Schimbul de informaţii în domeniul cibernetic: Unde este Moldova?

Schimbul de informaţii în domeniul cibernetic: Unde este Moldova?

411

Rolul Internetului în ziua de astăzi nu poate fi neglijat. Acesta facilitează comunicarea rapidă și cost eficientă dintre oameni, oferind oportunități vaste pentru afaceri, cetățeni și guverne pentru a-și administra activitățile. Cu toate acestea, Internetul devine un mediu tot mai atractiv pentru diverse elemente malițioase cum ar fi: Script Kiddies, „Hacktivists”, crima organizată, terorismul și intruși sponsorizați de stat. Acestea reprezintă grupuri de actori de amenințare, care au diferite capacități, motive și metode în urmărirea scopurilor lor.

Dezvoltarea rapidă a tehnologiilor oferă răufăcătorilor oportunităţi variate de a găsi cea mai potrivită și cost avantajoasă cale de intruziune. Atât sectorului public, cît și celui privat îi vine tot mai greu și mai greu să facă faţă provocărilor de securitate cibernetică. Timpurile cînd organizaţiile erau în stare să reziste de sine stătător la presiunile atacatorilor cibernetici au trecut.

autor:
Natalia Spinu

Incidentele cibernetice recente care au avut loc în marele companii cum ar fi Sony, eBay și JP Morgan, la fel ca și în cadrul organizaţiilor guvernamentale cum ar fi Oficiul de management al personalului SUA, care au investit milioane de dolari în securitatea cibernetică, au demonstrat cît de reale sunt ameninţările. Dar ce să zicem despre companiile mai mici, care au capacităţi mai reduse în protecţia mediului său de afaceri?

Din acest motiv cooperarea și schimbul de informaţii joacă un rol tot mai important în asigurarea securităţii cibernetice. Beneficiile unor astfel de parteneriate sunt evidente – schimbul de informaţii permite de a consolida capacităţile de detectare a tuturor membrilor participanţi într-o reţea unică de informare, facilitează transferul rapid a cunoștinţelor în domeniul ameninţărilor, previne propagarea ameninţărilor și reduce dublarea eforturilor.

Oricum, implementarea componentei de schimb de informaţii în mediul corporativ sau guvernamental nu este o sarcină atît de ușoară cum s-ar fi părut. Există multe provocări din partea sectorului public și cel privat, care împiedică atingerea scopului comun – de a fi mai rezistent atacurilor cibernetice. Cîteva din ele ar fi:

Inițiativa. Cine trebuie să iniţieze și să coordoneze procesul? Trebuie să fie guvernul sau lumea afacerilor? În general, publicul consideră lumea afacerilor de a fi forţa motrice a dezvoltării tehnologiilor, cea mai avansată în domeniul securităţii cibernetice și acea forţă care„știe cel mai bine ce de făcut și cum de făcut”. În contrast cu sectorul privat, sectorul public, care pe de o parte este o piaţă pentru servicii, pe de alta parte crede «De ce ar trebui să aibă grijă de întreaga naţiune?».

Concurența de piață. Companiile private ar putea percepe cunoașterea ameninţării ca avantaj competitiv. Din alt punct de vedere, instituţiile de reglementare ar putea interpreta schimbul de cunoștinţe ca un comportament anticoncurenţial.

Reputația. „Ok. Dacă voi dezvălui informaţia privind ameninţarea și o voi face publică, cine va avea încredere apoi în serviciile pe care le prestez?” Temerile de a aduce daune reputaţiei sale în urma divulgării informaţiei va avea o reflecţie negativă în mass-media.

Confidențialitate. În unele ţări, legislaţia în domeniul protecţiei datelor naţionale consideră adresa Internet Protocol (IP) și alte elemente ale informaţiei cibernetice ca date cu caracter personal, care nu pot fi împărtășite fără acordul explicit al proprietarului său.

Autoritate. Cine din cadrul unei companii sau a unei instituţii ar trebui să deţină autoritatea de a dezvălui informaţiile? Ar trebui să fie reprezentantul managementului de nivel superior sau un specialist din domeniul securităţii IT?

Confidențialitate. Sunt diferite tipuri de secrete: secret de stat, secret din domeniul afacerilor, secret personal, și altele. Ce informaţie anume poate fi dezvăluită pentru, pe de o parte, a atinge scopurile comune, dar și pe de altă parte a păstra secretele ce ţin de aceste informaţii?

