Cybersecurity Nr. 2 / 2017
Trends
Conferinţa CLUSIS privind inteligenţa economică (Geneva, 6 decembrie 2016): un raport
Orașele conectate: mize etice și juridice
Cover Story
Amenințări cibernetice - cum să prevenim, să detectăm și să răspundem atacurilor cibernetice
ends Editorial - Cybersecurity Tr
Prea multe prejudecăţi în lumea cyber-securităţii, puse în evidenţă în raportul GCI 2 surse furnizate de statele membre dar și de organizaţii terţe si din sectorul privat. Pe de altă parte, și aici este elementul fundamental al cercetării, ia în considerare cei cinci piloni esenţiali ai unui ecosistem naţional public-privat consolidat în materie de rezilienţă: măsuri legale, măsuri tehnice, structură organizaţională, construirea de capacităţi la toate nivele și, în sfârșit, cooperare – cu alte state, între state și societatea civilă, între state și sectorul privat etc.
autor: Laurent Chrzanovski
Î
n urmă cu câteva săptămâni, în mod discret ca de obicei, dar cu un impact global de anvergură, a fost publicat noul Global Cybersecurity Index al ITU1. Trebuie amintit aici că este vorba despre unicul index despre cybersecurity realizat în mod «supra partes», ITU (International Telecommunications Union) fiind agenţia ONU care are statutar leadershipul mondial în domeniu, așa cum a fost hotărât la adunarea generală a ONU din 2007. Pentru a îndeplini cu succes această sarcină, ITU a creat din 2007 o agendă globală pentru cybersecurity2, care este singurul framework internaţional (aprobat de cele 183 de ţări membre) care încadrează cooperarea multilaterală, dar și PPP, și implementarea bunelor practici pe plan global. Originalitatea clasamentului ITU este că, pe de o parte, se bazează pe
Cei 5 piloni ai agendei ITU care constituie indicatori pentru a elabora index-ul Prima constatare este că, contrar multor idei preconcepute, pe care le avem cu toţii, obișnuiţi cu rapoartele tehnice ale marilor firme de ITC-security sau ale celor de consultanţă specializată, nu sunt foarte bine clasate ţări care sunt lăudate ca având cel mai bun sistem de apărare. Israel, de pildă, care este considerat de mulţi specialiști ca fiind inatacabil – ca stat și ca ansamblu de infrastructuri strategice –, nu depășește poziţia 20 în clasificarea ITU.
1
ds Editorial - Cybersecurity Tren Apoi observăm că în comparaţie cu ultimul index, cel din 2015, nu mai puţin de jumătate din „top ten” s-a schimbat, datorită unor ţări care au pierdut din robusteţea lor împotriva atacurilor şi a altora, care au făcut progrese fenomenale. Stabile în top 10 sunt SUA, Malaezia, Oman, Estonia, Canada și Australia. Dar pe prima poziţie găsim Singapore, cea mai conectată ţară din lume, pe locul 6 Mauritius, care a implementat programe și legislaţie exemplară în domeniu, și pe locul 8, la egalitate, Franţa și Georgia, aceasta din urmă realizând și implementând un plan de rezilienţă excepţional, ca o consecinţă directă a slăbiciunilor sistemelor naţionale evidenţiate de către atacurile digitale care s-au alăturat conflictului real cu Federaţia Rusă în 2008. Aceeași Federaţie Rusă intră și ea în top, pe locul 10.
Marii „învinși”? Noua Zelandă, Norvegia, Brazilia, Germania, India, Japonia, Coreea de Sud și UK
Indexul cu țările cele mai avansate în 2015 1 http://www.itu.int/en/ITU-D/Cybersecurity/Pages/GCI-2017.aspx (cu link pt. download) 2 http://www.itu.int/en/action/cybersecurity/Pages/gca.aspx
2
Indexul cu țările cele mai avansate în 2017 Dar România? De pe locul 13 (la egalitate cu Luxemburg și Indonezia în 2015, adică locul 41-43 în realitate, ediţia 2015 fiind cu mulţi ex-aequo) rămâne stabilă, pe locul 42. Adică încă sunt multe de făcut pentru a construi un ecosistem de securitate care să cuprindă de la cetăţeni la organele vitale ale statului. Un element esenţial de reţinut din acest studiu este că bogăţia unei ţări și capacitatea sa economică nu au legătură cu capacitatea ţării, atât în domeniul public, cât și în cel privat de a fi novatoare, la pas cu tehnologiile, cu legile potrivite și cu organele de dialog. Creșterea rezilienţei prin dezvoltarea de capacităţi este una dintre cele mai importante chei prin care unele state au avut o performanţă extraordinară iar altele, în schimb, au pierdut teren în numai 2 ani. Într-un cuvânt, fie societatea în ansamblu este ajutată, informată și protejată de către ONG-uri și instituţii, fie Statul se limitează, cu o gândire foarte periculoasă pe termen mediu, să apere numai ceea ce este considerat vital pentru el și lasă companiile și cetăţenii să se informeze... sau nu.
Authorities
Stimaţi cititori, Marco Obiso, Cybersecurity Coordinator, International Telecommunication Union, Geneva
R
eţelele, dispozitivele și serviciile IT&C devin din ce în ce mai critice în viaţa de zi cu zi. În 2016, aproape jumătate din populaţia globului utiliza Internetul (3.5 miliarde de utilizatori)1 și, conform unei publicaţii recente, în 2020 vor fi peste 12 miliarde de dispozitive machine-to-machine conectate la Internet. Dar, ca și în lumea reală, lumea cyber este expusă la o multitudine de ameninţări de securitate care pot cauza daune imense. Statisticile despre ameninţările la adresa reţelelor de calculatoare se potolesc și reflectă o tranziţie de la relativ inofensivele spam-uri de ieri, la ameninţări care sunt mult mai maliţioase. O companie de securitate, care monitoriza incidentele în 2016, a descoperit că email-urile maliţioase au devenit o armă la care se apelează pentru o gamă largă de atacuri cibernetice în decursul anului. Ransomware-ul continuă să fie o pacoste pentru companii și consumatori, campanii nedescriminatoare distribuind volume masive de email-uri maliţioase. În unele situaţii, organizaţiile pot fi sufocate de volumul mare de email-uri care conţin ransomware, pe care le recepţionează. Atacatorii cer sume tot mai mari de la victime, media solicitată în 2016 fiind de 1.077 USD, în creștere de la 294 USD, cu un an înainte, conform unui studiu recent. Dimensiunea infracţionalităţii cibernetice a făcut ca situaţia să devină critică pentru guverne, care sunt nevoite să implementeze ecosisteme de securitate cibernetică robuste, pentru a reduce ameninţările și a spori încrederea în utilizarea comunicaţiilor și serviciilor electronice. Prin urmare este evident că există un principiu cauză-efect direct între creșterea IT&C și utilizarea sa ilicită și maliţioasă. Pentru a contrabalansa acest efect, securitatea cibernetică devine tot mai relevantă în mintea decidenţilor statali și au fost stabilite doctrine de securitate cibernetică aferente în aproape toate ţările de pe glob. În acest context, ITU înmpreună cu parteneri internaţionali din sectoarele privat-public, privat și mediul academic au realizat Global Cyber Security Index, având ca obiectiv principal de a construi capacităţi la nivel naţional, regional și internaţional, prin determinarea nivelului de angajament al ţărilor în domeniul securităţii cibernetice și, cu datele astfel obţinute, de a stabili o listă de bune practici care pot fi utilizate. Una dintre aceste practici este ca fiecare utilizator să devină din ce în ce mai conștient de ameninţări și de tehnicile prin care se poate apăra de acestea. Pe scurt, de a dezvolta în mod continuu capacităţi și a crește conștientizarea indivizilor și a ecosistemelor lor private și profesionale. O sumă de răspunsuri și de informaţii relevante pot fi găsite în Cybersecurity Trends. În timpul în care scriem aceste rânduri, este publicat primul număr al revistei în limba engleză, în timp ce primul număr în limba germană este programat să apară în septembrie, subliniind faptul că publicarea de informaţii globale de calitate, asociate cu răspunsuri la nevoile specifice necesităţilor din diferite ţări, poate fi o cale pentru a furniza conţinut util și atrăgător pentru din ce în ce mai mulţi cititori.
www. itu. int/ en/ ITU- D/ Statistics/ Pages/ stat/ default. aspx
3
ends Authorities - Cybersecurity Tr
Puterea cibernetică, un pilon esenţial al puterilor viitorului Revoluția tehnologică – mega trendul începutului de secol XXI Unul din cele mai importante trenduri ale sistemului actual este reprezentat de accelerarea schimbărilor în diferitele domenii știinţifice și tehnologice. Răspândirea tehnologiilor și accesul relativ facil și generalizat la astfel de tehnologii reprezintă pe fond o mare oportunitate dar și un mare risc. Evoluţia tehnologiilor a atras după sine creșterea exponenţială a vitezei de circulaţie a informaţiei, astfel că procesarea și vitezele uluitoare de transmitere a informaţiei ne-au schimbat fundamental viaţa și modul nostru de a trăi. Primul website a fost creat în 19911. În 1993 acestea au ajuns la 50 iar în 2000 au depășit cifra de 5 milioane.2 Primul email electronic a fost trimis în 1971 în timp ce din 2013 se trimit mai mult de 40 de trilioane de emailuri pe an.3 În plus, suntem înconjuraţi de o mare imensă de deviceuri și calculatoare. Centralitatea computerelor în viaţa noastră este un dat de care nu ne putem lipsi. Aproape că nu ne putem imagina viaţa fără accesul la un astfel de instrument, începând de la lecturarea curentă a presei în fiecare dimineaţă, consultarea emailului și alte chestiuni curente care fac deja parte din rutina noastră zilnică. Tehnologiile avansate din domeniul computerelor ne fac să fim aproape dependenţi de acestea. Internetul nu înseamnă doar transmitere și recepţionare de emailuri. Infrastructuri critice întregi începând de la companii producătoare de energie, transport sau comunicaţii sunt manipulate prin intermediul computerelor. În fine, toate aceste computere nu există de unele singure. Ele sunt legate între ele, creionând un imens network. Prin urmare interconectarea globală este una dintre caracteristicile fundamentale ale așa numitei revoluţii tehnologice. Așadar o concluzie certă se desprinde de aici: o mare parte din viaţa noastră zilnică este direct dependentă de deviceuri conectate prin Internet. Prin urmare se poate spune că o mare parte din viaţa noastră nu se mai petrece exclusiv în spaţiul fizic, ci în spaţiul virtual. O transformare similară este resimţită și în sfera puterii, privită din perspectiva relaţiilor internaţionale. Noua
4
autor: Arthur Lazar, Cyberint
realitate are ca efect schimbarea naturii puterii. Distribuţia acesteia este mult mai accentuată în timp ce difuziunea ei a atins cote extrem de ridicate (actori aproape anonimi pot ajunge să deţină resurse informaţionale semnificative care convertite în putere efectivă pot crea probleme inclusiv statelor naţionale).
Puterea cibernetică – definiție și caracteristici Apariţia noului tip de realitate virtuală ca un element intrinsec al vieţii noastre a avut o influenţă majoră în schimbarea caracteristicilor puterii și a generat practic apariţia acestei noi categorii – puterea cibernetică. Există foarte multe încercări de a defini puterea cibernetică. Numai în literatura americană pot fi identificate câteva zeci, fiecare dintre acestea surprinzând doar o anumită faţetă a puterii sau doar o parte din ceea ce este în general puterea cibernetică. Una din cele mai complete definiţii a termenului, general acceptată în literatura de specialitate, este cea oferită de Daniel Kuehl, care consideră că „puterea cibernetică este abilitatea de a utiliza spaţiul cibernetic pentru a crea avantaje și a influenţa elementele în toate mediile operaţionale și peste toate celelalte instrumente ale puterii”. 4 Se impun a fi făcute prin urmare câteva precizări. În primul rând puterea cibernetică este o expresie firească a evoluţiei tipului de geografie, practic un nou domeniu de manifestare a puterii. Acum 200 de ani puterea actorilor de pe scena internaţională se exercita preponderent terestru. Armate întregi, infanterii, cavalerie grea sau ușoară duceau greul luptelor preponderent pe uscat. La începutul secolului XX dezvoltarea tehnologiilor navale și apariţia flotelor maritime mari au pus în exploatare spaţiul maritim. Alfred Mahan, general american și profesor la Academia Navală de Război, a defilat la începutul anilor 1900 cu o imensă flotă americană de război atrăgând atenţia încă de pe atunci că o mare putere urma să apară: SUA5. Ulterior, odată cu dezvoltarea tehnologiilor aeriene, spaţiul aerian a început să fie utilizat ca resursă de putere. Se spune că al Doilea Război Mondial a fost câștigat ca urmare a contribuţiei decisive a flotei aeriene de care dispunea tabăra aliaţilor. În sfârșit, la începutul anilor 60-70 și ulterior perioada de apogeu din anii 80 în timpul administraţiei Reagan, odată cu începerea Războiului Stelelor și a cursei înarmărilor fără
precedent, câmpul de luptă s-a mutat în extra spaţiu. De dată mai recentă, în contextul exploziei Internetului, resursele spaţiului cibernetic sunt din ce în ce mai utilizate spre a fi transformate corespunzător. În al doilea rând, puterea cibernetică nu prezintă valoare fără capabilităţi de proiecţie. În accepţiunea behaviouristă, orice putere trebuie să aibă capacitatea de a se impune în faţa alteia, de a produce efecte și de a modela și influenţa comportamente.6 Pentru aceasta este nevoie de capacitate de proiecţie a puterii. Așa cum apariţia flotelor navale facilita transportul trupelor, mărea mobilitatea infanteriilor, îmbunătăţea capabilităţile logistice și proiecţia puterii cibernetice trebuie văzută în aceeași logică, capacitatea de proiecţie fiind prin ea însăși o resursă de putere. În cazul puterii cibernetice proiecţia se realizează aproape instantaneu. Așa cum spunea un renumit strateg militar american, prin intermediul puterii cibernetice se pot produce daune la adresa unor infrastructuri aflate la mii de km depărtare într-o secundă, doar cu ajutorul unui click al unui mouse.7 Așadar, puterea cibernetică, deși asemănătoare la o primă vedere cu celelalte tipuri de putere (navală, aeriană sau spaţială), este diferită de acestea și în același timp superioară lor. Concluzia care se desprinde de aici este că puterea cibernetică are cel puţin 4 dimensiuni manifestate în toate cele 4 tipuri de spaţii de care am vorbit (terestru-naval-aerian-cyber).
În al 3 lea rând puterea cibernetică nu este doar o expresie a noului tip de geografie sau a noului tip de spaţiu virtual. Aceasta, asemenea celorlalte tipuri de putere (economică, militară, organizaţională sau socială), este o resursă sau o sumă de resurse care contează în indexul general al puterii. Mai mult fiind o resursă care poate influenţa fundamental celelalte tipuri de putere, se pare că deţine o pondere semnificativă în orice formulă menită să facă clasamente și să calculeze indexul general de putere. Aceste sume de caracteristici ne deschid practic un nou orizont de interpretare. Fiind mai mult decât o expresie a spaţiului cibernetic, puterea cibernetică înseamnă mult mai mult decât ce a însemnat puterea navală în era dezvoltării maritime, sau puterea spaţială în anii Războiului Stelelor. La momentul respectiv niciuna dintre acele puteri nu putea fi considerată prin ea însăși pilon al puterii în general, ci cel mult indicator care de cele mai multe ori avea o reflexie în alte tipuri de putere, de cele mai multe ori militară dar și economică. Puterea cibernetică este însă o expresie a realităţii noastre zilnice, iar acest aspect alături de puterea economică, militară, organizaţională și socială o face un pilon al puterii în general, practic al 5-lea pilon al puterii generale. Nu se poate face abstracţie de tipurile de putere tradiţionale, pentru că ele contează în continuare. Multe doctrine militare subliniază faptul că acolo unde infanteria nu poate ajunge nu se poate vorbi de dominaţie! Recentele războaie din Irak și Afganistan par să demonstreze acest lucru. Însă cu siguranţă aceste tipuri de războaie nu se poartă exclusiv cu mijloacele de luptă tradiţionale!
Aceasta este accepţiunea acestui articol și anume aceea că puterea în sistem, atât în prezent dar mai ales în viitor, va depinde fundamental de resursele cibernetice existente și mai ales de cel care va deţine cât mai multe din astfel de resurse.
Resursele puterii cibernetice Puterea depinde de resurse iar puterea cibernetică depinde în primul rând de resursele cibernetice și mai ales de capacitatea de transformare a acestor resurse în dividende reale de putere. Paul Kennedy, în studiul său legat de ascensiunea și decăderea marilor puteri, arată că dinamica schimbării în sistem este impulsionată în principal de evoluţiile economice şi tehnologice8. Aceste evoluţii economico - tehnologice au depins de variate categorii de resurse. Structurile producţiei s-au schimbat de la perioadă la perioadă iar acestea afectează în mod direct economia şi tehnologia. Capacitatea de inovaţie tehnologică a făcut în toate perioadele istorice diferenţa. Prin urmare capacitatea de conversie a resurselor este fundamentală şi oferă un anumit avantaj unor societăţi în raport cu altele. Apariţia corăbiilor cu bătaie lungă şi dezvoltarea comerţului în spaţiul atlantic după 1500 a adus beneficii acelor state europene care au ştiut să le fructifice, după cum dezvoltarea ulterioară a motorului cu abur şi resursele de cărbune şi metal pe care acesta se baza au sporit masiv puterea relativă a unor naţiuni diminuând-o pe a altora.9 Altfel spus, bogăţia sau puterea economică este necesară pentru a susţine puterea militară după cum puterea militară e necesară pentru a dobândi și a produce bogăţie. Așadar tipurile de resurse și putere se influenţează unele pe altele și creează avantaje relative la nivelul statelor care se află în vârful ierarhiei. Însă niciuna din aceste resurse de putere nu a avut o influenţă multilaterală asupra celorlalte instrumente ale puterii așa cum se întâmplă cu resursele puterii cibernetice. Apariţia noului spaţiu cibernetic este cauza acestei stări de fapt, întrucât niciodată în istorie o dimensiune de acest gen nu a avut influenţă atât de covârșitoare asupra celorlalte. Resursele cibernetice au un rol esenţial asupra puterii economice, după cum aceleași categorii de resurse influenţează esenţial modul în care se duc anumite războaie moderne. Secolul XXI este prin excelenţă un secol al resurselor de tip cyber. Globalizarea şi revoluţia informaţiei generează noi resurse ale puterii. Controlul reţelelor şi conectarea devin o sursă importantă de putere. Puterea cibernetică utilizează capabilităţile spaţiului cibernetic pentru a se putea manifesta. Resursele sale sunt cele izvorâte din mediul cibernetic iar eficienţa sa depinde asemenea celorlalte tipuri de putere de modul
5
ends Authorities - Cybersecurity Tr în care se pot combina toate aceste tipuri de resurse. Pentru aceasta este nevoie de o înţelegere cât mai aplicată a spaţiului cibernetic. Asemenea puterii, și spaţiul cibernetic este privit într-o multitudine de accepţiuni și este analizat după o sumedenie de variabile.10 Într-o accepţie generală putem spune că „spaţiul cibernetic este o realitate virtuală, complet imersivă, în interiorul căreia utilizatorii reţelelor de computere din lumea întreagă pot comunica și reacţiona reciproc”. 11 Acest spaţiu este relativ ușor de accesat de o gamă destul de mare de actori, este de asemenea relativ ieftin ceea ce îl expune nu doar unor oportunităţi ci mai ales unor riscuri. Întrucât prezenta lucrare tratează puterea cibernetică și spaţiul cibernetic din perspectiva relaţiilor internaţionale se impune a se sublinia faptul că cyberspace-ul și noile tehnologii asociate acestuia au început încă din anii 90 să schimbe doctrinele militare de război. Războiul centrat pe reţea (network centric) a început să-l înlocuiască pe cel centrat pe platforme (capabilităţi militare) chestiune subliniată încă acum 20 de ani de Jay Johnson (ex șef al operaţiunilor navale ale US Navy între 1996-2000).12 Practic mecanismul de ghidare al unei rachete în drumul său către ţintă depinde de modul de poziţionare al unui satelit care la rândul său depinde de infrastructura și comenzile care sunt trasate prin cyberspaţiu. Mai mult, părerea unanimă a specialiștilor este că transformarea doctrinelor și mecanismelor operaţionale ale armatelor moderne depinde în cea mai mare măsură de exploatarea cât mai bună și mai eficientă a capabilităţilor cyberspaţiului. Revenind la categoriile cele mai importante de resurse utilizate și aplicate în cyberspaţiu, se poate spune că acestea se clasifică în 3 mari categorii13: Resurse fizice: device-urile făcute de om la care se adaugă infrastructura care permite ca informaţia să circule (computere, telefoane celulare, fibre optice, sisteme de comunicaţii spaţiale, infrastructuri critice, sisteme industriale)
1
Controlul resurselor fizice care compun cyberspaţiul este extrem de important în indexul puterii cibernetice. Întreaga comunitate euroatlantică este cel puţin îngrijorată de invazia echipamentelor chinezești pe
6
aceste pieţe. Preţul scăzut înaintat de aceste companii este aproape imposibil de a fi combătut într-o economie globală acest aspect fiind de natură să provoace foarte multe vulnerabilităţi. Grupul „Equation”, asociat de majoritatea experţilor de pe piaţa de reverse engenneering cu un gruparea de spionaj electronic a NSA-ului – TAO (Tailored Acces Operation), și-a bazat strategia de atac pe infecţia firmware-ului hardiskurilor celor mai importante companii care comercializează astfel de produse pe piaţa liberă.14 Pentru aceasta era nevoie desigur de acces la documentaţia de bază a hard diskurilor, ceea ce în realitate presupune deţinerea unor categorii de resurse pe care foarte puţini și le permit. Know how–ul care face ca informaţia să circule; Know how-ul este de asemenea foarte important. Nici Stuxnet și nici Duqu nu ar fi putut produce pagube atât de devastatoare în sistemele industriale ale Iranului dacă nu ar fi fost rezultatul unei inginerii tehnologice foarte avansate și sofisticate. Vreme de câţiva ani experţii AIEE (Agenţia Internaţională de Energie Atomică) și un întreg aparat de specialiști ai statului iranian nu au reușit să găsească o explicaţie plauzibilă a cauzei care ducea la defectarea sistemică a centrifugelor din centralele nucleare de la Natanz, un oraș din centrul Iranului unde se aflau situate aproximativ 9000 de astfel de sisteme. Deși rata de defectare a acestora în condiţii de exploatare normale era de aproximativ 10% pe an, numai în câteva luni au fost înlocuite peste 2000 de centrifuge din totalul existent.15 Numai câţiva ani mai târziu o mică firmă ucrainiană de reverse engineering avea să descopere cauza: Stuxnet una din cele mai sofisticate arme cibernetice create vreodată, ascunse în 500 kb de memorie instalaţi într-un pachet „legitim” de date pe serverele care controlau centrala nucleară în cauză. Imensul scandal internaţional care a apărut în prima jumătate a anului 2010 a arătat într-un mod evident cum puterea cibernetică poate fi un instrument extrem de eficient chiar în faţa unei blocade economice sau acolo unde metodele tradiţionale nu pot interveni. Factorul uman - Factorul uman este de asemenea unul dintre cele mai importante resurse de putere. Puterea cibernetică fiind un pilon al puterii în general are nevoie la rândul său de un factor uman eficient. Cu cât factorul uman este înalt calificat cu atât șansele eficacităţii puterii cibernetice cresc. Este binecunoscut faptul că grupările hackiviste chinezești care deţin o pondere însemnată în economia grupărilor hackiviste din întreaga lume reușesc să provoace probleme majore pe scena internaţională, atât prin atacarea infrastructurilor critice cât și prin activităţi intruzive de asociate spionajului. Se impune a fi subliniat ca aceste echipe organizate de hacking sunt alcătuite din un număr foarte mare de persoane cu înaltă pregătire tehnologică. Factorul uman poate fi și o mare vulnerabilitate. Edward Snowden a provocat pagube enorme NSA–ului odată cu decizia sa de a face publice operaţiunile sale secrete. În plus apropierea acestuia de puterea rusă și Kremlin se pare că a oferit acestui stat oportunităţi pe care altfel nu le-ar fi putut avea. La aceste resurse în funcţie de context se poate adăuga informaţia, ca resursă de putere cyberspaţiul fiind în sine un mediu informaţional unde informaţia este creată, stocată și ulterior împărtășită. Cunoașterea ulterioară care rezultă din acest proces și din aceste interacţiuni extrem de rapide este percepută ca resursă de putere și ajută de exemplu în decision-making.16 Joseph Nye arată că și puterea cibernetică ca tip important de putere, are o dublă natură: hard și soft. Totodată aceasta se poate manifesta în interiorul cyberspaţiului cât și în exteriorul acestuia.17 Atacurile cibernetice care
2
3
targetează o ţintă reprezintă un tip de resursă hard în timp ce o campanie de diplomaţie publică derulată prin Internet menită să influenţeze opinia publică poate fi considerată o resursă blândă de putere cibernetică. În acest proces este semnificativă credibilitatea actorului care diseminează mesajul, credibilitate care poate fi înţeleasă chiar ca o resursă de putere.18 Cu cât mai multă credibilitate deţine un actor cu atât mai multe șanse de eficienţă a mesajului diseminat există. Credibilitatea însă se construiește greu și se poate pierde într-o clipă. Strategia prin care se menţine și se conservă credibilitatea este o artă pe care în realitate foarte puţini o au. Așadar, așa cum spune același politolog american, în zilele noastre se poate ca războaiele să fie câștigate de „cei care au cea mai bună naraţiune”19. Și am putea adăuga, de cei care au cea mai bună naraţiune credibilă. Provocarea majoră cu care ne confruntăm atunci când încercăm să analizăm puterea și resursele acesteia este reprezentată de evaluarea legată de ponderea fiecărei resurse în indexul general de putere. Și în cazul puterii cibernetice fiecare resursă are desigur influenţă diferită în ecuaţia finală. Mai mult acestea depind de un anumit context de manifestare, asemeni puterii în general. Rămâne o sarcină a mediilor academice să facă în continuare aproximări legate de ponderea fiecărei resurse în ecuaţia finală de putere.
„Hacking” și „reverse engineering” – cele două fațete ale puterii cibernetice Ca și în cazul celorlalte forme de putere și puterea cibernetică se exprimă nu doar prin resursele de care dispune sau capacitatea de proiecţie. Cel puţin la fel de importantă este capacitatea de apărare. Aceasta este preponderent un atribut al statelor, atunci când vorbim de protecţia unor infrastructuri critice mari. Capacitatea de proiecţie a forţei sau a puterii trebuie sincronizată cu capacităţile de protecţie pentru că nimic nu poate fi mai devastator decât exploatarea unei securităţi defensive slabe sau a vulnerabilităţilor care apar în sistem atunci când protecţia este ineficientă. Demult, în formele tradiţionale de putere, capacitatea de apărare era direct influenţată de resursele defensive specifice spaţiului fizic de care dispuneau actorii din sistem. Existau așadar cetăţi și fortificaţii amplasate strategic, regimente și armate extrem de mobile pregătite să protejeze un teritoriu. Ulterior flotele navale și aeriene au avut menirea să apere actorii din sistem. Cele două feţe ale puterii cibernetice nu au acţionat însă separat. Multe doctrine militare susţin că cea mai bună formă de apărare este atacul. În zilele de azi un sistem avansat de protecţie poate fi văzut ca o ameninţare. Așa este cazul sistemului de apărare antirachetă a SUA dislocat în mai multe ţări europene văzut de Rusia ca o ameninţare directă la adresa securităţii sale, chiar dacă sistemul are menirea fundamentală să protejeze teritoriul american și nu are capabilităţi de atac. Dezvoltarea sistemului internaţional în special după cel de-al Doilea Război Mondial a arătat că practic cei mai importanţi actori din sistem au preferat să ţină conflictul militar în afara graniţelor naţionale. Așa se face că mecanismele de proiecţie a forţei au împins războaiele către periferie, în ţări din Lumea a III a, Coreea, Vietnam sau Afganistan fiind doar câteva exemple. În cazul puterii cibernetice situaţia a suferit o schimbare majoră întrucât realitatea ultimilor ani arată că inclusiv cei puternici pot fi loviţi major în interior și nu neaparat în afară, de capabilităţile cibernetice ale adversarului.
