Friday, February 21, 2020
VIP Interview

ITU Child Online Protection Focal Point

ITU Child Online Protection
Focal Point

O zi din viața lui CARLA LICCIARDELLO

„Prin amabilitatea UNICEF”

ITU este o agenție a Națiunilor Unite specializată pe tehnologia informației și comunicații – IT&C. Noi alocăm spectrul global radio și orbitele sateliților, dezvoltăm standarde tehnice care să asigure interconectarea rețelelor și tehno logiilor și ne luptăm să îmbunătățim accesul la IT&C în comunitățile defavorizate din lumea întreagă. ITU se angajează să conecteze toți oamenii din lume, indiferent unde trăiesc și indiferent de posibilitățile lor. Prin munca noastră, protejăm și sprijinim dreptul fundamental la comunicare al tuturor.

Bio
Carla Licciardello ITU Child Online Protection Focal Point Carla Licciardello este Child Online Protection Focal Point la International Telecommunication Union ITU, în Geneva. Responsabilitatea ei principală sunt activitățile ITU Child Online Protection, incluzând dezvoltarea de proiecte cu statele membre și alte organizații internaționale. Lucrează și în domeniul Cybersecurity și oferă suport în relațiile interagenții. Înainte de a se alătura ITU, Licciardello a lucrat pentru misiunea italiană de la Geneva și la ONU. La ONU Licciardello s-a concentrat pe Disaster Risk Reduction. Licciardello a lucrat în asistență în comunicații și sprijin umanitar pe politici pentru statele membre care au fost victime ale unor dezastre naturale.

Redacţia: Descrieți principalele zone pe care vă concentrați/ cele mai mari proiecte privind utilizarea Internetului și a tehnologiilor aferente de către copii – ce vă bucură, ce vă supără, cum arată succesul în ceea ce faceți?

Carla Licciardello: Puterea de a dezlănţui adevăratul potenţial IT&C stă în mâinile copiilor și ale tinerilor. IT&C-ul este un instrument excelent pentru dezvoltarea copiilor, furnizându-le oportunitatea de a învăţa, crea și de a se angaja în rezolvarea de probleme – „democratizarea” IT&C înseamnă că acesta devine și mai prevalent. În ciuda beneficiilor profunde pe care IT&C-ul le poate oferi, copiii și tinerii sunt confruntaţi cu noi și semnificative riscuri. Copiii pot fi expuși unui conţinut inadecvat, sau unor contacte inadecvate cum ar fi potenţialii prădători sexuali. Reputaţia lor poate avea de suferit prin publicarea unor informaţii personale sensibile, fie online, fie prin „sexting”, nereușind să înţeleagă efectul pe termen lung al amprentei lor digitale. Copiii pot fi implicaţi în comportamente riscante sau necorespunzătoare care să creeze repercusiuni negative asupra lor și posibil asupra altora.

Din acest motiv ITU consideră aceste aspecte ca fiind o prioritate și în 2008 a lansat iniţiativa Child Online Protection (COP). Aceasta implică parteneri din toate sectoarele comunităţii globale, într-un dialog internaţional care să abordeze aspectele legate de siguranţa copiilor online și să creeze o experienţă online acreditată pentru copiii din întreaga lume. COP reunește parteneri din toate grupurile de stakeholder-i care să sprijine eforturile globale de protejare a copiilor online prin forumuri, cum ar fi grupul de lucru pentru protecţia online a copiilor, ca și prin acoperirea globală a agenţiei ONU. Împreună am parcurs un drum lung. Siguranţa online a copiilor este în topul agendei politice a multor ţări și a devenit o prioritate de top pentru o varietate largă de stakeholder-i, inclusiv companii private și instituţii financiare. Scopul nostru comun de a asigura încrederea în ciberspaţiu nu poate fi obţinut de ţări sau stakeholder-i care să lucreze izolat, cu toţii trebuie să lucrăm împreună dacă dorim să avem succes în eliminarea neajunsurilor. Într-o lume tot mai interconectată, care nu cunoaște graniţe, este vital ca aceste eforturi diverse să fie aliniate scopului comun de a obţine un ciberspaţiu mai sigur și mai de încredere.
Redacţia: Imaginați-vă că ați fi în aceeași profesie și peste 10 ani, ce credeți că va fi diferit?

Carla Licciardello: Cred că în 10 ani Internetul, care este încă în copilărie, va înflori și mai mult. Tendinţele din lumea digitală de azi indică faptul că va crește conectivitatea wireless, la viteze care vor crește exponenţial și că se vor transfera volume imense de date, în mișcare. Aceasta înseamnă că va trebui să ne folosim de realizările de până acum pentru a ne asigura că reţelele vor fi sigure în funcţionare (nu vor pica) și că viitoarele generaţii de utilizatori vor putea naviga în ciberspaţiu într-un mediu mai sigur.

Pe măsură ce continuăm să lucrăm pentru a asigura utilizarea IT&C atât în ţările în curs de dezvoltare, cât și în ţările mai puţin dezvoltate – de unde vor proveni cu precădere următoarele miliarde de utilizatori – va trebui să folosim efectul de pârghie al acestei răspândiri a IT&C-ului pentru a permite dezvoltarea socială și protecţia mediului, a genera bunăstare și a furniza sănătate și educaţie copiilor de pe glob.

Trebuie să recunoaștem de asemenea că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă, indiferent unde vor trăi, copiii nu vor avea încredere să-l utilizeze. Putem asigura această încredere doar lucrând împreună cu toţi stakeholder-ii din toate ţările, luînd în considerare în mod special faptul că vor apărea noi provocări, ceea ce înseamnă că vor trebui dezvoltate și împărtășite noi instrumente și mecanisme de coordonare.

Redacţia: Cum trebuie să colaboreze companiile și ceilalți stakeholder-i pentru a rezolva diferitele provocări și oportunități legate de prezența copiilor în lumea digitală?

Carla Licciardello: Pentru a reduce riscurile aduse de revoluţia digitală, permiţând mai multor copii și tineri să culeagă beneficiile sale, guvernele, societatea civilă, comunităţile locale, organizaţiile internaţionale și sectorul privat trebuie să își stabilească niște obiective comune. Industria de profil joacă un rol critic în stabilirea fundaţiei pentru o utilizare mai sigură a serviciilor bazate pe Internet și a altor tehnologii.

De exemplu, parteneriatele public-private sunt esenţiale pentru construirea unui răspuns coordonat naţional, regional și internaţional la probleme ca abuzurile sexuale online asupra copiilor, și pentru asigurarea partajării de informaţii între diferiţi stakeholder-i. Industria, agenţiile de aplicare a legii, guvernele și societatea civilă trebuie să colaboreze strâns pentru a se asigura că se aplică framework-uri legale adecvate, în concordanţă cu standardele internaţionale. Astfel de framework-uri trebuie să condamne orice formă de abuz sau de exploatare sexuală a copiilor, să protejeze copiii care sunt victime ale unui astfel de abuz sau exploatare și să se asigure că raportarea și procesele de investigare și de eliminare a conţinutului lucrează cât mai eficient posibil.

Redacţia: Cine sau ce organizație considerați că joacă un rol de lider în promovarea drepturilor copiilor în lumea digitală și de ce?

Carla Licciardello: Naţiunile Unite joacă un rol important în lumea digitală ca facilitator global pentru diferiţi stakeholder-i care să stea la aceeași masă și să discute, identifice și implementeze soluţii care să conducă la un Internet disponibil universal, deschis, sigur și de încredere.

