Cybersecurity Nr. 4 / 2016
G. PA -27 12
Trends
Cover Story
Amenințări globale, soluții personalizate
G. PA -23 17
Interviuri VIP cu Christophe Réville şi Arnaud Velten
ends Editorial - Cybersecurity Tr
A fi, sau a nu fi... (online)
autor: Laurent Chrzanovski
Toate articolele publicate în această ediţie au un numitor comun: ce se găsește online și cum este folosit, abuzat, protejat sau uitat, în sălbăticie. Particularitatea conţinutului pe care îl publicăm aici constă în furnizarea unui panoptic al informaţiei disponibile online, cum o utilizăm, cum o utilizează agenţiile, cum o utilizează teroriștii. Tragedia de anul trecut de la Paris ne-a electrocutat arătându-ne cât de imaturi suntem, în Europa, în privinţa securităţii ca întreg și nu numai a securităţii cibernetice. Această observaţie și analiza rădăcinilor naivităţii noastre, în cadrul celui mai proactiv și interactiv think-tank la care am avut onoarea să particip, summit-ul IE2S, a dat naștere unor reflecţii profunde concentrate pe inteligenţa economică, inteligenţa securităţii fizice, inteligenţa cibernetică și pe rolul activ pe care fiecare actor (stat, sector privat, societate civilă și cetăţeni individuali) trebuie să-l joace în imaginea de ansamblu pentru a începe să ne schimbăm modul de convieţuire într-o epocă care devine din ce în ce mai periculoasă și mai lipsită de etică.
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala ClujNapoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional publicprivate dialogue platform”.
O opinie din interior despre această întâlnire, cea a comunicatorului (Arnaud Velten) ne învaţă despre cât putem fi de activi în informarea publicului pe care îl ţintim, în direct sau ulterior, fără să dăm prea puţine sau prea multe informaţii despre un eveniment delicat. Este o lecţie perfectă pe care o putem aplica în viaţă, pe care o puteţi citi în articolul referitor la timing-ul exact pe care să-l stabilim în interacţiunile din reţelele sociale, blocând între anumite limite colectorii de big data, sau făcându-le viaţa mai grea. O altă posibilitate, propusă de Cătălin Pătrașcu, Șef Serviciu Securitatea Informaţiei și Monitorizare la CERT-RO, este să optăm pentru criptarea datelor noastre sensibile pentru a preveni o intruziune facilă în vieţile noastre. Lucrarea lui Alessandro Trivilini ne arată modul în care un alt grup, teroriștii, s-au adaptat perfect la lumea comunicaţiilor difuzându-și mesajele de ură și înregistrările video atroce, rămânând aproape de nedepistat. Ca o imagine într-o oglindă, Natalia Spinu, prin exemplul NSA, ne arată cum colectarea datelor poate expune pe orice jucător semnificativ la scurgeri de date explozive, care se pot dovedi mai negative pentru o instituţie, decât succesele obţinute din procesarea lor. Yannick Harrel ne demonstrează că atunci când ne alegem o mașină, clienţi fiind, este responsabilitatea noastră să îi cunoaștem punctele slabe și să asigurăm protecţia ei (și a noastră). Din nou, comunicaţiile de date dintre componentele IT&C ale mașinii sunt expuse riscurilor, iar utilizatorul trebuie să le conștientizeze. Pe de altă parte, fluxul vital de informaţii poate fi întrerupt, așa cum ne arată ANSSI. Articolul prezintă o analiză a ameninţărilor majore care au ţinut capul de afiș în acest an: întreruperea sau afectarea comunicaţiilor prin atacuri masive de tipul Distributed denial of Service (DDoS). Datorită ochiului vigilent și a peniţei ascuţite a lui Pascal Tran-Huu, principalele tendinţe care s-au relevat în timpul bogatelor dezbateri de la congresul din Sibiu, sunt prezentate într-o manieră comprehensibilă și simplă. Ele arată cât mai avem de parcurs pentru a obţine un minim de cooperare și securitate, pentru a ne apăra în faţa provocărilor și ameninţărilor de astăzi, o zonă periculoasă în evoluţie constantă, mutaţii și transformări, în care nimeni nu poate fi sigur de unul singur. Rolul CERT-urilor și CSIRT-urilor, analizat de Eduard Bisceanu, trebuie reconsiderat. În acest moment particular, majoritatea acestor organizaţii și instituţii duc lipsă de mijloace umane și economice, pentru a-și îndeplini misiunea. Factorii politici, ca și agenţii economici, în majoritatea ţărilor, nu demonstrează o voinţă reală de a promova CERT-urile și PPP-urile în mod efectiv, pentru a obţine rezultate concrete și a întreprinde acţiuni care să treacă dincolo de consultările tradiţionale, fără alte rezultate concrete înafara foilor de parcurs, sugestiilor și sfaturilor. La final, cele două articole oferite de Massimo Cappelli și Michele Gallante de la Global Cyber Security Center rezumă perfect provocarea: în absenţa educaţiei și a reducerii decalajului de comunicare dintre diferiţii parteneri care încearcă să creeze o cultură a securităţii, ne vom izbi de un zid, indiferent de câte eforturi vom depune în acest domeniu. Curba de risc a securităţii trebuie atenuată, prin reducerea drastică a eșecurilor posibile. Dar timpul ne este adversar, pe măsură ce noi dispozitive IoT, noi aplicaţii și noi tehnologii sunt lansate zilnic pe piaţă, se deschid tot mai multe porţi pentru infractorii cibernetici. Dacă vom eșua să reducem vulnerabilităţile acum, societatea se va confrunta cu consecinţe grave timp de generaţii. În numele întregii redacţii, vă dorim un An nou fericit și sigur!
1
- Cybersecurity Trends
Your brain might need a second to catch up.
Jan. 5-8, 2017 Ι Las Vegas, NV Register now at CES.tech #CES2017
2
ds en Tr y it ur ec rs be Cy s ie it Author
Marco Obiso, Cybersecurity Coordinator, International Telecommunication Union, Geneva
Dragi cititori, Acest număr se concentrează pe mai multe subiecte, care cu toate că sunt prezente din ce în ce mai des în media și cu toate că au o implicare extensivă în domeniul cyber-securităţii, sunt prea adesea înţelese în mod greșit. Primul este Economic Intelligence (informaţii economice). De fapt, acest concept vast se poate dovedi efectiv, așa după cum vom vedea, doar însoţit de un set complet de măsuri umane și tehnice și de aptitudini, cel mai adesea, calificate ca „defensiv cibernetice”. Înţelegerea fenomenelor globale privind riscurile și oportunităţile este cheie în securitatea cibernetică, dar este cheie, în același timp, într-un business proactiv și în informaţiile economice. Reportajele și interviurile luate de redactorii prezenţi la summit-ul francez de informaţii economice, siguranţă și securitate, subliniază necesitatea cooperării între specialiștii din diverse segmente de activitate, cooperare care dacă este bine coordonată și structurată contribuie la o soliditate și încredere mai mare în lumea digitală. Al doilea subiect, tehnologiile IT disponibile la bordul mașinilor, demonstrează încă o dată că nici o tehnologie nu este bună sau rea în sine, și că aspectele specifice de securitate trebuie înţelese de către consumatori. Apoi, grija pe care fiecare dintre noi trebuie să o aibă atunci când postează texte, imagini, sau video online, este examinată din punctul de vedere al comunicatorului unui summit cu ușile închise, o imagine exactă a ce anume este util să fie postat, ce anume nu trebuie postat și a timing-ului diferitelor postări (imediat sau după un timp de gândire asupra impactului). La final, articolele scrise de către membrii GCSEC se referă la lipsa de conștientizare din zona securităţii IT&C și a prea multor lacune care există chiar și atunci când conștientizarea este bine făcută, și la faptul că încă sunt multe punţi de construit între sectoarele educaţionale, culturale și de aptitudini practice. Principalul merit al articolelor publicate îl reprezintă faptul că reușesc să demonstreze, prin intermediul unor texte ușor de citit, că aceste topicuri, vitale pentru societăţile noastre, sunt strâns conectate cu securitatea cibernetică și că ne pot ajuta să învăţăm mai multe despre cum să ne apărăm în lumea virtuală. În acest sens, dacă economia sau mai buna înţelegere a textelor simple și a imaginilor pe care le postăm online, sau chiar a mașinilor pe care le cumpărăm, ne pot determina să adoptăm precauţii curente în modul în care vedem lumea IT&C, poate fi un pas important înspre dobândirea unei încrederi în tehnologie, bazate pe cunoștinţe și bune reflexe.
3
y Trends Authorities - Cybersecurit
Supravegherea cibernetică: o nouă realitate sau o veche poveste?
Head of the Cyber Security Center CERT-GOV-MD
Odată cu era digitală, tehnicile de supraveghere au evoluat în paralel cu progresul tehnologic. Acum, nu mai este necesar de a menţine un personal numeros de informatori pentru a putea colecta informaţia dorită. Zecile de dispozitive digitale, care ne înconjoară în viaţa de zi cu zi, au devenit precum ochii tăcuţi și urechile ascultătoare în raport cu indicaţiile parvenite din partea stăpânului real.
BIO Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefă de departament în cadrul Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.
4
Mai mult decât atât, fiind motivată și energizată de oportunitatea „gratuită” pentru a-și satisface nevoile sociale, aici și acum, societatea dependentă de Internet, aduce fiecare parte din experienţa trăită la dispoziţia giganţilor de Internet - prin propria voinţă! Detalii cu privire la această mișcare au devenit cunoscute publicului larg la mulţi ani după ce Edward Snowden, contractor al CIA a sustras în anul 2013 informaţii secrete de la Agenţia Naţională de Securitate NSA din SUA. După șocul iniţial și evaluarea ulterioară a impactului, scurgerea de informaţii a fost definită ca fiind „cea mai mare și mai dăunătoare publicare de informaţii clasificate din istoria forţelor de securitate a SUA”2. Cu toate acestea, SUA, precum și istoria inteligenţei mondiale „știe” multe povești cu privire la divulgarea de informaţii neautorizate. Atunci rămâne de văzut ce anume a transformat acest caz în unul special?
Coperta faimoasei reviste Wiered, numărul din septembrie 2014, © Wired
autor: Natalia Spinu,
Supravegherea ca metodă de colectare a informației a existat de la începutul omenirii. Liderii politici ai Romei Antice dețineau propriile rețele de supraveghere, fiind astfel mereu informați cu privire la potențialele conspirații și intrigi la adresa lor. În Evul Mediu, Regina Angliei, Elizabeth I, folosea agenți secreți pentru a fi mereu cu un pas înaintea adversarilor săi. În timpul Războiului Rece, forțele secrete Stasi ale Germaniei de Est au construit o rețea de supraveghere, care a fost compusă din mai mult de 91 000 de ofițeri și aproape 200 000 de informatori pentru a monitoriza activitățile cetățenilor săi în vederea „sufocării neliniștii”.1
La prima vedere, descoperirile lui Snowden, nu prezentau nimic nou un grup de state exploata în mod activ punctele slabe ale arhitecturii de Internet pentru a promova interesele lor naţionale prin abilitatea „de a avea acces la cabluri, routere și servere cloud a marilor companii de Internet.”3 Şi ce? Sunt multe exemple cunoscute4 de implicare a statului în materie de supraveghere activă și intruzivă a reţelelor de Internet. Deşi astfel de practici sunt comune pentru ţările totalitare, nu s-a auzit vreodată despre implicarea statelor dezvoltate occidentale, pilonii democraţiei mondiale în acţiuni ce ţin de supravegherea în masă a justiţiei şi a supremaţiei legii, subminareaa principiilor democratice fundamentale, la care au fost destinate să servească. Amploarea acestor activităţi de supraveghere cibernetică5 a fost atât de mare, încât a devenit o ameninţare cibernetică la nivel mondial pentru democraţiile din întreaga lume, alături de terorismul cibernetic, criminalitatea informatică și conflictele cibernetice. A trecut suficient timp pentru a putea evalua impactul real şi consecinţele descoperirii lui Snowden. Prin urmare, acest articol, încearcă să răspundă la întrebarea: „Ar trebui luate în considerare fenomenele de supraveghere la nivel mondial drept o nouă realitate inevitabilă în care vom continua să trăim sau echilibrul între necesitatea asigurării securităţii naţionale și a principiilor democratice vor fi restaurate?” În acest scop, este important să se înţeleagă cum poate deveni posibilă o supraveghere la nivel mondial, din moment ce aceste lucruri nu pot fi făcute dintr-o dată. Rădăcinile acestui mare potenţial, ne întorc în anii 50, atunci când Regatul Unit al Marii Britanii și al Statelor Unite au adoptat în mod oficial un acord multilateral de informaţii, care s-a aplicat şi pentru alte reţele de telecomunicaţii secrete, inclusiv și regulile privind schimbul reciproc de informaţii. Ulterior, acordul a fost extins pentru a include Australia, Canada, Noua Zeelandă precum și „alte 30 de ţări ca „părţi terţe”6, pentru a monitoriza comunicaţiile Uniunii Sovietice și ale blocului său de Est. În conformitate cu acest cadru, multiple programe de supraveghere au fost puse în aplicare pentru a permite în mod legal, în cadrul procesului de Informaţii Externe de Supraveghere (FISA), interceptarea comunicaţiilor existente în acea perioadă de timp. Acest proces de colectare a informaţiei a fost utilizat până în anul 2001, când atacurile teroriste 9/11 au schimbat totul. În conformitate cu informaţiile secrete devenite publice din cadrul „National Security Agency Inspector General draft report”7, imediat după ce au avut loc atacurile, NSA a început să evalueze lacunele privind colectarea informaţiilor
de semnal, în scopul de a consolida capacitatea sa de contracarare a ameninţărilor neîntâlnite anterior. Rezultatele evaluării au identificat, că de fapt, cea mai mare parte din comunicaţii, inclusiv a celor care au fost utilizate de către teroriști în timpul atacurilor 9/11, „nu se mai strecoară prin semnale radio sau prin sisteme de telefonie”, dar prin intermediul Internetului. Dificultăţile semnificative create, precum cele de interceptare legală s-au dovedit a fi nepotrivite pentru supravegherea eficientă a obiectivelor ţintă, care la rândul său şi-ar putea schimba cu ușurinţă numărul de telefon sau adresa de Protocol de pe Internet cu mult înainte ca NSA să obţină autorizarea pentru interceptare. Din cauza unei „urgenţe emergente”, președintele George W. Bush a emis un memorandum, numit „Autorizarea pentru activităţi specifice de supraveghere electronică pe parcursul unei perioade limitate cu scopul de a detecta și a preveni actele de terorism în Statele Unite ale Americii”, care, în cele din urmă a permis directorului NSA să-și dea acordul pentru a intercepta „comunicaţiile prin cablu efectuate în interiorul sau în afara statelor Unite ale Americii” în cazul în care au existat motive de a presupune că sursa ţintă a fost implicată în terorism. În rezultatul acestui acord şi asistenţei bazate pe voluntariat cu 4 din cei peste 100 de parteneri din sectorul privat, NSA a obţinut acces la 81% din conţinutul interceptărilor telefonice la nivel internaţional și de meta date a Statelor Unite ale Americii, precum și conţinutul e-mail-urilor, în conformitate cu recentul aranjament „Programul de Supraveghere a Președintelui”. Programul s-a desfășurat fără modificări esenţiale până în luna martie 2004, când, în rezultatul examinării preliminare a componentelor sale de către Departamentul SUA de Justiţie, s-a descoperit că doar trei din cele patru categorii de informaţii colectate în cadrul „Autorizaţiei”, au fost legale. În particular, în metoda de colectare de meta date prin intermediul Internetului, numită „bulk data” au fost găsite reglementari controversate – precum colectarea mai degrabă a informaţiilor integrale decât a datelor selectate în mod specific. De atunci, a început procesul de legalizare a autorităţii atribuite politic, prin trecerea la ordinele judecătoreşti. În cele din urmă, de la începutul anului 2007, NSA a pierdut controlul puterii de supraveghere a legii. Totuși, acesta nu a fost sfârșitul poveștii. Scurgerea de date datorată lui „Snowden” a relevat faptul că imediat după ce și-a pierdut capacitatea, NSA a început s-o creeze din nou, dar, de această dată, la un nivel mult mai extins. În acest scop, aceasta și-a angajat partenerii „spion alianţă”, care vizează o parte importantă a traficului de date Internet la nivel global, cu miliarde de utilizatori. Reacţia comunităţii inteligente privind scurgerea de informaţii a fost extrem de negativă. Nu putea fi altfel
5
y Trends Authorities - Cybersecurit – rezultatele muncii migăloase de zeci de ani au fost puse dintr-o dată în pericol. În general, comunitatea inteligentă consideră că scurgerea de informaţii datorată lui „Snowden” a făcut lucruri mult mai importante pentru protejarea valorilor democratice decât acţiunile lor proprii, prin diminuarea încrederii societăţii și giganţilor tehnologiei în agenţiile de informaţii, care au început a fi percepute mai degrabă drept instrument de supraveghere în masă și control total, decât agenţii angrenate în lupta cu terorismul, crimele cibernetice și informaţii inteligente externe. Avocaţii NSA susţin că, metoda de colectare utilizată, „bulk data”, a fost un sacrificiu necesar din cauza imperfecţiunilor tehnologiei de supraveghere, și este vital s-o menţină „vie”. Mai mult decât atât, în realitate, agenţiile de informaţii inteligente nu deţin capacităţi de a citi toate mesajele pe care le colectează, ci numai acelea ce se referă la obiectivele lor – constituind un procentaj minoritar din totalul informaţiilor colectate.8 Cu toate acestea, în ciuda obiectivelor declarate, scurgerile secrete de documente au dezvăluit că oricine şi în orice moment poate deveni o ţintă, fără dovezi de implicare în infracţiuni, acte de terorism sau alte activităţi rău intenţionate. De exemplu, în 2014, a devenit cunoscut faptul că SUA a vizat 122 de lideri politici, inclusiv aliaţii săi cei mai apropiaţi.9 Chiar și cetăţenii Statelor Unite, cei ale căror interese au fost implicate în această „capacitate” ar putea fi supravegheaţi „accidental”, fără consecinţe grave - „şi fără a prezenta un motiv de îngrijorare”10. Ce se poate spune despre locuitorii altor naţiuni democratice și mai puţin democratice? Pe parcursul secolelor, supravegherea a fost și rămâne a fi una dintre principalele pietre de temelie care stau la baza puterii politice. Perioada de tranziţie, a creat noi oportunităţi, schimbând metodele de execuţie, dar nu și scopul. Un grup de state s-a folosit rapid de acestea în secret. Dezvăluirea publică a activităţilor lor de către o persoană din interior, Edward Snowden, a relevat încălcări grave ale principiilor democratice fundamentale. Amploarea acestor activităţi a fost atât de mare, încât a devenit o ameninţare globală pentru democraţiile din întreaga lume. A trecut suficient timp pentru a privi înapoi și a evalua astfel rolul articolului dat în a găsi un răspuns la întrebarea „Ar trebui ca fenomenul supravegherii globale să fie considerat o nouă realitate în care vom continua să trăim, sau un echilibrul între necesitatea asigurării principiilor de securitate naţională și democraţie?” Cercetările efectuate au demonstrat că bazele pentru această mișcare au fost construite pe parcursul a zeci de ani. Începând cu anii ’50, SUA s-a axat pe crearea și extinderea capacităţii sale de supraveghere electronică pentru a contracara ameninţările provenite din spaţiul Uniunii Sovietice și blocului Estic. Odată cu începutul
6
mileniului următor, a apărut o nouă ameninţare - terorismul internaţional. Acesta a lovit puternic SUA. Ca răspuns, s-au luat măsuri extraordinare de stabilire a unei noi linii de apărare, dar, totodată, distrugând total echilibrul valorilor democratice. Treptat, echilibrul tindea a fi restaurat, dar, cu toate acestea, NSA deja nu a mai putut fi oprită. Cu ajutorul aliaţilor spioni, precum și a companiilor din sectorul privat a fost creată o reţea nouă de supraveghere cu o capacitate de a supraveghea activităţile a miliarde de oameni. În ciuda scopurilor proclamate, scurgerea documentelor secrete a dezvăluit că oricine, în orice moment ar putea a deveni un obiectiv, indiferent de acorduri politice, legalitatea activităţilor, sau chiar cetăţenie. Ei bine, ce am putea comenta cu referire la aceasta? - Bun venit într-o nouă lume curajoasă! În timp ce viitorul nu poate fi clar definit pe baza traiectoriei istorice, se poate concluziona că fiecare pericol nou la adresa democraţiei mondiale a devenit generator al intensificării mecanismului de supraveghere, deteriorând astfel democraţia în sine. Prin urmare, colaborarea internaţională și schimbul de informaţii cu privire la problemele cele mai acute ale lumii este esenţială pentru a conserva realizările omenirii de-a lungul timpului pentru generaţiile viitoare. Note: 1 Anthony Zurcher, Roman Empire to the NSA: A world history of government spying (BBC News Magazine, 2013). Available at http://www.bbc.com/news/magazine-24749166 [accessed on 05.12.2016]. 2 Executive Summary of Review of the Unauthorized Disclosures of Former National Security Agency Contractor Edward Snowden (U.S. House of Representatives, 2015). 3 Jovan Kurbalija, An introduction to Internet governance (Geneva: DiploFoundation, 2014), p 71. 4 According to Reporters Without Borders Special Report “Enemies of the Internet” in 2013 were registered five state enemies involved in “grave violations of freedom of information and human rights”, specifically: Syria, China, Iran, Bahrain and Vietnam. 5 According to Amnesty International NSA global surveillance programs covered “193 countries around the world” with billions of potential victims. [Global opposition to USA big brother mass surveillance (Amnesty International, 2015). Available at https://www.amnesty.org/en/press-releases/2015/03/globalopposition-to-usa-big-brother-mass-surveillance/ [Accessed on 06.12.2016]]. 6 Laura Poitras, Marcel Rosenbach and Holger Stark, US Intelligence Watches Germany Closely (Der Spiegel, 2013). Available at http://www.spiegel.de/international/world/germany-is-a-both-a-partner-to-and-atarget-of-nsa-surveillance-a-916029.html [Accessed on 07.12.2016]. 7 National Security Agency inspector general draft report (NSA, 2009). Available at http://apps. washingtonpost.com/g/page/world/national-security-agency-inspector-general-draft-report/277/ [Accessed on 07.12.2016]. 8 Robin Simcox. Surveillance after Snowden. Effective Espionage in an Age of Transparency (London: The Henry Jackson Society, 2015). 9 Laura Poitras, Marcel Rosenbach and Holger Stark, GCHQ and NSA Targeted Private German Companies and Merkel (Spiegel, 2014). Available at http://www.spiegel.de/international/germany/gchq-and-nsatargeted-private-german-companies-a-961444.html [Accessed on 07.12.2016]. 10 Barton Gellman and Laura Poitras, U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program (The Washington Post, 2013). Available at https://www. washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-inbroad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html [Accessed on 07.12.2016]
Authorities
Rolul tehnologiilor de criptare în asigurarea securităţii cibernetice Amenințările din spațiul cibernetic și complexitatea acestora nu mai constituie de ceva vreme o noutate, mai ales în contextul în care noțiunea de perimetru de rețea începe să nu mai aibă sens odată cu adoptarea tehnologiilor de tip cloud.
autor: Cătălin Pătraşcu
Strategiile de securitate bazate pe încercarea de a trasa graniţe în spaţiul cibernetic reprezintă o dovadă a adaptării unor concepte tradiţionale într-un context nou. De altfel, nici graniţele tradiţionale nu sunt 100% eficiente, acest fapt fiind cauzat, printre altele, de motive valabile și în cazul graniţelor din spaţiul cibernetic: nevoia de creare a punctelor de trecere a graniţelor. Piaţa tehnologiilor de securitate cibernetică a cunoscut o creștere exponenţială în ultimul deceniu, iar soluţiile care oferă protecţie perimetrală (firewall, secure gateway, proxy, IDS/IPS, UTM etc.) sunt încă destul de apreciate și utilizate. Doar că se impune conștientizarea faptului că aceste tehnologii sunt absolut necesare însă nu mai sunt și suficiente. Organizaţiile au nevoie de
BIO Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.
tehnologii suplimentare care să ofere facilităţi de securitate cibernetică în contextul în care datele acestora părăsesc frecvent perimetrul de reţea intern, fiind stocate și distribuite prin intermediul unor sisteme și reţele care nu le aparţin, precum în cazul utilizării tehnologiilor de tip cloud. Răspunsul unanim acceptat la această provocare constă în utilizarea unor standarde și tehnologii adecvate de criptare. Implementate corespunzător, tehnologiile de criptare permit asigurarea confidenţialităţii, integrităţii și non-repudierii datelor, rămânând în discuţie doar asigurarea disponibilităţii acestora. Astfel, pentru a obţine un nivel optim de securitate, am putea opta pentru utilizarea tehnologiilor de criptare și a unor sisteme informatice distribuite/redundante care să asigure stocarea, procesarea și transmiterea datelor. Nu puţini experţi și oameni de știinţă prevăd un viitor influenţat în mare măsură de tehnologiile de criptare, precum Blockchain – o tehnologie care se presupune că va revoluţiona inclusiv domeniul securităţii cibernetice. Pe de altă parte, tot mai multe voci din rândul structurilor care asigură securitatea naţională a statelor lumii privesc criptarea și ca pe o ameninţare la adresa securităţii, mai cu seamă pentru că această tehnologie este din ce în ce mai utilizată de organizaţiile teroriste pentru a-și planifica acţiunile în secret. Pentru a încheia într-o notă optimistă cu privire la viitorul criptării, ca un punct de vedere strict personal, aș aminti de platforma experimentală Mylar, dezvoltată de românca Raluca Ada Popa în cadrul studiilor de doctorat de la Massachusetts Institute of Technology, care demonstrează cum uneltele de criptare și cele destinate asigurării securităţii naţionale pot coexista, în sensul că se pot realiza căutări după cuvinte cheie în fișiere și baze de date criptate, fără a fi nevoie să se acceseze tot conţinutul acestora.
