Schimbul de informații în domeniul cibernetic: Unde este Moldova?

Schimbul de informații în domeniul cibernetic: Unde este Moldova?

384

Natalia-Spinu

Rolul Internetului în ziua de astăzi nu poate fi neglijat. Acesta facilitează comunicarea rapidă și cost eficientă dintre oameni, oferind oportunități vaste pentru afaceri, cetățeni și guverne pentru a-și administra activitățile. Cu toate acestea, Internetul devine un mediu tot mai atractiv pentru diverse elemente malițioase cum ar fi: Script Kiddies, “Hacktivists”, crima organizată, terorismul și intruși sponsorizați de stat. Acestea reprezintă grupuri de actori de amenințare, care au diferite capacități, motive și metode în urmărirea scopurilor lor.
Dezvoltarea rapidă a tehnologiilor oferă răufăcătorilor oportunități variate de a găsi cea mai potrivită și cost avantajoasă cale de intruziune. Atât sectorului public, cât și celui privat îi vine tot mai greu și mai greu să facă față provocărilor de securitate cibernetică. Timpurile când organizațiile erau în stare să reziste de sine stătător la presiunile atacatorilor cibernetici au trecut.
Incidentele cibernetice recente care au avut loc în marele companii cum ar fi Sony, eBay și JP Morgan, la fel ca și în cadrul organizațiilor guvernamentale cum ar fi Oficiul de management al personalului SUA, care au investit milioane de dolari în securitatea cibernetică, au demonstrat cât de reale sunt amenințările. Dar ce să zicem despre companiile mai mici, care au capacități mai reduse în protecția mediului său de afaceri?
Din acest motiv cooperarea și schimbul de informații joacă un rol tot mai important în asigurarea securității cibernetice. Beneficiile unor astfel de parteneriate sunt evidente – schimbul de informații permite de a consolida capacitățile de detectare a tuturor membrilor participanți într-o rețea unică de informare, facilitează transferul rapid a cunoștințelor în domeniul amenințărilor, previne propagarea amenințărilor și reduce dublarea eforturilor.
Oricum, implementarea componentei de schimb de informații în mediul corporativ sau guvernamental nu este o sarcină atât de ușoară cum s-ar fi părut. Există multe provocări din partea sectorului public și cel privat, care împiedică atingerea scopului comun – de a fi mai rezistent atacurilor cibernetice. Câteva din ele ar fi:
Inițiativa. Cine trebuie să inițieze și să coordoneze procesul? Trebuie să fie guvernul sau lumea afacerilor? În general, publicul consideră lumea afacerilor de a fi forța motrice a dezvoltării tehnologiilor, cea mai avansată în domeniul securității cibernetice și acea forță care ”știe cel mai bine ce de făcut și cum de făcut”. În contrast cu sectorul privat, sectorul public, care pe de o parte este o piață pentru servicii, pe de alta parte crede “De ce ar trebui sa aibă grijă de întreaga națiune?”.
Concurența de piață. Companiile private ar putea percepe cunoașterea amenințării ca avantaj competitiv. Din alt punct de vedere, instituțiile de reglementare ar putea interpreta schimbul de cunoștințe ca un comportament anticoncurențial.
Reputația. “Ok. Dacă voi dezvălui informația privind amenințarea și o voi face publică, cine va avea încredere apoi în serviciile pe care le prestez?” Temerile de a aduce daune reputației sale în urma divulgării informației va avea o reflecție negativă în mass-media.
Confidențialitate. În unele țări, legislația în domeniul protecției datelor naționale consideră adresa Internet Protocol (IP) și alte elemente ale informației cibernetice ca date cu caracter personal, care nu pot fi împărtășite fără acordul explicit al proprietarului său.
Autoritate. Cine din cadrul unei companii sau a unei instituții ar trebui să dețină autoritatea de a dezvălui informațiile? Ar trebui să fie reprezentantul managementului de nivel superior sau un specialist din domeniul securității IT?
Confidențialitate. Sunt diferite tipuri de secrete: secret de stat, secret din domeniul afacerilor, secret personal, și altele. Ce informație anume poate fi dezvăluită pentru, pe de o parte, a atinge scopurile comune, dar și pe de altă parte a păstra secretele ce țin de aceste informații?