Capacitate. Nu este de ajuns doar de a face parte dintr-o iniţiativă de schimb de informaţii. Pe de o parte, organizaţia trebuie să deţină capacităţi umane și tehnice pentru a raporta comunităţii informaţia referitor la ameninţări, iar pe de altă parte să fie în stare să utilizeze informaţia recepţionată.

Interesant este modul în care diferite state abordează aceste probleme. Potrivit unui studiu recent1, realizat de Agenţia Uniunii Europene pentru Securitate Informaţională și de Reţea (European Union Agency for Network and Information Security – ENISA), ţările membre ale uniunii europene, la fel ca și Mediul Economic European (European Economic Area – EEA), ţările membre a Asociaţiei Europeane de Liber Schimb (European Free Trade Association – EFTA), s-au examinat diverse modalităţi de promovare a schimbului de informaţii în domeniul cibernetic. De bază sunt „legislaţia de comandă și control”,„reglementare prin cooperare”,„auto-reglementare”.

Abordarea prin „legislaţie de comandă și control” presupune aplicarea unor norme legale obligatorii în legislaţia naţională, care identifică părţile care trebuie să distribuie informaţia despre incidente cibernetice anumitor entităţi. Un bun exemplu de aplicare a acestor norme este Directiva 2009/140/EC, prin care au fost introduse amendamente în legislaţia UE ce ţine de comunicaţii electronice și de prestatorii serviciilor de comunicaţii electronice publice pentru a „notifica organele regulatorii competente despre încălcările în domeniul securităţii sau pierderii integrităţii care a avut un impact semnificativ asupra reţelelor sau serviciilor”2.

Abordarea prin prisma „reglementării bazate pe cooperare”, presupune existenţa unui organism de reglementare care ar facilita în mod direct crearea centrelor sectoriale de analiză şi schimb de informaţii (ISACs), sub forma unor parteneriate public-private (PPP) axate pe schimbul de informaţii la nivel intersectorial. Acestea reprezintă comunităţi închise, în unele cazuri, cu un număr limitat de participanţi, unde schimbul de informaţii, de regulă, se realizează în bază de voluntariat în cadrul unor reuniuni comune, organizate de mai multe ori pe an, fiind coordonate de instituţiile guvernamentale. Un exemplu de iniţiativă bazată pe “reglementare prin cooperare” revine Centrului Naţional privind Securitatea Cibernetică (NCSC) a Olandei care a organizat centre sectoriale de analiză şi schimb de informaţii pe aşa domenii ca apa, energia, finanţe şi altele; ISACs-uri similare au fost organizate de către Centrul guvernamental pentru protecţia infrastructurii naţionale a Regatului Unit, și altele.

În cele din urmă, o abordare bazată pe „auto-reglementare” presupune iniţiative ce promovează şi susţin schimbul de informaţii ce urmează a fi redirecţionate în concordanţă cu statutul fiecărei organizaţii în parte, indiferent dacă acestea sunt: guvernamentale sau private, comerciale sau non-profit, naţionale sau internaţionale. De regulă, respectiva abordare este preluată şi utilizată de către instituţiile apropiate sectorului de securitate cibernetică, precum Echipele de Răspuns la Incidentele legate de Securitatea Calculatoarelor (CSIRT-uri), companii în domeniul securităţii informaţionale sau comunităţile de experţi în domeniu. Iniţiative europene sesizabile de acest gen sunt „Centrul Industrial Cybersecurity” (CCI) din Spania, „N6 Network Security Incident Exchange” din Polonia, „Asociaţia de experţi de infrastructură critică” din Italia și altele.

Există, de asemenea, şi o alternativă în abordarea problemelor cu privire la partajarea de informaţii cibernetice. Spre exemplu, companiile şi-ar putea avansa poziţionarea în domeniul securităţii cibernetice prin obţinerea de informaţii ameninţătoare din surse comerciale sau de tip „open source”. Cu toate acestea, în primul caz, compania ar urma să deţină un buget semnificativ de (~ 250 000 euro pe an și mai mult), în al doilea caz se necesită din partea companiei o capacitatea de a procesa informaţia în formă brută, în lipsă de fiabilitate, înșelătoare, incompletă și irelevantă în vederea transformării ulterioare a acesteia în ceva atacabil.