7
y Trends Authorities - Cybersecurit
Navigare în siguranţă pe internet folosind DNS protection Se
cu
te a Siste m elo
r In
ic e
at
ANSSI rit a
r
m
ru
8
nt
De ce acum? De ce prin DNS? Odată cu creșterea interesului în securitatea datelor și responsabilităţii utilizatorilor, a devenit populară funcţia de URL filtering, de URL whitelisting sau de filtrare a site-urilor web bazată pe categorii și reputaţia acestora. Însă clasificarea site-urilor în categorii sau menţinerea reputaţiei necesită timp. La momentul înregistrării unui site nou în DNS, reputaţia acestuia este neutră, categoria acestuia e necunoscută, asta permiţând de multe ori atacatorilor să deţină un interval de timp în care își desfasoară atacul, fără să fie filtrat de funcţia de URL. Odata site-ul catalogat, devine blocat, dar asta nu face decât să îi motiveze pe atacatori să-și mute infrastructura în minute pe altă înregistrare DNS, revenind înapoi la ce faceau. Tehnicile cel mai des folosite în acest tip de manipulare de DNS sunt: - DNS fast flux, înregistrarea unui număr mare de IPuri care sunt translatate către o singură înregistrare DNS concomitent cu schimbarea rapidă a acelui numar de IPuri, forţând astfel imposibilitatea de IP block. DNS block însă funcţionează, înregistrarea DNS fiind aceeași; - DNS DGA, sau nume de domeniu DNS generate aleator, prin care atacatorii înregistrează multe înregistrări DNS diferite, care pot duce la un singur IP sau pot duce la un fast flux pool de IP-uri descris mai sus. Acesta forţează imposibilitatea de a bloca IP blocks, dar nici înregistrările DNS nu sunt aceleași, ceea ce face filtrarea dificilă. Există algoritmi de detecţie a numelor ce sunt suspecte să fie DGA, iar acestea să fie blocate. Atacurile DDoS ca cel împotriva Dyn din octombrie 2016 ne-au arătat că infrastructura DNS în sine devine parte a unui atac, ori ca atac în sine, dar și ca paravan pentru alt atac sau succesiune de atacuri mascate. La momentul atacului de atunci, au fost companii care au
žia Nažion ocia alÅ As
pe
Aducem în atenția dumneavoastră importanța crescândă a serviciului de DNS, serviciu pe care se sprijină într-o foarte mare parte internetul de astăzi. Acesta a servit și servește în tăcere, fără prea multe pretenții, miliarde de cereri pe zi de la orice utilizator care dorește să ajungă la o pagină web, fără să țină minte adresa IP a acesteia. Însă dată fiind importanța crescândă a acestui serviciu, a atras dupa sine și atenția atacatorilor, care-și ascund în spatele înregistrărilor DNS, infrastructuri de atac.
fo
trecut peste neafectate de nedisponibilitatea Dyn, prin simplul mecanism de caching oferit de un serviciu de DNS recursiv. Faptul că serviciul de DNS recursiv nu putea face relay către DNS autoritative cum era Dyn nu a făcut decât să răspunda cu ultima adresă pe care o avea la cunoștinţă, ceea ce era suficient, din moment ce companiile oricum nu-și puteau anunţa noile înregistrări de DNS către autoritative. Unul dintre serviciile de DNS recursiv care a facilitat aceasta este OpenDNS și funcţia sa înglobată smartcache. De asemenea, dacă revenim la tehnicile exemplificate ca utilizate de atacatori, un DNS recursiv poate aplica algoritmi de detecţie DGA, poate bloca cereri catre DGA, de asemenea poate aplica algoritmi de analytics către înregistrările de DNS noi prin care să evidenţieze eventuale legături ascunse cu alte înregistrări DNS mai vechi și cunoscute ca fiind rău intenţionate. Acești algortimi se pot baza pe apartenenţa la același AS number al providerului, are același e-mail înregistrator, conţine aceleași servicii activate și hostează același conţinut sau aceleași fișiere artifact și așa mai departe. Una dintre tehnicile cele mai puternice de prevenire a acestor tipuri de atac e pur și simplu blocarea accesului la site-uri ce au înregistrări de DNS foarte noi și nu sunt catalogate URL. Asta taie avântul atacurilor prin DNS bazate pe timpul necesar catalogarii site-urilor noi. În acest moment serviciul DNS joacă o carte foarte puternică în amprentarea și detectarea nodurilor de ieșire ToR și a modului în care acestea interoghează DNS în favoarea celor care folosesc reţeaua pentru anonimizarea acţiunilor. Daca iniţial ToR a pornit ca o idee bună de anonimitate completă pe internet și de a nu mai lasa altora șansa de a urmări ce fac pe internet, astăzi ToR este folosit din ce în ce mai mult pentru hostarea serverelor de atac, tocmai datorită anonimităţii date de acest serviciu. Cum ToR este organizat ca o reţea peer-to-peer, e foarte greu să poată fi blocată, e foarte greu să știm care dintre laptop-urile unei organizaţii este și ToR exit node, doar uitându-ne la traficul de reţea. În concluzie, folosirea unui serviciu de DNS recursiv, fie el google.com, OpenDNS, Neustar ajută la filtrarea site-urilor web direct din cererea de DNS, este mult mai simplu de aplicat, nu e nevoie de un echipament local ce să filtreze URL, în plus putem aplica politici prin care să întârziem accesul către site-uri prea noi.
Focus
Legătura slabă în securitatea cibernetică: factorul uman «Dacă îți cunoști inamicii și te cunoști pe tine însuți, nu trebuie să-ți fie frică de rezultatul a o sută de bătălii» Sun Tzu, Arta războiului, cartea a III-a.
autor: Michele Gallante, GCSEC
Ca și în secolul VI î.e.n., și astăzi rolul cunoștinţelor și informaţiilor este esenţial în luarea de decizii la nivel funcţional și strategic. În era IoT (Internet of Things) și a comunicaţiilor digitale, care este valoarea informaţiilor voastre și cât sunt acestea de securizate? De fapt, puterea informaţiilor este bine cunoscută de companiile moderne, care dispun de analiști care să evalueze competiţia (Business Intelligence), de specialiști în securitatea fizică pentru a preveni accesul neautorizat în corporaţie, și de soft-uri tehnologic avansate care să prevină
BIO Michele este un avocat practicant înscrisîn ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.
intruziunea infractorilor cibernetici. Dar, din păcate, nu este suficient pentru a proteja compania și a preveni accesul nedorit. Evident, toate contramăsurile sunt inutile atunci când atacurile utilizează metodologii care pot ocoli toate procedurile menite să protejeze bunurile. De fapt, chiar și cele mai sofisticate încuietori din lume pot fi deschise cu ușurinţă dacă proprietarul îţi dă cheia, fără să-și dea seama. Din aceste motive, cei mai buni hacker-i combină „forţa brută” tehnologică, cu ingineria socială, pentru a le facilita accesul într-un sistem prin înșelăciune. Faimosul hacker și expert în ingineria socială, Kevin Mitnick, descrie ingineria socială ca „utilizarea influenţei și a persuasiunii pentru a-i înșela și manipula pe alţii, prin convingerea acestora că cel care se ocupă de așa ceva este altcineva decât este”. Alţi autori definesc ingineria socială ca „arta sau știinţa manipulării umane pentru a obţine informaţii confidenţiale și sensibile”. Conform rapoartelor Clusit1 și Verizon2 pe 2016, așa numitele „metode de elicitare”, o serie de tehnici de colectare de date utilizate pentru a obţine cunoștinţe sau informaţii de la oameni, prin exploatarea slăbiciunilor comune ale comportamentului uman, au reprezentat cele mai critice aspecte în securitatea informaţiilor în 2015. Printre cele mai cunoscute tehnici se numără phishing-ul, mail-uri în sine inofensive trimise cu scop de fraudă, destinate să instaleze printr-un simplu „click” malware pe calculatorul vostru și să vă fure credenţiale private. Nu subestimaţi apelurile telefonice de la colegi suspecţi (în companiile mari este dificil să cunoști pe toată lumea) menite să obţină informaţii confidenţiale. Ceva mai complicat, dar nu mai puţin utilizată ca metodă, este așa numita „plonjare în tomberon” („Dumpster diving”) - scotocirea prin gunoi în căutarea de informaţii -, „momeala” („Baiting”) - abandonarea în anumite locuri, cum ar fi lift, baie sau hol, a unor dispozitive infectate, de genul stick-urilor USB, care odată conectate la calculator instalează programe maliţioase -, „umbra” („Tailgating”) urmărirea îndeaproape a cuiva care are permisiunea și abilitatea de a intra în zone private, pentru a obţine o intruziune ilegală - și în cele din urmă „spionarea peste umăr” („Shoulder surfing”) - spionarea victimei din spate pentru a-i fura credenţialele de acces la sistem, adesea victima este urmărită atunci când își utilzează smartphone-ul sau când își introduce PIN-ul la un ATM sau la un POS. Aceste tehnici reprezintă doar preludiul unui atac cibernetic, pentru violarea confidenţialităţii, integrităţii și disponibilităţii informaţiilor3. (Continuare în pagina 21)
9
Focus - Cybersecurity Trends
Educaţie și instruire: înlăturarea lacunelor
autor: Massimo Cappelli
Securitatea cibernetică este un subiect complex. Societatea se mișcă rapid înspre lumea digitală. Guvernele și companiile doresc să treacă la digitalizare presându-și departamentele să se transforme de la „vechiul stil” la unul nou digital. În anii 70 au fost introduse calculatoarele personale, în anii 80 primele ATM-uri. În 1991 WWW a devenit accesibil public, în timp ce după 2000
BIO Massimo este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activitățile educaționale și de cercetare ale fundației. A urmat studii economice și ulterior a obținut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică și geo-istoria regiunilor de frontieră) concentrat pe programe de protecția infrastructurilor critice și un masterat în «Intelligence and Security Studies» (Studii de securitate și informații). Anterior a ocupat funcția de Associate Expert in Risk Resilience and Assurance (expert asociat în asigurare și reziliență la riscuri) la Booz & Company și Booz Allen Hamilton. A fost și consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.
10
telefoanele mobile au devenit un dispozitiv comun. Din 2010 s-au răspândit pe scară largă smartphone-urile, tabletele, infrastructura de cloud, Big și Open Data. mai multe studii prognozează că în 2020 vor exista cca. 34-50 de miliarde de dispozitive conectate la Internet. Considerând că populaţia globului va fi de cca. 7 miliarde, aceasta înseamnă că fiecare om va avea 5 până la 7 dispozitive conectate la Internet. Suntem capabili să facem faţă acestui fenomen? Progresul se întâmplă mai repede decât capacitatea umană de a-l stăpâni. Cel mai recent raport Digital Economy & Society Index 2016 relevează faptul că 1/3 din populaţia Italiei nu utilizează Internetul în mod regulat și că există carenţe în specializarea digitală. Adoptarea digitalizării și a securităţii cibernetice pornește de la educaţie și conștientizare. Majoritatea atacurilor exploatează erori umane. Pornind de la statisticile generale și până la vulnerabilitatea exploatată de un atac, în 80-90% din cazuri erorile sunt umane. Un malware, cum ar fi un ransomware, exploatează o vulnerabilitate umană. Furturile de date, cum a fost și în cazul Linkedin, reprezintă mari probleme pentru companii. O mulţime de oameni utilizează aceeași parolă pentru diferite servicii. Dacă o persoană se înregistrează într-o reţea socială cu adresa de email a companiei și utilizează aceeași parolă pentru autentificare pentru ambele identităţi digitale (intranetul companiei și Linkedin), aceasta poate reprezenta o vulnerabilitate și pentru companie. Activităţile de monitorizare ale unei companii trebuie să ia în considerare și aceste aspecte, dar eforturile pot fi invers proporţionale cu gradul de conștientizare al angajaţilor, clienţilor și utilizatorilor în general.
Un departament de informaţii privind ameninţările cibernetice trebuie să monitorizeze și Deep Web-ul pentru a verifica dacă scurgerea anumitor date poate avea vreun impact asupra companiei. Bazele de date publicate pe Dark Web pot conţine informaţii care pot dăuna business-ului și intereselor companiei. Un al doilea aspect îl constituie lipsurile din oferta educaţională în privinţa securităţii cibernetice. Italia se află pe locul 22 din 28 de ţări europene (21
după Brexit) ca număr de absolvenţi STEM (Science Technology Engineering Mathematics). În studiul „The 2015 (ISC)2 Global Information Security Workforce Study” realizat de Frost & Sullivan, se vede în mod clar necesarul global de cunoștinţe, aptitudini și abilităţi în domeniul securităţii IT. În piaţă există o lipsă acută de experţi (analiști de securitate, auditori de securitate, arhitecţi de securitate...) precum și de competenţe (evaluarea și administrarea riscurilor, investigarea și răspunsul la incidente, guvernanţă…).
Programele educaţionale trebuie să includă mai multe subiecte STEM și o abordare progresivă și mai profundă în securitatea cibernetică, pentru studenţii interesaţi. În prezent securitatea cibernetică este doar un subiect printre altele, în cadrul unui program de masterat, cu puţine activităţi practice. Este prea târziu să mai apelăm la analiști de securitate sau la alţi experţi operaţionali. Piaţa italiană are o lipsă de resurse operaţionale în securitatea IT, care trebuie completată. Programele educaţionale naţionale în domeniul securităţii cibernetice trebuie să înceapă cu programe puternice STEM și de conștientizare pentru a insemina bazele subiectelor de securitate cibernetică. Universităţile trebuie să înceapă să creeze programe dedicate pentru securitatea cibernetică, cu training-uri operaţionale. În Italia există o lipsă acută de programe universitare de securitate cibernetică și facultăţile de inginerie, mai ales, trebuie să vină cu o soluţie. Soluţiile nu trebuie să fie decuplate de mediul de muncă. Examinând National Initiative for Cybersecurity Education (NICE) din SUA și comparând această iniţiativă cu framework-ul naţional de securitate cibernetică
(National Cybersecurity Framework) (adoptat și în Italia), nu se văd cu claritate conexiunile dintre cele două iniţiative. Între ele există un fel de pod neterminat. Iniţiativa naţională pentru educaţie în domeniul securităţii cibernetice (National Initiative for Cybersecurity Education) a NIST prezintă 7 categorii (provizionare sigură, operare și întreţinere, protecţie și apărare, investigare, supraveghere și guvernare, colectare și operare, analiză). Pentru fiecare categorie, sunt stabilite zone de specialitate (cca. 32 în total). Pentru fiecare zonă specializată sunt stabilite anumite sarcini (task-uri) pe care un expert trebuie să le execute, dobândind cunoștinţe specifice, abilităţi și aptitudini [Knowledge, Skills and Abilities (KSA)] circa 800. Dobândirea de KSA permite aspirarea către anumite funcţii, listate de asemenea în framework. Problema o reprezintă lacunele logice dintre cele 2 iniţiative (educaţională și operaţională), deoarece categorisirea subiectelor în cele 2 framework-uri este diferită. Framework-ul este împărţit în 5 funcţii (identificare, protecţie, detectare, răspuns, recuperare) cu subcategorii diferite s.a.m.d. Efortul de a conecta framework-ul NICE cu cel de securitate cibernetică naţională a fost lăsat în seama cititorului. Ar fi fost util să se folosească un limbaj și un framework comun pentru a descrie categoriile educaţionale și de training pentru a avea o anumită continuitate în domeniu.
În concluzie, câteva recomand`ri pentru Italia ar fi: 1. Începerea diseminării campaniilor de conștientizare începând încă de la grădiniță, nu prin inițiative sporadice ci prin inserarea lor în activități educaționale; 2. Creșterea învățământului STEM pe toate nivelele educaționale; 3. Introducerea unor programe de securitate cibernetică în licee și a unor cursuri de securitate cibernetică în universități; 4. După framework-ul național de securitate cibernetică, adoptat de Italia, următorul pas care trebuie făcut este dezvoltarea unor programe educaționale care să instruiască lumea în efectuarea funcțiilor și activităților listate în framework.
© Cybersecurity Trends mulțumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din iulieaugust 2016).
11
Trends Cover Story - Cybersecurity
IE2S, un eveniment ieșit din comun Rezumat al dezbaterii, în exclusivitate
autor: Laurent Chrzanovski
Asortând ateliere de lucru, de formare şi o conferinţă plenară, al 2-lea Summit IES de la Chamonix a creat o atmosferă de lucru unică, favorabilă productivităţii şi libertăţii schimburilor de idei, în inima masivului Mont-Blanc. Departe de agitaţia centrelor de decizie a marilor capitale şi ghidaţi de un program prielnic discuţiilor, participanţii se concentrează nestingheriţi pe schimburile de opinii. Summit-ul IES de la Chamonix oferă astfel participanţilor o oportunitate unică de a afla unii despre alţii, de a împărtăşi idei şi de a contribui împreună la aplicarea de noi soluţii într-un cadru privilegiat. Summit-ul este susţinut de Institutul de Înalte Studii de Apărare Naţională şi de mulți parteneri instituționali de top.
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
12
Aceste zile în care s-a desfăşurat seminarul privat au fost rezervate celor douăzeci şi cinci de directori de companii care au interacţionat cu alţi douăzeci şi cinci de experţi din cadrul administraţiei şi serviciilor de stat, din armată, jandarmerie, poliţie, ministerul economiei, din sectorul financiar sau digital. Marele avantaj al evenimentului îl constituie cele două zile de seminar privat care reunesc un cerc restrâns de experţi şi de practicieni într-un veritabil Chatham House în care oamenii învaţă să se cunoască, să îşi câştige încrederea şi astfel să facă cu adevărat schimb de idei în legătură cu subiecte care îi pasionează profund. Evenimentul se încheie cu o conferinţă la care accesul publicului, studenţilor, IMM-urilor şi presei este liber. White Paper-ul pe care vi-l propunem aici este o sinteză a părţii nonconfidenţiale a dezbaterilor și reflectă câteva dintre punctele subliniate de către principalii actori ai seminarului privat.
Inteligenţa economică în epoca digitalului Acest concept a fost de curând revizuit în totalitate în Franţa, odată cu crearea Serviciului Informaţiei Strategice şi al Securităţii Economice (SISSE), în cadrul Ministerului Economiei şi Industriei, condus de comisarul Jean-Baptiste Carpentier, numit recent de către Guvern.
Această funcţie era îndeplinită înainte de către D2IE, Delegaţia Interministerială pentru Inteligenţa Economică, care a fost dizolvată şi înlocuită cu acest comisariat subordonat unui singur minister, aşadar cu un mai mare grad de fluiditate a informaţiilor, datorită faptului că sunt centralizate într-un serviciu propriu-zis. Un rol la fel de important îl are şi reforma din 2015 a ANSSI, Agenţia Naţională a Securităţii Sistemelor de Informaţii, care a evoluat de la Jean-Baptiste Carpentier rolul său iniţial de organ esenţialmente consulComisar pentru informaţie tativ, de validare a conformităţii unor tehnologii strategică şi securitate şi software-uri, la o funcţie centrală cu putere economică coercitivă, care îi permit gestionarea situaţiei, urmărirea aplicării recomandărilor sale şi sancţionarea companiilor care nu se conformează acestora. Mesajul transmis de această nouă autoritate a fost îndrăzneţ, însă în simbioză cu realităţile prezente de cealaltă parte a Atlanticului. Se pleacă de la constatarea că, în ceea ce priveşte domeniul digital, statul nu îşi poate asuma costurile generate de neglijenţa companiilor private și nici pe cele provocate din rea-credinţă. Astfel, scopul devine scăderea drastică a curbei riscului, aşa cum este acesta reprezentat în numeroase domenii, printr-un grafic simplu alcătuit din axa „impact” şi din axa „probabilitate”.
turii antreprenoriale şi instituţionale trebuie să conducă la o conştientizare a faptului că mediul digital este constituit atât din pericole cât şi din oportunităţi şi că statul trebuie să joace un rol de actor hotărât şi discret care să permită companiilor să dobândească o importantă plusvaloare, defensivă şi ofensivă, generatoare de beneficii măsurabile. Însuşi conceptul de securitate acoperă un sector foarte vast faţă de ceea ce am avut ocazia să aflăm cu prilejul unor forumuri similare celui din Chamonix: conform ideilor prezentate în cadrul atelierului condus de noul şef al SISSE, managementul unei companii proactive trebuie să aibă, în ceea ce priveşte înţelegerea sistemului în ansamblu, o strategie bazată pe o combinaţie (nonexhaustivă) din următorii factori: un sistem de o calitate certificată alert la toate nivelurile, inclusiv în materie de anti-terorism; securitatea în muncă; o conformare solidă pentru a combate riscurile frecvente, precum cele legate de ecologie, corupţie sau criminalitate; o excelentă stăpânire a informaţiei deţinute sau dobândite şi, în sfârşit, o strategie adaptabilă de cibersecuritate, completă şi aplicată fiecărui nivel.
