Un dialog deschis și fără precedent despre securitate cibernetică în...

Un dialog deschis și fără precedent despre securitate cibernetică în România

44
Laurent Chrzanovski

Autor: Laurent Chrzanovski

Preambul

Pentru evoluţia digitală, 2018 este un an deosebit de important în care, din păcate, în aproape toate ţările din Sudul Europei, din Portugalia până în România, nu se mai vorbește deloc despre pericole. Pe de o parte, suntem intoxicaţi zilnic de către mass-media generaliste cu așa-zisa „dezinformare”, un fenomen care are loc, în toate media, de la începutul presei democratice la sfârșitul secolul al XIX-lea, dar care prin prisma marilor vedete ale media românești se limitează la informaţie manipulată, deformată sau chiar inventată, pe scurt fake news.

Nu se vorbește despre datele falsificate, care sunt majoritatea covârșitoare a acestui fenomen și partea într-adevăr nouă a lui, ţinta lor fiind să schimbe cursul unei acţiuni pe piaţa bursieră, să intoxice algoritmi ai mașinilor și software-ul din generaţia „Machine Learning” sau „Artificial Intelligence” și care, prin masa lor impresionantă, fac aproape imposibilă contracararea cantitativă cu date reale.

CYBERSECURITY-ROMANIA-CONGRESS-
CYBERSECURITY-ROMANIA-CONGRESS- 2018

Pe de altă parte, mai sunt numai între 12 și 16 luni, în funcţie de fiecare Stat, până la implementarea reţelei 5G, care va aduce o metamorfoză totală și completă a mijloacelor umane și tehnologice folosite în cadrul securităţii digitale. Deja acum cantitatea de informaţii accesate prin smartphone depășește de departe canti-tatea celor preluate prin laptop, iar multiplicarea de 30 de ori a vitezei de recepţie/transmisie date (trecerea de la 4G la 5G) precum și uniunea celor mai slabe verigi de securitate (omul și smartphone, prin intermediul căruia se vor accesa în 2020 peste 80% din date) vor crea un cocktail exploziv pentru cei însărcinaţi cu apărarea fie a unei firmei, fie a unei infrastructuri sau a unui Stat.

Ori, spre deosebire totală de ţări cu ecosisteme private mult mai mature în domeniul securităţii, cum ar fi Elveţia, Anglia sau SUA, nemaivorbind de Rusia, China sau Israel, în zona geografică menţionată trăiesc regește pasivitatea firmelor cu beneficii mari, neimplicarea producătorilor de securitate în evenimente non-profit – sau unde marketing-ul „hard style” nu este permis –, precum și discursurile guvernamentale care rămân vorbe fără fapte.

Acest cumul de reacţii în sectoare atât de diferite dar și complementare a fost creat de trei elemente distinse: cele două valuri de malware (Wannacry și Non-Petya sau Goldeneye), intrarea in vigoare a GDPR și amalgamarea (cu încrederea/neîncrederea) între Statul ales și Instituţii stabile ale Statului care apară naţiunea și cetăţenii lor, mai ales în domeniul cyber. România nu este deloc o excepţie în peisajul european, dar poate că este un exemplu unde daunele acestor trei elemente fac cele mai multe ravagii.

Valurile de malware au determinat patronatul să spună că dacă până și multinaţionalele care au investit miliarde în securitate au fost lovite, atunci oricât pot ei să investească, tot nu vor fi protejaţi. GDPR, foarte prost explicat și interpretat, a antrenat costuri enorme în resetarea sistemului de securizare a datelor fără repunerea pe masă a întregului ecosistem de securitate a firmelor și, mai mult, a dus la angajarea a mii de specialiști în redactarea unei birocraţii kafkiene de „compliance”, cerută de Statele Membre UE și care au fost puși, în mod greșit, în aceeași categorie, a „securităţii”, în bugetul firmelor. Chiar de la patru CEO de firme cu cifre de afaceri de peste o sută de milioane de Euro pe an, dintr-o ţară membră a G7, am auzit „să nu mai auzim de investiţii în securitate în următorii doi-trei ani pentru ca întâi trebuie să amortizăm costurile și cheltuielile susţinute «din vina» GDPR”.

În sfârșit, neîncrederea în clasa politică, în majoritatea covârșitoare a Statelor Membre UE, are un impact devastator care se traduce în neîncredere în orice entitate statală, presupusă din start ca fiind o emanaţie sau o slugă a puterii alese.

În acest context, în perioada 13-14 septembrie 2018, s-a desfășurat la Sibiu a 6-a ediție a «Cybersecurity-Romania», o platformă de dialog public-privat, neutră și non-profit sprijinită și pregătită de către Swiss Webacademy (o organizație non-guvernamentală) împreună cu Uniunea Internațională a Telecomunicațiilor (ITU – ONU/Geneva) și sub înaltul patronaj al Ambasadei Elveției în România.