Redacţia: Ce programe și aplicații creative și inovative veți dezvolta pentru copii și părinți pentru participarea civică și/sau cetățenia digitală?

Carla Licciardello: Cred că trebuie să stimulăm producţia de conţinut educaţional și creativ online pentru copii, precum și să promovăm experienţa online pozitivă a copiilor. Măsurile tehnice pot fi un element important în a ne asigura că tinerii sunt protejaţi în faţa riscurilor potenţiale din online, dar acestea sunt doar un element al ecuaţiei. Instrumentele de control parental, conștientizarea și educaţia sunt de asemenea componente cheie care vor ajuta la împuternicirea și informarea copiilor din diferite grupe de vârstă, ca și a părinţilor, îngrijitorilor și educatorilor.

Stakeholder-ii pot sprijini proactiv drepturile copiilor colaborând la înlăturarea diferenţelor digitale. Participarea copiilor necesită alfabetizare digitală, abilitatea de a înţelege și de a participa în lumea digitală. Fără această abi litate, cetăţenii nu vor putea participa la multe din funcţiile sociale care au fost „digitalizate”, incluzând, dar fără a ne limita la, completarea formularelor de impozite, sprijinul acordat candidaţilor politici, semnarea de petiţii online, înregistrarea unui nou născut, ori simpla accesare a unor informaţii comerciale, de sănătate, educaţionale sau culturale. Prin urmare este crucial să dezvoltăm programe care sprijină iniţiative multimedia pentru a furniza copiilor

– în mod special din zone rurale sau subdezvoltate – abilităţile digitale de care au nevoie pentru a fi încrezători, conectaţi și cetăţeni angajaţi activ, și a le permite participarea deplină, în siguranţă, la lumea digitală.

Trebuie să dezvoltăm de asemenea platforme online care promovează dreptul copiilor de a se autoexprima, să facilităm participarea la viaţa publică și să încurajăm colaborarea, antreprenoriatul și participarea civică. În concluzie, este important să dezvoltăm programe de colaborare cu societatea civică locală și cu guvernele, pe priorităţi naţionale/locale, pentru a extinde accesul universal și echitabil la informaţie și la tehnologiile de comunicare, platforme și dispozitive, și la infrastructura corespunzătoare pe care acestea să funcţioneze. 

“Trebuie să re cunoaştem că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă , indiferent unde vor tră i, copiii nu vor avea încredere să-l utilizeze.”

8957

manoussos

Vassilios Manoussos, MSc.,PGC,BSc,AAS
Digital Forensics & E-Crime Consultant
Vice Chairman, Digital Forensics Society

Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene. Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția).

CERTIFICĂRI:

Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London).

Mr Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.

Lacunele ingineriei sociale.

Introducere

Serviciile web cum sunt webmail și site-urile de social media (ca Facebook) funcţionează cu autentificare într-un singur pas. Tastezi numele de utilizator sau adresa de e-mail și parola și intri în cont.

Tuturor ni s-a întâmplat ca la un moment dat să uităm parola și să încercăm să o resetăm. Resetarea se face fie după ce răspundem la niște întrebări de securitate, fie prin trimiterea unui link pentru resetare, sau a unui cod la o altă adresă de e-mail sau pe telefonul mobil.

Parolele și întrebările de securitate sunt menite să îi ţină pe străini departe de contul vostru. Cu toate că în prezent avem tot mai multe opţiuni pentru formularea unor întrebări de securitate, majoritatea le aleg pe cele mai simple, cum ar fi: numele de fată al mamei, numele primului animal de companie, numele primei școli, strada pe care au locuit. Răspunsurile simple la aceste întrebări devin un instrument în mâna experţilor în inginerie socială.

Inginerie socială

Ingineria socială este un set de abilităţi și de procese prin care cineva vă convinge să îi furnizaţi din proprie iniţiativă credenţialele de logare sau alte informaţii importante. Majoritatea atacurilor de hacking se realizează prin procese de genul phishing prin care lumea este păcălită să își divulge parolele. Hacking-ul tehnic este mai complicat și necesită mai mult timp și nu întotdeauna merită timpul pierdut pentru a fura parola cuiva.

Cred că Houdini a afirmat că lacătele sunt proiectate să oprească oamenii să intre și nu să iasă. După același principiu parolele și întrebările de securitate sunt gândite să îi ţină pe străini departe de datele voastre, dar sunt ele eficiente și în cazul prietenilor sau a familiei?

Hack-uirea unui prieten sau a unui văr

Să presupunem că vrei să hack-uiești contul unui prieten sau al cuiva din familie. Acest lucru poate fi mult mai simplu decât v-aţi putea imagina. Și aceasta pentru că s-ar putea să știi deja răspunsurile la unele dintre întrebările de securitate.

Primul pas din procedură este să decizi care cont să-l hack-uiești mai întâi și de ce. Să presupunem că persoana care te interesează are următoarele conturi:

  • Hotmail
  • Facebook
  • Paypal
  • Skype

Pe care l-aţi alege să îl hack-uiţi primul?

Pasul 1: Contul de email

Există o opţiune evidentă care prezintă avantaje competitive faţă de celelalte trei, contul de Hotmail. Bineînţeles că acesta ar putea fi un cont de e-mail de Yahoo sau Gmail sau oricare alt cont de e-mail. Motivul pentru care am ales mai întâi contul de e-mail nu este pentru că ar fi mai ușor, ci pentru că este destul de probabil ca acesta să fi fost folosit pentru setarea tuturor celorlalte 3 conturi, și din momentul în care obţinem controlul asupra acestuia vom putea reseta parolele și pentru toate celelalte.cum01

Tot ceea ce avem de făcut este să spunem că am uitat parola, să tastăm adresa de e-mail pe care dorim să o hack-uim și să ajungem la acest meniu. În mod evident nu avem acces la un cont secundar de e-mail sau la mobil, așa că vom selecta ultima opţiune. Următorul pas este să tastăm o adresă de e-mail la care să fim contactaţi pentru a ni se pune niște întrebări.

În funcţie de setările contului ţintă, se poate întâmpla să răspundeţi la câteva întrebări și să primiţi acces instant, sau este posibil să trebuiască să mai răspundeţi și la alte întrebări suplimentare. Dacă aţi avut deja schimburi de e-mailuri cu victima veţi putea răspunde cu ușurinţă la întrebări de genul „adrese de e-mail către care s-au trimis mesaje” sau „subiectul mesajelor trimise”. Celelalte întrebări sunt legate de nume, cod poștal, oraș, numele de fată al mamei, data nașterii etc.

Dacă totul merge bine și răspundeţi corect la un anumit procent din aceste întrebări, veţi primi un e-mail de resetare a contului pe care l-aţi vizat. Este suficient să daţi click pe link-ul din acel e-mail și să schimbaţi parola și întrebările de securitate.

Pasul 2: Contul de Facebook

După ce aţi primit acces la adresa de e-mail care a fost utilizată pentru setarea contului de Facebook, accesaţi contul de Facebook, daţi click pe link-ul „Aţi uitat parola?” și introduceţi adresa de e-mail. Veţi obţine un ecran ca cel din imagine:cum02

Tot ceea ce aveţi de făcut este să daţi click pe prima opţiune și să primiţi link-ul de reset. După care nu vă rămâne decât să schimbaţi parola și întrebările de securitate ale Facebook. Nu uitaţi să schimbaţi e-mailul și numerele de mobil. Aceasta ar putea să dureze ceva și ar putea permite proprietarului să încerce (și poate chiar să reușească) să primească acces la contul lui.