Cibersecuritate Grafic : © Bruce Jones: Report Security and Risk Metrics in a BusinessFriendly Way, 2009 (Information Security 10.2009)
În acest grafic, în condiţiile în care curba scade graţie reglementărilor şi asistenţei statului în cadrul companiilor în domeniul prevenţiei şi al aplicării unui set de măsuri de prevedere, atunci statul va putea acoperi pierderile datorate evenimentelor cu probabilitate mare dar cu impact mic sau cele datorate unor evenimente neprevăzute, independente de gradul ridicat de conformare a companiilor; în schimb, asumarea propriilor greşeli va cădea în sarcina companiilor (dacă acestea se datorează unei lipse de conformări cu normele) iar asumarea costurilor cauzate de atacuri devastatoare cu o probabilitate mică de producere va fi în sarcina asigurărilor. Analiza foarte pertinentă realizată de comisarul Carpentier a arătat cu degetul o axiomă aproape schizofrenică manifestată, în ceea ce-i priveşte pe anumiţi antreprenori, prin percepţia că lumea „cyber” nu aduce decât oportunităţi, în timp ce companiile specializate şi unii reprezentanţi ai statului nu o văd decât ca pe un focar de pericole şi de ameninţări. Evoluţia cul-
Problema cea mai frecventă continuă să fie alegerea între a trata sau nu gestionarea riscului digital aşa cum se tratează alte riscuri. Colonelul Xavier Guimard Director adjunct de anticipare Conform experţilor prezenţi, şi coordonare a serviciului răspunsul este, logic, unul tehnologiilor şi sistemelor negativ, deoarece, chiar de informaţie ale securităţii dacă se poate aplica sche- interne din cadrul direcţiunii ma securitate/siguranţă (în Jandarmeriei Naţionale. acest caz, securitate = contracararea riscurilor accidentale; siguranţă = contracararea riscurilor provocate din rea-credinţă), totalitatea acţiunilor întreprinse în lumea digitală nu poate fi încadrată în schema tradiţională de prevenţie-acţiune-reacţiune din punct de vedere juridic şi poliţienesc. Într-adevăr, echilibrul este foarte diferit. Dacă se pleacă de la filozofia infractorului, acesta era în general pus faţă în faţă cu o situaţie dată, un câştig râvnit, o dificultate în săvârşirea faptei (de ordin tehnic, logistic, în general un factor care incumbă fiecărei companii în parte) şi un risc suportat (pedeapsa justiţiei, domeniu rezervat instituţiilor statului). Or, în lumea digitală, schema este, în mod incontestabil, inversată. În ciuda mediului cu desăvârşire fizic, ultima componentă, cea a riscului, practic nu mai există. Delicventul ştie să beneficieze de toate avantajele extra teritorialităţii, alegând să îşi desfăşoare activitatea pe
13
Trends Cover Story - Cybersecurity plan internaţional, făcând astfel ca posibilitatea de a fi prins, judecat şi condamnat pentru faptele sale să fie aproape nulă. Singura armă rămâne astfel întărirea la maximum a dificultăţilor întâmpinate de atacator. Acest domeniu depinde de investiţiile companiilor, iar statul nu are vreo implicare. Beneficiind de o vastă experienţă, statul îşi exercită rolul în domeniul crucial al prevenţiei, al furnizării şi împărtăşirii de noi explicaţii pentru companii cu privire la riscurile la care acestea sunt supuse, la posibilitatea de a fi atacate şi la pierderile economice pe care un atac care şi-ar îndeplini scopul le-ar produce cu siguranţă, în bugetul şi imaginea acestora.
Datorită educaţiei, nimeni nu se gândeşte iniţial la ce e mai rău, ceea ce face ca misiunea educativă a statului să fie atât urgentă cât şi necesară, transformând fiecare persoană într-un actor al responsabilităţii colective, fără însă a dezvolta o paranoia.
Terorism şi lecţii de învăţat pe alte planuri După atentatele din 13 decembrie 2015, au apărut foarte multe puncte de vedere cu privire la mai multe axe, în primul rând la cele legate de prevenţia şi apărarea unui număr cât mai mare de cetăţeni. Prima constatare, care reprezintă şi cea mai îndelungată bătălie de purtat, se referă la transformarea reflexelor „culturale” şi la adaptarea mentalităţii colective la noile ameninţări. De exemplu, s-a subliniat faptul că, în Franţa, un bagaj sau un colet abandonat mai generează încă o identificare, în subconştientul colectiv, cu un simplu obiect uitat şi nu cu un act intenţionat de a depozita un corp cu potenţial distructiv. Astfel, acest reflex este diametral opus cu cel al unui cetăţean israelian, de exemplu, pentru care orice obiect lăsat într-un loc public e asociat cu o ameninţare iminentă şi antrenează o mobilizare imediată. O profesoară înarmată într-o școală din Israel
Unul din exemplele cele mai frapante şi cu siguranţă cele mai triste este cel al teroriştilor care au produs masacrul de la Bataclan: timp de trei ore, ucigaşii au rămas în maşină, în apropierea locului de desfăşurare a spectacolului. Acest fapt suspect a fost raportat prin patru apeluri telefonice la Poliţie, care însă nu a acţionat în conformitate cu riscul potenţial evocat de cetăţenii îngrijoraţi: acesta reprezintă un semnal de alarmă care demonstrează în ce măsură şi la ce nivel al statului încă există îndoieli, din punct de vedere cultural, cu privire la pericolul iminent.
14
Atlasul atentatelor din Paris, © Le Monde
Scenariile posibile de atacuri mai devastatoare decât cele din 13 noiembrie au devenit obiectul grupurilor de lucru şi al simulărilor de crize, ceea ce indică voinţa instituţiilor franceze de a schimba atât dogma cât şi ecuaţia securitară. Cu titlu de exemplu, nu există aproape nicio măsură reală în şcoli, procedurile în caz de atac terorist fiind aceleaşi ca în cazul oricărui alt pericol (seismic, meteorologic, etc.), aşa cum au fost ele reglementate acum câteva decenii. Acest lucru conferă infractorilor care nu au nimic de pierdut timpul necesar pentru îndeplinirea măcelului înainte ca forţele statului să se mobilizeze pentru a reacţiona aşa cum ştiu să o facă. Un alt aspect vital, care trebuie aplicat cât de curând, este cel legat de ajutorarea victimelor de către celelalte victime. Exemplul Bataclan demonstrează şi că, dacă populaţia ar fi avut minimele cunoştinţe de „gesturi salvatoare” de prim-ajutor (respiraţie artificială, masaj cardiac, aşezarea într-o anumită poziţie a victimei), ar fi putut fi salvate mai multe vieţi înainte de intervenţia masivă a medicilor de pe ambulanţă. Atentatele au avut rolul de a revizui în profunzime analiza proactivă şi „live” a „semnalelor slabe”. Avantajul acestei abordări, destinate în primul rând securizării domeniului public fizic, se poate aplica cu succes atât în cibersecuritate cât şi în inteligenţa economică. Şi în aceste domenii, lipsa de cultură a pericolului iminent, lipsa de mijloace şi barierele juridice legate de viaţa privată sunt teme care trebuie obligatoriu revizuite cu celeritate. În şcoli, de exemplu, este nevoie de instruirea unui număr de profesori şi de părinţi pentru a fi capabili să recunoască atitudini neobişnuite şi suspecte şi să le raporteze cât mai repede ofiţerilor desemnaţi special cu care vor păstra un contact permanent.
În spaţiul public, este necesară obţinerea de către stat de mijloace de analiză în direct a fluxului de informaţii furnizate de camerele video şi în detectarea comportamentelor, prezenţelor, gesturilor neobişnuite sau suspecte, stabilind totodată priorităţi printre diferitele tipuri de semnale slabe. Confruntaţi cu imensitatea datelor culese, devine indispensabilă folosirea mijloacelor disponibile pentru a urmări semnale care prezintă un anumit număr de criterii ce justifică o desfăşurare de forţe şi o analiză aprofundată urgentă, întrucât au o probabilitate suficient de mare de a fi semnalele premergătoare unei activităţi infracţionale cu impact semnificativ. Semnalarea comportamentelor îndoielnice de către cetăţenii voluntari, fiecare în propriul cartier, pe modelul sistemului implementat de jandarmerie, reprezintă de asemenea un avantaj major, deoarece cetăţeanul va putea indica tot ceea ce îi pare suspect, iar apoi va cădea în sarcina autorităţilor competente de a evalua fiecare situaţie, reţinând pe de o parte pistele a căror urmărire se justifică şi îndepărtând, pe de altă parte, comportamentele individuale ciudate dar care nu prezintă pericole. Aplicarea unei bune înţelegeri a „semnalelor slabe”, în domeniul digitalului, trebuie să se facă prin intermediul unei combinaţii de analiză automată şi apoi umană a anomaliilor, atât a celor din cadrul sistemului cât şi a celor îndreptate spre sistem, fie că este vorba de o instituţie sau de o companie.
Geopolitică şi mize viitoare Ruptura mediului în care trăim de trecut este din ce în ce mai evidentă. Evenimentele teroriste, crizele se petrec cu o frecvenţă mai mare ca niciodată, iar strategia anterioară de a ataca la distanţă, de exemplu în Afganistan, pentru a-şi apăra propria ţară nu mai este de actualitate într-un stat conştient de Olivier Kempf elementele ostile de pe teritoriul Cercetător la Institutul de Realţii său şi în care au avut loc astfel de Internaţionale şi Strategice (IRIS) şi directorul publicaţiei în domeniul strategiei «La Vigie». atentate. Schimbările radicale, diseminarea şi multiplicarea presiunilor externe sunt cele trei fronturi aliniate în interiorul Naţiunii, iar această nouă configuraţie reclamă schimbări profunde ale procedurilor şi ale strategiilor de implementare. Cât despre latura informativă, există şi aici, în mod ideal, noi răspunsuri, printre altele cu privire la jihadism. În media s-au răspândit opinii adesea întărite prin elemente politice, conferind acestei mişcări atât o legitimitate „religioasă” cât şi un statut de combatant, căci, conform retoricii convenţionale, faptul că Europa s-a declarat în război implică o confruntare militară cu un inamic recunoscut ca atare şi nu o reprimare poliţienească a unor infractori. De altfel, se constată că un element care nu a fost cântărit la adevărata sa valoare în anii 2000 este cel al ridicării la rang de erou al „noului terorist”. Înainte de 2000, nimeni nu dorea cu adevărat să devină terorist, iar exponenţii acestui fenomen (Mesrine, Carlos) erau personaje singulare, inamici publici pe viaţă cu statut de infractori, în timp ce astăzi, teroristul e glorificat: el încarnează un reprezentant al mişcării de rezistenţă care îşi dă viaţa pentru o cauză.
Acest fenomen, probabil „consacrat” prin declaraţia de război a lui George W. Bush ca urmare a atentatelor din 2001, creează în continuare ambiţii şi a devenit un soi de aventură propusă tinerilor graţie unui discurs manipulator şi motivant extrem de bine structurat şi în continuă adaptare la situaţia prezentă, în ciuda stereotipurilor vehiculate adesea de către presă. Jihadismul este o expresie modernă, concepută ca răspuns la lumea occidentală şi care utilizează atât codurile de comunicare modernă cât şi cele mai bune tehnici de manipulare mentală. Cutia de rezonanţă reprezentată de media favorizează într-un fel perceperea acestei mişcări dintr-o perspectivă religioasă şi de război, în detrimentul realităţii, compusă din indivizi manipulaţi care devin asasini în virtutea unui ideal politic înainte de toate. De fapt, ne confruntăm cu un „management” extrem de sofisticat, fie că este vorba de marile atentate conduse de Al-Qaeda în anii 2000 sau de „măcelăria organizată” de Statul Islamic pe teritoriile pe care le ocupă şi în Occident, bazată pe tineri îndoctrinaţi şi căliţi în operaţiuni ţintite, care revin în ţările lor. Metodele de prevenire şi de educare necesare a fi puse în practică sunt foarte complexe, iar situaţia jihadismului francez reflectă starea coeziunilor sociale actuale. Chiar dacă impactul spoturilor televizate şi al portalurilor multimedia „stop-jihadism” au fost considerate „slabe” – contul de twitter „stop djihadisme” este o picătură în oceanul celor mai bine de 30.000 de conturi pro-jihadiste francofone –, rezultatele acestora încep să se vadă deoarece singurul scop al acestora este de a informa populaţia că există răspunsuri, că există unităţi specializate de consiliere a familiilor şi, mai ales, că există o şansă ca o persoană cucerită de mesajele radicale să poată fi salvată şi reintegrată. Asupra acestei şanse trebuie concentrate toate eforturile, pentru că este uşor de identificat: orice manipulare mentală reuşită trece printr-o etapă de captivare (siteurile de internet), însă nu devine eficientă decât după acapararea persoanei de către experţi în îndoctrinare în lumea fizică, urmată de deplasarea în zona de luptă. Astfel, statul ar trebui să fie avertizat de către apropiaţi şi de familie înainte de prima întâlnire fizică dintre tânăr şi
15
Trends Cover Story - Cybersecurity „mentorul” său, pentru a avea mai multe şanse de reuşită a acţiunii de prevenţie şi pentru a-i putea face cunoscut potenţialei victime ce va deveni dacă are încredere în terorişti. O mare parte din jihadiştii europeni au plecat în Orientul Apropiat sau Mijlociu convinşi că acolo aveau să acorde ajutor umanitar, însă au ajuns în final să participe, cu arma în mână, la cel mai avansat stadiu al manipulării, iar acest lucru dovedeşte că sistemul de comandă al individului manipulat trece prin aceste două etape de îndoctrinare. Problema care trebuie clarificată este cea a definirii rolului statului, a cărui prezenţă trebuie să fie mai vizibilă şi mai puţin birocratică, care trebuie să-şi asume rolul de partener important în demersul de întărire a securităţii cetăţenilor şi companiilor, fără însă a-i fi motor omniprezent şi unic. Statul trebuie să genereze şi să inspire iniţiative fără a le conduce neapărat. Măsurile centralizate folosite odinioară, bazate pe acţiuni ale statului, nu mai sunt eficiente într-un cadru atât de complex, în care informaţiile „pro-jihadiste” sunt mult mai numeroase decât datele site-urilor de prevenire, în războiul informaţiei care se poartă în prezent pe internet. De altfel, atentatele de la Paris nu trebuie să ascundă ci, din contră, să ne permită să anticipăm posibile planuri viitoare de acţiuni care se vor desfăţura înafara graniţelor Statului Islamic. Într-adevăr, modelul de stat deplin pe care Statul Islamic îl propune are o coerenţă ideologică, oferă o explicaţie oricărei acţiuni, atrăgând orice persoană receptivă faţă de această retorică. Pentru un individ devenit consumator înainte de a fi cetăţean, această metodă începe să funcţioneze în multe alte medii altermondialiste. Au fost tratate două elemente foarte interesante. S-a subliniat că, în contextul lipsei de repere a societăţilor „de consum” în care trăim, problema generată de terorism în prezent este că, pe de o parte, indivizii se obişnuiesc cu această nouă situaţie şi că, pe de altă parte, nu există nicio legătură cauză-efect asupra companiilor. Pentru indivizi, acest reflex aminteşte de perioada bombardamentelor Aliaţilor asupra Germaniei: în loc să stârnească revolta populaţiei împotriva regimului nazist, aceste distrugeri zilnice au fost atât de ample încât locuitorii marilor oraşe s-au obişnuit treptat cu ele. Cât despre mediul de afaceri, dacă luăm în considerare exemplul unui vehicul deţinut de o companie de transport asupra căruia are loc un atentat, va exista desigur o scădere a cifrei de afaceri pe perioada unor zile consecutive, însă nu pe termen lung. Miza în viitor depinde de încercarea de schimbare încă de pe acum a acestei practici societale a resemnării şi a adaptării. Rezistenţa individului, în mediul fizic şi în cel
16
Dresda în 1945
virtual, trebuie întreţinută şi educată, pentru că deja se pot observa semnele îngrijorătoare ale structurării diverselor mişcări. Unite datorită marginalizării societăţii de astăzi, s-ar putea ca obiectul atacurilor acestor persoane să nu mai fie civilii, ci reţele sensibile, centrale nucleare, trenuri de mare viteză sau chiar directori de companii, urmând modelul Brigăzilor Roşii şi al Facţiunii Armata Roşie. Cazul din Notre-Dame-des-Landes (inclusiv revolta în masă împotriva proiectului de construire a unui aeroport şi acţiunile de sabotaj) poate să genereze ciber-atacuri utilizând tehnologie de vârf şi chiar asasinate ţintite. În funcţie de context, aceste grupuri şi acţiunile lor pot trece rapid de la statutul de epifenomene la încercări reuşite ale terorismului de mâine, care va fi mult mai internaţional şi mai frecvent decât atentatele jihadiste actuale, punctuale şi care vizează un anume stat. În acest caz, mediul de afaceri va fi lovit din plin, şi tocmai de aceea sensibilizarea şi pregătirea managementului companiilor sunt mai stringente ca oricând. Conform specialiştilor, această formă de terorism, studiată de 15 ani, începe să ia amploare şi a depăşit stadiul de „fenomen Manifestanți împotriva construirii emergent”. marelui aeroport din Paris la Una din concluziile cele mai Notre-Dame-des-Landes © Le Monde importante ale dezbaterii este că totalitatea axelor studiate constituie într-o anumită măsură (mai puţin pentru specialişti) aşa-numite „câmpuri informe” („ciber”, mondializare, inteligenţă economică, terorism) pentru care este vitală crearea, în cadrul statului, a unor unităţi flexibile, adaptabile şi transversale de comunicare constantă cu societatea şi mediul de afaceri. Doar printr-o mai bună înţelegere a acestor „câmpuri” care sunt, în mod paradoxal, strâns legate unele de altele, indivizii şi actorii publici şi privaţi vor putea învăţa să se adapteze şi să se protejeze pentru a se dezvolta. Pentru Franţa, noua orientare se bazează pe crearea de instituţii care să permită societăţii şi mediului economic să devină iniţiatori majori ai şantierelor şi ai mijloacelor de aplicare a demersurilor de securizare a ţării şi nu invers.
VIP Interview
VIP Interviu cu Christophe Réville, iniţiatorul summit-ului naţional „Intelligence économique et Sécurité/Sûreté” autor: Laurent Chrzanovski
Christophe Réville
Laurent Chrzanovski: Domnule Réville, sunteţi unul din principalii artizani ai celui de-al doilea Summit al Inteligenţei Economice şi al Securităţii/Siguranţei, IES2. Cum aţi reuşit, într-un timp atât de scurt, să treceţi de la o idee la realizarea unui colocviu de lucru care să reunească atât de mulţi intervenienţi de prestigiu, pe teme atât de diferite? Christophe Réville: În calitate de auditor al Institutului de Înalte Studii de Apărare Naţională (IHEDN),
cu studii în inteligenţă economică şi fiind preocupat de problematica securităţii prin agenţia mea franceză de contraspionaj economic, particip de mult timp la colocvii, congrese, forumuri, conferinţe şi alte simpozioane pe astfel de teme. Împreună cu colegul meu Jean-Pierre Troadec, el însuşi auditor al IHEDN şi specialist în inteligenţă economică, am constatat că aceste evenimente, instructive şi interesante fără îndoială, nu permiteau crearea de veritabile contacte cu participanţii de înalt nivel care îşi împărtăşesc cunoştinţele în astfel de întâlniri. Acest proiect de Summit al Inteligenţei Economice şi al Securităţii/Siguranţei a încolţit acum câţiva ani şi a luat fiinţă cu ocazia primei ediţii din 2015. Ideea noastră – copierea unei formule cunoscute în lumea anglo-saxonă şi ilustrată de exemplu prin forumul de la Davos – consta în crearea unui eveniment în care timpul de lucru este strict limitat, iar timpul alocat networking-ului este foarte generos. Scopul îl constituie alcătuirea unui grup de mărime rezonabilă, pentru ca participanţii să se poată cunoaşte cu adevărat între ei şi să comunice pe subiecte care îi preocupă. Am reuşit astfel să reunim în jur de cincizeci de participanţi, jumătate dintre aceştia fiind reprezentanţi ai statului şi ai marilor agenţii guvernamentale, iar cealaltă jumătate – responsabili şi conducători ai unor companii importante care pot împărtăşi din experienţa lor în realităţile vieţii economice, în deplină libertate şi confidenţialitate. Susţinerea din partea IHEDN ne conferă acces la „reţeaua reţelelor” şi la cele mai înalte autorităţi ale statului. Astfel, ne-a fost uşor, în 2014-2015, să punem la punct acest eveniment în câteva luni şi să organizăm şi a doua ediţie în acest an. Laurent Chrzanovski: Comunicarea principalelor concluzii ale atelierelor de lucru în faţa unui public alcătuit din invitaţi selectaţi de dumneavoastră, dând astfel şansa studenţilor sau reprezentanţilor din media să le cunoască, reprezintă o decizie rară care merită lăudată. Cum a fost primită această decizie de către actorii din domeniile cele mai „confidenţiale” din cadrul Summitului? Christophe Réville: Numărul de locuri din cadrul Summitului este limitat în mod intenţionat, pentru a favoriza mai degrabă calitatea lucrărilor, şi nu
17
ity Trends ur ec rs be Cy w ie rv te In P VI BIO Co-fondator şi supervizor al Summitului IES Chamonix Mont-Blanc 2015, Christophe Réville este specialist în management, comunicare şi factori umani în inteligenţa economică la IHEDN Lyon (Institut des hautes études de défense nationale). Co-iniţiator al Summitului IES Chamonix Mont-Blanc 2015, Christophe Réville conduce o societate de consultanţă şi de formare în comunicare şi strategie a companiei. Absolvent al şcolii de business EMLYON, după cincisprezece ani în fruntea unor companii specializate în comunicare, s-a orientat către formarea în cadrul companiei. Cu studii în programare neuro-lingvistică, în analiză tranzacţională şi gestaltism, a dezvoltat programe de sprijin pentru echipe în domeniul motivării, managementului schimbării şi gestionării factorilor umani în jurul problematicilor de securitate şi de inteligenţă economică. Specialist în comunicarea interpersonală, şi-a aprofundat studiile în contraspionajul economic din punct de vedere al resurselor şi al factorilor umani. Auditor al IHEDN (a 178-a sesiune, 2009), Christophe Réville este rezervist al jandarmeriei (şef de escadron în rezervă) şi membru al reţelei de apărare cibernetică al rezervei, parte din statul-major al forţelor armate.
cantitatea. Totuşi, este importantă şi deschiderea către publicul extern şi accesibilizarea sintezei discuţiilor care au avut loc cu ocazia seminarului privat – sau cel puţin a ceea ce poate fi spus. Misiunea noastră la Institutul de Înalte Studii de Apărare Naţională este propagarea spiritului Apărării naţionale şi de securitate în mijlocul societăţii civile. Interesul studenţilor pe aceste teme este în creştere, este de datoria noastră să îi primim în număr cât mai mare, astfel că ei sunt invitaţi şi le sunt acoperite toate costurile. În acelaşi timp, reprezentanţii IMM-urilor
18
invitate îşi asumă apoi în rol de diseminare a informaţiilor dobândite la Summit în cadrul cercurilor lor profesionale. Din partea participanţilor, această iniţiativă este apreciată, întrucât compensează aspectul uşor „elitist” al seminarului privat, unde nu are acces toată lumea. Laurent Chrzanovski: În vremuri în care doar multimaţionalele cele mai expuse şi organizaţiile internaţionale vizate încep să vehiculeze termenul „securitate logică”, summitul a demonstrat într-un mod fulminant că toate domeniile cuprinse în acest concept sunt implicate: securitate fizică, video, ciber, inteligenţă economică, siguranţă, atitudine de rezistenţă şi apărare. Christophe Réville: Noţiunea de securitate a sistemelor de informaţii a făcut dintotdeauna parte din conceptul de inteligenţă economică. Însă, contrar unor anumiţi specialişti, noi credem că nu trebuie să ne rezumăm managementul informaţiei doar la protejarea acesteia. De altfel, acesta e un concept cu sens dublu. Protejarea informaţiei altuia este o condiţie evidentă în procesul de supraveghere şi de colectare de informaţii de către companie sau organizaţie. Protejarea companiei sau a capitalului informaţional al acesteia acoperă un spectru foarte larg: de la securitatea fizică a personalului şi a infrastructurilor până la asigurarea posibilităţii de a acţiona în caz de ameninţare identificată sau presupusă. În acest domeniu, factorul uman este cel mai important. Totodată, în acest domeniu, porţile de intrare sunt cele mai evidente, dar şi cele care necesită cea mai multă subtilitate, iar tehnicile de obţinere a informaţiei, de inginerie socială, actele viclene (ameninţare, extorcare, şantaj etc.) au căpătat un avânt important. Dincolo de mijloacele şi de tehnicile de protecţie se află o muncă imensă de educare, de sensibilizare, de formare, care trebuie investită în întregul colectiv al organizaţiei. Această muncă are repercusiuni asupra resurselor umane (contracte de muncă şi regulament interior), care trebuie să obţină acordul personalului vizat. Vorbim astfel de o muncă importantă şi de lungă durată care trebuie implementată la faţa locului, mai ales în organizaţii importante: însăşi baza organizării companiei trebuie regândită şi reîntemeiată cu acordul întregului personal. Chiar dacă societăţile sunt dispuse să investească (sume relativ modeste, de altfel) în sisteme de protecţie, totuşi nu dau dovadă de acelaşi entuziasm când vine vorba de adoptarea unei politici de reglementare, de sensibilizare sau de motivare a personalului. Ori, nimic nu se realizează fără ca toţi actorii să fie mobilizaţi în jurul conceptului de securitate – şi chiar de supravieţuire – a companiei lor.
