Provocări și ameninţări în securitatea cibernetică, văzute din perspectiva unui manager de...

Provocări și ameninţări în securitatea cibernetică, văzute din perspectiva unui manager de risc de top

autor: Laurent Chrzanovski

Interviu VIP cu Jean-Luc HABERMACHER

Laurent Chrzanovski: Descrieţi-vă parcursul
Jean-Luc Habermacher: Am ocupat funcţii de conducere în cadrul unor mari grupuri industriale internaţionale vreme de treizeci de ani şi am avut diferite atribuţii, în special de Risk Manager şi de Ofiţer de Securitate Central.
Am absolvit Institutul de Înalte Studii de Apărare Naţională, aşadar am preluat şi dezvoltarea acţiunilor de Inteligenţă Economică în cadrul întreprinderilor şi contribui la prevenirea riscurilor în general şi a riscurilor cibernetice în cadrul unei misiuni, pe post de Locotenent-Colonel (R) al Jandarmeriei.

Jean-Luc HABERMACHER

Jean-Luc HABERMACHER

Sunt preocupat de necesitatea creării unei culturi a gestionării riscurilor în interiorul întreprinderilor, predau în cadrul mai multor specializări universitare şi sunt membru al Asociaţiei naţionale pentru managementul riscurilor şi al asigurărilor în întreprinderi.
Particip activ la lucrările mai multor comitete naţionale cu privire la mai multe aspecte legate de siguranţă.
Acum zece ani am creat primul cluster francez al industriilor producătoare de energie numit Vallée de l’Energie, al cărui preşedinte sunt în prezent. Lucrăm la promovarea şi dezvoltarea industriilor sectorului energetic în Franţa.
Am avut oportunitatea de a câştiga un mandat parlamentar, ceea ce mi-a permis şi îmi permite în continuare ca munca mea să aibă o strânsă legătură cu anumite subiecte legate de siguranţă.

Laurent Chrzanovski: Cum a ajuns să vă intereseze securitatea cibernetică?
Jean-Luc Habermacher: De mai mulţi ani, prin intermediul diferitelor
mele activităţi în cadrul întreprinderilor şi operatorilor economici şi datorită cunoştinţelor de Risk Manager, am încercat să înţeleg cum analizau aceştia riscurile şi expunerea la acestea, în cadrul unei viziuni globale.
Mi-am dat seama foarte rapid că digitizarea tehnologiilor în cadrul unei întreprinderi nu era percepută ca un „risc cibernetic” la dimensiunea sa reală. În timpul discuţiilor mele cu Responsabili de întreprinderi şi fără a fi paranoic, în momentul în care abordam cu ei subiectul percepţiei personale cu privire la expunerea la diferite riscuri, aspectul digital nu era analizat decât dintr-o perspectivă tehnologică, fără a exista percepţia aspectului de strategie economică globală.
Din punctul meu de vedere, aveam de a face cu un refuz al conştientizării riscurilor economice legate de digitalizarea industrială.
Studiile mele în Inteligenţă Economică m-au făcut să conştientizez necesitatea sensibilizării şi interpelării mediilor economice cu privire la această lacună importantă în analizarea riscurilor întreprinderilor.

Laurent Chrzanovski: Care aspecte ale lumii cibernetice vă preocupă în prezent?
Jean-Luc Habermacher: Dependenţa tehnologică a întreprinderilor faţă
de aparate şi de sisteme digitale este atât de mare încât o analiză inadecvată a expunerii lor la riscuri poate să le fie fatală. Mulţi ani la rând, responsabilii de întreprindere s-au concentrat pe pierderile de date, prin dezvoltarea de strategii de backup, multiplicând astfel interconectivitatea aparatelor şi a sistemelor.
Întreprinderea 4.0 nu a fost suficient de mult analizată din perspectiva vulnerabilităţii aparatelor şi sistemelor conectate. Cele mai recente exemple de atacuri cibernetice au generat conştientizarea defectelor serioase ale instrumentelor de producţie sau de supervizare. În prezent, o mare parte din arhitectura globală a sistemelor conectate din întreprinderi va trebui regândită şi reconstruită.
Din păcate, mizele geostrategice economice nu sunt percepute de către responsabilii de IMM-uri, iar în spatele atacurilor cibernetice care afectează reţele economice şi întreprinderi se ascund, în mod evident, „interese superioare”.
Atacurile cibernetice sunt reflectarea versiunii moderne a războiului economic purtat de marile puteri publice sau private. Interconectarea instrumentelor şi a sistemelor generează o interdependenţă care prezintă vulnerabilităţi foarte semnificative. Poziţiile dominante ale anumitor actori tehnologici creează scheme de dependenţă structurală extrem de serioase „Al treilea război mondial” a debutat, iar mizele sunt de ordin economic şi mai ales geopolitic. Refuzul de a înţelege situaţia din această perspectivă ar fi un gest iresponsabil.