În trecut, dacă Facebook observa încercări repetate de reset, cerea să identificaţi oameni tag-uiţi din pozele stocate în profil. Dacă îi cunoașteţi pe acei oameni veţi reuși să alegeţi numele corecte (este un test cu opţiuni multiple!) .

Pasul 3: Celelalte conturi

Din momentul în care aveţi acces și la Facebook, folosind aceeași procedură, puteţi încerca să resetaţi și conturile de Skype și Paypal. Din contul de e-mail, parcurgând mesajele, puteţi vedea și pe ce alte site-uri web mai are conturi ţinta aleasă. Și puteţi aplica aceeași procedură și pentru acestea.

Partea cea mai sensibilă este dată de faptul că din acest moment aţi putea avea acces pentru a reseta conturile de la administraţia financiară, alte instituţii guvernamentale, iar în unele ţări chiar conturile bancare și de credit. În UK doar prin accesarea e-mail-ului nu aveţi acces și la conturile bancare.

Ce putem învăța?

Scopul acestui articol nu este să vă transforme în hacker și nici de a facilita infracţiunile. Din contră. Ne-am propus doar să vă arătăm cât de ușor puteţi pierde controlul asupra conturilor digitale pe care le aveţi. Și dacă v-ar putea fi frică de un hacker rus sau chinez, ar trebui să fiţi la fel de precaut și faţă de fosta prietenă, faţă de un văr sau faţă de un partener gelos.

Există multe concepţii greșite despre hacking și securitate și acest articol își propune doar să evidenţieze faptul că dușmanul ar putea fi mai aproape decât vă imaginaţi, și că măsurile de securitate pe care le-aţi luat s-ar putea să nu fie așa de sigure pe cât v-aţi imagina.

Ce trebuie să faceți dacă vi se întâmplă așa ceva?

Dacă consideraţi că adresa de e-mail v-a fost hack-uită, primul lucru pe care trebuie să-l faceţi este să încercaţi să schimbaţi parolele la toate site-urile web asociate cu acea adresă de e-mail.

Începeţi cu cele mai importante, cum ar fi Paypal. Apoi faceţi același lucru și la conturile de social media și la site-urile pe care v-aţi abonat la reviste online etc.
Prioritizați
și faceţi-vă un plan despre modul în care să reacţionaţi dacă v-a fost spart un cont.

Apelați la un expert. Dacă în pericol se află informaţii mai sensibile decât doar pozele din vacanţă, apelaţi la un expert cât mai curând posibil. Cu cât pierdeţi mai mult timp cu atât scad șansele de a mai recupera ceva.

Ce puteți face pentru a preveni așa ceva?

Nici o soluţie de securitate nu este perfectă. Și dacă sunteţi inteligent, întotdeauna se va găsi cineva și mai inteligent. Totuși puteţi minimiza riscurile de a pierde totul prin simpla pierdere a accesului la adresa de e-mail:

  1. Nu utilizaţi aceeași adresă de e-mail pentru toate conturile de social media.
  2. Nu folosiţi aceeași adresă de e-mail și la conturi de social media și la conturi gen Paypal și Ebay.
  3. Setaţi seturi diferite de întrebări de securitate. Dacă doriţi puteţi seta răspunsuri greșite, dar notaţi-le și păstraţi-le într-un loc sigur acasă.
  4. Setaţi alerte de securitate cu notificare prin SMS acolo unde este posibil și înregistraţi-vă telefonul mobil ca opţiune de resetare a parolei.
  5. Nu utilizaţi întrebări de securitate cum ar fi numele animalelor de companie sau numele de fată. Dacă aveţi posibilitatea stabiliţi propriile întrebări de securitate.
  6. Nu uitaţi: dacă cineva vă sparge contul de e-mail va avea acces la întrebările de securitate și la răspunsuri și le va putea folosi pentru a vă accesa și alte conturi chiar dacă sunt setate cu alte adrese de e-mail.
  7. Și nu în cele din urmă, un aspect pe care îl subliniez de fiecare dată: folosiţi-vă bunul simţ!

Și … Atenționare!

Acest articol este un proof-of-concept. Nu vă sugerăm să spargeți
conturile altor persoane, pentru că poate fi ilegal. Cât de ilegal, depinde
de pașaportul pe care îl aveţi și de jurisdicţia în care vă aflaţi. Cu siguranţă
este ilegal în UK dar și în România! Pe bune, NU HACK-UIȚI CONTURILE DE
E-MAIL ALE ALTOR PERSOANE.

Toate informațiile din acest articol sunt în zona public domain.

1584

autor: Laurent Chrzanovski

Rep.: Domnule Corîci, sunteți antreprenor. De câțiva ani v-ați lansat cu succes în domeniul „etical hacking”, ajungând să puneți la punct una dintre cele mai performante platforme din piața globală. De unde vă vine această pasiune pentru securitate IT?

Marius Corîci: Prima „întâlnire” cu securitatea IT am avut-o la începuturile internetului în România. A doua jumătate a anilor ‘90. Atunci am testat aplicaţia Nmap și m-a cucerit. Am cochetat o vreme cu securitatea informatică după care am lăsat-o deoparte. Fast forward, prietenul și asociatul meu Marius Chiș a vrut să facem un proiect de online (startup) și așa a apărut Hackaserver în 2011. O platformă de crowdsourcing pentru pentesting la aplicaţiile web. Prima din lume la acea dată. Așa mi-a revenit apetitul pentru securitatea informatică. După care am continuat cu proiectul CTF365.

Rep.: Spuneți-ne mai multe despre CTF365.
Marius Corîci: CTF365 reprezintă o platformă de training în securitate informatică pentru industria de IT. Platforma implementează concepte CTF (Capture The Flag) și folosește mecanisme de gamificare pentru a îmbunătăţi rata de retenţie și a accelera curba de învăţare. Datorită flexibilităţii, platforma poate fi conectată la structurile de training existente ca și un add on layer, sau poate fi folosită separat ca și soluţie independentă. Ca și utilizatori, platforma se adresează în special profesioniștilor în securitate informatică, administratorilor de sistem și web developerilor. Ca și clienţi, vizăm companii de training în securitate, producători de software/ hardware pe securitate (Rapid7, McAfee, Juniper, Cisco), organizaţii specializate pe securitate informatică (OWASP, SANS, ISECOM, ENISA, etc), companii de management al securităţii, echipe Red/Blue CERT CSIRT inclusiv agenţii guvernamentale. CTF365 nu este un „alt laborator de securitate informatică” așa cum majoritatea clienţilor enumeraţi mai sus au în dotarea lor. Spre deosebire de laboratoarele tradiţionale unde găsești servere „vulnerable by design”, CTF365 este un mediu viu, extrem de dinamic, cu useri reali și servere reale. Dacă omenirea are Google, Amazon, Yahoo, Twitter, CTF365 are Googu, Amazoom, Yoohoo și Crow. Practic construim un internet în Internetul real unde poţi face tot ceea ce este interzis.

Untitled

Rep.: Cum v-a venit ideea să faceți și o interfață ludică și o serie de abonamente pentru studenți, inclusiv unele gratis? Este un exemplul rar de „social responsibility” pentru România.