Laurent Chrzanovski: Cum s-a desfăşurat procesul de selecţie a participanţilor care, pe lângă faptul că sunt printre cei mai notorii în sectorul lor, au fost capabili mai ales să îşi asume contribuţia la una din cele mai vaste iniţiative transdisciplinare pe care le-am remarcat în ultimul timp? Christophe Réville: Toţi experţii prezenţi la Summitul Inteligenţei Economice şi al Securităţii/Siguranţei sunt foarte interesaţi şi preocupaţi de această participare şi sunt conştienţi că locul lor e unul privilegiat. Încurajaţi de adoptarea regulii „Chatham house” care impune ca orice sursă de informaţii să rămână total confidenţială, se simt în siguranţă şi nu ezită să împărtăşească informaţii de prim rang. Modesta noastră organizaţie este contactată la personalităţi de înalt nivel care doresc să participe la Summit în calitate de experţi. Suntem uneori obligaţi să facem alegeri drastice. Într-adevăr, şi aspectul pluridisciplinar face parte din marile originalităţi ale Summit-ului. Scopul nostru este de a facilita comunicarea între două lumi care nu obişnuiesc să-şi vorbească: lumea inteligenţei economice – adesea considerată ca fiind foarte ancorată în mediile universitare – şi lumea securităţii, deseori coborâtă la imaginea caricaturală a paznicului de parcare. În fine, există clar o distincţie, în mediul restrâns al inteligenţei economice/ securităţii, între cei „care au fost la Summit” (2015 sau 2016) şi care fac parte din Cercul IES2 şi ceilalţi. Preţul participării este ridicat: angajamentul, disponibilitatea (trei zile reprezintă o perioadă foarte lungă pentru personalităţi de altfel foarte solicitate), libertatea de stil şi de exprimare. Laurent Chrzanovski: S-a vorbit destul de des de semantică, or nici definiţiile cuvintelor, nici valoarea trecută sau actuală a termenilor vocabularului de specialitate nu au pus probleme de înţelegere, nici chiar atunci când au fost folosiţi în moduri foarte diferite de către participanţii la Summit. Într-o lume a celor mai nefericite neînţelegeri „lingvistice” între echipele unei aceleiaşi companii de talie mare, cum explicaţi acest succes? Christophe Réville: De la un anumit nivel, specialiştii cunosc contextul şi nuanţele acoperite de un anume cuvânt. Am depăşit nivelul directorilor de securitate sau a responsabililor cu supravegherea; publicul nostru este alcătuit din administratori de societăţi sau din directori care au o viziune strategică multidimensională şi adesea multiculturală. Chiar dacă predispoziţia noastră este esenţialmente franceză sau, în orice caz, francofonă, au fost evocate strategii mondiale luând exemple de bune practici cunoscute în anumite ţări străine şi adaptate specificităţilor franceze, atât culturale cât şi sociologice, care sunt foarte particulare – iar acest lucru nu constituie întotdeauna o calitate. Evocarea diferenţelor între definiţiilor cuvintelor securitate şi siguranţă, în funcţie de mediul profesional al persoanei vizate este un demers interesant. Şi totuşi, în final, toată lumea se înţelege. Laurent Chrzanovski: Cu ocazia majorităţii întâlnirilor pe care le-am putut urmări în 2016 în Europa, cel mai important câştig în privinţa rezultatelor obţinute merită o diseminare în cercul decidenţilor din sectorul privat, dar şi din cel public. Cum aveţi de gând să „popularizaţi” principalele concluzii ale Summit-ului pentru a fi îmbrăţişate de mediile politice, economice şi cetăţeneşti? Christophe Réville: Un rezumat scris al sintezei publice a Summitului Inteligenţei Economice şi al Securiţăţii/Siguranţei 2016 va fi, bineînţeles, publicat în câteva săptămâni. Totuşi, dincolo de difuzarea către un număr
Dincolo de mijloacele şi de tehnicile de protecţie se află o muncă imensă de educare, de sensibilizare, de formare a întregului colectiv al organizaţiei.
cât mai mare, lucrăm mai ales la influenţa directă asupra decidenţilor care s-au angajat să-şi orienteze strategia şi politicile în sensul ideilor decise împreună cu puterile publice cu ocazia Summit-ului. Finalizarea lucrărilor va fi cu siguranţă foarte puţin mediatizată sau notorie, însă noi vizăm eficienţa pe teren mai degrabă decât o recunoaştere a publicului. Astfel, nu există nici condescendenţă şi nici respingere din partea publicului, ci doar un interes deosebit pentru eficienţă maximă cât mai rapid posibil în acţiuni concrete, în respectarea legii şi a interesului general. Laurent Chrzanovski: Care sunt impresiile dumneavoastră „la cald”? Care este, după părerea dumneavoastră, cea mai mare reuşită a celui de-al doilea Summit şi care sunt detaliile pe care v-aţi dori să le perfectaţi? Christophe Réville: În primul rând, prima noastră satisfacţie este că acest al doilea Summit a avut loc, iar apoi că a avut loc în condiţii bune. Este într-adevăr o adevărată provocare perenizarea acestui eveniment, căruia îi dorim multe ediţii susţinute de IHEDN.
19
ity Trends ur ec rs be Cy w ie rv te In P VI
Formula poate fi încă extinsă, aşa cum s-a întâmplat şi după prima ediţie. Multe detalii logistice şi de organizare pot fi îmbunătăţite, esenţial rămâne totuşi faptul că atât fondul cât şi forma să fie apreciate de participanţi şi ca toţi aceştia să-şi manifeste dorinţa de a reveni la ediţia următoare. Ne păstrăm crezul: „securizarea lumii de mâine la înălţime”. Laurent Chrzanovski: Aveţi deja vreo idee cu privire la îmbunătăţirile sau la noile direcţii tematice pe care
aţi dori să le aplicaţi în următoarea ediţie a unui Summit deja pe de-a întregul funcţional după doar doi ani? Christophe Réville: În 2016, programul a fost influenţat de evenimentele dramatice petrecute în ţara noastră în acest an. Au fost formulate opinii, concrete dar şi subtile, privind lupta antiteroristă în companii, rezistenţă şi apărarea intereselor noastre în faţa noilor ameninţări. De altfel, aceasta este şi tema reluată în cadrul următorului colocviu anual al Clubului Directorilor de Securitate a Companiilor care se ţine în 15 decembrie; CSDE este unul dintre partenerii noştri etici şi ştiinţifici. Cu siguranţă că în 2017 actualitatea ne va furniza teme de reflecţie. Totuşi, câmpul de reflecţie şi de acţiune centrat pe tema inteligenţei economice şi a securităţii/siguranţei este vast şi va lăsa loc unor lucrări ample. Trebuie să fim reactivi şi proactivi şi să anticipăm noile ameninţări. Anunţarea unei teme este puţin prematură, comitetul nostru nu s-a reunit încă pentru a determina axele de lucru din 2017, însă vom dezbate cu siguranţă evenimentele imprevizibile în care au fost înregistrate semnale slabe, ca de exemplu riscul de insurecţii pe teritoriul nostru – eveniment cu probabilitate redusă, dar pentru care armata elveţiană a avut o oarecare preocupare acum patru ani – puterile publice s-au pregătit pentru un astfel de dezastru, însă nu se reflectă nimic în plan economic concret, care rămâne totuşi câmpul nostru de acţiune principal. Contextul electoral naţional al Franţei în prima jumătate a anului 2017 va mobiliza de asemenea atenţia. Se vor petrece schimbări în agenţiile naţionale; este de datoria noastră să ne exercităm influenţa etică şi pozitivă asupra viitoarelor politici publice, dând glas preocupărilor conducătorilor companiilor. Fotografii: © IES, Christophe Réville, puse la dispoziție pentru acest articol, reproducerea interzisă
Mulţumită CLUSIS (Asociaţia Elveţiană pentru Securitatea Informaţiei), cititorii elveţieni, dar nu numai, beneficiază, începând chiar de acum, de revista CyberC LU SI S security Trends, al cărui prim număr este disponibil în Association Suisse de la Sécurité de l'Information format electronic pe website-ul www.clusis.ch și, ca de obicei, pe platforma ISSUU. Conţinutul revistei este foarte bogat, asociind cele mai bune articole publicate în versiunea originală în limba română cu texte, redactate în franceză și italiană, special pentru CLUSIS. Această plus-valoare calitativă semnificativă, asociată cu deontologia și metodologia revistei, face ca redacţia să poată oferi și cititorilor români cele mai bune articole elveţiene traduse în exclusivitate, începând chiar cu prezentul număr, prin articolul expertului Alessandro Trivilini. În primul număr, se detașează un excelent White Paper despre starea actuală a Elveţiei, o prezentare în rezumat a tradiţionalei Zile Strategice a CLUSIS, care reunește în fiecare an peste 250 de actori naţionali, publici și privaţi, din domeniu, alături de mari nume din securitate (în 2016 au fost prezenţi și fostul director al FBI și Alain Bauer, strateg al reformei majore din sistemul de securitate al orașelor SUA – și nu numai – după 9/11. În martie 2017, așadar, vor fi chiar trei ediţii diferite ale revistei noastre: celei românești și celei elveţiene alăturându-se și o primă ediţie italiană, redactată în colaborare cu Global Cyber Security Center (GCSEC) al Poștei Italiene, care ne-a dăruit deja, pentru acest număr, două articole publicate în exclusivitate pentru abonaţii newsletter-ului lunar al GCSEC.
20
Legătura slabă în securitatea cibernetică: factorul uman (Urmare din pagina 9) În consecinţă, faptul esenţial care trebuie înţeles este că achiziţionarea unor informaţii aparent neimportante permit adesea infractorilor cibernetici să ocolească contramăsurile sistemice. Kevin Mitnick spune: „de ce să pierzi timpul cu strategii elaborate când poţi printr-un simplu apel telefonic să obţii informaţii de la oameni nevinovaţi și neavertizaţi și să le folosești pentru a deschide ușa.” Până și cei mai bine pregătiţi oameni pot cădea în capcana ingineriei sociale, deoarece cele mai utilizate slăbiciuni se bazează pe prejudecăţi comportamentale și cognitive (scurtături și euristică) care conduc la o evaluare incorectă, profitând de evaluarea eronată a informaţiilor deţinute. Omul este infailibil și emoţiile umane pot fi adesea exploatate împotriva utilizatorilor și organizaţiei. Prin urmare, până și cei mai bine pregătiţi utilizatori pot cădea victime. Este celebru cazul directorului CIA, John Brennan, căruia i-a fost compromis emailul. De fapt, în octombrie 2015, un grup de hacker-i denumit CWA (Crackas With Attitude), prin tehnici de inginerie socială și în urma unor discuţii cu ingineri de la renumitul furnizor american de comunicaţii Verizon, au pătruns în contul de email al victimei de pe AOL (American Online), preluând administrarea contului și accesul la documente relevante și sensibile. Atacurile prin inginerie socială pot produce nu doar pierderi economice dar pot afecta și reputaţia prin impactul asociat, care în multe cazuri este cu mult mai mare și care poate afecta serios stabilitatea organizaţiei. Aceste fenomene trebuie să facă parte din cultura de securitate, instruire și conștientizare a angajaţilor în privinţa ameninţărilor existente, comportamen-
tului riscant și a celor mai bune practici. Evident, fără a neglija contramăsurile tehnice cum ar fi scanarea email-urilor, update-urile de software, verificarea angajaţilor, utilizarea criptării, a firewall-urilor și a sistemelor de detectare a intruziunilor. Pentru a reduce efectiv riscurile unor astfel de atacuri, trebuie să adoptaţi metode de instruire interactivă pentru angajaţi, prin „analize”, „interpretarea de roluri”, simulări, supervizate în permanenţă de un corp de control, căruia angajaţii să îi poată raporta și căruia să îi poată pune întrebări despre situaţiile dubioase care pot apărea în activitatea lor. Tehnicile folosite de atacatori sunt bine puse la punct și exploatează scheme de persuasiune4, care în absenţa unei instruiri corespunzătoare pot păcăli pe oricine. © Cybersecurity Trends multumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din octombrie 2016). Note: 1 CLUSIT – Italian Association for information security, Report 2016, https://clusit.it/rapportoclusit/ 2 Verizon’s 2016 Data Breach Investigations Report, http://www. verizonenterprise.com/verizon-insights-lab/dbir/2016/ 3 Isabella Corradini, Luisa Franchina, Social Engineering: technological and human aspects, Themis Edition 4 R. B. Cialdini, Influence: The Psychology of Persuasion, 1984
21
ity Trends ur ec rs be Cy w ie rv te In P VI
Ce punem online şi ce nu? autor: Laurent Chrzanovski
Arnaud Velten
Laurent Chrzanovski: Domnule Velten, cu ocazia întâlnirii „Grappa Hat” din Aosta şi apoi cu ocazia altor conferinţe, aţi suprins publicul cu o conferinţă intitulată „Are you what you sign? I say no”, un veritabil manifest cu privire la precauţiile necesare a fi luate înainte de a accepta sau de a semna orice online. De ce aţi ales această temă, dintre toate domeniile pe care le stăpâniţi, legate de cibersecuritate? Arnaud Velten: Mă simt ataşat de acest subiect pentru că reflectă o experienţă personală. În pragul vieţii adulte, eram mai degrabă timid şi introvertit. Pentru că la acea vreme
BIO Expert în strategie şi tactici digitale, Arnaud Velten (@bizcom) a avut primul contact cu informatica underground în adolescenţă, pentru ca apoi să continue studiile în comunicare, audiovizual şi marketing şi să se specializeze în inteligenţă strategică. În toate experienţele sale (în jurnalism, blogging, arte, activităţi conexe evenimentelor), îşi foloseşte cunoştinţele dobândite din zona underground şi le aplică în comunicarea digitală. Astfel, în 2007, contribuie la elaborarea unui CV izometric (Isomap) iar, în 2009, inventează o metodă de brainstorming intitulată „Emerge map”. Observator discret, persoană de legătură cu conexiuni fără pereche, contribuie încă din 2010 la multe evenimente în calitate de influent formator de opinie şi animator. În 2014 se alătură staff-ului de la Cyber Security Alliance şi de la summitul IE2S.
22
lucram, printre altele, la proiecte grafice, una dintre primele comunităţi care m-a acceptat a fost cea a artiştilor de la petrecerile la care mergeam: muzicieni, DJ, clubberi. Nevoia mea de recunoaştere, „consacrată” de invitaţia de a participa la evenimente în discoteci private de pe plajele lacului Annecy, era pe atunci garnisită de o poreclă cu o însemnătate pe care nu am realizat-o pe loc. Fiindcă pe atunci eram foarte slab, aceşti prieteni mă strigau „Auschwitz”. Iar, ca să-mi păstrez acest prim cerc de prieteni, n-am zis nimic şi nici nu mi-am pus prea multe întrebări până când, câţiva ani mai târziu, am aflat că bunicul meu, angajat în lupta de rezistenţă încă de la începuturile acesteia, fusese arestat de către Gestapo şi aruncat într-un vagon cu destinaţia Dachau, după ce participase la una din marile operaţiuni ale rezistenţei, maquis-ul din platoul Glières. A supravieţuit doar pentru că a reuşit să evadeze din convoi, la Dijon, iar apoi s-a alăturat maquis-ului din Jura. În momentul acela am realizat că nu mai voiam să accept glume sau porecle prosteşti doar de dragul apartenenţei la o „comunitate”. L.C.: Raţionamentul dumneavoastră, care ar fi putut să se oprească doar la „prieteni”, merge însă mai departe... A.V.: Da, pentru că faptul până la urmă banal pentru un adolescent de a accepta condiţiile „cele mai dure” pentru a se integra reprezintă începutul unei resemnări a cetăţeanului de mâine. Dacă nu îşi pune întrebări cu privire la acceptarea fiecărui „prieten” de pe reţelele sociale, dacă „semnează”, chiar şi printr-un singur clic, însuşirea condiţiilor oricărui site ale cărui clauze alege să le ignore, va ajunge să nu mai citească condiţiile şi obligaţiile dintr-un contract de muncă. Pe scurt, viaţa sa va fi dictată în orice moment de alţii, fără ca persoana vizată să-şi dea măcar seama, sau cel puţin la început. L.C.: Cum am putea de fapt acţiona, în prezent, într-o lume digitală în care majoritatea covârşitoare a adulţilor nesocotesc riscurile? A.V.: În ceea ce mă priveşte, aveam două opţiuni, ţinând cont de parcursul meu profesional: să devin un „hacker cu pălărie neagră” (black hat hacker) şi să „sparg sisteme”, sau să contribui la proiecte de transparenţă şi de conştientizare. Am ales cea de-a doua cale, devenind o „pălărie albă” (White Jedi). Problema cea mai dificilă în ziua de azi o reprezintă hiperconectivitatea neînţeleasă de către utilizatori (nici chiar de către cei din lumea TIC!), în vremuri în care Internetul este cea mai mare arhivă care a existat vreodată. În prezentările mele ţinute cu scopul sensibilizării, folosesc adesea paralele desprinse din actualităţile din media, precum omul de afaceri care avea încredere oarbă în Bernard Madoff, ecologistul american care credea că folosea o maşină germană „curată”, până în ziua în care... totul se
năruieşte în faţa unei realităţi mai tulburi. Prin aceste imagini de „succes” care au devenit „scandaluri”, îmi doresc să arăt cum, iniţial, omul este naiv atunci când are încredere într-un individ sau într-o marcă a căror imagine pare perfectă. L.C.: Care e scopul urmărit de dumneavoastră cu aceste exemple? A.V.: Subconştientul colectiv trebuie antrenat într-o introspecţie cu privire la felul în care toată lumea se conectează. Da, folosim reţele sociale, însă ştim oare că tocmai aceste reţele sociale în care avem atâta încredere pun la cale cea mai mare intruziune posibilă prin dezvoltarea de motoare de recunoaştere facială de foarte mare viteză? Atunci când acestea vor fi implementate, nicio imagine care vă aparţine dumneavoastră sau apropiaţilor dumneavoastră nu va rămâne pe dinafară, nici măcar cele„pierdute” în deep web. Astfel, tot trecutul dumneavoastră, şi aici nu mă refer neapărat la cel măreţ, dacă sunteţi adeptul postării online de imagini în mod sistematic, va ieşi la iveală, disponibil oricui. L.C.: Cum am putea, din punct de vedere tehnic, să evităm astfel de necazuri, cel puţin cu ceea ce n-am postat încă online? A.V.: Lucrez în cadrul unui grup internaţional, Think Services, alcătuit din voluntari, cu scopul de a crea o extensie, uşor de utilizat, de crowd sourcing. Odată inserată în motorul de căutare, rolul acesteia este de a indica pe loc gradul de încredere care poate fi acordată unui site sau unei reţele, în funcţie de cinci parametri simpli: accesibilitate şi diversitate (factori de atracţie) puse în relaţie cu maleabilitatea, încrederea şi integritatea site-ului. Momentan, ne concentrăm pe serviciile Cloud pentru început, un proiect pentru care ţin să-i mulţumesc lui Pascal Kotté şi profesorului Jean Henry Morin de la Universitatea din Geneva.