Laurent Chrzanovski: Cum evaluaţi stadiul conştientizării în cadrul întreprinderilor în care aţi fost sau sunteţi activ?
Jean-Luc Habermacher: Marile grupuri industriale au înţeles de mai mulţi ani că sistemele informatice ar putea fi ţinte ale unor atacuri de destabilizare, astfel că au implementat procese de securizare.
Platformele şi conectivitatea instrumentelor de producţie fusese trecută cu vederea cu ocazia analizei riscurilor, însă ultimele evenimente au declanşat o conştientizare a acestor noi puncte vulnerabile.
Legăturile cu prestatorii de servicii de întreţinere şi mentenanţă a echipamentelor trebuie îmbunătăţite, întrucât reprezintă surse de ameninţări care încă nu au fost securizate corespunzător.
Politicile de securitate ale marilor întreprinderi au fost întărite puternic în ultimii trei ani, iar comportamentul colaboratorilor în situaţii de risc a fost urmărit. PC-urile şi instrumentele conectate sunt guvernate de reguli foarte stricte şi sunt controlate sistematic.
Din punctul meu de vedere, Datacenter-ele externalizate folosite de numeroase companii rămân în continuare puncte slabe serioase şi nu m-ar surprinde dacă am afla, în viitor, că din ele au loc scurgeri de informaţii sau sunt ţinte ale unor atacuri.

Laurent Chrzanovski: Iar în cadrul clusterului Vallée de l’Energie?
Jean-Luc Habermacher: Clusterul Vallée de l’Energie reuneşte reprezentanţi ai industriei şi actori din sectorul energetic din Franţa, iar eu, în calitate de preşedinte, conduc acţiuni pentru sensibilizarea şi informarea membrilor, în special cu privire la riscurile cu care ar putea să se confrunte în activităţile lor.
Tehnologiile digitale vizează tot lanţul de fabricare a componentelor, dar şi pe cei care concep softuri de control/comandă care supraveghează unităţile de producţie şi de distribuţie a energiei. Consecinţele sunt diferite în fiecare din aceste două contexte.
Procesul de înţelegere reală a vulnerabilităţilor Întreprinderii Conectate este încă la stadiul incipient în cadrul IMM-urilor, fiind deci necesară utilizarea studiilor în acest domeniu şi sprijinirea întreprinderilor în realizarea unor audituri globale.
Alt sector foarte sensibil vizează pilotarea sistemelor de producţie, de operare şi de distribuţie a energiei. În această privinţă, evident că există riscuri majore, întrucât platformele şi softurile care pilotează şi gestionează echipamentele nu sunt din păcate suficient de securizate în prezent.
Este esenţial să se lucreze în coordonare cu întreprinderile care creează şi dezvoltă sisteme de operare pentru a integra în mod corect măsurile de protecţie necesare şi pentru a implementa procese de intervenţie controlabile. Acest demers necesită schimbarea percepţiei actuale a anumitor actori.
În acest sens, mi se pare importantă difuzarea de mesaje şi promovarea lor în diferite reviste specializate, cu sprijinul structurilor Camerei de Comerţ şi Industrie, Comitetelor Industriale, sindicatelor profesionale…
Ar trebui să lucrăm, de asemenea, la implementarea de studii specifice în domeniul analizei şi managementului riscurilor cibernetice în cadrul universităţilor şi facultăţilor de inginerie, deoarece întreprinderile noastre au nevoie de sprijin în aceste domenii.
Lucrăm în strânsă legătură cu serviciile de stat (Poliţie şi Jandarmerie) pentru aducerea la cunoştinţa membrilor noştri a alertelor emise şi, eventual, pentru sprijinirea lor în procedurile administrative, în caz de atac.

Laurent Chrzanovski: Care domenii ce ţin de securitatea lumii digitale vi se par cele mai trecute cu vederea în comparaţie cu comportamentele fizice?
Jean-Luc Habermacher: Aşa cum am amintit şi mai devreme, conectivitatea sistemelor, atât a celor interne cât şi a celor externe întreprinderii, a devenit o necesitate a societăţii la care va trebui să ne adaptăm.
Măsurile tehnologice de securitate se vor dovedi dificil de implementat cu atât mai mult cu cât, prin natura lor, comportamentele umane vor încerca să le ocolească.
Multiplicarea datelor colectate din mediul imediat al indivizilor şi operările încrucişate care ar putea fi realizate cu aceste date vor constitui mize economice enorme în viitor. Din această cauză, mulţi actori doresc să se înscrie în această înlănţuire a colectărilor directe sau indirecte de date. Pentru acest lucru, sunt folosite o multitudine de aplicaţii care, pe neobservate, colectează şi transferă atât datele individuale cât şi cele colective, acestea din urmă nu sunt supuse controlului individual, însă ar putea să devină opozabile fiecăruia.
Decizia de a asocia tehnologii digitale numeroaselor activităţi de zi cu zi ar trebui să fie luată după conştientizarea dependenţei tehnice pe care acestea o generează şi a consecinţelor sociale pe care le implică.