Marius Corîci: Interfaţa ludică este o componentă vitală atunci când implementezi concepte de gamificare. Până la CTF365, existau 3 canale prin care puteai să înveţi/îmbunătăţești securitatea informatică: Cursuri de facultate – care te învaţă bazele securităţii; companii de training pe securitate – tehnici avansate; și studiul individual (Google, Forumuri, bloguri etc). CTF365 a adăugat dimensiunea de gamificare și a transformat studiul securităţii informatice într-un proces continuu, distractiv, rovocator. Toate aceastea în jurul comunităţii pasionaţilor de securitate informatică.

Într-adevăr am lansat un program numit „Student Security Training Program” care se adresează strict studenţilor. Practic orice student care dorește să folosească platforma CTF365 are un discount de 67% faţă de preţul de bază. Exemplu: un student plătește doar 15$/lună comparativ cu 46$. Obiectivul noastru vis-a-vis de facultăţi este acela de a încheia parteneriate și de a reduce și mai mult acest preţ pentru studenţi. Undeva în jurul a 7-10$/student/lună acolo unde universităţile/facultăţile ar încheia un parteneriat cu noi.
Cât despre „social responsibility”, nu știu alţii, dar noi considerăm că este de datoria noastră atât ca oameni cât și ca firmă să dăm ceva înapoi societăţii. Numai așa reușim să evoluăm. Atât ca societate cât și ca oameni. Spre exemplu așa cum aţi menţionat, avem și conturi gratuite unde orice user are acces gratuit la servere „vulnerable by design” pe care pot exersa tehnici de securitate ofensivă. Totul gratuit iar planurile noastre de „social responsibility” nu se opresc aici. Avem proiectul Hackademy care va fi o aca demie gratuită de etical hacking ce va folosi platforma CTF365 ca și laborator de training hands on. Calitatea video tutoria lelor va fi una exemplară și speram să o putem integra cu programa marilor facultăţi internaţionale. Ca și mostră a video-tutorialelor puteţi urmări câteva pe canalul Hackademy de pe YouTube.

Rep.: Sunteți bazat la Cluj, și totuși tot ceea ce am citit despre platforma dvs., într-adevăr impresionant ca termeni laudativi, este integral pe site-uri și reviste online din Franța, SUA, UK. De ce această nepăsare în media românească?

Marius Corîci: Nu am un răspuns la „nepăsarea din media românească”. Aș putea doar să speculez și nu-mi stă în fire. În schimb, vă pot spune de ce și cum au ajuns să scrie site-uri si reviste online din SUA, UK, Franţa, Italia. Au aflat de produs, l-au testat, le-a placut foarte mult conceptul, au văzut potenţialul foarte mare al platformei și au vrut să afle mai multe despre CTF365.

Occidentul și ţările dezovltate au o cultură a securităţii cibernetice și cunosc foarte bine valoarea ei. România, nu. Asta ca să nu intru în speculaţii.

Rep.: Multe firme din România, Italia, Franța, mai ales start-up-uri de succes, se mută din ce în ce mai des inclusiv în țări foarte scumpe ca și Elveția, pentru că nu mai pot suporta nivelul de taxare la care sunt supuse. De ce ați ales să rămâneți totuși la Cluj? Veți rămâne în continuare?

Marius Corîci: Sunt câteva aspecte de luat în calcul atunci când îţi faci planul de afaceri: mediul de afaceri (ţara) și piaţa căreia i te adresezi. În cazul nostru, piaţa noastră este globală, cu focus pe America de Nord și EU.

Ca mediu de afaceri, dupa 26 de ani, România este corigentă (încă) la taxe, legislaţie și corupţie. Nu, nu cred că o să rămânem în România cu operaţiunile. Dar este foarte probabil să menţinem în Cluj partea de dezvoltare a platformei. Cluj Napoca este perfect când ești focusat pe IT.

Rep.: Din punct de vedere al obiectivelor, unde sunteți acum și ce planuri aveți în viitorul apropiat?
Marius Corîci: Ca și companie, suntem un start-up autofinanţat și căutăm o finanţare de tip angel investor pentru early stage. Ca și execuţie, acum suntem în Beta Public cu un MVP (Minimum Viable Product) funcţional și clienţi din SUA, EU și Asia.

Ca și planuri pentru viitorul apropiat, deja suntem în teste cu un nou produs „Security Training Labs on Demand”. Acest produs este B2B și urmărește externalizarea laboratoarelor de training atât ca infrastructură cât și ca mentenanţă, pentru cei care folosesc astfel de laboratoare. Ideea ne-a venit după ce Rapid7 ne-a cerut să le proiectăm viitoarea generaţie de laboratoare pentru training de Metasploit și Nexpose. Suntem încă în evaluare din partea lor (Rapid7) dar e clar că au văzut ceva interesant la noi dacă au cerut, iar noi am văzut o piaţă pe această componentă. Avantajul pentru companii și organizaţii este acela că ar plăti doar cât ar folosi fără să fie nevoiţi să le mai dezvolte dar să le și întreţină in-house.
Faptul că avem o experienţă de ~4 ani strict pe dezvoltarea de astfel de laboratoare cibernetice ne-a creat un avantaj faţă de potenţialii competitori.

Rep.: Cu o interfață prietenoasă, accesibilă, tutorials foarte bine gândite, nu ați reușit să cuceriți piața educațională din România. De fapt, aproape nimeni nu a reușit ceea ce s-a ratificat în strategia naționa lă de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare). În opinia dvs., de unde vine acest blocaj?

Marius Corîci: Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet. Și vă detaliez:

Mediul corupt: Fără a da nume, există trei mari companii din domeniul IT care sunt abonate să facă afaceri cu statul. Toţi le cunoaștem, știm cine sunt, s-a scris foarte mult despre afacerile lor oneroase cu statul și nimeni nu a luat nicio măsură până la această oră să îndrepte sau să schimbe această percepţie.

Ignoranța: Am contactat trei universităţi, prin intermediul profesorilor de specialitate care predau reţelistică, iar răspunsul lor, deși năucitor pentru cineva din EU sau America de Nord, a fost atât de banal și normal pentru o ţară precum România: „Nu avem fonduri alocate” (deși nu s-a ajuns la discuţia de costuri). „Conducerea preferă să cheltuie pe hardware.” „Nu avem catedră de securitate informatică” sau „Nici nu se pune problema de cursuri de securitate.”

Orgoliu: CTF365 are un program de sponsorizare a conferinţelor de securitate cibernetică. Până la această oră, CTF365 a sponsorizat patru conferinţe internaţionale printre care Nuit du Hack și HackMiami. Singura conferinţă de securitate cibernetică cu componentă hands-on din România nu ne-a cerut suportul. Nu că nu ar ști despre CTF365. Aţi menţionat „strategia naţională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare).” În 2014 s-a dezbătut în CSAT ca guvernul să introducă pregătirea obligatorie privind securitatea cibernetică în școli. Platforma CTF365 este unică în lume la această ora și se mulează perfect pe cerinţele CSAT ca suport tehnic de pregătire și antrenament. Nimeni nu ne-a contactat. Nici presa și nici reprezentanţi ai guvernului.
Concluzia? Puse cap la cap, consider că efortul nostru pentru piaţa din România nu se justifică atunci când trebuie să te lupţi cu corupţia și ignoranţa dar nu cu competenţa, calitatea și inovaţia. S-ar justifica într-o piaţă normală, ceea ce nu există încă. Așteptăm să apară.

Rep.: Legea Big Brother este deja parte din trecut. Dar nu s-au rezolvat problemele esențiale. Cum vedeți o lege simplă, aplicabilă și care să respecte libertățile cetățenești?