Există așadar 2 faţete ale puterii cibernetice sensibil corelate între ele: O componentă defensivă – denumită în literatura de specialitate cybersecurity. O componentă ofensivă care ţine mai degrabă de capacitatea de proiecţie a puterii. Pentru ca un actor din sistem să deţină putere cibernetică semnificativă nu doar că este nevoie să deţină capabilităţi în ambele sensuri ci trebuie să identifice inclusiv un mecanism de balansare a acestor tipuri de resurse. Problema majoră în cazul puterii cibernetice este că spre deosebire de formele tradiţionale de putere cele două faţete (ofensiv și defensiv) presupun antamarea unor tipuri diferite de resurse. Așa se face că vulnerabilităţile rezultate de pe urma unui sistem de protecţie ineficient nu pot fi suplinite de capacităţi de atac. În privinţa conceptului de cybersecurity este aproape unanim acceptat că pentru ca protecţia să fie eficientă trebuie îndeplinite 3 obiective majore:20 confidenţialitate, integritate și disponibilitate. Confidenţialitatea se referă la protecţia fizică a datelor. Aceasta se realizează prin mecanisme tehnice de criptare și control al accesului. Integritatea presupune consolidarea mecanismelor astfel încât sistemul să nu fie afectat fără un tip de autorizare. Spre exemplu în cazul Stuxnet, pericolul și ulterior pagubele au apărut ca urmare a accesării sistemului și resurselor acestora de o intruziune care părea legitimă, astfel încât sistemul de antiefracţie (firewalul și antivirusul instalat) nu numai că nu detectau intruziunea dar o vedeau ca fiind una normală. Disponibilitatea sistemului presupune capacitatea de a menţine resursele și funcţionarea generală pentru o perioadă de timp. Principul de la care se pornește este că sistemul trebuie de așa natură creat încât nu trebuie utilizate vulnerabilităţile de nefuncţionare de către atacator. Disruperea unei întregi reţele de infrastructuri prin atacuri de tip DDOS ar putea exprima cel mai bine această caracteristică. În viziunea Singer – Fridman, la aceste trei caracteristici este adăugată cea de-a patra: rezilienţa21. Aceasta pornește de la premisa că inevitabilul oricum se produce sens în care sistemul trebuie menţinut să funcţioneze chiar dacă este atacat. Pentru aceasta însă este nevoie de resurse foarte mari pe care nu orice actor și le poate permite. Cele două faţete ale puterii acţionează diferit. Resursele antamate sunt diferite. Strategiile sunt de asemenea diferite. Paradoxal reverse engineering-ul este cel puţin la fel de complicat ca și hackingul. Printr-o analogie, este asemenea spionajului și contraspionajului. Prima metodă vizează captarea de informaţii de multe ori ca scop în sine, în timp ce a doua vizează soluţii de protecţie a sistemului de atacatorii spioni. Problemele apar însă
7
ends Authorities - Cybersecurity Tr atunci când adversarii nu sunt vizibili, întrucât eficienţa măsurilor tinde către zero. Soluţiile pentru un sistem de cybersecurity avansat nu sunt foarte multe. S-ar putea de exemplu dezvolta anumite entităţi de protecţie antivirus (firme sau softuri) care să protejeze sistemele. Acestea sunt însă extrem de costisitoare și de multe ori își dovedesc ineficienţa. În alte cazuri parteneriatele public private sunt văzute ca o variantă suplimentară, cu menţiunea că nu toate statele sunt dispuse să apeleze la protecţia secretelor proprii externalizând serviciile de pază către entităţi private. În sfârșit, nu în ultimul rând se apelează la programe de security awareness sau early warning în rândul agenţiilor guvernamentale și a angajaţilor acestora. Armele cibernetice sunt însă înalt tehnologizate și folosesc un know how sofisticat care face ca senzorii de protecţie să fie de foarte multe ori ineficienţi.
Actorii puterii cibernetice Atunci când discutăm despre actorii puterii cibernetice ne lovim de o barieră importantă: imperceptibilitatea acestora. Această caracteristică derivă din însăși natura spaţiului cibernetic, care, așa cum am arătat anterior, este din ce în ce mai permisiv și permite nu doar statelor ci și altor actori (non statali) să se manifeste. De sute de ani încoace sistemul internaţional a fost clădit în jurul noţiunii de stat. Indiferent de forma sistemului (unipolar, bipolar, multipolar) după încheierea păcii de la Westphalia statele naţiune au devenit piatra unghiulară a sistemului internaţional. Puterea era prin urmare distribuită doar între acestea iar diferenţele de clasament se manifestau în sus sau în jos dar raportat exclusiv la astfel de entităţi. Puterea statelor și resursele de care acestea dispuneau erau vizibile și adesea măsurabile și se exprimau fie prin armate puternice, resurse naturale considerabile, tehnologii avansate sau economii eficiente. Puterea era oarecum perceptibilă! În zilele noastre, difuziunea puterii se exprimă prin diluarea substanţei actorilor. Nu doar că actori non statali pot acumula putere relativă dar chiar indivizii pot pune probleme în cyberspaţiu unor actori mult mai mari precum statele și asset-urile acestora. Se deduce așadar în momentul de faţă că „player-ii” din sistem sunt distribuiţi după o formulă care situează la un capăt indivizii apoi agregatele sau grupurile de indivizi cu organizare relativă (grupuri non statale, ONG uri, hackiviști) iar la celălalt capăt se află statul. Acest tip de clasificare, fără alte explicaţii, este totuși simplistă atunci când vorbim de distribuţia puterii în sistemul internaţional. Problema majoră care se pune este legată de acele tipuri de transformări care pot cu adevărat să producă efecte în cadrul sistemului. În-
8
trucât discutăm de sistemul internaţional și indexul general de putere una din întrebările prezentului studiu este legată de acea categorie de actori, resurse și evenimente care pot într-adevăr să influenţeze clasamentul din sistem. Din acest motiv, problema actorilor ca element definitoriu pentru puterea cibernetică în sistemul internaţional trebuie tratată în corelaţie cu tipurile de ameninţare dezvoltate precum și cu consecinţele și impactul acestor ameninţări. Nu în ultimul rând intenţiile actorilor și tipul de resurse utilizate reprezintă un indicator al naturii entităţilor deţinătoare de putere cibernetică din interiorul sistemului internaţional. Cu alte cuvinte, întrebările ar fi: care este intenţia adversarului, care sunt ţintele sale, ce tipuri de resurse accesează, care este impactul ameninţării? Aceste noţiuni de clasificare sunt importante și le regăsim și în sistemul formulelor tradiţionale de putere. Numai că dacă în aceste din urmă cazuri indicatorii respectivi ajută mai degrabă la nuanţarea mecanismelor puterii în cazul puterii cibernetice criteriile sunt esenţiale pentru că ajută în procesul de atribuire. Cum altfel s-ar putea crea clasamentele cibernetice din sistem dacă nu în baza unor comparaţii între actori? Pentru aceasta este nevoie să fie cunoscut: cine sunt actorii și care este potenţialul lor de putere. Aspectul corelativ al acestei concluzii se referă la problema conţinutului resurselor antamate. Cu alte cuvinte, accesul sau permisivitatea tuturor actorilor din sistem se manifestă uniform în privinţa tuturor categoriilor de resurse? Toţi actorii, indivizi, grupuri mai mult sau mai puţin organizate au acces la resursele de fibră optică care traversează oceanele sau sunt capabili să utilizeze resurse extrem de scumpe de tip „0 day”? Evident nu! Făcând analogia cu formele tradiţionale ale puterii, entităţile care puteau cu adevărat să mobilizeze sume considerabile de resurse erau statele. Aplicarea sau utilizarea unui anumit tip de resurse (o escadrilă de bombardiere strategice de exemplu) nu numai că era extrem de costisitore dar era atributul exclusiv al statelor. Escadrila de avioane nu era deţinută nici de grupări consolidate ad hoc și nici de indivizi răspândiţi în cele mai îndepărtate locuri pe glob. Mai mult, utilizarea acelui tip de resursă producea efecte în planul exercitării puterii din sistem. În cazul puterii cibernetice lucrurile sunt oarecum diferite. Permisivitatea accesului la resurse și rapiditatea transformărilor poate face ca mai devreme sau mai târziu o categorie largă de entităţi să le poată utiliza aproape după bunul plac. În fine, intenţiile și consecinţele care decurg din manifestarea unei ameninţări pot într-adevăr influenţa sau schimba puterea celuilalt? În formele tradiţionale de putere intenţia era reprezentată preponderent de dorinţa actorilor din sistem de a obţine poziţii dominante în raport cu ceilalţi actori, de regulă adversari. Se schimbă situaţia în cazul puterii cibernetice?
Includerea unor elemente de interpretare legate de intenţii, valori, forme organizaţionale ne aduc în zona teoriilor constructiviste și la o primă vedere pot complica mecanismul de evaluare a puterii cibernetice cel puţin din punct de vedere al potenţialităţii sale. Realitatea arată că intenţia poate fi un corelativ extrem de important atunci când încercăm exerciţii de atribuire a actorilor deţinători de putere cibernetică. Intenţiile ne pot oferi indicii suplimentare legate de calitatea actorului. Spre exemplu un hacker situat în Singapore poate să își dorească să obţină credenţialele cardurilor câtorva clienţi din cadrul unei bănci pentru a le putea fura banii. În alte situaţii un grup organizat de hackeri ar putea să încerce să atace o companie pentru a vinde secretele concurenţei. Este puţin probabil însă ca aceste tipuri de activităţi și consecinţele care decurg de aici să producă efecte majore în sistemul internaţional. Dacă însă un așa zis de grup hackivist reușește să paralizeze sistemul bancar dintr-o ţară într-o perioadă de criză atunci este cu totul altceva. Dacă criza respectivă este asociată și cu un context militar încordat atunci avem indicii suplimentare legate de potenţiala identitate a actorilor implicaţi. Dacă atacul în cauză implică acces considerabil la resurse atunci este rezonabil să luăm în calcul faptul că în spatele atacurilor respective ar putea fi un actor statal. Concluzia care se desprinde de aici este că deși puterea este din ce în ce mai distribuită în sistem, totuși deţinătorii cei mai importanţi de resurse rămân în continuare statele. Aceștia nu sunt doar cei mai importanţi ci și „cei mai periculoși”.22 Experienţa demonstrează că cyberspionajul și cybersabotajul intră prin excelenţă în apanajul statelor, singurele care pot și au, cel puţin deocamdată, resursele dar și intenţiile și motivaţiile pentru a derula astfel de activităţi. Dar cum putem spune dacă o armă cibernetică este utilizată de un stat sau de un grup hackivist independent? Sau care sunt criteriile in funcţie de care putem spune asta? Dacă o armată este vizibilă și măsurabilă atunci ea poate fi ușor legată de o anumită putere. Armele cibernetice însă sunt dificil de perceput. Rămâne în sarcina specialiștilor de cyberintelligence să rafineze criteriile de atribuire. Până atunci putem doar să încercăm să găsim criterii plauzibile de atribuire23. Există câteva mecanisme care oferă suport pentru atribuiri plauzibile. Se pot enumera printre acestea victimologia, intenţiile atacatorului și resursele utilizate. Desigur la acestea se pot adăuga ingineria mecanismelor de cercetare specifice reverse engineering-ului. Există în momentul de faţă multe firme specializate de profil care emit rapoarte pe acest segment. Nu toate dintre acestea sunt însă credibile și de multe ori dovezile pe care le scot pe piaţă se arată a fi insuficiente. Acest segment rămâne o poartă deschisă și poate unul din cele mai importante tronsoane pentru consolidarea unui spaţiu cibernetic sigur la nivelul entităţilor naţionale. Așadar, combinând cuantumul resurselor, victimologia (răspândirea geografică și calităţile ţintelor) precum și intenţiile atacatorului putem obţine indicii rezonabile legate de potenţialul de putere cibernetică al actorilor din sistem și putem ajunge la identificarea acestora. Există așadar 3 straturi sau mai bine zis 3 niveluri de concentrare a puterii24: la nivelul agenţiilor guvernamentale (statal), la nivelul organizaţiilor înalt structurate (companii, ONG uri, grupuri hackiviste) și la nivelul organizatiilor slab structurate (nivel individual). Apoi, cele 3 straturi nu sunt stabile. Indivizii și know how lor pot suplini actori de pe eșichierul 2, adică organizaţii cu grad înalt de structurare. Acestea la rândul lor interacţionează cu guvernele lor, fie în baza unor parteneri-
ate public private, fie, așa cum este în Rusia sau China, ca o consecinţă a culturii spaţiului, în baza unui control al statului destul de bine pus la punct. Know how ul circulă așadar în ambele sensuri în funcţie de aceasta asistăm fie la sporirea resurselor de putere ale unui actor fie la diminuarea altora. Ar mai trebui adăugat că la nivelul de sus al sistemului internaţional, chiar dacă actorii non statali pot acumula un nivel de putere semnificativ, este doar o chestiune de timp până când aceștia vor fi conexaţi intereselor unui stat. Mai devreme sau mai târziu un actor statal va încerca să le acapareze și să le folosească în interesul propriu. Desigur, suntem pe tărâmul speculaţiilor, însă realitatea ultimilor ani arată că cele mai însemnate atacuri cibernetice au fost într-un anume fel legate de naţiuni stat. Stuxnet, Duqu, Animal Farm, APT 28, Red October, toate sunt exemple ale unor arme cibernetice utilizate se pare atât de ţări din blocul NATO cât și de ţări din afara acestuia. Paradoxul care rezultă de aici este că în viitorul apropiat în sistem este puţin probabil să se nască o nouă putere hegemonică. Fiecare se concurează pe fiecare, cu arme din ce în ce mai sofisticate. Această stare de fapt ne conduce către o altă concluzie: resursele cibernetice ofensive creează un nou tip de balancing! Diferenţa este făcută de capacitatea de convertire a „outcom”-urilor în dividende reale de putere, ceea ce ne conduce către noi input-uri și ne produce noi orizonturi de cunoaștere. Se deduce astfel că modul în care se combină resursele actorilor de pe scena internaţională este foarte important.
Cyberkut grupare hackivistă care luptă în războiul cibernetic ucrainian La începutul anului 2014 după îndelungi proteste antiguvernamentale ale mișcărilor proeuropene din Ucraina favorabile procesului de apropiere de UE, fostul președinte pro rus, Viktor Yanukovich, a fost nevoit să părăsească ţara fiind găzduit de Rusia. La scurt timp, în condiţiile în care Rada ucraineană a votat o lege în urma căreia limba rusă a căpătat statut de limbă regională, armata rusă a mobilizat forţe însemnate la graniţa cu Ucraina. Câteva săptămâni mai târziu președintele rus Vladimir Putin a primit votul aproape unanim al Dumei de Stat pentru a interveni militar în Ucraina. Ulterior, fiind invocat un referendum organizat rapid de forţele pro ruse din Crimeea, în baza unei prevederi din Constituţia FR care stipula protecţia propriilor cetăţeni din afara graniţelor, Vladimir Putin a intervenit cu trupe în Crimeea,
9
ends Authorities - Cybersecurity Tr teritoriu care era „de jure” sub jurisdicţie ucraineană. În ciuda presiunilor Occidentului și a SUA forţele militare au fost menţinute ajungându-se la un conflict în toată regula. Rolul geopolitic al Ucrainei și importanţa acesteia pentru Rusia nu mai pot fi puse la îndoială. Că Ucraina este fundamentală pentru Rusia este în afara oricărei îndoieli. Bătălia care s-a iscat însă are o componentă semnificativă care se poartă în cyberspaţiu, loc unde grupările hackiviste au devenit foarte active. Una din cele mai vizibile este gruparea Cyberberkut. Aceasta este o grupare prorusă care a apărut imediat după invadarea Crimeii de către Vladimir Putin. Numele grupării este derivat din fostul nume al forţelor speciale ale Poliţiei din Ucraina – Berkut – create în 1992 și desfiinţate în urma represiunilor din Euromaidan. Cyberberkut impersonează simbolic vechiul grup, punând accent pe rolul major pe care urmau să-l joace pentru suportul libertăţilor și drepturilor ucrainenilor, furate de huliganii pro-vestici care luptau împotriva Rusiei. Istoricul pe scurt al activităţii Cyberberkut reflectă atacuri de tip DDOS împotriva mai multor infrastructuri critice și agenţii guvernamentale din Ucraina dar și activităţi hacking asupra unor ţinte de maximă importantă de nivel NATO și UE. Potrivit site-ului grupării aceștia și-au început activitatea în luna martie 2014 când au atacat mai multe site-uri pro vestice din Ucraina care susţineau Revoluţia25. Acesta a fost urmat de atacuri similare împotriva militanţilor de dreapta, ajungându-se la blocarea comunicaţiilor a mai mult de 800 de telefoane mobile utilizate de militanţi26. Următoarele evenimente sunt doar câteva exemple ale războiului cibernetic pe care îl poartă: - 15.03.2015 atac DDOS asupra mai multor siteuri NATO, incluzând Centrul de Excelenţă pentru Apărare Cibernetică din Tallin Estonia.27 Atacul este confirmat de NATO; - 22.05.2014 cu câteva zile înaintea alegerilor prezidenţiale din Ucraina, Cyberberkut anunţă că a distrus și a atacat reţeaua CEC din Ucraina;28 - 26.07.2014 atac la adresa e-mail-ului personal al unui înalt oficial ucrainean din Ministerul Apărării din Ucraina;29 - 14.08.2014 gruparea anunţă blocarea site-ului președinţiei Poloniei și a Bursei de Valori din Varșovia; - 22.11.2014 gruparea publică mai multe documente referitoare la cooperarea militară și tehnică între SUA și Ucraina, pe fondul vizitei la Kiev a vicepreședintelui american, Joseph Biden;30
10
- 07.01.2015 dezafectarea conturilor de Twitter și facebook ale Parlamentului Germaniei și ale cancelarului Angela Merkel, sub motivaţia că SUA și Germania sprijină forţele proeuropene fasciste din Ucraina în luptele împotriva propriilor cetăţeni;31 - 11.07.2015 gruparea pretinde că a accesat computerul personal al senatorului John McCain publicând un fișier ce reflecta un video fabricat într-un studio de film ce evidenţia un asasinat terorist. Filmul era special conceput spre a se justifica măsuri ulterioare de retorsiune împotriva unor ţări din Orientul Mijlociu.32 Și poate una din cele mai spectaculoase intervenţii ale grupării a apărut la 05.03.2014, atunci când a fost postată pe internet o convorbire telefonică între ministrul eston de externe, Umas Paet și ex-Înaltul Reprezentant pentru Afaceri Externe al UE, Catherine Ashton, în care cei doi discutau despre situaţia din Ucraina. Ulterior, Ministerul Eston de Externe a confirmat autenticitatea convorbirii, discuţia având loc la 26.02.2014. La momentul convorbirii diplomatul eston se afla pe teritoriu estonian iar Catherine Ashton în Bruxelles33. Câteva observaţii pot fi făcute pe marginea celor expuse mai sus. În primul rând victimologia reflectă o plajă largă de ţinte: Ucraina, UE, Germania, Polonia, SUA, NATO și exemplele pot continua. Gruparea pare să lupte împotriva ţărilor care sunt ostile intervenţiei ruse în Crimeea. În al doilea rând, atacurile sunt diverse și vizează: blocarea sau distrugerea unor siteuri, pagini de web, sisteme de comunicaţii, uneori chiar infrastructuri critice; exfiltrarea de date din emailuri ale oficialilor reflectând acorduri secrete ale Ucrainei cu ţări NATO și UE, demersuri ale oficialilor ucraineni legat de intervenţiile militare din estul Ucrainei; cyberspionaj atâta vreme cât sunt vizate și exfiltrate documente ce reflectă planuri militare sau asistenţă militară acordată de Vest trupelor ucrainene; o intensă propagandă a grupării în favoarea intervenţiei proruse și profund împotriva forţelor proeuropene. Acesta pare să fie unul din obiectivele grupării, producerea de soft power fiind efectivă. În al treilea rând activităţile grupării reflectă o foarte mare versatilitate și rapiditate. În al patrulea rând capabilităţile lor tehnice par să fie foarte avansate atâta vreme cât sunt capabili să intercepteze și să înregistreze convorbiri telefonice din reţelele mobile europene și ucrainene. În al cincilea rând resursele umane de care dispun ar trebui să fie semnificative atâta vreme cât gruparea este capabilă să reacţioneze imediat la aproape orice eveniment major din Ucraina. În al șaselea rând, analiza activităţii grupării reflectă o evoluţie a tipologiei atacurilor de la cele de tip DDoS la furtul drepturilor de proprietate. Este evident că gruparea reușește să se plieze foarte rapid pe majoritatea evenimentelor importante din spaţiul fizic și să producă pagube acolo unde măsurile tradiţionale nu pot. Din toate aceste observaţii, analizând victimologia, resursele, intenţiile și comportamentul organizaţiei create avem o atribuire plauzibilă și rezonabilă unui actor statal care are interese majore în Ucraina și care este ostil NATO! Cu toate acestea nu avem nici o certitudine tehnică. Actorul este difuz iar ţintele sunt lovite neașteptat de forţa sa. Suntem în faţa unei puteri difuze și a unei atribuţii plauzibile. Cu toate acestea un lucru este sigur: legătura dintre grupare și potenţialul actor statal reflectă capabilităţile cyber pe care statul le are.
Concluzii - Puterea cibernetică este o expresie a noului tip de spaţiu care a apărut odată cu explozia Internetului și a mijloacelor de comunicaţie moderne. Este fundamental diferită de celelalte forme de putere în primul rând prin ingredientele sale dar și prin influenţa pe care o exercită asupra tuturor celorlalte. Difuziunea sa, forţa de propagare și imperceptibilitatea o fac de multe ori aproape imposibil de contracarat. De aceea puterea cibernetică poate lovi fără dificultăţi actori mari din sistem fără ca aceștia să perceapă din timp acest lucru. Însă atât timp cât resursele spaţiului fizic sunt încă importante, puterea cibernetică și resursele sale nu pot substitui resursele tradiţionale de putere. Cu certitudine le pot amplifica importanţa și de cele mai multe ori pot face diferenţa. Din acest motiv, puterea cibernetică este un pilon al puterii generale iar ponderea sa în indexul general de putere este semnificativă. Asemenea puterii tradiţionale și puterea cibernetică este contextuală, cumulativă și reînnoibilă. Actorii care vor putea să maximizeze aceste caracteristici ale puterii cibernetice vor avea șansele cele mai mari să ocupe poziţiile de sus ale clasamentului. În fine, deși resursele sale sunt mult mai accesibile pentru o plajă largă de actori, realitatea ultimilor ani arată că doar statele pot cu adevărat să acceseze acele asset-uri care pot face cu adevărat diferenţa. Se deduce astfel că puterea cibernetică ca pilon al puterii în sistemul internaţional este un atribut „smart” al statelor „smart”. De felul în care vor combina actorii din sistem toate tipurile de resurse și le vor transforma în putere efectivă va depinde nu doar modul de exercitare a acesteia ci și felul în care va fi distribuită în cadrul sistemului internaţional. 1 Singer Paul, Friedman Allan, Cybersecurity and cyberwar, Oxford, University Press, 2014 p. 2 2 Nye Joseph, Cyber power, Harvard Kennedy School, BelferCenter for science, May 2010, p 2 3 Singer Paul, Friedman Allan, op.cit., p. 2 4 Kuehl Daniel, From Cyberspace to cyberpower, defining the problem, in Kramer Franklin, Stuart Starr, Wentz Larry, Cyberpower and national security, US National Defence University Press, Washington DC, 2009, p. 24 5 Paul Popescu Alina Bârgăoanu, Geopolitica, NUSPA, Bucharest, 2004, p. 46 6 Baldwin David, Power and international relations, Carlsnaes Walter, Risse Thomas, Beth Simmons, Handbook of international relations, Sage publications ltd, 2013, p. 275 7 Singer Paul, Friedman Allan, op.cit., p.4 8 Paul Kenedy, Ascensiuneaşidecădereamarilorputeri, Polirom, Bucureşti, 2011, pag. 391 9 Ibidem pag 15 10 Kuehl Daniel, op.cit. p.3 11 Apud Samuel McQuade, Encyclopedy of cybercrime, GreenwoodPublishing Group p 52, în Șapte teme fundamentale pentru România, 2014, p.190 12 George Cristian Maior, State, Networks, Companies and Individuals: cyberspace paradoxes, in p. 190, in Seven fundamental issues for Romania, RAO Class, 2014, p.190 13 Singer Paul, Friedman Allan, op.cit., p.13 14 https://www.f-secure.com/weblog/archives/00002791.html 15 Zetter Kim, Countdown to zero day Crown Publishers, New York, 2014, p. 3 16 Daniel Kuehl, op.cit, p.6 17 Nye Joseph, op.cit., p. 5 18 Maior George Cristian, op.cit. p. 191 19 Nye Joseph, The future of power, Polirom, Bucharest, 2012, p 12 20 Alexander Klimburg, Cyberpower and international security in international relations, seminar, spot in https:// mediacapture.brown.edu:8443/ess/echo/presentation/8792278f-7098-40ec-87a7-a51ac98c49fa 21 Singer Paul, Fridman Allan, op.cit. p. 36 22 Cosmoiu Florin, The impact of Global Cyber threat. Evolutions and perspectives in Romania, in Seven fundamental issues for Romania, RAO Class, 2014, p.283 23 Klimburg Alexander, https://mediacapture.brown.edu:8443/ess/echo/presentation/8792278f-7098-40ec-87a7a51ac98c49fa 24 Nye Joseph, Cyber power, Harvard Kennedy School, BelferCenter for science, May 2010, p.10 25 http://cyber-berkut.org/en/olden/index5.php 26 ibidem 27 http://www.rt.com/news/nato-websites-ddos-ukraine-146/ 28 http://www.globalresearch.ca/unconfirmed-reports-electronic-files-of-ukraine-central-election-commissioncec-disabled-dnipropetrovsk-administration-computer-network-destroyed-unconfirmed-report-by-cyberberkuthackers/5383742 29 http://cyber-berkut.org/en/olden/index1.php 30 ibidem 31 http://www.ibtimes.co.uk/german-government-websites-including-angela-merkels-hit-by-severe-cyberattack-1482345 32 http://leaksource.info/2015/07/12/leaked-video-shows-making-of-islamic-state-execution-in-studio-via-cyberberkuthack-of-sen-mccain-staffer/ 33 http://leaksource.info/2014/03/05/ukraine-leaked-call-estonia-foreign-minister-and-catherine-ashton-snipersallegedly-hired-by-maidan-leaders/
Bibliografie Singer Paul, Friedman Allan, Cybersecurity and cyberwar, Oxford, University Press, 2014 Nye Joseph, Cyber power, Harvard Kennedy School, Belfer Center for Science, May 2010 Nye Joseph, The future of power, Polirom, Bucharest, 2012 Kuehl Daniel, From Cyberspace to cyberpower, defining the problem, in Kramer Franklin, Stuart Starr, Wentz Larry, Cyberpower and national security, US National Defence University Press, Washington DC, 2009 Popescu Paul, Bârgăoanu Alina, Geopolitica, NUSPA, Bucharest, 2004 Baldwin David, Power and international relations, Carlsnaes Walter, Risse Thomas, Beth Simmons, Hanbook of international relations, Sage publications ltd, 2013 Kenedy Paul, The rise and fall of great powers, Polirom, Bucharest, 2011 Maior George Cristian, State, Networks, Companies and Individuals: cyberspace paradoxes, in p. 190, in Seven fundamental issues for Romania, RAO Class, 2014 Zetter Kim, Countdown to zero day Crown Publishers, New York, 2014 Klimburg Alexander, Cyberpower and international security in international relations, seminar, spot in https://mediacapture.brown.edu:8443/ess/echo/presentation/8792278f7098-40ec-87a7-a51ac98c49fa Cosmoiu Florin, The impact of Global Cyber Threat. Evolutions and perspectives in Romania, in Seven fundamental issues for Romania, RAO Class, 2014 http://cyber-berkut.org/en/olden/index5.php https://www.f-secure.com/weblog/archives/00002791.html http://www.globalresearch.ca/unconfirmed-reportselectronic-files-of-ukraine-central-election-commissioncec-disabled-dnipropetrovsk-administration-computernetwork-destroyed-unconfirmed-report-by-cyberberkuthackers/5383742 http://www.rt.com/news/nato-websites-ddos-ukraine-146/ http://www.ibtimes.co.uk/german-government-websites-including-angela-merkels-hit-by-severe-cyberattack-1482345 http://leaksource.info/2015/07/12/leaked-video-showsmaking-of-islamic-state-execution-in-studio-via-cyberberkut-hack-of-sen-mccain-staffer/ http://leaksource.info/2014/03/05/ukraine-leaked-callestonia-foreign-minister-and-catherine-ashton-snipersallegedly-hired-by-maidan-leaders/ http://natocouncil.ca/cybersecurity-and-the-ukraine-crisisthe-new-face-of-conflict-in-the-information-age/ http://thediplomat.com/2015/03/russia-tops-china-asprincipal-cyber-threat-to-us/
11
ends Authorities - Cybersecurity Tr
Provocările securităţii cibernetice în mediul industrial ru
În ziua de astăzi, procesele industriale, fie că vorbim de producţia şi distribuţia de energie şi apă, de infrastructura de transport rutier, feroviar, aerian sau naval, au devenit tot mai dependente de soluţii de automatizare, monitorizare şi control. Acestea sunt tot mai interconectate pentru a oferi utilizatorilor finali informaţii complexe pe baza utilizării sistemelor informatice şi reţelelor de
BIO A absolvit Facultatea de Cibernetică din cadrul ASE Bucureşti şi are o experienţă de peste 15 ani în proiectarea de soluţii integrate şi implementarea de sisteme informatice complexe. În momentul actual, este Technical Leader în departamentul Cybersecurity al SIVECO Romania. Anterior a ocupat o poziţie similară în cadrul departementului eHealth, unde a lucrat la proiectarea şi implementarea sistemelor informatice ale CNAS din România (SIUI, SIPE, CEAS, DES), a sistemului informatic de Telemedicină al Ministerului Sănătăţii, şi sistemului informatic PREVENT al ANI. De asemenea, a fost coordonator tehnic, în mai multe proiecte de cercetare finanţate de Comisia Europeană prin progamele FP7 (Linked2Safety, FISTAR-EXPOsE) şi H2020 (RED-Alert). (https://www.linkedin.com/in/cristipotlog)
12
ANSSI rit a
te a Siste m elo
r In
at
nt
autor: Cristi Potlog
cu
r
m
pe
Se
ic e
žia Nažion ocia alÅ As
fo
comunicaţii, profitând din plin de imensa putere oferită de calculatoare şi de tehnologiile bazate pe microprocesor. Avansul tehnologic a oferit capabilităţi excelente de control şi analiză, aducând beneficii importante din punct de vedere al exploatării şi mentenanţei. În acelaşi timp, însă, el a expus sistemele de control industrial la noi vulnerabilităţi, care depășesc problemele tradiţionale de asigurare a securităţii fizice de acces la echipamente şi instalaţii, intrând în domeniul securităţii cibernetice. Un atac cibernetic asupra sistemelor de calculatoare dintr-un centru de comandă şi control (dispecerat zonal/teritorial), ar putea genera operaţiuni de comutare nedorite, care să conducă la întreruperi de energie electrică pe scară largă, aşa cum s-a întâmplat în 2015 în Ucraina (vezi cazul BlackEnergy). Un alt scenariu de atac cibernetic vizează pătrunderea în staţiile de transformare a personalului neautorizat şi modificarea setărilor releelor de protecţie. Urmările sunt aceleași acţiuni de comutare nedorite. În consecinţă, există o cerere crescândă de a aborda această problematică într-un mod cuprinzător şi sistematic şi de a oferi soluţii concrete de protecţie şi prevenţie a ameninţărilor cibernetice. Un aspect important al securităţii informatice pentru protecţia infrastructurilor critice se concentrează pe înţelegerea şi conştientizarea ameninţărilor reale şi vulnerabilităţilor existente în arhitecturile moderne ale sistemelor de automatizare, monitorizare şi control folosite în procesele industriale. Aceste probleme afectează atât Sistemele de Control al Distribuţiei (DCS - Distribution Control Systems), cât şi Sistemele de Monitorizare, Control şi Achiziţii de Date (SCADA - Supervisory Control And Data Acquisition) implicate în majoritatea mediilor industriale, şi impactează nu doar infrastructura IT comună, cum ar fi calculatoare Windows sau echipamente de reţea (switch-uri, router-e şi firewall-uri), dar şi echipamentele dedicate încorporate (embedded), cum ar fi unităţile logice de control programabile (PLC Programmable Logic Controller), unităţile terminale comandate la distanţă (RTU - Remote Terminal Unit), interfeţele om-maşină (HMI - Human Machine Interface), panourile de control sau sistemele auxiliare. Sistemele SCADA/DCS reprezintă ansambluri complexe de echipamente de măsură şi control folosite pentru monitorizarea sau controlul proceselor chimice, fizice sau de transport. Cea mai mare parte a operaţiunilor se execută automat de către
RTU-uri sau PLC-uri. Funcţiile de control ale centrului de comandă sunt de cele mai multe ori restrânse la funcţii decizionale sau funcţii de administrare generală. Un aspect foarte important este realizarea segmentării fizice şi logice a reţelelor de proces, de control şi a reţelei operaţionale. Astfel se împiedică accesul necontrolat din zona operaţională în cea de proces, limitând efectele pe care le-ar putea avea un calculator operaţional infectat (de exemplu la contabilitate) asupra echipamentelor de proces industrial, dar şi la nivel geografic, limitând astfel efectele unei breşe la o zonă cât mai redusă. Diagrama următoare prezintă schematic un scenariu de atac obişnuit asupra unei infrastructuri industriale ipotetice, în care un atacator poate penetra reţeaua incorect/insuficient segmentantă ajungând până în centrul de control al operaţiunilor prin intermediul unei unităţi terminale comandate la distanţă (RTU) compromise.
