiar maliţios, am putea separa cele două medii de comunicare. Putem crea un mediu de comunicare securizat, intern în cercul strâns în care avem încredere și unde putem să ne lăsăm garda jos pentru că avem o oarecare certitudine că nu vom fi manevraţi. Tot restul comunicării, care se petrece pe canale deschise, nesecurizate, putem să le privim ca și spaţii compromise implicit, și putem avea o vigilenţă sporită. Este un procedeu foarte simplu, dar care poate deveni deosebit de eficient în prevenirea acestor tipuri de atacuri ale căror vectori este comunicarea de acest gen. Având două spaţii, unul sigur și unul nesigur, nu trebuie să ne apese tot timpul sentimentul de nesiguranţă, ci doar atunci când ne aflăm în mediul nesigur. Ca să revenim la exemplul cu mulţimea, prin separarea acestor două medii am transformat mulţimea distopică dintr-un mediu de lucru permanent, într-unul trecător. Putem vedea cum o stare de vigilenţă tranzitorie devine absolut normală în cazul acesta, și nu numai că majoritatea comunicării o petrec în mediu sigur, în care nu voi fi atacat, dar pentru că-mi permit o vigilenţă sporită în acel scurt timp cât îl petrec în mediul nesigur, voi fi și aici mai puţin predispus să devin victimă.

Acum că am decis să separăm comunicarea în două medii, sigură și vulnerabilă, și am hotărât că cea standard, cea pe care o folosim în marea majoritate a oamenilor este cea vulnerabilă, atunci trebuie să vedem ce o fi însemnând și o comunicare sigură. Principiul este cât se poate de simplu, comunicarea sigură este cea care nu este susceptibilă la vulnerabilităţile enumerate anterior adică:

  • Garantează autorul mesajului;
  • Garantează că mesajul poate fi citit doar de destinatar, chiar dacă mesajul este interceptat;
  • Asigură că mesajul nu poate fi alterat în tranzit.

Tehnologia care ne asigură aceste aspecte în timpul comunicării există, se numește criptare și este implementată în nenumărate platforme. Însă este foarte important să nu cădem în capcana marketingului și să fim conștienţi ce fel de criptare se folosește, care etape ale transferului le garantează, când și cum îl folosim.

De exemplu, am enumerat anterior la slăbiciunile reţelelor publice faptul că mesajul este vulnerabil în tranzit deși transferul de informaţie se petrece tot timplul criptat prin SSL sau TLS, în funcţie de client. Este un caz clasic de neînţelegere al
sistemului de criptare de care marketingul se folosește pentru a deruta consumatorul. Când folosim un email public de exemplu ne logăm în contul de email prin HTTPS, astfel comunicarea noastră cu serverul garantează toate etapele enumerate mai sus. Destinatarul se conectează la rândul său prin canal securizat, deci și comunicarea sa cu serverul beneficiază de aceleași garanţii. Însă deși două etape ale comunicării sunt garantate, mesajul în punctul de tranzit este nesecurizat, vulnerabil, oricine care are acces în aceste puncte intermediare, fie furnizorul de serviciu, fie un intrus care și-a asigurat acces la serverele unuia dintre furnizorii de servicii prin care comunicarea tranzitează poate vedea conţinutul, sau poate altera conţinutul mesajului fără ca destinatarul sau autorul să fie în cunoștinţă de cauză. Deci în ciuda faptului că procesul de comunicare are etape securizate în final realizăm că aceasta este de fapt nesigură.

Când vorbim de criptare în comunicare trebuie să ne asigurăm că aceasta este completă: de la autor la destinatar, de la capăt la capăt, în engleză end-to-end. Nu există etape în care mesajul devine decriptat și acest lucru se poate garanta numai în cazul în care cifrul de criptare este cunoscut numai și numai de către autor și destinatar, ceea ce înseamnă că nici măcar furnizorul de servicii nu are acces la această cheie.

