Cybersecurity Trends 1/2017 RO

Page 1

Cybersecurity Nr. 1 / 2017

Trends

G. PA -31 24

Elveția confruntată cu atacurile cibernetice. Starea actuală.

G. PA-19 6

tory Cover Story

Securitate personală și intimitate

G. PA -34 32

Interviu VIP:

Gian Carlo

CASELLI



ends Editorial - Cybersecurity Tr

O provocare din ce în ce mai mare… autor: Laurent Chrzanovski

D

ragi cititori, acum două săptămâni a apărut primul număr al revistei noastre în limba italiană, datorită Global Cyber Security Center, o fundaţie a Poștei Italiene. Așadar, Cybersecurity Trends există deja în 3 variante (română, franceză, italiană) și foarte curând o să avem prilejul să vă anunţăm și ediţii în alte limbi și pentru alte ţări. Rezultatul acestor parteneriate reprezintă, deja în numărul pe care îl aveţi în faţă, un salt calitativ și o privire din ce în ce mai internaţională asupra unui fenomen care nu are graniţe. Pentru redacţie este o provocare nouă în care o să angrenăm în continuare toate eforturile noastre, pentru a păstra un conţinut care să fie echilibrat în privinţa știrilor importante care privesc securitatea cibernetică

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala ClujNapoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional publicprivate dialogue platform”.

în România, dar care să ofere cetăţenilor și întreprinzătorilor o vedere mai amplă despre problematica de actualitate din toată Uniunea Europeană și chiar dincolo de graniţele UE. În numărul de faţă veţi putea citi un articol, mai «sociologic» decât de obicei, dedicat valurilor de «manipulare mediatică» venite din toate părţile și care au ca tematică centrală atacurile «cyber». În privinţa scopului și spiritului în care am fondat Cybersecurity Trends acum doi ani, acest fenomen este, din punctul nostru de vedere, o nouă piedică în calea unei bune informări și a educaţiei cetăţenilor și a oamenilor de afaceri în domeniul conștientizării în privinţa riscurilor care îi privesc în mod direct. Cu atâtea «breaking news» referitoare la «cyber-wars» între giganţi, fie ei state sau corporaţii, crește riscul ca populaţia să înceapă să aibă impresia că nu mai face parte din acest fenomen, că nu i se va mai întâmpla nimic, că pericolele s-au îndepărtat către ţinte mult mai mari. Ori dacă citim rapoartele din primele luni ale anului 2017, situaţia este exact pe dos. Ne confruntăm cu o creștere a tuturor actelor criminale pe internet, de la DDoS la Ransomware, de la furtul identităţii bancare la furtul de date personale, de la șantaj la hărţuire. În plus, în ceea ce îi privește pe întreprinzători, noile directive ale UE (fie Payment Service Directive, fie Regulamentul general privind protecţia datelor), care vor trebui aplicate până în mai 2018, au un impact enorm în ceea ce privește chiar gîndirea securităţii unei companii, pentru că amenzile prevăzute în caz de atac, sau în caz de neadecvare, sunt usturătoare. Așadar, nu putem să nu continuăm să vă ghidăm să citiţi, să vă formaţi, să vă faceţi o idee clară a situaţiei, folosind toate resursele de informare de specialitate (publice și private) și ignorând pe cât se poate știrile publicate de media generalistă, al cărei scop este numai de a oferi «știrea zilei». În materie de cybersecurity nu există «știrea zilei» (sau ar exista cam 200 pe zi), există însă fenomene în plină transformare, modalităţi de atac în plină evoluţie, și nimeni nu este «neinteresant» pentru criminali, fiecare dintre noi lucrând și trăind într-o societate multiconectată. Fără să fim pe faţă «ţinta principală», cu cât suntem mai nepregătiţi, cu atât mai mult devenim «ţinte secundare» vitale pentru atingerea obiectivelor pe care și le-au propus criminalii.

1


ends Authorities - Cybersecurity Tr

Dragi cititori, Marco Obiso, Cybersecurity Coordinator, International Telecommunication Union, Geneva

2

Î

n acești ani, mai mult ca niciodată, securitatea cibernetică este în centrul atenţiei noastre. Și nu mă refer acum la „breaking news-urile” din ultimile luni, dimpotrivă aș dori să mă concentrez pe diverse reglementări UE care vor avea un impact pozitiv asupra afacerilor și vieţilor noastre. Atât directiva NIS, cât și directiva GDPR, a căror implementare își va face simţit efectul mult înafara graniţelor UE, sunt menite să ofere o siguranţă mai bună ţărilor, companiilor și cetăţenilor, a căror viaţă privată și intimitate sunt stabilite ca priorităţi clare, dacă examinăm textul GDPR. În același timp, suntem martorii publicării recente a volumului de referinţă Tallinn Manual 2.0, care materializează eforturile depuse de un think-tank de autori, menit să ofere făuritorilor de politici o mai bună înţelegere a operaţiunilor cibernetice și a contextului legal. De mai mulţi ani, ITU s-a angajat într-un efort similar, concentrându-se pe construirea și împărtășirea de cunoștinţe, prin dezvoltarea de bune practici și programe de asistenţă, în cadrul framework-ului Global Cybersecurity Agenda, acesta acoperind zonele prioritare, cum ar fi măsurile legale, măsurile tehnice și procedurale, structurile organizaţionale, construirea de capacităţi de reacţie și cooperarea internaţională. Parafrazând titlurile a două publicaţii ITU, dacă suntem în «căutarea păcii cibernetice» și ne dorim să vedem oamenii trăind într-un mediu online de încredere, în experienţele lor online de zi-cu-zi, în «căutarea încrederii cibernetice», trebuie să facem disponibile cunoștinţele necesare. Construirea de capacităţi pornește de la o bună informare asupra situaţiei actuale, de la provocările către soluţiile posibile, și până la diminuarea și rezolvarea unor astfel de provocări. Același lucru se aplică și în arena securităţii cibernetice: pericolele cibernetice pot fi contracarate prin sporirea cunoștinţelor și utilizarea corespunzătoare a instrumentelor care ne sunt puse la dispoziţie. Conștientizarea adulţilor este o provocare majoră, cu nimic mai ușoară sau mai puţin importantă decât conștientizarea copiilor. În acest sens, multiplicarea eforturilor de pe continent, la care suntem martori - și putem menţiona aici aplicaţia CERT_EU, foarte bine făcută și ușor de utilizat - reprezintă un răspuns la nevoile cetăţenilor de a fi informaţi mai bine și mai rapid, în legătură cu ameninţările mai vechi și mai noi și asupra modului în care se pot apăra împotriva lor. Un alt efort pe care îl consider destul de relevant este iniţiativa «Coordinated Vulnerability Disclosure», în cadrul contextului partajării de informaţii, un subiect asupra căruia se concentrează acum mai multe state europene. Acesta este un parteneriat public-privat pe care sperăm să-l vedem funcţional cât mai curând posibil.