vastă în domeniu, oferă o gamă complexă de servicii dedicate protecţiei şi prevenţiei ameninţărilor cibernetice asupra echipamentelor şi reţelelor industriale. Soluţia propusă de SIVECO în parteneriat cu Leonardo (din Italia) și SecurityMatters (din Olanda) prevede servicii de evaluare a securităţii cibernetice ce permit identificarea problemelor de securitate existente în reţeaua beneficiarului, probleme care dacă nu ar fi descoperite la timp ar putea conduce la blocarea proceselor sau chiar întreruperea parţială sau totală a funcţionării sistemului. Evaluarea oferă o imagine clară asupra atacurilor la care era supusă zilnic reţeaua, dar şi la potenţiale probleme, evidenţiind măsuri de remediere. Un factor important al soluţiei de securitate cibernetică promovate este asigurarea protecţiei întregii infrastructuri IT a beneficiarului fără a îngreuna sau încetini funcţionarea aplicaţiilor şi echipamentelor existente. O concluzie se desprinde de la sine: securitatea cibernetică este o „problemă a tuturor“: furnizori, distribuitori, utilizatorii finali. Sistemele industriale trebuie pregătite pentru a se proteja de aceste ameninţări şi să ia în considerare diferiţii
1 - Scenariu de atac cibernetic În acest context, securitatea cibernetică pentru sisteme de automatizare şi control a devenit o problemă ce trebuie să ne preocupe din ce in ce mai mult, mai ales în sectorul energetic, un sector strategic pentru orice economie. Specialiști români în domeniul securităţii cibernetice şi auditării sistemelor informatice, în colaborare cu parteneri internaţionali cu experienţă
2 - Soluţia de protecţie şi prevenire a ameninţărilor cibernetice
adversari, cum ar fi hackeri, terorişti cibernetici, angajaţii nemulţumiţi, neglijenţi sau slab pregătiţi. Vigilenţa, cooperarea și expertiza tehnice, aplicate la unison, oferă cea mai bună apărare. De reţinut că, potrivit Kaspersky, ameninţarea cibernetică, deşi reprezintă cea mai importantă cauză din totalul de ameninţări asupra sistemelor SCADA/DCS, este totuşi depăşită ca pondere de celelalte cauze. Adevăratul pericol provine din cauze ce pot fi prevenite cu uşurinţă, cum ar fi gestiunea neglijentă a accesului la resurse sensibile (local sau la distanţă), configurarea greşită sau insucifientă a echipamentelor, aplicaţii software care conţin erori de securitate (zerodays, exploits) sau actualizări software care introduc noi vulnerabilităţi.
13
ds Cover Story - Cybersecurity Tren
Când o campanie publicitară face cât zece de awareness inclusiv polemici când este vorba de anumite tematici considerate tabu. Prin arta sa și cu sprijinul constant al brand-ului de îmbrăcăminte, Toscani a reușit să aducă lupta împotriva rasismului, împotriva prejudecăţilor contra SIDA, împotriva pedepsei cu moartea, sau împotriva atrocităţii războielor în câmpul vizual și în gândirea mai multor cetăţeni occidentali decât orice iniţiativă destinată acestor cauze.
autor: Laurent Chrzanovski
Oliviero Toscani, prin faimoasele sale fotografii folosite de către Benetton, a arătat de mult că publicitatea poate să fie folosită cu succes ca o media destinată atât promovării mărcii cât și ca un mijloc pentru a suscita dezbateri, schimburi de opinii și
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al thinktank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
14
Două imagini ale lui Toscani, împotriva rasismului și împotriva pedepsei cu moartea © Oliviero Toscani/Benetton Cine a fost recent în aeroporturile din Geneva, Basel sau Zürich a avut parte de surpriza unei noi campanii publicitare cu un concept similar, magistrală din punct de vedere al impactului asupra privitorilor, chiar dacă mai „soft” decât cele ale lui Toscani. Contrar tuturor așteptărilor, originalitatea acestei campanii este dublă: pe de o parte, are „cyber” ca tematică centrală iar, pe de altă parte, nu este opera unei firme de IT sau a unui ziar, două sectoare la care ne-am fi așteptat în mod logic să adreseze acest topic. Brand-ul asociat publicităţii este celebra societate de private banking Lombard Odier Darier Hentsch (pe scurt Lombard Odier), înfiinţată în 1796 la Geneva. În branding, actorii din private banking mizează în general pe reţete destul de consolidate, lăudând seriozitatea, discreţia, serviciul personalizat în slujba clientului și afacerilor sale. Recent, au apărut totuși idei publicitare mai noi, despre planetă sau despre tehnologii, dar oricum relativ generice și orientate spre promovarea unei consilieri de calitate pentru investiţii în domenii mai puţin cunoscute. Cu noua sa campanie, Lombard Odier vine să scuture tradiţia și ne incită să ne gândim la schimbările informaţionale și tehnologice pe care le trăim din plin. Prin curiozitate, publicitatea își îndeplinește rolul său primordial: atrage interesul asupra băncii, unde pe site-ul propriu imaginile sunt reluate și alăturate unor explicaţii asupra topic-ului „provocat” de ilustraţii și ce poate banca să facă pentru clienţi. Imaginile, cu textul lor, din punctul nostru de vedere, ar merita un premiu - dacă ar exista - de awareness: suscită emoţie în rândurile
publicului și în consecinţă dorinţa individului de a afla mai multe. Mai mult, sunt o reușită totală întrucât în 3 imagini este rezumată toată schimbarea spre „4.0” și pericolele sale, pe scurt : 1) războiul informaţional; 2) Internet of Things și 3) Inteligenţa Artificială.
Războiul informațional Afișul „post-truth”, explicat pe site-ul băncii prin articolul lui Stéphane Monier „The lens of investing: who can guide investors in a “post-truth” world?”1, este un adevărat îndemn la verificarea informaţiilor pe care le citim, în orice fel de media. Pentru cine nu este obișnuit cu sectorul financiar, aflăm de fapt că și acest domeniu, cu toate ziarele și site-urile sale de specialitate, este supus de ani buni unui val de informaţii false, greșite sau incomplete. În marele framework actual, putem să vedem că niciun sector nu mai este exceptat de la derapaje voite și de la războiul „info-intox” planetar care a atins vârfuri în domenii geopolitice și strategice cu recenta campania prezidenţială din S.U.A. și de atunci continuă zilnic cu aceeași intensitate. Calitatea și cantitatea informaţiilor false poate rapid să aibă efectul unui bulgăre de zăpadă, care devine de ce în ce mai mare până când „intox” se sustituie „info-lui” și devine „adevăr” în subconștientul oamenilor. Această tematică și neologismul „post-truth” în sine2 au devenit chiar una dintre axele principale ale specialiștilor din sectorul public, academic și privat. Chiar nu este un fenomen nou, dar amplificarea sa pe zi ce trece ne va obliga pe fiecare dintre noi să presupunem din precauţie că o știre este falsă sau inexactă până la proba contrarie. „Încrederea” în domeniul digital nu se poate acorda decât extrem de rar, dacă facem comparaţie cu domeniul interacţiunii umane din viaţa reală. Istoric, este greșeala noastră colectivă de a subestima (sau ignora) ani de zile acest război informaţional și efectele sale asupra modului nostru de a privi lumea în care trăim, și este suficient să reamintim două exemple care, singure, ne fac să înţelegem gravitatea fenomenului. Primul este faimosul „Hacked Tweet” al Associated Press din 23 aprilie 2013, care a anunţat „live” la 13:07 ora New York-ului că a avut loc un atentat la Casa Albă și că Președintele Obama este rănit. În câteva minute, Wall Street a avut un „crash” cu o pierdere de nu mai puţin de
136 miliarde de dolari în 3 minute, înainte ca știrile adevărate să permită bursei să revină la „normalitate”. Acest „intox”, datorat spargerii contului twitter al Associated Press de către hackeri, este până acum, cel mai
costisitor „fake news” din istorie prin efectul imediat și devastator. Iar azi, trăim cu «fake news» care sunt concepute, gândite și bazate pe un efect pe termen mediu și lung, exact pe teoria bulgărelui de zăpadă. Nu au intenţia să provoce un crash în momentul publicării «știrii», dar doresc să modifice opinia publică și financiară asupra unui stat, unui business, unei persoane în timp, provocând așadar daune greu de reparat deoarece cantitatea «intox-ului» duplicat exponenţial este aproape imposibil de contrastat cu campanii de «counter-intel» la înălţimea tsunamiului provocat. În acest sens, al doilea exemplu este poate și mai revelator prin masa impresionantă de date și în consecinţă de „știri” care circulă azi în domeniul digital. Conform studiilor recente, în mai puţin de 48 de ore se postează pe Internet echivalentul cantitativ al tuturor colecţiilor (printate și digitale) al celei mai mari biblioteci din lume, celebra Library of Congress din Washington – adică 161 de milioane de documente –, și în mai puţin de o săptămână sunt mai multe date noi online decât a produs în scris întreaga omenire până la nașterea www, ceea ce înseamnă că deja am ajuns la faptul – îngrijorător – ca 90% din datele și informaţiile accesibile azi au fost create... în ultimi 2 ani! Câte dintre acestea sunt false, incorecte, incomplete, manipulate, scurtate, în mod voit sau nevoit și apoi copiate și difuzate exponenţial?
Sediul central al Library of Congress și crearea zilnică de info/date pe zi azi
15
ds Cover Story - Cybersecurity Tren Internet of Things
© Lombard Odier Afisul „threat”, explicat pe site-ul băncii prin articolul colectiv „Connected cows: how technology can help feed a growing population?”3 pune pe masă problema IoT văzută dintr-o perspectivă foarte interesantă. Cum poate un viţeluș să fie o ameninţare? Aceasta este întrebarea pusă de afiș. Pentru simplul motiv că datorită creșterii populaţiei mondiale, va fi nevoie (conform ultimului studiu FAO) să sporim în următorii 30 de ani cu cca. 60% creșterea animalelor, ori aceasta deja produce mai multe gaze nocive pentru atmosferă decât toate vehiculele rutiere de pe planetă împreună... Lăsând la o parte opiniile personale asupra nevoilor de produse animale în dieta cotidiană, cel mai spectaculos succes al unui sistem IoT combinat cu Inteligenţă Artificială și împachetat într-un ecosistem tehnologic robust și „taylor-made» va fi în domeniul gestiunii resurselor naturale. Contrar marketingului de bază al producătorilor de „smart” orice (produse domestice sau de folos personal în general), se pune chiar problema esenţială: unde anume IoT aduce o ameliorare și unde nu. Și, mai ales, faptul că nici un profesionist (din agricultură sau din alte industrii) nu este nici informatician nici analist de date. Așadar, IoT trebuie văzut ca o componentă
fundamentală dar de bază a unui set complet de sisteme și software concepute pentru domeniul căruia i se adresează și ţinând cont de toate caracteristicile
16
acestuia. Mai mult, se insistă asupra faptului că în aceeași branșă, în funcţie de ţară sau de ecosistemul natural, nevoile agricultorilor pot să fie extrem de diferite între ele. Așadar, datorită unui viţeluș adorabil și al cuvântului „ameninţare” ne dăm seama nu numai că avem o problemă mare cu resursele naturale, ci și că IoT nu este o soluţie miraculoasă pentru toate provocările cu care ne confruntăm. Dimpotrivă, alegerea necorespunzătoare a IoT, în viaţa noastră personală cât și profesională, nu numai că ne va aduce o cantitate de informaţii inutilă de gestionat, dar în plus va deschide noi uși pentru cyber-criminali. Încă odată, „taylor made” este secretul și al business-ului, și al unei securităţi reușite. Și acest sistem „croit pe măsură” se bazează pe dialog, încredere și înţelegerea reciprocă între furnizorii de sisteme informatice și consumatorul final.
Inteligența Artificială Afișul „human”, explicat pe site-ul băncii prin articolul lui Johnny Mulholland „Why Artificial Intelligence sustainability is set to become a byword for good business?”4, este o provocare. Asociind cuvântul „uman” cu un cyborg, se creează baza unei dezbateri vitale pentru societate, adică împărţirea eficientă și etică între rolul umanului și rolul tehnologiilor și
roboţilor. Este remarcabil cât se insistă în articol pe o formă de AI care să fie complementară și nu înlocuitoare a activităţilor umane. Dezbaterea actuală despre big data, „dictatura algoritmilor”, „big brother(s)” și despre cine deţine și datele și mijloacele de a le exploata este foarte prezentă. Numai luările de poziţie clare ale clasei politice și ale societăţii civile, azi și în cei 2-3 anii care vor urma, sunt singurele care pot stabili o noua etică, o nouă morală, care să fie potrivită atât pentru a profita în mod benefic de pe urma tuturor inovaţiilor legate de AI, cât și pentru a evita ca AI să sfideze complet legile roboticii – adică să se întoarcă împotriva stăpânului său, în acest caz utilizatorii – sau să fie stăpânită de către un mic număr de actori mondiali pentru scopuri și beneficii proprii.
1 https://www.lombardodier.com/post-truth 2 Folositpentru prima data de catrescriitorulamerican Steve Tesich in… 1992 deja, si desemnat „cuvant al anului 2016” de catredictionarii Oxford : https://www.theguardian.com/books/2016/nov/15/posttruth-named-word-of-the-year-by-oxford-dictionaries 3 https://www.lombardodier.com/threat 4 https://www.lombardodier.com/human
Authorities
Rolul vizibilităţii în asigurarea securităţii cibernetice
autor: Cătălin Pătraşcu
Atunci când vine vorba de gestionarea incidentelor de securitate cibernetică, cu toții știm că în teorie trebuie să ne asigurăm că dispunem de următoarele capabilități: prevenție, detecție și răspuns. Din fericire există deja o multitudine de tehnologii, open source, gratuite sau comerciale, care adresează aceste nevoi și pe care atât utilizatorii casnici cât și companiile au început să le folosească.
Cu toate acestea, tot mai multe studii afirmă faptul că, în medie, unei companii îi trebuie zeci de zile să detecteze faptul că sistemul informatic a fost compromis și, ceea ce este și mai grav, are nevoie de asemenea de câteva zeci de zile să remedieze problema. Întrebarea evidentă care se pune este: ce anume scăpăm din vedere? Iar în rândurile care urmează regăsiţi o opinie personală ca răspuns la această întrebare. Una dintre cele mai mari probleme cu care se confruntă companiile la nivel global atunci când vine vorba de asigurarea securităţii cibernetice este insuficienţa personalului specializat în acest domeniu. Însă acesta este doar un argument în plus pentru care avem nevoie de două componente importante care, după părerea mea, sunt neglijate de cele mai multe ori atunci când se creionează strategiile de asigurare a securităţii cibernetice într-o companie: vizibilitatea și controlul.
BIO Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.
Sunt din ce în ce mai multe companii care utilizează peste zece unelte/ tehnologii de securitate de tipurile: antivirus, firewall, IDS/IPS, web application firewall, email gateway, web gateway, web proxy, sanboxing, SIEM etc. Și cu toate acestea există cazuri în care unele dintre aceste companii au probleme serioase cu detectarea și remedierea breșelor și compromiterilor din propriile reţele. De vină pentru acest lucru este lipsa asigurării corespunzătoare a celor două componente vitale, din nou: vizibilitatea și controlul. Explicaţia este simplă și la îndemâna oricui: fiecare tehnologie utilizată are propriile facilităţi de vizibilitate și control, punând la dispoziţie diferite interfeţe grafice sau de tip consolă de comenzi (CLI), însă este aproape imposibil ca personalul dedicat să urmărească datele furnizate de toate aceste tehnologii în același timp. Și chiar dacă ar încerca să facă acest lucru, tot ar întâmpina greutăţi în corelarea informaţiilor puse la dispoziţie de fiecare dintre aceste tehnologii. Partea frumoasă este că, în teorie, dacă ne asigurăm că avem vizibilitate și control în infrastructura IT este aproape suficient pentru asigurarea celor trei capabilităţi de care vorbeam la început: prevenţie, detecţie și răspuns. Pentru a atinge acest obiectiv avem la dispoziţie două mari opţiuni: achiziţia de soluţii de securitate integrate care oferă deja vizibilitate și facilităţi de control adecvate, sau integrarea mai multor tehnologii de sine stătătoare astfel încât să obţinem aceste facilităţi. Un exemplu simplu de unealtă care trebuie pusă la dispoziţia responsabililor cu securitatea informatică este o consolă grafică în care aceștia să poată urmări evenimentele importante din infrastructura IT, să poată realiza investigaţii mai amănunţite și, foarte important, să poată lua măsuri/acţiuni din cadrul aceleiași console. Închei prin a-mi exprima speranţa că rândurile de mai sus vă vor fi utile în viitoarele discuţii cu furnizorii de tehnologie de securitate și în implementările proiectelor de securizare a infrastructurilor cibernetice.
17
Focus - Cybersecurity Trends
Conferinţa CLUSIS privind inteligenţa economică (Geneva, 6 decembrie 2016): un raport
autor: Albert Rossier1
Rezumat „Războiul economic” actual devine tot mai mult un război cibernetic. Inteligenţa economică (IE) evidenţiază legăturile, permeabilitatea dintre sferele publice, atât militare cât și civile. Aceasta promite să asigure cooperarea între puterea publică și privată. IE își are originile în sistemul de informaţii militar care se pune din ce în ce mai frecvent în serviciul sistemului de informaţii privat. Pentru o companie sau un stat, obiectivul îl reprezintă păstrarea suveranităţii digitale iar, în viitorul apropiat, provocarea IE va fi gestionarea agregării, creșterii volumului și analiza pertinentă a acestor „big data”.
BIO Albert Rossier predă Securitatea sistemelor de informații la Haute Ecole de Gestion din Geneva (HEG – HES-SO), este director de program de formare continuă în Managementul securității sistemelor de informații (MAS-MSSI) și consultant independent în Securitatea sistemelor de informații.
18
Pentru a putea „câștiga” acest război cibernetic, vor trebui folosite mijloace de influenţă precum Wikipedia și inteligenţa colectivă care permit o interacţiune pozitivă. De asemenea, capitalul uman al companiei și al statului va trebui recâștigat. Anul trecut, în 6 decembrie, Asociaţia Elveţiană de Securitate a Informaţiei (CLUSIS) a organizat o conferinţă cu privire la acest subiect, la sediul Federaţiei Întreprinderilor Romande (FER).
Contextul
autor: Albert Pélissier, Președinte Pélissier & Partners2 Albert Pélissier citează pe Goethe: „Cine nu știe să tragă învăţături din 3000 de ani de istorie, trăiește de pe o zi pe alta.” Inteligenţa economică (IE) constă în a percepe ceea ce se întâmplă, în a vedea, a ști cum se colectează datele, apoi în a dobândi cunoștinţe. Trebuie să facem faţă unor state-strateg care folosesc de mult timp noi tehnologii ale informaţiei asociindu-le o permeabilitate între diferitele sfere ale statului. Noua provocare economică o reprezintă stăpânirea anumitor tehnologii pentru a proteja sectoarele de suveranitate de un control industrial sau financiar străin. IE este în prezent organizată ca o veritabilă strategie de competitivitate și de securitate economică, în cadrul multor state. IE reprezintă răspunsul
la acest climat de hiper-competiţie între state și de hiper-concurenţă între companii. IE este un post de pilotaj strategic care constă într-un dispozitiv de supraveghere pentru dobândirea de cunoștinţe, de siguranţă, de protecţie împotriva ameninţărilor și pentru lupta împotriva atacurilor informaţionale și mediatice. IE vizează dezvoltarea actorilor industriali sau a serviciilor care să opereze această dezvoltare. IE se rezumă încă prea mult la siguranţă, la protecţia datelor informaţionale și la ameninţări și nu ia în calcul serviciile de informaţii și aspectul influenţei. Din păcate, nici până în prezent, IMMurile nu o consideră un instrument de construire a strategiei organizaţiei lor. Istoria IE începe de-abia acum, cu greu, în Elveţia.
Serviciul de Informații al Confederației (SRC) – Programul de sensibilizare și de prevenție Prophylax SRC3 are un mandat legal de a detecta și a combate terorismul, extremismul violent, spionajul, propagarea armelor de distrugere în masă, precum și vectorii lor (proliferare) și atacurile cibernetice care vizează infrastructuri critice în Elveţia. SRC nu are competenţă decât în acele acte de spionaj în care informaţiile secrete în raport cu Elveţia sunt căutate în Elveţia pentru un factor străin (stat, partid politic, grup, companie). Activităţile SRC nu vizează spionajul dintre două companii elveţiene, fapta fiind de competenţa instituţiilor din cantonul unde se produce. Mandatul SRC include și măsuri de prevenţie, printre care face parte și Prophylax4, program de prevenţie și sensibilizare în cadrul luptei împotriva spionajului economic și proliferării armelor de distrugere în masă. Acesta există din 2004 și are ca scop sensibilizare companiilor elveţiene, instituţiile de învăţământ, precum și institutele de cercetare cu privire la riscurile și ameninţările pe care le reprezintă spionajul economic și proliferarea sa. Aceste organizaţii sunt informate și cu privire la măsurile de protecţie care le permit evitarea scurgerilor involuntare de date și atingerile aduse reputaţiei lor. Programul include întâlniri personale și confidenţiale cu reprezentanţii companiilor și organizaţiilor, precum și participarea la manifestaţii consacrate unor teme legate de securitate. Programul Prophylax a demonstrat că, în domeniul spionajului economic, există un număr însemnat de tentative neidentificate sau nesemnalate. Pentru a spori vizibilitatea și eficienţa programului, SRC a realizat scurtmetrajul „En ligne de mire”5, în care este vorba de o poveste fictivă, însă mijloacele prezentate sunt într-adevăr folosite de către entităţi de stat precum serviciile de informaţii străine sau de către alţi actori privaţi cu scopul de a accede la informaţii confidenţiale sau secrete. Ce metode pot fi folosite pentru a dobândi acces la informaţii confidenţiale? De pildă, poate fi vorba despre vizite ale unor delegaţii străine la sediul unor companii, oferte de servicii sau chiar achiziţii de tehnologii sau de companii pentru a-și putea plasa proprii angajaţi în compania respectivă, ori cooptarea unor foști sau actuali angajaţi ai acesteia, pentru a accede la informaţii confidenţiale. Pe de altă parte, se observă din ce în ce mai multe atacuri cibernetice (phishing, spear-phishing, hacking etc.). Protecţia completă nu există, însă riscul de a deveni victima unei tentative de spionaj poate fi diminuat prin luarea unor măsuri adecvate. De exemplu, se poate pune în discuţie necesitatea de a enumera întregul colectiv care lucrează la o companie, pe website-ul acesteia, alături de fotografia, funcţia și adresa de email a fiecăruia. Este importantă și reglementarea accesului fiecăruia la categoriile de date din cadrul companiei. Angajaţii nu ar trebui să aibă acces decât la
informaţiile care le sunt necesare pentru activitatea lor zilnică. Este posibilă chiar și crearea de reţele separate pentru operarea datelor sensibile. Scurgerile de date sau de informaţii interne pot fi diminuate prin formarea și sensibilizarea angajaţilor, întrucât în jumătate dintre cazuri, angajatul este „spionul”. O astfel de scurgere de informaţii poate fi rezultatul unui comportament neglijent sau a unui act infracţional intenţionat al angajatului. Și colaboratorii trebuie sensibilizaţi, pentru o utilizare responsabilă a telefoanelor mobile. În timpul vizitelor în străinătate, este de preferat să nu fie luate cu sine decât datele și aparatele electronice necesare, iar protecţia specifică trebuie asigurată atunci când aceste aparate sau date sunt sensibile. În timpul conferinţelor, este important ca aceste aparate să nu fie scăpate din vedere sau să fie luate cu sine, chiar și pe perioada unei pauze de cafea, deoarece copierea datelor pe un stick USB sau instalarea unui malware sunt operaţiuni foarte simple și rapide. Nici camerele de hotel nu sunt spaţii sigure, întrucât pot intra persoane neautorizate. În cazul unui incident sau a unei probleme în străinătate, puteţi contacta ambasada sau consulatul Elveţiei. Semnalarea oricărei suspiciuni de spionaj este importantă, pentru a evita orice scurgere de date și mai ales pentru a împiedica astfel de ameninţări împotriva altor companii. Acest lucru se poate face fie direct la SRC, iar în cantonul Geneva, la Brigade Sûreté Intérieure (BSI). În plus, centrul pentru raportări privind siguranţa informaţiei MELANI6 centralizează toate informaţiile legate de tematica „cyber”.
