Editorial – Cybersecurity Trends 5 / 2016

Editorial – Cybersecurity Trends 5 / 2016

593
Laurent Chrzanovski
Laurent Chrzanovski

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Din păcate, în sfârșit s-a întâmplat ceea ce toţi experţii anunţaseră deja de un an și jumătate: un atac SCADA reușit, pe scara largă. Era ora 15:30, în 23 decembrie, când electricitatea a fost întreruptă în toată regiunea Ivano- Frankivsk (Ucraina de Vest). Un atac sofisticat, precedat și prelungit prin metode de atac convenţionale precum TDoS (Telephone denial of service). Fără a intra în detalii care ţin de tehnologie, sau, dimpotrivă, de geopolitică în cadrul războiului declaraţiilor și acuzaţiilor care au urmat acestui atac, această premieră trebuie contextualizată însă în trei frameworkuri mult mai preocupante decât reușita atacului.

Prima este durata infiltrării sistemului, estimată la 6 luni, și data executării atacului, o lună după black-out-ul din Crimeea (21 noiembrie) și care, de data asta, a fost efectuat cu o tehnică «pre-digitală»: atacatorii au detonat pur si simplu explozivi în cele 2 turnuri de redistribuţie de electricitate ucrainieni spre peninsulă în apropierea orașului Kherson. Ne aflăm așadar, fără a stabili cu precizie atacatorul, într-un fel de «retaliation» în stil mafiot, mai simplu spus la o aplicare cu consecinţe civile grave a legii talionului.

Al doilea framework, bine pus în evidenţă de revistele de specialitate în energie, este alegerea regiunii de atac. La prima vedere este o regiune lipsită de importanţă. Este slabă economic și relativ puţin locuită, fapt confirmat de către cei 80.000 de civili care au fost victimele black-out-ului. Dar la polul opus, este o regiune crucială pentru schimburi energetice Est-Vest. Acolo sunt noduri vitale si ale sistemului electric și ale sistemului de gaze pentru redistribuţia energetică spre ţările UE.

Al treilea framework este cel definit de către câţiva dintre cei mai buni specialiști în domeniu, și anume că gradul și intensitatea atacului au fost atent alese de către hackeri, care au demonstrat că stăpânesc tehnologia pentru a face daune infinit mai grave, așa cum a rezumat foarte bine Michael Assante, director SANS ICS: ceea ce au făcut atacatorii «nu este limita a ceea ce cineva poate să facă; este doar limita a ceea ce cineva a ales să facă» 1.

Consecinţa pozitivă a acestui sabotaj digital este că lumea importantă din sectorul infrastructurilor critice a început să vorbească. Cea mai interesantă știre a venit de la o ţară foarte secretizată, Israel, cu efectul bine gândit de «bombă mediatică», în cadrul conferinţei VIP «Cybertech 2016». Ministrul energiei a declarat în 26 ianuarie că Autoritatea Naţională pentru Electricitate a fost ţinta unui atac cibernetic foarte dur, printre cele câteva sute care sunt «de rutină» pentru această instituţie, în fiecare lună2.

Indiferent de mărimea sau calitatea acestui atac, despre care se știe foarte puţin și care a fost definit de către unii specialiști nu ca un atac asupra infrastructurii în sine ci mai mult ca un val de phishing/ransomware3, este foarte interesant să privim cum sunt apărate unele infrastructurile critice în Israel, și nu numai.

Principala companie a ţării, Israel Electric Corporation, a înfiinţat în 2013 deja propriul său «Cyber Gym»4, cu tineri specialiști activi în trei domenii: apărare, gestiune de criză și contra-atac. După rodaj, această «aca demie informală» a atins o calitate atât de înaltă încât s-a transformat într-o «training arena» care la rândul său predă cursuri și instruiește colaboratori ai altor companii5.

De ce publicăm acest scenariu aproape de «cyber-war» într-un număr de revistă dedicat soluţiilor end-user? Pur și simplu pentru a arăta că o apărare proactivă, indiferent că este vorba despre o mare companie din domeniul infrastructurilor critice, sau de un mic IMM, se bazează pe cunoaștere, testare și educarea resurselor umane.

Fiecare utilizator trebuie să aibă un nivel minim de educaţie, și vedem bine cât de lung este drumul care rămâne de făcut. Elemente6 ale raportului încă nepublicat al CISCO arată că 71% din antreprenori încă consideră securitatea ca un obstacol în fluiditatea afacerilor lor7, în timp ce marea majoritate a antreprenorilor pur și simplu nu vor să recunoască dacă au pro bleme sau nu în domeniul securităţii8.

Acest număr vă va da câteva exemple din care se poate vedea că folosind măsuri de bun simţ, se reduc masiv riscurile de a fi atacat. La fel, este foarte important de subliniat că o metodă de «gaming» și de «gym» bazată pe factorul uman și talent, așa cum a început povestea de succes la Israel Electric Corporation, a adus nu numai o securitate extrem de sporită în companie, dar a devenit și un produs de succes în vânzări.

Tehnologia este necesară. Sistemele de apărare sunt necesare, dar în sfârșit marile companii dau semnalul că vremea «outsourcing-ului» s-a terminat. Formarea, educarea, pregatirea, gestionarea crizelor în cadrul firmei sunt cheia succesului, cheie care transformă un sistem de apărare din defensiv în proactiv.

Dacă inginerii ucrainieni ai Prykarpattyaoblenergo ar fi avut o pregătire de apărare, poate că ar fi știut, în 23 decembrie, «what that little flicker of his mouse cursor portended that day».

Este scumpă securitatea? Nu, dacă este bine gândită. Ultimul din marii giganţi ai lumii farmaceutice, urmărind ce fac concurenţii săi, a făcut din IT și din securitatea IT noua sa modalitate de a economisi mult din buget mărind gradul de apărare și devenind anticipativ în intelligence.

Cum? În 2 ani, AstraZeneca a completat insourcing toate resursele IT, angajând 3400 de specialiști și formând personalul. Rezultatul, anunţat acum o lună, depășește orice așteptare: economii de 350 de milioane de dolari pe an și securitate evaluată la un nivel neatins în istoria firmei9… În firmele mai mici, outsourcing-ul este demonstrat că optimizează și securitatea și costurile operaționale – în general, nu ale unui business în sine. Dar numai dacă cumpărătorul înțelege ce trebuie «outsource-at» și cu ce partener…

Nimeni nu este mai bun cunoscător și mai bun paznic al casei decât proprietarul…

Note:
1 A se vedea printre altele anchetele complete rezumate de către revista Wired: http://www.wired.com/2016/01/everything-we-know-about-ukraines-power-plant-hack/http://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
2 http://www.israelnationalnews.com/News/News.aspx/207075#.VubZIMfj lOc
3 http://www.computerworld.com/article/3026609/security/no-israels-power-grid-wasnt-hacked-butransomware-hit-israels-electric-authority.html
4 http://www.jpost.com/Enviro-Tech/Israel-Electric-Corporation-inaugurates-Cyber-Gym-to-protectnetwork-dependent-infrastructure-330291
5 http://www.cybergym.co.il/services/
6 articol din Wired 03/2016, op.cit
7 http://www.theregister.co.uk/2016/02/17/cyber_security/
8 http://www.cio.com/article/3035260/security/business-leaders-still-in-denial-about-cybersecuritythreats.html
9 http://www.computerweekly.com/news/4500272779/AstraZeneca-IT-insourcing-exceeds-expectation