Evaluările fiecărui parametru, realizate de utilizatori ai site-urilor, constituie atât o garanţie a obiectivităţii (datorită numărului şi sistemului pe bază de voluntariat), cât şi o demonstraţie cu privire la complexitatea sistemului: fiecare va decide apoi în cunoştinţă de cauză ce e dispus să sacrifice (legat de viaţa privată, de resursele materiale dacă optează pentru un site cu plată) pentru a-şi securiza propria „reputaţie digitală”. Cartografia, una din pasiunile mele vechi, permite generarea unei imagini care, în termeni de impact, valorează adesea mai mult decât nişte lungi discursuri. L.C.: Cum aţi trecut din lumea graficii şi a white jedi-lor la responsabilitatea comunicării pentru un eveniment atât de delicat cum este IE2S? A.V.: Datorită concluziei aceluiaşi raţionament, la care s-au adăugat studiile pe care le-am terminat în domeniul marketingului, inteligenţei strategice şi media. Problema, în cazul evenimentelor strategice şi confidenţiale cum este
IE2S, constă în asigurarea securităţii pentru părţile care se desfăşoară în privat, aspecte pe care le cunosc doar participanţii (locul de întâlnire, adrese, ordinea de zi a şedinţelor), menţinând totuşi vizibilitatea evenimentului. Un individ sau un eveniment fără prezenţă digitală (imagini, texte, înregistrări video, hashtag-uri) este pur şi simplu inexistent în lumea în care trăim. Evenimentele strategice, spre deosebire de marile congrese publice, trebuie documentate cu multă subtilitate, dar şi cu o oarecare distanţare obiectivă care să lase mereu loc întrebării: „dacă postez asta online, care va fi imaginea percepută de utilizatorul de pe internet?”. L.C.: Care sunt cuvintele-cheie ale unei astfel de comunicări, cum se spune ceva ce nu trebuie spus (prea mult)? A.V.: În primul rând, înainte de întâlnirea propriu-zisă, obiectivele comunicării trebuie fixate de către organizatorii evenimentului, iar „responsabilul cu comunicarea” trebuie să înţeleagă evenimentul pentru a se adapta specificului acestuia şi pentru a nu se abate de la obiective. Există câteva reguli de aur, valabile pentru toate evenimentele strategice. Cea mai importantă este documentarea fără a minţi niciodată. Subiectivitatea nu-şi are locul în puţinul care îi este oferit publicului, în cazul acestui gen de întâlniri. Astfel, în cazul fotografiilor, de exemplu, trebuie respectată întotdeauna imaginea vorbitorilor şi a persoanelor prezente. De pildă, se încearcă includerea în cadrul fotografiei exclusiv a feţei celui care a luat cuvântul. Dacă un clişeu nu este bine realizat sau nu e discret, trebuie distrus sau şters imediat. Apoi, iar asta poate părea banal, însă afişarea cu un aparat de fotografiat mare, vizibil, indică tuturor că sunteţi acolo pentru a face fotografii: suspiciunea datorată riscului pe care îl produce „fotografia furată” dispare, câştigându-se astfel încrederea persoanelor prezente, care pot să refuze fotografierea, să consimtă postarea online sau să solicite ştergerea unei anumite imagini. Apoi, fotografiile autorizate trebuie marcate ca atare cu elemente care nu pot fi şterse înainte de postarea lor pe reţele, fapt ce le permite organizatorilor să le distingă de cele realizate fără autorizare, în cazul în care apar online, şi să acţioneze în consecinţă. În fine, totalitatea imaginilor şi a secvenţelor trebuie adaptate pentru a respecta direcţia dorită de organizatori. Cheia succesului, pe lângă învăţarea din greşeli, constă în strânsa colaborare cu organizatorii pentru a cântări cu atenţie ceea ce trebuie postat online „pe loc” şi ceea ce poate aştepta până la sfârşitul întâlnirii, zilei sau întregului eveniment pentru a fi triat „la rece” şi postat în cunoştinţă de cauză.
23
Focus - Cybersecurity Trends
Automobile și IT: legături periculoase
autor: Yannick Harrel
Tocmai când atacurile prin DdoS (Distributed Denial of Service) păreau să devină, în ultimii ani, doar nişte întâmplări deranjante minore, cel mult iritante, mai multe evenimente recente au demonstrat că acestea revin în forţă. Unul dintre ele, de o gravitate particulară, a avut loc în Franţa în septembrie 2016, când un important host de servere, OVH, s-a confruntat cu tentative de paralizare a reţelei prin atacuri de ordinul a 1 Tbps (TeraBits per Second). Densitatea fluxului de saturaţie a bandei este remarcabilă, însă alimentarea acestuia este cea mai îngrijorătoare. Anchetele au arătat că acest atac ar fi fost facilitat de camerele de supraveghere IP (Internet Protocol) cu protecţie slabă sau inexistentă. Iar camere de supraveghere IP egal Interneul obiectelor (Internet of Things). Problematica Internetului Obiectelor în materie de securitate informatică se compune din două ramuri: una care priveşte explozia lor demografică, ajungând de la 8 miliarde în 2010 la probabil 80 de miliarde în orizontul de timp 2020 (potrivit biroului de studii IDATE); cealaltă priveşte securizarea acestora. Ambele ramuri sunt corelate: cum poate fi securizat în mod eficient un fenomen în plină expansiune, deci în perpetuă schimbare? Iar aici încep să intervină automobilele viitorului. Constructorii consacraţi cum sunt giganţii sectorului digital plănuiesc deja cu seriozitate maşina autonomă a viitorului, adică pilotată cu ajutorul inteligenţei artificiale. Or inteligenţa artificială presupune delegarea parţială şi apoi totală a condusului. Acest lucru nu se poate realiza decât dacă vehiculul este capabil să garanteze respectarea celui mai fiabil itinerariu selectat, iar pentru ca acesta să fie în conformitate cu ordinul
24
de plecare trebuie ca vehicului să fie în permanenţă conectat cu mediul său şi cu câteva relee de comunicare. Iar dacă vehiculele anilor 2000-2015 dispuneau de o bază de date preinstalată şi integrată în ecranul de control, permiţând orientarea şoferului uman, provocarea constructorilor este de acum de a furniza o bază de date auto-evolutivă şi actualizată care să poată răspunde la mai multe cerinţe specifice cum ar fi o modificare a itinerariului datorată unui ambuteiaj temporar sau căutarea spaţiului de servicii cu tarifele cele mai avantajoase pe o rază de x kilometri. Aceasta reprezintă prima etapă înspre un stil de condus autonom dinamic (1). Acest stil de condus va necesita un flux de informaţii actualizate, pe o paletă care porneşte de la petrecerea timpului liber (de exemplu: semnalarea unui festival care are loc în apropierea itinerariului vehiculului) şi până la securitate (de pildă: rută temporar inaccesibilă din cauza inundaţiilor). În acest scop, pot fi definite cinci categorii: Infodivertismentul (semnalarea punctelor de interes turistic în jurul poziţiei sau softuri de divertisment integrate pe ecranul de control) Interacţiunea cu vehiculul (indicarea consumului bateriei sau permiterea de apeluri către centrul de asistenţă al constructorului) Asistenţă în timpul condusului (stil de condus ecologic sau planificarea itinerariului) Securitatea proprie a vehiculului (plată la distanţă a locurilor de parcare sau serviciu de geolocalizare pentru a situa un vehicul închiriat)
Şi totuşi, care este legătura între aceste vehicule conectate şi camerele IP amintite la începutul articolului? Simplu: acestea urmăresc aceeaşi cale îngrijorătoare.
Numărul lor va creşte în anii următori, iar anumite exemple ridică întrebări legitime. Se poate menţiona cu precădere un exemplu care a stârnit un scandal în presa de specialitate: doi cercetători în domeniul informaticii, Charlie Miller şi Chris Valasek, au reuşi să interacţioneze la distanţă cu un Jeep Cherokee (2), putând să întrebuinţeze după bunul plac toate elementele de la bordul acestui 4X4: de la sistemul de climatizare la frâne şi direcţie, totul de la o distanţă de circa 10 mile (16 kilometri). Grupul Fiat-Chrysler a luat în serios această demonstraţie şi le-a cerut utilizatorilor să corecteze acest punct slab al securităţii informatice prin adăugarea unui patch. Această preluare a controlului poate fi şi mai insidioasă, aşa cum s-a demonstrat prin modificarea substanţială a unui itinerariu ales pe harta de navigare digitală. Disecat, sistemul Uconnect reprezintă un ansamblu de funcţii care permit atât navigarea cât şi redarea de muzică sau efectuarea unui apel telefonic. Acest sistem electronic multifuncţional, regăsit mai mult sau mai puţin şi la alte grupuri din acest sector, nu este decât o poartă de intrare pentru o persoană răuintenţionată. Punctele de intrare/ieşire care pot fi posibile puncte slabe ale vehiculelor moderne sunt: Portul OBD (On Board Diagnostics) Modemul 4G/LTE (Long Term Evolution) Bluetooth-ul CAN (Controller Area Network) Bus/VAN (Vehicle Area Network) Bus Cipul RFID (Radio Frequency Identification) Cititorul CD/DVD Aceste puncte slabe nu sunt întotdeauna datorate neatenţiei sau refuzului de a lua măsuri de securizare din partea fabricanţilor sau a subcontractorilor acestora. Multe puncte slabe ale softurilor sunt de fapt necunoscute (Zero Day) şi sunt corectate odată ce se află de existenţa lor. Doar că inventivitatea piraţilor şi multiplicarea punctelor de acces la vehicule moderne complică mult munca personalului însărcinat cu eradicarea lor. În plus, cererea şi obiceiul consumatorilor de a dispune de un ansamblu de funcţiuni în interiorul vehiculului face imposibilă limitarea lor tehnică; nici nu se pune problema dezactivării funcţiilor electronice care ajută la stabilizarea vehiculului în orice situaţie. În aceste condiţii, piaţa în creştere a vehiculelor conectate va fi integrată cu uşurinţă în Internetul Obiectelor, deoarece acestea vor comunica şi interacţiona în funcţie de pasager şi de bornele statice şi mobile. Diferenţa dintre piratarea unei camere IP şi cea a unui automobil conectat constă în faptul că, în cazul în care nu funcţionează cel de-al doilea sistem de preluare a controlului, riscul unui accident mortal devine extrem de ridicat atât pentru conducător şi pasageri, cât şi pentru alţi utilizatori. Este un pericol real care a atras atenţia multor constructori şi proiectanţi de echipamente care încearcă să elimine problema prin atingerea unui prag de risc minim, de pildă prin implementarea unor iniţiative în colaborare care îşi propun schimburi de informaţii şi reîntoarcerea cercetătorilor în domeniul securităţii informatice precum şi a societăţilor creatoare de antiviruşi şi de firewalls (de exemplu, cazul Auto-ISAC [Information Sharing and Analysis Center] sau EVITA [E-safety Vehicle Intrusion Protected Applications]). Acest lucru este o necesitate deoarece munca este herculeană: se estimează, o maşină conectată conţine aproape 100 de milioane de linii de cod, iar un avion de vânătoare modern doar 8 milioane. Aceste schimburi între diferiţi actori din domeniu ar trebui să permită nu doar creşterea nivelului de securitate, ci şi protejarea deţinătorilor de secrete tehnologice de furtul unor elemente cruciale. Iar dacă preluarea controlului de la distanţă a unui vehicul reprezintă un risc major, cel al unei sustrageri de date tehnice nu
BIO Expert și lector în Cyberstrategy la Business & Finance School din Strasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în implementarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septembrie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnologii, comunicare și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.
poate fi evitat, iar aceste date privesc atât conducătorul cât şi detaliile electro-magnetice ale mijlocului său de transport. Totuşi, nu trebuie să uităm că primul mijloc de apărare în domeniul securităţii informatice rămâne tot utilizatorul preocupat de protejarea propriului bun... şi a propriei vieţi. (1) Un vehicul autonom nu este neapărat conectat, acesta poate de exemplu să folosească diferiţi captatori şi camere integrate (ca de pildă LIDAR [Light Detection And Ranging]) în procesul de mişcare, pentru a se orienta în spaţiu. Totuşi, eficienţa sa depinde de o anumită limită geografică şi de activitatea de condus. În plus, vehiculul nu comunică cu obiectele din jurul său: recepţionează informaţie fără însă s-o emită. Condusul autonom dinamic presupune un schimb de date în timp real. De asemenea, un vehicul conectat nu e obligatoriu autonom, fie pentru că nu s-a selectat opţiunea de delegare a condusului, fie că aceasta nu este disponibilă pe respectivul model. (2) În 2013, o Toyota Prius şi un Ford Espace au fost de asemenea piratate; cu toate acestea, procedura a necesitat prezenţa în interiorul maşinilor a doi specialişti, realizându-se astfel prin cablu şi nu de la distanţă. În 2015, s-a făcut o demonstraţie de piratare de la distanţă. Andy Greenberg, Hackers remotely kill a cutjeep on the highway – with me in it, Wired, 21 juillet 2015 - https://www.wired.com/2015/07/ hackers-remotely-kill-jeep-highway Auto-ISA - https://www.automotiveisac.com/ EVITA Project - http://www.evita-project.org/
25
Focus - Cybersecurity Trends
Internetul, între terorism și oportunităţi Numărul de utilizatori de Facebook este, fără îndoială, o caracteristică ce face această aplicație unică şi atractivă din mai multe puncte de vedere: o realitate pentru tineri, o descoperire pentru adulți, o mină de aur pentru companii și un instrument de intelligence pentru State.
autor: Alessandro Trivilini, șef al Laboratorului de criminalistică (forensics) al SUPSI
În memoria vie nu a mai existat un mediu strategic de această dimensiune în care oamenii, indiferent de natura, culoarea și originea lor, să publice în mod voluntar și gratuit informaţii personale despre obiceiurile și despre vieţile lor de zi cu zi. Un ecosistem complex, folosit chiar
BIO Dr. Alessandro Trivilini este șeful Laboratorului de criminalistică al SUPSI, creat în colaborare cu poliția și Magistratura cantonului Ticino. În cadrul SUPSI, el este și profesor de inginerie software, criminalitate informatică și securitate a informațiilor. Autor al mai multor cărți și publicații științifice, a lucrat în Silicon Valley (California) ca inginer software în domeniul securității aeroporturilor. El are un doctorat cu onoruri conferite de Politehnica din Milano în domeniul inteligenței artificiale, cu aplicare în domeniul criminalistic și la tribunale. El participă ca chairman și speaker la conferințe și congrese naționale și internaționale pe probleme de securitate cibernetică și criminalistică digitală. Din 2016, este membru al Comitetului științific internațional al IMA World Maintenance Forum pentru probleme de securitate cibernetică.
26
si de teroriști pentru abordarea și recrutarea de noi lupi singuratici, pentru a se apropia prin dialoguri propice și a convinge tinerii utilizatori să urmeze calea radicalizării. Din punct de vedere social, este vorba, fără îndoială, de un fenomen îngrijorător care nu trebuie trecut cu vederea, iar din punct de vedere tehnic-informatic, și chiar de afaceri, ar putea fi o mare oportunitate de abordat cu curaj și determinare. A face dintr-o necesitate o virtute înseamnă, în acest caz, agregarea abilităţilor interdisciplinare, cum ar fi cele informatice, psihologice, educaţionale, juridice și lingvistice, pentru a proiecta și a dezvolta noi roboţi inteligenţi (cyber bot) pentru analiza lingvistică și semantică a dialogurilor desfășurate între utilizatorii reţelelor sociale. O afacere în creștere rapidă, în care chiar și Uniunea Europeană a decis să investească sume cu șase de zero la final. Caracteristicile limbajului natural folosit de către utilizatori în reţelele deschise, cum ar fi Facebook, sunt o sursă bogată de informaţii care nu mai pot fi neglijate. Se naște astfel necesitatea de a dezvolta noi agenţi inteligenţi instruiţi în mod corespunzător, capabili să recunoască actele de comunicare ale utilizatorilor rău intenţionaţi, stilul lor de comunicare și mai ales relaţia dintre motivaţia, emoţiile și comportamentele interpersonale. O provocare pe care generaţiile tinere de nativi digitali ar putea-o înfrunta și chiar rezolva, prin intermediul mentalităţii lor informatice, a cunoștinţelor
lor și capacităţii lor de adaptare profesională. Nimeni nu poate mai bine decât ei codifica și decodifica forma limbajului folosit astăzi pe Internet, din ce în ce mai sintetizat, nestructurat și metaforic, limbaj utilizat dealtfel pe scară largă pentru recrutarea de noi adepţi pentru radicalizare. Prin urmare, este necesar efortul de a încerca, chiar și de a intra încet, încet, pe terenul lor comun, de multe ori mediat de ore nesfârșite la playstation, formulând întrebări adecvate și interpretând răspunsurile acestora. Cele mai mari companii IT din lume, cum ar fi Google, Facebook, Yahoo, dar și altele, au făcut primul mare pas investind masiv în alfabetizarea informatică a noilor generaţii, în special în proiecte educaţionale utile în care se predau paradigmele de programare logică, cu ajutorul cărora vor câștiga o bună capacitate de abstractizare. Acum este rândul nostru, profesori și profesioniști, să le dăm contextele operaţionale concrete și provocatoare în care sa aibă spaţiu pentru creativitate, experimentând în formă ghidată soluţii eclectice și originale, care ar putea schimba într-adevăr cursul evenimentelor de natură socială sau economică, dar mai ales siguranţa personală. Vestea tristă din ultimele săptămâni aduce la lumină nevoia tot mai mare de a utiliza noi modele durabile pentru a aborda în mod adecvat riscurile care apar într-o lume care se schimbă cu o viteză atât de mare. Forţele de ordine, ele însele, fie ele locale sau globale, se confruntă cu mari dificultăţi în combaterea atacurilor de securitate, datorită faptului că, până nu demult, se așteptau ca ameninţările să fie de o complexitate din ce în ce mai sporită și nu, la polul opus, ...dintre cele mai simple. Riscul acum este să continuăm să ne punem aceleași întrebări, bazate pe experienţele unei lumi demult apuse, minunându-ne de fiecare dată de monotonia răspunsurilor. Din păcate nimeni, nici măcar autorităţile, nu este în măsură să vadă la orizont o soluţie care să reducă temerile și confuziile actuale. Pentru un părinte care și-a pierdut un fiu în timpul recentelor atacuri teroriste din Franţa, se pune întrebarea: cum este posibil ca în pragul celei de a patra revoluţii industriale, caracterizată prin atât de aclamata inteligenţă artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului? Monitorizarea continuă a reţelelor sociale poate este o condiţie necesară, dar nu mai este suficientă, cel puţin așa cum este concepută astăzi. Analiza atât de aclamatei «big data», bine cunoscută prin cei patru „V” (volum, viteza, varietate și veridicitate) necesită adăugarea a două noi componente: contextul de provenienţă a datelor și cultura lor. Da, doar aceasta din urmă ar putea îmbogăţi ulterior analiza tehnico-știinţifică, cu intenţia de a extrage informaţii utile pentru a identifica suficient de devreme presiunea socială care a determinat un anumit utilizator să facă un act
Cum este posibil ca în pragul celei de a patra revoluții industriale, caracterizată prin atât de aclamata inteligență artificială, să nu existe instrumente (automate) informatice (posibil rezistente și inteligente) care să fie utilizate pentru monitorizarea continuă și profundă a internetului?
specific de comunicare. În această privinţă, o abordare interesantă ar putea combina algoritmii de «inteligenţă artificială», etapele de «machine learning», și procesele de organizare a informaţiilor propuse de «big data analytics». O convergenţă strategică, dar și ambiţioasă, deoarece rezultatele de astăzi, din păcate, sunt clare: radicalizarea și propaganda nu pot fi identificate în mod automat, în forma lor completă. Și exact aici se ascund oportunităţi importante de dezvoltare, extrem de interdisciplinare, pentru cine are ca profesie datoria să se gândească la soluţii inovatoare și eficiente. Datorită evenimentelor dramatice din ultimele luni, nu ne mai putem permite luxul de a aștepta repornirea sistemului, pentru ca problema să se rezolve «magic» singură. Din punctul meu de vedere, fiecare dintre noi în mediul său social și profesional, este titularul unei părţi mici, dar importante a soluţiei, care pentru a da roade bune va trebui neapărat împărtășită și acceptată în ansamblu. De fapt, trebuie să învăţăm de la adversarii noștri, eficacitatea lor își are rădăcinile, chiar dacă dramatice, periculoase și deplorabile, într-un singur teren comun mare, partajat și apărat la nivel mondial.
27
Focus - Cybersecurity Trends
Ce așteptăm de la comunitatea CERT? În perioada ultimilor ani, asistăm la o dezvoltare accelerată a entităților destinate combaterii amenințărilor cibernetice și managementului incidentelor de securitate cibernetică – cunoscute sub denumirea de CERT, precum și la o creștere (cel puțin din punct de vedere statistic) a numărului experților în acest domeniu. Evident, acest fenomen este răspunsul societății noastre la ceea ce se întâmplă în mediul online, atât din perspectiva creșterii ponderii utilizării tehnologiei în toate domeniile vieții, dar și a evoluțiilor spectaculoase înregistrate de atacurile cibernetice la nivel global. autor: Eduard Bisceanu
Deopotrivă în mediul privat, cât și în mediul guvernamental, crearea structurilor de tip CERT și angajarea de personal specializat în diverse discipline conexe domeniului securităţii cibernetice ar trebui să asigure un răspuns adecvat celor mai sofisticate atacuri cibernetice care ar putea fi generate de orice fel de actor, indiferent de motivaţia și resursele pe care acesta le are la dispoziţie. Dar oare toate aceste structuri și pleiada de experţi prezenţi în spaţiul public au capacitatea să livreze rezultatele așteptate?
BIO Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.