Marius Corîci: Legea Big Brother trebuie să facă parte din prezent. Este imperativ. Susţin cu tărie crearea legii Big Brother la fel de mult cum susţin, în egală măsură, și drepturile omului. S-a pornit greșit și s-a pierdut esenţa acestei legi. Pe de o parte iniţiatorii legii au ignorat total drepturile omului considerând că pot pune în lege orice le trece prin cap, pe de altă parte societatea civilă s-a simţit ameninţată (pe bună dreptate) și a blocat prin orice mijloace această lege. Din ce trebuia să fie un dialog „umăr la umăr” între guvern (sau legislativ) care apără suveranitatea ţării și cetăţenii și organizaţiile specializate în drepturile omului și libertăţii, s-a ajuns pe poziţii de forţă și contre iar dialogul a dispărut complet ca și proiectul de lege.
Cum văd eu o lege Big Brother? Nu sunt specialist nici în securitate naţională, nici în drepturile omului. Dar pot să vă spun pe ce fundaţie trebuie construită o astfel de lege. Fundaţia legii trebuie să fie: dialogul, drepturile omului, bunul simţ și logica elementară. Unde este nevoie, pe compromisuri, dar fără să ne compromitem. Asta ar fi o regulă general valabilă pentru orice proiect de lege.
Părţile implicate trebuie să cadă de comun acord de necesitatea unei astfel de legi. Dacă una dintre părţi nu este convinsă de această necesitate, atunci nu va exista dialog ci doar contre.
Ar trebui luate în considerare top 10 dintre ţările care respectă cel mai mult drepturile omului, au o astfel de lege și fac parte din UE. Analizate legile lor și adaptate și/sau îmbunătăţite la noi.
Am un deosebit respect pentru Bogdan Manolea și munca sa și sunt convins că pot fi găsite căi legale care să respecte drepturile omului dar în același timp să ne protejeze mai bine de ameninţările cibernetice. Mai ales în situaţia geopolitică actuală cu Rusia ameninţând dinspre Est.

Rep.: Ce credeți că s-ar mai putea face în domeniul securității ciberne tice?

Marius Corîci: Aș face o lege a hacking-ului. Nu ne dăm seama, dar este extrem de importantă o astfel de lege și vă argumentez. Cunosc mulţi cercetători independenţi în domeniul securităţii cibernetice care mi-au prezentat cazuri de vulnerabilităţi critice în diferite domenii. Vulnerabilităţi critice în sistemele bancare, sănătate și altele, din România.

În contextul actual, acești cercetători nu au nici o bază legală prin care să anunţe proprietarii sistemelor respective de aceste vulnerabilităţi critice. Dacă ar face-o în prezent, cel mai probabil, ar putea fi acuzaţi
de acces ne autorizat și închiși ani buni. Este un cerc vicios: ei știu de o vulnerabilitate critică pe care nu o pot raporta de teamă să nu fie închiși, în timp ce alţi hackeri cu intenţii rele ar putea să o descopere și ei și să profite, fie vânzând pe piaţa neagră fie prin exploatarea acelei vulnerabilităţi iar banca sau instituţia respectivă ar avea cel mai mult de suferit.

O lege a hacking-ului i-ar proteja atât pe cercetătorii din domeniul securităţii cibernetice dar și pe instituţiile respective – proprietarii sistemelor vulnerabile.

Cum ar funcţiona o astfel de lege în cel mai simplist mod posibil?

Dacă un hacker etic ar găsi o vulnerabilitate într-un sistem informatic, ar raporta acea vulnerabilitate (cu PoC inclus – Proof of Concept) către CERT Romania, invocând legea hacking-ului. CERT România ar inspecta și verifica acea vulnerabilitate iar în cazul unui rezultat pozitiv, CERT ar anunţa reprezentanţii instituţiei/companiei respective de respectiva vulnerabilitate.

Instituţia ar fixa vulnerabilitatea, în timp ce CERT România ar recunoaște meritele cercetătorului într-un Hall of Fame. Acest Hall of Fame ar putea fi folosit de către cercetător ca și achievement în CV-ul său când ar dori să se angajeze.

Am explicat cât mai simplist, dar urmările pozitive ar fi mult mai mari. Fixarea mai rapidă a unor vulnerabilităţi, premierea chiar și cu bani a hacke rilor etici pentru vulnerabilităţile găsite, creșterea numărului de hackeri etici care ar „supraveghea” securitatea cibernetică.

 

 

1215

jean cristophe

Jean Christophe Schwaab

Născut în 1979, doctor în drept economic, consilier național socialist (Deputat în Camera Poporului Parlementul Federal al Elveției), vice-președinte al Comisiei Afacerilor Juridice a Consiliului Național, membru al direcței și președinte romand al „Asociation Suisse des Employés de Banque” (ASEB), președinte al „Oeuvre Suisse d’Entraide Ouvrière” (OSEO), fost secretar central al USS (Uniunea Națională a Sindicatelor, n.d.r), fost secretar al sindicatului „Unia jeunesse”, fost deputat al Parlamentului cantonal din Vaud, fost membru al comitetului „Union des Etudiant-e-s de Suisse” (UNES) și al „Conseil Suisse des Activités de Jeunesse” (CSAJ). Numeroase articole publicate despre dreptul muncii (lista: schwaab.ch/publications-scientifiques/). Locuiește la Riex (Canton de Vaud), căsătorit, doi copii.

Twitter: @jcschwaab
Site web: schwaab.ch

autor: Laurent Chrzanovski

Redactor: La 36 de ani sunteți deja doctor în drept, cu o diplomă de studii avansate la IDHEAP, sunteți Președinte romand al „Association des employés de banque” și Președinte al rețelei de asociații „Oeuvre Suisse d’Entraide Ouvrière”. Cel mai important însă este faptul că sunteți din 2011 Consilier National și vice-președinte al Comisiei de afaceri juridice, din Parlamentul federal al Elveției.

Domnule Deputat, palmaresul dumneavoastră profesional și politic atât de strălucitor nu pare să vă fi predestinat a fi autorul atâtor postulate, interpelări și moțiuni privind protecția datelor digitale și a problemelor legate de utilizarea Internet of Things (IoT). De unde vine o așa mare pasiune și cum ați dobândit atâtea cunoștințe în acest domeniu?

Jean Christophe Schwaab: Protecţia datelor, după părerea mea, este una din provocările majore ale societăţii noastre hiperconectate. Statele și întreprinderile private care prelucrează date au făcut progrese tehnologice fulgurante în ultimii ani, care însă în acest moment se află pe punctul de a ameninţa chiar însăși existenţa sferei private. De aceea vorbim azi de necesitatea unei mobilizări urgente pentru a apăra acest drept fundamental al omului. Eu cred că există un interes public major pentru asta și că acest lucru este în interesul populaţiei care m-a ales.

Din păcate sunt foarte puţini aleși care sunt conștienţi de asta. Și nu e neapărat o chestiune de generaţie, spunând asta chiar dacă cei câţiva colegi ai mei care îmi împărtăşesc părerea sunt majoritatea tineri, obișnuiţi să folosească cele mai noi tehnologii și Social Media.

Cum nu am la bază o formare tehnică sau legată de noile tehnologii, am învăţat totul „din mers”. Am citit mult, mai ales informaţie de pe site-urile specializate, am întâlnit experţi și sunt în continuare în contact cu numeroși specialiști, mai ales graţie reţelelor sociale (ex. Twitter). Fiind de natură foarte curios, conserv un număr mare de articole pe acest subiect. Cei apropiaţi mie precum și militanţii din partidul meu știu asta și îmi transmit foarte adesea informaţii sau sugestii.