În seara zilei de miercuri, 12 septembrie, a avut loc tradiţionalul „Welcome dinner” oferit de către Poliţia de Stat din Geneva în onoarea Ambasadorului Elveţiei în România, E.S. Urs Herren, punctul de pornire al elementului de bază a congresului sibian, adică networking-ul și interacţiunea dintre participanţi din ţări, domenii și sectoare foarte diferite.

De ce am îndrăznit să scriem „fără precedent” pentru a califica cele două zile de congres în comparaţie cu toate evenimente care au loc în România pe tematica „cyber”? Desigur nu dintr-un orgoliu deplasat, nici pentru a dispreţui ceea ce fac companiile private sau Statul în București dar și la Timișoara, Cluj-Napoca sau Iași, ci pentru a marca o diferenţă majoră: crearea unui moment de dialog și de interacţiune de 48 de ore în cadrul unui congres și încă mai mult în cadrul momentelor informale unde atmosfera și calitatea ei, dacă este reușită, întărește aceste relaţii.

Congresul a fost organizat dintr-un motiv simplu: această ediţie a fost croită pentru două sectoare absolut vitale pentru buna funcţionare a întregii ţări și unde securitatea este întotdeauna la ordinea de zi: transporturile și infrastructurile critice.

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Prezenţa a înalți reprezentanți ai Instituțiilor naționale din domeniul cybersecurity – cu echipele lor – a fost prima cheie a unui dialog permanent de două zile, și este datoria noastră să le mulţumim următoarelor instituţii și persoane pentru disponibilitatea și încrederea acordată din start acestei noi variante a congresului nostru: Centrul Naţional Cyberint, reprezentat de Directorul General Anton Rog;
Serviciul de Telecomunicaţii Speciale, reprezentat de Directorul General, General-locotenent ing. Ionel Sorinel Vasilca și de General de brigadă Ionel-Sorin Bălan, Prim adjunct al Directorului; DCCO, reprezentat de Cătălin Zetu, Împuternicit Șef a Biroului de Atacuri Informatice; CERT-RO, reprezentat de Directorul General Cătălin Arama și de Director adjunct Iulian Alecu; ANCOM, reprezentat de Directorul IT Virgilius Stanciulescu.

Datorită acestor personalităţi, care au făcut drumul până la Sibiu împreună cu mulţi specialiști din subordinea lor, dialogul cu participanţii a fost permanent, constant, uman și personalizat. Acest dialog a fost vital într-un moment extrem de confuz pentru sectorul privat, fiindcă pe de o parte legea care va defini competenţele, limitele și obligaţiile fiecărei Instituţii a Statului în domeniul cybersecurity încă zace neadoptată după ani de zile de dezbateri sterile și patru variante diferite – începând cu faimoasa lege stufoasă și neconstituţională denumită „Big Brother” – și fiindcă, pe de altă parte, ceea ce este mult mai grav, Curtea Constituţională a declarat neconstituţională varianta de lege propusă pentru adaptarea corpusului legislativ român în vigoare la normativa obligatorie a UE zisă «NIS» (Directive on security of network and information systems), plasând România, la momentul de faţă, printre cele 18 state ale U.E. ale căror aparat juridic și parlamentar este incapabil să transforme o directivă „crystal clear” într-o lege naţională simplă și clară.

În ceea ce îi privește pe participanţii la Congres, mulţi reprezentanţi ai industriei locale au venit cu mare interes, atrași de faptul deja cunoscut de ei că evenimentul reprezintă un „cuib pentru a dialoga în liniște cu actori majori ai Instituţiilor centrale”, dar și de prezenţa a unor invitaţi VIP din nouă ţări, precum și de prezenţa a aproape tuturor actorilor majori din domeniile de transporturi și energie.

Ca reprezentanţi ai domeniului Transporturi, au venit personalităţii decizionale și specialiști IT din Tarom, Aeroporturi București, Aeroportul Sibiu, Romatsa, dar și CFR sau Metrorex, care au dialogat cu Consilierul pentru IT al Ministrului competent, cu reprezentanţii Autorităţii Naţionale Aeronautice Civile, cu cei mai înalţi specialiști ai Inspectoratului General pentru Situaţii de Urgenţă și ai Autorităţii Naţionale competente în materia de drumuri și vehicule. Din domeniul Energiei, pur și simplu nu a lipsit nicio companie care se ocupă cu producţia sau transportul gazelor și a electricităţii.

Toţi acești actori nu doar că au schimbat puncte de vedere, într-o dezbaterea de tip «Davos» dar, ceea ce este mai important, ei au participat la un War-Game denumit «Scenario», creat special pentru transporturile la cerere ale IATA (International Air Transport Association), precum și la un War-Game despre infrastructuri critice care se ţine în Israel pentru celula cyber a prim-ministrului.