Laurent Chrzanovski: În ce ar trebui să constea cultura de apărare digitală într-o întreprindere şi care este forma pe care ar trebui s-o ia, după părerea dumneavoastră?
Jean-Luc Habermacher: În prezent, în cazul multor structuri, Strategia de apărare digitală este concepută de către responsabili de sistemele informatice, care au o abordare şi o cultură foarte tehnice.
Aşa cum am mai menţionat, mizele au un caracter tot mai pronunţat economic, iar întreprinderea trebuie să îşi poată analiza vulnerabilitatea.
Tehnologia sau, mai precis, instrumentele tehnologice digitale devin vectorii sau armele de atac folosite împotriva întreprinderii.
Din această cauză, este esenţială o viziune bazată pe o analiză de 360°. Pentru aceasta, trebuie dezvoltată o cultură a riscului diferită, începând cu identificarea motivelor şi continuând cu anticiparea mecanismelor care ar putea fi folosite împotriva întreprinderii, dar şi cu înţelegerea consecinţelor la care întreprinderea s-ar expune în cazul diferitelor scenarii.
În acest context, nu sunt sigur că profilul„Tehnician de sisteme informatice” este cel mai potrivit pentru buna desfăşurare a acestui raţionament şi pentru dezvoltarea culturii riscului în întreprindere.
Administratorii întreprinderilor ar trebui să se informeze cu privire la vulnerabilităţile strategice la care întreprinderile lor ar putea fi expuse şi să conştientizeze faptul că răspunsurile la acţiunile defensive nu ţin doar de domeniul tehnologic. Trebuie luate în considerare şi aspectele umane, culturale, sociale şi chiar geopolitice.
Implementarea de instrumente de acoperire a riscurilor trebuie obligatoriu să integreze acest aspect; bineînţeles, trebuie acoperite daunele materiale, însă este esenţială şi acoperirea daunelor imateriale. Profilul managerului de risc trebuie să cuprindă toate aceste aspecte.

Laurent Chrzanovski: În opinia dumneavoastră, de ce au fost ignorate atât de mult timp, în Europa, tranziţia către digital şi noile mize în materie de securitate, în ceea ce priveşte marile puteri?
Jean-Luc Habermacher: Nu ştiu dacă Europa a ignorat în mod real mizele în materie de securitate legate de schimbările digitale, însă ceea ce e sigur este că folosirea noilor tehnologii nu a fost întotdeauna luată în considerare în cadrul unei analize globale.
Interesul imediat pentru anumite instrumente sau aplicaţii a eclipsat într-o anumită măsură consecinţele indirecte pe care urmau să le producă în final.
Pe de altă parte, nu am anticipat suficient consecinţele dependenţelor tehnologice pe care aveau să le genereze marii producători de softuri de operare, de reţele şi manageri de reţele informatice digitale.
Convergenţele economice, prin intermediul acestor actori diferiţi, nu au fost înţelese suficient pentru a permite pregătirea unor acţiuni defensive împotriva dependenţelor tehnologice pe care le creau.
Cadrul legislativ internaţional nu a fost adaptat astfel încât să permită evitarea acestor situaţii critice. În plus, interesele economice ale statelor prevalează asupra interesului colectiv european. Europa este o mare casă în care fiecare locatar ar dori să folosească şi să controleze după propriile interese deschiderea uşilor şi a ferestrelor, reţeaua electrică sau sistemul de încălzire, interesul comunitar oprindu-se într-un fel la uşa fiecărui apartament… Crearea şi impunerea de reguli comunitare implică şi impunerea de constrângeri faţă de propria dezvoltare. Regula care guvernează relaţiile dintre state este consensul, aşadar actele şi deciziile luate sunt întotdeauna „a minima”.
Prin anumite proiecte precum GALILEO se încearcă crearea unor independenţe tehnologice, însă, după cum am putut vedea, implementarea lor este un proces foarte complicat şi de lungă durată. Evoluţia tehnologiilor şi a structurilor digitale necesită timp de reacţie foarte scurt care, din păcate, este în mare parte incompatibil cu procedurile administrative greoaie ale instituţiilor europene.