Inteligența economică, de la serviciile de informații militare la serviciile de informații private, trecut și prezent
autor: Alain Mermoud, doctorand în sisteme de informaţii la HEC Lausanne7 și colaborator știinţific la academia militară la EPF, Zurich (ACAMIL)8 Alain Mermoud mulţumește Clusis pentru invitaţie, își mărturisește pasiunea pentru Inteligenţa Economică (IE) și explică faptul că termenul „inteligenţă” trebuie perceput în înţelesul său anglo-saxon, adică mai degrabă cu sensul de „servicii de informaţii” („renseignement” în franceză). Acest desen de Wazem, care a apărut în cotidianul „Le Temps”, amintește de originile militare ale IE. IE
19
Focus - Cybersecurity Trends își are originile în natură și în regnul animal. Există și o legătură istorică între sfera statală, cea militară și lumea economică. Spre deosebire de spionajul industrial, IE colectează, operează și difuzează informaţii utile actorilor economici exclusiv prin mijloace legale. Cei care lucrează în domeniul IE operează doar cu informaţie „albă” (Open Source Intelligence) sau informaţie „gri” (în acces liber, dar dificil), însă niciodată cu informaţie „neagră”, cum se întâmplă în spionajul industrial. Acest demers poate fi rezumat sub forma unei ecuaţii:
difuzarea. Supravegherea reprezintă primul pilon istoric al IE, există dintotdeauna, regăsim chiar și la Sun Tzu (secolul V î. Hr.) în tratatul său, Arta războiului, necesitatea de urmări propriul mediu pentru a detecta oportunităţile strategice și a anticipa. Protecţia patrimoniului informaţional cuprinde strategii de produs, know how, competenţe, proprietate intelectuală, brevete, reputaţie, tehnologie, procese de producţie etc. În termeni militari, acest lucru se numește forţa protecţie (FP). Influenţa constă în difuzarea informaţiilor sau a normelor de comportament și de interpretare care favorizează poziţia strategică a companiei pe termen lung. Relaţiile publice și lobby-ul permit exercitarea unei comunicări de influenţă pentru a proteja și îmbunătăţi reputaţia companiei. Echivalentul în termeni militari este PSYOP, iar în diplomaţie se numește soft/smart power. Într-un mediu internaţional marcat de grave incertitudini și de avertizări care pot avea termene foarte scurte, mijloacele de cunoaștere și de anticipare constituie prima linie de apărare. Potrivit generalului de brigadă Gaudin (fost șef al Serviciului de informaţii militare), IE face parte din serviciile de informaţie de apărare și de interes militar, împreună cu serviciile de informaţii știinţifice, de pildă. IE poate și implementată și la nivel de stat. În ianuarie 2016, guvernul francez a creat un comisar și un serviciu de informaţii strategice și de securitate economică. Această politică publică privind inteligenţa economică vizează în special întărirea protecţiei și promovării intereselor economice, industriale și știinţifice fundamentale ale naţiunii, precum și asigurarea mijloacelor suveranităţii economice a Franţei. În Franţa există și o Ecole de Guerre Economique, iar Alain Mermoud este unul din absolvenţii acesteia. Disciplina a cunoscut o puternică expansiune după căderea Zidului Berlinului, când numeroși spioni britanici și americani au rămas fără muncă. Aceste persoane au intrat în sectorul privat, fapt ce a favorizat transferul de cunoștinţe între sfera statală și cea economică. IE furnizează o grilă de analiză unică ce permite decriptarea dedesubturilor hărţilor și analizarea mizelor puterilor ascunse sau disimulate, iar aceasta ar trebui să fie o disciplină în școlile de business și de știinţe politice. O agendă digitală susţinută de o politică publică a IE ar putea susţine emergenţa unei soft power. Această putere de influenţă este indispensabilă în ziua de azi, pentru a forma o smart power elveţiană, susţinută de hard power. IE poate permite emergenţa unui stat strateg capabil de a anticipa mai corect și de a fi surprins mai greu. Un astfel de stat trebuie să deţină un mijloc de guvernanţă strategică apt pentru detectarea proactivă a riscurilor și a oportunităţilor. Inspirată din sistemul de informaţii, IE permite dotarea statului din punct de vedere intelectual pentru a înţelege forţele care operează, pentru a decripta alianţele și strategiile de acţiune. IE permite și optimizarea transferului de cunoștinţe și de metodologii între sfera militară și cea privată. IE reprezintă o metodă care permite crearea securităţii economice pentru companiile noastre. De altfel, o asemenea politică ar permite creșterea gradului de control asupra reţelelor noastre informatice, coloana vertebrală a economiei noastre. Se poate face analogie cu natura și suricatul, supranumit santinela deșertului, care supraveghează. Acesta este pregătit să își avertizeze tribul
2
3
competențe + informație = decizii + acțiuni Definiţia cea mai simplă a IE este: informaţia potrivită, în posesia persoanei potrivite, la momentul potrivit și într-un mod sigur. IE se bazează pe trei piloni fundamentali: supraveghere, protecţie, influenţă.
Source: Une approche interdisciplinaire de l’intteligence économique, cahier de recherche (2007 p.7)
1
Supravegherea poate fi activă sau pasivă (defensivă) și se poate focaliza pe aspectul strategic, juridic, societal sau concurenţial al companiei. Este vorba de structurarea unei abordări prospective pertinente care să poată orienta decizia sau acţiunea. Supravegherea se compune din ciclul de informaţii bine cunoscut militarilor: (a) analiza nevoilor, (b) colectarea, (c) exploatarea, (d)
20
de iminenţa unui pericol și de oportunităţile de vânătoare, așadar face în același timp managementul riscului și detectarea oportunităţii, două axe regăsite frecvent în IE. Potrivit lui Yves Coppens, care împărtășește una din teoriile dispariţiei dinozaurilor, dacă viteza de adaptare a unei specii este mai mică decât viteza de evoluţie a mediului, specia devine ameninţată, iar dacă, dimpotrivă, viteza de adaptare a speciei este mai mare decât cea de evoluţie a mediului, specia are oportunitatea de a evolua. Acest lucru e traduce, prin bio-mimetism, și în cazul unei companii. Există și alte exemple de transfer din domeniul militar către companie, prin preluarea calificărilor și informaţiilor din sectorul militar în spaţiul bancar prin intermediul ofiţerilor care ocupă posturi înalte în marile bănci elveţiene. Acestea implementează în prezent radare informaţionale pentru a nu fi surprinse de schimbările legislative care ar putea avea un impact asupra business-ului lor sau asupra fiscalităţii unui client. Pentru a-și menţine și a-și spori suveranitatea, un stat trebuie să fie elementul dominant al supravegherii care se exercită pe și de pe teritoriul său. Reţeaua de Internet a devenit simbolul globalizării și schimburilor internaţionale. Cu toate acestea, reţeaua are origini militare – reţeaua ARPANET – și reprezintă astfel o legătură directă cu apărarea suveranităţii. Revelaţiile generate de Snowden nu au făcut decât să confirme importanţa informaţiei pentru securitatea naţională, așa cum susţinea și Thomas Hobbes în secolul al XVII-lea în opera sa, Leviathan: „Informaţia este putere!”. Încă din anii ’90, Statele Unite au înţeles că, într-o economie a cunoașterii, importanţa informaţiei ar putea fi comparată cu cea a petrolului în societatea industrială: principalul carburant și mijloc de creștere. Datele sunt deci principala materie primă a celei de-a patra revoluţii industriale. Ca și petrolul, acestea trebuie să fie în primul rând extrase, apoi rafinate pentru a deveni utilizabile. Sunt împărţite în mod inegal și deci prezintă interes geoeconomic pentru state. Tehnologia nu este neutră, ci se înscrie într-un context geopolitic și în ideologii. GAFA (Google-Apple-Facebook-Amazon) formează în prezent primele capitalizări bursiere mondiale și depășesc produsul intern brut (PIB-ul) anumitor state. Această supremaţie digitală americană s-a construit de-a lungul a mai multor decenii în jurul unui parteneriat public-privat eficient. Strategia constă în alierea intereselor economice, investiţiilor, ecosistemelor antreprenoriale din Silicon Valley, nevoilor de servicii de informaţii și intereselor militaro-strategice. Această alianţă alcătuiește în prezent un veritabil complex militarodigital care permite asigurarea hegemoniei americane în spaţiul cibernetic și consacrarea extrateritorialităţii dreptului american. Edward Snowden nu a făcut decât să confirme ceea ce toată lumea presimţea, și anume că întreprinderile high-tech americane sunt braţul executant al hegemoniei americane. Surprinzătoare la aceste revelaţii este magnitudinea lor. Programul PRISM a fost conceput acum 10 ani, iar în prezent se adaugă biometria, dronele etc. Se cunoaște astăzi faptul că GAFA (Google, Apple, Facebook, Amazon) lucrează mână în mână cu complexul militaro-industrial american sau, mai bine spus, militaro-digital, așa că acesta trebuie repoziţionat într-o dinamică consacrată de mult timp care alătură interesele economice, cele informaţionale și cele militare într-o strategie de expansiune. Un alt exemplu: geolocalizarea a făcut obiectul cofinanţărilor masive din partea armatei și a statului.
Internetul face parte din viaţa noastră de zi cu zi, îl folosim la muncă, acasă, în timpul liber, adesea ne ușurează viaţa, însă dependenţa de reţea este foarte puternică și orice dependenţă este, prin natura sa, nefastă. Ce s-ar întâmpla dacă Internetul n-ar mai fi disponibil pe o perioadă mai lungă de timp, într-un stat sau chiar pe un continent? S-ar petrece o catastrofă care ar provoca un mare haos. Internetul ne controlează reţeaua electrică, semafoarele, bancomatele, infrastructurile noastre vitale nu ar mai fi capabile să funcţioneze, iar un atac cibernetic de o asemenea amplitudine este posibil în prezent. Ar însemna începutul unei crize sistemice cu efecte în cascadă mai grave decât cele ale crizei economice din 2008, care ar declanșa astfel și o criză cyber-subprime. Internetul este deci o grenadă cu inelul scos, care ar putea exploda în cazul în care nu rezolvăm problemele securităţii cibernetice. Potrivit unor cercetători, dezavantajul de a fi conectat ar putea depăși avantajul conferit, iar alţii susţin că sfârșitul acestei reţele este aproape. IE ar putea contribui la evitarea acestui scenariu de armagedon cibernetic. Știinţele informatice au propus soluţii de protecţie tehnică, antivirus, firewall, controlul accesului, însă toate sunt insuficiente fără o abordare holistică și multidisciplinară a securităţi, fiindcă veriga slabă este chiar omul. Cu toţii am văzut o parolă scrisă pe un post-it; aceste comportamente umane sunt cele care favorizează atacurile cibernetice. IE readuce omul în centrul acestei securităţi cibernetice. IE favorizează schimbul de informaţii, iar prin schimb, informaţia se multiplică, nu se pierde. Acest schimb permite și detectarea unui eventual atac cibernetic, ca de pildă în cazul RUAG, când serviciile de informaţii germane au avertizat Elveţia cu privire la atac. De aici decurge și necesitatea schimburilor între sectorul public, privat și militar.
21
Focus - Cybersecurity Trends Rămâne totuși o întrebare fără răspuns, în ceea ce privește Elveţia: va putea rămâne oare neutră în spaţiul cibernetic? Ar fi o bună ocazie pentru Elveţia de a se declara neutră în acest spaţiu și de a juca rolul de mediator în conflicte cibernetice. Genève Internationale este poziţionată ideal pentru a favoriza și asista conturarea unui Tratat internaţional al spaţiului cibernetic. Există o reacţie întârziată a Elveţiei în materie de IE și, în special, în conservarea suveranităţii sale digitale. În această privinţă, Republica și cantonul Geneva capătă un rol de deschizător de drumuri, odată cu elaborarea strategiei economice 2030 care face referire în mod explicit la IE, iar odată cu noua Lege privind poliţia (LPol), cantonul are un consiliu consultativ de securitate, care a elaborat o strategie în materie de securitate pentru orizontul de timp 2030. Acest document strategic reiterează importanţa de a avea o capacitate de supraveghere strategică și importanţa IE. La sfârșitul anului 2017, cantonul va lua parte la un exerciţiu de conduită strategică. Aceste exerciţii sunt esenţiale și permit dezvoltarea unei gândiri strategice, dar și testarea coordonării între diferiţi actori din cadrul lanţului securitar. Este esenţial ca următorul exerciţiu al Reţelei naţionale de securitate (ERNS 19) să aibă o abordare holistică și multidisciplinară a IE. Pentru cei care încă mai ezită când vine vorba despre investiţiile în IE, nu putem decât să repetăm următoarea frază: „If you think that intelligence is expensive, consider the price of ignorance.”
Inteligența economică: provocări și perspective
autor: Dimitri Percia David9 Doctorand în sisteme de informaţii la HEC Lausanne și colaborator știinţific la academia militară din cadrul EPF Zurich (ACAMIL)10 A vorbi despre perspective și a face proiecţii cu privire la Inteligenţa economică (IE) în contextul celei de-a patra revoluţii industriale presupune înţelegerea mizelor pe care această revoluţie digitală le ridică în ceea ce privește colectarea, trierea și analiza informaţiei. Cu toate acestea, să nu uităm că asemenea proiecţii și speculaţii au rolul mai degrabă de a stârni dezbateri în legătură cu viitorul IE, decât de a afirma tendinţe într-un mediu în permanentă evoluţie și reinventare. În cadrul acestei revoluţii digitale – pe care Klaus Schwab o numește a 4-a revoluţie industrială – are loc
22
o perturbare profundă a societăţilor industrializate, provocată de avântul tehnologiilor digitale precum informatica, Internetul, sistemele ciber-fizice, inteligenţa artificială (IA), începuturile Big Data, internetul obiectelor (Internet of things - IOT). Aceste tehnologii produc tulburări al căror impact asupra vieţii noastre de zi cu zi, asupra afacerilor și societăţii în general nu poate fi în totalitate cuantificat. Din punct de vedere structural, aceste tulburări se pot exprima uneori prin trei elemente. Alăturarea în cadrul aceleiași reţele a indivizilor și a sistemelor de informaţii; Noile forme de comunicare produse de primul element (importanţa crescândă a reţelelor sociale, lanţurile de blocuri – blockchains, IA etc.). Descentralizarea circulaţiei informaţiei. Într-o societate în care totul este digital, informaţia și sistemele de informaţii joacă un rol omniprezent și central în înrădăcinarea și dezvoltarea societăţii noastre. Totuși, chiar dacă mediul în care trăim se schimbă, rolul IE rămâne același: detectarea ameninţărilor și oportunităţilor pentru un anumit actor, fie el public sau privat. Veritabila miză o reprezintă decelarea în ce măsură această detectare a ameninţărilor și oportunităţilor este influenţată de revoluţia digitală. Iar răspunsul este legat intrinsec de fenomenul Big Data, aceste date ale căror volum, varietate și viteză de producere devin atât de ridicate încât operarea lor cu mijloace informatice clasice devine imposibilă. Analistul este astfel înecat într-un ocean de date eterogene, multiple și complexe. Un ocean de date a căror multiplicare nici nu este inteligibilă. Extragerea, colectarea, trierea, gestionarea, analizarea și stocarea acestor Big Data devine o provocare cu normă întreagă. Prin urmare, o asemenea situaţie ne impune o renunţare la potenţialul informaţional. Veritabila provocare devine deci necesitatea de a reintra în posesia acestui potenţial informaţional prin intermediul tehnologiilor informaţiei în era Big Data Analytics. Ce se înţelege prin reintrarea în posesia potenţialului informaţional? Acest lucru presupune înţelegerea modului cum se pot transforma Big Data în Smart Data, adică menţinerea capacităţii de a oferi informaţia potrivită persoanei potrivite, la momentul potrivit, printr-un mijloc sigur, totul în contextul infobezităţii (surplus de informaţii fără garanţia fiabilităţii și veridicităţii). Acest fenomen poate fi ilustrat, luând ca exemplu un tweet. O astfel de informaţie are 140 de caractere, însă, limitată la acestea, metadatele ascunse în spatele celor 140 de caractere nu ar putea fi exploatate în scopuri informaţionale. Or, luând în calcul și metadatele, se obţine o informaţie pertinentă care permite și decelarea corelărilor și chiar a cauzalităţilor esenţiale în producerea informaţiei. Relaţionarea metadatelor precum ora, coordonatele GPS, evenimentul legat de tweetul respectiv, datele socioculturale ale autorului, precum și alte date semnificative, permite accederea la o informaţie nouă și relevantă. Legând între ele aceste informaţii, se ajunge la noi informaţii. Analizând și punând în relaţie date de origini multiple și variate, se poate determina faptul că tinerii americani din clasa de mijloc sunt cei care redistribuie cel mai adesea tweet-urile lui Trump, de pildă. O parte deloc neglijabilă a variabilelor care au influenţat votarea lui Trump sau astfel decelate, permiţând apoi o adresare mai bună a strategiilor de campanie. Relaţionarea informaţiilor permite crearea de insights (informaţii ţintite și relevante pentru o situaţie dată). Astfel, devine posibilă determinarea factorilor care au influenţat alegerea lui Trump – cum ar fi sentimentul de marginalizare încercat de o anumită categorie de cetăţeni. Pot fi identificate structuri semnificative care stau
1 2 3
la baza anumitor fenomene. Așa se face că anumiţi analiști au prezis că numărul voturilor lui Trump va fi subestimat, motivând că votanţii nu își exprimă opinia atunci când se simt marginalizaţi. Big Data permit „doparea cu steroizi a serviciilor de informaţii”, oferind posibilitatea extragerii tendinţelor și structurilor care generează fenomene. Evenimentele pot fi de acum anticipate de manieră cuantificabilă. IE evoluează de asemenea, cu un cadru de aplicare și o eficienţă superioare. Această nouă formă de IE bazată pe tehnologii Big Data Analytics permite și o restabilire a faptelor netrunchiate. Apariţia așanumitelor echo chambers în media – metaforă ce descrie situaţia în care o informaţie este amplificată și întărită prin transmiterea sa într-un spaţiu închis, cenzurând astfel punctele de vedere neconvenţionale – trunchiază informaţia. Se poate face o simplă analogie acustică, în care sunetul reverberează într-o cameră cu ecou. Adăugând fenomenului echo chambers și așa-numitele filter bubbles, utilizatorii canalelor media sunt segregaţi de informaţiile care intră în conflict cu punctele lor de vedere. Aceste filter bubbles rezultă dintr-o căutare personalizată în care un algoritm filtrează informaţia pe care utilizatorul ar dori să o primească, în baza preferinţelor sale (cookie-uri, date sociodemografice etc.) și permit amplificarea fenomenului echo chambers. Aceste două fenomene izolează individul în propria bulă culturală și ideologică, trunchiind realitatea, faptele și lumea din jurul său. Or, IE bazată pe tehnologiile Big Data Analytics are potenţialul de a fi folosită ca instrument care permite restabilirea faptelor, încurajând deciziile informate din întreaga sferă informaţională. Devine astfel posibilă lupta împotriva influenţei unui concurent sau adversar bazată pe crearea de echo chambers și de filter bubbles. Era post-adevărului și a reţelelor sociale oferă o cutie de rezonanţă fără precedent în favoarea dezinformării și operaţiunilor de amăgire. Acest tip de propagandă inspirată din astroturfing este piesa centrală a strategiei de ingerinţă a Rusiei în ultimele alegeri americane. Ceea ce anglo-saxonii numesc Security Analytics este un alt exemplu de utilizare a tehnologiilor din cea de-a 4-a revoluţie industrială, cu scopul de a produce IE. În ultimii treizeci de ani, au apărut numeroase mijloace tehnice convenţionale bazate pe analiza semnăturilor, în scopul prevenirii riscurilor cibernetice: mecanisme de control al accesului, sisteme de detecţie a intruziunilor, tehnici de criptare, firewall-uri și programe antivirus. Însă succesul măsurilor convenţionale este limitat. Confruntată cu o infracţionalitate cibernetică tot mai inovativă și mai eficientă, o asemenea abordare este din ce în ce mai inadecvată din cauza faptului că tehnologiile se bazează pe detectarea ameninţărilor care au mai fost deja detectate în trecut. Asistăm la un decalaj între dezvoltarea accelerată a mijloacelor utilizate în infracţionalitatea cibernetică și reacţia întârziată în detectarea semnăturilor neautorizate. Autorul atacului are așadar întotdeauna un avans faţă de apărare, făcând ca tehnicile convenţionale să fie ineficiente în faţa infractorilor cibernetici. Constatarea acestui eșec devine și mai alarmantă în era Big Data, întrucât o cantitate colosală de informaţii e transferată în fiecare zi, oferind infractorilor cibernetici nenumărate posibilităţi de acces
la reţele prin disimularea prezenţei, sub un anonimat confortabil, producând pagube greu detectabile. Piaţa ciber-securităţii se adaptează, printr-o abordare inovatoare care constă mai degrabă în anticiparea acţiunilor neautorizate decât în supravegherea reţelelor în scopul detectării semnăturilor, așa cum funcţionează abordarea convenţională. O asemenea abordare este posibilă datorită colectării de informaţii bazate pe tehnologiile Big Data Analytics. Se trece astfel de la rezistenţa sistemelor de informaţii (ce consistă în regăsirea proprietarilor iniţiali după un atac) la anticipare (adică pericolele sunt prevăzute). Utilizând tehnologii derivate din Big Data Analytics, acţiuni precum analiza în timp real, detecţiile dinamice și detecţia precoce permit crearea informaţiilor ţintite pentru a preveni infracţiunile cibernetice. Aceste tehnologii ar putea deveni următoarea generaţie de tehnologii ale informaţiei, implicând nu doar o mai mare eficienţă, ci și o mai bună utilitate în securitate cibernetică.
Impactul acțiunilor cibernetice asupra patrimoniului imaterial al întreprinderilor autor: Franck DeCloquement Expert în Inteligenţă Strategică, profesor la IRIS și IFP din cadrul Universităţii Paris 2 PanthéonAssas, director al polului Cyber & influence al FFPC (Fédération Française de Psycho-criminalistique)11 În aceste chestiuni de criminalitate cibernetică, se neglijează adesea factorul uman și vulnerabilităţile de natură umană. Într-o lucrare publicată în 2010, Franck DeCloquement amintea deja de „atacuri subversive” și se punea în pielea atacatorilor pentru a încerca să înţeleagă ce îi împingea spre astfel de fapte. Această analiză a fost gândită pe mai multe planuri: pe planul intruziunilor fizice, adică penetrări în clădiri pentru a obţine informaţii, pe plan informatic, practică din ce în ce mai folosită în cazul întreprinderilor, și pe plan uman, care, într-o anumită măsură, are un impact mai mare decât primele două. Care este situaţia în prezent? În orizontul de timp 2020, peste 4 miliarde de utilizatori vor folosi Internetul, iar numărul de schimburi va fi cu mult mai mare. Consecinţa previzibilă este creșterea în paralel a numărului de „nelegiuiri cibernetice”, fiindcă „prădătorii cibernetici” sunt tot mai mulţi. Există prădători cibernetici care operează în cadrul acţiunilor geopolitice, în strânsă legătură cu diferite conflicte care au loc în prezent în
23
Focus - Cybersecurity Trends lume, sau în cadrul acţiunilor de suveranitate a statelor, cu scopul de a le mări capacităţile tehnice, industriale sau tehnologice. Acţiunile ofensive de natură umană permit obţinerea mult mai rapidă a obiectului dorit și ţintirea persoanei potrivite pentru a i-l smulge sau pentru a-i furniza o mulţime de informaţii de natură strategică. Big Data sunt utilizate, de asemenea, în campaniile prezidenţiale, iar analizarea lor în timp real permite adaptarea pe loc a discursului – chiar și a ţinutei vestimentare a unui candidat – pentru a aduna voturi. Se trece astfel cu ușurinţă la ceea ce numim „economia atenţiei” și „ingineria percepţiei”. Pe de altă parte, în mediile infracţionale, mafiote sau teroriste, Big Data, Internetul și alţi algoritmi contribuie la captarea atenţiei, etapă vitală a unei recrutări eficiente, iar în plus permit și colectarea informaţiei strategice, pentru intruziuni viitoare. Cum poate fi îmbunătăţită securitatea internă din întreprinderile noastre și de la nivelul statelor? Economia, din cauza relaţiei sale foarte strânse cu „spaţiul cibernetic”, este foarte expusă acţiunilor de inteligenţă de rea-credinţă. DCNS (companie producătoare de submarine) nu și-a protejat informaţiile despre produsele noi sau viitoarele contracte și, mai ales, nu avea instaurat un sistem de supraveghere. DCNS a fost complet surprinsă de atacul la reputaţie, venit din Australia prin intermediul unui ziar. Garantarea încrederii este un obiectiv central al securităţii cibernetice și este indispensabilă pentru ca un sistem de schimb să poată fi susţinut și pentru ca vânzările și afacerile să poată continua. Cartografia riscurilor este de asemenea importantă pentru a determina cu mai multă precizie probabilitatea de apariţie a anumitor riscuri și impactul pe care ele îl pot avea. Scenariile cu probabilitate ridicată sunt adesea legate de atragerea unui potenţial câștig financiar. Însă aceste acţiuni pot fi și de natură statală, legate de luptele interne pentru garantarea sau păstrarea suveranităţii unui stat. Ce reprezintă patrimoniul imaterial al unei întreprinderi sau al unui stat? Este vorba despre patrimoniul „ne-monetar” și „fără substanţă fizică”, compus din cunoștinţele și informaţiile esenţiale deţinute, având o valoare direct sau indirect pozitivă pentru o organizaţie, și resurse adesea greu de contabilizat sau de cuantificat, ca de pildă reputaţia. Acest patrimoniu imaterial poate fi „definit” sau „înţeles” la fel ca toate celelalte elemente ale patrimoniului întreprinderilor, cum ar fi conturile, bunurile etc. Conturile sociale nu oferă decât o imagine simplificată a evaluării unei întreprinderi.
24
Lobby-ul și comunicarea ca proces de influență: cazul Wikipedia autor: Marie-Pierre Vidonne, doctor, activează în domeniul supravegherii tehnologice și analizei datelor știinţifice12. Contribuie pe Wikipedia și Wikidata. Influenţa se compune, în mod schematic, din două elemente: pe de o parte, comunicarea ca proces de influenţă, a cărei ţintă este opinia publică și al cărei scop este de a genera adeziune, acceptare sau mobilizare, pe de altă parte, lobby-ul, a cărui ţintă este sfera politică și al cărui scop este influenţarea sistemelor legislative și normele în favoarea sa. De ce este Wikipedia un factor de influenţă important? Atunci când utilizatorul efectuează o căutare pe Internet, răspunsurile returnate de această enciclopedie liberă, gratuită și colaborativă sunt în general printre primele afișate. De exemplu, o căutare despre Fabiola Gianotti, noua directoare a CERN, pe Google.ch, afișează în primul rând paginile Wikipedia în franceză și în engleză și doar după aceea pagina oficială a CERN. Este interesant de observat cum Google face „knowledge graph”, adică afișează în dreapta rezultatelor căutării primele propoziţii din articolul de pe Wikipedia. Una din posibilităţile de influenţare este de a pune la începutul articolelor informaţiile care doriţi să apară cu prioritate, fiindcă utilizatorul „clasic” nu va deschide neapărat pagina Wikipedia, ci se va mulţumi cu introducerea articolului afișat pe Google.
Un alt exemplu vizează numărul de consultări despre două personalităţi politice de dreapta și de centru, înainte de primul tur de alegeri. Începând cu ultima dezbatere televizată, tendinţa s-a inversat, iar pagina de Wikipedia a lui François Fillon a devenit mult mai consultată decât cea a lui Alain Juppé. Wikimedia este o fundaţie care gestionează și susţine 15 proiecte, dintre care cel mai cunoscut este enciclopedia colaborativă online Wikipedia, însă adăpostește o reţea internaţională de organizaţii asociate numite „chapters”. Wikipedia este disponibilă în 295 de limbi, însumează aproximativ 40 de milioane de articole, dintre care 1,8 milioane sunt scrise în franceză.
Wikipedia se bazează pe 5 principii fondatoare: Wikipedia este o enciclopedie Wikipedia caută neutralitatea punctelor de vedere Wikipedia este publicată sub licenţă liberă Wikipedia urmează regulile de etichetă Wikipedia nu are alte reguli fixe Acest lucru face să nu existe uniformitate între diferitele versiuni lingvistice; de exemplu, regulile sunt mai stricte în cadrul enciclopediei în engleză decât în cazul celei francofone. Profilul tipic al persoanei care contribuie la Wikipedia este următorul: bărbat caucazian, occidental, cu o educaţie superioară și cu o vârstă medie de 26 de ani. Aproximativ 80% dintre cei care contribuie sunt bărbaţi, ceea ce creează distorsiuni asupra alegerii articolelor create. De pildă, doar 15% dintre biografii vizează femei. Iar conform unui studiu al ETHZ, situaţia maritală a femeilor este de la două până la patru ori mai des menţionată decât cea a bărbaţilor. O a treia comunitate, în afara bărbaţilor și a femeilor, care contribuie pe Wikipedia este alcătuită din roboţi, care asigură aproximativ 25% din contribuţii. Rolul lor constă în îmbunătăţirea conţinutului, prin corecturi, aranjare, clasare și combatere a vandalismului. Persoanele care contribuie pe Wikipedia se împart în patru grupe:
departamentul fiecăruia. Este interesant de constatat că modificările efectuate de către personalul Confederaţiei nu sunt, în general, decât mici schimbări de tipul modificărilor rândurilor care nu mai sunt de actualitate, actualizarea datelor exprimate în cifre. În ianuarie 2016, confruntată cu mai multe cazuri de vandalism repetat de pe o adresă IP a ministerului internelor francez, Wikipedia a blocat orice modificare efectuată de pe această adresă timp de un an. Un exemplu de efect contrar celui scontat îl reprezintă cererea de ștergere a unei pagini pentru ca informaţiile de pe aceasta să dispară. Acest lucru s-a întâmplat în cazul unui fost procuror general al cantonului Geneva. Cererea a făcut să reînceapă accesările acestei pagini, în timp ce înainte nu era decât foarte rar consultată, și a făcut obiectul unui vot în cadrul comunităţii francofone de pe Wikipedia. Persoana respectivă a fost considerată suficient de notorie, astfel că articolul despre acesta a fost păstrat.
Inteligența colectivă, preludiu al Inteligenței Economice
autor: Catherine Charroin, director de operaţiuni și specialistă în Inteligenţă strategică din partea societăţii WIN SA, cu sediul la Geneva13
Source Beutler, wikimania 2014 Printr-o interpelare la camerele federale în februarie 2016, consilierul naţional Franz Grüter solicita Consiliului Federal numărul persoanelor angajate de către Confederaţie care contribuiau pe Wikipedia și baza legală (procedură, norme) în temeiul căreia efectuau aceste contribuţii. Răspunsul Consiliului Federal din mai 2016 preciza că 30 de persoane erau însărcinate cu supravegherea și modificarea conţinutului pe Wikipedia, dintre care 3 făceau parte din Departamentul Federal de Justiţie și Poliţie, iar volumul lor de muncă varia între 20 și 40 de ore pe an, în funcţie de
Toată lumea înţelege importanţa reţelei, a schimburilor care permit dezvoltarea de proiecte sau chiar crearea de afaceri. Care este definiţia inteligenţei colective (IC)? O definiţie a domnului Thomas Emmanuel Gérard14: „Producerea, în cadrul unui grup, a unei interacţiuni pozitive între conceptele de eu individuale și conceptele de noi colective: acesta este câmpul inteligenţei colective, care contribuie la emergenţa unui eu confortabil, în serviciul unui performant noi.” La fel ca în inteligenţa economică, și în cazul inteligenţei colective există un ciclu de întrebări și răspunsuri care permit structurarea, fixarea obiectivelor și mizelor (nevoilor), determinarea perimetrului și a modalităţilor și elaborarea planului. Acest ciclu va reorienta strategiile companiilor, fie că le va întări sau le va invalida. Acest ciclu nu este anonim, ci cuprinde, în primul rând, persoane, cele care vor pune întrebările și cele care vor răspunde.