Trebuie să fim atenţi deoarece puţine servicii oferă cu adevărat criptare end-to-end, unele pentru că legislaţia în domeniu este oarecum neclară (în cazul unei criptări adevărate, nici serviciile secrete nu au acces la datele din corespondenţă), altele pentru că modelul lor de business este în defavoarea criptării sau altele pur și simplu pentru că mecanismul de criptare este slab sau deficitar. Înainte de folosirea sau implementarea oricărei soluţii sau grupuri de soluţii și pentru ca sunt șanse sa nu existe o singură soluţie care să satisfacă toate nevoile trebuie să se facă p analiza completă a nevoilor, a soluţiilor, respectiv a vulnerabilităţilor ascune ale acestor soluţii.

Spre exemplu soluţii precum SnapChat sau WhatsApp, deși se pretind a fi canale sigure de comunicare, au fost demonstrate ca fiind nesigure în repetate rânduri, deci trebuie evitată folosirea lor pe post de metode sigure. Reţele sociale publice de orice fel trebuie considerate implicit nesigure unele din ele sunt chiar publice. Serviciile de email public sunt toate complet nesigure, la fel sunt și cele private dacă nu se folosește criptare (vom vedea în cele ce urmează). Serviciile de mesagerie scurtă SMS, serviciile de transfer de fișiere publice sunt deasemenea nesigure. Toate acestea nu înseamnă că nu putem să le folosim doar că le folosim în cunoștinţă de cauză. Stim că sunt nesigure și nu transferăm documente senzitive prin aceste canale: date cu caracter personal, parole la servere, orice altă informaţie ce poate duce accesul unui răufăcător la serverele noastre, document secrete de corporaţie, date ale clienţilor, mai ales în cazul medicilor și al avocaţilor, sau orice alt secret care poate direct sau indirect periclita securitatea, persoanei noastre, a firmei / organizaţiei (fie el și stat) de care persoana noastră aparţine, fie a oricărei alter persoane terţe.

Cu alte cuvinte nu transferăm pe căi nesigure nimic ce nu vedem ca informaţie de interes public.

Dar să vedem acum câteva soluţii de transfer de informaţie care asigură un grad ridicat de siguranţă și la ce le putem folosi și în ce condiţii:

Soluții VPN

Soluţiile Virtual Private Network pe scurt VPN sunt o metodă sigură pentru crearea de canale de comunicare criptate pentru aplicaţii de orice fel. Ele funcţionează ca o reţea normală internă doar că sunt capabile să transfere pachete prin reţeaua publică, în mod securizat, folosind criptare.

Aceste reţele pot fi folosite la orice pentru care se poate folosi o reţea internă: se pot instala soluţii de acces la aplicaţii locale (care nu sunt accesibile dinspre reţeaua publică), schimb de fișiere, acces la servere, etc. Ele sunt de mai multe tipuri: hardware, software sau „as a service” și sunt numeroși furnizori pentru fiecare categorie. În general sistemele hardware sunt cele mai sigure, dar și cele mai puţin flexibile (este nevoie de câte un dispozitiv, de cele mai multe ori ne-portabil, la fiecare capăt al reţelei, punctul de trecere de la reţeaua privată la reţeaua publică).

Acestea sunt o soluţie excelentă pentru schimb de informaţii private, și sunt foarte versatile, în sensul că acestea pot transforma un sistem de comunicare nesigur, într-unul sigur, atâta timp cât comunicarea nu depășește limitele reţelei VPN. Pe de altă parte, cea mai mare deficienţă a acestor reţele este lipsa de flexibilitate. Nimic din ceea ce rulează pe reţea nu poate părăsi reţeaua în siguranţă și oricine are acces la reţea are acces la tot din reţea. Este de nedorit ca terţe persoane să fie introduse în reţea deoarece excluderea lor este foarte laborioasă. Astfel comunicarea cu clienţi sau alte persoane din afara reţelei este aproape imposibilă.

Soluții De Transfer Fișiere

În general, este bine să considerăm soluţiile de transfer de fișiere ca fiind nesigure, indiferent dacă ele se fac prin SSL pentru motivele enumerate anterior. Acest lucru nu înseamnă că nu pot fi folosite. Cu un adaos de siguranţă prin metode de criptare off-line, se poate realiza un transfer de fișiere remarcabil de sigur.

