Factorul uman în cybersecurity

Factorul uman în cybersecurity

2106
Nicola Sotira

Dacă analizăm numere când vorbim despre web, factorul actual care ne impresionează este că orice sufix despre orice temă este cel de miliard. IOT, data, mobile vor fi alăturate întotdeauna cu sufixul miliard, care a devenit unitatea de bază, si numerele vor deveni din ce în ce mai mari; acest scenariu va schimba absolut totul în abordările noastre tradiționale și în cultura Internetului. Dintre numere, cel care mi-a atras atenția este cel care ne dovedește că sunt deja 3,8 miliarde de utilizatori de Internet (1) în cadrul unei populații globale de 7,5 miliarde. Acest număr este în creștere an după an și este strâns legat de mărirea mobilității și de numărul de abonamente la rețeaua de date, în principal LTE.

Dacă aruncăm o privire la ultimul raport de mobilitate publicat de către Ericsson, putem să observăm că numai în cursul primului trimestru 2017 a fost constatată o mărire de scară de 107 milioane de noi utilizatori ai reţelei mobile, acești «mobi-utilizatori» ajungând la un total de 7,6 miliarde (2). Dacă citim printre rândurile raportului, reiese și că mobile broadband împinge creșterea abonamentelor în toate regiunile unde noi consumatori, adesea, trăiesc prima lor experienţă pe net prin reţelele mobile și graţie unui smartphone. Cifrele din raport ne indică în mod clar că dispozitivele mobile vor constitui noua platformă de acces la internet și că mărirea numărului de utilizatori de internet este absolut legată de această creștere. Dacă revenim la numărul de utilizatori conectaţi la internet de cca. 3,8 miliarde, putem să avansăm la o afirmaţie încă și mai puternică acum!

Vom avea un număr de vulnerabilităţi în creștere, ceva de ordinul a 3,8 miliarde? Dacă observăm toate incidentele principale, pare să fie de ce în ce mai evidentă corelaţia cu greșelile umane și folosirea necorespunzătoare a tehnologiilor digitale. Poate fi lipsă de cunoaștere? Pe măsură ce datele sau sistemele devin mai complexe, crește posibilitatea apariţiei greșelilor umane. Așadar, nu trebuie să ne mire faptul că greșelile umane sunt responsabile pentru peste o treime din violările de date (3).

Trasformarea Digitală

În ultimul său volum, Alec Ross, fost consilier al Președintelui Obama și al lui Hillary Clinton, scrie despre cum tehnologia digitală poate să aibă efectul de a împinge economia unei ţări. Digitalul transformând așadar fiecare aspect al vieţii noastre, prin forţă va schimba în mod drastic și economia, argumentul lui Ross poate fi rezumat așa: „Pământul era materia primă pentru o lume bazată pe agricultură, resursele minerale pentru lumea industrială, și în consecinţă big data sunt materia primă pe care se bazează și se va baza din ce în ce mai mult economia mondială (4)”. Transformarea digitală promite să schimbe la faţă business-urile noastre și toate sectoarele industriale, dar a fi digital presupune mari schimbări pentru care a investi pur și simplu în tehnologii noi nu este suficient. Organizaţiile trebuie să încerce să proiecteze noi scenarii de afaceri, să revadă modele operative, să atragă și să promoveze talentele digitale. Ori suntem pregătiţi pentru această schimbare? Suntem capabili să măsurăm cunoașterea digitalului în organizaţia noastră? Gândim că va fi o sarcină foarte grea de a o pune în operă? În cazul în care cineva are vreun dubiu despre această revoluţie atât de profetizată, este suficient să observăm faptul că toate întreprinderile care au implementat pe deplin acest proces au avut succes, mărind beneficiile, productivitatea și câștigând competiţii inclusiv împotriva «noilor adversari» care sunt nativ digitali. Această schimbare are nevoie de persoane și de cunoștinţe: nu e numai o chestiune de a implementa sisteme de Inteligenţă Artificială sau de Big Data.