25
Focus - Cybersecurity Trends Cum va fi structurat? Se va pleca de la nevoie, aceasta va fi fixată prin interogări precise care vor permite clarificarea tuturor chestiunilor și obţinerea unei imagini limpezi. Aceste informaţii vor proveni din informaţii scrise, „memoria” companiei, și informaţii orale care provin din reţea, care, odată analizată, permite adunarea informaţiei. Într-o companie, cu toţii suntem clienţi și furnizori de informaţii.
- Division du travail - Information top-down
Chaque personne s’oriente vers plusieurs types de rôles servant à faire avancer le groupe. Celliose este o companie inovativă din Lyon, menţionată de domnul Bernard Besson15 în cursurile sale. În cadrul acesteia, se efectuează ocazional schimbarea prin rotaţie a activităţilor, cu scopul de a înţelege munca efectuată de colegi. Lucrătoarea comercială din departamentul de cosmetice a fost detașată o perioadă la departamentul de supraveghere tehnologică și și-a amintit, după o vizită în China, că asiaticii preferă culorile vii. Compania a decis să creeze carcase de telefon în culori vii pentru China, ceea ce a produs o creștere a pieţei. Toate acestea s-au datorat unei opinii noi și unui raţionament deschis spre nou. Această nouă perspectivă depinde de comunicare, însă cum poate fi favorizată această comunicare? Una dintre posibilităţi este de a „aplatiza” organigrama piramidală pentru a desfiinţa nivelurile ierarhice sau de a introduce o organigramă inspirată din inteligenţa economică (memorie, dirijarea reţelei, analiză și cunoaștere), inserând, de pildă, unităţi pluridisciplinare în cadrul anumitor proiecte, pe o durată determinată sau nedeterminată.
26
Această soluţie face posibilă reciprocitatea autorităţii statutare, piramidale și ierarhizate cu cea a competenţelor și a know how-ului organizate în reţele. Un exemplu de colaborare interdisciplinară este cel al GIR (Grupuri de Intervenţie Regională), al căror rol îl constituie lupta împotriva traficului economiilor subterane în Franţa. Este vorba despre grupuri formate din anchetatori parteneri, compuse din poliţiști, jandarmi, funcţionari fiscali și funcţionari vamali. În Organigramme de l’IE dans principiu, toţi acești colaboratori l’organigramme pyramidal lucrează la ministere diferite care nu comunică decât foarte rar între ele. Crearea acestor grupuri a făcut posibil un grad crescut de eficienţă prin facilitarea și accelerarea comunicării, cu precădere a schimbului de informaţii. Îmbunătăţirea comunicării, într-o companie, presupune și cunoștinţe în identificarea reţelelor, în primul rând a reţelei productive și apoi a reţelei sociale. Reţeaua socială poate fi compusă din pensionari, din stagiari și din asociaţii. Inteligenţa colectivă presupune ca reţeaua socială să îmbunătăţească reţeaua productivă. Această reţea de încredere răspunde la nevoi într-un mod mai eficient. Și totuși, există un factor perturbator al comunicării: interpretările noastre realizate prin generalizare, selecţie și distorsiune, datorate educaţiei, experienţei, valorilor și credinţelor noastre. Din aceste interpretări, rămânem cu o emoţie care ne induce comportamentul (răspunsurile noastre). Pentru a ne îmbunătăţi capacitatea de comunicare, trebuie să învăţăm să ne gestionăm emoţiile, înţelegând că fiecare persoană are propria viziune asupra lumii și poate avea o contribuţie personală. Inteligenţa colectivă permite mobilizarea inteligenţelor individuale, reciprocitatea coproducţiei cunoașterii, stimularea creativităţii, aduce colaboratorilor mai multe schimburi constructive, o mai mare implicare și recunoaștere, lucruri foarte importante în mediul de lucru. Inteligenţa colectivă întărește sentimentul de apartenenţă. Nu există nicio diferenţă de natură între inteligenţa colectivă a unei companii și cea a unei administraţii, fiindcă, în ambele cazuri, există o memorie comună și reţele. 1 https://www.linkedin.com/in/albertrossier 2 https://www.linkedin.com/in/albertpelissierinformations/ 3 www.src.admin.ch 4 Mai multe informaţiisunt disponibile la linkurileurmătoare: spionajeconomic: http://www.vbs.admin.ch/fr/ themes/recherche-renseignements/espionnage-economique.html; BroșuraProphylax : http://www.vbs.admin. ch/fr/themes/recherche-renseignements/espionnage-economique.detail.publication.html/vbs-internet/fr/ publications/servicederenseignement/SRC-Prophylax.pdf.html Contact: prophylax@ndb.admin.ch 5 https://www.youtube.com/watch?v=us9RMMRLpQg 6 www.melani.admin.ch 7 https://ch.linkedin.com/in/alainmermoud 8 https://swiss-intelligence.info/ 9 https://www.linkedin.com/in/dimitri-percia-david-733bb930 10 https://swiss-intelligence.info/ 11 https://www.linkedin.com/in/franck-decloquement-87a0491a/ 12 https://ch.linkedin.com/in/vidonne/ 13 https://www.linkedin.com/in/catherine-charroin-b0455497/ 14 Thomas Emmanuel Gérard: unul dintre coautorii lucrării „L’intelligencecollective”, editura Yves Michel 15 Bernard Besson predă inteligenţa economică în Franţa și în Elveţia. A scris „Introduction à l’IntelligenceEconomique”, ediţia 2016
Știrile care nu durează doar o vreme Majoritatea intruziunilor de securitate cibernetică captează interesul știrilor în momentul în care se întâmplă - genul de titluri de știri de care companiile se feresc. Dar deteriorarea reputației și situației financiare durează încă multă vreme de la apariția la știri. Kevin Taylor analizează repercusiunile pe termen lung ale câtorva astfel de situații de profil înalt.
autor: Kevin Taylor
La sfârșitul anului 2013, gigantul american de retail, Target, a suferit ceea ce s-a considerat la acel moment a fi cea mai mare scurgere de date din istorie. Datele personale ale peste 70 de milioane de clienţi au fost compromise în acel atac, inclusiv datele financiare ale nu mai puţin de 40 de milioane de oameni. După peste 1 an de zile de la intruziune, o decizie a tribunalului din St Paul Minnesota a obligat Target să facă provizioane de 10 milioane de dolari, ca o compensaţie pentru clienţii care au fost afectaţi.
BIO Kevin, FCIPR, este un consultant de comunicare și scriitor respectat, precum și un comentator apreciat în domeniul securității IT în afaceri și tehnologie, telecomunicații și în special în domeniul comunicațiilor mobile. El este Fellow și fost Președinte al Institutului de Relații Publice din UK și a fost consultant al consiliului de conducere al unor brand-uri globale, precum și al unor start-up-uri din domeniul tehnologiei. La Robertson Taylor PR, a înființat Standing Tall, o rețea de consultanți independenți care oferă o gamă largă de servicii de marketing și suport în afaceri. El este, de asemenea VP Communications la Ensygnia – o companie nou intrată pe piața identității mobile, autentificării și plăților mobile.
La scurt timp după aceea, Target a crezut că a reușit să obţină o înţelegere cu Mastercard, pentru o compensaţie de 19 milioane de dolari. Cu toate acestea, mai multe bănci asociate cu compania de carduri bancare au refuzat să accepte acea sumă și, la sfârșitul lui 2015, s-a ajuns la un acord final pentru compensaţii de 39 milioane de dolari. Suplimentar, cam în același timp, Target a agreat cu Visa compensaţii în valoare de alte 67 de milioane de dolari. Și de parcă asta nu ar fi fost destul de rău, același procuror din Minnesota a cerut ca Target să își dezvolte strategia de securitate cibernetică - pornind în principal de la faptul că Target a știut de breșa de securitate din 2013, dar iniţial a ignorat-o. Imediat după aceea Target a trebuit să concedieze 1700 de angajaţi și să închidă 133 de magazine. Credeţi că povestea s-a încheiat aici? Nu. Astăzi, la 4 ani de la intruziunea iniţială, Target continuă să plătească consecinţele și să fie subiectul știrilor. Într-un caz din instanţă în care au pledat avocaţi din Connecticut, Illinois și New York, compania a fost obligată să plătească daune de 18,5 milioane de dolari către 47 de state americane și către Districtul Columbia. De fapt, dacă adăugăm taxele de judecată și alte costuri, o estimare conservatoare ne dă un cost total al intruziunii de la Target de ordinul a 250 milioane de dolari. Și cine poate afirma că povestea s-ar opri aici. Intruziunea de la Target a avut loc în momentul în care hackerii au profitat de securitatea precară a unui furnizor (3rd party) pentru a accesa reţeaua companiei. După aceea a urmat ceea ce ar putea constitui un exemplu școală de ceea ce nu trebuie făcut - nu s-a încercat nici eliminarea cauzei intruziunii și nici nu s-a acţionat imediat pentru eliminarea ei. După patru ani, compania continuă să plătească preţul neglijenţei - atât financiar, cât și în privinţa reputaţiei. Dar dacă vreţi un exemplu despre cum s-o dai cu adevărat în bară, în tratarea unei intruziuni de securitate cibernetică, nu trebuie să căutaţi în altă parte, este suficient să ne uităm la Yahoo! - o companie pentru care probabil a și fost inventat semnul exclamării . Anul trecut, pe parcursul câtorva luni sinuoase, au transpirat știri conform cărora Yahoo! ar fi suferit mai multe atacuri cibernetice. Revelarea faptului că în
27
Focus - Cybersecurity Trends 2017 un atac „sponsorizat de un stat” a afectat cca. 500 de milioane de utilizatori părea a fi un rău suficient de mare. Dar, în iulie, anul trecut, într-o declaraţie către Securities Exchange Commission (SEC), Yahoo! a recunoscut că a primit primele notificări despre intruziune încă din 2014 - cu mai mult de 2 ani mai devreme. Lucrurile nu ar fi putut lua un curs mai rău pentru companie, nu-i așa? Ba da, au luat. Deoarece doar după câteva luni, compania a trebuit să recunoască că are neacoperită o intruziune încă și mai veche, care ar fi compromis conturile a cca. un miliard de utilizatori Yahoo!. Iată ce a declarat compania la SEC: „Pe baza aprofundării analizei datelor realizate de experţi juridici (forensic), credem că, în august 2013, o terţă parte, neautorizată, a furat datele asociate cu peste 1 miliard de conturi. Nu am reușit să identificăm intruziunea asociată cu acest furt de date.” Nici nu știu care a fost cel mai rău lucru - faptul că au știut că au avut o intruziune și că au păstrat tăcerea, sau faptul că nici măcar nu au notificat faptul că s-a întâmplat decât după mai bine de 3 ani. Dimensiunea impactului financiar a acestei intruziuni de abia de acum va fi văzută, cu excepţia unei singure zone și anume a modului în care a afectat valoarea de piaţă a companiei. Deoarece știrile despre acest furt de date au apărut tocmai în perioada în care Verizon se pregătea să
achiziţioneze Yahoo! - valoarea tranzacţiei a fost redusă cu 350 de milioane de dolari, până la momentul semnării tranzacţiei. Ba chiar, la un moment dat, Verizon încerca să reducă preţul de cumpărare cu aproape 900 de milioane de dolari. Ca urmare a recunoașterii intruziunii, Yahoo! a condus o campanie de sfătuire a clienţilor să-și modifice parolele și să verifice dacă au fost victima unor tranzacţii neobișnuite. Dar la 3 ani după furt, această acţiune seamănă cu a potcovi un cal mort. Ceea ce se poate vedea din aceste două cazuri este că deși știrile imediate produc niște daune, ramificaţiile pe termen lung sunt mult mai rele. Apar tot felul de solicitări de compensaţii, povestea nu este uitată iar numele companiei rănâne asociat pentru totdeauna cu cuvinte cum ar fi „hack” sau „furt de date”. În cazul apariţiei unui atac, companiile au datoria să își informeze toţi clienţii potenţial afectaţi, cât mai curând posibil. Și să își consilieze clienţii despre măsurile de securitate pe care aceștia trebuie să le ia imediat. Mai mult, din punct de vedere tehnologic companiile trebuie să știe cum să își oprească sistemele, pentru a combate intruziunea și a se asigura că sistemele de back-up pot restaura datele la un moment de timp precedent atacului. Modul în care ești pregătit pentru un atac, și modul în care tratezi unul atunci când apare contează foarte mult, după cum au arătat și judecătorii din cazul Target. Acesta poate limita pierderile, reduce compensaţiile și poate ajuta la diminuarea pierderii reputaţionale. Mai mult, companiile trebuie să investească nu numai într-o securitate cibernetică mai puternică, ci trebuie și să își instruiască directorii executivi despre modul în care trebuie să reacţioneze în cazul unei intruziuni.
SAVE THE DATE!
Western European Public-Private Dialogue Platform December 7-8, 2017
28
29
- Cybersecurity Trends
30
Focus
Cybersecurity (d)in România
autor: Romulus Maier
Cursa securităţii cibernetice a pornit în urmă cu peste 30 de ani. Brian, primul virus de PC, a apărut în 1986. Virusul BHP, pentru C64, a apărut chiar mai devreme. Nu ne propunem să parcurgem toată istoria, dar merită să amintim măcar cele mai importante atacuri cibernetice din prima jumătate a acestui an. Grupul de hackeri de la Shadow Brokers au apărut în prim plan în august anul trecut, când au declarat că au spart uneltele de spionare utilizate în cadrul operaţiunii Equation Group a NSA. Datele furate au început să circule pe net, punctul culminant constituindu-l „scurgerile de informaţii” din aprilie 2017, când au fost făcute publice mai multe unelte de spionare NSA, inclusiv exploit-ul Windows EternalBlue, care a fost utilizat ulterior de către alţi hackeri în cel puţin 2 atacuri de tip ransomware. Ransomware-ul WannaCry a lovit în 12 mai, infectând sute de mii de calculatoare și blocând spitale, utilităţi și companii de toate dimensiunile. Hackerii din spatele atacului au reușit să încaseze despăgubiri de „doar” 130.000 de dolari În 10 iunie, un alt ransomware, Erebus, a criptat 153 de servere Linux găzduite de ISP-stul sud-coreean Nayana, servere pe care se aflau peste 3.400 de site-uri web, hackerii cerând o despăgubire de 1 milion de dolari, pe care Nayana a și plătit-o. Petya/NotPetya/Nyetya/Goldeneye, un alt ransomware, a făcut ravagii tot în iunie, printre victime numărându-se compania farmaceutică americană Merk, compania daneză de transport naval Maersk, compania petrolieră rusească Rosnoft, adevărata ţintă fiind după cât se pare Ucraina, unde au fost afectate companii de producere a energiei, aeroporturi, companii de transport și banca centrală.
Să mai amintim doar de Wikileaks CIA Vault 7, pe 7 martie fiind publicate 8.761 de documente furate de la CIA, între acestea aflându-se unelte de spionare și de hacking pentru iOS, Android, Windows și smart TV-uri; de bug-ul Cloudbleed, anunţat de Cloudflare în februarie, care pune în pericol câteva milioane de site-uri web; și de faptul că o bază de date cu datele personale ale 198 de milioane de alegători americani a fost expusă public (descoperire anunţată în 19 iunie). Am putea continua enumerând și alte atacuri cibernetice, fără a le putea epuiza pentru că în timpul în care le enumerăm apar altele noi. O mulţime de companii de securitate, de organizaţii și de state, atât din domeniul privat, cât și de stat - „băieţii buni” - încearcă să oprească aceste atacuri, să diminueze pagubele și să prevină viitoarele atacuri. Pot câștiga? Da, pot câștiga o bătălie, pot câștiga bătălie după bătălie, dar nu pot câștiga războiul. Cel puţin nu cu instrumentele și abordarea de acum. Problema constă în complexitate și în faptul că „băieţii răi”, inventivi, vor găsi întotdeauna o nouă cale de atac. Includerea în software a unor căi de acces secrete (back doors) pentru autorităţi și serviciile secrete, este o prostie, acestea putând ajunge oricând pe mâna cui nu trebuie. Secretomania și ne-împărtășirea vulnerabilităţilor este nu mai puţin dăunătoare, după cum s-a văzut și în cazul NSA/EternalBlue, Target sau Yahoo! Volumele de informaţii și viteza cu care acestea circulă au devenit prea mari pentru a mai putea fi stăpânite de oameni. Tehnologia este obligatorie, trebuie și va crește în performanţă prin înglobarea de de inteligenţă artificială (AI) și algoritmi de Machine Learning. Dar rezultatele nu vor fi nici pe departe cele dorite dacă în centrul preocupărilor nu se va afla omul și colaborarea între oameni și instituţii. Ameninţările cibernetice nu pot fi rezolvate individual. Toţi actorii vieţii digitale trebuie să colaboreze, să împărtășească informaţii și să acţioneze, fie ei utilizatori obișnuiţi, specialiști în securitate, furnizori de tehnologie și soluţii, companii private sau instituţii de stat. Pentru a rezolva problemele existente, acestea trebuie mai întâi conștientizate, iar apoi oamenii trebuie implicaţi într-un proces de învăţare și instruire continuă. Acest lucru încearcă să îl realizeze atât conferinţa „Cybersecurity in Romania”, ajunsă la a 5-a ediţie și care va avea loc anul acesta în perioada 13-15 septembrie 2017, la Sibiu, cât și revista trimestrială „Cybersecurity Trends”. Avem convingerea că pașii de până acum au fost făcuţi în direcţia corectă. „Cybersecurity in Romania” a devenit o platformă de dialog între diferiţi actori ai lumii digitale de pe întreg globul, este unul dintre puţinele evenimente de profil susţinute de ONU, prin Uniunea Internaţională a Comunicaţiilor (ITU) și primul eveniment de profil pornit din România care va fi exportat în Europa de Vest, în perioada 7-8 decembrie urmând să aibă loc o primă ediţie elveţiană a conferinţei. Revista „Cybersecurity Trends” a cunoscut și ea consacrarea internaţională, ediţiei în limba română adăugându-li-se ediţii în franceză, italiană, engleză, iar din septembrie și germană. Vă așteptăm în septembrie la Sibiu, să ne citiţi, în print sau online, și să împărtășiţi vestea bună și informaţiile publicate.
31
Focus - Cybersecurity Trends
Atacul O2 SS7
autor: Steve Buck
Start-ul sau începutul sfârșitului? În luna mai, O2 Telefonica din Germania a confirmat că a fost victima unui atac asupra reţelei mobile prin care hacker-ii au golit conturile bancare ale unui număr neprecizat de clienţi. Infractorii au spart sistemul de autentificare în doi pași, prin SMS, utilizat de atât de multe bănci. Vulnerabilitatea utilizată de hackeri a fost sistemul de semnalizare denumit SS7 pe care operatorii mobili îl utilizează pentru interconectare - și este o parte a reţelei globale care face ca mobilele să fie în mod efectiv mobile. Anul trecut, în aprilie, această vulnerabilitate a fost prezentată la show-ul american de televiziune „60 de minute”, fiind demonstrată în mod public, anterior, la Chaos Computer Congress în 2015. Echipamentul necesar pentru accesarea SS7 era pe de o parte prea scump, iar pe de altă parte necesita expertiză tehnică pentru a putea fi utilizat. Această protecţie limitată nu mai este de actualitate instrumentele, tehnicile și până și serviciul fiind disponibile pentru oricine și tranzacţionate „deschis” pentru foarte puţini bani pe dark web. Pătrunderea prin hacking în semnalizările reţelei a permis infractorilor nu numai să localizeze și să urmărească telefoanele mobile, ci și să urmărească utilizatorii prin interceptarea comunicaţiilor prin telefon. Posibilitatea de a redirecţiona mobilele a fost slăbiciunea centrală în cazul furtului din Germania. Conform rapoartelor confirmate în legătură cu incidentul O2, infractorii au utilizat iniţial tehnici de phishing pentru fraude bancare și spyware pentru a infecta conturile clienţilor, pentru a fura detalii despre aceștia, parole și alte informaţii personale. După ce au reușit să obţină acces la conturile online ale utilizatorilor, au putut să vadă și să ţintească conturile cu „o pleașcă bogată”. Infractorii au redirecţionat apoi mobilele deţinătorilor de conturi către propriile telefoane mobile, astfel încât noaptea ca hoţii - au putut să le golească conturile.
32
Prolog: O fraudă bancară care a fost executată cu succes în Germania luna trecută, prin hacking asupra rețelei O2 Telefonica, aceasta a fost știrea care a îngrozit industria de telefonie mobilă. Steve Buck de la Evolved Intelligence explică de ce, până la urmă, acest eveniment ar putea fi o veste bună. În momentul în care banca a trimis un SMS automat cu Transaction Authentication Number (mTAN), acesta a fost recepţionat de infractori și nu de către clienţi. Având această informaţie, infractorii au putut autoriza transferurile bancare, în propriile conturi, bine ascunse și au putut elimina redirecţionarea mobilelor. Eliminarea redirecţionării după furt i-a ajutat și să își ascundă urmele și să permită amânarea descoperirii hoţiei. O2, în Germania, a confirmat faptul că atacul a avut loc și a afirmat într-o declaraţie către ziarul Suddeutsche Zeitung că: „Infractorii au executat un atac dintr-o reţea a unui operator de telefonie mobilă străin. Atacul a redirecţionat mesajele SMS primite de către anumiţi clienţi germani, către atacatori.” Acesta este primul incident de masă care fraudează semnalizarea SS7 și marea majoritate a utilizatorilor nu sunt conștienţi că se poate întâmpla. Băncile și operatorii mobili, totuși, s-au enervat și caută soluţii de combatere a ameninţării.
Recent, CEO-ul Vodafone, Vittorio Colao, a recunoscut că problema securităţii cibernetice este una dintre cele care „nu-l lasă să doarmă noaptea”. Colao a afirmat că este necesară o abordare pan-Europeană pentru a stăvili ameninţările infractorilor cibernetici și a făcut apel la: „O colaborare mult mai amplă între companiile din domeniu pentru crearea unui sistem de apărare cibernetică mai integrat.” Nu există nici un dubiu că operatorii și companiile luptă într-un război al securităţii cibernetice pe mai multe fronturi - în sistemele lor IT, pe dispozitivele lor și în reţelele lor. Hackerii vor utiliza în mod evident orice mecanism care le permite să atace sistemele, să fure date, să paralizeze operaţiuni și să fraudeze companiile și clienţii acestora. Odată cu creșterea fenomenului Bring Your Own Device, nu mai este suficient pentru companii să încerce să protejeze traficul pe propriul backbone IP, ci este necesară și asigurarea securităţii peste reţeaua mobilă, end to end (de la un capăt la altul). Aceasta este o cerinţă recunoscută în SUA, unde congresmanul Ted Lieu face presiuni asupra reglementatorilor americani pentru acţiona în cazul
vulnerabilităţii SS7. În momentul în care Camera Reprezentanţilor din SUA a anunţat că începe să protejeze dispozitivele mobile ale membrilor Congresului și ale personalului acestora cu securitate endpoint pentru a ajuta la identificarea ameninţărilor, cum ar fi reţele WiFi nesecurizate și aplicaţii maliţioase, Lieu a salutat mișcarea dar a continuat să descrie securitatea cibernetică a Congresului ca o «clădire cu ușile încuiate dar cu o fereastră deschisă». „Membrii Congresului și personalul acestora sunt foarte dependenţi de dispozitivele lor mobile pentru a-și desfășura munca, dar acestea nu sunt protejate în mod adecvat”, a spus Lieu. Congresmanul este conștient că simpla închidere a unui geam deschis, prin protejarea dispozitivului nu este suficientă atâta timp cât reţeaua însăși rămâne vulnerabilă. Desigur, congresmanul Lieu este implicat în mod direct în povestea legată de securitatea SS7, deoarece telefonul său personal a fost cel hack-uit în programul de televiziune „60 de minute”. În mod natural, el a reacţionat rapid la aflarea veștii despre atacul SS7 din Germania. „Toate conturile protejate prin autentificare în doi pași, bazată pe text, cum sunt conturile bancare, se află în faţa unui risc potenţial până când FCC și industria telecom nu vor rezolva breșa de securitate devastatoare SS7”, a spus el. Între timp, în Germania, operatorul rival Deutsche Telekom s-a grăbit să își reasigure clienţii că un astfel de atac nu s-ar putea întâmpla în reţeaua proprie. O declaraţie de pe site-ul DT afirmă că este unul dintre primii operatori de telecomunicaţii, la nivel mondial, care a implementat un firewall SS7 care ar fi blocat și prevenit atacul care a a vut loc asupra O2. Breșa de semnalizare este o moștenire a relaţiilor între «reţele de încredere» care existau înainte ca piaţa telecom să devină atât de deschisă. Aceasta este o slăbiciune care este amplificată și de mărimea pieţei de astăzi. Ca să vă formaţi o idee, propriul nostru firewall de semnalizare poate fi instalat software pe Network Interface Units (NIFs) care pot fi implementate la unul din cca. 60 de operatori de reţea de pe glob. Aceste NIF-uri permit oferirea serviciilor de roaming cu valoare adăugată ale operatorilor. În sistemele noastre circulă undeva la ordinul a 12 miliarde de mesaje de semnalizare SS7 în fiecare zi. Dincolo de dimensiune, o altă provocare o reprezintă faptul că mesajele frauduloase de semnalizare imită adesea unele dintre mesajele care oferă valoare adăugată serviciilor și care aduc venituri operatorilor. Mesajele care conduc aceste servicii diferă de semnalizarea normală, astfel încât sistemul trebuie să facă distincţie între aceste semnale neuzuale și cele nesigure - cele nedăunătoare de cele dăunătoare. Numărul mesajelor pe care le vedem ca fiind neobișnuite dar sunt sigure este de departe mai mare decât numărul mesajelor frauduloase. Cu toate acestea, putem considera că numărul de mesaje potenţial frauduloase sunt de ordinul a unu pe secundă în fiecare reţea de pe glob. Oprirea cu precizie a acestor mesaje dăunătoare fără a afecta traficul normal de reţea este provocarea pe care firewallurile de semnalizare trebuie să o înfrunte. Avem încredere că firewall-urile de semnalizare pe care le furnizăm operatorilor ar fi depistat și blocat atacul asupra O2 - de fapt unul dintre firewall-urile noastre a oprit un astfel de atac chiar în timpul incidentului O2. O modalitate prin care putem face asta este prin măsurarea distanţei și vitezei pentru luarea unei decizii în privinţa update-urilor de localizare care au existat în spatele atacului O2. Un dispozitiv mobil care semnalizează din Germania într-o seară, nu poate semnaliza legitim puţin mai târziu de pe o insulă din Pacific sau din Caraibe, de exemplu. Abonatul nu ar fi putut parcurge acea distanţă în acel interval de timp. Dar, așa cum au subliniat Vodafone și Deutsche Telekom, măsurile luate de un operator individual oferă doar o soluţie limitată. Trebuie întreprinse acţiuni
BIO Steve are peste 30 de ani de experiență în telecomunicații mobile, ocupând poziții de inginerie și marketing, atât pentru producători de echipamente, cât și pentru operatori mobili. Are experiență în domeniul fraudelor, identității și produselor de risc pentru companii, în domeniul bancar, retail, sector public și alte verticale. În anii ‚80, Steve a lucrat pentru Racal Research (care s-a desprins din Vodafone) în domeniul R&D pentru ceea ce urma să devină tehnologia GSM. A dezvoltat hardware și software pentru testare în timp real a tehnologiei în UK - făcând primul apel GSM din UK în 1986. S-a alăturat Motorola în 1998 contribuind la definirea standardelor GSM pentru fazele 1 și 2, la începutul anilor ’90, conducând dezvoltarea de firmware GSM și administrând dezvoltarea unor noi stații de bază. La începutul lui 1995, s-a alăturat Aethos ca director de produse, derulând activități de marketing, management de produs și dezvoltare, oferind suport pentru zeci de milioane de abonați prepay. Logica a achiziționat Aethos în 1998. Steve a continuat să conducă furnizarea de servicii prepay, furnizând prima rețea de soluții pentru mesagerie prepay și, subsecvent, s-a ocupat de management de produse pentru MMS, pentru Logica. Steve a fost VP Products pentru T-Mobile (UK) între 2004 și 2009, lansând un număr de servicii inovative, care au fost premiate, incluzând primul serviciu adevărat de internet mobil din UK. Steve s-a alăturat NSN (Nokia networks) în 2009 unde a condus business-ul, de 200 milioane de dolari, de experiența utilizatorilor. După o scurtă perioadă la Amdocs, în OSS, Steve a condus departamentul de Product Management de la Equifax, o agenție de referințe de credit, vânzând soluții de evaluare a riscului, detectarea fraudelor și de identitate, către o multitudine de companii, inclusiv bănci, instituții financiare, retaileri, operatori telecom și organizații din sectorul public. Steve s-a alăturat Evolved Intelligence în 2015.
concertate din partea întregii industrii pentru o protecţie adecvată împotriva fraudatorilor care încearcă să exploateze breșele semnalizării SS7. Poate această primă confirmare a acestui tip de atac, care sperie industria mobilă, poate constitui catalizatorul care să accelereze implementarea măsurilor de protecţie. În loc să fie începutul unor vremuri rele, să sperăm că semnalizează începutul sfârșitului.