7-Zip, (http://www.7-zip.org/) este o soluţie de comprimare care permite parolare. Deși este o metodă slabă de criptare cu siguranţă va descuraja un atac orb (atacul care nu vizează concret informaţia din acel transfer). În cazul unor informaţii cu grad mare de confidenţialitate se recomandă totuși o criptare mai avansată.

GnuPG(https://www.gnupg.org/),VeraCrypt(https://veracrypt.codeplex.com/) sunt doar două din multitudinea de soluţii care sunt libere și chiar gratuite, și care permit, printre altele, criptarea de grad ridicat pentru fișiere individuale. Soluţiile de mai sus funcţionează pe multiple sisteme de operare, iar metoda este relativ simplă. Se generează o cheie de criptare cu care se criptează fișierul înainte de transmitere.

După transmiterea fișierului criptat pe orice cale nesigură, se va transfera parola, respectiv cheia de criptare, printr-un mediu sigur, și deci doar destinatarul va putea deschide fișierul fiind garantată astfel confidenţialitatea informaţiei.

Această metodă funcţionează cu orice mediu de transfer, email, chat, servicii de transfer de fișiere mari. Inconvenienţa majoră fiind etapele care trebuie parcurse care sunt multe și deci costisitoare în ceea ce privește timpul.

Soluții de Chat

Sunt puţine soluţiile de chat care sunt cu adevărat sigure, însă există și pot fi folosite cu încredere la transferul unor parole sau discuţii scurte care se doresc a fi departe de ochii lumii. Whispernet (https://whispersystems.org/), Wickr (https://www.wickr.com/) și Telegram (https://telegram.org/) sunt trei care la ora actuală pot fi recomandate pentru servicii de mesaje scurte gen chat. Telegram este un serviciu care are versatilitate mai mare, însă doar secţiunea de Secure Chat are criptare capăt-la-capăt, celelalte servicii care permit transferul de fișiere, etc. sunt criptate client – server.

Beneficiul acestor soluţii este că funcţionează pe multiple platforme, inclusiv mobile, dar marele dezavantaj este că transferul de informaţie este limitat.

Soluții de email criptate

Emailul este un caz special, este probabil cel mai răspândit mod de comunicare dar și unul din cele mai vulnerabile. Însă, cu un adaos de criptare putem transforma emailul într-un mediu sigur și cu recomandarea adăugată să folosim aplicaţii client și conturi de email separate pentru cel sigur și cel nesigur, poate deveni o soluţie pentru prezenta problemă.

EnigMail (https://www.enigmail.net/home/index.php) este un plug-in de criptare gratuit care folosește tehnica de cripatare PGP. Acesta se poate folosi la transferul de informaţii prin email complet criptate, nu numai ca și atașament criptat precum am prezentat în secţiunea de transfer de fișiere criptate. Există foarte multe soluţii în acest domeniu, pentru toate aplicaţiile client de mail, multe dintre ele contra cost. Se recomandă folosirea numai a soluţiilor care sunt adaptate clienţilor de email ce vin în formă de aplicaţie, și nu a celor care rulează în browsere. Acestea din urmă pot fi ele sigure, însă vin cu încărcătura de vulnerabilităţi ale browserelor (cele mai mari și mai numeroase dintre toate vulnerabilităţile de aplicaţie).

Avantajul acestor soluţii este că funcţionează ca și adaos peste un sistem cunoscut deja, deci știm la ce să ne așteptăm dincolo de securitate. Dezavantajul este că implementarea este greoaie, sincronizarea cu toate sistemele și cunoștinţele precum și transferul de fișiere sunt limitate la mărimea permisă de furnizor. Latenţa este și ea foarte mare, la fel ca și emailul clasic, deci dacă se dorește ceva mai dinamic, gen chat sau reţea socială, această soluţie nu este adecvată.

