Educaţie și instruire: înlăturarea lacunelor

Educaţie și instruire: înlăturarea lacunelor

182

Securitatea cibernetică este un subiect complex. Societatea se mișcă rapid înspre lumea digitală. Guver- nele și companiile doresc să treacă la digitalizare pre- sându-și departamentele să se transforme de la „vechiul stil” la unul nou digital. În anii 70 au fost introduse calcu- latoarele personale, în anii 80 primele ATM-uri. În 1991 WWW a devenit accesibil public, în timp ce după 2000 telefoanele mobile au devenit un dispozitiv comun. Din 2010 s-au răspândit pe scară largă smartphone-urile, tabletele, infrastructura de cloud, Big și Open Data. mai multe studii prognozează că în 2020 vor exista cca. 34-50 de miliarde de dispozitive conectate la Internet. Considerând că populaţia globului va fi de cca. 7 miliarde, aceasta înseamnă că fiecare om va avea 5 până la 7 dispozitive conectate la Internet.
Suntem capabili să facem faţă acestui fenomen? Progresul se întâmplă mai repede decât capacitatea umană de a-l stăpâni. Cel mai recent raport Digital Economy & Society Index 2016 relevează faptul că 1/3 din populaţia Italiei nu utilizează Internetul în mod regulat și că există carenţe în specia- lizarea digitală.
Adoptarea digitalizării și a securităţii cibernetice pornește de la educaţie și conștientizare. Majoritatea atacurilor exploatează erori umane. Pornind de la statisticile generale și până la vulnerabilitatea exploatată de un atac, în 80-90% din cazuri erorile sunt umane.
Un malware, cum ar fi un ransomware, exploatează o vulnerabilitate umană. Furturile de date, cum a fost și în cazul Linkedin, reprezintă mari probleme pentru companii. O mulţime de oameni utilizează aceeași parolă pentru diferite servicii. Dacă o persoană se înregistrează într-o reţea socială cu adresa de email a companiei și utilizează aceeași parolă pentru auten- tificare pentru ambele identităţi digitale (intranetul companiei și Linkedin), aceasta poate reprezenta o vulnerabilitate și pentru companie.
Activităţile de monitorizare ale unei companii trebuie să ia în considera- re și aceste aspecte, dar eforturile pot fi invers proporţionale cu gradul de conștientizare al angajaţilor, clienţilor și utilizatorilor în general.

Un departament de informaţii privind ameninţările cibernetice trebuie să monitorizeze și Deep Web-ul pentru a verifica dacă scurgerea anumitor date poate avea vreun impact asupra companiei. Bazele de date publicate pe Dark Web pot conţine informaţii care pot dăuna business-ului și intereselor companiei.


Un al doilea aspect îl con- stituie lipsurile din oferta edu- caţională în privinţa securităţii cibernetice. Italia se află pe locul
22 din 28 de ţări europene (21 după Brexit) ca număr de absolvenţi STEM (Science Technology Engineering
Mathematics).

În studiul „The 2015 (ISC)2 Global Information Security Workforce Study” realizat de Frost & Sullivan, se vede în mod clar necesarul global de cunoștinţe, aptitudini și abilităţi în domeniul securităţii IT. În piaţă există o lipsă acută de experţi (analiști de securitate, auditori de securitate, arhitecţi de securitate…) precum și de competenţe (evaluarea și administrarea riscu- rilor, investigarea și răspunsul la incidente, guvernanţă…).

Programele educaţionale trebuie să includă mai multe subiecte STEM și o abordare progresivă și mai profundă în securitatea cibernetică, pentru studenţii interesaţi. În prezent securitatea cibernetică este doar un subiect printre altele, în cadrul unui program de masterat, cu puţine activităţi prac- tice. Este prea târziu să mai apelăm la analiști de securitate sau la alţi experţi operaţionali. Piaţa italiană are o lipsă de resurse operaţionale în securitatea IT, care trebuie completată.
Programele educaţionale naţionale în domeniul securităţii cibernetice trebuie să înceapă cu programe puternice STEM și de conștientizare pentru a insemina bazele subiectelor de securitate cibernetică. Universităţile tre- buie să înceapă să creeze programe dedicate pentru securitatea cibernetică, cu training-uri operaţionale. În Italia există o lipsă acută de programe univer- sitare de securitate cibernetică și facultăţile de inginerie, mai ales, trebuie să vină cu o soluţie.
Soluţiile nu trebuie să fie decuplate de mediul de muncă. Examinând National Initiative for Cybersecurity Education (NICE) din SUA și com- parând această iniţiativă cu framework-ul naţional de securitate cibernetică

(National Cybersecurity Framework) (adoptat și în Italia), nu se văd cu claritate conexiunile dintre cele două iniţiative. Între ele există un fel de pod neterminat.
Iniţiativa naţională pentru educaţie în domeniul securităţii cibernetice (National Initiative for Cyber- security Education) a NIST prezintă 7 categorii (provizio- nare sigură, operare și întreţinere, protecţie și apărare, investigare, supraveghere și guvernare, colectare și operare, analiză). Pentru fiecare categorie, sunt stabi- lite zone de specialitate (cca. 32 în total). Pentru fiecare zonă specializată sunt stabilite anumite sarcini (task-uri) pe care un expert trebuie să le execute, dobândind cunoștinţe specifice, abilităţi și aptitudini [Knowledge, Skills and Abilities (KSA)] circa 800.
Dobândirea de KSA permite aspirarea către anumite funcţii, listate de asemenea în framework. Problema o reprezintă lacunele logice dintre cele 2 iniţiative (educaţională și operaţională), deoarece categorisirea subiectelor în cele 2 framework-uri este diferită.
Framework-ul este împărţit în 5 funcţii (identificare, protecţie, detectare, răspuns, recuperare) cu subcategorii diferite s.a.m.d. Efortul de a conecta framework-ul NICE cu cel de securitate cibernetică naţională a fost lăsat în seama cititorului. Ar fi fost util să se folosească un limbaj și un framework comun pentru a descrie categoriile educaţionale și de training pentru a avea o anumită con- tinuitate în domeniu.

În concluzie, câteva recomandări pentru Italia ar fi:

1. Începerea diseminării campaniilor de conștienti- zare începând încă de la grădiniță, nu prin
inițiative sporadice ci prin inserarea lor în activități educaționale;
2. Creșterea învățământului STEM pe toate nivelele educaționale;
3. Introducerea unor programe de securitate cibernetică în licee și a unor cursuri de securitate cibernetică în universități;
4. După framework-ul național de securitate cibernetică, adoptat de Italia, următorul pas care trebuie făcut este dezvoltarea unor programe educaționale care să instruiască lumea în efectua- rea funcțiilor și activităților listate în framework.

© Cybersecurity Trends mulțumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din iulie- august 2016).

autor: Massimo Cappelli

Massimo este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activitățile educaționale și de cercetare ale fundației. A urmat studii economice și ulterior a obținut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică și geo-istoria regiunilor de frontieră) concentrat pe programe de protecția infrastructurilor critice și un masterat în «Intelligence and Security Studies» (Studii de securitate și informații). Anterior a ocupat funcția de Associate Expert in Risk Resilience and Assurance (ex- pert asociat în asigurare și reziliență la riscuri) la Booz & Company și Booz Allen Hamilton. A fost și consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.