33
Focus - Cybersecurity Trends
Orașele conectate: mize etice și juridice
autor: Pascal Verniory1
de „inteligenţa” artificială, oraşele conectate hrănesc fantasmele cele mai credule şi hrănesc apetiturile cele mai nesăţioase, într-un climat vădit ostil oricărei tentative de punere la îndoială. Aceste orașe „inteligente” generează așteptări absurde în ceea ce privește ordinea și confortul, așteptări la care e dificil de renunţat dacă nu li se cunoaște costul real. Este foarte important să fie pus în discuţie aportul lor real, pentru a putea beneficia la maximum de anumite tehnologii. Toate acestea fără a scăpa din vedere, totuși, măsurile de precauţie împotriva pericolelor pe care le implică, chiar cu riscul de a renunţa la câteva dintre promisiunile lor, prea costisitoare în planul vieţii private și al libertăţii. În rândurile care urmează, îmi permit să revin asupra comunicării din data de 3 noiembrie 2016 la Yverdon în cadrul CyberSec Conférence și să abordez anumite aspecte pe care, pe atunci, doar le schiţasem.
Orașul conectat Introducere Se vorbeşte mult despre oraşele conectate, pe care unii le numesc „inteligente” („Smart Cities”). Administrarea megapolilor devine o miză civilă majoră într-o eră în care se întrevede o demografie planetară explozivă, în principal urbană, deci potenţială sursă de haos în cazul în care nu este gestionată corect. Însă ca orice lucru legat
Încă de la început, trebuie precizat ce se înţelege prin oraș conectat; este vorba de un ecosistem care se bazează pe culegerea, agregarea și partajarea2 datelor legate de utilizarea orașului de către locuitorii acestuia. Sursele acestor date sunt diverse: ele pot fi generate automat de captatori sau de obiecte conectate, dar pot proveni, de asemenea, din bazele de date alcătuite de administraţiile publice sau companiile private, sau chiar produse de către utilizatori.
BIO Pascal Verniory este doctor în filozofie (opțiune transdisciplinaritate – etică, economie, drept), avocat cu drept de practică și, de mulți ani, responsabil juridic al Direcției generale a sistemelor de informații a Cantonului Geneva. În cadrul tezei sale transdisciplinare, a dezvoltat o viziune critică a drepturilor de autor așa cum sunt ele reglementate în prezent, propunând o abordare multidisciplinară (antropologie, sociologie, etică, economie, istorie, estetică și drept comparat); în spiritul opiniei sale despre raporturile pe care sâmburele personalității le are cu activitatea creatoare, autorul are o abordare personală și critică cu privire la robotică și la „inteligența” artificială.
34
Această colectare de date are mai multe scopuri. În general, se invocă la grămadă avantaje precum îmbunătăţirea calităţii vieţii cetăţenilor, buna gestionare a resurselor colective, facilitarea mobilităţii sau rezolvarea problemelor de securitate. Miza este cu precădere crearea unei legături pentru informarea la distanţă și în timp real cu privire la disponibilitatea echipamentelor colective (blocaje în trafic, rata de ocupare a locurilor de parcare, localizarea mijloacelor de transport în comun, rezervarea sălilor de
sport), dar și informarea cu privire la proximitatea, amplasamentul, programul de funcţionare al magazinelor sau al atracţiilor turistice, informarea cu privire la serviciile existente sau gestionarea infrastructurilor colective. Aceste câteva exemple ilustrează avantajele propuse prin implementarea sistemului. Însă nu menţionează și riscurile și pericolele pe care le implică. Într-adevăr, prin colectarea de date, protejarea sferei private reprezintă o miză crucială și clarifică aspectele cele mai vagi ale sistemului care se pune în practică. În privinţa orașelor conectate, există patru aspecte care ridică probleme: colectarea automată de date din domeniul public (a), datele considerate „publice” pe care indivizii le schimbă prin intermediul telefoanelor lor „inteligente” (b), integrarea lor în informatica de tip cloud (c) și, mai presus de toate, interpretarea acestei mase de date cu scopul unei „guvernări algoritmice” (d). Preconcepţiile acestei politici numerice ne vor permite, în final, ca o concluzie, să stabilim o paralelă între respectarea sferei private și recunoașterea socială a libertăţii individuale.
a intra într-o zonă supravegheată video este sinonim cu renunţarea la a frecventa majoritatea magazinelor, începând de la hypermarketuri. Necesitatea de a aplica acest ansamblu de principii indică deja pericolul unei colectări necontrolate de date din domeniul public pentru protejarea sferei private. Aceste principii au ca scop evitarea unei tentaţii proprii oricărei tehnici: tentaţia de a se concentra asupra mijloacelor și de a pierde din vedere scopul urmărit. Istoria tehnicilor ne arată că umanitatea are tendinţa de a folosi o tehnică dincolo de nevoile imediate și fundamentate, pentru simplul motiv că este disponibilă, generând astfel chiar noi tipuri de nevoi. Așa se explică tentaţia utilizării tehnicilor digitale de vârf pentru afirmarea propriei modernităţi.
Date colectate automat în domeniul public
Date generate de către utilizatori
Un număr mare de date legate de orașele conectate sunt generate în mod automat prin capturi instantanee preluate de pe drumurile publice sau infrastructurile private deschise publicului. Însă alegerea unui aparat de captat imaginea nu este întâmplătoare. Supravegherea traficului se poate realiza în mai multe moduri: prin numărarea vehiculelor care trec pe sub o buclă magnetică, prin înregistrare video a traficului sau prin înregistrarea semnalelor GPS care permit, de exemplu, identificarea vehiculelor participante la trafic. Astfel că, în timp ce numărătoarea vehiculelor cu ajutorul unei bucle magnetice nu generează date personale, ci doar valori incrementale statistice, nu același lucru se poate spune despre camerele video sau de captarea semnalelor GPS. În momentul în care colectarea de date de pe drumurile publice poate implica date personale, principiile impuse de legile aplicabile în materie de protecţia personalităţii trebuie respectate cu titlu preventiv. În primul rând, conform principiului legalităţii (art. 4, alin. 1 din Legea federală privind protecţia datelor - LPD; art. 35 din Legea privind informarea publicului, accesul la documente și protecţia datelor personale - LIPAD), prelucrarea datelor trebuie justificată de îndeplinirea unei sarcini prevăzute de un text normativ sau prin consimţământul expres al celui vizat. Acest lucru reduce de la bun început scopurile care ar putea justifica o colectare de date. În ceea ce privește principiul proporţionalităţii (art. 4, alin. 2 LPD; art. 35 alin. 1 și 2; art. 36 alin. 1 LIPAD), operatorul responsabil de prelucrarea datelor are obligaţia de a se asigura că impactul acestei prelucrări este rezonabil în raport cu scopul urmărit. Datorită acestor principii, se începe elaborarea unei proceduri pentru acţiunile care preced colectarea datelor, cu scopul de a asigura confidenţialitatea încă de la conceperea proiectului („Privacy by Design”). Astfel, de fiecare dată când scopul urmărit o permite, se vor alege cu predilecţie mijloace de colectare care nu generează date personale: operatorul responsabil cu prelucrarea nu mai are datoria de a cripta datele pentru a le asigura confidenţialitatea, începând de la mijlocul de colectare și până la locul unde sunt amplasate mașinile de calcul, apoi pe toată durata de viaţă a acestora din urmă. Protecţia datelor se dovedește și mai importantă în domeniul privat deschis publicului: datele sunt prelucrate de către actori privaţi, fără posibilitatea refuzului colectării acestora. În epoca în care trăim, refuzul de
Datele colectate în cadrul orașelor conectate nu se limitează la cele colectate automat din domeniul public sau deschis publicului. Dimpotrivă. Utilizatorii creează ei înșiși, cu ajutorul telefoanelor „inteligente” („smartphoneuri”), o mulţime de date personale geo-localizate, fie că este vorba de comunicarea de informaţii pe reţele sociale sau de interogarea serviciilor de informaţii ale orașului, pe stradă. Aceste aparate portabile pot fi deci considerate veritabili colectori de date. Și alte obiecte conectate furnizează propriile pachete de date. Anumite date se adaugă celor proprii orașului conectat. Ne referim, de exemplu, la datele aparent fără importanţă referitoare la consumul agregat al gospodăriilor. Acestea permit compararea obiceiurilor de consum privat cu cele ale vecinilor pentru a le îmbunătăţi. Conectarea unor asemenea contoare la Internet face posibilă avertizarea la distanţă, pe telefonul „inteligent”, orice consum programat sau neprevăzut. Sense, o aplicaţie folosită la scară largă, permite dezagregarea în timp real a curbei de sarcină electrică globală a gospodăriei, pentru a determina apoi ce aparate sunt folosite în casă și în ce moment3. Aplicaţia, prin realizarea de comparaţii între datele colectate și curbele de consum ale altor utilizatori, ajunge să cunoască mai multe despre felul în care este gospodărită locuinţa decât înșiși proprietarii și poate genera un tabel al obiceiurilor de viaţă ale locuitorilor acesteia sau chiar un profil al personalităţii lor. La acest tablou se adaugă și precizarea că obiectele conectate sunt adesea fabricate de producători puţin preocupaţi de securitatea informatică: numeroasele breșe de securitate permit astfel unor terţi să vizioneze imagini care ar trebui să fie confidenţiale. Astfel, camerele video contactate care îi permit proprietarului să supravegheze de la distanţă împrejurimile casei pot
35
s - Cybersecurity Trends us u cu c oc Fo Fo oferi hoţilor informaţii preţioase cu privire la momentele în care nu este prezent. Site-ul www.shodan.io ţine o evidenţă a imaginilor surprinse de camere video nesecurizate. Fenomenul obiectelor conectate a luat o asemenea amploare încât Ubisoft, editorul „Watch Dogs”, proclamă „Noi reprezentăm datele” pe site-ul lor, cu ocazia lansării celei de-a doua versiuni a jocului. Acest lucru nu reprezintă o lipsă de interes a utilizatorilor faţă de viaţa lor privată, ci mai degrabă un discurs pe care-l adoptă promotorii reţelelor sociale și companiile care trăiesc din partajarea informaţiei pe Internet cu unicul scop de a-și extinde sfera de putere. Incoerenţele acestui tip de discurs merită însă analizate.
De exemplu, în 2009, Éric Schmidt, CEO Google și exCEO Novell, a făcut o afirmaţie de bun simţ, dar care a îngrozit multă lume: „Dacă faceţi ceva despre care nimeni nu trebuie să afle, poate ar fi mai bine să începeţi să nu mai faceţi lucrul respectiv.” Éric Schmidt nu a făcut decât să reia un proverb tradiţional chinezesc, de unde și impresia pasageră de înţelepciune pe care o emană afirmaţia sa. Observatorii avizaţi au arătat totuși că Éric Schmidt aplica această gândire în privinţa căutărilor efectuate pe Internet, iar acest lucru schimba totul. Această frază a stârnit rapid temeri în legătură cu încălcarea vieţii private. Însă acest profet al „morţii vieţii private” și-o apără pe a sa prin mijloace absurde: în 2005, a târât-o în justiţie pe jurnalista Elinor Mills pentru articolul său Google balances privacy, reach4, în care relata anumite detalii din viaţa lui privată (avere, acţiuni recent vândute pe Bursă…) obţinute de pe Internet cu ajutorul motorului de căutare Google dedicat jurnaliștilor CNET (News.com). Hubert Guillaud, bazându-se pe un studiu de Joseph Turow, Michael Hennessy și Nora Draper din 2015, ne reamintește că „mai mult de jumătate dintre consumatorii americani nu doresc să piardă controlul asupra informaţiilor lor, însă consideră că această pierdere a controlului se petrece deja”. Departe de a considera că cedarea drepturilor personale în schimbul ofertelor personalizate reprezintă un compromis în care fiecare parte ar ieși câștigată, publicul se prezintă mai degrabă resemnat și lipsit de apărare. Suntem departe de
36
discursul triumfalist practicat de cei care vând astfel de produse. Iar Hubert Guillaud încheie pertinent: „Neputinţa nu valorează consimţământ”5.
Orașe conectate și informatică de tip cloud Crearea de legături: cine ar îndrăzni să critice acest ţel aparent măreţ, creator al unei armonii universale funcţionale? Scopurile urmărite de orașul conectat presupun o comunicare a datelor și a sistemelor între ele, sau cel puţin utilizarea unei semantici comune standardizate. Cu alte cuvinte, orașul conectat trece practic prin informatica de tip cloud („Big Data”). Orașele conectate și informatica de tip cloud se completează: datele orașelor conectate alimentează informatica de tip cloud, iar aceasta, în schimb, oferă chei de interpretare încrucișată cu informaţii din alte surse. Odată ce toate „informaţiile legate de o persoană identificată sau identificabilă” sunt considerate ca date personale, acestea nu mai există independent de propriul context. Altfel spus, datele personale în sine sunt rare. Ceea ce le face să fie personale este legătura cu o persoană (determinată, sau chiar determinabilă). Orașul conectat, precum și informatica de tip cloud, funcţionează pentru a crea legături și participă la crearea de date personale… și deci la eroziunea sferei private. Legătura către o persoană fizică se poate realiza prin obiectele pe care aceasta le utilizează, chiar dacă acestea nu sunt expres asociate respectivei persoane. Este de ajuns ca datele să fie asociate unui punct fix. De aceea, adresele IP ale calculatoarelor private sunt considerate date personale. Prin verificarea lor încrucișată cu alte date se realizează restul de operaţiuni. Dacă se stabilește doar o singură dată o legătură expresă între calculator și utilizator, de exemplu printr-un formular de comandă, toate datele adunate în jurul adresei IP pot fi asociate unei persoane fizice determinate.
Or operatorul responsabil cu prelucrarea datelor trebuie să asigure confidenţialitatea datelor personale care se găsesc în sfera sa de influenţă. Nu putem pune la dispoziţie date aparent lipsite de importanţă decât dacă ţinem cont de informatica de tip cloud și de posibilităţile de verificare încrucișată uimitoare pe care aceasta le oferă utilizatorilor. Regulile de securitate trebuie regândite și consolidate în mod regulat, cu precădere cele care garantează anonimatul. Cel care transformă datele în date deschise trebuie, în plus, să
se asigure că poate pune capăt oricând distribuirii sau reutilizării acestora de către terţi, atunci când aceștia încalcă regulile de prelucrare ce garantează anonimatul. Doar distribuirea sub licenţă dă dreptul la prelucrare, cel puţin la nivel teoretic, dacă nu și faptic. Licenţele libere pot fi un exemplu în acest sens, cu condiţia ca acestea să se concentreze mai mult pe menţinerea anonimatului și nu atât pe transformarea datelor în date deschise, însă cele două scopuri nu sunt neapărat incompatibile.
Interpretarea datelor și administrarea algoritmică Interpretarea datelor orașului conectat poate ascunde pericolele cele mai grave. Odată integrate în informatica de tip cloud, aceste date pot completa profilul indivizilor și categorisirea lor în modele de care cu greu se mai scapă. Scopul informaticii de tip cloud rămâne determinarea profilului generic al utilizatorilor şi categorisirea lor, în aşa fel încât comportamentul lor de consum să poată fi prevăzut, pentru o manipulare mai eficientă. Informatica de tip cloud este un instrument puternic de control, care merge dincolo de confuzia între ascuns şi ilegal folosită de cei care vând produse pentru a șubrezi sfera privată. În afara caracterului extrem de simplist al problemei şi obiectificarea inacceptabilă a celuilalt pe care aceasta o antrenează, acest mecanism de schiţare a profilului face ca furnizorii să dispună de situaţia indivizilor după voie, din mai multe motive. Primul motiv îl constituie faptul că șubrezirea sferei private ascunde mai presus de orice un raport de putere. Demonstraţia acestui fapt este meritul lui Daniel J. Solove, profesor de drept american. Hubert Guillaud citează această opinie a unui expert în securitate, Bruce Schneier, intervievat în 2006: „Noţiunea de viaţă privată ne protejează de cei care deţin puterea, chiar dacă nu săvârşim nicio faptă ilegală atunci când suntem supravegheaţi. [...] Dacă suntem observaţi în orice moment, [...] ne pierdem individualitatea”. Hubert Guillaud încheie: „Miza vieţii private constă în tensiunea democratică între cel puternic şi cel slab6”. Însă mecanismul de încadrare într-un profil, aşa cum este acesta realizat cu ajutorul informaticii de tip cloud este şi mai profund. Tot Daniel J. Solove, considerând că analogia între Internet şi sistemul Big Brother al lui Orwell propusă de unii nu era pertinentă, a propus o paralelă cu Procesul, celebrul roman de Franz Kafka. Profesorul de drept considera că, fără îndoială, sentimentul de opresiune din roman este generat de faptul că eroul, Joseph K., este judecat pe baza unor fapte care nu îi sunt comunicate, de către oameni pe care nu îi cunoaşte, în virtutea unor reguli şi valori care îi sunt necunoscute şi fără să afle posibilele consecinţe ale procedurii în curs7. Există multe necunoscute iar acest lucru, mai presus de toate, înlătură orice posibilitate de a se apăra. Ce putere poate fi mai arbitrară de atât? Iar Daniel J. Solove se întreabă: nu semănăm puţin cu Josef K. în faţa companiilor GAFAM8 şi a autorităţilor străine care le guvernează? Antoinette Rouvroy, juristă şi cercetător al FNRS la universitatea din Namur, afirmă acelaşi lucru: „Veţi fi categorisiţi în funcţie de datele brute care pentru dumneavoastră nu au nicio însemnătate, în funcţie de algoritmi despre care nici nu aveţi idee cum funcţionează, iar acest lucru va avea impact asupra vieţii dumneavoastră, [...] asupra modului de reacţie”9. Acesta este pericolul principal pe care îl ascunde conceptul de oraş conectat, pe care Antoinette Rouvroz l-a numit „guvernamentalitate algoritmică”. În acest caz, pericolul nu constă atât în informaţia propriu-zisă cât în interpretarea şi instrumentalizarea sa. Pretinzând că aceste date colectate
masiv şi automat pot fi caracterizate prin „obiectivitate”, inginerii informatici și finanţatorii lor nu se mulţumesc doar să prezinte conducătorilor politici colectarea de date ca mijloc de verificare a eficienţei politicilor publice și gradul de însușire a lor de către populaţie; aceștia le propun extragerea „raţiunii” politicilor publice viitoare din conceptul de dată. Corelările masive pe post de modele de gândire, mașinării pe post de îngrăditoare umane, acesta este programul lor. Pe scurt, avem de a face cu versiunea modernă a confuziei recurente între mijloace și scop, dublată de o lipsă severă de cunoaștere a specificului naturii umane. Ar trebui puse în discuţie atât „inteligenţa” artificială, teoria informaţiei și viziunea mecanicistă asupra vieţii și omului. Voi sublinia doar un punct esenţial: categorisind comportamentul persoanelor în conformitate cu corelările rezultate în urma analizării unei cantităţi imense de date, inginerii informatici ne privează de orice viitor, distrugând fundamentele recunoașterii sociale a libertăţii individuale deja amputată de către operatorii de date personale. Ne constrâng astfel să urmăm niște modele complet inadaptate și greșite. Se poate sesiza natura pericolului deviaţiilor din următorul exemplu. Anumiţi indivizi, deranjaţi de „imperfecţiunile umane”, au avut idea înlocuirii judecătorilor… cu roboţi. Aplicarea legilor și a jurisprudenţei s-ar fi făcut în felul acesta cu mai multă rigoare – a se citi: cu mai multă insensibilitate la înţelegerea situaţiei. Judecarea celui care a încălcat legea s-ar fi făcut în funcţie de statistici, altfel spus de o cunoaștere parţială a trecutului aplicată în viitor. Există oare o modalitate mai bună de a îndepărta unei persoane orice posibilitate de evoluţie? De a-i refuza orice drept de a fi ascultată? Stadiul următor ar consta în instaurarea unei justiţii predictive, adică arestarea celor al căror profil i-ar semnala ca potenţiali infractori. Restul ne este cunoscut, a mai fost evocat. Ne-am putea lăuda cu atingerea unui nivel istoric inegalabil de barbarie. Oare judecarea cuiva în baza trecutului altora reprezintă o violenţă inadmisibilă? Odată ce acest sistem ar fi implementat, ce judecător ar avea curajul să dea o decizie în contradictoriu cu predicţiile statistice promovate de mașinărie? Ar fi naiv să credem că datele sunt obiective din simplul fapt că au fost colectate în mod automat și sistematic: o dată nu este „ceva dat”, ci este construită, în special prin alegerea mijlocului de colectare și a amplasamentului. Teoriile informaţiei au uitat acest lucru prea repede. În general, cel care caută ceva nu găsește decât ceea ce căuta și poate rata esenţialul fără să își dea seama. Fenomenologia, prin noţiunea de intenţionalitate, ne-a amintit acest lucru10. De asemenea, mijloacele de
37
Focus - Cybersecurity Trends Google City nu doar elimină orice program politic, dar corespunde aspectului celui mai de temut al totalitarismului. Hannah Arendt susţinea că acesta din urmă viza nu doar restrângerea libertăţii, ci și eradicarea oricărei urme de spontaneitate13. Nu cumva s-ar întâmpla exact același lucru dacă am accepta proiectul Alphabet? Dacă ne gândim că spontaneitatea, pentru Hannah Arendt, nu este o simplă fantezie, ci corespunde mai degrabă unei expresii a interiorităţii, manifestării surprinzătoare și prin definiţie imprevizibile a originalităţii propriului nostru fel de a fi, înţelegem că Google City alimentează în definitiv ambiţia transumanistă a eradicării umanului din om. colectare nu surprind încontinuu date, ci înregistrează doar o parte din realitate, nu neapărat cea mai relevantă. Mijlocul de colectare nu face decât să filtreze realul în funcţie de intenţiile – și chiar de prejudecăţile – celui care îl instalează și nu surprinde posibilul rămas în stadiul de intenţie. Or acesta din urmă este esenţial în înţelegerea viitorului. Oare nu prin tatonări se modelează viitorul? Doar o critică coerentă ne-ar permite să privim în perspectivă informaţiile și mijloacele folosite în colectarea lor. Și oare stabilirea profilurilor care rezultă dintr-o dată devenită infra-individuală pentru a putea fi calculată, apoi recompusă artificial în profiluri supra-individuale prin corelări nu ne golește de Subiectele care suntem? Iar dacă datele nu reprezintă realul, dacă nu au sens pentru cei care pretind că pot descrie comportamentul, s-ar mai putea pretinde că o administrare a orașului prin intermediul datelor este pertinentă? În plus, nimic nu demonstrează că aceste corelări între date semnalează un raport de la cauză la efect. Însă comparaţiile nu pot fi luate întotdeauna drept dovadă. Însuși nucleul „inteligenţei” artificiale se bazează pe confuzia între corelare şi raport de cauzalitate. Acest lucru poate genera consecinţele cele mai absurde. Chiar vrem să ne supunem la aşa ceva? În timp ce „inteligenţa” artificială, bazându-se pe corelări, se îndepărtează de orice sens şi se mulţumeşte cu preziceri fără înţelegerea prealabilă a contextului, putem oare să ne aliniem politicile pe sugestiile sale? În timp ce ştiinţele universului au depăşit modelul scientist conform căruia întreaga realitate ar fi conţinută în „sâmburele primordial”, „inteligenţa” artificială limitează viitorul la o simplă proiecţie a trecutului; este înţelept să o lăsăm să ne închidă astfel orizonturile viitoare? Punctele menţionate mai sus subliniază necesitatea combaterii proiectelor în derulare care vizează „organizarea automatizată a lumii”11, cum ar fi cel condus de Sidewalk Labs, o filială a Alphabet, companie care controlează Google. Este vorba nici mai mult nici mai puţin despre conceperea unui oraş în totalitate „construit plecând de la Internet”, cu ajutorul buclelor de retroacţiune, apoi aplicarea acestui model la scara întregii planete12. Acest lucru înseamnă atribuirea puterii de a decide pentru întreaga umanitate unui grup de oameni:
38
A fi Subiect în ziua de azi Marea miză nu este oare să aflăm cine suntem și cine dorim să devenim? Vrem oare să acceptăm să fim reduși la date sau să ne comparăm cu automate? Nu suntem mult mai mult de atât? Nu cumva am uitat de ceea ce ne conferă valoarea noastră specifică? În timp ce robotul, reproductibil la infinit, este preocupat de greșeală și de rezultat, fiinţa umană, singulară cu condiţia de a deveni Cine este, nu are cumva mai degrabă preocuparea finalităţii? În domeniul sensului și al libertăţii care ne caracterizează, lucrurile posibile, atunci când relevă ceva despre natura noastră profundă, nu sunt oare mai importante decât rezultatele? Aristotel a subliniat acest lucru în mod surprinzător, afirmând că actualizarea unei potenţialităţi rămâne totuși o potenţialitate, insistând asupra caracterului dinamic și creator al modului de acţiune uman. Evenimentele esenţiale ale existenţei noastre, cele care fac ca viaţa să merite să fie trăită, sunt oare doar cuantificabile în rezultate? E de dorit ca acest lucru să nu se întâmple, căci rezultatul nu depinde de sens, la fel cum nici mijloacele de scop. Iar, spre deosebire de date, noi suntem sursă de sens.
În definitiv, scopul existenţei nu este munca internă care ne permite să devenim Cine suntem, însușindu-ne istoria? Pe drumul acesta, eșecurile ne învaţă cel puţin la fel de multe ca victoriile. Iar politicile economice sau sociale trebuie să ţină cont de sensul vieţii noastre, fiindcă altfel la ce ar servi acestea? Trecerea de la „știinţele umane” la „disciplinele Subiectului” se va realiza după multă muncă. Aceasta implică perceperea fiinţei umane în specificităţile sale, nu ca obiect al unei știinţe, ci ca Subiect14, și necesită dezvoltarea unei alte metode decât cea adoptată de știinţele tradiţionale. Cerinţele de reproductibilitate, de cuantificare și de refutabilitate trebuie să fie înlocuite de alte abordări, proprii studierii Subiectului15. S-ar putea evita necesitatea „știinţelor” umane de autovalidare a ipotezelor prin metode necorespunzătoare.
Marea eroziune Informatica de tip cloud erodează sfera privată la fel cum guvernarea algoritmică depreciază fundamentul recunoașterii sociale a libertăţii noastre individuale. Importanţa datelor comparative care în prezent se află în mâinile furnizorilor de servicii face din comportamentul nostru unul mai previzibil pentru acești furnizori decât pentru noi înșine. Acest lucru îl determină pe Alexandre Lacroix să afirme că fiinţa liberă de mâine va fi cea al cărei comportament se va dovedi mai puţin previzibil pentru furnizor decât pentru ea însăși16. Aceasta este legătura dintre sfera privată și libertatea individuală, iar protejarea sferei private ne garantează libertatea. Pentru a parafraza titlul celebrei lucrări a lui Karl Polanyi, La Grande Transformation, dacă ar fi să caracterizăm efectul principal al informaticii de tip cloud, cu siguranţă l-am descrie ca „marea eroziune”. Pentru a o evita, ni se oferă mai multe alternative. În primul rând, fiecare trebuie să rămână stăpânul datelor sale personale. Se poate vorbi despre proprietate, însă în sensul pe care acest termen îl avea în secolul Luminilor, care diferă de sensul capitalist și îl exclude pe cel pe care îl are acum. Într-adevăr, în timp ce, în secolul Luminilor, proprietatea era garanţia materială oferită fiecăruia – în întărirea celei deţinute de fiecare – împotriva puterii unuia singur (tiranul), în capitalism, proprietatea este dreptul exclusiv al fiecăruia împotriva tuturor (Thomas Hobbes).
Acest scop poate fi atins dacă autorităţile politice impun, pentru dreptul de a distribui datele orașului conectat, o licenţă care să le asigure anonimatul în timp și care să ţină cont de evoluţia informaticii de tip cloud. Imposibilitatea reidentificării datelor orașului conectat trebuie deci să fie obligatorie și presupune o vigilenţă permanentă. În această privinţă, Avrind Narayanan și Vitaly Shmatikov ne reamintesc că „Polivalenţa și puterea algoritmilor de reidentificare implică faptul că termeni precum «identificabil personal» și «cvasi-identificatori» nu au nicio semnificaţie tehnică. Din moment ce anumite atribute pot identifica în mod unic, orice atribut poate fi identificat în combinaţie cu alţii.” În plus, trebuie să ne asigurăm de caracterul deschis al datelor colectate și fiecare ar trebui să știe ce algoritmi, ce reguli de interpretare sunt aplicate datelor care îi privesc17.
În fine, trebuie respectate cu stricteţe relaţiile dintre indivizi și colectivitate, iar teoria informaţiei trebuie confruntată cu teoriile cunoașterii. „Vast program”, spunea Charles De Gaulle. Tocmai de aceea, este cu atât mai pasionant.