Ambele War-Games au fost inventate de către Dotan Sagi, fost director al El Al Security Academy și fondator al companiei BeST, care a fost prezent în premieră în România pentru îndrumarea participanţilor. În cadrul acestor exerciţii în timp real cu ecrane care proiectează incidente cu caractere multiple, fiecare participant poate să joace rolul pe care și-l dorește: CEO, CIO, CISO, CSO, etc.

Dotan Sagi - Founder of BeST
Dotan Sagi – Founder of BeST

Deosebirea faţă de un exerciţiu făcut în interiorul unei firmei este majoră: trebuie ca fiecare să comunice cu toţi ceilalţi actori, privaţi sau statali, și să se pună capătul unei crize cu consecinţe extraordinar de grave și repercusiuni internaţionale în mai puţin de 90 de minute. Scopul? Cum rezistă și cum interacţionează umanul și care este cultura de criză și de securitate. La fel de importantă este încredere în proprii colegi, care este perfect invizibilă în simulările conduse în interiorul companiei și îndrumate de către șefii direcţi. Iar când vine vorba de a interacţiona, atunci reiese la iveală ranchiuna, ura, neîncrederea, superioritatea unui departament faţă de celălalt, exact când toate autorităţile așteaptă un răspuns clar despre ce se întâmplă pentru a putea, la rândul lor, comunica cu omologii lor din alte state.

„Cireșele de pe tort”, care au suscitat interes și chiar admiraţie din partea participanţilor cu funcţii decizionale, au fost două dezbaterii unice de tip Davos. Prima a avut tema „SUA, Elveţia, România: cine se ocupă de ce și cum colaborează cu celelalte instituţii ale statului și cu sectorul privat”, un dialog de peste o oră cu Special Agent Peter Traven, Assistant Legal Attaché ale Ambasadei SUA în România, Col. (= Gen.) Marc-André Ryter de la Statul Major ale Armatei Elveţiene, Căpitanul Patrick Ghion, Șeful secţiunii de Forensics al Poliţiei de Stat din Geneva și Anton Rog, Directorul General al Centrul National Cyberint (SRI).

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Astfel, în ciuda diferenţelor dintre statele federale (SUA și Elveţia) și un stat centralizat (România) și fără a devoala conţinutul dialogului precum și faptul ca nicio întrebare nu a rămas fără răspuns, putem să spunem în rezumat că peste tot marea miză este încrederea între oameni și participarea colectivă la efortul de securitate. Ori încrederea este deja o problemă în interiorul unui aparat de stat, oricare este el, iar participarea colectivă, în afara de câteva exemple pilot derulate în Elveţia sau în unele, rare, state din SUA precum New Jersey, face faţă unui val de egoism din partea actorilor mari din sectorul privat – și uneori și din partea statul – când vine vorba de schimbul de informaţii asupra vulnerabilităţilor.

Al doilea «Davos» major, despre riscuri prezente și viitoare ale Inteligentei Artificiale, a fost lansat și moderat de către Col. (= Gen.) Marc-André Ryter , în prezenţa lui Nicola Sotira , CISO al grupului Poste Italiane și a lui Battista Cagnoni , specialist în Machine Learning & AI for security.

Invitatii CYBERSECURITY ROMANIA 2018
Invitatii CYBERSECURITY ROMANIA 2018

Aici problematicile puse în evidenţă au fost două: «Inteligenţa» artificială de acum, adică accepţiunea anglo-saxonă a cuvântului, care înseamnă «culegere și triere de informaţii», este deja mult mai folosită și în mod mult mai avansat de către grupări criminale decât de către state sau companii pentru apărarea lor. În ceea ce privește inteligenţa artificială de mâine, cea care corespunde sensului cuvântului în limbile latine și a cărui prime produse sunt vehicule fără pilot, ea ridică o provocare imensă prin vulnerabilităţile sale potenţiale și eventuala sfidare a legii robotici unde mașina trebuie să fie stăpânită și să obădeze omului.

Mai mult ca oricând, succesele sau eșecurile ecosistemelor noastre se vor baza pe mărirea accelerată a gradului de cultură digitală și mai ales pe întâlniri și încredere interpersonală fie la stat, fie la privat, și încă mai important, între stat și privat. Toate acestea s-au întâmplat la Sibiu non- stop, pe toata durata evenimentului. În acest context, cu peste 160 de participanţi, a 6-a ediţie a „Cybersecurity-Romania”, conform feedback-ului primit de la cei mai înalţi reprezentanţi ai sectoarele public și privat, a avut un impact neașteptat de pozitiv, cu un rol și consecinţe pe termen lung pentru ecosistemul românesc.