Despre „Cybersecurity in Romania, ediţia a IV-a, 2016”: un white paper

Despre „Cybersecurity in Romania, ediţia a IV-a, 2016”: un white paper

331

Al 4-lea Congres macro-regional „Cybersecurity in Romania” s-a desfăşurat la Sibiu între 14 şi 16 septembrie 2016. Ocazie unică de a face bilanţul cu privire la evoluţiile sau la întârzierile în domeniul securităţii informatice în sens larg, Forumul a fost gazda unor personalităţi recunoscute ca experţi în domeniu. Ediţia din 2016 a facilitat clarificarea a 4 aspecte:

  1. adoptarea unei abordări proactive pentru gestionarea ameninţărilor geopolitice;
  2. securizarea mai puternică a internetului concomitent cu apariţia unor noi obiecte conectate;
  3. implementarea de programe de informare asupra ameninţărilor critice şi de diseminare a informaţiilor;
  4. adoptarea de noi măsuri de siguranţă în domeniul comerţului electronic.


Potrivit lui Marco OBISO, coordonator în cibersecuritate al Uniunii Internaţionale a Telecomunicaţiilor, doar 73 de state au adoptat o strategie naţională în domeniul cibersecurităţii cu scopul de a construi un ciber-spaţiu securizat şi rezistent pentru cetăţenii acestora.
Şi totuşi, celelalte ţări membre ale UIT nu au rămas inactive în acest domeniu, întrucât 103 ţări au constituite echipe de intervenţie în caz de incident de securitate informatică (Computer Incident Response Team). În afară de acţiunile preventive şi curative pe care le operează la nivel naţional, CIRT împarte informaţiile proprii cu comunitatea mondială, permiţând astfel fiecărei ţări să îşi îmbunătăţească gradul de protecţie.
În domeniul cibercriminalităţii şi protecţiei datelor, toate ţările europene şi-au adaptat legislaţia; cu toate acestea, doar Bulgaria, Finlanda, Germania, Grecia, Letonia şi Polonia au impus măsuri obligatorii de protecţie a ciberspaţiului.
În Europa, eforturile din punct de vedere legal, tehnic, organizatoric sau în materie de cooperare naţională (între sectorul privat şi cel public) şi internaţională sunt evidente, însă rămân unele aspecte care necesită îmbunătăţiri, printre care nevoia definirii unui cadru şi instituirii unei proceduri de certificare şi acreditare a specialiştilor în cibersecuritate (doar trei state au făcut-o deja) sau nevoia definirii unui cadru de aplicare a normelor de cibersecuritate. Un alt punct slab indicat de către UIT: formarea specialiştilor care să contribuie la aplicarea legii, întrucât doar 9 state au creat instituţii de formare specifice pentru forţele de ordine proprii.

Delegaţie AR Franche-Comté ale IHEDN la congres


În viziunea d-lui Dr. Dan TOFAN, expert în cadrul Agenţiei Europene însărcinate cu securitatea reţelelor şi a informaţiei, Uniunea Europeană a ţinut cont de noile ameninţări asupra ciberspaţiului, ceea ce a condus la elaborarea, de către Comisia Europeană, a unei directive care răspunde în parte observaţiilor UIT, „directiva privind s ecuritatea reţelelor şi a sistemelor informatice (NIS Directive)”. Această directivă are ca obiectiv aducerea capacităţilor de cibersecuritate la un nivel comun de dezvoltare în toate statele membre ale UE, în scopul garantării schimbului de informaţii şi de cooperare, inclusiv la nivel transfrontalier. Aceasta instituie obligaţia, pentru statele membre:

  1. De a se pregăti, solicitând să poată dispune de minimum o echipă de intervenţie în caz de incidente de securitate informatică (CSIRT) şi de o autoritate naţională competentă;
  2. De a exista cooperare între toate statele membre, c reându-se astfel un grup de cooperare, cu scopul de a susţine şi de a facilita cooperarea strategică şi schimbul de informaţii între statele membre. Acestea vor trebui să instituie o reţea CSIRT pentru promovarea unei cooperări operaţionale rapide şi eficiente în incidente specifice de cibersecuritate şi pentru a împărtăşi informaţii cu privire la riscuri;
  3. De a iniţia o cultură a securităţii în toate sectoarele vitale ale economiei şi ale societăţii şi care, în plus, depind mult de TIC, cum ar fi energia, transporturile, apa, băncile, infrastructuri ale pieţei financiare, sectorul sănătăţii şi infrastructura digitală. Întreprinderile din aceste sectoare identificate de către state ca fiind operatori de servicii esenţiale vor fi obligate să ia măsuri adecvate de securitate şi să notifice incidentele grave la autoritatea naţională competentă.
  4. În plus, principalii furnizori de servicii digitale (motoare de căutare, servicii de „cloud computing” şi comerţ online) vor fi bligate să se conformeze exigenţelor de securitate şi de notificare prevăzute de noua directivă.

Această directivă va trebui să fie aplicată, adică transpusă în legislaţia ţărilor membre, până în mai 2018. Este de remarcat faptul că aplicarea celui de-al treilea punct va implica instituirea unui program de formare a actorilor din sectoarele definite ca fiind critice.

În ceea ce priveşte această formare, intervenţia lui Daniel Ventre, titularul catedrei de cibersecuritate şi de ciberapărare din cadrul şcolilor S aint-Cyr/ Coëtquidan (şcoli de f ormare a ofiţerilor armatei terestre franceze), poate fi folosită ca discurs introductiv, întrucât oferă un cadru şi un spaţiu a temporal. Pentru acesta, „…din lectura numeroaselor strategii, politici, planuri, programe de cibersecuritate şi ciber-apărare publicate în toată lumea în ultimii ani, pare să se desprindă un consens, o convergenţă a recunoaşterii necesităţii organizării şi asigurării securităţii şi apărării domeniului ciber, adică întâi de toate securitatea şi apărarea ansamblului de sisteme tehnice şi apoi a sistemelor societăţilor traversate de aceste dintâi sisteme. De securitatea sistemelor depinde cea a statuluinaţiune. Consensul se materializează în acceptarea de către toţi a structurii unei naraţiuni simple, alcătuite din câteva noţiuni elementare. Această naraţiune se desfăşoară în jurul a trei protagonişti: „noi”, „ameninţarea” şi „ciberspaţiul”.
Acest „noi” este reprezentat de stat, naţiune, societate, totalitatea actorilor care ne împărtăşesc valorile şi interesele. Acest „noi” îşi bazează evoluţia, progresul, economia pe un soclu tehnologic. Ori securitatea nu a fost integrată la baza acestui soclu, astfel că „noi” suntem mereu în căutarea unei securităţi ideale care probabil că nu va exista niciodată din două motive: reaşezarea securităţii în compoziţia soclului tehnologic ar presupune demontarea şi reconstruirea completă, iar înaintea noastră se află adversari/inamici/oportunişti care au aceleaşi dependenţe tehnologice ca noi, însă nu neapărat aceleaşi valori, interese, obiective şi au învăţat să profite de fragilităţile noastre. Dependenţa noastră a atins un asemenea grad încât planează asupra noastră ameninţarea unui atac ale cărui efecte ar fi distructive (ciber- Armageddon). „Noi” este astfel confruntat cu „alţii”, „ameninţarea”: ei pot fi chiar printre noi (insider threat) şi aduc ameninţări vitale mode lului nostru. Acestor adversari nu li se cunoaşte numărul şi nu au frontiere. Ameninţarea mobilizează toate categoriile de infracţiuni şi de conflict (crimă organizată, delincvenţă, găşti, mafii, terorism, gherile, servicii de informaţii, insurecţii…). Evidenţierea atacurilor conduse de aliaţi şi parteneri nu contribuie la reducerea sentimentului de ameninţare globală. În anumite state, însuşi cetăţeanul este o ameninţare (ciberactivism). Aceşti adversari sunt adesea invizibili, acţionează impredictibil, sunt asimetrici. Conceptul de „noi” ameninţat trebuie deci în mod legitim să se protejeze, să se apere, să înveţe să riposteze, să atace. Acesta învaţă să-şi arate forţa, visează să găsească metode de disuasiune. Visează să domine ciberspaţiul pentru a menţine şi aici ordinea atunci când o controlează sau pentru a retrasa în acesta graniţele naţionale de suveranitate atunci când nu se mai află pe linia trasată de conducător. Anumite evenimente, incidente, mai mediatizate decât altele, ca nişte ciupituri de aducere aminte, vin să menţină conştiinţele treze şi să confere echitate structurii naraţiunii.” („Les évolutions de la cybersécurité: contraintes, facteurs, variables…”)