În Republica Moldova, schimbul de informaţii privind securitatea cibernetică este la o etapă incipientă. Cu toate acestea, primele acţiuni în această direcţie au fost realizate în anul 2009, prin adoptarea legii privind prevenirea şi combaterea criminalităţii informatice. În prezent, schimbul de informaţii se organizează ad hoc, ca reacţie de răspuns și, în mare parte, corelate cu investigarea infracţiunilor cibernetice. În comparaţie cu ţările Uniunii Europene, în Republica Moldova se aplică abordarea bazată pe „legislaţia de comandă şi control” şi „auto-reglementarea” în vederea soluţionării dificultăţilor privind schimbul de informaţii.

„Legislaţia de comandă şi control” la nivel naţional, privind reglementarea schimbului de informaţii constă dintr-o singură lege (Legea nr. 20 din 03.02.2009 „privind prevenirea și combaterea criminalităţii informatice”) și trei decizii guvernamentale (Hotărîrea Guvernului nr. 735 din 11.06.2002 „cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova “, Hotărîrea Guvernului nr. 857 din 31.10.2013 „privind Strategia naţională de dezvoltare a societăţii informaţionale «Moldova digitală 2020» și Hotărârea Guvernului nr. 811 din 29.10.2015 cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”). Per ansamblu, legislaţia obligă furnizorii de servicii electronice (ESP) să raporteze către organismele naţionale competente, incidentele privind securitatea cibernetică şi a criminalităţii informatice, permite instituţiilor competente să solicite de la ESPs şi autorităţile administraţiei publice informaţii necesare pentru derularea investigaţiei, stabilirea obiectivelor de dezvoltare precum şi încurajarea schimbului de informaţii cibernetice la nivel public şi privat inclusiv susţinerea activităţilor de cooperare.

Aplicabilitatea abordării bazate pe „auto-reglementare” la nivel naţional datează din 2010, odată cu înfiinţarea Echipei de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD. Iniţial, rolul echipei se limita doar la asigurarea unui răspuns la incidentele de securitate cibernetică din cadrul reţelelor guvernamentale. Cu toate acestea, echipa CERT-GOV-MD de la bun început a stabilit relaţii bazate pe încredere cu organizaţiile naţionale competente în domeniu (Serviciul de Informaţii şi Securitate, Ministerul Afacerilor Interne, Procuratura Generală, Centrul pentru Combaterea Crimelor Informatice și altele), precum și organizaţii internaţionale (OSCE, UNDP, IMPACT și altele), devenind membru al comunităţii internaţionale CSIRT (Reprezentant de încredere și acorduri bilaterale cu alte CSIRT-uri) obţinând astfel pe de o parte încrederea din partea canalelor de comunicare cu care operează iar pe de altă parte acces la surse informaţionale valoroase de natură ameninţătoare. Realizările menţionate, plasează CERT-GOV-MD într-o poziţie unică în vederea soluţionării problemelor cheie privind schimbul de informaţii cibernetice prin aplicarea abordării bazate pe „auto-reglementare”. În acest scop, Programul naţional de securitate cibernetică a Republicii Moldova deligă către CERT-GOV-MD sarcina de a crea un Sistem naţional de conştientizare a ameninţărilor cibernetice în timp real.

În conformitate cu planul stabilit de Programul Naţional de securitate cibernetică a Republicii Moldova, dezvoltarea și punerea în aplicare a unui astfel de sistem se preconizează a fi realizată în perioada anilor 2016 – 2017. Cu toate acestea, din cauza resurselor umane extrem de limitate cuplate cu un volum mare de muncă a echipei CERT-GOV-MD, succesul realizării acestui planul în termenul prestabilit nu este cert.

Abordarea prin prisma unei „reglementări bazate pe cooperare”, presupune dorinţa întreprinderilor de a coopera în vederea soluţionării problemelor comune ce ţin de securitatea cibernetică. În acest context, o prioritate a Guvernului ar fi susţinerea întreprinderilor în direcţia atingerii obiectivelor stabilite. Cu toate acestea, în Republica Moldova, acest cult al cooperării reciproce la nivel de întreprinderi pe tema securităţii cibernetice l-a moment nu s-a conturat clar şi nici nu este evidentă măsura în care acestea sunt dispuse să se implice şi să acţioneze.