Viaţa privată în era digitală. Scurtă analiză de risc

autor: Cătălin Pătraşcu

Începând cu anul 2013, odată cu revelațiile deja celebrului Edward Snowden despre programul de supraveghere în masă al agenției de securitate americane NSA, toată lumea pare din ce în ce mai preocupată de modul în care este asigurat dreptul la viață privată în spațiul cibernetic. Subiectul a iscat o controversă ce pare departe de final și asta pentru că vorbim de curente de opinii total diferite, dar în același timp cu argumente valide și de o parte și de alta. Este lesne de înțeles că în principiu absolut toată lumea își dorește atât securitate cât și viață privată, numai că, cel puțin deocamdată, pare că este nevoie de asumarea unor compromisuri între cele două drepturi individuale.

În rândurile următoare vă propun să abordăm subiectul prin prisma unei analize de risc cu privire la viaţa privată în spaţiul cibernetic. Una dintre întrebările fundamentale pe care trebuie să ne-o punem este următoarea: oare cine anume este interesat de viaţa noastră privată și mai cu seamă de ceea ce facem în spaţiul cibernetic? Răspunsul meu ar fi că sunt trei tipuri de entităţi interesate de aceste date, fiecare având scopuri diferite: Instituţiile din sfera aplicării legii și asigurării securităţii naţionale, în scopul îndeplinirii atribuţiilor care le revin; Indivizii sau organizaţiile rău intenţionate care urmăresc să folosească în scopuri ilegitime datele noastre personale/confidenţiale; Companiile ce activează în domeniul publicităţii sau chiar comercianţii care încearcă să ne cunoască obiceiurile și gusturile. Acum că știm cine ar beneficia de pe urma procesării datelor legate de viaţa noastră personală, ar trebui să

BIO Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

ne punem următoarea întrebare: de cine anume vrem să ne protejăm? Evident că răspunsul diferă de la individ la individ. Și ca să evit din nou o controversă am să afirm că în mod cert ne dorim să ne ferim viaţa privată de indivizii sau organizaţiile rău intenţionate, sau mai bine zis de cei care urmăresc să exploateze aceste date în defavoarea noastră. Problema securităţii personale în spaţiul cibernetic și implicit protejarea datelor ce ţin de viaţa privată devine până la urmă o problemă de identificare a obiectelor și entităţilor în care avem încredere. Spre exemplu, în momentul în care ne achiziţionăm și apoi utilizăm un smartphone va trebui să ne gândim la încrederea pe care o avem în: Producătorul/integratorul dispozitivului și lanţul de aprovizionare al acestuia (supply chain); Producătorii sistemului de operare și aplicaţiilor; Producătorii aplicaţiilor instalate; Autorităţile de certificare (CA) ale căror certificate sunt prezente în dispozitiv; Magazinul de la care cumpărăm telefonul și lanţul de aprovizionare al acestuia; Producătorul cartelei SIM; Operatorul de telefonie mobilă; Administratorii reţelelor WiFi la care ne conectăm; Furnizorii de servicii de Internet (ISP); Site-urile web și platformele online pe care le folosim. Fiecare dintre entităţile enumerate anterior, cel puţin în teorie, pot avea un impact negativ asupra asigurării confidenţialităţii datelor și activităţii noastre în spaţiul cibernetic. Nu-mi rămâne decât să închei prin a vă invita să reflectaţi asupra controlului pe care-l deţinem în realitate asupra securităţii și vieţii private odată cu accelerarea utilizării produselor și serviciilor digitale.

3


ends Authorities - Cybersecurity Tr

PSD2 o provocare? Cum alege o bancă soluţia care să o asigure că își va păstra locul în piaţă? Ghid de evaluare. ru

ANSSI rit a

te a Siste m elo

r In

at

nt

cu

r

m

pe Se

ic e

žia Nažion ocia alÅ As

fo

Payment Service Directive (PSD2) este o nouă directivă europeană ce va trebui implementată în mediile financiar-bancar europene de la începutul lui 2018. Această directivă va aduce schimbări fundamentale în mediul financiar-bancar european. autor: Mihai Scemtovici, director general SolvIT Networks

Principalele schimbări prevăzute se referă la nevoia de a furniza interfeţe de operare pentru așa-numiţii furnizori terţi și nevoia de întărire a autentificării clienţilor bancari și suport pentru autentificare prin două sau mai multe elemente (multi factor authentication),

BIO Mihai Scemtovici a dezvoltat în cadrul companiei SolvIT Networks, în cei peste 12 ani de activitate, proiecte de management de infrastructură şi management de securitate în România, ţările Balcanice, Turcia, Middle East şi ţările nordice. Proiectele au fost dezvoltate cu precădere în mediul bancar, telecom dar şi în cadrul unor instituţii guvernamentale. În ultimii ani s-a concentrat pe proiecte din zona managementului securităţii şi cyber security.