Potrivit lui Marian Matei, Director adjunct al Direcţiei de Combatere a Criminalităţii Organizate din cadrul Poliţiei Române, această evoluţie perpetuă a cibersecurităţii duce la apariţia unei abordări mai globale a acesteia deoarece există multe obstacole în calea unei mai bune cibersecurităţi, iar majoritatea obstacolelor nu sunt de ordin tehnic. Chiar dacă am avea o mai bună tehnologie decât cea de care dispunem astăzi, ar exista în continuare riscul ca adversarul, „ameninţarea” evocată de Daniel Ventre, să fie cu un pas înaintea noastră. Unele dintre cele mai mari obstacole cărora le facem faţă provin din analizele depăşite ale cibersecurităţii şi din politicile generate de aceste analize; în consecinţă, potrivit opiniei lui Matei, este timpul ca abordarea cibersecurităţii să se schimbe.
Primele studii cu privire la acest subiect au lăsat să se înţeleagă că ameninţarea cibernetică ar proveni din atacuri teroriste îndreptate împotriva infrastructurilor critice. Neavând încă competenţele necesare, cele mai multe state au încredinţat responsabilitatea securităţii sectorului privat, deoarece acesta deţinea majoritatea infrastructurilor esenţiale. Se credea în mod optimist că problemele internetului vor fi rezolvate de către o comunitate mondială autonomă în care guvernul trebuia să joace doar un rol minimal. Aceste idei sunt încă larg răspândite în zilele noastre, însă s-au dovedit a fi eronate. Adevăratele mize ale cibersecurităţii sunt spionajul şi criminalitatea etatizate şi creşterea capacităţilor militare ofensive, probleme care sunt mai bine tratate de către guverne. În viitor, ca efect al mondializării, vom fi şi mai interconectaţi decât suntem în prezent. Interacţiunea între marile puteri, statele mai puţin dezvoltate economic şi actorii din afara statului va determina noi modalităţi de exercitare a influenţei. În corelare cu dispoziţiile privitoare la strategia de apărare naţională, trebuie luate măsuri progresive pentru întărirea credibilităţii strategice, graţie dezvoltării şi modernizării continue a capacităţilor cibernetice şi pentru a asigura o protecţie colectivă eficientă a ciberspaţiului naţional, european şi euro-atlantic. În acelaşi timp, avem nevoie de un cadru juridic care să permită şi să susţină abordarea globală şi multinaţională în întreg domeniul ciber. Cheia succesului se află în mâinile celor care înţeleg şi îşi concentrează eforturile asupra mecanismelor de prevenţie în trei sub-domenii ale securităţii: apărarea, ordinea publică şi securitatea internă. În acest cadru, Marian Matei arată că elaborarea unui proces de planificare riguros, continu şi pluri-anual este imperativă. Pentru a fi eficient, acest proces trebuie să reunească resursele disponibile pentru susţinerea obiectivelor naţionale, europene şi euro-atlantice în domeniul cibersecurităţii iar directiva NIS, trebuie subliniat, reprezintă o evoluţie majoră.