Reieșind din prevederile Strategiei Naţionale „Moldova digitală 2020” privind „Stimularea schimbului reciproc de informaţii privind ameninţări, vulnerabilităţi, riscuri, precum şi incidente şi atacuri cibernetice între sectorul public şi privat “, CERT-GOV-MD a întreprins o încercare în a depăși acest „punct mort” semnalat la nivel de comunicare, organizând astfel în anul 2015, prima conferinţă dedicată rolului PPP-ului în domeniul securităţii cibernetice. Conferinţa a reunit experţi de talie mondială, reprezentanţi ai instituţiilor implicate în combaterea incidentelor privind securitatea cibernetică şi a criminalităţii informatice, cei mai mari furnizori de servicii Internet din Moldova, parlamentarii şi companiile private cointeresate de astfel de parteneriate, cu scopul de a obţine schimb de experienţă și viziuni în domeniul securităţii cibernetice, înlăturarea barierelor privind eventuale neînţelegeri, stabilirea unor puncte de contact și crearea cadrului necesar pentru viitoarele cooperări. Totuși, deși rezultatele aceste iniţiative din partea CERT-GOV-MD, au confirmat prezenţa problemei susmenţionate, sectorul privat rămâne a fi mult mai interest în aşi vinde produsele şi serviciile în detrimentul soluţionării problemei naţionale de Securitate cibernetică. Şi totuși, la finele evenimentului din 2015, un reprezentant al Asociaţiei sectorului IT a remarcat: „În orice caz, afacerile IT în Moldova sunt deschise pentru un dialog constructiv”.

Internetul a devenit un mediu virtual extrem de periculos. În ultimii ani, tot mai multe întreprinderi specializate în domeniul securităţii cibernetice au ajuns victime a infractorilor cibernetici. Cu siguranţă, doar prin cunoașterea surselor ameninţătoare în continua lor schimbare, obţinem un scut indispensabil în asigurarea securităţii organizaţiei. Cu toate acestea, sunt foarte puţine întreprinderi în lume care sunt capabile şi dispun de mecanismele necesare de a se asigura corect şi sigur împotriva atacurilor cibernetice din surse proprii. Prin urmare, devine din ce în ce mai popular schimbul reciproc de informaţii cu caracter ameninţător, inclusiv depășirea acestor dificultăţi şi vulnerabilităţi cu implicarea unor costuri minime şi obţinerea de eficienţă maximă.

Și totuși, diversitatea specificului fiecărei naţiuni în parte implică o abordare diferită a problemelor de securitate cibernetică, inclusiv aplicarea acestora în rândul ţărilor europene. Revenind la cazul Republicii Moldova, care ar fi poziţionarea acesteia în rândul acestor ţări?

Potrivit cercetărilor reflectate în acest articol, concluzionăm că Republica Moldova este abia la etapa iniţială în direcţia soluţionării şi depășirii cu succes a vulnerabilităţilor privind atacurile cibernetice utilizând ca instrument: comunicarea şi schimbul de informaţii. Experienţa acumulată de-a lungul timpul a demonstrat că aplicarea unui set de măsuri administrativ-legislative diferenţiate pentru fiecare ţară în parte nu va genera rezultatul dorit. În același timp, sectorul privat nu este pregătit să colaboreze în domeniul schimbului de informaţii şi experienţă privind securitatea cibernetică din moment ce nu obţin beneficii de ordin economic.

Cele menţionate anterior, reprezintă un argument solid referitor la identificarea „auto-reglementării” drept cea mai aplicabilă abordare la nivel naţional. Pași siguri în această direcţie au fost făcuţi de Echipa de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD, care pe de o parte a obţinut relaţii solide cu comunităţile locale şi cele internaţionale iar pe de altă parte deţine acces la surse valoroase de informaţii ameninţătoare. În pofida realizărilor deja menţionate, succesul obiectivelor stabilite este unul incert din moment ce resursele CERT-GOV-MD sunt extrem de limitate.


1 European Union Agency for Network and Information Security, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (Heraklion: ENISA, 2015).
2 Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU, 2009).

Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.