4

pentru cele mai multe tipuri de plăţi. Astfel, furnizorii de servicii și nu numai pot deveni furnizori de servicii de iniţiere plăţi sau furnizori de servicii de informaţii conturi, adică vor fi în măsură de a „revinde” servicii bancare, împachetate împreună cu serviciile pe care le oferă în mod tradiţional, oferind noi beneficii clienţilor existenţi. Imaginaţi-vă ce pachete atractive de servicii bancare combinate ar putea oferi un operator telecom sau un lanţ de hypermarket-uri. Deși sunt opinii avizate care spun că băncile vor avea de suferit, trebuie totuși văzută și partea plină a paharului. Astfel, o bancă care a deschis interfeţe de calitate către un furnizor are automat acces la o bază de clienţi mult mai mare decât a reușit să abordeze până acum pe canalele clasice, având în vedere că penetrarea telecom în rândul populaţiei este de peste 100%, iar a bancarizării de maxim 60% (chiar și hypermarket-urile au o penetrare atractivă în mediile non-urbane, prin lanţurile de mini-market-uri din sate). Din acest motiv băncile trebuie să fie în măsură să ofere interfeţe fiabile pe de o parte și sigure pe de altă parte, având în vedere sensibilitatea informaţiilor care urmează a fi tranzacţionate. Băncile anunţă că va fi o competiţie, astfel, cele care vor oferi interfeţe ușor de folosit și extensive ca și funcţionalităţi vor fi mai atractive și vor fi deasemenea în poziţie mai bună de negociere a termenilor comerciali cu furnizorii de servicii.


Ce trebuie să facă o bancă? Aceasta ar trebui să dezvolte interfeţe către aplicaţiile interne și să le expună către terţi. Aceste interfeţe (API) trebuie dezvoltate, expuse securizat și întreţinute ulterior, deoarece industria bancară este una dinamică. Resursele umane implicate sunt deasemenea critice, atât în momentul dezvoltării interfeţelor și al efectuării conexiunii cu sistemele furnizorului de servicii, cât și în mod continuu, a managementului acestor interfeţe. Există aplicaţii care pot rezolva complet aceste nevoi? Da, acestea există, sunt soluţiile din categoria API Management. În cele ce urmează vom încerca să propunem un ghid, pe care o bancă să îl poate utiliza în evaluarea unei astfel de soluţii. Care ar fi pașii și la ce funcţionalităţi cheie anume ar trebui să se uite o bancă pentru a se asigura că soluţia de API Management pe care o va achiziţiona va răspunde nevoilor prezente și viitoare și îi va asigura o poziţie confortabilă faţă de competiţie? Primul pas ar fi alegerea unei soluţii care se află în categoria liderilor sau cel puţin a challenger-ilor, în rapoartele independente pe industrie (de ex. Gartner). Fiindcă API-urile pe care urmează să le dezvoltăm nu vor servi unor aplicaţii de divertisment, ci este vorba despre o bancă, organizaţie aflată în top-ul ţintelor atacurilor cibernetice, primul lucru la care m-aș uita ar fi acela că aplicaţia să ofere funcţionalităţi solide în domeniul securităţii informatice. Va avea API-ul creat protecţie „by design” împotriva ameninţărilor, este în acord cu metodologiile comunităţii Open Web Application Security Project (OWASP)? Permite API-urilor nou create o ușoară integrare cu aplicaţii de tip Single Sign-On sau Identity Management oferind o securitate completă pe aplicaţii, mobile sau Cloud? În al doilea rând, având în vedere faptul că vorbim despre o aplicaţie care trebuie să suporte sute de mii sau chiar milioane de tranzacţii, pe unitate de timp, al doilea lucru la care recomand unei bănci să se uite este scalabilitatea. Va menţine API-ul creat aceeași performanţă ridicată și în perioadele aglomerate, de Crăciun de exemplu? Are posibilitatea prioritizării, rutării inteligente, dinamice a cerinţelor venite de la aplicaţiile cu care se leagă? Al treilea lucru important, având în vedere că acesta aplicaţie trebuie să susţină și competiţia, se referă la flexibilitatea aplicaţiei și la ușurinţa cu care această este folosită de către bancă, dar mai ales de către partenerii externi ai băncii. Imaginaţi-vă că un furnizor de servicii își leagă operaţiunile la două bănci. Una îi oferă API-uri ușor de folosit, flexibile, cu interfeţe de administrare prietenoase, cu o alta care are încontinuu probleme, clienţii ei întâmpină erori de utilizare, trebuie să apeleze des la suportul băncii. În aceste condiţii, furnizorul va recomanda cu precădere clienţilor serviciile primei bănci, chiar dacă acestea ar fi, să spunem, cu o idee mai scumpe. Nu vi se pare un scenariu cunoscut și în prezent? Ultimele aspecte pe care le-aș lua în seamă, deși nu sunt deloc din categoria „în ultimul rând”, ar fi acelea referitoare la flexibilitatea de a realiza API-uri către aplicaţiile mobile (având în vedere că device-urile mobile au depășit deja ca număr device-urile fixe), deasemenea la posibilitatea băncii de a controla cu exactitate tipul de acces și a-l contabiliza în vederea facturării. Aș lua de asemenea în calcul posibilitatea oferirii accesului din cloud, către aplicaţia mea, având totodată în vedere că tranziţia către cloud are deja o anvergură care o face de neoprit, din punct de vedere al adopţiei și de ce nu, mi-ar plăcea să pot crea API-uri cu „drag and drop”, indiferent dacă trebuie să mă leg la o aplicaţie, fie ea și o aplicaţie care nu

mai are suport (băncile mai au și astfel de aplicaţii), o bază de date sau altă sursă de date. Ca să concluzionez, dacă aș fi bancher, mi-aș dori ca soluţia de API Management să fie foarte scalabilă, cu securitate solidă, să acopere tot ciclul de viaţă al unui API, să poată crea un API nou în minute, să ofere suport mobil de calitate și funcţionalităţi avansate de administrare de către bancă, de către partenerii care se vor lega la resursele băncii, oferind în același timp control total și clienţilor băncii cu privire la drepturile pe care le dau furnizorului de servicii TPP, având oricând posibilitatea să dezactiveze/activeze opţiuni, pentru a avea acces la noi funcţionalităţi ale aplicaţiilor.