Soluții de spectru mai larg

Soluţiile de tipul „Social Network Behind Firewall” (Reţea Socială în Privat) sunt reţele de socializare implementate special pentru mediul business. Ele sunt în general limitate la cercul de business de unde si cea mai mare deficienţă a lor. Din punct de vedere al dinamicii, se comportă la fel ca o reţea socială, au funcţii de co-working, cooperare, schimb de fișiere, chat, conţinut, discuţii, unele au și desktop sharing. Din punct de vedere al securităţii se comportă la fel ca orice aplicaţie servită ca și serviciu. Plasată pe internet (public) este susceptibil la phishing și odată compromisă, se vor pierde toate datele stocate în baza ei de date. Plasată în spatele unui VPN, poate fi un instrument excelent în separarea comunicării sigure de cea nesigură, dar va moșteni neajunsurile VPN-ului: va fi limitat la oamenii din companie. Sunt multe soluţii de acest fel cele mai multe contra cost dar sunt și gratuite. Dintre cele gratuite cel mai notabil este Diaspora (https://joindiaspora.com/).

O soluţie interesantă de menţionat aici este reţeaua Earless Network (https://www.earless.net). Este o soluţie de colaborare hibridă de tip asincron. Este printre puţinele soluţii ce oferă criptare totală (de la capăt-la-capăt) garantată prin tehnologia folosită și mecanismul de schimb de chei. Ca avantaj, e ușor de folosit, funcţionează ca și dinamică în mod similar unei reţele sociale însă cu un adaos consistent de control și vizibilitate asupra accesului la informaţie și cu toate avantajele ce vin din criptarea capăt-la-capăt: garantează autenticitatea autorului, securitatea informaţiei în tranzit, și funcţionează în mediu ostil, ceea ce înseamnă că utilizatorii nu sunt limitaţi la membrii organizaţiei.

Ca deficienţe, aplicaţia e încă tânără, permite transferul de documente numai sub 32MB și nu are deocamdată clienţi pentru mobil.

Concluzii

Este clar că secretul informaţional nu este un lucru ușor de obţinut în zilele noastre. Din păcate cererea pieţei și / sau lăcomia „samsarilor” au împins lucrurile în așa fel încât securitatea informaţiei a ajuns pe un loc auxiliar. Cum se întâmplă în astfel de situaţii, răufăcătorii au profitat imediat de aceste lipsuri și am ajuns astfel în situaţia paradoxală de a avea sute sau poate mii de soluţii de comunicare pe piaţă dar nici una care să garanteze pentru informaţia noastră. Sunt nenumărate soluţii de tip „Cloud” care deși poate ar fi bune din punct de vedere al di namicii, ele pică testul securităţii informaţionale pentru că însuși „Cloud”-ul nu este pregătit din punct de vedere tehnologic pentru asta. Poate părea șocant, dar după cum am văzut din exemplele prezentate, care sunt de altfel doar o mică parte din exemplele de care internetul este plin, soluţiile cloud cad una după alta nu pentru că nu ar avea tehnologii sigure în spate ci pentru că sunt susceptibile la acel „factor uman” care nu a fost calculat în designul lor.

De aceea, noi, pentru că numai noi vom fi în final trași la răspundere pentru pierderea informaţiilor noastre, ale organismului pentru care răspundem sau ale clienţilor noștri, trebuie să alegem calea cea grea și să construim această barieră între comunicaţia sigură și nesigură, prin tehnologii care există și proceduri interne care să le adapteze specificului businessului nostru. Pentru că însăși sănătatea sau chiar existenţa ei depinde de asta. 

2648
Pierre-Louis-Girard
Pierre-Louis Girard
Interviu cu Ambasador em. Pierre-Louis Girard

autor: Laurent Chrzanovski

Laurent Chrzanovski: OMC (Organizația Mondială a Comerțului) este o instituție despre care toată lumea vorbește, dar puțini știu cu ce se ocupă în realitate. Ați fost președinte al numeroase grupuri de lucru, în particular al celui care a privit aderarea Chinei la Organizație. Explicați-ne rolul OMC, acum și în raport cu «predecesorul» său GATT.