Redactor: În 2013, ați formulat și înaintat două postulate (13.3806 și 13.3807) pentru întărirea protecției datelor, referitoare la „privacy by design” și „privacy by default”. Consiliul federal propune adoptarea lor. În ce vor consta aceste măsuri odată ce ele vor fi puse în aplicare?
Jean Christophe Schwaab: Aceste propuneri vizează inversarea logicii actuale în materie de protecţia datelor. De exemplu acum utilizatorul este responsabil să vegheze ca datele sale să nu fie utilizate complet aiurea și, foarte adesea, cei care tratează datele au „o hârtie semnată în alb”, o autorizaţie generală de a trata, modifica, reutiliza și revinde datele personale. Prin aplicarea acestor două concepte, utilizatorul ar fi gestionarul propriilor sale date tot timpul, iar cel care ar dori să le utilizeze, ar trebui ca, la fiecare utilizare a lor, să ceară o autorizare expresă. De altfel, toate noile tehnologii, toate bunurile noi și serviciile care permit tratarea datelor personale ar trebui să fie concepute de o asemenea manieră, încât să garanteze protecţia acestor date. De asemenea, va trebui să evităm ca datele colectate cu acordul utilizatorului într-un scop precis, să nu fie reutilizate mai târziu fără să știe și de o manieră mai invazivă faţă de ceea ce s-a imaginat la început. Odată cu avântul pe care l-a luat „big data”, este de fapt posibil de a contura profile precise și intime ale personalităţii oamenilor, graţie datelor anodine (de exemplu statistici de vânzări). În momentul în care aceste date au început să fie colectate, nimeni nu putea bănui posibilităţile pe care ele le vor oferi câţiva ani mai târziu. De aceea este în mod capital necesar să fie prevăzute reguli specifice, astfel încât utilizarea ulterioară a acestor date să respecte sfera privată.

Red: Este vorba doar de a da un puternic semnal de alarmă sau vă gândiți că asemenea măsuri să poată fi puse în practică într-o lume în care nicio rețea socială, motor de căutare sau sistem de arhivă video nu are un domiciliu legal în Elveția, sau poate nici chiar în Europa (cf. victoria UE în ceea ce privește „dreptul de a fi uitat”)?

Jean Christophe Schwaab: Google s-a pliat pe legislaţia elveţiană, respectând hotărârea Tribunalului Federal „Google Street View”. Deci este posibilă impunerea legislaţiei naţionale inclusiv firmelor internaţionale, rămânând însă o chestiune de voinţă politică. Sunt convins că deciziile tribunalelor elveţiene și amenzile usturătoare care se vor aplica în cazul încălcării lor vor avea efect chiar dacă e vorba de multinaţionale care nu au nici sediu, nici sucursale în Elveţia.

Red: Ceea ce ne frapează cel mai mult în activitatea recentă, este fără îndoială postulatul dumneavoastră (14.3739) care cere introducerea conceptului de „control by design”* și mai ales faptul că el a fost acceptat. Pragmatismul și inteligența demersului pe care l-ați făcut sunt din toate punctele de vedere în afara oricăror norme, în fața pericolelor gigantice și a beneficiilor în aceeași proporție, generate de IoT (Internet of Things).

Din partea unui Doctor în drept, ne-am fi așteptat la o propunere de genul unui lung text normativ, în locul tuturor acestor reglementări (dezbătute în acest moment chiar în majoritatea țărilor europene), esențial legate de problemele din ce în ce mai recurente privind falii de securitate sau absența unei trasabilități a datelor emise de „obiecte” conectate. Dumneavoastră ați abordat problema sub un unghi neașteptat, și anume cel al proprietății intelectuale și al dreptului inalienabil al proprietarilor de a putea deconecta „obiectele” care le aparțin sau, în cazul în care ei acceptă conexiunea, să poată să decidă care date pot fi transmise terților. În mod paradoxal, discuția devine mult mai simplă și evită să se împotmolească în termeni pe care nicio instituție nu i-a consacrat încă, întrucât aceștia nu pot defini un conținut precis (identitate virtuală, internetul obiectelor, cyber-securitate). De unde v-a venit această idee și cum ați reușit să elaborați acest postulat?

Jean Christophe Schwaab: În timp ce urmăream scandalul „ascultărilor” de la NSA, am descoperit un text despre afacerea Snowden care descria conceptul de „control încă din momentul concepţiei” (control by design). Cum mă interesasem îndeaproape despre obiectele conectate, ideea mi s-a părut imediat foarte interesantă. Cum sunt jurist, primul lucru care mi-a venit în minte a fost să propun un text de lege complet redactat sub forma unei iniţiative parlamentare (care să permită Parlementului să îl legifereze el însuși). Însă după o discuţie cu administraţia federală, am ales până la urmă o formă mai puţin „constrângătoare” a postulatului (care nu face decât să ceară un raport Consiliului Federal), pe de o parte în scopul de a crește șansele ca propunerea mea să fie acceptată și pe de altă parte pentru a lasa administraţia să aprofundeze chestiunea ridicată, de oarece este mult mai potrivită decât un parlamentar cu resurse foarte limitate. Acest demers a avut succes, propunerea fiind acceptată cu acordul Guvernului. O anecdotă mi-a întărit convingerile: recent, mi-am pierdut cardul de credit și deci a trebuit să îl înlocuiesc. În momentul în care mi-am comandat noul card, am cerut ca acesta să nu fie dotat cu un sistem de plăţi contactless de tip „NFC” (near field communication). Această tehnologie nu este deloc sigură, deoarece ea lasă posibilitatea piratării unui card de la distanţă. Iată însă că, cel care trebuia să îmi emită cardul meu de credit mi-a comunicat că este imposibil să beneficiez de un card care să nu dispună de o astfel de tehnologie. Deci furnizorul dotează din start cardurile cu tehnologii care deschid breșe în securitatea datelor, în timp ce doar consumatorul este cel care preia riscul și și-l asumă. De aceea consider că se impune un control încă din faza de concepţie care trebuie să remedieze acest lucru, dând posesorului unui obiect, dreptul la a-l deconecta dacă el așa consideră.

Red: Cum anume și în cât timp vedeți dumneavoastră aplicarea acestui postulat și care vor fi rezultatele sale pe termen scurt și mediu?

Jean Christophe Schwaab: Fabricanţii de obiecte ce pot fi potenţial conectate la orice reţea (cu sau fără posibilitatea de schimb de date) vor trebui să le doteze cu o funcţie care să permită oricând oprirea oricărei conexiuni a acestora. Un simplu buton „ON/OFF” ar fi suficient.

Red: Dacă am considera că întreprinderile de IT care dezvoltă IoT ar fi făcut pe acest segment un profit de peste 87% în 2014, v-ați aștepta ca acest text să poată fi „alterat” astfel încât să nu poată să împiedice dezvoltarea unui comerț atât de înfloritor și să fie supus în acest scop unui referendum?

Jean Christophe Schwaab: Nu cred, deoarece aplicarea conceptului ar trebui să fie foarte simplă. De altfel, fabricanţii au interes să joace cartea transparenţei, deoarece sensibilitatea publicului crește din ce în ce mai mult.