28
Având în vedere mesajele prezente în mai toate lucrările, articolele sau conferinţele de specialitate în ultima perioadă, pe care eu personal le percep ca fiind de regulă lipsite de proporţionalitate în raport cu nivelul real de risc, de cele mai multe ori fiind prea alarmante și de prea puţine ori oferind soluţii adaptate publicului larg sau secţiunii de public căreia se adresează, pot să afirm clar că nivelul de pericol generat de atacurile cibernetice care au loc online în prezent se situează mult sub nivelul critic care ar genera efecte devastatoare, așa cum ni se prezintă de multe ori situaţia de ansamblu a securităţii Internetului și tehnologiei în general. Referinţa generică la care mă raportez pentru a-mi susţine această afirmaţie o reprezintă creșterea evidentă și din ce în ce mai accelerată a serviciilor oferite online, atât de către guvernele multor state, precum și de mediul de afaceri. Simplu, dacă riscurile ar fi mai mari decât oportunităţile, în mod clar investiţiile în dezvoltarea de noi servicii online nu ar avea eficienţă. Totuși, evoluţia constantă a complexităţii atacurilor cibernetice, precum și rezultatele obţinute de atacatori, pun serioase probleme comunităţilor specializate în domeniul securităţii cibernetice, atât din perspectiva asigurării securităţii cetăţeanului, utilizator de tehnologie și de servicii online sau a guvernelor care trebuie să asigure condiţiile necesare funcţionării infrastructurilor critice în condiţii de securitate, precum și din perspectiva companiilor private furnizoare de tehnologie sau servicii în acest domeniu. Nu-mi voi susţine afirmaţiile prin copierea diverselor date statistice sau descrieri ale unor atacuri cibernetice extrem de distructive sau sofisticate care au avut loc în ultima perioadă, sunt suficiente resurse de încredere online specializate în acest sens, ci voi încerca să sintetizez câteva idei despre ceea ce consider că lipsește astăzi la nivel global, astfel încât starea de securitate și încredere în tehnologie să prevaleze ameninţărilor de orice natură și panicii generale pe care o percep de fiecare dată când ceva periculos se întâmplă online, adesea neprevăzut de nimeni. Nu susţin aici viziuni mesianice asupra a ceea ce trebuie făcut în domeniul securităţii cibernetice, ci încerc să evidenţiez faptul că, deși se fac
o serie de pași înainte în acest domeniu, prin demersuri de reglementare, înfiinţarea de structuri specializate noi etc., progresele reale se lasă așteptate iar potenţialitatea unui Armagedon cibernetic ce ar putea să se manifeste într-o stare generală de criză globală devine din ce în ce mai probabilă. O să mă opresc în acest articol la structurile de tip CERT și de ce consider că, în general, aceste structuri nu au atins gradul de maturitate necesar pentru a face faţă situaţiei reale cu care se confruntă online. Fie că aducem în discuţie entităţi de tip CERT guvernamentale, fie cele destinate mediului privat, acestea au fost înfiinţate cu un singur obiectiv generic: creșterea gradului de rezilienţă a infrastructurilor protejate și asigurarea securităţii informaţiilor vehiculate prin intermediul acestora, incluzând aici și funcţionalităţile critice asigurate prin intermediul tehnologiei în cadrul unor infrastructuri critice. Aceste tipuri de entităţi au o activitate din ce în ce mai vizibilă la nivel global și în special la nivel european, paginile web ale acestor tipuri de structuri fiind abundente în informaţii utile tuturor, însă de cele mai multe ori activităţile acestor tipuri de structuri au cu preponderenţă o componentă reactiv-defensivă în detrimentul componentei preventive, mult mai importantă din perspectiva nevoii de securitate a Internetului. Desigur, afirmaţia mea este una contestabilă, însă este inspirată de una dintre activităţile zilnice pe care le desfășor în calitate de director de securitate în cadrul unei instituţii financiar-bancare: căutarea de informaţii valide despre noi tipuri de atacuri cibernetice (Indicatori de Compromitere, Indicatori de Atac, analize de malware, evaluări specializate și încercări de atribuire a unor atacuri cibernetice complexe, etc.), în scopul de a putea adapta sistemele tehnice și procedurale ale organizaţiei pe care am fost angajat să o protejez la cele mai noi categorii de riscuri. Dacă pentru proceduri, politici și sfaturi utile, în special pentru adecvarea răspunsului la un atac cibernetic care deja a produs efecte, paginile web și feed-urile de securitate generate de diversele organisme de tip CERT se dovedesc valoroase (Ex: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/cert_about. html, https://www.ncsc.gov.uk/, https://cert.ro/), informaţii acţionabile (cu utilitate imediată) care vizează atacuri noi, complexe, sofisticate și care generează un impact semnificativ la nivelul infrastucturilor vizate le regăsesc de cele mai multe ori în cadrul resurselor informaţionale puse la dispoziţie (atât public, cât și în cadrul unor relaţii contractuale) de companiile specializate în domeniul securităţii cibernetice. Unii ar putea spune că este normal, pentru că aceste companii sunt înfiinţate tocmai în acest scop... însă dacă analizăm obiectivele și resursele financiare semnificative investite de guverne sau mediul de afaceri în resurse de tip CERT, înţelegem cu toţii că ceva nu merge tocmai bine. Voi încerca să prezint câteva acţiuni pe care le consider ca fiind priorităţi de grad 0 pentru comunitate, astfel încât funcţia preventivă a unei structuri de tip CERT să prevaleze în faţa reactivităţii manifestate în prezent, astfel: paradigma parteneriat public-privat trebuie schimbată prin acţiuni concrete, nu neapărat prin legislaţie. Deși pare o afirmaţie hazardată, nu există legislaţie care să interzică cooperarea reală între mediul public și cel privat, există doar decidenţi nehotărâţi (de ambele părţi) sau care nu înţeleg beneficiile diverselor formate de cooperare; pe lângă campaniile publice de informare asupra pericolelor online, care de cele mai multe ori sunt orientate tot către public avizat și pe lângă permanenta căutare a responsabililor cu educaţia cetăţenilor, implicarea
reală în elaborarea de materiale educaţionale simple, inteligibile și personalizate care ar putea fi puse la dispoziţia diverselor categorii de public, inclusiv prin introducerea rapidă a acestora în cadrul programelor de învăţământ la toate nivelurile; campanii de educare adresate managerilor din sectorul privat și decidenţilor din sectorul public. O persoană neinformată corect ia și va lua decizii greșite sau nu va lua deciziile potrivite; elaborarea de cursuri pentru formarea de competenţe în domeniul răspunsului la incidente de securitate cibernetică – accesibile din punct de vedere financiar și actualizate ca și conţinut de câte ori realitatea o impune – pe lângă certificările valoroase (scumpe și inaccesibile unei largi majorităţi) oferite de diverse entităţi private și oferta mediului academic, ar completa nevoia reală de expertiză cerută de piaţă; schimbul de informaţii în timp real – nu există scuză și motivaţie reală pentru a nu pune la dispoziţie, în timp real, indicatori de atac sau de compromitere, în cazul detectării unui atac cibernetic cu impact semnificativ. Standardizarea mai rapidă a formatului schimburilor de date la nivelul comunităţii ar duce cu rapiditate la scăderea timpului de răspuns și creșterea compatibilităţii sistemelor tehnologice utilizate de diverse comunităţi de tip CERT; crearea unor structuri proprii destinate detecţiei, răspunsului și analizei atacurilor cibernetice eficiente, prin adoptarea bunelor practici utilizate de companiile private cele mai eficiente în domeniu (selecţie pe criterii de competenţă a managerilor și experţilor, asigurarea unor venituri adecvate importanţei și criticalităţii activităţilor derulate, accesarea de training avansat și utilizarea unor instrumente tehnologice competitive etc.); asumarea rolului de arbitru între diversele entităţi și sectoare economice care nu schimbă informaţii din motive care ţin de mediul concurenţial; asumarea rolului de furnizori de încredere prin validarea diverselor tehnologii furnizate de piaţa de profil; asumarea eșecurilor și valorificarea mai activă a lecţiilor învăţate; furnizarea periodică a unor produse de tip Cyber Threat Intelligence, care să conţină, pe lângă componenta tehnică acţională (pe care sunt orientate majoritatea platformelor și furnizorilor actuali), analize și evaluări profesionale cu privire la evoluţia de perspectivă a mediului de securitate online în vederea consolidării componentei de prevenţie și susţinerii informaţionale a actului de decizie (atât în mediul public, cât și în cel privat). Fără a avea pretenţia că am acoperit toate problemele comunităţii CERT sau că am oferit soluţii speciale, am certitudinea că aspectele prezentate vor crea controverse, iar din experienţa mea, contradicţiile și critica constructivă generează evoluţie.
29
Trends - Cybersecurity Trends
Veritas Enterprise Vault Veritas Enterprise Vault este o platformă de arhivare care ajută la reducerea decalajului dintre mediul de afaceri, juridic și IT, ajutând organizațiile să stocheze în mod inteligent, să gestioneze și să descopere informații nestructurate. Liderul cotei de piață în arhivare, Enterprise Vault ajută organizațiile să stocheze informații importante, reducând în același timp costurile de backup și de depozitare și permite un proces de descoperire repetabil și justificabil.
În comparaţie cu ediţiile anterioare, Enterprise Vault 12 introduce caracteristici care îi ajută pe clienţi să acţioneze pentru a păstra sau șterge informaţiile necesare pentru a îndeplini cerinţele legale și cele generate de mediul de afaceri, pentru a îmbunătăţi vizibilitatea și accesul la datele arhivate și de a spori eficienţa operaţională. Un control mai bun - o suită de noi caracteristici de clasificare care permit un control mai mare asupra informaţiilor pe care le reţine. Supraveghere și căutare sporită - un motor de învăţare utilizat continuu pentru a ajuta la eficientizarea supravegherii conţinutului arhivat și a îmbunătăţi productivitatea utilizatorului final prin facilitarea accesului ușor la informaţii arhivate. Administrare îmbunătățită - opţiuni noi de înaltă disponibilitate pentru arhiva Enterprise Vault, îmbunătăţiri personalizate de raportare, flexibilitate și scalabilitate pentru arhivare SMTP.
Top 10 motive pentru Upgrade!
1
NOU! Organizaţiile continuă să se lupte cu stocarea de informaţii pentru a îndeplini cerinţele de reglementare / conformitate și de afaceri. Ca rezultat, mulţi păstrează totul, uneori mai mult decât ar trebui, crescând astfel responsablităţile departamentului IT, expunerea și riscul. Pentru a ajuta la soluţionarea acestei provocări, Enterprise Vault susţine clasificarea întregului conţinut ingerat de pe e-mail, fișiere, mesagerie instant, Social Media și din alte surse. Politicile personalizabile determină automat ce să clasifice și să păstreze sau să elimine și un element de etichetare pentru o căutare mai rapidă, descoperire sau supraveghere. NOU! Ce se întâmplă cu arhiva atunci când politicile de backup trebuie să evolueze pentru a fi în confor-
2
30
mitate cu noile reglementări sau cerinţe de afaceri? Ajustaţi retenţia arhivei după cum este necesar. Re-clasificarea vă ajută să vă asiguraţi că informaţiile arhivate respectă reglementările în vigoare, backup și politici de clasificare. Aveţi posibilitatea să vizualizaţi/utilizaţi o arhivă Enterprise Vault cu politici de retenţie și utilizare nelimitate pentru a defini ce informaţii trebuie să fie păstrate pentru valoarea de afaceri, respectarea reglementărilor sau descoperire și ceea ce ar trebui să fie eliminat. Vă puteţi actualiza chiar și perioadele de păstrare pentru elementele individuale. NOU! Cerinţele de retenţie și de afaceri se pot modifica în timp. Din fericire, Gated Deletion vă ajută să ștergeţi informaţii numai în cazul în care respectă politicile actuale de retenţie. Enterprise Vault poate efectua o verificare a regelementărilor înainte de expirare sau înainte ca utilizatorul să șteargă informaţii. NOU! Efectuarea gestionării înregistrărilor „Capstone-style”. Capabilitate introdusă în versiunea 12.1, prin care Enterprise Vault ofera suport pentru marcarea articolelor arhivate, fie ca înregistrări permanente sau înregistrări temporare. În plus, clienţii pot efectua căutări în funcţie de ID-ul de înregistrare sau de tip și pot exporta înregistrările pentru transferul în altă parte. NOU! Capacitatea de a arhiva mai precis și de a prelua imagini a fost îmbunătăţită cu Image OCR (recunoaștere optică a caracterelor), care vă permite să extrageţi text din imagini pentru indexare și clasificare, efectuarea de OCR pe imagini în timpul procesului de arhivare. Enterprise Vault suportă iFilter, permiţând oricărui plug-in iFilter să extragă text pentru indexare și clasificare. Imaginile pot fi apoi căutate și regăsite folosind Enterprise Vault Search, Enterprise Vault Discovery Accelerator sau Enterprise Vault Compliance Accelerator.
3 4 5
Vault Search oferă un aspect actualizat cu noi caracteristici care ajută la îmbunătăţirea productivităţii utilizatorului final. În plus, administratorii pot utiliza politici de căutare pentru a controla dacă utilizatorii finali pot căuta prin intermediul etichetelor de clasificare în Enterprise Vault Search. NOU! Introdus în Enterprise Vault 12.1, Folder Shortcuts furnizează clienţilor File System Archiving acces direct la fiecare sistem de fișiere arhivate în dosarul arhivei respective din cadrul Enterprise Vault Search. Acest lucru ajută la simplificarea accesului utilizatorului final la conţinutul arhivat fără utilizarea de substituenţi tradiţionali sau comenzi rapide. ÎMBUNĂTĂŢIT! Mai întâi introdus cu Enterprise Vault 11, SMTP Archiving permite Enterprise Vault să arhiveze orice conţinut trimis de la orice aplicaţie sau un produs care acceptă trimiterea de e-mail prin protocolul SMTP. În Enterprise Vault 12, va fi introdus SMTP Selective și Mailbox Archiving, precum și SMTP Target Scalability, care va permite să vizaţi aceeași adresă de e-mail SMTP de la mai multe servere pentru scalabilitate crescută și reducerea TCO.
9
6
NOU! Supravegherea poate fi exhaustivă atunci când politicile sunt ineficiente la filtrarea informaţiilor de bază non-relevante. O nouă caracteristică, în Compliance Accelerator, Intelligent Review, ajută efectuarea unei supravegheri mai rapide, mai ușoare și mai inteligente învăţând din răspunsurile și cunoștinţele de construcţie pentru a acorda prioritate informaţiilor utile și a datelor de bază eliminând în timp informaţiile nonrelevante. NOU! Pentru auditorii care utilizează Compliance Accelerator sau Discovery Accelerator, a fost introdus Accelerator Open Reporting. Această funcţie vă permite să utilizaţi OData (Open Data Protocol), serviciu web care permite accesul liber la Microsoft Excel sau Power BI sau orice altă aplicaţie de analiză a datelor. ÎMBUNĂTĂŢIT! Mai întâi introdus cu Enterprise Vault 11, Enterprise Vault Search oferă acces intuitiv la arhivă, prin browser-ul web de pe laptop-uri, tablete sau dispozitive mobile. În Enterprise Vault 12, Enterprise
7 8
10
Veritas Enterprise Vault este disponibil în România prin distribuitorul autorizat Romsym Data (www.romsym.ro).
Calendar
February 23rd - “The future is in Cloud”. On-premises, Offff-premises, Hybrid. How to build a cloud strategy. Future as a Service March 23rd - “The Euro-Atlantic Security and the Security in the Cyber Space” the 3rd edition organized with the support of the Defense University Carol I and the Research Center for Security, Crisis Management and Conflicts Prevention April 6th - “The Hiper-connected business”. Networks and solutions. Wired, WiFi, Software Defined, Internet of Things. How to connect people, senzors, devices and businesses. Digital Transformation of the Workplace May 11th - “Data, Data Warehouses, Big Data, Analytics, Artificial Intelligence - Paving the way to actionable Insights”. Structured, Unstructured, Real Time Data. How, What & Where to Collect, Compute and Store June 15th - “ITC Infrastructures & Solutions for Smart Communities”. Smart Cities, Smart Grids, Smart Buildings, Smart Campus, Smart Transportation, Smart Home, Smart Lighting. Future Communities September 20-24th - The IT Camp:” iTalent? IT Will be FUN!” (the 10th edition) October 5th - BPM EE Forum National Conference October 26th - Managing Critical Infrastructures in real time, the 3rd annual conference dedicated to the critical infrastructures. November 23rd - ROCS (Romanian Computer Show), 23rd edition December 7 - Data Centers & IT Infrastructure Management 31
Trends - Cybersecurity Trends
E
xpoziţia de awareness a Swiss Webacademy, în varianta italiană devine permanentă în cel mai frumos decor și cel mai util sediu posibil: noul District de Cybersecurity (DCS) (www.distrettocybersecurity.it), situat într-una dintre cele mai valoroase clădiri istorice din Cosenza (Italia) și inaugurat în 2015.
Începând cu 2016, centrul a primit și primii săi masteranzi în Cybersecurity, cu un nou curriculum de cursuri elaborat în mod exemplar de către un think-tank public-privat și susţinut de către Ministerul Educaţiei și de către Ministerul Dezvoltării Economice.
Poșta Italiană, GCSEC și Polizia Nazionale, după succesul expoziţiei «Social Media Heroes and Victims» la MakerFaire, au hotărât ca prezentarea să devină una permanentă, destinată școlilor dar și studenţilor și profesioniștilor din domeniul cybersecurity, ca locaţie fiind aleasă sala mare a DCS.
Este vorba despre un centru de cercetare și inovare multi-stakeholder, gestionat de către Poșta Italiană, care se vrea inima unui «tehnopolis» destinat revitalizării orașului istoric calabrez, si care deja face parte integrantă din CERT-ul Poștei Italiene.
DCS un ecosistem al CERT-ului Poștei Italiene
32
10 martie 2016: premierul italian, Matteo Renzi, alături de Președintele Regiunii Calabria, Mario Oliverio, se întreţin cu masteranzi ai DCS. Așadar, expoziţia cu cele 32 de panouri, disponibile online pe site-ul dedicat (social-media-victims.eu), va fi inaugurată în primul trimestru din 2017 și însoţită de noi elemente interactive și descărcabile, pentru a atrage un public cât mai larg. Între timp, expoziţia este disponibilă în 6 limbi, fiindcă Lions Club Ruse «Sexsaginta Prista» a terminat traducerea panourilor în limba bulgară. Mulţumim, pe această cale doamnei Milena Slavova pentru implicarea personală extraordinară. Așadar, tot în primul trimestru din 2017, și vorbitorii de limba bulgară vor putea beneficia de expoziţie, întâi în varianta online, apoi în varianta itinerantă cu ajutorul autorităţilor locale și naţionale.
Cu Datanet Systems puneţi în valoare avantajele soluţiilor Fortinet UTM În fața creșterii volumului și complexității amenințărilor informatice, companiile mici și mijlocii se confruntă cu o lipsă acută de resurse. Soluțiile UTM de la Fortinet furnizate și implementate de Datanet Systems elimină această limitare, asigurând un nivel ridicat de securitate și un raport performanță/preț avantajos. Deficitul de competenţe în securitatea IT este principala cauză a apariţiei breșelor în rândul companiilor mici și mijlocii(1), anul trecut 74% din IMM-uri raportând astfel de probleme(2). Situaţia este cu atât mai critică cu cât atacurile care vizează IMM-urile sporesc anual cu 30%, în 2015 înregistrându-se un salt de 43%(3). În acest context, tot mai multe companii adoptă soluţii multifuncţionale, care răspund cerinţelor de securitate actuale, dar nu necesită competenţe avansate în zona de administrare și niciun efort financiar ridicat. La acest cumul de condiţii răspunsul optim îl oferă soluţiile de tipul Unified Threat Management (UTM). «Soluţiile UTM sunt o transformare a tradiţionalelor Firewall-uri în produse «all-inclusive», prin adăugarea de capabilităţi Antivirus, Web Filtering, Intrusion Detection etc. Se rezolvă astfel problema achiziţionării și operării mai multor soluţii specializate și a gestionării unei infrastructuri complexe de securitate», explică Sebastian Pusta, Consultant Senior in Securitate Informatică la Datanet Systems.
Atuurile FortiGate Fortinet este pentru al șaptelea an consecutiv lider pe piaţa soluţiilor UTM(4), poziţie consolidată printr-o serie de avantaje competitive specifice. Soluţia FortiGate de la Fortinet asigură un nivel de securitate ridicat prin integrarea funcţionalităţilor de: Firewall; Antivirus; Intrusion Prevention System; Web filtering; E-mail filtering; Data Leak Prevention și Application Control.
„Numeroasele capabilităţi de securitate integrate în FortiGate, la care se adaugă constant altele noi, oferă un avantaj direct de cost, dar și economii prin reducerea efortului de implementare și operare. Soluţiile incluse sunt interoperabile nativ și sunt gestionate printr-o interfaţă centralizată și un sistem unic de operare, care nu necesită competenţe tehnice avansate. Se reduc astfel erorile de configurare și breșele de securitate”, explică Faruk Hairedin, Consultant Profesionist în Securitate Informatică, Datanet Systems. Soluţia antivirus, care protejează atât echipamentele de reţea, cât și device-urile mobile, utilizează librării de semnături (actualizate permanent prin serviciul FortiGuard) și metode euristice și de sandboxing (printr-un echipament hardware dedicat sau prin serviciul FortiCloud Sandboxing). Produsul Fortinet integrează și soluţii de tip management al accesului la reţea. De exemplu, FortiGate poate integra switch-uri Power over Ethernet (Poe) și Wireless Lan Controllere, eliminând astfel nevoia de echipamente dedicate. FortiGate face o analiză continuă a traficului, asigurând protecţia și împotriva atacurilor Denial of Service și oferă un nivel de performanţă ridicat prin utilizarea circuitelor integrate inteligente (ASIC). „Procesarea paralelă a traficului în hardware asigură creșterea performanţei și reducerea latenţei, oferind un nivel superior de securitate la un preţ avantajos”, concluzionează Sebastian Pusta. Datanet Systems are o experienţă extinsă în implementarea soluţiilor de securitate, beneficiind de o echipă de specialiști certificaţi, cu competenţe avansate în domeniu. Datanet asigură proiectarea, livrarea, punerea în funcţiune, configurarea și întreţinerea infrastructurilor de securitate, precum și instruirea de specialitate. Pentru informaţii suplimentare, accesaţi www.datanets.ro. (1) - 2014 Cyber Security Intelligence Index - IBM Security Services (2) - Cyber Security Breaches Survey 2016 - Ipsos MORI (3) - 2016 Internet Security Threat Report - Symantec (4) - Gartner 2016 Magic Quadrant for UTM
33
ds Focus - Cybersecurity Tren
Despre „Cybersecurity in Romania, ediţia a IV-a, 2016”: un white paper
autor: Pascal Tran-Huu, Association des Auditeurs de Franche-Comté, Institut des Hautes Etudes de Défense Nationale.
Al 4-lea Congres macro-regional „Cybersecurity in Romania” s-a desfăşurat la Sibiu între 14 şi 16 septembrie 2016. Ocazie unică de a face bilanţul cu privire la evoluţiile sau la întârzierile în domeniul securităţii informatice în sens larg, Forumul a fost gazda unor personalităţi recunoscute ca experţi în domeniu. Ediţia din 2016 a facilitat clarificarea a 4 aspecte: adoptarea unei abordări proactive pentru gestionarea ameninţărilor geopolitice; securizarea mai puternică a internetului concomitent cu apariţia unor noi obiecte conectate;
1 2
BIO Pascal Tran-Huu este fost militar de carieră și momentan lucrează în domeniul industrial. Ca ofiţer, a făcut parte din diverse unităţi, inclusiv din Forţele Speciale. După 30 de ani la datorie, a ales să lucreze în industrie. El dezvoltă activităţi în cadrul grupului industrial SYT, care produce drone și echipamente pentru vizualizare electronică; în același timp este responsabil pentru relaţii internaţionale și instituţionale în cadrul unui cluster din domeniul energiei, „Vallée de l’énergie”, și promovează peste 100 de companii din domeniu, incluzând ALSTOM, GENERAL ELECTRIC și EdF.
34
3 4
implementarea de programe de informare asupra ameninţărilor critice şi de diseminare a informaţiilor; adoptarea de noi măsuri de siguranţă în domeniul comerţului electronic.
Potrivit lui Marco OBISO, coordonator în cibersecuritate al Uniunii Internaţionale a Telecomunicaţiilor, doar 73 de state au adoptat o strategie naţională în domeniul cibersecurităţii cu scopul de a construi un ciber-spaţiu securizat şi rezistent pentru cetăţenii acestora. Şi totuşi, celelalte ţări membre ale UIT nu au rămas inactive în acest domeniu, întrucât 103 ţări au constituite echipe de intervenţie în caz de incident de securitate informatică (Computer Incident Response Team). În afară de acţiunile preventive şi curative pe care le operează la nivel naţional, CIRT împarte informaţiile proprii cu comunitatea mondială, permiţând astfel fiecărei ţări să îşi îmbunătăţească gradul de protecţie. În domeniul cibercriminalităţii şi protecţiei datelor, toate ţările europene şi-au adaptat legislaţia; cu toate acestea, doar Bulgaria, Finlanda, Germania, Grecia, Letonia şi Polonia au impus măsuri obligatorii de protecţie a ciberspaţiului. În Europa, eforturile din punct de vedere legal, tehnic, organizatoric sau în materie de cooperare naţională (între sectorul privat şi cel public) şi internaţională sunt evidente, însă rămân unele aspecte care necesită îmbunătăţiri, printre care nevoia definirii unui cadru şi instituirii unei proceduri de certificare şi acreditare a specialiştilor în cibersecuritate (doar trei state au făcut-o deja) sau nevoia definirii unui cadru de aplicare a normelor de cibersecuritate. Un alt punct slab indicat de către UIT: formarea specialiştilor care să contribuie la aplicarea legii, întrucât doar 9 state au creat instituţii de formare specifice pentru forţele de ordine proprii.