ANSSI - Partener editorial permanent Cybersecurity Trends Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

5


ends Cover Story - Cybersecurity Tr

Securitate, viaţa privată, încredere și... cloud Serviciile asociate cu conceptul de cloud există încă de la apariția Internetului, iar noile modele de afaceri bazate pe cloud evoluează constant transformând totodată modelele clasice de guvernanță IT. Această tendință este mai mult decât evidentă dacă ne uităm la statisticile ce conțin indicatorii de creștere a pieței de cloud și evoluțiile rapide și complexe ale produselor și serviciilor lansate pe piață de jucătorii relevanți în acest sector.

autor: Eduard Bisceanu

Chiar dacă pe anumite pieţe mature evoluţiile acestui domeniu par predictibile și ireversibile, anumite regiuni/ ţări sau sectoare de afaceri menţin un potenţial crescut de conflict, în special în raport cu perspectivele de adoptare și implementare pe termen scurt a unor soluţii bazate pe infrastructuri publice de cloud. Deoarece obiectivul meu nu este de a teoretiza fără sens despre conceptul de cloud, voi face o scurtă trecere în revistă a principalelor probleme despre care cred că trebuie înţelese și aduse la un numitor comun, atât prin efortul industriei de profil, dar și a principalilor potenţiali beneficiari,

BIO Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.

6

care deja nu mai pot ignora fără costuri evoluţiile în domeniul cloud computing: - o mare parte a furnizorilor de produse și servicii în cloud se promovează prin intermediul impactului semnificativ la nivelul costurilor și profesionalismului propriilor angajaţi. În principiu, este mult mai eficient din perspectiva costurilor să utilizezi o infrastructură IT flexibilă (hardware și sofware) bazată pe nevoia reală de consum a unei organizaţii, adaptabilă ușor și imediat în raport cu dinamica acestor nevoi. De asemenea, este evident că o organizaţie de top, al cărui profil exclusiv de activitate este să elaboreze soluţii IT utilizate la nivel global, deţine capabilităţi tehnice mai bune decât marea majoritate a organizaţiilor al căror focus principal nu este domeniul IT (câte firme sau organizaţii pot spune că sunt mai buni ca Microsoft, Google sau Amazon?). Totuși, trebuie avut în vedere faptul că sunt sectoare de afaceri care, din motive extrem de pragmatice, nu-și pot transfera afacerea complet în cloud, iar anumite soluţii hibride nu oferă încă un nivel acceptabil de scalabilitate și nici nu sunt în mod evident eficiente din punct de vedere al costurilor. De asemenea, așa cum istoria ne-a dovedit de nenumărate ori, chiar și cei mai buni dintre noi pot greși. Având în vedere cele de mai sus, cred că majoritatea vânzătorilor de cloud (în orice configuraţie posibilă) trebuie să-și promoveze serviciile prin utilizarea unui personal care cunoaște în detaliu domeniile economice vizate, precum și contextul financiar și legislativ în care potenţialii clienţi există; - de câţiva ani citesc și aud în cadrul unor conferinţe specializate, mai mult sau mai puţin publice, despre faptul că cerinţele de securitate sunt considerate ca fiind un factor care blochează evoluţia pieţei de cloud. Cred că acest tip de afirmaţie nu prezintă realitatea așa cum este de fapt și aș îndrăzni să afirm că de fapt, industria de cloud, în special liniile de marketing și integratorii de soluţii, nu este încă pe deplin adaptată unor anumite cerinţe de securitate sau anumitor condiţii specifice privind protecţia vieţii private online, fără a intra în prea multe detalii referitoare la obligaţii legale care au impact direct asupra gradului


de libertate pe care anumite sectoare economice sau instituţii și-l pot asuma în alegerea unor tipuri de produse și servicii de pe piaţa de profil. Având în vedere diversitatea și evoluţia permanentă a pieţei actuale de cloud, am convingerea că nu securitatea și/sau protecţia vieţii private blochează uneori tranziţia către cloud a unor organizaţii, ci lipsa de înţelegere a pieţei și tehnologie, lipsa de competenţe complete pentru un astfel de proiect, o piaţă imatură care nu se adaptează nevoilor locale și nu generează un grad suficient de personalizare a soluţiilor oferite, mentalităţi conservatoare – toate acestea ar trebui să constituie obstacole ce trebuie depășite, atât de către actorii relevanţi din piaţă, dar și de către beneficiari, deopotrivă din spaţiul public și privat; - în calitate de profesionist în domeniul securităţii, recomand furnizorilor din acest domeniu să-și concentreze eforturile pentru a putea oferi ceea ce caută orice organizaţie din perspectiva securităţii: ÎNCREDERE și nu pentru a rezolva punctual cerinţe de securitate sau privind protecţia vieţii private. De obicei, când comitetul de directori al unei organizaţii non – IT evaluează fezabilitatea unui potenţial contract, caută argumente solide referitoare la costuri și garanţii de încredere, ce vizează un obiectiv mai larg decât securitatea operaţiunilor ce urmează a fi externalizate în infrastructura unui terţ. O contribuţie semnificativă la evaluarea gradului de încredere în produsele și serviciile unui furnizor de cloud o pot avea (cel puţin) răspunsuri clare la următoarele întrebări: - unde, exact, vor fi stocate datele organizaţiei mele? - Prezentarea infrastructurii asociate unor servicii și produse de tip cloud ca fiind distribuită geografic g a dimensila nivel global, ca strategie de marketing, ne oferă doar o imagine unii impresionante a unei afaceri de acest tip....însă nu este în măsură să oritatea contribuie la asigurarea unui grad de încredere adecvat. În majoritatea oca prezentărilor care promovează industria cloud se afirmă că epoca re data center-elor este la apus ...în condiţiile în care orice afacere bazată pe cloud nu poate exista fără o infrastructură solidă dee data center-e. Scalabilitatea acestei infrastructuri, localizarea data center-elor și condiţiile de securitate fizică în cadrul acestora sunt factori care pot contribui la încrederea unui potenţial client și uneori cerinţe legale obligatorii fără îndeplinirea cărora o parte dintre potenţialii clienţi își vor asuma în continuare costurile și riscurile administrării unor data center-e proprii; elor - Cât de măsurabile sunt disponibilitatea și redundanţa canalelor de comunicaţii utilizate de client pentru accesul la infrastructura și/sau orii în anuserviciile de cloud? - planurile de continuitate a afacerii obligatorii mite sectoare economice trebuie să conţină răspunsuri și soluţii clare privind acest aspect, rar abordat în cadrul strategiilor de marketing ale industriei cloud; - Care sunt garanţiile privind securitatea infrastructurii și aplicaţiilor în cloud ? De cele mai multe ori astfel de garanţii sunt oferite doar la nivel generic, sunt oferite date statistice privind nivelul scăzut de incidente de securitate și ne este prezentat profesionalismul specialiștilor în securitate ai furnizorului de cloud – și clientul are profesioniști! Externalizarea infrastructurii și a unor servicii în cloud transferă responsabilitatea administrării acestora de către un terţ – potenţialul client are nevoie de mult mai multe detalii și dovezi palpabile privind o abordare