Red: Să privim câteva exemple: acum trei luni au fost descoperite la Rotterdam 20.000 frigidere WI FI cu malware integrat, sau Dick Cheney care a dezacti vat pentru motive de securitate WI FI de la defibrilatorul conectat la pacemaker-ul său, sau ethical hackers care au dovedit deja acum patru ani cât de ușor poate fi asasi nat oricare purtător al unei centuri de insulină cu bluetooth. Cu toate că demersul dumneavoastră este unul dintre cele mai rare și probabil cele mai percutante, el face parte dintr-un domeniu pe care politicul are tendința să îl ignore. Cum explicați ușurința totală cu care „obiectele conectate” sunt admise pe piață, atât în Elveția cât și în Europa, de la brățările de jogging până la obiecte vitale, cum ar fi inimile artificiale?

Jean Christophe Schwaab: Asta arată că legiuitorii sunt depășiţi de evoluţiile tehnologice și că trebuie să reacţioneze imediat legat de acest aspect. Asta mai arată de asemenea pertinenţa propunerii mele de a introduce „controlul încă din momentul concepţiei”, care ar evita foarte bine multe din problemele pe care le-aţi evocat.

Red: Demersul dumneavoastră, difuzat de cele mai mari ziare din Elveția, a avut deja un succes de imagine, contrastând cu lipsa de campanii periodice de sensibilizare a publicului și a persoanelor de decizie, în ceea ce privește protejarea vieții lor private, personale și profesionale pe Internet. Și cu toate că Elveția are exemplul cel mai reușit de organism de dialog public-privat în materie, MELANI, cum de nu vedem încă inițierea unor campanii periodice de prevenție în școli, în întreprinderi sau universități? Credeți că însăși lipsa conștientizării politicienilor, chiar în ceea ce privește propria lor viață, este de fapt cauza?

Jean Christophe Schwaab: Lipsa conștientizării este din păcate generalizată în sânul populaţiei, chiar dacă lucrurile încep încet să se amelioreze (adesea în urma unor scandaluri, cum a fost de exemplu cel de la NSA). Aleșii nu sunt decât o reflectare a populaţiei care i-a ales. Majoritatea nu au înţeles încă faptul că de acum înainte se pot obţine date foarte sensibile despre o persoană, nu numai pentru că își povestește viaţa sa pe reţele sociale, cât mai ales prin analiza datelor anodine în număr foarte mare (big data). Educaţia în sfera protecţiei private trebuie să fie dezvoltată, mai ales în școli.

Red: Aveți doi copii. Cum vă imaginați Internetul (cel al „ființelor” sau al „obiectelor”) pe care ei îl vor cunoaște atunci când vor deveni adulți? Mai reglementat, mai sigur? Sau dimpotrivă, o junglă în care doar persoanele informate vor ști să facă alegerile potrivite pentru a nu deveni victime „by design”?

Jean Christophe Schwaab: Din păcate, ambele opţiuni sunt posibile. Trăim o perioadă crucială în care fie deciziile menite să protejeze și să menţină sfera privată sunt luate acum, fie acest drept fundamental riscă să dispară. Orice se va întâmpla, lumea în care vor trăi copiii mei va fi încă și mai mult conectată decât cea pe care o cunoaștem, iar protecţia și gestionarea datelor personale vor avea încă și mai multă importanţă.

* http://www.schwaab.ch/archives/2014/09/17/control-by-design/

matei

Cătălin Matei

CEO Veracomp. din 2007. Anterior a ocupat poziția de director de vanzari la Transglobal, DNA Software și DATACOM.

R: Ce inseamna solutiile de securitate pentru Veracomp?
CM: Inseamna foarte mult! Inca de la inceput, componenta de securitate a fost una dintre cele mai importante din portofoliul Veracomp. In acest moment pe acest segment de solutii avem o serie branduri leader: F5, Fortinet, RSA si isheriff (fostul eTrust).Practic, in proiectele de securitate pe care le avem acoperim prin brandurile din portofoliul intregul spectru de necesitati! De altfel, acest lucru se reflecta in mod direct si in cifra de afaceri realizata. Aproape 60% din proiectele incheiate si veniturile realizate in 2014 au fost realizate cu solutiile de securitate – si, partial, networking ar trebui sa adaug pentru claritate. Adaug networking pentru ca, de cele mai multe ori, cele doua se completeaza in procente variabile – nu doar la nivel de proiect, dar chiar si la nivel de produs. Este destul de dificil de facut o separare completa, iar faptul ca layerul de securitate apare tot mai pregnant nu numai in solutiile de networking, dar si in cele de stocare sau chiar telecomunicatii – spune ceva!

R: Cum se raporteaza Veracomp la conceptul de cybersecurity?
CM: Extrem de bine!
Notiunea de cybersecurity este un concept care inglobeaza tehnologii, procese si metode menite sa protejeze sistemele informatice si datele impotriva accesului neautorizat. F5, Fortinet si RSA sunt recunoscuti la nivel global pentru strategia, eforturile si investitiile pe care fac in cercetare-dezvoltare in domeniul cybersecurity. De altfel, Fortinet este unul din fondatorii Anti Cyber Threat Alliance (cyberthreatalliance.org). Ca atare, prin intermediul producatorilor pe care ii detinem in portoliul de solutii ne pozitionam cel putin bine pe acest segment.

R: Cum se traduce Cybersecurity din experienta clientului final?
CM: In mod cert, in ultimii 2 ani, la nivel global dar si local, spectrul amenintarilor cibernetice a capatat o complexitate mult mai mare. Mai mult, s-a marit considerabil si suprafata de atac, prin expunerea in Internet a diverselor aplicatii si servicii.Ca si exemplu, atacurile volumetrice asupra infrastructurii, de natura bruta, au fost inlocuite cu atacuri „multi stage”, sofisticate, a caror detectie este mult mai dificila.

R: Care credeti ca sunt tendintele 2015 in domeniul cybersecurity?
CM:  Cand vorbim de cybersecurity, de fapt vorbim de noile atacuri si metode aparute. Atacurile au evoluat foarte mult in ultimii ani de la atacuri brute la atacuri sofisticate de tip APT, iar in ultimul timp putem vorbi de atacuri orchestrate politic de tari, ca instrumente politice. In climatul geo-politic existent, Romania poate deveni o tinta a acestui nou tip de atac. Faptul ca gradul de sofisticare al atacurilor a crescut este foarte evident in banking. Se observa evolutia clara de la atacurile cu troieni ca: Zeus, Citadel sau Conficker, la variante de atacuri customizate pentru anumite banci, ca si exemplu fiind multiplele atacuri din 2014 ale malware-ului Dyre. Atacurile directionate indica o cunoastere foarte buna de catre atacatori a masurilor de protectie existente in infrastructura atacata. Este vizibil un alt trend care va evolua rapid, si in Romania de altfel, si anume atacurile asupra sistemelor de operare si aplicatiilor dispozitivelor mobile.

R: Care este componenta cel mai dificil de gestionat intr-un proiect de securitate?
CM: In anii facultatii, perioada cea mai dificiala era, invariabil, sesiunea. Au trecut ‘cativa’ ani de atunci, iar acum privesc lucrurile cu totul diferit: atata timp cat totul depinde de tine si, in mare, stii la ce sa te astepti, solutia este simpla, iar cheia sta in planificarea corecta. La fel si daca variabilele sunt oamenii din jurul tau: increderea, intelegerea si sustinerea sunt principii elementare in viata, nu doar in business. Acestea ajuta enorm la depasirea situatiilor sensibile. Adevarata lupta –indiferent de tipologia proiectului – nu se reduce la bugete sau idetnificarea si implemetarea solutiei; adevarata lupta se duce cu sistemele. Componenta financiara este, fara indoiala, una dintre cele mai dificile de gestionat, mai ales in contextul actual: ca distribuitor avem responsabilitatea de a finanta proiectele, care in multe cazuri sar din schema si termenele uzuale, asumate de colegi din alte tari europene. Cu toate acestea, suntem – la ora actuala – unul dintre cei mai stabili distribuitori de solutii din piata romaneasca, iar aici este ‘meritul’ apartenetei la o suprastructura.     