Pierre-Louis Girard: Organizaţia Mondială a Comerţului are trei funcţii principale. Prima este de a oferi un cadru constituit de reguli stabile și previzibile actorilor comerţului internaţional al bunurilor și serviciilor. A doua este, graţie negocierilor comerciale (sub formă de cicluri de negocieri, cum a fost Uruguay Round sau cum este acum Doha Round, sau în cadrul negocierilor speciale asupra unui subiect sau unui sector specific) de a lărgi liberalizarea schimburilor de bunuri și servicii sau de a dezvolta noile norme care se vor aplica acestor schimburi. A treia este de a pune la dispoziţie membrilor săi un sistem de rezolvare a diferendelor, sistem la care o ţară poate să apeleze de fiecare dată când estimează că un partener al ei a încălcat regulile sistemului sau a cauzat un prejudiciu intereselor sale.

În multe privinţe, OMC este o dezvoltare și o realizare parţială a obiectivelor care au fost fixate de către negociatorii Acordului General asupra Tarifelor Vamale și Comerţului (GATT) în 1947. Așadar, unul dintre scopuri care a fost imposibil de atins la vremea respectivă, acoperirea sectorului de servicii, a fost parţial realizat în cadrul Uruguay Round și a negocierii asupra serviciilor financiare, care s-a ţinut imediat după această rundă. De asemenea, un acord asupra protecţiei proprietăţii intelectuale, aplicată la bunuri și servicii, a lărgit câmpul acoperit de către regulile comerţului internaţional.

Laurent Chrzanovski: Care sunt principalele direcții de lucru ale OMC, sau cel puțin categoriile de produse și comerț de care se ocupă cu prioritate?

Pierre-Louis Girard: Principale axele de lucru nu s-au schimbat fundamental, pentru că tot ceea ce privește condiţiile de schimburi constituie un «work in progress», cum spun anglo-saxonii. Eforturile de liberalizare a comerţului produselor agricole și produselor manufacturate rămân o componentă centrală a activităţii OMC. Mai mult, de când organizaţia a fost înfiinţată disciplina in materie de achiziţii guvernamentale dar și aspectele eco-ambientale ale comerţului au căpătat o nouă dimensiune în cadrul activităţilor sale. În sfârșit, de câţiva ani OMC și membrii săi se concentrează pe dezvoltarea, cu prioritate în ceea ce privește ţările în curs de dezvoltare și în beneficiul acestora, de proceduri și programe de sprijin în tot ceea ce privește facilitarea comerţului și ușurarea procedurilor vamale și de mobilitate a bunurilor.

Laurent Chrzanovski: Summit-ul de la Cancún a marcat începutul unor ostilități deschise din partea mai multor mișcări anti-globalizare, în cadrul cărora OMC a fost unul dintre principalii țapi ispășitori, dar și ținta unor critici din partea mai multor guverne. De ce?

Pierre-Louis Girard: GATT, ca și OMC, au fost întotdeauna obiect al contestaţiilor. Acestea au fost uneori foarte violente, cum au fost în timpul Uruguay Round, de pildă, protestele agricultorilor europeni (și în particular elveţieni), japonezi și coreeni. Mai mult, toate negocierile au fost însoţite de manifestaţii, în anumite momente și de dimensiuni diferite, începând de la sfârșitul anilor 80, organizate de către ONG-uri din ţările dezvoltate și în curs de dezvoltare, din dorinţa de a-i sprjini pe aceștia din urmă, sau cel puţin pentru ceea ce ONG-urile credeau că ar reprezenta interesele acestora.

Unul din punctele culminante ale acţiunilor «anti-globalizare» a fost atins în mod clar la conferinţa ministerială de la Seattle din 1999, când o alianţă de ONG-uri în favoarea ţărilor în curs de dezvoltare, a mișcărilor de apărare a mediului, broaștelor ţestoase și focilor, precum și reprezentanţi ai centralelor sindicale americane AFL-CIO care denunţau «dumping-ul salarial» din partea ţărilor în curs de dezvoltare au reușit să blocheze orice activitate timp de două zile în Seattle. Cauza reală a eșecului conferinţei din Seattle a constat în faptul că ţările membre ale OMC, inclusiv ţările industrializate importante, nu au ajuns la un acord, chiar minim, pe baza căruia să înceapă o negociere.

