Managementul incidentelor de securitate cibernetică și rolul cooperării

Managementul incidentelor de securitate cibernetică și rolul cooperării

411
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.
Cătălin Pătrașcu,
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

În prezent, tot mai multe incidente de securitate cibernetică au un caracter transfrontalier, prin însăși natura lor și necesită utilizarea unor tehnologii avansate pentru a putea fi analizate și gestionate eficient. În mod evident, acest fapt determină accelerarea cooperării naționale și internaționale, adesea între organizații din sectoare economice diferite, precum cele din sectorul public și cel privat.

Gestionarea incidentelor de securitate cibernetică la scară largă, spre deosebire de cazul infrastructurilor cibernetice din medii bine definite,  se caracterizează printr-un grad ridicat de complexitate, datorat unui cumul de factori: imposibilitatea definirii de graniţe în mediul cibernetic, standarde tehnologice și de securitate ne-uniforme, infrastructuri cibernetice utilizate în sectoare economice diferite, proprietari diferiţi și, nu în ultimul rând, atribuţii distribuite între mai multe autorităţi naţionale și internaţionale.

Unul dintre cele mai importante acte legislative adoptate în domeniul securităţii cibernetice la nivel european este „Directiva pentru securitatea reţelelor și a sistemelor informatice” (NIS Directive), care stabilește măsuri în vederea obţinerii unui nivel comun ridicat de securitate a reţelelor și a sistemelor informatice în cadrul Uniunii  Europene, astfel încât să se îmbunătăţească funcţionarea pieţei interne. Multe dintre măsurile prevăzute de această directivă influenţează modul în care vor fi gestionate incidentele/crizele cibernetice la nivelul statelor membre sau chiar la nivelul Uniunii: adoptarea de strategii naţionale privind securitatea reţelelor și a sistemelor informatice; desemnarea de autorităţi competente la nivelul statelor membre; crearea unui grup de cooperare strategică; crearea unei reţele de echipe de intervenţie/ răspuns la incidente (reţeaua CSIRT); obligativitatea notificării incidentelor.

Entităţile de tip CERT/CSIRT joacă un rol esenţial în gestionarea incidentelor cibernetice, cooperarea acestora fiind foarte importantă în situaţia unor incidente transfrontaliere, astfel că la nivel european și internaţional există diferite comunităţi și iniţiative dedicate cooperării CSIRT-urilor naţionale, guvernamentale, private sau sectoriale, precum TF-CSIRT (Task Force of Computer Security Incident Response Teams), TI (Trusted Introducer), FIRST (Forum of Incident Response and Security Teams), EGC (European Government CERTs group) și bineînţeles noua reţea a CSIRT-urilor naţionale ale statelor membre UE (conform Directivei NIS).

În ceea ce privește capabilităţile tehnice și operaţionale ale entităţilor cu atribuţii în gestionarea incidentelor de securitate cibernetică, acestea se împart în 3 mari categorii: servicii proactive, servicii reactive și servicii de consultanţă (detaliate în tabelul alăturat).

Tabelul 1 – Listă generică de servicii oferită de CERT/CSIRT

Servicii Reactive Servicii proactive Servicii de consultanță
Alerte și Atenționări Anunțuri Analize de risc
Managementul Incidentelor Monitorizarea tehnologiilor Planifi carea Business Continuity and Disaster Recovery
Managementul Vulnerabilităților Audituri și evaluări de securitate Consultanță de securitate
Managementul Artefactelor Configurarea și mentenanța uneltelor, aplicațiilor și infrastructurilor Campanii de conștientizare
Dezvoltarea uneltelor de securitate Programe de training
Servicii de detecție a intruziunilor Evaluare sau certifi care de produse
Diseminarea informațiilor referitoare la securitatea cibernetică

Mecanismele de gestionare a incidentelor variază de la o entitate la alta, de la o ţară la alta și chiar în funcţie de regiuni geografice, însă în general, majoritatea se caracterizează prin respectarea unor etape precum cele prezentate în Figura 1.

Un rol foarte important în mecanismul de îmbunătăţire a capabilităţilor operaţionale, dar și în vederea sporirii gradului de cooperare la nivel naţional, regional sau internaţional, este deţinut de exerciţiile cibernetice, aspect confirmat pe deplin de succesul înregistrat de exerciţiile Cyber  Europe și Cyber Atlantic. Cyber Europe 2016 tocmai s-a încheiat, iar primele concluzii sunt extrem de îmbucurătoare: au participat peste 1000 de playeri din 30 de state membre ale UE şi EFTA, printre care şi reprezentaţii a 300 de organizaţii din domeniul IT şi experţi în securitate cibernetică, într-un scenariu cu un grad mare de complexitate.

Îndrăznesc să afirm că toţi actorii cu atribuţii în gestionarea incidentelor de securitate cibernetică au înţeles deja importanţa cooperării și în ultima perioadă s-au făcut pași mari în sensul îmbunătăţirii mecanismelor de cooperare. Totuși, una dintre concluziile rezultate în urma exerciţiilor cibernetice și nu numai este aceea că încă este loc pentru îmbunătăţirea uneltelor tehnice de facilitare a cooperării în domeniul securităţii cibernetice.

Figura 1
Figura 1
Etapele generice ale gestionării incidentelor cibernetice

Autor: Cătălin Pătraşcu