R: Care sunt obiectivele Veracomp pentru 2015?
CM: Am inceput 2015 in forta. Vom investi masiv in echipa propria echipa pe care intentionam sa o crestem semnificativ pana la sfasitul anului. Vom face eforturi sustinute pentru a realiza cat mai corect, complet si rapid transferul de competente la nivelul retelei de parteneri.Am pregatit, in acest sens, un calendar de evenimente, seminare si traininguri pe care vrem sa organiza pentru a ne atinge acest obiectiv. Aceste doua componente – dezvoltarea echipei si transferul de competente – sunt elemente esentiale ale strategiei noastre. In ceea ce priveste cifra de afaceri: am incheiat 2014 cu o crestere de aproximativ 50% fata de 2013. Si in 2015 ne dorim sa mentinem un trend ascendent, dar cu valori procentuale mai modeste decat in anul precedent: prioritatea este sa consolidam!

1310

besnik

Besnik Limaj,
Team Leader, ENCYSEC project

Rep.: Domnule Limaj, sunteți liderul echipei ENCYSEC, un proiect important finanțat de UE, în care sunt implicate mai multe state. Vă rugăm să ne prezentați istoria, scopul, țările și instituțiile implicate.
Besnik Limaj: Proiectul “Enhancing Cyber Security” (îmbunătățirea securității cibernetice), este finanțat de IcSP (European Union’s Instrument contributing to Stability and Peace) și este implementat de un consorțiu condus de agenția guvernamentală franceză ADETEF (http://www.adetef.fr/) și de CIVI.POL Conseil (http://www.civipol.fr/en).
Proiectul își propune să crească securitatea și reziliența rețelelor ICT (Information Communication Technologies) într-un număr de țări selectate prin construirea de capabilități locale care să pevină în mod adecvat, să răspundă și să acționeze în justiție atacurile cibernetice și/sau căderile accidentale. Din punct de vedere geografic, proiectul acoperă zona de vest a Balcanilor și Sud Estul Europei și anume fosta republică iugoslavă Macedonia (FYROM), Kosovo și Moldova.
Proiectul este alcătuit din următoarele trei componente:
Componenta 1: strategii cyber security și de creștere a conștientizării
Componenta 2: construirea de capabilităși c.e.r.t
Componenta 3: îmbunătățirea cooperării: ppp (parteneriate public-private) și cooperare internațională
Proiectul a fost lansat la 6 ianuarie 2014 și va dura patru ani. Bugetul total al proiectului este de cca. 1,5 milioane de euro.

Rep.: Ce obiective ați reușit deja să atingeți și cu ce provocări vă confruntați?
B.L.: Cea mai mare reușită am obținut-o în cadrul Componentei 2. În momentul lansării proiectului nu existau CERT-uri în FYROM și Kosovo. În acest moment acestea au devenit operaționale și depunem eforturi consistente în creșterea capacităților lor operaționale prin workshop-uri și training-uri, prin facilitarea participării la diferite conferințe și prin participarea la întâlnirile Trusted Introducer de la Roma, unde au ocazia de a se întâlni cu colegi de la alte CERT-uri din Europa.
În plus tocmai am finalizat un tur de studii de două zile la CERT România, în cadrul căruia participanții au avut ocazia să vadă modul în care se răspunde la incidentele de zi cu zi și ce fel de instrumente sunt folosite.
Cele mai mari provocări se regăsesc în cadrul Componentei 1 (Cyber Security Strategy) și Componentei 3 (PPP).
În privința dezvoltării strategiei de securitate cibernetică, cea mai mare provocare este crearea grupului de lucru și stabilirea celor care să conducă grupul. Fiecare minister și agenție afirmă că ei sunt instituția principală care ar trebui să conducă grupul de lucru și există o lipsă de dorință de comunicare între stakeholderi. Dacă ne referim la PPP, este foarte dificil să convingem sectorul privat să împărtășească incidentele de securitate care li se întâmplă. Cea mai mare frică este cauzată de pierderea reputației în fața clienților lor în cazul în care fac public un incident.

Rep.: Am avut plăcerea să ne întâlnim de două ori în România cu delegația Dvs. și să constatăm excelentele relații pe care ENCYSEC le are cu instituțiile române din domeniul securității cibernetice, în mod special cu CERT-RO. Care este valoarea adăugată pe care România o poate aduce pentru ENCYSEC?
B.L.: România a adăugat o valoare importantă proiectului. Unul dintre cei doi experți CERT de care dispunem pe termen scurt vine de la CERT-Romania. Al doilea este de la CERT-Republica Cehă. Mai avem și un expert KE2 în CyberSecurity din România. Suplimentar, anul trecut în cadrul conferinței CyberSecurity in Romania de la Sibiu am identificat câțiva experți potențiali CS din România pe care vom încerca să îi implicăm ca experți pe termen scurt în cadrul proiectului.

Rep.: Vedem adesea că România și Polonia sunt descrise ca fiind Eldorado-ul european în materie de IT. Cum vedeți România din punctul de vedere al securității IT?
B.L.: România are un mare potențial în IT. Se spune că limba română este a doua limbă vorbită la Microsoft, datorită numărului mare de specialiști români. Jos pălăria în fața experților români în IT la nivel mondial.

Rep.: Asupra căror aspecte ale securității cibernetice ar trebui să se concentreze atenția României și a instituțiilor EU, după părerea Dvs.?
B.L.: Cel mai mult mă îngrijorează infrastructurile critice și mai specific protecția acestora – Critical Information Infrastructure Protection (CIIP). În zilele noastre sistemele SCADA sunt extrem de vulnerabile în fața atacurilor cibernetice. Un sistem SCADA poate fi atacat pornind de la un hacker care încearcă doar să dovedească că îți poate străpunge mecanismele de protecție și până la un terorist care dorește să distrugă centralele de producere a energiei electrice, furnizarea de apă, instalațiile petroliere și conductele de distribuție, sistemul de căi ferate etc.

Rep.: Activați în mai multe țări UE și non UE. De ce credeți că durează atât de mult implementarea creșterii conștientizării pericolelor cauzate de securitatea cibernetică, în școli, prin evenimente dedicate pentru adulți sau pe web, în ciuda numărului mare de strategii oficiale și de documente care insistă asupra faptului că aceasta ar constitui o prioritate?
B.L.: Luna trecută am participat la o conferință de CyberSecurity la Bruxelles, denumită CyberNeeds.eu, și acolo am auzit o idee interesantă care afirma că ar trebui să lăsăm pe cei de la Disney să facă această conștientizare publică. Ei știu cum să construiască mesajul și cum să-l livreze celor de la 2 și până la 82 de ani. Ideea este de a găsi mecanismele prin care mesajele să fie livrate cu ușurință către populație.

Rep.: ENCYSEC are un punct de vedere particular în această privință? Elaborați strategii pentru publicul general și pentru copii?
B.L.: Da.. O parte a strategiei de securitate cibernetică pe care o construim pentru țările beneficiare (partenere) se adresează atât publicului larg cât și copiilor.

EDITIE SPECIALA – INTERNET OF THINGS

1990
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1661
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3082
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1757
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1697
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1768
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...