În ceea ce privește Cancun, același fenomen de divergenţe între membrii industrializaţi importanţi, în special între Uniunea Europeană și Statele Unite ale Americii privind agricultura, a permis diverșilor membri, ţări în curs de dezvoltare, să profite de promisiunile care le-au fost făcute în urmă cu doi ani la Doha de aceleași SUA și Uniunea Europeană, în special că runda de la Doha este o «rundă de dezvoltare».

Laurent Chrzanovski: În timp ce multe state favorizează acum re uniuni și grupuri bazate pe o regiune, o alianță între state sau un produs specific, cum vă explicați faptul că OMC rămâne în centrul dezbaterilor și că puteri macroregionale, cum ar fi Rusia, și-au negociat cu înverșunare aderarea, care a avut loc abia în 2012 (9 ani după Cancun)?

Pierre-Louis Girard: Foarte simplu, pentru că baza juridică care reprezintă acordurile OMC este baza multilaterală cea mai dezvoltată, mai stabilă și mai eficace pe care se pot sprijini ţările ca să-și dezvolte comerţul/schimburile și pentru a se proteja împotriva acţiunilor de pradă ale partenerilor lor comerciali. În plus, prin aderarea ca membri OMC a unor state precum China, Rusia și fostele republici ale URSS, în special, s-a dat o nouă dimensiune statutului lor ca subiect independent din punct de vedere al dreptului internaţional și ca jucător activ în dezvoltarea acestuia.

Laurent Chrzanovski: Astăzi, cu excepția materiilor prime, produsele finite sunt din ce în ce mai hibride, iar procentul de produse având o funcție de recepție/transmisie de informații este în creștere exponențială. Aceste date nu pun în pericol negocierile realizate pe «servicii» și «produse », așa cum erau acestea înainte de «internetul obiectelor»?

Pierre-Louis Girard: Acest fenomen nu este nou. Cele mai multe exporturi de bunuri au fost însoţite în trecut de elemente de servicii. Luaţi în considerare instalarea unei turbine, serviciile post-vânzare ale mașinilor textile, etc. Faptul că serviciile ar putea apărea ca un export paralel cu cel al bunului nu schimbă cu nimic faptul că ele formează un întreg. De asemenea, dacă vă cumpăraţi o mașină astăzi, probabil, aţi cumpărat posibilitatea de a utiliza simultan două servicii care sunt integrate în achiziţie: GPS și Bluetooth!

Laurent Chrzanovski: Puține țări, dar dintre cele importante (inclusiv SUA și China), apeleaza la OMC pentru a elimina barierele cu care se confruntă aceste produse, atunci când țările refuză în temeiul excepției de securitate națională – așa cum a fost definită în articolul XXIb GATT (din 30 octombrie 1948!) apoi reprodusă în 1994 (TRIPS articolul 73) și în curs de reproducere, aproape neschimbată în GATS (articolul 14bis.). Credeți că OMC se va pronunța legat de «produse», care includ atât servicii multiple cât și produsul fizic în sine?

Pierre-Louis Girard: Articolul privind securitatea naţională este un articol fundamental, dar este ușor de utilizat și de abuzat (gandiţi-vă la măsurile luate de administraţia Reagan împotriva Nicaragua). Invocarea lui implică, de obicei, consideraţii a căror valabilitate nu este ușor de evaluat. Nu văd, prin urmare, nici pe membrii OMC, nici pe Organismulul de reglementare a litigiilor să fie dispuși să arate îndrăzneală în materie.

Laurent Chrzanovski: Cum explicați lipsa de adaptare a OMC la «era digitală» în care trăim acum? Credeți că este înțelept să rămână pe conceptul de «bunuri», «servicii», «produse agricole și industriale» și «produse» și «drepturi de proprietate intelectuală care afectează comerțul» fără a deschide o fereastră specială pentru produsele sau serviciile cu valoare adaugată automatizată/digitală/trans-statală?

Pierre-Louis Girard: Bazele juridice actuale sunt clare și puternice. Pentru o posibilă dezvoltare a unei ferestre specială pentru «produsele sau serviciile cu valoare adăugată automatizată/digitală/trans-statală» ar fi nevoie ca membrii să se puna de acord în prealabil asupra a ceea ce sunt de fapt aceste produse și asupra faptului că dispoziţiile legale în vigoare, atât internaţionale (inclusiv cele ale OMC, în special) cât și naţionale (legea privind protecţia datelor, legea privind respectul pentru viaţa privată, etc.) sunt în mod clar insuficiente.