profesionistă și scalabilă a securităţii în cloud. Există chiar posibilitatea ca anumite autorităţi de reglementare și/sau control în domeniul nostru de activitate să solicite în detaliu date privind arhitectura de securitate a infrastructurii externalizate din motive de conformitate – foarte rar acest tip de suport pentru clienţi se regăsește în descrierea produselor și serviciilor de tip cloud; - De ce credeţi că ţările mai mici sau mai puţin dezvoltate economic nu au nevoie de aceeași abordare privind utilizarea cloud-ului ca statele dezvoltate din vestul Europei sau SUA? Internetul permite accesul la prezentări realizate de aceleași companii pentru diferite zone din lume, iar diferenţele sunt evidente. De exemplu, se pot observa fără prea mare efort diferenţe de abordare a unor pieţe prin investiţii directe în infrastructura asociată pe teritoriul acelor state. Desigur că este de la sine înţeles că investiţiile companiilor specializate în acest domeniu ţin cont de oportunităţi și de dimensiunea unor pieţe ...însă este foarte posibil ca anumiţi potenţiali clienţi din Estul Europei să aibă exact același nivel de cerinţe ca cei din Vestul Europei. A ignora total acestă realitate în strategia de afaceri contribuie semnificativ la afectarea nivelului de încredere; - (Pentru furnizorii de securitate în cloud sau prin intermediul unor infrastructuri cloud) – Ce tipuri, exact, de date vor fi accesate în infrastructura locală a clientului și ce date vor fi injectate în această infrastructură? Chiar dacă sunt oarecum ușor de înţeles avantajele utilizării unei infrastructuri complexe de tip cloud pentru analiza datelor rezultate din diferite tipuri de incidente și atacuri cibernetice, nu vrem j g să ajungem să ne protejăm infrastructurile de... parteneri. D Deci, dacă nu ne cunoaștem și nu av avem încă construită o relaţie de aafaceri bazată pe garanţii de înc încredere – aceasta trebuie cconstruită înainte de a ne prop pune o soluţie „automatizată” bazată pe cloud cu acces extins la infrastructura pe care noi suntem plătiţi să o p protejăm; - Care este înţelegerea com comună corectă a conceptului de cloud h hibrid? - deși este un subiect care merit merită o abordare conceptuală și tehnică extinsă și o potenţială soluţie pentru foarte multe din domeniile încă inaccesibile pieţei de cloud, din discuţiile pe care le-am avut cu diverși furnizori am constatat că există diferenţe semnificative privind înţelegerea și modelele de promovare și implementare a acestui tip de cloud. Deși sinceritatea este de multe ori sancţionată, aș vorbi în numele multor colegi de breaslă de-ai mei ...efortul de a înţelege oferta unui potenţial furnizor trebuie să fie minim.

7


ds Cover Story - Cybersecurity Tren

Prezentarea Regulamentului general al Uniunii Europene privind protecţia datelor

autor: Isabelle Dubois expert în protecţia datelor, membră a comitetului CLUSIS

Adoptat la data de 27 aprilie 2016, acest regulament ambiţios și orientat spre viitor va fi direct aplicabil în fiecare stat membru al Uniunii Europene începând cu 25 mai 2018. Conţine 99 de articole și e structurat în zece mari capitole, în care se prevăd dispoziţii generale, prin-

BIO Avocat de formare și fost judecător cantonal, Isabelle Dubois a fost prima atașată în domeniul protecției datelor și al transparenței din cantonul Geneva. Din ianuarie 2014, lucrează cu organizații din postura de colaborator independent al Ad Hoc Resolution și întocmește expertize și îndrumări în materie. Predă protecția datelor în cadrul Universității din Geneva și HES-SO Lausanne.

cipii aplicabile, drepturile persoanei vizate, problema operatorilor și a persoanelor împuternicite de operatori, transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, autorităţile de supraveghere independente, regulile de cooperare și coerenţă, căile de atac, răspunderea și sancţiunile, dispoziţiile referitoare la situaţiile specifice de prelucrare, actele delegate și actele de punere în aplicare și, în fine, dispoziţiile finale. Articolul de faţă prezintă esenţialul acestui regulament, așa cum reiese din partea introductivă a documentului care precede articolele propriu-zise. Pentru completare, au fost făcute trimiteri la textul complet1. Obiectivul regulamentului îl constituie întărirea drepturilor persoanelor fizice în materie de protecţie a datelor și de facilitare a liberei circulaţii a datelor cu caracter personal într-o piaţă digitală unică, cu precădere printr-o reducere a sarcinilor administrative. Fundamentul acestuia îl constituie respectarea tuturor drepturilor fundamentale și a principiilor recunoscute în Carta drepturilor fundamentale a Uniunii Europene, consacrate în tratate, și în special dreptul la respectarea vieţii private și familiale, a domiciliului și a comunicărilor, dreptul la protecţia datelor cu caracter personal, dreptul la libertatea de gândire, de conștiinţă și de religie, dreptul la libertatea de exprimare și de informare, dreptul la libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și respectarea diversităţii culturale, religioase și lingvistice. Regulamentul pornește de la o constatare: evoluţia tehnologică și globalizarea necesită „un cadru solid și mai coerent în materie de protecţie a datelor în Uniune, însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă”. Este precizat și că persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorităţi publice ar trebui să fie consolidată.

http://eur-lex.europa.eu/search.html?textScope0=ti-te&qid=1469976055573&DTS_DOM=EU_LAW&type=a dvanced&lang=fr&andText0=R%C3%88GLEMENT%20(UE)%202016/679&SUBDOM_INIT=LEGISLATION&DTS_ SUBDOM=LEGISLATION

8


Acest Regulament, ambițios și în mod decisiv pentru viitor, va fi aplicat în toate statele membre ale UE începând cu data de 25 mai 2018.

drepturilor persoanelor vizate și a obligaţiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competenţe echivalente pentru monitorizarea și asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal și sancţiuni echivalente pentru infracţiuni în statele membre. Regulamentul trebuie să permită asigurarea unui nivel omogen de protecţie a persoanelor fizice pe tot teritoriul Uniunii. Pot exista anumite derogări pentru microîntreprinderi și IMM-uri.