Capacitate. Nu este de ajuns doar de a face parte dintr-o inițiativă de schimb de informații. Pe de o parte, organizația trebuie să dețină capacități umane și tehnice pentru a raporta comunității informația referitor la amenințări, iar pe de altă parte să fie în stare să utilizeze informația recepționată.
Interesant este modul în care diferite state abordează aceste probleme. Potrivit unui studiu recent[1], realizat de Agenția Uniunii Europene pentru Securitate Informațională și de Rețea (European Union Agency for Network and Information Security – ENISA), țările membre ale uniunii europene, la fel ca și Mediul Economic European (European Economic Area – EEA), țările membre a Asociației Europeane de Liber Schimb (European Free Trade Association – EFTA), s-au examinat diverse modalități de promovare a schimbului de informații în domeniul cibernetic. De bază sunt ”legislația de comandă și control”, ”reglementare prin cooperare”, ”auto-reglementare”.
Abordarea prin ”legislație de comandă și control” presupune aplicarea unor norme legale obligatorii în legislația națională, care identifică părțile care trebuie să distribuie informația despre incidente cibernetice anumitor entități. Un bun exemplu de aplicare a acestor norme este Directiva 2009/140/EC, prin care au fost introduse amendamente în legislația UE ce ține de comunicații electronice și de prestatorii serviciilor de comunicații electronice publice pentru a ”notifica organele regulatorii competente despre încălcările în domeniul securității sau pierderii integrității care a avut un impact semnificativ asupra rețelelor sau serviciilor”[2].
Abordarea prin prisma „reglementării bazate pe cooperare”, presupune existența unui organism de reglementare care ar facilita în mod direct crearea centrelor sectoriale de analiză şi schimb de informaţii (ISACs), sub forma unor parteneriate public-private (PPP) axate pe schimbul de informații la nivel intersectorial. Acestea reprezintă comunități închise, în unele cazuri, cu un număr limitat de participanți, unde schimbul de informații, de regulă, se realizează în bază de voluntariat în cadrul unor reuniuni comune, organizate de mai multe ori pe an, fiind coordonate de instituțiile guvernamentale. Un exemplu de inițiativă bazată pe “reglementare prin cooperare” revine Centrului Naţional privind Securitatea Cibernetică (NCSC) a Olandei care a organizat centre sectoriale de analiză şi schimb de informaţii pe aşa domenii ca apa, energia, finanţe şi altele; ISACs-uri similare au fost organizate de către Centrul guvernamental pentru protecția infrastructurii naționale a Regatului Unit, și altele.
În cele din urmă, o abordare bazată pe “auto-reglementare” presupune inițiative ce promovează şi susțin schimbul de informații ce urmează a fi redirecționate în concordanță cu statutul fiecărei organizații în parte, indiferent dacă acestea sunt: guvernamentale sau private, comerciale sau non-profit, naționale sau internaționale. De regulă, respectiva abordare este preluată şi utilizată de către instituțiile apropiate sectorului de securitate cibernetică, precum Echipele de Răspuns la Incidentele legate de Securitatea Calculatoarelor (CSIRT-uri), companii în domeniul securității informaționale sau comunitățile de experți în domeniu. Inițiative europene sesizabile de acest gen sunt “Centrul Industrial Cybersecurity” (CCI) din Spania, “N6 Network Security Incident Exchange” din Polonia, “Asociația de experți de infrastructură critică” din Italia și altele.
Există, de asemenea, şi o alternativă în abordarea problemelor cu privire la partajarea de informații cibernetice. Spre exemplu, companiile şi-ar putea avansa poziționarea în domeniul securității cibernetice prin obținerea de informații ameninţătoare din surse comerciale sau de tip “open source”. Cu toate acestea, în primul caz, compania ar urma să deţină un buget semnificativ de (~ 250 000 euro pe an și mai mult), în al doilea caz se necesită din partea companiei o capacitatea de a procesa informația în formă brută, în lipsă de fiabilitate, înșelătoare, incompletă și irelevantă în vederea transformării ulterioare a acesteia în ceva atacabil.
