Ce așteptăm de la comunitatea CERT?

Ce așteptăm de la comunitatea CERT?

138

În perioada ultimilor ani, asistăm la o dezvoltare accelerată a entităților destinate combaterii amenințărilor cibernetice și m anagementului incidentelor de securitate cibernetică – c unoscute sub denumirea de CERT, precum și la o creștere (cel puțin din punct de vedere statistic) a numărului experților în acest domeniu. E vident, acest fenomen este răspunsul societății noastre la ceea ce se întâmplă în mediul online, atât din perspectiva creșterii p onderii utilizării tehnologiei în toate domeniile vieții, dar și a evoluțiilor s pectaculoase înregistrate de atacurile cibernetice la nivel global.
Deopotrivă în mediul privat, cât și în mediul guvernamental, crearea structurilor de tip CERT și angajarea de person al specializat în diverse discipline conexe domeniului securităţii cibernetice ar trebui să asigure un răspuns adecvat celor mai sofisticate atacuri cibernetice care ar putea fi generate de orice fel de actor, indiferent de motivaţia și resursele pe care acesta le are la dispoziţie.
Dar oare toate aceste structuri și pleiada de experţi prezenţi în spaţiul public au capacitatea să livreze rezultatele așteptate?
Având în vedere mesajele prezente în mai toate lucrările, articolele sau conferinţele de specialitate în ultima perioadă, pe care eu personal le percep ca fiind de regulă lipsite de proporţionalitate în raport cu nivelul real de risc, de cele mai multe ori fiind prea alarmante și de prea puţine ori oferind soluţii adaptate publicului larg sau secţiunii de public căreia se adresează, pot să afirm clar că nivelul de pericol generat de atacurile cibernetice care au loc online în prezent se situează mult sub nivelul critic care ar genera efecte devastatoare, așa cum ni se prezintă de multe ori situaţia de ansamblu a securităţii Internetului și tehnologiei în general. Referinţa generică la care mă raportez pentru a-mi susţine această afirmaţie o reprezintă creșterea evidentă și din ce în ce mai accelerată a serviciilor oferite online, atât de către guvernele multor state, precum și de mediul de afaceri. Simplu, dacă riscurile ar fi mai mari decât oportunităţile, în mod clar investiţiile în dezvoltarea de noi servicii online nu ar avea eficienţă.
Totuși, evoluţia constantă a complexităţii atacurilor cibernetice, precum și rezultatele obţinute de atacatori, pun serioase probleme comunităţilor specializate în domeniul securităţii cibernetice, atât din perspectiva asigurării securităţii cetăţeanului, utilizator de tehnologie și de servicii online sau a guvernelor care trebuie să asigure condiţiile necesare funcţionării infrastructurilor critice în condiţii de securitate, precum și din perspectiva companiilor private furnizoare de tehnologie sau servicii în acest domeniu.
Nu-mi voi susţine afirmaţiile prin copierea diverselor date statistice sau descrieri ale unor atacuri cibernetice extrem de distructive sau sofisticate care au avut loc în ultima perioadă, sunt suficiente resurse de încredere online specializate în acest sens, ci voi încerca să sintetizez câteva idei despre ceea ce consider că lipsește astăzi la nivel global, astfel încât starea de securitate și încredere în tehnologie să prevaleze ameninţărilor de orice natură și panicii generale pe care o percep de fiecare dată când ceva periculos se întâmplă online, adesea neprevăzut de nimeni.
Nu susţin aici viziuni mesianice asupra a ceea ce trebuie făcut în domeniul securităţii cibernetice, ci încerc să evidenţiez faptul că, deși se fac o serie de pași înainte în acest domeniu, prin demersuri de reglementare, înfiinţarea de structuri specializate noi etc., progresele reale se lasă așteptate iar potenţialitatea unui Armagedon cibernetic ce ar putea să se manifeste într-o stare generală de criză globală devine din ce în ce mai probabilă.
O să mă opresc în acest articol la structurile de tip CERT și de ce consider că, în general, aceste structuri nu au atins gradul de maturitate necesar pentru a face faţă situaţiei reale cu care se confruntă online.
Fie că aducem în discuţie entităţi de tip CERT guvernamentale, fie cele destinate mediului privat, acestea au fost înfiinţate cu un singur obiectiv generic: creșterea gradului de rezilienţă a infrastructurilor protejate și asigurarea securităţii informaţiilor vehiculate prin intermediul acestora, incluzând aici și funcţionalităţile critice asigurate prin intermediul tehnologiei în cadrul unor infrastructuri critice.
Aceste tipuri de entităţi au o activitate din ce în ce mai vizibilă la nivel global și în special la nivel european, paginile web ale acestor tipuri de structuri fiind abundente în informaţii utile tuturor, însă de cele mai multe ori activităţile acestor tipuri de structuri au cu preponderenţă o componentă reactiv-defensivă în detrimentul componentei preventive, mult mai importantă din perspectiva nevoii de securitate a Internetului.
Desigur, afirmaţia mea este una contestabilă, însă este inspirată de una dintre activităţile zilnice pe care le desfășor în calitate de director de securitate în cadrul unei instituţii financiar-bancare: căutarea de informaţii valide despre noi tipuri de atacuri cibernetice (Indicatori de Compromitere, Indicatori de Atac, analize de malware, evaluări specializate și încercări de atribuire a unor atacuri cibernetice complexe, etc.), în scopul de a putea adapta sistemele tehnice și procedurale ale organizaţiei pe care am fost angajat să o protejez la cele mai noi categorii de riscuri.
Dacă pentru proceduri, politici și sfaturi utile, în special pentru adecvarea răspunsului la un atac cibernetic care deja a produs efecte, paginile web și feed-urile de securitate generate de diversele organisme de tip CERT se dovedesc valoroase (Ex: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/cert_about. html, https://www.ncsc.gov.uk/, https://cert.ro/), informaţii acţionabile (cu utilitate imediată) care vizează atacuri noi, complexe, sofisticate și care generează un impact semnificativ la nivelul infrastucturilor vizate le regăsesc de cele mai multe ori în cadrul resurselor informaţionale puse la dispoziţie (atât public, cât și în cadrul unor relaţii contractuale) de companiile specializate în domeniul securităţii cibernetice.
Unii ar putea spune că este normal, pentru că aceste companii sunt înfiinţate tocmai în acest scop… însă dacă analizăm obiectivele și resursele financiare semnificative investite de guverne sau mediul de afaceri în resurse de tip CERT, înţelegem cu toţii că ceva nu merge tocmai bine.
Voi încerca să prezint câteva acţiuni pe care le consider ca fiind priorităţi de grad 0 pentru comunitate, astfel încât funcţia preventivă a unei structuri de tip CERT să prevaleze în faţa reactivităţii manifestate în prezent, astfel:

  • paradigma parteneriat public-privat trebuie schimbată prin acţiuni concrete, nu neapărat prin legislaţie. Deși pare o afirmaţie hazardată, nu există legislaţie care să interzică cooperarea reală între mediul public și cel privat, există doar decidenţi nehotărâţi (de ambele părţi) sau care nu înţeleg beneficiile diverselor formate de cooperare;
  • pe lângă campaniile publice de informare asupra pericolelor online, care de cele mai multe ori sunt orientate tot către public avizat și pe lângă permanenta căutare a responsabililor cu educaţia cetăţenilor, implicarea reală în elaborarea de materiale educaţionale simple, inteligibile și personalizate care ar putea fi puse la dispoziţia diverselor categorii de public, inclusiv prin introducerea rapidă a acestora în cadrul programelor de învăţământ la toate nivelurile;
  • campanii de educare adresate managerilor din sectorul privat și decidenţilor din sectorul public. O persoană neinformată corect ia și va lua decizii greșite sau nu va lua deciziile potrivite;
  • elaborarea de cursuri pentru formarea de competenţe în domeniul răspunsului la incidente de securitate cibernetică – accesibile din punct de vedere financiar și actualizate ca și conţinut de câte ori realitatea o impune – pe lângă certificările valoroase (scumpe și inaccesibile unei largi majorităţi) oferite de diverse entităţi private și oferta mediului academic, ar completa nevoia reală de expertiză cerută de piaţă;
  • schimbul de informaţii în timp real – nu există scuză și motivaţie reală pentru a nu pune la dispoziţie, în timp real, indicatori de atac sau de compromitere, în cazul detectării unui atac cibernetic cu impact semnificativ. Standardizarea mai rapidă a formatului schimburilor de date la nivelul comunităţii ar duce cu rapiditate la scăderea timpului de răspuns și creșterea compatibilităţii sistemelor tehnologice utilizate de diverse comunităţi de tip CERT;
  • crearea unor structuri proprii destinate detecţiei, răspunsului și analizei atacurilor cibernetice eficiente, prin adoptarea bunelor practici utilizate de companiile private cele mai eficiente în domeniu (selecţie pe criterii de competenţă a managerilor și experţilor, asigurarea unor venituri adecvate importanţei și criticalităţii activităţilor derulate, accesarea de training avansat și utilizarea unor instrumente tehnologice competitive etc.);
  • asumarea rolului de arbitru între diversele entităţi și sectoare economice care nu schimbă informaţii din motive care ţin de mediul concurenţial;
  • asumarea rolului de furnizori de încredere prin validarea diverselor tehnologii furnizate de piaţa de profil;
  • asumarea eșecurilor și valorificarea mai activă a lecţiilor învăţate;
  • furnizarea periodică a unor produse de tip Cyber Threat Intelligence, care să conţină, pe lângă componenta tehnică acţională (pe care sunt orientate majoritatea platformelor și furnizorilor actuali), analize și evaluări profesionale cu privire la evoluţia de perspectivă a mediului de securitate online în vederea consolidării componentei de prevenţie și susţinerii informaţionale a actului de decizie (atât în mediul public, cât și în cel privat).

Fără a avea pretenţia că am acoperit toate problemele comunităţii CERT sau că am oferit soluţii speciale, am certitudinea că aspectele prezentate vor crea contro verse, iar din experienţa mea, contradicţiile și critica constructivă generează evoluţie.

autor: Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.