1 Pascal Verniory își exprimă în acest articol punctul de vedere personal. Opiniile sale nu reflectă poziţia angajatorului său. 2 Noţiunile de dată și de informaţie sunt înţelese în mod diametral opus de către informaticieni și de către juriști: pentru juriști, data reprezintă forma brută (fără contextualizare sau interpretare) a informaţiei, în timp ce pentru teoria informaţiei – și deci pentru informaticieni – informaţia este cea care devine „dată” prin punerea acesteia în context. În cadrul acestui articol, noţiunea de „dată” trebuie înţeleasă în sensul pe care îl prevede legea. 3 BOGOST Ian, Home Monitoring Will Soon Monitor You, The Atlantic (Washington), 11.11.2016. 4 MILLS Elinor, Google balances privacy, reach, 14.07.2005, CNET News, https://www.cnet.com/news/ google-balances-privacy-reach-1/, consultat la data de 25.03.2017. 5 GUILLAUD Hubert, Données personnelles : l’impuissance n’est pas le consentement, 11.06.2015,http://www. internetactu.net/2015/06/11/ donnees-personnelles-limpuissance-nest-pas-le-consentement/, consultat la data de 25.03.2017. 6 GUILLAUDHubert, La valeur sociale de la vie privée, în InternetActu.net, nr. 241 (23.10.2009), http://www.internetactu.net/2009/10/21/la-valeursociale-de-la-vie-privee 7 SOLOVE Daniel J., The Digital Person : Technology and Privacy in the Information Age, New York University Press, New York 2006 ; “I’ve Got Nothing to Hide” and Other Misunderstandings of Privacy, în San Diego Law Review, vol. 44 (2007), pp. 745-772 ; http://papers.ssrn.com/sol3/papers. cfm?abstract_id=998565 8 GAFAM: Google, Amazon, Facebook, Apple, Microsoft 9 ROUVROY Antoinette, STIEGLER Bernard, Le régime de vérité numérique – De la gouvernementalité algorithmique à un nouvel État de droit, 07.10.2014, înSocio, La nouvelle revue des sciences sociales, 4 | 2015, Dossier : Le tournant numérique… Et après?, pp. 113-140 ; http://socio.revues. org/1251 10 În legătură cu acest subiect, a se vedea mai alesBORTOFT Henri, Prenons l’apparence au sérieux, Triades, 2012 11SADIN Éric, La Silicolonisation du monde – L’irrésistible expansion du libéralisme numérique, L’Échappée, Paris 2016, pp. 108-109 12 PIRENAAlexis, Et si Google créait sa propre ville avec ses propres règles ?, 06.04.2016, www.numerama.com/ tech/161094-et-si-google-creait-sapropre-ville-avec-ses-propres-regles.html, consultat la data de 28.03.2017 13 ARENDT Hannah, Le Système totalitaire – Les Origines du totalitarisme, Le Seuil, coll. Points, Paris 2002, p. 190 14 Titlul unei lucrări a lui Jean-François Malherbe ilustrează bine acest concept: Subiect al vieţii sau obiect al îngrijirii? (Sujet de vie ou objet de soins ? Introduction à la pratique de l’éthique clinique, Éditions Fides, Montréal 2007) 15 VERNIORY Pascal, “Human Sciences” or “Disciplines of the Subject”?, în Human and Social Studies – Research and Practices, Iaşi (România), vol. 2, nr. 3 (septembrie 2013), pp. 33-58 16 LACROIX Alexandre, En finir avec le hasard ?, în Philosophie Magazine, nr. 102 (septembrie 2016) 17 În acest sens se orientează și legislaţia europeană, odată cu adoptarea Regulamentului 2016/679 din 27 aprilie 2016 (regulament general privind protecţia datelor), care va intra în vigoare în mai 2018; acesta prevede că persoana vizată va putea să ceară socoteală operatorului responsabil cu prelucrarea datelor nu doar cu privire la datele personale din administrarea sa, ci și cu privire la algoritmii care le sunt aplicaţi.
39
Focus - Cybersecurity Trends
Este timpul să scăpăm de teama securităţii cibernetice Când vine vorba despre breșe și furturi de date, nu ducem lipsă de știri. În fiecare zi vedem titluri de știri, conform cărora instituții și mărci de renume au căzut victimele fraudatorilor. Și aceste incidente de profil ridicat nu reprezintă decât vârful aisbergului.
autor: Alison Hanley
Introducerea noului Regulament General de Protecţie a Datelor (GDPR) în Europa, începând de anul viitor, care obligă la raportarea tuturor furturilor de date, va releva adevărata dimensiune a fenomenului. Dar în timp ce transparenţa este bună, pe de altă parte multe organizaţii ar putea fi atrase într-o serie de activităţi frenetice în care strategia să se bazeze pe frică iar investiţiile să se concentreze pe tehnologii de blocare, ceea ce poate duce la sporirea fricţiunilor cu utilizatorii. Acestea vor fi exacerbate de o lipsă de planificare cibernetică și de dezvoltare de competenţe, ceea ce constituie deja o problemă majoră pentru UK.
Experții scot în evidență problemele Conform unui studiu recent iCyber-Security, în care au fost solicitate opinii de la 10% dintre consultanţii
BIO Alison Hanley este un consultant de marketing independent, specializată în fintech, cloud, servicii mobile și securitate cibernetică. Cu o carieră care se întinde pe o perioadă de 25 de ani, ea a lucrat pentru câteva companii europene de IT de top, atât din zona de consumer cât și businesses-to-business.
40
independenţi de top în securitate cibernetică din UK, teama, competenţele reduse și reacţiile impulsive reprezintă norma atunci când se pune problema securizării activelor digitale britanice. Nu suprinde faptul că multe vulnerabilităţi pornesc de la practici neconforme, cum ar fi parole slabe - un punct comun de plecare pentru multe intruziuni. Multe dintre acestea se datorează eșecului de a investi resurse, timp și efort pentru instruirea angajaţilor pe teme de securitate și protecţia utilizatorilor ceea ce duce la un deficit de competenţe cibernetice corespunzătoare și de expertiză în UK. Mult prea adesea se întâmplă ca un incident, o intruziune sau o pierdere de date să escaladeze securitatea cibernetică până la agenda priorităţilor din board-ul companiilor. Studiul iCyber-Security întărește această opinie prin confirmarea faptului că 43% dintre consultanţii de securitate consideră că instruirea și competenţele reprezintă cea mai mare ameninţare cibernetică cu care companiile din UK se confruntă. Un procent ameţitor de 93% consideră că investiţiile în securitatea cibernetică sunt insuficiente. Și același procent menţionează că investiţiile în acest domeniu sunt determinate de „ameninţări”. La final, 40% consideră acoperirea media negativă a intruziunilor, iar 30% lipsa de resurse competente ca determinante pentru outsourcing-ul securităţii cibernetice. Deci, ce se întâmplă și de unde provin majoritatea ameninţărilor? Ei bine, se pare că Application Level și Distributed Denial of Service (DDoS) sunt cele mai comune forme de atac, „parolele slabe” fiind cea mai răspândită vulnerabilitate. Dacă privim spre viitor, 40% dintre consultanţii pe probleme de securitate se așteaptă ca ransomware-ul și, 30% Identity Harvesting (furtul de identitate), să devină mai proeminente în următorii 2-3 ani, iar serviciile de cloud și dispozitivele conectate (IoT) să devină zonele cel mai frecvent ţintite.
Reglementare sporită și consecințe Multor organizaţii lipsa reglementărilor din industrie nu le-a fost de ajutor. Puţini vor contesta faptul că utilizatorii și companiile au nevoie de mai multă protecţie. Noile reglementări GDPR europene, care vor intra în
vigoare de la 25 mai 2018, sunt considerate de unii consultanţi ca fiind deja depășite. Cu toate acestea, multe companii, în mod special IMM-urile, nu sunt pregătite pentru această nouă reglementare și pentru notificarea în 72 de ore a intruziunilor și pentru îndeplinirea cerinţelor implicate. Nerespectarea reglementărilor poate duce la amenzi mari de până la 4% din cifra de afaceri anuală. Atât pentru companiile mari, cât și pentru cele mici, aceasta ar putea duce la paralizarea afacerilor dacă mai adăugăm și pierderile de business și pierderea reputaţiei.
le proteja mărcile și a le asigura securitatea afacerilor de azi și de mâine. În timp ce majoritatea companiilor au cel puţin câteva protecţii tehnice de bază, cum ar fi firewall-uri, software cu patch-uri la zi și programe anti-malware, puţine sunt conștiente că pot fi certificate pentru toate măsurile de protecţie care sunt necesare.
Să avem o abordare pozitivă
Chiar înainte de intruziunea NHS, Guvernul UK a recunoscut securitatea cibernetică ca fiind o problemă de importanţă naţională - nu numai pentru companii ci și pentru infrastructură. Anul acesta, în februarie, s-a deschis National Cyber Security Centre (NCSC) pentru a se asigura o concentrare clară în definirea rolului National Cyber Security Council (NCSC) în prevenirea atacurilor. 12 echipe separate de guvernul central au sarcina de a aborda și preveni potenţiale atacuri cibernetice. Pentru a extinde competenţele, Guvernul a încheiat un parteneriat cu British Computer Society pentru a introduce module de curs de securitate cibernetică în curricula cursurilor de știinţa calculatoarelor, pentru a crea un plus de 20.000 de oameni cu competenţe pe an. În același timp, s-a făcut o investiţie de 20 de milioane de lire sterline într-o nouă curriculă, pentru a oferi mai multor mii dintre cele mai strălucitoare tinere minţi oportunitatea de a dobândi cele mai recente competenţe, în timpul ciclului secundar de studii, în cadrul unor cluburi extracurriculare. Se speră ca astfel să se identifice și să se inspire viitoarele talente pentru a ajuta Marea Britanie să se confrunte cu provocările pe care le va avea de înfruntat. Suplimentar, acum există facilităţi de training dedicate pentru experţi acreditaţi, pentru ca aceștia săși sporească cunoștinţele și expertiza. De exemplu, iCyber-Academy din Thames Valley, susţine o gamă largă de certificări și programe de training ale vendorilor și workshop-uri regulate pentru dobândirea de competenţe, precum și cursuri online pentru cursanţii proprii dar și pentru consultanţi și experţi în securitate cibernetică externi. Se observă o creștere a solicitărilor de cursuri pe măsură ce mai multe companii, persoane fizice și instituţii educaţionale se înscriu pentru dezvoltarea de competenţe.
Pe măsură ce lumea noastră digitală crește, vor crește și incidentele de securitate cibernetică iar intruziunile vor deveni inevitabile. Este de înţeles că organizaţiile din UK se simt ameninţate de dimensiunea, complexitatea și consecinţele implicate de securizarea datelor lor. Totuși, este vital ca organizaţiile să nu permită o atitudine negativă în privinţa investiţiilor în securitatea cibernetică, ceea ce ar exacerba situaţia. A venit vremea ca investiţiile în securitatea cibernetică să devină o „opţiune pozitivă” și nu una pur reactivă și făcută din dorinţa conformării. În prezent 80% din investiţiile în securitatea cibernetică se concentrează pe 20% dintre ameninţări. Trebuie ca abordarea să fie reconsiderată cu atenţie pentru a rebalansa situaţia și a realoca investiţiile în zonele în care pot să aibă cel mai mare impact. Organizaţiile trebuie să scape de reţinerile pe care le au și să comunice problemele de securitate cu care se confruntă. Mult prea adesea este cerut ajutorul specialiștilor DUPĂ ce datele au fost compromise, când deja este prea târziu. Este mult mai înţelept să determini, planifici și să elimini vulnerabilităţile ÎNAINTE ca o intruziune să aibă loc. Mulţi experţi în securitate cibernetică consideră că riscurile pot fi reduse dacă sunt angajaţi mai repede, în momentul în care sistemele și procesele sunt proiectate. Aceasta le-ar permite să optimizeze infrastructura și investiţiile, să facă IT-ul mai productiv și să prevină riscurile viitoare prin inovaţie tehnică, bune practici și o instruire cuprinzătoare pe securitatea cibernetică.
Acoperirea deficitului de competențe Aceasta ne conduce spre adevărata esenţă a problemei: lipsa acută de profesioniști în securitate cibernetică cu care se confruntă companiile din UK, unde peste două treimi din companii se confruntă deja cu probleme de recrutare pentru angajarea personalului necesar pentru a se apăra în cazul unor atacuri majore. Aproape jumătate din companiile britanice afirmă că deficitul de competenţe are un „impact semnificativ” asupra clienţilor lor și au determinat intruziuni în calculatoarele lor. Acest fapt este simptomatic pentru deficitul global de experţi în securitate, care ar urma să ajungă la 1,2 milioane în 2020 și să crească cu 20% pentru a ajunge la 1,8 milioane în 2022, conform asociaţiei ISC Squared. Este esenţial ca Marea Britanie să investească rapid în extinderea fondului de profesioniști acreditaţi în securitate cibernetică. Fraudatorii și infractorii cibernetici nu au graniţe, astfel încât companiile au nevoie de strategii de securitate cibernetică mai ample și de experţi mai bine calificaţi pentru a
Să cultivăm talentele naționale
Rescrierea regulilor, începând de la vârf Ar fi ușor pentru companii să se simtă copleșite de ameninţări și de urmările intruziunilor asupra datelor, iar (Continuare în pagina 43)
41
Focus - Cybersecurity Trends
7 motive pentru care companiile sunt hack-uite Din poziția de consultant de securitate și arhitect de soluții, ajutând clienții europeni să își proiecteze și implementeze soluții de securitate pentru a-și proteja infrastructurile de rețea critice, de multe ori mă întreb de ce sunt companiile hack-uite. O întrebare care poate părea banală dar care este adânc înrădăcinată în faptul că natura noastră umană reprezintă adesea cea mai slabă verigă în sistemele complexe de securitate cibernetică și că suntem supuși greșelii.
autor: Marco Essomba
Dacă ești un profesionist sau un entuziast în domeniul securităţii cibernetice, atunci acest articol ţi se adresează. Voi detalia 7 motive datorită cărora companiile sunt hack-uite, din experienţa mea practică dobândită cu clienţi din diverse sectoare, cum ar fi bancar, sănătate, asigurări, petrol și gaze etc. Întrebarea nu este dacă compania în care lucraţi a fost hack-uită, ci când va fi. Planificarea și pregătirea continuă reprezintă cea mai bună protecţie împotriva atacurilor cibernetice.
1. Oamenii sunt cea mai slabă verigă Oamenii sunt programaţi să facă greșeli. Acesta este modul în care învăţăm. Așa am evoluat biologic. Uitaţi-vă la SpaceX, au făcut o sumedenie de greșeli, dar până la
BIO Marco Essomba este Certified Application Delivery Networking și Cyber Security Expert cu o bună reputație în companii de top din industrie. El este fondatorul iCyber-Security, o companie din UK, care permite organizațiilor din sectorul bancar, financiar, sănătate, retail și asigurări să își protejeze activele digitale. https://www.linkedin.com/in/marcoessomba/ https://www.icyber-security.com
42
urmă au reușit să stăpânească rachete avansate și tehnologii spaţiale. Chiar și cu o echipă de experţi, au reușit să prăbușească o mulţime de rachete înainte de a reuși o aterizare de succes pe ISS. Aceleași lucruri se aplică și în securitatea cibernetică. Vor fi făcute greșeli, întrebarea nu este dacă, ci când. Când aceasta se întâmplă se deschide o fereastră de atac. Un hacker poate lovi prin acea breșă. Chiar și în reţelele cele mai strict controlate, oamenii fac greșeli. Acest lucru este inevitabil, astfel că cea mai bună apărare este să implementezi măsuri de securitate robuste, dar și să te pregătești pentru o remediere rapidă.
2. Tehnologiile de securitate cibernetică sunt foarte puternice dar expertiza este scăzută Pornind de la toate relatările care apar la știri, despre o mulţime de companii mici și mari care au fost hack-uite, s-ar putea pune întrebarea naivă, de ce organizaţiile nu cumpără pur și simplu cele mai sigure și mai avansate soluţii și să-și rezolve problemele de securitate. Lucrurile nu stau chiar atât de simplu. Pe de o parte, sistemele de securitate sunt proiectate, implementate și administrate de oameni. Atâta timp cât ei rămân în ecuaţie, o eroare poate apărea oricând în lanţ. Mai mult, tehnologiile de securitate cibernetică sunt foarte puternice și nu ducem lipsă de tehnologii extraordinare. Nu trebuie decât să ne uităm la multitudinea de firme care oferă soluţii de securitate cibernetică avansate, care oferă o protecţie robustă în multe modalităţi unice. Pe de altă parte expertiza de a configura aceste produse sofisticate de securitate, pentru a obţine o performanţă optimă rămâne deficitară și foarte de nișă. Infractorii cibernetici știu că există această deficienţă și o exploatează în interesul propriu.
3. Infractorii cibernetici sunt în avantaj Infractorii cibernetici fac ceea ce fac din amuzament, pentru bani, spionaj guvernamental și industrial, raţiuni politice etc. Ei au nevoie să găsească O
singură fisură în sistem - fie tehnologică, fie socială - pentru a îi determina pe administratori să se zbată să acopere și să protejeze TOATE defectele. Aceasta nu este o luptă de pe poziţii egale! Cu suficientă răbdare și voinţă, până și cele mai protejate sisteme pot fi compromise de către infractori cibernetici dedicaţi și care deţin expertiză. Ceea ce contează cu adevărat este cât de rapid poate reacţiona o companie la deficienţele de securitate, acoperirea găurilor, să înveţe, să răspundă, să facă traininguri și să continue să întărească măsurile de securitate și procesele în derulare împotriva atacurilor cibernetice.
4. Infracțiunile cibernetice sunt mai bine plătite Infractorii cibernetici se mută pe „câmpurile de bătălie digitale”. Este de înţeles, din moment ce infracţiunile cibernetice sunt mai transparente, mai puţin riscante, iar posibilitatea de a fi prins pare a fi la depărtare. Am putea să ne uităm la recentele atacuri cibernetice asupra mai multor bănci, care au prejudiciat sistemul Swift al băncilor cu mai multe milioane de dolari, în ceea ce pare a fi cel mai mare furt cibernetic de până acum. Infracţiunile online sunt ne-simţite, sunt cibernetice și adesea nu lasă urme. nu este de mirare că acestea reprezintă o alternativă mai sigură pentru infractorii tradiţionali.
5. Oamenii mai ațipesc pe câmpul de bătălie cibernetic Administratorii de securitate pot aţipi pe „câmpul de bătălie cibernetic”. Atunci când acest lucru se întâmplă, un infractor cibernetic poate ataca. Cu excepţia cazului în care sunt puse la punct procese pentru revizuirea continuă a sistemelor de securitate, îmbunătăţirea produselor, învăţarea din greșeli, și instruirea permanentă a administratorilor și personalului, sistemul de apărare cibernetic din orice organizaţie va fi slab în faţa ameninţărilor avansate permanente (Advanced Persistent Threats - APT).
6. Tehnologia evoluează foarte rapid și ritmul este neobosit Tehnologia evoluează cu viteza luminii, astfel că nu este de mirare că oamenii nu pot ţine pasul cu atacurile cibernetice. Poate că ar trebui să lăsăm mașinile, echipate cu inteligenţă artificială (AI) să se ocupe de administrarea securităţii cibernetice și să asigure securitatea, și să scoatem oamenii din ecuaţie? Poate că este o abordare extremă, dar nu și nerealistă. Pe de o parte mașinile pot respecta regulile, fără nici o abatere, și să ţină pasul cu atacurile cibernetice, precum și să se adapteze mai rapid decât ar putea să o facă oamenii. Ele nu vor aţipi pe câmpul de bătălie și s-ar putea dovedi mai puţin neglijente decât oamenii în menţinerea standardelor de securitate și proceselor. Dar mai este încă o cale lungă de străbătut până când ‘Skynet’ va putea apăra automat organizaţiile împotriva infractorilor cibernetici, fără nici o intervenţie umană.
7. În spațiul cibernetic știi doar atât cât știi Provocările spaţiului cibernetic sunt date de faptul că tranzacţiile fantomă se întâmplă mai rapid decât oamenii le pot percepe. Ceea ce se întâmplă cu adevărat în reţeaua ta ar putea fi un mister. Dar apelând la analiticele de securitate, este bine să știi ceea ce ar trebui să știi. Dar să știi ceea ce nu știi, ar fi și mai bine.
Este timpul să scăpăm de teama securităţii cibernetice (Urmare din pagina 41)
pentru personal și clienţi să fie anxioși în privinţa consecinţelor. Totuși, tratând problema securităţii cibernetice ca pe o problemă „umană”, și nu ca pe o problemă puă de IT, companiile pot dobândi un oarecare control. Prin intermediul unui training adecvat ei își pot înzestra personalul în așa fel încât să diminueze riscurile și să își încurajeze clienţii să-și administreze mult mai eficient setările de securitate, parolele etc. Printr-o abordare mai proactivă, și nu doar prin răspunsuri reactive, și prin extinderea investiţiilor pentru a include specialiști și consultanţi independenţi în
securitate, precum și pentru suport IT, nu ar trebui să existe nici un motiv pentru care să nu își poată reduce vulnerabilităţile. Multe dintre aceste schimbări trebuie să vină de la vârf. Aceasta presupune ca directorii executivi să își însușească o parte din problematică și să o includă pe agenda discuţiilor regulate despre business, să încurajeze și să sprijine iniţiativele de securitate cibernetică, să alcătuiască echipe multifuncţionale și să responsabilizeze angajaţii prin resurse corespunzătoare. Pentru a schimba cu adevărat atitudinea faţă de securitatea cibernetică, „crearea unei lumi digitale mai sigure” trebuie să devină piatra de temelie a modului în care facem business - nu ca ceva de care să-ţi fie frică, ci ca o alternativă de îmbrăţișat, celebrat și în care trebuie investit.
43
Trends - Cybersecurity Trends
De ce doar protecţia antivirus nu (mai) este suficientă pentru companii? Anul trecut au fost depistate peste 350 de milioane de noi versiuni malware, circa 4.000 de vulnerabilități „Zero-day“, iar ransomware-ul a crescut cu 400%. În 2017 se preconizează creșterea acestor cifre și înmulțirea atacurilor care țintesc mediul enterprise, estimare confirmată deja și în România. Pentru reducerea acestui tip de riscuri, Datanet Systems propune o arhitectură de securitate integrată, pe mai multe niveluri, care acoperă toate fazele unui atac. Evenimentele recente au demonstrat că, pentru a stopa amenintările de nouă generaţie, organizaţiile au nevoie de soluţii capabile să le asigure protecţia pe mai multe niveluri. Producătorii de soluţii antivirus nu pot reacţiona însă instantaneu la orice ameninţare nouă, având nevoie de timp pentru a depista semnăturile virușilor. Ori, în cazul unui atac ransomware ţintit, până și diferenţa de fus orar devine importantă, pentru că în câteva ore ameninţarea se poate răspandi. Pentru a reduce riscurile și bloca în timp util malware-ul, Datanet livrează o arhitectură de securitate „multi-level“ cu acoperire extinsă și timp scurt de implementare.
verificat prin raportare la baza de date, iar în cazul depistării unei ameninţări este direcţionat către Cloud-ul Cisco pentru analiză. Soluţia asigură protecţie și împotriva ameninţărilor malware care utilizează metode de tipul Domain Generation Algorithms (DGA). Administratorii pot identifica utilizatorii care au accesat un domeniu compromis – pentru ca ulterior să îi pună în carantină –, și să blocheze adresa URL, introducând-o în „black list“. În cazul depistării unei staţii de lucru infectate, soluţia stopează automat cererile DNS de accesare a serverului de comandă și control al atacatorilor. Protecţia Umbrella se activează rapid, soluţia fiind livrată sub forma unui serviciu Cloud pe care Datanet îl poate instala și configura, realizând și integrarea cu alte soluţii de securitate (FireEye, Check Point etc.).
Prima linie defensivă
Acoperire extinsă
Primul nivel al arhitecturii Datanet este asigurat de soluţia Cisco Umbrella, care oferă protecţie atât infrastructurii organizaţiilor, cât și utilizatorilor mobili, stopând amenintările înainte ca ele să ajungă în reţea și/sau pe echipamentele angajaţilor. Pentru aceasta, soluţia analizează cererea DNS (utilizând OpenDNS, cea mai mare bază de date despre traficul DNS la nivel global) și determină nivelul de risc al conţinutului on-line. Conţinutul periculos este blocat din start, în timp ce URL-urile suspecte sunt analizate de serviciul Intelligent Proxy asigurat de Cisco în Cloud (care inspectează și traficul SSL). Reţeaua Umbrella analizează zilnic miliarde de solicitări DNS (verifică schimbări la nivel DNS, asocieri cu domenii care găzduiesc malware și/sau direcţionează către IP-uri compromise etc.) și depistează în timp real ameninţări și tipare de atac. Umbrella asigură utilizatorilor mobili confidenţialitate (prin criptarea traficului DNS) și protecţie cu ajutorul funcţionalităţii IP Layer Enforcement – traficul este
Al doilea nivel de protecţie a arhitecturii Datanet este asigurat de Cisco Advanced Malware Protection for Endpoints, care a înregistrat un scor de 100% și cel mai scurt timp de detecţie în testele NSS Labs. Soluţia utilizează suita de servicii Cisco Talos, care operează cea mai mare bază de date la nivel mondial despre evenimente de securitate, colectând informaţii despre vulnerabilităţi, ameninţări existente și în dezvoltare, spam etc. Cu ajutorul Datanet, clientul AMP pentru staţiile de lucru (fixe sau mobile) poate fi configurat astfel încât să completeze soluţiile AV tradiţionale. Aplicaţia este conectată la platforma Cloud livrată de Cisco, care permite administratorilor să vizualizeze activităţile desfăsurate de pe staţiile de lucru (procese iniţiate, aplicaţii folosite etc.) și traiectoriile fișierelor accesate (unde au fost descărcate/ deschise, cine le-a accesat etc.). Cisco AMP analizează în Cloud metadatele fișierelor (nu conţinutul acestora), iar când depistează un fișier maliţios îl blochează. Ulterior, prin serviciile de integrare asigurate de Dantanet, staţiile care au accesat fișierul pot fi trecute automat în carantină, limitând infecţia. Opţional, Cisco AMP poate să se „autosesizeze“ în cazul executabilelor întâlnite rar, pe care le trimite automat în Sandbox-ul Cisco (ThreatGrid) – pentru celelalte tipuri de fișiere, administratorul este cel care decide ce trimite.
44
Cisco Identity Services Engine
Event Cisco Stealthwatch
Meraki MX
Threat ,ntel Cisco Umbrella
Cisco Routers and Switches*
Policy
Talos Context
AMP Threat Grid
Cisco Cloudlock
Cisco FirePOWER NGFW/NextGeneration IPS (NGIPS)
*Cisco Integration/Aggregation Services Routers (ISR/ASR) and Catalyst Switches
Cisco Advanced Malware Protection for Endpoints
www Cisco Web Security
Astfel, companiile beneficiază suplimentar de o funcţionalitate Sandbox (care permite analiză a 100 de „mostre“ pe zi) și obţin câștiguri de performanţă la decriptarea traficului SSL. Specialiștii Datanet pot configura și personaliza funcţionalităţile de raportare ale soluţiei, astfel încât acestea să livreze informaţii acţionabile și analize ale evoluţiei ameninţărilor, și asigură integrarea cu alte soluţii Cisco (precum Firepower Management Center).
Protecție la nivel superior Peste cele două niveluri de protecţie, Datanet Systems integrează Cisco StealthWatch, care asigură vizibilitate în timp real asupra traficului intern. Soluţia integrează mecanisme de evaluare și învăţare a tiparelor de trafic și seturi de reguli predefinite, care pot fi personalizate cu ajutorul specialiștilor Datanet pe specificul traficului și topologiei organizaţiilor. Pe baza mecanismelor, regulilor și datelor furnizate prin funcţionalităţile NetFlow integrate de Cisco în echipamentele de reţea, StealthWatch depistează anomaliile din comportamentul utilizatorilor. Cum poate fi, de exemplu, o staţie de lucru care încearcă să stabilească conexiuni cu mai multe calculatoare din LAN, evoluţie care iese din tiparele uzuale de comportament. StealthWatch depistează și alertează astfel de anomalii care pot marca apariţia unei probleme. Soluţia Cisco acordă punctaje fiecărei anomalii depistate și emite alerte automate la depășirea anumitor valori, ajutând astfel nu doar la depistarea atacurilor „în forţă“, ci și a așa-numitelor „slow attack“, care pot fi astfel stopate în timp util.
Cisco Email Security
Condiția obligatorie a integrării Pentru ca toate cele trei soluţii să asigure protecţie maximă, Datanet Systems le integrează într-o arhitectură unitară, capabilă nu doar să depisteze ameninţările care au reușit să treacă de primele linii de apărare, ci și să le blocheze și elimine prompt. Pentru aceasta, Datanet integrează soluţiile menţionate cu platforma Cisco Identity Services Engine (ISE), care aduce în plus funcţionalităţi avansate pe zona de autentificare și autorizare a accesului în reţea, identifică utilizatorii și device-urile, stabilește locaţia și modul în care se încearcă accesarea reţelei etc. Integrarea cu ISE este obligatorie, pentru că platforma este cea care realizează punerea efectivă în carantină a staţiilor de lucru compromise, pe baza informaţiilor furnizate de Cisco AMP și StealthWatch. Altfel, fără integrarea soluţiilor, eficienţa arhitecturii de securitate este scăzută. Datanet Systems are competenţe avansate atât pe zona de integrare, cât și a soluţiilor avansate de securitate, având numeroase proiecte relevante în domeniul protecţiei infrastructurilor critice. Compania este principalul partener Cisco în România și are o echipă de specialiști certificaţi la cel mai înalt nivel, care asigură proiectarea, dezvoltarea, livrarea, punerea în funcţiune și configurarea soluţiilor, oferind servicii complete de consultanţă, mentenanţă și instruire de specialitate.
Pentru informații suplimentare, accesați www.datanet.ro sau contactați-ne la office@datanets.ro 45
Trends - Cybersecurity Trends
Asigurarea conformităţii GDPR cu Watchguard Garantarea respectării cerințelor GDRP este o sarcină dificilă pentru orice organizație și necesită investiții în tehnologii de securitate și protecție a datelor: Tehnologii de ultimă generaţie pentru protejarea datelor în timpul transmiterii pe reţea și stocarea acestora: – garantează analiza corectă a riscurilor. – soluţiile trebuie să fie capabile să acţioneze în timp real pentru mitigarea vulnerabilităţilor și riscurilor la adresa securităţii datelor – soluţiile includ uneltele necesare analizării eficientă politicilor de securitate. Tehnologii pentru recuperarea datelor în cazul unui incident Soluţii de raportare complete pentru respectarea cerinţelor conformităţii.