În Republica Moldova, schimbul de informaţii privind securitatea cibernetică este la o etapă incipientă. Cu toate acestea, primele acţiuni în această direcţie au fost realizate în anul 2009, prin adoptarea legii privind prevenirea şi combaterea criminalităţii informatice. În prezent, schimbul de informaţii se organizează ad hoc, ca reacţie de răspuns și, în mare parte, corelate cu investigarea infracțiunilor cibernetice. În comparație cu ţările Uniunii Europene, în Republica Moldova se aplică abordarea bazată pe „legislaţia de comandă şi control” şi „auto-reglementarea” în vederea soluţionării dificultăţilor privind schimbul de informaţii.
”Legislaţia de comandă şi control” la nivel național, privind reglementarea schimbului de informații constă dintr-o singură lege (Legea nr. 20 din 03.02.2009 “privind prevenirea și combaterea criminalității informatice”) și trei decizii guvernamentale (Hotărîrea Guvernului nr. 735 din 11.06.2002 “cu privire la sistemele speciale de telecomunicații ale Republicii Moldova “, Hotărîrea Guvernului nr. 857 din 31.10.2013 “privind Strategia națională de dezvoltare a societății informaționale “Moldova digitală 2020″” și Hotărârea Guvernului nr. 811 din 29.10.2015 ” cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020″). Per ansamblu, legislația obligă furnizorii de servicii electronice (ESP) să raporteze către organismele naţionale competente, incidentele privind securitatea cibernetică şi a criminalității informatice, permite instituțiilor competente să solicite de la ESPs şi autorităţile administraţiei publice informaţii necesare pentru derularea investigaţiei, stabilirea obiectivelor de dezvoltare precum şi încurajarea schimbului de informaţii cibernetice la nivel public şi privat inclusiv susţinerea activităţilor de cooperare.
Aplicabilitatea abordării bazate pe “auto-reglementare” la nivel național datează din 2010, odată cu înființarea Echipei de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD. Inițial, rolul echipei se limita doar la asigurarea unui răspuns la incidentele de securitate cibernetică din cadrul rețelelor guvernamentale. Cu toate acestea, echipa CERT-GOV-MD de la bun început a stabilit relaţii bazate pe încredere cu organizațiile naționale competente în domeniu (Serviciul de Informații şi Securitate, Ministerul Afacerilor Interne, Procuratura Generală, Centrul pentru Combaterea Crimelor Informatice și altele), precum și organizații internaționale (OSCE, UNDP, IMPACT și altele), devenind membru al comunității internaționale CSIRT (Reprezentant de încredere și acorduri bilaterale cu alte CSIRT-uri) obținând astfel pe de o parte încrederea din partea canalelor de comunicare cu care operează iar pe de altă parte acces la surse informaționale valoroase de natură amenințătoare. Realizările menționate, plasează CERT-GOV-MD într-o poziție unică în vederea soluționării problemelor cheie privind schimbul de informații cibernetice prin aplicarea abordării bazate pe „auto-reglementare”. În acest scop, Programul naţional de securitate cibernetică a Republicii Moldova deligă către CERT-GOV-MD sarcina de a crea un Sistem naţional de conştientizare a ameninţărilor cibernetice în timp real.
În conformitate cu planul stabilit de Programul Național de securitate cibernetică a Republicii Moldova, dezvoltarea și punerea în aplicare a unui astfel de sistem se preconizează a fi realizată în perioada anilor 2016 – 2017. Cu toate acestea, din cauza resurselor umane extrem de limitate cuplate cu un volum mare de muncă a echipei CERT-GOV-MD, succesul realizării acestui planul în termenul prestabilit nu este cert.
Abordarea prin prisma unei “reglementări bazate pe cooperare”, presupune dorința întreprinderilor de a coopera în vederea soluționării problemelor comune ce ţin de securitatea cibernetică. În acest context, o prioritate a Guvernului ar fi susținerea întreprinderilor în direcția atingerii obiectivelor stabilite. Cu toate acestea, în Republica Moldova, acest cult al cooperării reciproce la nivel de întreprinderi pe tema securității cibernetice l-a moment nu s-a conturat clar şi nici nu este evidentă măsura în care acestea sunt dispuse să se implice şi să acționeze.