Pentru Alexandru Cătălin COSOI, director de strategii al BITDEFENDER, într-o lume în care cibercriminalitatea se produce în câteva minute, cooperarea în domeniul securităţii şi legislaţia trebuie să se schimbe pentru a răspunde în acelaşi interval de timp, iar, în această privinţă, PPP-urile sunt esenţiale pentru atingerea acestui grad de reactivitate. Numeroase state au elaborat recent strategii naţionale de cibersecuritate care pun accentul pe un gen de parteneriat public-privat (Austria, Australia, Canada, Cehia, Estonia, Finlanda, Franţa, Ungaria, India, Japonia, Lituania, Olanda, Noua Zeelandă, Slovacia, Africa de Sud, Marea Britanie şi Statele Unite).
Este important de reţinut că parteneriatul public-privat în materie de cibersecuritate naţională îmbracă mai multe forme. Guver nele au relaţii diverse cu furnizorii de servicii de internet, cu multinaţionalele informatice (Google, Facebook etc.), cu companiile private de cibersecuritate, cu apărătorii drepturilor omului şi ai drepturilor civile, cu forţele de ordine şi cu societatea civilă. Şi totuşi, atât în documentele oficiale cât şi în discursul privind cibersecuritatea în general, parteneriatul public-privat este adesea caracterizat ca fiind o entitate unică, nesocotind această complexitate. În ciuda acestei complexităţi şi acestei diversităţi, reiese clar faptul că accentul pus pe strategii vizează relaţia dintre guvern şi proprietarii/utilizatorii de infrastructuri esenţiale aşa cum o arată, de exemplu, legea privind încrederea în economia digitală franceză, în timp ce multe alte aspecte ale cibersecurităţii sunt considerate ca fiind legate de interesul naţional, protecţia infrastructurilor esenţiale iar parteneriatele public-private joacă un rol important.
Evident, parteneriatul public-privat nu este propriu cibersecurităţii. Acesta a fost folosit foarte des de către state ca mecanism în soluţionarea altor probleme, inclusiv celor legate de securitate. Practica s-a intensificat începând cu anii 1990, când privatizarea i nfrastructurilor critice a fost considerată ca fiind benefică din punct de vedere economic pentru stat.
Deşi au fost prezentate ca un „nou” tip de gestionare, conceput cu scopul de a prelua cele mai bune elemente din cele două sectoare, parteneriate public-private au fost încheiate şi în trecut. Cu ocazia semnării convenţiei din 28 iunie 1882, publicată în martie 1883, prin care Anglia şi Franţa îşi garantau reciproc drepturi egale pentru comercianţii din posesiunile din Africa, cancelarul Bismarck a s olicitat oraşelor din Liga Hanseatică să redacteze un raport prin care să propună măsuri pentru favorizarea extinderii comerţului german pe coasta de vest a Africii, ceea ce a condus la crearea statului Camerun în 1884, în beneficiul caselor Woermann şi J antzen şi Thormahlen…
Există mai multe motive pentru care cibersecuritatea, în special în contextul protecţiei infrastructurilor esenţiale, a fost concepută ca un proiect de colaborare între sectorul public şi cel privat. Statul este responsabil cu securitatea, în particular cu securitatea naţională. Protecţia infrastructurilor esenţiale – sistemele necesare conservării securităţii naţionale (în accepţiunea cea mai largă) – este percepută ca parte integrantă a securităţii statului. Consecinţele potenţiale ale unui ciber-atac la scară largă asupra infrastructurilor esenţiale sunt atât de complexe încât este normal ca guvernul să îşi asume o anumită autoritate şi o anumită responsabilitate. Totuşi, dat fiind faptul că majoritatea infrastructurilor esenţiale sunt deţinute şi exploatate de interese private, trebuie să existe un tip de relaţie între sectorul public şi cel privat în ceea ce priveşte securitatea. Au fost încheiate o gamă largă de acorduri şi contracte denumite partene riate public-private. Acestea pornesc de la prestări solidare de ser vicii a căror executare este oarecum supravegheată prin reglementări guvernamentale (sectorul sănătăţii), până la subcontractarea unor mari proiecte de infrastructură (contruirea de poduri, găzduirea Jocurilor Olimpice etc.).
Se pot identifica PPP-uri de două mari categorii:

  1. aranjamente orizontale non-ierarhice caracterizate prin luări de decizii conform principiului consensualităţii;
  2. relaţii organizate ierarhic în care unul dintre contractori exercită şi rol de control.