Organizațiile pot să reducă impactul GDPR-ului prin următoarele metode: Reducerea cantităţii de date personale colectate/ procesate Reducerea intervalului de timp de păstrare a datelor Criptarea Datelor în timpul stocării sau transmisiei. Mascarea adreselor IP și anonimizarea informaţiilor despre utilizator. Reducerea numărului de angajaţi ce pot accesa date personale. Creșterea capacităţilor de prevenire și remediere a ameninţărilor și prevenirii riscurilor la adresa datelor personale. În aceste articol a fost introdusă o schemă de planificare pentru respectarea cerinţelor GDPR. Folosind această schemă organizaţiile
Capacități Securitate Watchguard. CS1
Inventar dispozitive autorizate/neautorizate
Da
CS2
Inventar software autorizat/neautorizat
Da
CS3
Configuraţie securizată hardware și software pentru laptop-uri, staţii de lucru, dispozitve mobile și servere
Da
CS4
Analizarea continuă a vulnerabilităţilor și remedierea acestora
Da
CS5
Controlul privilegiilor administrative
Da
CS6
Monitorizarea și analizarea jurnalelor de audit
Da
CS7
Protecţie email și navigator web
Da
CS8
Apărare malware
Da
CS9
Limitarea și controlul port-urilor, protocoalelor și serviciilor
Da
CS10
Capabilităţi recuperare date
Nu
CS11
Configuraţii securizate pentru dispozitive de reţea precum : firewall-uri, routere și switch-uri
Da
CS12
Apărare perimetru
Da
CS13
Protecţia datelor
Da
CS14
Acces controlat în funcţie de politici
Da
CS15
Control al accesului pe wireless
Da
CS16
Monitorizarea și controlarea conturilor
Da
CS17
Analizarea cunoștinţelor de securitate și cursuri de securitate
N/A
CS18
Securitate pentru aplicaţii
Da
CS19
Răspunsul și gestionarea incidentelor
N/A
CS20
Teste de penetrare și exerciţii
N/A
46
pot să afle dacă respectă cerinţele GDPR sau nu, și cum pot să ajungă la un rezultat satisfăcător rapid. Soluţiile Watchguard reprezintă un mod rapid și la un cost abordabil pentru respectarea cerinţelor GDPR. Compania a dezvoltat și un pachet complet pentru organizaţii cu scopul respectării conformităţii cerute de GDPR. Pachetul se numește Total Security Suite și garantează conformitatea deoarece include: Securitate, Raportare, Criptare, Control Utilizatori. Suita „Total Security Suite” oferă soluții special create pentru respectarea cerințelor GDPR: Descoperirea amenințărilor și răspuns GDPR-ul cere ca organizaţiile să aibă capabilităţi de tip „situational awareness”. Aceste capabilităţi sunt furnizate de Watchguard și se numesc „ThreatSync”. „ThreatSync” corelează informaţiile de securitate obţinute din reţea sau dispozitive de tip „endpoint” cu scopul detectării mai rapide a incidentelor de securitate și prezentarea acestora într-un mod cât mai ușor de înţeles. Folosind „ThreatSync”, organizaţiile pot să remedieze incidente de tip „high-scoring” în mod automat, în timp real. Odată ce ameninţarea este remediată, informaţia este partajată cu Watchguard, astfel ameninţarea nu mai poate niciodată să intre în reţea. Soluţia Watchguard TDR este găzduită în cloud iar clientul poate să opteze ca datele sale să fie stocate în UE. WatchGuard Dimension™ Unul dintre obiectivele principale GDPR este ca accesul la datele de audit să fie rapid iar datele să își păstreze integritatea în scopul demonstrării conformităţii. Soluţia Dimension de la Watchguard garantează respectarea cerinţelor GDPR. Acest produs garantează vizibilitate completă asupra datelor și de asemenea include unelte de raportare ce identifică rapid ameninţări la adresa securităţii reţelei. Mai mult, această soluţie accelerează remedierea incidentelor și ameninţărilor și de asemenea permite implementarea de politici de securitate pe întreaga reţea. Dimension include și o funcţie de anonimizare „User Anonymization” ce poate înlocui toate datele ce pot fi folosite pentru identifi-
carea unui individ. Toate datele personale, IP, locaţie, nume, dispozitiv mobil etc., vor fi înlocuite cu secvenţe de chei alfanumerice în timpul tranzitului. De asemenea în rapoarte aceste date vor fi șterse. Data Loss Prevention (DLP) GDPR-ul cere în mod explicit protejarea datelor, iar soluţia de la WatchGuard garantează că datele importante nu vor putea fi șterse sau să iasă din reţea în mod neautorizat. Produsul Watchguard caută informaţiile personale din reţea și nu permite ștergerea sau scoaterea acestora în exterior în mod neautorizat. Criptare și VPN Criptarea datele personale în timpul tranzitului prin reţea și în timpul stocării acestora este un obiectiv clar specificat în GDPR. Soluţia de la Watchguard „Firebox UTM” include capabilităţi de tip „drag-anddrop” pentru tuneluri VPN între sediul central și birourile din sucursale.
În concluzie toate cerinţele GDPR pot fi ușor îndeplinite folosind suita de soluţii de la Watchguard: Threat Detection and Response, Watchguard Firebox, Dimension. Produsele Watchguard sunt diponibile în România prin distribuitorul autorizat Romsym Data (www.romsym.ro). Pentru informaţii suplimentare în vederea atingerii unui grad cât mai înalt de conformitate cu GDPR vă rugăm să ne contactaţi.
47
ds Biblio - Cybersecurity Tren Ferri Abolhassan (ed.), Cyber Security. Simply. Make it Happen. Leveraging Digitization Through IT Security, Cham 2017 (Springer), 136 pag.
Informaţi-vă în limba română!
Pe portalul SRI găsiţi informaţii de actualitate, iar câteva unelte foarte utile pentru cybersecurity sunt postate pe noul website al revistei Intelligence.
www.sri.ro
SRI: Serviciul Român de Informații
http://intelligence.sri.ro/
CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat!
Ghid securizare aplicaţii web (2017/03/20) Ameninţări cibernetice la adresa utilizatorilor români (2016/11/09) Ghid: Cum să te ferești de viruși, viermi și troieni (2016/11/01) Securitatea în reţelele sociale şi controlul parental în mediul online (2016/11/01) Securitatea serviciilor Internet Banking și Online Shopping (2016/11/01) Ghid: Securitatea utilizatorului final (2016/11/01)
48
www.cert.ro
Ghid protecţie ransomware (2017/05/11)
Această carte, publicată și promovată de Telekom Germania, este unul dintre cele mai bune vademecum pentru oamenii de afaceri, pe care l-am văzut în ultimii ani. În mai puţin de 140 de pagini, scrise într-un stil limpede precum cristalul și plină de exemple practice și simple, autorii ghidează orice cititori, decidenţi non-tehnici, asupra know-how-ului de bază pe care trebuie să-l aibă pentru a-și angaja compania într-o lume digitală sigură. Avantajul major al modului în care sunt prezentate argumentele constă în atât de necesara subliniere a autorilor asupra faptului că o bună securitate nu se obţine pe cheltuiala forţei, și, mai mult, nu încetinește procesele de business. Capitolele sunt structurate într-un mod foarte interesant, gândite pentru a veni în ajutorul unor oameni care au puţin timp la dispoziţie. De fapt, în primele 26 de pagini este dezvăluit aproape totul: tranziţia la cloud, protecţia datelor și regulile din spaţiul cibernetic. Apoi, fiecare punct este prezentat cu mai multe detalii, insistându-se nu numai asupra încrederii necesare (și a modalităţilor de a ști dacă încrederea este posibilă) în produsele și serviciile pe care le va achiziţiona, ci și asupra necesităţii de perfecţionare continuă a angajaţilor prin creșterea rezilienţei și clădirea de capabilităţi, prin numeroase posibilităţi de instruire (team-building, jocuri, cursuri etc.), incluzând expertiza cibernetică pe care și managerii trebuie să o dobândească. Toate subiectele importante legate de lumea digitală, relevante pentru business, sunt explicate pe scurt, dar cu atenţie, cu focus pe Germania, dar și pe Europa: ce este tratatul Safe Harbour, care sunt cele mai importante legi și directive europene și germane, cum să te conformezi acestora s.a.m.d. Numeroasele posibilităţi de outsourcing a securităţii sunt detaliate și ele, precum și situaţiile în care outsourcing-ul este recomandat, sau nu. Ultimul sfert al cărţii este dedicat în întregime acestui subiect și diferitelor trucuri care sunt utilizate pentru a exploata slăbiciunile umane dintr-o companie, o combinaţie foarte bine aleasă precum în cazul outsourcing-ului de securitate «plug&play», în care compania trebuie să aibă totuși un ofiţer de securitate și o echipă instruită de angajaţi. Ultimele pagini explică evoluţia pericolelor cibernetice, precum și competenţele mereu crescânde ale hacker-ilor, incitând cititorul să acţioneze înainte să fie prea târziu. În sfârșit, se mai subliniază odată, ca și în introducere, asupra faptului că securitatea cibernetică poate fi înţeleasă și poate fi tratată într-un mod foarte simplu: nu este nici extrem de scumpă, nici atât de complicată pe cât se crede, nici ostilă business-ului. Dimpotrivă, o companie nepregătită se va confrunta nu numai cu daune și rușine, dar și cu pierderi importante nu numai cauzate de atacatori, ci și datorită neconformării cu noile legi și regulamente pe care Comunitatea Europeană le va aplica în anii care vin.
Thomas J. Holt, Olga Smirnova, Yi-Ting Chua, Data Thieves in Action. Examining the International Market for Stolen Personal Information, New York 2016 (Palgrave Macmillan), 164 pag. Chiar dacă este scrisă în limbaj știinţific, cu o abundenţă de note și trimiteri la lecturi complementare, acest volum este un document îngrijit, documentat și cu răspunsuri exacte pentru toţi cei care se minunează de ce datele - în mod special cele financiare - sunt atât de atrăgătoare și, de fapt, care este valoarea lor reală. După ce face un apel necesar la studiile existente în acest domeniu, un capitol pasionant explică în ce măsură piaţa datelor furate este similară altor pieţe ilicite, și sub ce aspecte nu este. O analiză extensivă a modului de stabilire a preţului pentru toate tipurile posibile de date financiare, de la cele mai simple carduri de credit, în funcţie de ţară, până la includerea codului PIN în exploituri pentru transfer de bani, ne dă o imagine a cât de suculent este acest business. Următorul capitol, dedicat costurilor economice ale datelor furate, subliniază faptul că vânzătorii acestor date pot face mii de dolari pe tranzacţie, aproape fără nici un risc, în timp ce cumpărătorii se confruntă cu o problematică diferită: fie pot face milioane, fie pot fi prostiţi, depinzând de un sistem clasic foarte complex, care depinde de încrederea dintre vânzător și cumpărător și variaţiilor mari în stabilirea preţului beneficiile depinzând de limbă, ţară, economie și de alţi parametri. Pentru a fi mai exact, autorul își continuă explorarea explicând organizarea socială complexă a diferiţilor actori de pe această piaţă ilegală. Pentru a sumariza, acest studiu, fără să obţină ceea ce nimeni nu este în stare să facă - de exemplu să estimeze pierderile totale din economia reală -, este o incursiune corectă și detaliată în aceste activităţi infracţionale. Structura complexă a diferiţilor actori și a modelelor în care aceștia interacţionează, în particular, este extrem de interesantă pentru orice cititor care dorește să înţeleagă cum funcţionează infracţionalitatea cibernetică. George Lucas, Ethics and Cyber Warfare: The Quest for Responsible Security in the Age of Digital Warfare, Oxford 2016 La un an după ce a publicat, ca editor, magistralul volum Routledge Handbook of Military Ethics (2015), George Lucas ne oferă o revizuire completă a eticii din lumea cibernetică. Un text extrordinar care menţine curiozitatea cititorului de a afla mai multe, pagină după pagină, combinând un stil strălucitor cu afirmaţii înţepătoare și uneori cinice și cu sute de exemple reale care vin să ilustreze discuţiile.
La fel cu modul în care militarii se luptă acum cel mai adesea cu dușmani neconvenţionali, cu diverse etici de război, sau lipsiţi de orice etică, domeniul «cyber» este un alt câmp pe care statele, armatele, agenţiile dar și indivizii trebuie să-și reconsidere poziţiile. După ilustrarea ameninţărilor principale din domeniul războiului cibernetic, și după ce ne incită să facem o diferenţă între infracţiuni și război, autorul se întreabă ironic dacă există vreo etică și lege în conflictele cibernetice, și ne oferă o privire de ansamblu a diferitelor tipuri principale de «etici», așa cum există: «moralitatea populară», diferitele framework-uri legislative, teoria «războiului pur și simplu». Publicată chiar înainte de apariţia ediţiei revizuite 2.0 a Manualului Tallinn, autorul explică de ce anume prima ediţie a cărţii Tallinn International Law nu și-a atins scopurile. Apoi trece cu talent la conceptul pe care îl consideră de bază pentru construirea unui cod etic: un punct de vedere moral. El citează filozofii greci pentru a scoate în evidenţă morala comună «Dacă Aristotel ar fi purtat un război cibernetic: în ce mod normele se nasc din practică». Apoi este tratat un aspect vital: legile nu sunt norme. Acest aspect este vital deoarece astăzi există o confuzie extraordinară în domeniul de business și fiecare regulament este considerat a avea putere de lege, în timp ce în întreaga istorie umană există motive exacte de guvernanţă pentru a stabili dacă o obligaţie trebuie stabilită prin lege, prin regulamente sau prin directive. Dilema morală ridicată de anonimitate vs. intimitate este de asemenea un punct central al cărţii, cu toate problematicile pe care cele două concepte le ridică, acestea fiind mult mai antagoniste decât ar putea crede marea masă de public. La final, el ia în considerare cu atenţie moralitatea și etica atât a denunţătorilor (whistleblowers), cât și a NSA și a altor agenţii. De fapt el subliniază imoralitatea ambelor părţi, în încercarea lor de «a fi morale», printr-un citat extraordinar: «Și astfel - la fel cum toţi cei care poartă un război, folosind arme mortale împotriva altor fiinţe, mint, înșeală și fură - Dl. Snowden trebuie să dea socoteală pentru acţiunile sale.» Volumul trebuie citit neapărat de toţi cei dornici să înţeleagă nevoile vitale pentru a impune cel puţi o doză minimă de morală și etică în domeniul cibernetic, cel puţin atâta vreme cât noi europenii dorim să afirmăm că suntem custodele democraţiei, ceea ce presupune sarcini și obligaţii atât pentru state, cât și pentru cetăţeni, într-un framework legal etic și moral. Sunt furnizate un număr incredibil de soluţii pentru a răspunde pozitiv la provocările lui Lucas. Pentru oricare dintre noi, și mai presus pentru factorii de decizie politică, arătând că a fi moral și a avea etică nu condamnă pe nimeni să «piardă» în jocul războiului cibernetic precum și împotriva infracţionalităţii cibernetice. A. Nagurney, S. Shukla, Multifirm models of cybersecurity investment competition vs. cooperation and network vulnerability, in European Journal of Operational Research 260 (2017) 588–600 Această analiză matematică extrem de atentă realizează de fapt una dintre primele demonstraţii reale a faptului că partajarea informaţiilor și vulnerabilităţilor, chiar și între competitori, este cea
49
ds Biblio - Cybersecurity Tren
Informaţi-vă în limba română! Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.
www.arasec.ro
ARASEC
mai eficientă armă pentru întărirea rezilienţei și, în același timp, recuperarea banilor cheltuiţi inutil (investiţi în așa-zisul «avantaj competitiv în securitate»), pentru utilizarea lor în scopuri mai bune. Lăsând la o parte ecuaţiile foarte complicate, graficele vorbesc de la sine. În toate simulările de situaţii reale cu companii reale, vulnerabilităţile de reţea sunt considerabil mai reduse dacă companiile se decid să utilizeze un sistem de «negociere Nash» (NB) (de ex. împărtășind informaţii utile într-un mod care să nu fie dăunător avantajului de securitate pe care îl au, decât în cazul în care ar folosi un sistem convenţional de «echilibru Nash» (NE), care ar presupune o partajare redusă sau lipsa totală a partajării. Este investigată și o a treia cale, optimizarea de sistem (S-O), în care toate capacităţile cibernetice «ideale» ale unei companii ar fi optimizate. Chiar și în acest scenariu, rezultatele sunt mai proaste decât în cazul unei partajări de informaţii de bună calitate și echitabile între actori (de stat sau privaţi). Volumul economiilor realizate prezentat în concluzii poate să nu pară uriaș, dar asociat cu o rezilienţă crescută demonstrează că un scenariu colaborativ, nu numai că funcţionează mai bine dar aduce chiar «câștiguri»: «În cazul Target a fost observată o creștere cu 1,24 milioane, iar pentru Home Depot cu 1,25 milioane, prin utilizarea NB, în loc de NE (...) Creșteri de 2,61 milioane pentru JPMC, 2,24 millioane pentru Citibank și 4,25 millioane pentru HSBC în valoarea așteptată, prin utilizarea NB în loc de NE». Nu avem nici o îndoială că acest text, dacă ar fi cunoscut în mod corespunzător, ar trebui să devină unul dintre cele mai puternice argumente pentru toate organizaţiile care promovează partajarea vulnerabilităţilor în Europa. Syed Taha Ali, Patrick McCorry, Peter Hyun-Jeen Lee, Feng Hao, ZombieCoin 2.0: managing next-generation botnets using Bitcoin, in International Journal of Information Security (2017), pag. 1-12 O ameninţare foarte nouă... dar care ar putea deveni o viitoare pandemie. Sunteţi adeptul valutelor virtuale? Aveţi grijă! În urmă cu câteva luni, cercetătorii au aflat că uneori chiar și antivirușii au fost utilizaţi pentru a răspândi... viruși. Acum, un studiu recent, relevă un fenomen rar și încă necunoscut: utilizarea «valutelor zombie». Autorul prezintă modul în care funcţionează un mecanism de comandă-și-control botnet, care utilizează efectul de levier al reţelei Bitcoin. Studiul arată modul în care autorii lui au reușit să implementeze un «ZombieCoin bot» și să îl lanseze în reţeaua Bitcoin. Cea mai importantă problematică subliniată
50
Centrul pentru Securitatea Cibernetică CERT-GOV-MD
(http://cert.gov.md)
Statistica incidentelor pentru poșta electronică (actualizare zilnică) Texte extrem de clare și pertinente despre: • • • • • •
Practici bune de securitate Politica de securitate Copii de rezervă Identitatea online Reţele de socializare Reţele wireless
• • • • • •
Escrocheria online Telefonul mobil Parole puternice Shopping on-line Furtul de date Soluţii de securitate
este dată de încrederea pe care utilizatorii Bitcoin o au în sistem, ceea ce face ca întreg sistemul (chiar dacă greu de atacat) să fie extrem de atrăgător pentru infractorii cibernetici. Studiul are o valoare foarte ridicată pentru experţi, pentru că sună la timp alarma pentru o ameninţare încă subestimată, dar care va fi diseminată cu siguranţă în viitor, și pentru că ilustrează prin exemple care au fost deja dovedite în legătură cu vulnerabilităţile în modus operandi al Bitcoin. «Cercetătorii Interpol, la recenta conferinţă Black Hat din Asia, au demonstrat un malware care download-ează secvenţe specifice de cod din blockchain-ul Bitcoin. (unde sunt stocate ca rezultate ale tranzacţiilor) și le îmbină într-o comandă pe care o execută...» Hans de Bruijn, Marijn Janssen, Building cybersecurity awareness: The need for evidence-based framing strategies, in Government Information Quarterly 34 (2017), pag. 1–7 Departe de a fi util doar pentru factorii de decizie politică, articolul demonstrează de ce anume majoritatea campaniilor de conștientizare în privinţa securităţii cibernetice eșuează. Prin discutarea cu precădere a problemelor puse de lumea digitală și de noul mediu IoT, autorii subliniază că este o cutie a Pandorei a paradoxurilor (fig. 1), care este o provocare constantă sau chiar un impediment pentru realizarea unei strategii efective de conștientizare.
• Actualizarea automată • Actualizarea produselor soft • Accesul de la distanţă • Securitatea echipamentelor
Ei propun o soluţie excelentă pentru a nu cădea în această capcană prin evitarea ei. Adaptându-ne la lumea filmelor și imaginilor în care trăim, ei sugerează adoptarea unui scenariu hollywoodian victimă-ticălos-erou (Victim-Villain-Hero - VVH) și identifică cinci criterii de succes: «cadrele sunt atractive; suntem de acord în mod intuitiv cu cadrele; cadrele conţin un ticălos; cadrele provoacă valorile fundamentale ale oponentului vostru; cadrele captează subcurente sociale». Acest mod de a privi problema, aparent simplist, ajută la definirea nevoilor și la stabilirea unei strategii, prin sublinierea unor persoane reale, instituţii și fapte în cele trei categorii ale schemei VVH (fig. 2). Desigur aceasta nu este o cercetare extensivă asupra modului în care trebuie adresată o campanie specifică unui public anume, dar framework-ul propus permite fiecărui decident să realizeze impactul primordial (șoc) pentru a trezi interesul audienţei. Și toate persoanele implicate în furnizarea unui mesaj (scris sau oral) către un public știu că acest pas este crucial și cât de inutile sunt eforturile depuse ulterior unui rateu. Putem doar recomanda cu căldură, responsabililor cu securitatea, să citească și să utilizeze acest text explicit, pentru a da o nouă formă mesajelor lor către interlocutori (de la decidenţi, la angajaţi).
(fig. 2)
Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei. (fig. 1)
51
ds Biblio - Cybersecurity Tren Internet Infrastructure Security Guidelines for Africa. A joint initiative of the Internet Society and the Commission of the African Union, 30 May 2017, 30 pag. https://www.internetsociety.org/sites/default/ files/AfricanInternetInfrastructureSecurityGuidelines_May2017.pdf Aceste ghiduri sunt o capodoperă a ceea ce trebuie făcut - chiar și în Europa! - ca bune practici de bază pentru securizarea ecosistemului Internet al unei naţiuni, un document foarte diferit în comparaţie cu multe alte ghiduri și strategii publicate recent. Bazându-se pe cele mai relevante bune practici (NIST, ENISA, OECD), volumul începe cu o declaraţie clară, pe care ar trebui s-o avem întotdeauna în minte, când ne referim la securitatea cibernetică: «este dificil să facem o diferenţă clară între infrastructura de securitate a Internetului și securitatea reţelelor și practicile tradiţionale de protejare a informaţiilor». Capitolul 2.3 este extrem de clar pe acest subiect, pentru factorii de decizie politică naţionali, ai ţărilor UA, responsabili pentru stabilirea strategiilor naţionale pentru ţara lor. Spre deosebire de multe documente vestice, care scot în evidenţă reguli tehnologice și investiţiile corespunzătoare, ordinea priorităţilor stabilită de aceste documente pun omul în centrul acţiunii. Cele patru principii pe care trebuie construită o strategie, conform textelor, sunt: conștientizarea, responsibilitatea, cooperarea și drepturile fundamentale și activele Internet. Conștientizarea, stabilită ca prim principiu, este, în opinia noastră, un pas uriaș înainte, comparativ cu alte documente, în care educaţia cibernetică este considerată încă doar o măsură colaterală, care trebuie luată la diferite nivele, de diferiţi actori, fără a i se acorda un rol prioritar, clar și omogen. Responsabilitatea este considerată ca o obligaţie pentru ofiţerii de securitate, fie ei guvernamentali sau privaţi, de «a lua în considerare potenţialul impact al acţiunilor sau inacţiunilor cuiva asupra altor părţi interesate, înainte de a trece la acţiune». «Cooperarea» scoate în evidenţă ceea ce constituie încă o slăbiciune în multe ţări avansate: a lucra împreună și a suporta «o responsabilitate colectivă de către toate părţile interesate, nu doar de către factorii guvernamentali și de către un număr selectat de părţi interesate». Explicaţia principiului «drepturile fundamentale și activele Internet» este foarte explicită: «colaborarea voluntară, standardele deschise, componente constructive tehnologice reutilizabile, integritate, acces gratuit la inovaţie și acoperire globală». După cum putem vedea, prin stabilirea infrastructurii tehnologice în sine, ca un câmp separat, Comisia Uniunii Africane le oferă membrilor săi șansa,
O publicație
get to know!
indiferent de nivelul de bogăţie, să își perfecţioneze rezilienţa prin investiţii în resursa umană și cooperare. Cu speranţa că acest text va fi inclus în strategii și legi în ţările UA, considerăm că aceste ghiduri ar trebui promovate și pe continentul nostru, atât în domeniul public, cât și în sectorul privat. În doar 30 de pagini, acestea încadrează perfect problematica și insistă pe soluţia, pe care toţi specialiștii majori o definesc ca «veriga slabă», și anume omul, indiferent de poziţia sa în societate sau în lumea profesională. În data de 29 iunie, Comisia Europeană a anunţat printr-un comunicat de presă că «accelerează măsurile de prevenire a radicalizării și ameninţărilor cibernetice»1. În aceeași dată a fost publicat și al 8-lea raport privind progresele înregistrate pentru o uniune a securităţii2, din care aflăm că în septembrie va fi aprobată noua Strategie de securitate cibernetică a UE. „Consolidarea rezilienței cibernetice și a securității cibernetice În conformitate cu Piaţa unică digitală - Evaluarea la jumătatea perioadei, Comisia își accelerează activitatea de eliminare a lacunelor din actualul cadru al securităţii cibernetice. Pentru consolidarea răspunsului nostru la escaladarea ameninţărilor cibernetice, ar trebui întreprinse o serie de acţiuni operaţionale pe termen scurt, în cadrul unei reexaminări mai ample a Strategiei de securitate cibernetică a UE din 2013. Consolidarea sistemelor și a rețelelor – Comisia va aloca o sumă suplimentară de 10,8 milioane EUR pentru 14 state membre în cadrul Mecanismului pentru interconectarea Europei. Această finanţare are drept scop finanţarea reţelei de echipe naţionale de intervenţie în caz de incidente de securitate informatică (rețeaua CSIRT). Centrului european de combatere a criminalității informatice (EC3), care a coordonat răspunsul de asigurare a respectării legii în contextul atacului WannaCry, ar trebui să i se asigure de către Europol o expertiză suplimentară în domeniul informatic. Justiția penală – Comisia analizează, de asemenea, adoptarea unor posibile măsuri legislative de natură să îmbunătăţească accesul transfrontalier la probele electronice (e-evidence). De asemenea, Comisia examinează provocările reprezentate de utilizarea criptării de către infractori, urmând să prezinte, până în octombrie 2017, un raport privind constatările sale.» 1 http://europa.eu/rapid/press-release_IP-17-1789_ro.htm 2 https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/ european-agenda-security/20170629_eighth_progress_report_towards_an_effective_ and_genuine_security_union_en.pdf
şi
Notă copyright: Copyright © 2017 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy.
ISSN 2393 – 4778 ISSN-L 2393 – 4778
Editorii ţin să mulţumească D-rei Lucia Sevestrean pentru ajutorul dat la traduceri, corecturi și adaptarea terminologică a articolelor în limba franceză și italiană. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285
52
http://www.agora.ro http://cybersecuritytrends.ro
SECURITATEA IT: CE ÎNSEAMNĂ PENTRU BUSINESS-UL DE ASTĂZI? PROTECȚIA ÎMPOTRIVA RANSOMWARE O funcție anti-criptare și layere multiple de apărare protejează datele existente pe serverele și pe desktop-urile corporației împotriva amenințărilor de tip ransomware și criptare malware.
CONTINUITATEA AFACERII Prevenția este mai bună decât tratamentul. Tehnologiile noastre scanează rețelele pentru a identifica vulnerabilități provocate de aplicații nefolosite sau sisteme de operare înainte de instalarea automată a patch-urilor și update-urilor necesare.
PROTECȚIA DATELOR Pierderea de date cauzată de furt sau accident ar putea genera costuri sau probleme juridice de încălcare a reglementărilor ce se referă la protecția datelor. Criptarea este o metodă eficientă de a proteja compania de riscurile asociate cu pierderea datelor cauzate de programele de tip malware sau chiar de pierderea sau furtul dispozitivului.
REDUCEREA COSTURILOR În perioade economice dificile, primele costuri reduse sunt cele care nu sunt direct legate de nucleul business-ului. De aceea, niciodată nu a fost un moment mai bun pentru a optimiza licențele și versiunile de software din rețeaua corporației.
MOBILITATE Când angajații se conectează la rețeaua corporației de pe un WiFi public și nesecurizat, ei trebuie s-o facă în deplină siguranță fără a pune infrastructura companiei în pericol.
Kaspersky Endpoint Security for Business ADVANCED © Kaspersky Lab, 2016. Mărcile comerciale și mărcile de servicii înregistrate sunt proprietatea titularilor care le dețin.
Kaspersky Endpoint Security for Business Advanced – pentru companii ambițioase. Toate tehnologiile sunt dezvoltate in-house oferind compatibilitate deplină, performanță maximă și o consolă de management unificată care garantează utilizarea eficientă a resurselor IT administrate. Kaspersky Lab România, Bulgaria și Republica Moldova
+40 21 210 77 18 office@kaspersky.ro kaspersky.com/advanced