Laurent Chrzanovski: Este încă posibilă reinstaurarea unui spirit de vigilenţă pe un continent care cunoaşte pacea încă din 1945, fără a fi acuzat de comportament big brother sau belicos?
Jean-Luc Habermacher: Actele de terorism care au afectat mai multe ţări europene au reactivat un anumit spirit de vigilenţă şi tind să reaprindă şi o conştiinţă cetăţenească. Din păcate, atacurile cibernetice nu au aceeaşi vizibilitate precum atacurile şi atentatele de stradă, chiar dacă într-o anumită măsură consecinţele lor pot fi similare în ceea ce priveşte impactul economic şi social. Suporturile tehnologice pe care se bazează autorii atacurilor cibernetice sunt atât individuale cât şi colective, comportamentele umane constituie în egală măsură vectori de transmitere a armelor de atac.
Încercarea de a reglementa anumite practici ne-ar conduce la modificarea comportamentelor individuale şi la reformarea noţiunilor de libertate şi de ingerinţă. Cursa pentru tehnologiile digitale şi numărul mare de aplicaţii de servicii la care aderă în mod spontan o mare parte din populaţie fac ca acţiunile de reglementare să fie şi mai greu de întreprins.
Conştientizarea „politică” nu este încă suficient de matură pentru a fi un factor de influenţă şi pentru a determina măsuri reale de vigilenţă colectivă şi cetăţenească.
Ar trebui încercată o întărire a cadrului legislativ pentru a permite acţiuni de investigaţii mult mai extensive şi pentru a putea aplica sancţiuni mai severe, însă pentru aceasta este necesară acceptarea de către concetăţenii noştri că securitatea lor depinde probabil de câteva restricţii ale libertăţilor individuale.

Laurent Chrzanovski: De ce suntem atât de puţin sensibili la bunele practici ale vecinilor noştri din cadrul UE, atunci când acestea îşi dovedesc eficienţa, şi de ce trebuie să reinventăm roata în fiecare stat?
Jean-Luc Habermacher: Mi se pare că această dorinţă sistematică de a personaliza proceduri şi acţiuni este o trăsătură a multora dintre noi, mai ales a celor care ne conduc.
Când vine vorba de recrearea unei „bune practici”, întotdeauna se găseşte un pretext pentru reanalizarea sa cu scopul de a o personaliza pentru a o adapta mai bine contextului nostru, iar spiritul naţionalist rămâne prezent în cazul politicienilor noştri.
Sindicatele sau federaţiile profesionale din domeniile noastre de expertiză sunt practic inexistente şi nu pot juca rolul de factor de influenţă pentru a coagula acţiuni la nivel european.
Ar trebui instituit un adevărat plan de acţiune. Ar trebui deci create organisme profesionale reprezentative din domeniile noastre de competenţă care să poată lucra pe mai multe planuri, pentru promovarea şi capitalizarea realizărilor.

Laurent Chrzanovski: Sibiu – de 3 ani – ce anume găsiţi util în această formulă de întâlniri?
Jean-Luc Habermacher: Am descoperit la Sibiu un congres care ia forma unui adevărat simpozion. Este o veritabilă platformă de schimburi de idei, de experienţe şi de cugetări. Aici întâlnesc experţi şi actori care lucrează pe diferite nivele în domenii legate de riscurile cibernetice.
Simbioza acestor comunităţi diferite constituie o sursă foarte valoroasă pentru schimburi, permiţând fiecăruia să îşi îmbogăţească diferite idei cu privire la temele care îl interesează, având totodată posibilitatea unei viziuni de 360° asupra subiectului.
În plus, cadrul vechii cetăţi a Sibiului permite stabilirea de întâlniri foarte agreabile şi chiar confidenţiale pentru cei care doresc acest lucru, precum şi un networking veritabil cu diferiţi actori ai comunităţii internaţionale în domeniul riscurilor cibernetice.
Din punctul meu de vedere, formatul acestui congres este ideal pentru această tematică şi pentru contextul întâlnirii.

Jean-Luc HABERMACHERJean-Luc HABERMACHER

Fondator și Președinte al Energy Valley – primul cluster european de companii producătoare de energie, Jean-Luc este un risk manager cu experiență în diferite companii importante (CEGELEC, ALSTOM, CONVERTEAM, GENERAL ELECTRIC). El este Regional Vice-President al Franche-Comté Auditor›s Association of the Institute of Higher Studies of National Defense (IHEDN), Profesor la University of Bourgogne-Franche-Comté (France) și locotenent- colonel al Jandarmeriei Franceze (RC). El este, de asemenea, project manager pentru implementarea de soluții de Business Intelligence pentru diverse companii private.