Infografic explicativ al Uniunii Europene © Uniunea Europeana

Pentru aplicarea sa, regulamentul lasă statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea datelor sensibile. Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a

Domeniul de aplicare este, de asemenea, stabilit. Astfel, regulamentul va fi aplicabil: persoanelor fizice, indiferent de cetăţenia sau de locul de reședinţă al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora; indiferent de tehnologia folosită; prelucrării datelor cu caracter personal prin mijloace automatizate, precum și prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă; în cazul prelucrării de date cu caracter personal de către un organism de stat, este aplicabil Regulamentul 45/2001, căruia îi vor trebui aduse modificările necesare; nu se va aplica prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială, însă se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activităţi personale sau domestice; nu se va aplica prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al

9


Cover Story - Cybersecurity Trends protejării împotriva ameninţărilor la adresa siguranţei publice și al prevenirii acestora, care face obiectul unui regulament specific; oricărei prelucrări a datelor cu caracter personal în cadrul activităţilor unui sediu (exercitarea efectivă și reală a unei activităţi) al unui operator sau al unei persoane împuternicite de operator din Uniune, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii; prelucrării datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune, în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată; prelucrării datelor cu caracter personal legate de monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii; unui operator care nu este stabilit în Uniune, ci într-o misiune diplomatică sau într-un oficiu consular al unui stat membru, în cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public; oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă, inclusiv datelor cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, prin „mijloace pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării”, însă nu informaţiilor anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Pseudonimizarea este încurajată; nu se aplică persoanelor decedate (funcţie cedată statelor membre). Apoi urmează definițiile și caracteristicile specifice. Consimțământul trebuie să aibă caracteristicile următoare: este dat printr-o acţiune fără echivoc care stabilește că persoana vizată acceptă printr-o manifestare de voinţă liberă, specifică, informată și lipsită de ambiguitate ca datele cu caracter personal care o privesc să fie prelucrate (acest lucru trebuie să poată fi probat); se promovează astfel conceptul de „opt in”, prin opoziţie cu cel de „opt out”; presupune cunoașterea identităţii operatorului și a persoanei împuternicite de operator și scopurile prelucrării datelor; presupune „dispunerea cu adevărat de libertatea de a alege” și posibilitatea refuzului sau a retragerii consimţământului fără ca persoana să fie prejudiciată.

10

Nu trebuie să existe un dezechilibru evident între persoana vizată și operator (ca, de altfel, nici între persoană și o autoritate publică); trebuie să existe un consimţământ în funcţie de scopul preconizat, cu excepţia prelucrării datelor în scopuri de cercetare știinţifică, caz în care este de ajuns consimţământul doar pentru anumite domenii de cercetare sau părţi ale proiectelor de cercetare. Datele cu caracter personal privind sănătatea sunt, de asemenea, definite ca fiind toate datele având legătură cu starea de sănătate a persoanei vizate „care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate, inclusiv informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză”; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice și eșantioane de material biologic, precum și orice informaţii privind, de exemplu, „o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”. Sunt enumerate apoi principiile, după cum urmează: orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă; persoanele trebuie să fie informate „în mod transparent” cu privire la colectarea, utilizarea, consultarea, prelucrarea datelor, procese actuale sau viitoare. Informaţie accesibilă, ușor de înţeles, expusă în termeni simpli și clari. Același lucru cu privire la identitatea operatorului și scopul prelucrării, drepturile persoanelor, precum și riscurile și regulile în materie; scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării. O prelucrare cu alte scopuri este admisibilă dacă este compatibilă” cu scopul iniţial (cum ar fi arhivarea); datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Perioada pentru care datele cu caracter personal sunt stocate este „limitată strict la minimum”, astfel că sunt stabilite termene de către operatori. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit prin alte mijloace; datele cu caracter personal care sunt inexacte sunt rectificate sau șterse; securitatea și confidenţialitatea „adecvate” ale datelor trebuie asigurate, accesul neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare trebuie prevenite. Se poate observa că, prin acest regulament, sunt întărite dreptul de acces a persoanei vizate, inclusiv dreptul „de a fi uitată”, voinţa ca persoana vizată să poată să reintre în posesia datelor personale, responsabilităţile operatorului și a persoanei împuternicite de operator, rolul responsabilului cu protecţia datelor și cel al autorităţilor de supraveghere, precum și sancţiunile aplicabile contravenienţilor.


11


ds Cover Story - Cybersecurity Tren

Domeniul „cyber” în centrul intoxicării mediatice provocate de un „război” fără nicio morală. Scurt istoric recent al relaţiilor nesănătoase între state, agenţii de informaţii, guverne și mercenari. DISCLAIMER: acest articol este intenționat polemic și nu își propune stabilirea de „fapte” sau de „adevăruri”. Subiectiv „by default”, fără a prezenta fapte, articolul are ca scop invitarea cititorilor la reflecție asupra lumii digitale în care trăim și încurajarea acestora să își organizeze, fiecare pentru sine, propriile mijloace de apărare digitală personală, profesională, socială și familială.