Laurent Chrzanovski: O anecdotă marcantă din timpul discuțiilor maraton pe care le-ați moderat?

Pierre-Louis Girard: Primul lucru care îmi vine în minte este o vizită la sfârșitul anilor ’90 la doamna Ministru a Comerţului Exterior Chinez. Când am intrat în biroul ei, m-a întrebat: «Așadar, domnule Ambasador Girard, ce părere aveţi despre China de azi?». La auzul acesteia, nu m-am putut abţine să nu exclam, forţând nota: «Este în plin capitalism sălbatic!». Și ea nu s-a putut abţine să nu râdă cu poftă, recunoscând astfel drumul care a fost făcut în privinţa reformelor din 1988, anul înfiinţării Grupului de lucru privind aderarea Chinei la GATT.

944

Camera de Comerț și Industrie România Israel (CCIRI) și-a sărbătorit cei 25 de ani de existență în România în cel mai înalt punct al Bucureștiului – SkyTower. Evenimentul „25 and sky is the limit” a reunit personalități de seamă atât din România, cât și din Israel.

CCIRI-Trends-No-4Printre cei aproximativ 150 de invitaţi, s-au numărat Excelenţa Sa, Ambasadorul Statului Israel în România, doamna Tamar Samash, șeful misiunii economice al Ambasadei Israelului în România, domnul Matan Safran, președintele Federaţiei Comunităţilor Evreiești și, în prezent, deputat în Parlamentul României, domnul Aurel Vainer și președintele fondator al CCIRI, domnul Jose Iacobescu.

Evenimentul a marcat sărbătorirea a 25 de ani de relaţii bilaterale între România și Israel. Obiectivul principal al CCIRI în toţi acești 25 de ani a rămas neschimbat: creșterea schimburilor bilaterale între cele două ţări. Fie că este vorba de importuri sau de exporturi, Camera de Comerţ România – Israel lucrează pentru atingerea acestui obiectiv atât cu Ambasada Israelului în România, cât și cu Ambasada României în Israel.

„Ne bucurăm și ne onorează să avem lângă noi, cu această ocazie specială, astfel de prieteni. Sărbătorim un sfert de secol în care am colaborat cu oameni excepționali, cărora le mulțumim pentru implicarea susținută în toate proiectele Camerei. Am oferit fiecăruia câte o medalie ediție limitată, în semn de mulțumire pentru sprijinul acordat.” Călin Coșar, Președinte Camera de Comerţ și Industrie România Israel

CCIRI-Cybersecurity-Trends-No-4Pentru a susţine cererile de import-export dintre România și Israel, CCIRI caută producători, distribuitori sau parteneri pentru diverse companii din cele două ţări. Totodată, Camera de Comerţ și Industrie România-Israel sărbătorește 25 de ani pe piaţa din România pentru a spori creșterea schimburilor bilaterale, Camera urmărește să atragă cât mai mulţi membri prin organizarea de evenimente de networking dedicate atât companiilor deja membre, celor simpatizante, cât și partenerilor și potenţialilor parteneri.

O altă direcţie de acţiune o reprezintă crearea unor grupuri de lucru care să susţină, cu o anumită regularitate, dezbateri axate pe câteva sectoare de activitate. Aceste dezbateri neutre au rolul de a oferi o vedere de ansamblu din perspectiva comunităţii de afaceri. Primul astfel de grup de lucru, în sectorul „financial services”, este constituit din reprezentanţii a cinci bănci și deja și-a început activitatea.

Printre sponsorii principali ai evenimentului se numără: Firon Bar Nir, Leumi Bank, New Kopel, Tuborg și SkyTower.