Cyber Theater

În „lumea promisă” a digitalului, trebuie să ţinem minte că scenariul devine de ce în ce mai complex. De acum și până în 2020, Cisco estimează că 99% dintre dispozitive vor fi conectate – vorbim de aproximativ 50 de miliarde de dispozitive – așa că aceasta semnifică că ne vom afla întrun scenariu în care și nodurile periferice vor avea capacităţi computaţionale și vor avea date. Toate contextele în care încă vorbim de un perimetru în care trebuie organizată apărarea sunt istorie antică, noile graniţe fiind constituite de date. Dar înainte să mergem cu imaginaţia noastră până în 2020, putem să facem un exerciţiu asupra anului care vine acum, 2018, când PSD2 va intra în vigoare. Amintim că PSD2 este acronimul pentru Payments Services Directive, Directivă UE pentru serviciile de plată care, în puţine cuvinte, afirmă că băncile nu deţin drepturi de proprietate asupra informaţiilor clienţilor lor, ci clienţii deţin această proprietate. Rezultatul? Băncile vor trebui să dea acces, via un API, către părţile terţe. Clientul va putea să aleagă dacă furnizează accesul către agenţii de bursă, contabili, gestionări de patrimoniu sau simple Apps, iar banca va trebui să accepte accesul. Vorbind despre Apps, această schimbare semnifică că foarte devreme vom fi în măsură de a folosi o a treia parte pentru a gestiona și a controla contul nostru bancar, a transfera bani și a plăti. Este ușor să ne imaginăm că după o scurtă perioadă vom fi în stare de a plăti facturi prin Facebook, Google sau Apple. Dar încă mai mult, vom putea descărca software de la părţile terţe pentru a gestiona banking-ul nostru fără să creăm un cont separat, în afara băncii noastre. Băncile, la rândul lor, studiază strategii și modele de business pentru a-și menţine piaţa lor, dar încă o dată, este vital să avem o reflexie asupra utilizatorilor. Suntem pe deplin pregătiţi pentru această schimbare? Suntem absolut siguri că toţi clienţii cunosc impactul real în ceea ce privește securitatea? Numărul de Apps download-ate de pe pieţe neoficiale este semnificativ, la fel ca numărul de smartphone-uri care au fost deja jailbreak-uite sau root-ate. Suntem chiar siguri că consumatorii au o înţelegere reală asupra impactului că acest comportament va provoca un scenariu descris anterior? Desigur, băncile aplică cele mai puternice măsuri de securitate, însăși normativa PSD2 prevede un framework de securitate care trebuie să crească nivelul acestuia, dar comportamentul uman și cunoștinţele sunt fundamentale pentru a preveni fraudele și daunele. Acest scenariu, pe de alta parte, va lua puţin timp până să devină mai sofisticat, fiindcă în viitor mașinile vor intra în procesul digital de plată. Procesele numite Machine to Machine (M2M) vor fi o evoluţie naturală a acestui parcurs, care, simplificând procesele, va cere utilizatorului o formă a «codificării încrederii»: vom avea încredere în cifrele pe care le vom vizualiza afișate pe smartphone-ul nostru așa cum avem încredere în cash-ul care se află în portmoneul nostru? Scriem aceasta pentru că noi contexte digitale ne vor aduce cu fiecare zi mai aproape spre o valută făcută de 0 și 1 și mai departe de banii reali din buzunar. Această evoluţie a scenariilor și a transformării proceselor implică o schimbare culturală, o mentalitate digitală pe care organizaţiile și guvernele trebuie să o înfrunte, un decalaj cultural care trebuie recuperat atât de rapid pe cât au fost pașii tehnologici făcuţi în ultimii ani. Firește, în viitorul teatru digital ne vor aștepta multe scenarii complexe, cum ar fi automobile autonome, roboţi și mult mai multe într-o lume întotdeauna conectată. Dacă revenim la prezent, putem deja observa schimbările produse de reţelele sociale și mobile. În cadrul organizaţiilor ne aflăm în faţa unui fenomen crescător de BYOD care este prea des subestimat în ceea ce privește aspectul securităţii. Aceste dispozitive accesează broadband-ul prezent în organizaţiile noastre, și conectate cu dispozitive personale schimbă informaţii profesionale și personale, fără să înţeleagă, cel mai adesea, clar riscurile potenţiale. Câţi utilizatori împărtășesc localizarea lor când au o reală necesitate de a face asta? Câte dispozitive de tracking trimit datele sensibile și localizarea în cadrul organizaţiilor noastre? Câţi manageri știu că un smartphone într-o reuniune strategică poate fi periculos? S-ar putea continua cu cloud-ul și utilizarea de software care, poate, partajează datele noastre fără aprobarea noastră, o permisiune acordată pe care prea des utilizatorii o ignoră fiind atât de ușoară acceptarea printr-un simplu click a contractului și clauzelor de instalare.