autor: Laurent Chrzanovski

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

12

Contextul articolului: de la isteria mediatică la manualul „Tallinn 2.0” Există multe motive ale publicării acestui text într-o revistă de conștientizare a cititorilor în domeniul cyber-securităţii. În primul rând, se estimează că, odată cu ultimele alegeri americane și primele o sută de zile ale Președintelui Donald Trump la Casa Albă, limitele intoxicării mediatice, fie că aceasta provine de la vreun stat sau vreo entitate, au depășit niveluri record, deţinute înainte „pe timp de pace”, în Occident, de către cei vizaţi în timpul mccarthysmului, apoi în timpul crizei rachetelor din Cuba. Spre deosebire de cele două episoade ale istoriei noastre recente, tema centrală a acestei campanii de intoxicare 4.0 este acum fenomenul „cyberwar”. Spre deosebire de lupta „ideologică” a războiului rece, acest subiect este total străin marelui public din cauza lipsei de educaţie și de cultură în acest domeniu. Mai rău chiar, oamenii au impresia că sunt doar spectatorii unei lupte între titani și că ei nu reprezintă o ţintă, nesocotind astfel măsuri de precauţie


necesare propriei securităţi, obiectul principal pentru care a fost înfiinţată și revista noastră. Or, în acest război virtual murdar care nu cunoaște limite, drepturile cetăţenești și datele fiecăruia dintre noi constituie o parte fundamentală, nu doar din competiţia tehnologică a marilor puteri, dar și din luptele interne în fiecare stat, la care asistăm în prezent. În al doilea rând, asistăm în sfârșit, din partea celei de-a patra puteri, la o reacţie raţională de sprijinire a apărării cetăţenilor. Tonul a fost dat în 5 februarie anul trecut, cu ocazia publicării magistralului „Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, prezentat oficiat la Washington în 8 februarie. Această lucrare, publicată de Cambridge University Press, a fost redactată de către cei mai buni experţi occidentali în domeniu, cu sprijinul NATO Cooperative Cyber Defence Centre of Excellence. Organismele „policy makers” dispun în sfârșit de un instrument fin care le ajută în evaluarea gravităţii unui act ilegal pe Internet, de la breșă până la intruziune, de la phishing la malware, de la spionaj la sabotaj, culminând cu incidentul grav și, în ultimă instanţă, cyber-atacul, instituind astfel încă un rând de definiţii precise folosite în sectorul privat, create și actualizate constant de către NIST1 (National Institute of Standards and Technology).

Astfel, indispensabilul Associated Press Stylebook a schimbat imediat definiţia cuvântului „cyberattack”, care nu mai vizează doar evenimente care duc la o distrugere masivă și de mare amploare. De remarcat este că termenul „cyberwar”, atât de drag oamenilor politici, militari și redactorilor șef, nu se regăsește în terminologia agreată de către Stylebook, terminologie pe care orice jurnalist anglofon preocupat de deontologia profesională ar trebui să o adopte. Această acţiune simplă, aparent banală, va avea consecinţe majore într-un stat precum SUA, în care justiţia este prin definiţie evolutivă. Faptul de a fi suspectat de perpetuarea unui atac reprezintă cu siguranţă acuzaţia cibernetică cea mai gravă în prezent, folosită în mod eronat. Astfel, justiţia americană și, prin extensie, întreaga lume, prin adoptarea vocabularului anglofon în domeniul digital, va fi obligată, pe termen mediu, să își adapteze textele normative în funcţie de gravitatea infracţiunii comise2.

Istoricul unui război murdar prin câteva episoade cunoscute de toată lumea Începând cu 2010 și după scandalul rapoartelor de război (War Logs), WikiLeaks a devenit un actor mediatic major. Însă odată cu succesul siteului whisteblower-ilor, s-a instituit o nouă politică, stăpânită perfect de către

marile puteri occidentale: cea a „scurgerilor de informaţii orchestrate”. Răspândite de o presă avidă de scandaluri, circumstanţele lor sunt necunoscute marelui public, deși stau la originea războiului de informaţii purtat între actorii importanţi din lumea serviciilor de informaţii.

2013: cazul Snowden sau o veritabilă victorie dorită de către „învinși” Părăsirea funcţiei de către Edward Snowden, în special sejurul său la Hong Kong (20 mai 2013), apoi plecarea sa la Moscova (22 iunie 2013), generează două probleme elementare care ţin de principiile fundamentale ale agenţiilor de informaţii ale marilor puteri și de relaţiile diplomatice internaţionale. Dacă Snowden deţinea într-adevăr atâtea secrete vitale pentru NSA, cum de nu a trezit nicio suspiciune îmbarcarea sa din Hawaii cu destinaţia Hong Kong, de vreme ce concediul care îi fusese acordat implica un zbor intern pentru efectuarea, în SUA, a unui tratament contra epilepsiei? Cum de nu a fost „cules” de contractanţi americani atunci când a ajuns la destinaţie (după 12 ore de zbor!) sau „eliminat” înainte de primul contact cu jurnaliștii de la The Guardian? Cum a putut, cu un pașaport retras și cu un tratat reciproc de extrădare între Hong Kong și SUA, să treacă de controalele vamale ale aeroportului din Hong Kong și să se îmbarce pentru un zbor la Moscova? Există multe răspunsuri plauzibile, în care se evocă talentele personale ale d-lui Snowden și resursele noilor săi prieteni, însă, așa cum o afirmă neoficial și specialiștii serviciilor de informaţii din state neimplicate, „I don’t buy it” (nu prea cred). Într-adevăr, Edward Snowden se dovedește a fi o „armă fatală” pentru agenţiile de informaţii și pentru Departamentul de Stat american. Acel an fusese marcat de evenimente tensionate: în plan intern, raporturile dintre Președintele Obama și NSA erau la cel mai jos nivel3; în plan geopolitic mondial, SUA suferiseră câteva înfrângeri diplomatice succesive în faţa Rusiei4, culminând cu abandonarea oricărei iniţiative de intervenţie americană în Siria ca urmare a renunţării, de către regimul de la Damasc, la armele chimice deţinute. În microcosmosul raporturilor de forţă între „deep State” (agenţiile si servici de intelligence) și „elected State” (președinţia, parlamentul) din Statele Unite, „cazul Snowden” a permis conducerii NSA să ceară alocări