Fondată în 1990, Camera Bilaterală de Comerţ și Industrie România Israel este o organizaţie non-profit care numără printre membri săi companii de renume atât în România, cât și în Israel, din diverse sectoare de activitate. Relaţiile comerciale sunt vitale pentru ambele ţări și în multe privinţe se dezvoltă în ciuda condiţiilor economice dificile. Pornind de la acest aspect, activitatea Camerei caută să valorifice potenţialul de comerţ și afaceri bilaterale în toate sectoarele de activitate. Printre serviciile cu care Camera vine în întâmpinarea membrilor se numără: listarea în cataloage de business, buletine legislative, reprezentare atât în relaţia cu administraţiile locale, cât și de stat, oportunităţi de marketing. 

847

Camera de Comerț și Industrie România Israel (CCIRI) și-a sărbătorit cei 25 de ani de existență în România în cel mai înalt punct al Bucureștiului – SkyTower. Evenimentul „25 and sky is the limit” a reunit personalități de seamă atât din România, cât și din Israel.

CCIRI-Trends-No-4Printre cei aproximativ 150 de invitaţi, s-au numărat Excelenţa Sa, Ambasadorul Statului Israel în România, doamna Tamar Samash, șeful misiunii economice al Ambasadei Israelului în România, domnul Matan Safran, președintele Federaţiei Comunităţilor Evreiești și, în prezent, deputat în Parlamentul României, domnul Aurel Vainer și președintele fondator al CCIRI, domnul Jose Iacobescu.

Evenimentul a marcat sărbătorirea a 25 de ani de relaţii bilaterale între România și Israel. Obiectivul principal al CCIRI în toţi acești 25 de ani a rămas neschimbat: creșterea schimburilor bilaterale între cele două ţări. Fie că este vorba de importuri sau de exporturi, Camera de Comerţ România – Israel lucrează pentru atingerea acestui obiectiv atât cu Ambasada Israelului în România, cât și cu Ambasada României în Israel.

„Ne bucurăm și ne onorează să avem lângă noi, cu această ocazie specială, astfel de prieteni. Sărbătorim un sfert de secol în care am colaborat cu oameni excepționali, cărora le mulțumim pentru implicarea susținută în toate proiectele Camerei. Am oferit fiecăruia câte o medalie ediție limitată, în semn de mulțumire pentru sprijinul acordat.” Călin Coșar, Președinte Camera de Comerţ și Industrie România Israel

CCIRI-Cybersecurity-Trends-No-4Pentru a susţine cererile de import-export dintre România și Israel, CCIRI caută producători, distribuitori sau parteneri pentru diverse companii din cele două ţări. Totodată, Camera de Comerţ și Industrie România-Israel sărbătorește 25 de ani pe piaţa din România pentru a spori creșterea schimburilor bilaterale, Camera urmărește să atragă cât mai mulţi membri prin organizarea de evenimente de networking dedicate atât companiilor deja membre, celor simpatizante, cât și partenerilor și potenţialilor parteneri.

O altă direcţie de acţiune o reprezintă crearea unor grupuri de lucru care să susţină, cu o anumită regularitate, dezbateri axate pe câteva sectoare de activitate. Aceste dezbateri neutre au rolul de a oferi o vedere de ansamblu din perspectiva comunităţii de afaceri. Primul astfel de grup de lucru, în sectorul „financial services”, este constituit din reprezentanţii a cinci bănci și deja și-a început activitatea.

Printre sponsorii principali ai evenimentului se numără: Firon Bar Nir, Leumi Bank, New Kopel, Tuborg și SkyTower.

Fondată în 1990, Camera Bilaterală de Comerţ și Industrie România Israel este o organizaţie non-profit care numără printre membri săi companii de renume atât în România, cât și în Israel, din diverse sectoare de activitate. Relaţiile comerciale sunt vitale pentru ambele ţări și în multe privinţe se dezvoltă în ciuda condiţiilor economice dificile. Pornind de la acest aspect, activitatea Camerei caută să valorifice potenţialul de comerţ și afaceri bilaterale în toate sectoarele de activitate. Printre serviciile cu care Camera vine în întâmpinarea membrilor se numără: listarea în cataloage de business, buletine legislative, reprezentare atât în relaţia cu administraţiile locale, cât și de stat, oportunităţi de marketing. 

EDITIE SPECIALA – INTERNET OF THINGS

2462
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

2066
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3594
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

2155
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

2069
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

2184
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...