Delegaţie AR Franche-Comté ale IHEDN la congres
În viziunea d-lui Dr. Dan TOFAN, expert în cadrul Agenţiei Europene însărcinate cu securitatea reţelelor şi a informaţiei, Uniunea Europeană a ţinut cont de noile ameninţări asupra ciberspaţiului, ceea ce a condus la elaborarea, de către Comisia Europeană, a unei directive care răspunde în parte observaţiilor UIT, „directiva privind securitatea reţelelor şi a sistemelor informatice (NIS Directive)”. Această directivă are ca obiectiv aducerea capacităţilor de cibersecuritate la un nivel comun de dezvoltare în toate statele membre ale UE, în scopul garantării schimbului de informaţii şi de cooperare, inclusiv la nivel transfrontalier. Aceasta instituie obligaţia, pentru statele membre: 1. De a se pregăti, solicitând să poată dispune de minimum o echipă de intervenţie în caz de incidente de securitate informatică (CSIRT) şi de o autoritate naţională competentă; 2. De a exista cooperare între toate statele membre, creându-se astfel un grup de cooperare, cu scopul de a susţine şi de a facilita cooperarea strategică şi schimbul de informaţii între statele membre. Acestea vor trebui să instituie o reţea CSIRT pentru promovarea unei cooperări operaţionale rapide şi eficiente în incidente specifice de cibersecuritate şi pentru a împărtăşi informaţii cu privire la riscuri; 3. De a iniţia o cultură a securităţii în toate sectoarele vitale ale economiei şi ale societăţii şi care, în plus, depind mult de TIC, cum ar fi energia, transporturile, apa, băncile, infrastructuri ale pieţei financiare, sectorul sănătăţii şi infrastructura digitală. Întreprinderile din aceste sectoare identificate de către state ca fiind operatori de servicii esenţiale vor fi obligate să ia măsuri adecvate de securitate şi să notifice incidentele grave la autoritatea naţională competentă. 4. În plus, principalii furnizori de servicii digitale (motoare de căutare, servicii de „cloud computing” şi comerţ online) vor fi
obligate să se conformeze exigenţelor de securitate şi de notificare prevăzute de noua directivă. Această directivă va trebui să fie aplicată, adică transpusă în legislaţia ţărilor membre, până în mai 2018. Este de remarcat faptul că aplicarea celui de-al treilea punct va implica instituirea unui program de formare a actorilor din sectoarele definite ca fiind critice. În ceea ce priveşte această formare, intervenţia lui Daniel Ventre, titularul catedrei de cibersecuritate şi de ciberapărare din cadrul şcolilor Saint-Cyr/ Coëtquidan (şcoli de formare a ofiţerilor armatei terestre franceze), poate fi folosită ca discurs introductiv, întrucât oferă un cadru şi un spaţiu atemporal. Pentru acesta, „...din lectura numeroaselor strategii, politici, planuri, programe de cibersecuritate şi ciber-apărare publicate în toată lumea în ultimii ani, pare să se desprindă un consens, o convergenţă a recunoaşterii necesităţii organizării şi asigurării securităţii şi apărării domeniului ciber, adică întâi de toate securitatea şi apărarea ansamblului de sisteme tehnice şi apoi a sistemelor societăţilor traversate de aceste dintâi sisteme. De securitatea sistemelor depinde cea a statuluinaţiune. Consensul se materializează în acceptarea de către toţi a structurii unei naraţiuni simple, alcătuite din câteva noţiuni elementare. Această naraţiune se desfăşoară în jurul a trei protagonişti: „noi”, „ameninţarea” şi „ciberspaţiul”. Acest „noi” este reprezentat de stat, naţiune, societate, totalitatea actorilor care ne împărtăşesc valorile şi interesele. Acest „noi” îşi bazează evoluţia, progresul, economia pe un soclu tehnologic. Ori securitatea nu a fost integrată la baza acestui soclu, astfel că „noi” suntem mereu în căutarea unei securităţi ideale care probabil că nu va exista niciodată din două motive: reaşezarea securităţii în compoziţia soclului tehnologic ar presupune demontarea şi reconstruirea completă,
35
ds Focus - Cybersecurity Tren iar înaintea noastră se află adversari/inamici/oportunişti care au aceleaşi dependenţe tehnologice ca noi, însă nu neapărat aceleaşi valori, interese, obiective şi au învăţat să profite de fragilităţile noastre. Dependenţa noastră a atins un asemenea grad încât planează asupra noastră ameninţarea unui atac ale cărui efecte ar fi distructive (ciberArmageddon). „Noi” este astfel confruntat cu „alţii”, „ameninţarea”: ei pot fi chiar printre noi (insider threat) şi aduc ameninţări vitale modelului nostru. Acestor adversari nu li se cunoaşte numărul şi nu au frontiere. Ameninţarea mobilizează toate categoriile de infracţiuni şi de conflict (crimă organizată, delincvenţă, găşti, mafii, terorism, gherile, servicii de informaţii, insurecţii...). Evidenţierea atacurilor conduse de aliaţi şi parteneri nu contribuie la reducerea sentimentului de ameninţare globală. În anumite state, însuşi cetăţeanul este o ameninţare (ciberactivism). Aceşti adversari sunt adesea invizibili, acţionează impredictibil, sunt asimetrici. Conceptul de „noi” ameninţat trebuie deci în mod legitim să se protejeze, să se apere, să înveţe să riposteze, să atace. Acesta învaţă să-şi arate forţa, visează să găsească metode de disuasiune. Visează să domine ciberspaţiul pentru a menţine şi aici ordinea atunci când o controlează sau pentru a retrasa în acesta graniţele naţionale de suveranitate atunci când nu se mai află pe linia trasată de conducător. Anumite evenimente, incidente, mai mediatizate decât altele, ca nişte ciupituri de aducere aminte, vin să menţină conştiinţele treze şi să confere echitate structurii naraţiunii.” („Les évolutions de la cybersécurité: contraintes, facteurs, variables…”) Potrivit lui Marian Matei, Director adjunct al Direcţiei de Combatere a Criminalităţii Organizate din cadrul Poliţiei Române, această evoluţie perpetuă a cibersecurităţii duce la apariţia unei abordări mai globale a acesteia deoarece există multe obstacole în calea unei mai bune cibersecurităţi, iar majoritatea obstacolelor nu sunt de ordin tehnic. Chiar dacă am avea o mai bună tehnologie decât cea de care dispunem astăzi, ar exista în continuare riscul ca adversarul, „ameninţarea” evocată de Daniel Ventre, să fie cu un pas înaintea noastră. Unele dintre cele mai mari obstacole cărora le facem faţă provin din analizele depăşite ale cibersecurităţii şi din politicile generate de aceste analize; în consecinţă, potrivit opiniei lui Matei, este timpul ca abordarea cibersecurităţii să se schimbe. Primele studii cu privire la acest subiect au lăsat să se înţeleagă că ameninţarea cibernetică ar proveni din atacuri teroriste îndreptate împotriva infrastructurilor critice. Neavând încă competenţele necesare, cele mai multe state au încredinţat responsabilitatea securităţii sectorului privat, deoarece acesta deţinea majoritatea infrastructurilor esenţiale. Se credea în mod optimist că problemele internetului vor fi rezolvate de către o comunitate mondială autonomă în care guvernul trebuia să joace doar un rol minimal. Aceste idei sunt încă larg răspândite în zilele noastre, însă s-au dovedit a fi eronate. Adevăratele mize ale cibersecurităţii sunt spionajul şi criminalitatea etatizate şi creşterea capacităţilor militare
36
ofensive, probleme care sunt mai bine tratate de către guverne. În viitor, ca efect al mondializării, vom fi şi mai interconectaţi decât suntem în prezent. Interacţiunea între marile puteri, statele mai puţin dezvoltate economic şi actorii din afara statului va determina noi modalităţi de exercitare a influenţei. În corelare cu dispoziţiile privitoare la strategia de apărare naţională, trebuie luate măsuri progresive pentru întărirea credibilităţii strategice, graţie dezvoltării şi modernizării continue a capacităţilor cibernetice şi pentru a asigura o protecţie colectivă eficientă a ciberspaţiului naţional, european şi euro-atlantic. În acelaşi timp, avem nevoie de un cadru juridic care să permită şi să susţină abordarea globală şi multinaţională în întreg domeniul ciber. Cheia succesului se află în mâinile celor care înţeleg şi îşi concentrează eforturile asupra mecanismelor de prevenţie în trei sub-domenii ale securităţii: apărarea, ordinea publică şi securitatea internă. În acest cadru, Marian Matei arată că elaborarea unui proces de planificare riguros, continu şi pluri-anual este imperativă. Pentru a fi eficient, acest proces trebuie să reunească resursele disponibile pentru susţinerea obiectivelor naţionale, europene şi euro-atlantice în domeniul cibersecurităţii iar directiva NIS, trebuie subliniat, reprezintă o evoluţie majoră. Această abordare globală trebuie să se poată sprijini pe parteneriate public-private (PPP), esenţiale pentru securitatea şi rezistenţa infrastructurilor informatice critice (CII), deoarece o mare parte dintre ele sunt operate de către sectorul privat. Deşi parteneriatele public-private au fost adesea încheiate ca mijloc adecvat de tratare a ameninţărilor tradiţionale şi non-tradiţionale la adresa securităţii, în contextul cibersecurităţii naţionale, acest aranjament ridică probleme speciale. Există o ambiguitate persistentă în ceea ce priveşte parametrii unui astfel de parteneriat. Reticenţa politicienilor în a revendica autoritatea statului pentru a introduce măsuri mai severe de cibersecuritate prin lege, la care se adaugă aversiunea sectorului privat de a accepta responsabilitatea securităţii naţionale, fac ca din „parteneriat” să lipsească trasarea de responsabilităţi clare. Pentru Alexandru Cătălin COSOI, director de strategii al BITDEFENDER, într-o lume în care cibercriminalitatea se produce în câteva minute, cooperarea în domeniul securităţii şi legislaţia trebuie să se schimbe pentru a răspunde în acelaşi interval de timp, iar, în această privinţă, PPP-urile sunt esenţiale pentru atingerea acestui grad de reactivitate. Numeroase state au elaborat recent strategii naţionale de cibersecuritate care pun accentul pe un gen de parteneriat public-privat (Austria, Australia, Canada, Cehia, Estonia, Finlanda, Franţa, Ungaria, India, Japonia, Lituania, Olanda, Noua Zeelandă, Slovacia, Africa de Sud, Marea Britanie şi Statele Unite). Este important de reţinut că parteneriatul public-privat în materie de cibersecuritate naţională îmbracă mai multe forme. Guvernele au relaţii diverse cu furnizorii de servicii de internet, cu multinaţionalele informatice (Google, Facebook etc.), cu compa-
niile private de cibersecuritate, cu apărătorii drepturilor omului şi ai drepturilor civile, cu forţele de ordine şi cu societatea civilă. Şi totuşi, atât în documentele oficiale cât şi în discursul privind cibersecuritatea în general, parteneriatul public-privat este adesea caracterizat ca fiind o entitate unică, nesocotind această complexitate. În ciuda acestei complexităţi şi acestei diversităţi, reiese clar faptul că accentul pus pe strategii vizează relaţia dintre guvern şi proprietarii/utilizatorii de infrastructuri esenţiale aşa cum o arată, de exemplu, legea privind încrederea în economia digitală franceză, în timp ce multe alte aspecte ale cibersecurităţii sunt considerate ca fiind legate de interesul naţional, protecţia infrastructurilor esenţiale iar parteneriatele public-private joacă un rol important. Evident, parteneriatul public-privat nu este propriu cibersecurităţii. Acesta a fost folosit foarte des de către state ca mecanism în soluţionarea altor probleme, inclusiv celor legate de securitate. Practica s-a intensificat începând cu anii 1990, când privatizarea infrastructurilor critice a fost considerată ca fiind benefică din punct de vedere economic pentru stat. Deşi au fost prezentate ca un „nou” tip de gestionare, conceput cu scopul de a prelua cele mai bune elemente din cele două sectoare, parteneriate public-private au fost încheiate şi în trecut. Cu ocazia semnării convenţiei din 28 iunie 1882, publicată în martie 1883, prin care Anglia şi Franţa îşi garantau reciproc drepturi egale pentru comercianţii din posesiunile din Africa, cancelarul Bismarck a solicitat oraşelor din Liga Hanseatică să redacteze un raport prin care să propună măsuri pentru favorizarea extinderii comerţului german pe coasta de vest a Africii, ceea ce a condus la crearea statului Camerun în 1884, în beneficiul caselor Woermann şi Jantzen şi Thormahlen... Există mai multe motive pentru care cibersecuritatea, în special în contextul protecţiei infrastructurilor esenţiale, a fost concepută ca un proiect de colaborare între sectorul public şi cel privat. Statul este responsabil cu securitatea, în particular cu securitatea naţională. Protecţia infrastructurilor esenţiale – sistemele necesare conservării securităţii naţionale (în accepţiunea cea mai largă) – este percepută ca parte integrantă a securităţii statului. Consecinţele potenţiale ale unui ciber-atac la scară largă asupra infrastructurilor esenţiale sunt atât de complexe încât este normal ca guvernul să îşi asume o anumită autoritate şi o anumită responsabilitate. Totuşi, dat fiind faptul că majoritatea infrastructurilor esenţiale sunt deţinute şi exploatate de interese private, trebuie să existe un tip de relaţie între sectorul public şi cel privat în ceea ce priveşte securitatea. Au fost încheiate o gamă largă de acorduri şi contracte denumite parteneriate public-private. Acestea pornesc de la prestări solidare de servicii a căror executare este oarecum supravegheată prin reglementări guvernamentale (sectorul sănătăţii), până la subcontractarea unor mari proiecte de infrastructură (contruirea de poduri, găzduirea Jocurilor Olimpice etc.). Se pot identifica PPP-uri de două mari categorii: 1. aranjamente orizontale non-ierarhice caracterizate prin luări de decizii conform principiului consensualităţii; 2. relaţii organizate ierarhic în care unul dintre contractori exercită şi rol de control.
În materie de cibersecuritate, strategiile naţionale se feresc să vorbească de ierarhie atunci când se referă la parteneriatul publicprivat, deoarece acest tip de contract este caracterizat prin concepte precum cooperarea, un scop împărtăşit de ambele părţi şi interese comune. Guvernul împărtăşeşte, astfel, informaţii şi resurse cu scopul de a elabora, alături de sectorul privat, un răspuns la o provocare comună. Furnizarea de informaţii cu privire la ameninţările cibernetice constituie una din principalele aşteptări ale parteneriatului, atât din partea sectorului public cât şi a sectorului privat, însă există anumite obstacole în schimbul de informaţii în ambele cazuri. Sectorul privat consideră că nu este întotdeauna uşor de făcut distincţia pe loc între o problemă tehnică oarecare, un atac slab şi un atac la scară largă. În plus, uneori semnalarea vulnerabilităţilor contravine intereselor lor comerciale, deoarece modelul lor de afaceri se bazează pe obţinerea, posedarea şi vânzarea de informaţii şi nu pe partajarea lor cu altcineva. De asemenea, sectorul public are limitele sale în ceea ce priveşte partajarea informaţiei cu alţii. Informaţiile contextuale calsificate nu pot fi partajate cu persoane care nu au o autorizaţie de securitate adecvată. Adesea, nici chiar cei care lucrează în sectorul privat şi deţin o autorizaţie de securitate nu pot să facă nimic cu informaţiile clasificate, pentru că luarea de măsuri ar presupune implicit expunerea lor... Această problemă de partajare a informaţiei a fost considerată în mod constant ca fiind un obstacol major în cibersecuritate şi a fost pusă în discuţie de un înalt funcţionar, numind-o, cu ocazia Congresului de cibersecuritate din 2011, ca fiind una din cele două domenii principale care trebuie îmbunătăţite. Partajarea de informaţii, inclusiv a celor sensibile, este mai eficientă atunci când există relaţii personale între cele două părţi. Oamenii sunt mult mai dispuşi să partajeze informaţii cu colegii cu care au o puternică legătură personală şi/sau profesională. Acest factor uman este important şi ar trebui să facă obiectul unei cercetări mai aprofundate, pentru a găsi mijloacele de stabilire şi de întărire a acestor relaţii în domeniile securităţii reţelelor şi funcţiei publice, care sunt caracterizate printr-o frecvenţă relativ ridicată cu care se schimbă personalul, iar multiplicarea obiectelor conectate antrenează apariţia unor noi ameninţări. Aşa cum a subliniat şi Michal JARSKY, directorul regional de vânzări al TRENDS MICRO, orice obiect conectat la internet poate fi piratat. Care sunt reacţiile corecte în această situaţie? Niciuna, dacă nu punem în practică ceea ce Matei a numit abordarea globală a cibersecurităţii. În opinia lui Jarsky, orice reacţie care implică adoptarea unui plan de acţiune simplu de enunţat însă, uneori, dificil de aplicat. Acest plan se desfăşoară în 6 etape, şi anume: evaluarea ameninţărilor, formarea/educarea utilizatorilor, identificarea „lacunelor” tehnologice, elaborarea indicatorilor de eficienţă (Key Performance Indicators), o îmbunătăţire continuă şi un proces de sinteză.
37
ds Focus - Cybersecurity Tren Doris ALTENKAMP, cercetătoare şi consultant în ciber-apărare, defineşte internetul obiectelor conectate ca „un fel de reţea globală universală de neuroni” care înglobează toate aspectele vieţii noastre. Pericolul vine nu doar din partea obiectului însuşi, ci şi din partea legăturilor, „conversaţiilor” pe care le poate avea cu alte obiecte. Păstrând în minte această constatare, Altenkamp propune o metodă de judecată împrumutată din domeniul militar, ciclul OODA (Observa, Orient, Decide, Act), care permite gestionarea cunoscutului, a necunoscutului şi a necunoscuţilor „necunoscuţi” cu scopul de a naviga pe deasupra incertitudinii... Ciclul OODA începe în funcţie de comportamentul aşteptat şi de la gradul de cunoaştere a situaţiei ecosistemului obiectului conectat (de exemplu, un frigider). Observarea constă în adunarea de informaţii provenind de la ecosistemul obiectului conectat şi examinarea lor. Orientarea reprezintă obţinerea unei analize comportamentale şi complexe a sistemului şi stabilirea evaluării (risc, impact etc.). Decizia constă în traducerea „noii cunoştiinţe” în „know how” şi hotărârea acţiunilor semnificative care trebuie întreprinse. Acţionarea înseamnă punerea în aplicare a unor măsuri care interacţionează cu părţile semnificative din cadrul ecosistemului. Apoi ciclul se reia... Pentru a diminua riscurile legate de obiectele conectate (IoT), Altenkamp consideră că trebuie acţionat în domeniile următoare: Securitatea obiectelor conectate şi conectivitatea lor end-to-end; Dezvoltarea de softuri specifice; Crearea de date/confidenţialitatea datelor/protecţia datelor; Sistemul de supraveghere complex al obiectelor conectate; Guvernanţă/juridic/reglementare/gestionarea riscurilor; Certificarea obiectelor conectate; Formarea utilizatorilor. Abundenţa obiectelor conectate generează noi moduri de consum, de cumpărare, de vânzare. În acest context, securizarea comerţului electronic devine mai importantă ca niciodată iar criptarea datelor şi a legăturilor reprezintă esenţa problemei. Există, bineînţeles, dispozitive simple care pot fi aplicate, cum ar fi cel prezentat de Alain SEID, preşedintele Camerei de Comerţ
O publicație
şi Industrie din Belfort (Franţa). Este vorba de un dispozitiv care se bazează mai degrabă pe intervenţia conceptului de „noi” care constată „ameninţarea” în „ciberspaţiu” decât pe o intervenţie automată. Însă acest dispozitiv nu funcţionează decât în partea din lumea fizică legată la lumea virtuală. În lumea pur virtuală, soluţiile constau cel mai adesea în instalarea unei protecţii bazate pe protocoale relativ învechite şi, deci, vulnerabile, aşa cum o demonstrează Ştefan Hărşan FÁRR, consultant. Totuşi, potrivit acestuia, majoritatea punctelor slabe actuale provin din lipsa de rigoare a utilizatorilor, confirmând astfel necesitatea unuia din obiectivele directivei NIS care vizează dezvoltarea unei culturi de „cibersecuritate” în fiecare actor. În domeniul criptării datelor, este păcat că niciun participant nu a evocat progresele care s-au făcut, cu precădere implementarea de noi moduri care folosesc tehnologii cu perspective favorabile precum criptarea cuantică (şi componentele sale criptografice) care va impune o standardizare a protocoalelor de criptare pentru distribuirea unei chei între două sisteme. Criptarea cuantică se bazează pe o metodă de criptare care nu poate fi spartă şi care utilizează fotoni transferaţi prin intermediul unui cablu de fibră optică total independent de reţeaua de internet. Acesta nu poate fi piratat întrucât orice tentativă care ar viza spionarea (interceptarea, copierea, ascultarea electronică etc.) unei asemenea transmisiuni modifică starea cuantică şi este detectabilă imediat. Totuşi, acoperirea semnalului nu depăşeşte în prezent 300 de kilometri. Lansarea primului satelit cuantic de către chinezi, în august 2016, deschide perspective încurajatoare deoarece vestesc încercări de transmisiuni la 2500 de kilometri. Conştientă de această miză, Comisia Europeană va lansa, în 2018, un program de cercetare dedicat tehnologiilor cuantice. Următoarele comunicări ale Congresului macro-regional „Cybersecurity in Romania” în 2017 vor avea cu siguranţă material ştiinţific nou de discutat...
şi get to know!
Notă copyright: Copyright © 2016 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285
ISSN 2393 – 4778 ISSN-L 2393 – 4778 http://www.agora.ro http://cybersecuritytrends.ro
Editorii ţin să mulţumească în primul rând domnișoarei Lucia Sevestrean, domnișoarei Andreea Mihet și domnului Eduard Bisceanu pentru ajutorul dat la traduceri, corecturi și adaptarea terminologică a articolelor în limba franceză și italiană.
38
Trends
L
a 1 noiembrie 2001 lua fiinţă compania BISS (Best Internet Security), cu misiunea de a oferi soluţii eficiente privind reducerea și managementul riscului, obţinerea conformităţii și maximizarea eficienţei operaţionale. Mizând pe profesionalism, seriozitate, etică, confidenţialitate, încredere și inovaţie, compania a pornit la drum încercând să crească conștientizarea în privinţa IDS (Intrusion Detection Systems) și oferind servicii (evaluări de securitate, pentests și analize de securitate). Cu ocazia împlinirii a 15 ani de activitate, BISS a organizat un eveniment, în 2 noiembrie 2016, la Stejarii Country Club, eveniment la care au participat principalii parteneri de afaceri și principalii clienţi. Cu această ocazie, Bogdan Toporan, Managing Director, BISS, a prezentat principalele evenimente din istoria companiei și evoluţia provocărilor, ameninţărilor și soluţiilor de securitate din ultimii 15 ani. Ca jaloane importante, merită menţionate parteneriatele încheiate cu Internet Security Systems (14 noiembrie 2001) și Q1 Labs (2010), companii cumpărate ulterior de IBM (în 2006 și respectiv 2012), parteneriatul cu IBM Security (organizaţie înfiinţată în 2012) și parteneriatele încheiate cu Fortinet (2007), Landesk și Intel Security – companii care au susţinut de asemenea prezentări. BISS a evoluat în toţi acești ani de la statutul de pionier în educarea pieţei și în oferirea de soluţii de securitate, la statutul de integrator de soluţii de securitate, care mizează pe conceptul de „securitate preemptivă”, fără a face rabat de la setul de valori care au stat la fundamentul organizaţiei încă de la înfiinţare.
La mulți ani, BISS!
39
ds Biblio - Cybersecurity Tren
Informaţi-vă
Eric Diehl, Ten Laws for Security, Springer, Cham 2016
în limba română!