În materie de cibersecuritate, strategiile naţionale se feresc să vorbească de ierarhie atunci când se referă la parteneriatul publicprivat, deoarece acest tip de contract este caracterizat prin concepte precum cooperarea, un scop împărtăşit de ambele părţi şi interese comune. Guvernul împărtăşeşte, astfel, informaţii şi resurse cu scopul de a elabora, alături de sectorul privat, un răspuns la o provocare comună. Furnizarea de informaţii cu privire la ameninţările cibernetice constituie una din principalele aşteptări ale parteneriatului, atât din partea sectorului public cât şi a sectorului privat, însă există anumite obstacole în schimbul de informaţii în ambele cazuri. Sectorul privat consideră că nu este întotdeauna uşor de făcut distincţia pe loc între o problemă tehnică oarecare, un atac slab şi un atac la scară largă. În plus, uneori semnalarea vulnerabilităţilor contravine intereselor lor comerciale, deoarece modelul lor de afaceri se bazează pe obţinerea, posedarea şi vânzarea de informaţii şi nu pe partajarea lor cu altcineva.
De asemenea, sectorul public are limitele sale în ceea ce priveşte partajarea informaţiei cu alţii. Informaţiile contextuale calsificate nu pot fi partajate cu persoane care nu au o autorizaţie de securitate adecvată. Adesea, nici chiar cei care lucrează în sectorul privat şi deţin o autorizaţie de securitate nu pot să facă nimic cu informaţiile clasificate, pentru că luarea de măsuri ar presupune implicit expunerea lor… Această problemă de partajare a informaţiei a fost considerată în mod constant ca fiind un obstacol major în cibersecuritate şi a fost pusă în discuţie de un înalt funcţionar, numind-o, cu ocazia Congresului de cibersecuritate din 2011, ca fiind una din cele două domenii principale care trebuie îmbunătăţite.
Partajarea de informaţii, inclusiv a celor sensibile, este mai eficientă atunci când există relaţii personale între cele două părţi. Oamenii sunt mult mai dispuşi să partajeze informaţii cu colegii cu care au o puternică legătură personală şi/sau profesională. Acest factor uman este important şi ar trebui să facă obiectul unei cercetări mai aprofundate, pentru a găsi mijloacele de stabilire şi de întărire a acestor relaţii în domeniile securităţii reţelelor şi funcţiei publice, care sunt caracterizate printr-o frecvenţă relativ ridicată cu care se schimbă personalul, iar multiplicarea obiectelor conectate antrenează apariţia unor noi ameninţări.

Aşa cum a subliniat şi Michal JARSKY, directorul regional de vânzări al TRENDS MICRO, orice obiect conectat la internet poate fi piratat. Care sunt reacţiile corecte în această situaţie? Niciuna, dacă nu punem în practică ceea ce Matei a numit abordarea globală a cibersecurităţii. În opinia lui Jarsky, orice reacţie care implică adoptarea unui plan de acţiune simplu de enunţat însă, uneori, dificil de aplicat. Acest plan se desfăşoară în 6 etape, şi anume: evaluarea ameninţărilor, formarea/educarea utilizatorilor, identificarea „lacunelor” tehnologice, elaborarea indicatorilor de eficienţă (Key Performance Indicators), o îmbunătăţire continuă şi un proces de sinteză.


Doris ALTENKAMP, cercetătoare şi consultant în ciber-apărare, defineşte internetul obiectelor conectate ca „un fel de reţea globală universală de neuroni” care înglobează toate aspectele vieţii noastre. Pericolul vine nu doar din partea obiectului însuşi, ci şi din partea legăturilor, „conversaţiilor” pe care le poate avea cu alte obiecte. Păstrând în minte această constatare, Altenkamp propune o metodă de judecată împrumutată din domeniul militar, ciclul OODA (Observa, Orient, Decide, Act), care permite gestionarea cunoscutului, a necunoscutului şi a necunoscuţilor „necunoscuţi” cu scopul de a naviga pe deasupra incertitudinii… Ciclul OODA începe în funcţie de comportamentul aşteptat şi de la gradul de cunoaştere a situaţiei ecosistemului obiectului conectat (de exemplu, un frigider). Observarea constă în adunarea de informaţii provenind de la ecosistemul obiectului conectat şi examinarea lor. Orientarea reprezintă obţinerea unei analize comportamentale şi complexe a sistemului şi stabilirea evaluării (risc, impact etc.). Decizia constă în traducerea „noii cunoştiinţe” în „know how” şi hotărârea acţiunilor semnificative care trebuie întreprinse. Acţionarea înseamnă punerea în aplicare a unor măsuri care interacţionează cu părţile semnificative din cadrul ecosistemului. Apoi ciclul se reia…
Pentru a diminua riscurile legate de obiectele conectate (IoT), Altenkamp consideră că trebuie acţionat în domeniile următoare:

  • Securitatea obiectelor conectate şi conectivitatea lor end-to-end;
  • Dezvoltarea de softuri specifice;
  • Crearea de date/confidenţialitatea datelor/protecţia datelor;
  • Sistemul de supraveghere complex al obiectelor conectate;
  • Guvernanţă/juridic/reglementare/gestionarea riscurilor;
  • Certificarea obiectelor conectate;
  • Formarea utilizatorilor.

Abundenţa obiectelor conectate generează noi moduri de consum, de cumpărare, de vânzare. În acest context, securizarea comerţului electronic devine mai importantă ca niciodată iar criptarea datelor şi a legăturilor reprezintă esenţa problemei.
Există, bineînţeles, dispozitive simple care pot fi aplicate, cum ar fi cel prezentat de Alain SEID, preşedintele Camerei de Comerț
și Industria din Belfort (Franța). Este vorba de un dispozitiv care se bazează mai degrabă pe intervenţia conceptului de „noi” care constată „ameninţarea” în „ciberspaţiu” decât pe o intervenţie automată. Însă acest dispozitiv nu funcţionează decât în partea din lumea fizică legată la lumea virtuală. În lumea pur virtuală, soluţiile constau cel mai adesea în instalarea unei protecţii

bazate pe p rotocoale relativ învechite şi, deci, vulnerabile, aşa cum o demonstrează Ştefan Hărşan FÁRR, consultant. Totuşi, potrivit acestuia, majoritatea punctelor slabe actuale provin din lipsa de rigoare a utilizatorilor, confirmând astfel necesitatea unuia din obiectivele directivei NIS care vizează dezvoltarea unei culturi de „cibersecuritate” în fiecare actor.
În domeniul criptării datelor, este păcat că niciun participant nu a evocat progresele care s-au făcut, cu precădere implementarea de noi moduri care folosesc tehnologii cu perspective favorabile precum criptarea cuantică (şi componentele sale criptografice) care va impune o standardizare a protocoalelor de criptare pentru dist ribuirea unei chei între două sisteme. Criptarea cuantică se bazează pe o metodă de criptare care nu poate fi spartă şi care utilizează fotoni transferaţi prin intermediul unui cablu de fibră optică total independent de reţeaua de internet. Acesta nu poate fi piratat întrucât orice tentativă care ar viza spionarea (interceptarea, copierea, ascultarea electronică etc.) unei asemenea transmisiuni modifică starea cuantică şi este detectabilă imediat. Totuşi, acoperirea semnalului nu depăşeşte în prezent 300 de kilometri. Lansarea primului satelit cuantic de către chinezi, în august 2016, deschide perspective încurajatoare deoarece vestesc încercări de transmisiuni la 2500 de kilometri. Conştientă de această miză, Comisia Europeană va lansa, în 2018, un program de cercetare dedicat tehnologiilor cuantice. Următoarele comunicări ale Congresului macro-regional „Cybersecurity in Romania” în 2017 vor avea cu siguranţă material ştiinţific nou de discutat…

autor: Pascal Tran-Huu,
Association des Auditeurs de Franche-Comté, Institut des Hautes Etudes de Défense Nationale.

Pascal Tran-Huu este fost militar de carieră și momentan lucrează în domeniul industrial. Ca ofiţer, a făcut parte din diverse unităţi, inclusiv din Forţele Speciale. După 30 de ani la datorie, a ales să lucreze în industrie. El dezvoltă activităţi în cadrul grupului industrial SYT, care produce drone și echipamente pentru vizualizare electronică; în același timp este responsabil pentru relaţii internaţionale și instituţionale în cadrul unui cluster din domeniul energiei, „Vallée de l’énergie”, și promovează peste 100 de companii din domeniu, incluzând ALSTOM, GENERAL ELECTRIC și EdF.