Reieșind din prevederile Strategiei Naționale “Moldova digitală 2020” privind “Stimularea schimbului reciproc de informații privind amenințări, vulnerabilități, riscuri, precum şi incidente şi atacuri cibernetice între sectorul public şi privat “, CERT-GOV-MD a întreprins o încercare în a depăși acest “punct mort” semnalat la nivel de comunicare, organizând astfel în anul 2015, prima conferință dedicată rolului PPP-ului în domeniul securității cibernetice. Conferința a reunit experți de talie mondială, reprezentanți ai instituțiilor implicate în combaterea incidentelor privind securitatea cibernetică şi a criminalității informatice, cei mai mari furnizori de servicii Internet din Moldova, parlamentarii şi companiile private cointeresate de astfel de parteneriate, cu scopul de a obține schimb de experiență și viziuni în domeniul securității cibernetice, înlăturarea barierelor privind eventuale neînțelegeri, stabilirea unor puncte de contact și crearea cadrului necesar pentru viitoarele cooperări. Totuși, deși rezultatele aceste inițiative din partea CERT-GOV-MD, au confirmat prezența problemei susmenționate, sectorul privat rămâne a fi mult mai interesat în a-şi vinde produsele şi serviciile în detrimentul soluționării problemei naționale de Securitate cibernetică. Şi totuși, la finele evenimentului din 2015, un reprezentant al Asociației sectorului IT a remarcat: “În orice caz, afacerile IT în Moldova sunt deschise pentru un dialog constructiv”.
Internetul a devenit un mediu virtual extrem de periculos. În ultimii ani, tot mai multe întreprinderi specializate în domeniul securității cibernetice au ajuns victime a infractorilor cibernetici. Cu siguranță, doar prin cunoașterea surselor amenințătoare în continua lor schimbare, obținem un scut indispensabil în asigurarea securității organizației. Cu toate acestea, sunt foarte puține întreprinderi în lume care sunt capabile şi dispun de mecanismele necesare de a se asigura corect şi sigur împotriva atacurilor cibernetice din surse proprii. Prin urmare, devine din ce în ce mai popular schimbul reciproc de informații cu caracter amenințător, inclusiv depășirea acestor dificultăți şi vulnerabilități cu implicarea unor costuri minime şi obținerea de eficiență maximă.
Și totuși, diversitatea specificului fiecărei națiuni în parte implică o abordare diferită a problemelor de securitate cibernetică, inclusiv aplicarea acestora în rândul țărilor europene. Revenind la cazul Republicii Moldova, care ar fi poziționarea acesteia în rândul acestor ţări?
Potrivit cercetărilor reflectate în acest articol, concluzionăm că Republica Moldova este abia la etapa inițială în direcția soluționării şi depășirii cu succes a vulnerabilităților privind atacurile cibernetice utilizând ca instrument: comunicarea şi schimbul de informații. Experiența acumulată de-a lungul timpul a demonstrat că aplicarea unui set de măsuri administrativ-legislative diferențiate pentru fiecare ţară în parte nu va genera rezultatul dorit. În același timp, sectorul privat nu este pregătit să colaboreze în domeniul schimbului de informații şi experiență privind securitatea cibernetică din moment ce nu obțin beneficii de ordin economic.
Cele menționate anterior, reprezintă un argument solid referitor la identificarea „auto-reglementării” drept cea mai aplicabilă abordare la nivel național. Pași siguri în această direcție au fost făcuți de Echipa de răspuns la incidentele legate de securitatea calculatoarelor CERT-GOV-MD, care pe de o parte a obținut relații solide cu comunitățile locale şi cele internaționale iar pe de altă parte deține acces la surse valoroase de informații amenințătoare. În pofida realizărilor deja menționate, succesul obiectivelor stabilite este unul incert din moment ce resursele CERT-GOV-MD sunt extrem de limitate.

Note:
[1] European Union Agency for Network and Information Security, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (Heraklion: ENISA, 2015).
[2] Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU, 2009).

Autor: Natalia Spinu
Material publicat în Cybersecurity Trends, nr. 2/2016