Pe portalul SRI găsiţi informaţii de actualitate, dar mai ales câteva unelte foarte utile pentru cybersecurity: Biblioteca virtuală, unde sunt arhivate multe articole de top, ca de pildă: OSINT - la graniţa dintre secret şi public (http:// www.sri.ro/fisiere/studii/OSINT_SECRET_ SI_PUBLIC.pdf ) Varianta de download-at dar și aplicaţia mobilă pentru citirea revistei «Intelligence» Studii Rapoarte de activitate
www.sri.ro
SRI: Serviciul Român de Informații
Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat! Ghid: Cum să te ferești de viruși, viermi și troieni 14-11-2013 Ghid: Ameninţări generice la adresa securităţii cibernetice 14-11-2013 Ghid: Securitatea in reţelele sociale şi controlul parental in mediul online 14-11-2013 Ghid: Ameninţări cibernetice la adresa utilizatorilor din Romania 14-11-2013 Ghid: Securitatea serviciilor Internet Banking și Online Shopping 14-112013 Ghid: Securitatea utilizatorului final 14-11-2013 Ghid: Rolul structurilor de tip CERT și utilitatea CERT-urilor private 14-11-2013 Ghid: Securitatea terminalelor mobile 14-11-2013 Ghid: Securitatea in Cloud 14-11-2013
40
www.cert-ro.eu
CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică
Eric Diehl, unul dintre cei mai renumiţi criptografi francezi, stabilit în prezent în SUA, ne furnizează o adevărată capodoperă interdisciplinară și de bun simţ. Pentru cei obișnuiţi cu stilul său direct și fluid care se poate regăsi în fiecare articol pe care îl partajează pe blogul său (https://eric-diehl.com), este o bucurie să aibă ocazia de a citi un volum întreg scris în același spirit. Destinat să devină un material de referinţă, atât în mediul academic, cât și în cadrul unor organisme specializate în acest domeniu, volumul conţine argumente pragmatice și foarte sugestive pentru fiecare principiu/lege enunţat/ă de autor, exemplificate mai jos, punând la dispoziţia cititorului și logica necesară aplicării acestui tip de gândire în speţe cu care s-ar putea confrunta în viaţa reală: Law 1: Attackers Will Always Find Their Way – atacatorii își vor găsi întotdeauna calea Law 2: Know the Assets to Protect – cunoaște bunurile de protejat Law 3: No Security Through Obscurity – nu există securitate însoţită de obscuritate Law 4: Trust No One – să nu ai încredere în nimeni Law 5: Si Vis Pacem, Para Bellum – dacă vrei pace, pregătește-te de război Law 6: Security Is no Stronger Than Its Weakest Link – securitatea nu este mai puternică decât cea mai slabă verigă a sa Law 7: You are the Weakest Link – tu reprezinţi cea mai mare vulnerabilitate Law 8: If You Watch the Internet, the Internet Is Watching You – dacă supraveghezi Internetul, și Internetul te supraveghează pe tine Law 9: Quis Custodiet Ipsos Custodes? - cine-i supraveghează pe cei care supraveghează ? Law 10: Security Is Not a Product, Security Is a Process – securitatea nu este un produs, este un proces Din acest volum, unde fiecare „lege” ar merita o recenzie aparte, este necesar sa reţinem 3 elemente fundamentale: securitatea unui sistem se judecă prin veriga sa ceea mai slabă, adică omul, și nu cea mai performantă (ex: tehnologie de securitate de ultimă generaţie). Oricât sunt de profesioniști „supraveghetorii” sistemului (Custodes), și ei trebuie verificaţi și controlaţi constant de către cineva, fie pentru potenţiale abuzuri, fie pentru pierderea de performanţă pe măsura trecerii timpului și intrării în activităţi de rutină. Diehl a păstrat pentru final argumentul cel mai percutant, care pare o banalitate, dar reflectă un principiu extrem de rar aplicat: securitatea nu reprezintă un produs, ci este un proces complex, care presupune existenţa unor oameni educaţi, a căror educaţie evoluează și se adaptează permanent în funcţie de evoluţia ameninţărilor reale și a unor platforme tehnologice cu același grad de flexibilitate și adaptare permanentă. Babak Akhgar, Ben Brewster (Eds.), Combatting Cybercrime and Cyberterrorism. Challenges, Trends and Priorities, Springer, Cham 2016 Acest volum se distinge de alte lecturi similare prin structura sa, fiind în mod special util cititorilor din spaţiul european, deoarece este redactat în exlusivitate de actori din acest spaţiu. Volumul nu este orientat atât pe soluţii, cât pe concluziile și lecţiile învăţate din analiza liberă a evoluţiilor înregistrate de fenomenul criminalităţii informatice și de lupta împotriva acestuia până în prezent.
Centrul pentru Securitatea Cibernetică CERT-GOV-MD
(http://cert.gov.md)
Statistica incidentelor pentru poșta electronică (actualizare zilnică) Texte extrem de clare și pertinente despre: • Practici bune de securitate • Politica de securitate • Copii de rezervă • Identitatea online • Reţele de socializare • Reţele wireless • Escrocheria online • Telefonul mobil Structural, prima parte a lucrării vizează o analiză a cercetării realizate asupra acestui domeniu - „Approaching Cybercrime and Cyberterrorism Research” – și nu se concentrează numai pe enumerarea metodelor analitice utilizate de organismele implicate în cunoașterea și combaterea criminalităţii informatice, ci și pe o analiză critică a acestora, în contextul exploziei exponenţiale a volumului obiectelor conectate la Internet. Partea a doua, dedicată contextului juridic, eticii și protecţiei vieţii private, nu prezintă mari noutăţi, prin comparaţie cu cea de-a treia parte care se concentrează pe analiza profundă a celor două motive care generează înţelegerea greșită sau parţială a situaţiei reale în domeniul de referinţă: - lipsa de repere și referinţe privind costurile reale ale criminalităţii din vina reticenţei anumitor sectoare economice de a face publice date concrete în timp real (ex: sectorul financiar-bancar) - dificultăţile critice privind partajarea de informaţii relevante și realizarea de activităţi concrete între diferite state Studiind două exemple opuse, UK si Polonia, primul stat fiind mai deschis la partajarea de informaţii si al doilea evaluând permanent oportunitatea partajării versus riscul de afectare a suveranităţii statale, volumul subliniază măsura în care nivelul diferit al culturii de securitate împiedică, în lipsa unui leadership real, un schimb rapid și eficient de informaţii utile. Ultima parte, din păcate, este un „patchwork” de articole foarte puţin relevante prin conţinutul lor practic, element evidenţiat și de titlu „Policy Development and Roadmaps for Cybercrime and Cyberterrorism Research”: din nou, se scrie, în stilul european, despre temele (aproape toate) discutate și nerezolvate deja din momentul semnării convenţiei de la Budapesta. Din nou vorbim de PPP, din nou vorbim de roadmaps, din nou se examinează metode de a lucra împreună în mod coerent. Foarte frumos pe hârtie, dar până când nu vom vedea cum fiecare ţară va aplica Directiva NIS în mod concret, toate rămân numai concepte, până nu
• • • • • • • •
Parole puternice Shopping on-line Furtul de date Soluţii de securitate Actualizarea automată Actualizarea produselor soft Accesul de la distanţă Securitatea echipamentelor
vor fi aplicate în viaţa reală prin implicarea experţilor care se confruntă în mod real cu problematica, nu numai cercetători independenţi și mediul academic. Stefan Beissel, Cybersecurity Investments Decision Support Under Economic Aspects, Springer, Cham 2016 Acest manual ar trebui să reprezinte o lectură obligatorie pentru managerii marilor companii care încă nu investesc coerent în securitate. Este o lucrare simplu de citit, structurată ca un curs, explicând capitol cu capitol evoluţia securităţii cibernetice, de la apariţia conceptului, evoluţia permanentă a ameninţărilor, atuurile economice ale considerării securităţii ca fiind o investiţie nu un risc și, mai ales, o trecere în revistă a tuturor componentelor securităţii – factorul uman și tehnologic. Autorul insistă în mod particular asupra faptului că trăim într-o lume afectată din ce în ce mai mult de fenomenul globalizării iar diferenţele competitive au început să devină evidente între companiile private care au înţeles și integrat securitatea în business și cele care privesc securitatea doar ca pe o necesitate minoră și nu-i alocă resursele și interesul managerial adecvat. Dacă trecem peste stilul un pic (prea) academic, citim o adevarată pledoarie pentru a conștientiza factorul decizional nu despre ceva abstract, ci despre elemente concrete care îi vor asigura și securitatea afacerii, dar și avantaje competitive, dacă le înţelege și le aplică. Jeremy Wittkop, Building a Comprehensive IT Security Program Practical Guidelines and Best Practices, Apress & Springer, New York 2016 Contrar volumului precedent, Wittkop se adresează, cu multe anecdote si un stil foarte atrăgător, nu către un comitet director, ci direct către fiecare manager. Ce este un program de securitate și ce trebuie făcut ca să fie funcţional. Fără a se remarca prin originalitate, permite oricărui businessman să citească și să înţeleagă care este miza, și mai
41
ds Biblio - Cybersecurity Tren
Informaţi-vă în limba română! Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.
www.arasec.ro
ARASEC
ales că abordarea singulară a factorului tehnologic este destinată eșecului, în condiţiile în care veriga cea mai vulnerabilă, factorul uman – de la CEO la personalul administrativ al companiei – nu sunt vizaţi de activităţi educaţionale în domeniul securităţii. Cu exemple colaterale ca și Uraganul Kathryn pentru a explica impactul unui risc neprevăzut în evoluţia amplorii dezastrului, sau „dacă Al Capone ar fi avut un laptop”, autorul aduce elemente ușor de înţeles pentru a capta atenţia cititorului și într-un fel a de-dramatiza anumite părţi care pot părea prea complicate sau fără soluţii evidente. Neil C. Rowe, Julian Rrushi, Introduction to Cyberdeception, Springer, Cham 2016 Acest volum este cu adevărat unic deoarece reușește, cu un stil foarte clar si agreabil de citit, să facă a analiză de 360° a conceptului cunoscut sub denumirea de „deception” – inducerea în eroare/ distragere/păcălire etc., de la conceptul psihologic la utilizările sale în scopuri civile sau militare, defensive sau ofensive, și modalităţi concrete de inducere în eroare, crearea și utilizarea de falsuri, camuflaje defensive sau false scuze și bineînţeles, utilizarea acestor tehnici pentru protecţia împotriva ingineriei sociale care a devenit un fenomen pe scară largă. Cu etica potrivită, căreia i se alocă un capitol întreg, se pot construi instrumente tehnologice noi destinate apărării, mult mai ieftine decât tehnologiile clasice destinate aceluiași scop, a căror utilizare integrată implică înţelegerea unor nișe tehnologice de avangardă. De asemenea, sunt trecute în revistă elemente concrete care evidenţiază cât de departe în istorie își au rădăcinile arta deziluziei, intoxicarea, propaganda, contra-propaganda – în general utilizarea cu succes a minciunii împotriva criminalităţii. Autorul propune o serie de tehnici pentru a măsura reușita unor acţiuni concrete, în vederea introducerii acestora în politicile de securitate strategice ale diferitelor tipuri de organizaţii... de ce nu, pentru adăugarea în viitor la organigrama acestora a unui Chief Deception Officer, sau integrarea mai bună a descrierii funcţionale a poziţiilor de CSO, CIO, CISO cu astfel de abilităţi. Markus Jakobsson (Ed.), Understanding Social Engineering Based Scams, Springer, New York 2016 135 de pagini pline de exemple pentru a înţelege mai bine mecanismele din ce în ce mai avansate care au generat evoluţia de la campaniile masive de spam la cele de scam foarte bine adresate anumitor categorii de victime, prin intermediul tehnicilor complexe de inginerie socială. Preambulul este deja o mare surpriză, arătând cum, în ultimii ani, campanii masive (cu 1 milion și mai mult de destinatari) nu mai aduceau decât, proporţional vorbind, foarte puţine victime (8) și cifre de afaceri slabe pentru criminali (cca. 16.000 USD per
42
campanie). Așadar, s-a ajuns la atacuri care au la bază o bună cunoaștere a unui ecosistem de afaceri: cu numai o mie de destinatari, aceste tipuri de atacuri își ating ţintele cu un grad foarte mare de eficienţă (peste 70% reprezintă rata medie de acceptare a mesajelor care au trecut de filtrele tehnologice) și aduce atacatorului un ROI de de mai mult de 160.000 USD. Autorul demonstrează cum grupările de criminalitate informatică dezvoltă atacuri complexe și adaptate nivelului de sofisticare și valorii ţintelor, precum și profitului infracţional ce urmează a fi generat. În această carte ca și în aproape toate celelalte din această bibliografie comentată, sunt recomandate, pe lângă implementarea de tehnologii eficiente, adoptarea de măsuri rapide și pragmatice pentru creșterea gradului de educaţie a angajaţilor de care va depinde dramatic nivelul de securitate general al oricărei organizaţii – nivelul de pregătire al acestora fiind filtrul final împotriva unor scheme infracţionale complexe bazate pe falsificarea elementelor de originalitate ale unui mesaj electronic utilizat ca vector de atac. Luis Ayala, Cybersecurity Lexicon, Apress & Springer, New York 2016 Byzantine fault, Easter eggs, Cain & Abel, Jump kit, Piggybacking attack sau Vampire tap – poate nici nu știaţi de existenţa acestor expresii, unele ciudate, altele chiar amuzante. Nu numai că acestea există, dar au și o semnificaţie precisă în limbajul specialiștilor, iar dacă această semnificaţie este aprofundată, înţelesul lor nu mai are nimic amuzant. Acest dicţionar extrem de util, de 200 de pagini, arată cât de mult a evoluat profesia de specialist în domeniul securităţii cibernetice. Valoarea adăugată a acestui lexicon este dată de includerea unor asocieri între conceptele specifice infrastructurilor critice și noile expresii utilizate în domeniul (in)securităţii cibernetice care au intrat în vocabularul cotidian. Volumul reprezintă un „must” foarte bine redactat, cu capitole ordonate alfabetic, care din păcate sunt și o dovadă vie privind evoluţia barierelor de comunicare între specialiști și nespecialiști. Steve Grobman, Allison Cerra, The Second Economy. The Race for Trust, Treasure and Time in the Cybersecurity War, Apress & Springer, New York 2016 „According to the Center for Strategic and International Studies, a Washington think tank, the estimated global costs of cybercrime and economic espionage are nearly $450 billion, placing cybercrime in similar company with drug trafficking in terms of economic harm. Put another way, if cybercrime were a country, its GDP (gross domestic product) would rank in the top 30 of nations, exceeding the econo-
mies of Singapore, Hong Kong, and Austria, to name just a few.” Această constatare, care pare șocantă, are obiectivul de a trage un semnal de alarmă privind amploarea la care a ajuns fenomenul criminalităţii informatice la nivel global, autorii făcând o trecere în revistă, cu profunzime, a evoluţiei fenomenului infracţional și activităţilor de spionaj din istorie până în prezent. Volumul este destinat unui public larg, mai ales managerilor, pentru a îi face să înţeleagă complexitatea ecosistemului pe care îl gestionează, oferindu-le și instrumentele de abordare a celor trei elemente relevante: încredere, finanţe și timp. Cu cât mai facil și rapid se derulează un atac informatic, cu atât este mai dificil de contracarat, context în care pregătirea pentru astfel de evenimente, atât din punct de vedere tehnologic cât și educaţional, permite o serie de acţiuni și măsuri concrete destinate prevenirii și detecţiei timpurii a atacurilor de acest tip. Cinismul realist și calculat al autorilor reprezintă un manifest privind necesitatea abordării cu onestitate a acestor aspecte. Subliniem câteva fraze relevante, care demonstrează faptul că pragmatismul și măsurile de protecţie proactive ale unei firme, nu ar trebui sa fie adoptate numai atunci când sunt prevăzute de lege, iar morala nu salvează pe nimeni de la statutul de potenţială victimă. Prima axiomă, rezumând excelent un citat din juristul indian B. R. Ambedkar: „History shows that where ethics and economics come in conflict, victory is always with economics”. Cu ironie, autorii subliniază că întotdeauna, pentru mediul privat, a „închide ochii” asupra anumitor aspecte etice este oricum reţeta succesului pe plan mondial, așa că a dori sa fim „etici” când vine vorba de apărare în faţa unui atac criminal este mai mult propagandă decât realitate. Un alt element care rezultă din studiul unor cazuri reale, indică faptul că, în afară de cazurile extrem de temeinic investigate, a indica un stat ca fiind în spatele unui atac cibernetic împotriva unei entităţi private este absurd și reprezintă o tehnică de comunicare care va duce la pierderea unor resurse importante de timp și generează intoxicare pentru public. Morfologia atacurilor și modus operandi evidenţiate în perioada ultimilor ani arată că atribuirea unui atac este o acţiune extrem de dificilă, de cele mai multe ori imposibil de realizat cu resursele existente, inclusiv atunci când se poate face legătura clară cu un grup infracţional cunoscut că ar avea legături cu un anumit stat, însă acţionează în primul rând pentru susţinerea propriilor interese financiare. De asemenea, în cadrul volumului este citată și o reflecţie a poetului și filosofului englez Gilbert K. Chesterton, adresată elitelor politice și manageriale: „It isn’t that they can’t see the solution. It is that they can’t see the problem.” Și argumente-șoc care vin să ne reamintească o realitate scăpată de sub control din motive generate de frenezia inovaţiei, care nu mai este înţeleasă de manageri. Evoluţiile în complexitate ale lumii de astăzi sunt reflectate extrem de relevant în paralela între prima misiune lunară și un smartphone din prezent: ansamblul misiunii NASA care i-a dus pe Neil Armstrong și pe coechipierii săi pe Lună, a constat într-un program software care avea 145.000 de linii de cod. În prezent, un simplu sistem de operare (fără apps etc.) destinat unui telefon mobil, Android, include 12 milioane de linii de cod…
43
ds Biblio - Cybersecurity Tren Javier Parra-Arnau, Félix Gómez Mármol, David RebolloMonedero, Jordi Forné, Shall I post this now ? Optimized, delaybased privacy protection in social networks, in Knowledge and Information Systems (Posted November 2016), 33 p. Acest articol, scris în spirit matematic, este relevant și pentru publicul general, în afară de cel specializat căruia i se adresează. © Parra-Arnau, Gómez Mármol, Rebollo-Monedero, Forné, Fig. 1
Autorii au ales să înceapă cu toate riscurile (pentru securitate, viaţă privată, etc.) folosirii reţelelor sociale în mod imediat și instinctiv, și continuă cu un studiu de caz inspirat din fapte reale, de foarte mare impact. Este vorba despre un cetăţean american, o tânără care abia a absolvit un masterat de drept cu rezultate extraordinare. În mod logic, este imediat căutată de către birouri de avocatură pentru un interviu. Și astfel începe o poveste care din fericire nu a devenit tragică. Numele de familiei al domnișoarei este oriental, de origine arabă. Ceea ce într-o ţară ca SUA nu este a priori o problemă. Mai mult, știind că poate să fie ţinta potenţială a unor atacuri bazate pe origine sau credinţă religioasă, Isabela nu a postat niciun mesaj cu caracter politic sau prea personal în cadrul reţelelor de socializare. Are profiluri foarte curate, pe toate reţelele, care relatează mai mult aventurile căţelușului său și date sumare despre viaţa sa. În ultimii ani, Isabela, musulmană moderată, a folosit masiv perioada din miezul zilei pentru a posta informaţii online, numai într-o anumită perioadă a anului: Ramadan. Așadar, acest fapt banal, disecat de către resursele umane ale firmelor la care dorea sa se angajeze, a făcut ca interviurile să degenereze în întrebări despre originea sa etnică cu dorinţa de a se afle mai multe despre convingerile sale religioase. Spre norocul tinerei, a fost totuși angajată în final. Ceea ce propun autorii este folosirea de către utilizatori a reţelelor de socializare într-o manieră care să facă inutilă colectarea datelor privind activitatea lor de către motoarele cunoscute sub denumirea de big data – timpul în care se realizează postările, tipologia acestora, conţinutul, locul din care se face postarea, evidenţierea unor convingeri personale sau religioase, corelarea acestora cu activităţi profesionale etc. - de exemplu postarea unui număr de mesaje constant pe parcursul zilei, astfel încât la o analiză pe o perioadă determinată de timp, analizele de tip big data să nu evidenţieze aspecte relevante.
© Profil normal al unui utilizator de social media în timpul zilei (in roz) si profil dupa aplicarea metodei propuse (in albastru). Parra-Arnau, Gómez Mármol, Rebollo-Monedero, Forné, Fig. 2
44
Casey Inez Canfield, Baruch Fischhoff, Alex Davis, Quantifying Phishing Susceptibility for Detection and Behavior Decisions, in Human Factors: The Journal of the Human Factors and Ergonomics Society 58: 8 (December 2016), pp. 1158-1172 Acest articol rezumă o amplă cercetare efectuată în 2015 asupra unui număr de 162 de persoane voluntare, dar alese în funcţie de profilul lor pentru a constitui un eșantion reprezentativ pentru nivelul unei companii de mărime medie. Analiza a fost finanţată și aprobată de către Institutional Review Board at Carnegie Mellon University și metodele sale au urmat pas cu pas codul de etică - American Psychological Association Code 196 of Ethics. Rezultatele sunt mai mult decât îngrijorătoare. Înainte de a primi mailurile destinate analizei, în scopul identificării celor susceptibile unei campanii de phishing, fiecare participant a primit și mesaje de avertizare de tip „Fiţi atent, mai mult decât jumătate din email-uri sunt de phising”. În plus, nu s-au trimis email-uri complexe, ci email-uri care conţineau toate elementele ce ar putea indica un mesaj de tip phishing: (1) salutare impersonala, (2) URL sau adresa IP false trimise cu nume intenţionat creat pentru a atrage atenţia (3) conţinut neobișnuit în ceea ce privește și „falsul” emitent și destinatarul (4) cereri de acţiune urgentă și (5) erori gramaticale și de ortografie (typos). În detaliu, percepţia fenomenului de phishing este destul de bună: eșantionul știe ce este un mail de phising și care sunt posibilităţile de a-l analiza și elimina/semnala. Asta arată evaluarea primului experiment, unde participanţii trebuiau să răspundă la întrebările următoare: (1) „Is this a phishing email?” (Yes/No) (detection); (2) „What would you do if you received this email?”, aceasta, ultima, fiind cu opţiuni multiple. Dar pe de cealaltă parte, analiza rezultatelor unei campanii de phishing simulate a fost devastatoare, rata de erori umane fiind mare, conform tabelului de mai jos. © Canfield, Fischhoff, Davis, Fig. 3
Concluziile, cum se vede în graficul de mai sus, sunt devastatoare, și suntem convinși că dacă același test ar fi fost realizat în context corporatist european, unde nivelul de conștientizare privind riscurile de securitate cibernetică este mai scăzut decât în SUA, rezultatele erau mult mai grave. Obiectivul acestui tip de studii este de a genera reacţii și la nivel European pentru a limita daunele generate de campaniile de tip phishing, utilizate ca vectori de distribuţie pentru o serie largă de ameninţări cibernetice... aparent, locul I pentru anul 2016 fiind ocupat de distribuţiile de ransomware. Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.