Comportamentul uman în lumea digitală

O lectură interesantă în acest domeniu este volumul «Psychology of the Digital Age: Humans Become Electric» scris de către John Suler. Suler este profesor de psihologie la Rider University, recunoscut la nivel internaţional ca expert în sectorul emergent al cyber-psihologiei. În cartea sa, Suler explică că persoanele au tendinţa să se gândească la cyber-spaţiu ca la un loc imaginar fără graniţe adevărate, un loc care nu trebuie luat prea în serios (5). Citind volumul putem realiza un fapt pe care laboratoarele l-au pus deja în evidenţă, și anume că persoanele acţionează în cyber-spaţiu în mod complet diferit faţă de cum sunt ele în mod obișnuit în lumea fizică. Sunt relaxate, se simţ fără inhibiţii, se exprimă mai liber și aceeași diferenţă de comportament se referă și la temele legate de securitate. Cercetătorii au definit acest comportament ca «efect de dezinhibare». Este un obicei periculos care poate cauza probleme, și în acest context persoanele au tendinţa să partajeze faptele foarte personale, revelează emoţii secrete, frici, dorinţe, și, după cum am văzut în nu puţine atacuri de inginerie socială, și din când în când vreo parolă sau informaţii confidenţiale. Mai multe studii făcute asupra utilizatorilor au dovedit că percepţia asupra riscului de către aceștia în spaţiul digital este foarte diferită. Laboratoarele Felt&Wagner, de pildă, au examinat comportamentul utilizatorilor cu câteva Apps care iau decizii asupra accesului la dispozitivul și datele proprii ale proprietarului. Rezultatul a fost că atunci când acţiunile cerute erau legate de pierderi financiare, utilizatorii erau mai atenţi, în timp ce atunci când acţiunile erau reversibile, nivelul de apărare coborâse. Au fost la fel remarcate diferenţe substanţiale de comportament între bărbaţi și femei, precum și persoane de 50 de ani și peste, care sunt clasate ca fiind cele mai de risc în comparaţie cu persoanele sub 30 de ani. Un alt studiu interesant a fost condus de către Garg&Camp (7) asupra tematicii percepţiei riscurilor online ca, de pildă, viruși, phishing și furt de identitate. Rezultatul? Când riscurile pot fi foarte ușor confruntate cu cele cunoscute din lumea fizică, sunt mai bine înţelese și luate în considerare.

Security know how

După cum am explicat, ne aflăm într-un scenariu mai complex, dominat de noile tehnologii în care securitatea trebuie să devină și să fie mai mult decât o simplă reflexie. Înţelegem în mod clar că trebuie să deplasăm atenţia de la apărarea simplă la a pune în siguranţă datele, oriunde ar fi ele, de la dispozitive până la cloud. Dar ce putem să spunem despre cunoștinţele persoanelor în domeniul culturii securităţii? Cum deja am menţionat, mai multe analize demonstrează că comportamentul uman și percepţia securităţii în spaţiul informatic sunt foarte diferite și foarte des la risc. Comportamentele la risc care cauzează probleme imediate măresc expunerea unei organizaţii. Dacă ne gândim la complexitatea provocării și vrem să mărim capacitatea de cybersecurity trebuie să elaborăm un plan menit să îmbunătăţească conștiinţele despre această tematică. Un plan de formare ar trebui să implice școli, consumatori și angajaţi ai organizaţiilor. Educarea tinerilor în școli asupra riscurilor și folosirea responsabilă a instrumentelor digitale în spaţiul cyber va ajuta o ţară să își pregătească viitorul, cu obligaţia de a crea un «pipeline» pentru cei mai talentaţi, deoarece știm că lipsa de competenţe în cadrul organizaţiilor rămâne una dintre cele mai mari probleme. Unul dintre aceste programe bazate pe tineri a fost lansat în Anglia, unde lecţiile despre securitatea informatică le vor fi oferite tinerilor începând de la vârsta de 14 ani, un proiect experimental care oferă formări de patru ore pe săptămână despre această tematică. O folosire responsabilă și sigură a instrumentelor digitale și a dispozitivelor de reţea este un must pentru fiecare utilizator, și fiindcă abordarea tehnologică este din ce în ce mai precoce, este bine să începem parcursul educativ pornind din școală. Formarea și instrumentele trebuie să fie adaptate în funcţie de vârstă și de exigenţele destinatarilor; este posibil de a dezvolta proiecte și programe destinate promovării unei cunoașteri potrivite cu lumea digitală, în care copiii și tinerii interacţionează. Un alt exemplu excelent este disponibil online prin iniţiativa code.org, un ONG non profit din SUA. Organizaţiile ar trebui să conducă campanii de sensibilizare care să cuprindă și angajaţi, și clienţi, cu programe focalizate pe încurajarea modificării comportamentului digital fie la birou, fie acasă. Obiectivul este ca persoanele să devină în stare de a înţelege și a adopta politicile propuse de către organizaţie, a preveni și a semnala incidentele și a contribui la schimbul de informaţii.

Concluzie

Transformarea digitală cere un ecosistem sigur pentru a ne oferi avantaje maxime. Dar trebuie și să umplem tranșeea culturală care a fost creată de către aceste instrumente. A spori măsurile de securitate și a realiza o arhitectură digitală sigură și rezilientă trebuie să devină priorităţi pentru toate ţările și priorităţi în agendele guvernanţilor. Pe lângă acest factor, avem nevoie de un plan de formare care să înceapă în școli, pentru că inovarea este un parcurs care trebuie pregătit pentru a crea un «ADN digital» în generaţiile noi.

Surse
  1. source WeAreSocial 2017
  2. Ericsson Mobility Report 2017
  3. 2017 State of Cybersecurity from Ponemon Research Group
  4. The Industries of the Future – Alec Ross
  5. Psychology of the Digital Age: Humans Become Electric – John Suler .
  6. Felt, A., Egelman, S., and Wagner, A survey of smartphone users’ concerns. Proceedings of Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM 2012), ACM Press.
  7. Vaibhav Garg and Jean Camp. End user perception of online risk under uncertainty. IEEE Proceedings of HICCS 2012