13


ds Cover Story - Cybersecurity Tren substanţiale, obţinând astfel cel mai mare buget anual din istoria sa (oficial, 10,77 miliarde de dolari, fără cheltuielile clasificate), plasând agenţia, în ceea ce privește finanţarea, imediat sub CIA și departe de resursele acordate Inteligenţei militare. În contextul mondial, prezenţa lui Snowden la Hong Kong indică și o alegere tactică ideală. Probabil miza o reprezenta și alegerea Chinei de a mușca sau nu din „momeală”, oferind astfel o armă diplomatică de care SUA aveau mare nevoie în ajunul vizitei Președintelui chinez Xi Jinping în America în luna iunie, o vizită de stat de două zile în care cyber-securitatea reprezenta una din temele centrale. „Omiţând” să-l aresteze pe Snowden la aeroport, adevăratul conducător al Hong Kong-ului și-a permis să nu facă nicio concesie cu ocazia summit-ului cu Barack Obama din iunie5. Plecarea orchestrată a lui Snowden spre Moscova a oferit, în schimb, Casei Albe pretextul îndelung așteptat de a îngheţa relaţiile bilaterale între Washington și Moscova într-un mod fără precedent, la câteva luni după intervenţia americano-europeană în Ucraina care a culminat cu fuga lui Ianukovici în februarie 2014. În timp ce Snowden era la Moscova, Statele Unite au putut crea un nou inamic global credibil, indispensabil pentru menţinerea creșterii sectorului tehnologic și militaro-industrial, o temă asupra căreia vom mai reveni. Tocmai sectorul tehnologic este marele învingător al aventurii lui Snowden. După dezvăluirile sale, state terţe, care s-au declarat șocate de informaţiile pe care le deţineau de mult timp, au fost forţate să investească masiv în cyber-securitate, un domeniu dominat la acea vreme de Israel: în 2013, exporturile americane au atins un record (3 miliarde de dolari, ceea ce a egalat suma contractelor israeliene din domeniul exporturilor), asigurându-și și mai multe contracte și o creștere uimitoare, atingând 6 miliarde de dolari pentru fiecare din cele două state în 2015 – iar perspectivele americane se ridică chiar și la valoarea de 20 de miliarde pe an peste trei ani. Iar Rusia? Aceasta și-a putut regăsi mândria pierdută din 1991, redevenind adversarul numărul unu al celei mai mari puteri mondiale și revenind într-o stare de confruntare în care excelează. Punând punct negocierilor bilaterale cu SUA care deveniseră complet sterile, Rusia s-a putut concentra pe mărirea sferei sale de influenţă și a profitat de agresivitatea mediatică americană pentru a justifica creșterea exponenţială a cheltuielilor sale tehnologice și militare. Din toate punctele de vedere, cel mai mare perdant al „cazului Snowden” nu este altcineva decât contribuabilul european, adică noi toţi.

14

2014-2015: mercenari indezirabili sau luptă între state? Căderea în două etape a Hacking Team Așa-numitul „mercenariat” al grupurilor private specializate în spionaj sau în tehnici de atac ţintit, care acţionează parţial și punctual în interesul unui stat este un alt mit elaborat de către marile puteri. În lumea criminalităţii, se regăsesc, bineînţeles, grupări mafiote cu o foarte mare capacitate tehnologică. Însă această capacitate le este de folos cu precădere în scopuri pur „civile”: spălare de bani, fraude, extorcări, vânzare de produse ilegale sau de conţinut ilegal și, în fine, vânzare în sistem de „pay-per-service” a unor instrumente – în general deja folosite – care pot ataca un adversar comercial (zero-days, ransomewares, botnets etc.). În schimb, în lumea ermetică a informaţiilor și a operaţiilor tactice („offensive security”) a marilor puteri, contractanţii privaţi de calitate sunt rari iar implicarea directă, atât tehnică dar și logistică, a statului care le finanţează ţine de domeniul evidenţei. Scandalul companiei italiene Hacking Team este un exemplu elocvent. În nebuloasa investitorilor care au permis crearea și dezvoltarea „mercenarilor spionajului” se regăsesc, cu o cotă de 16%, Finlombardia (societatea de investiţii a Regiunii Lombardia). Așadar, banii contribuabilului italian6.

Iniţial aflată în serviciul autorităţilor italiene, apoi în cel al unor entităţi publice din întreaga lume, inclusiv al FBI, Hacking Team a început să deranjeze autorităţile europene prin lipsa completă de morală, așa cum s-a întâmplat în cazul comisiei de anchetă a ONU cu privire la situaţia din Darfur, care menţionează deja în iunie 2014 compania ca furnizor de ţinte pentru regimul de la Khartoum7. În ciuda acestor lucruri, susţinerea serviciilor de informaţii italiene nu slăbește, întrucât atunci când Ministrul Comerţului decide, în decembrie 2014, să retragă companiei licenţa de export, îi va fi retrasă încrederea de către propriul său guvern în mai puţin de o lună, într-o turnură grotescă. Graţie contractelor CEO-ului de la Hacking Team și ameninţărilor cu expunerea instituţiilor italiene care făceau parte din clientelă, compania va fi „condamnată” să se supună prevederilor Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies8 în vigoare între UE și un număr mare de state terţe. Însă nu furnizarea de servicii dictatorilor și regimurilor paria9 au făcut ca această companie să fie atacată în iulie 2015 și să-i fie furate mai mult de 4GB de materiale compromiţătoare. În concurenţă cu o gamă foarte restrânsă de companii de același fel, majoritatea cu sediul în Israel și în SUA, Hacking Team, înfiinţată în 2003,


s-a dezvoltat rapid, fapt ce a deranjat cu siguranţă competitorii, astfel că o singură tranzacţie cu un client nepotrivit a antrenat probabil o reacţie la înălţimea tensiunilor existente în acest domeniu, adică piratarea unui pachet enorm de date vitale. Un exploit atribuit unui singur hacker, care a acţionat sub pseudonimul Phineas Fisher… este credibilă, această variantă solitară de Robin Hood? Probabil, însă explicaţia mai logică, ţinând cont de tehnologia folosită, ar fi că tocmai concurenţii și inamicii Hacking Team i-au venit de hac. Însă așa cum pasărea Phoenix renaște din propria cenușă, se pare că această înfrângere a fost doar una provizorie, astfel că CEO-ul și-a sporit numărul de contracte și de noi clienţi10, săvârșind (tristă ironie a sorţii) activităţi interzise serviciilor de informaţii. Pe scurt, instituţiile statului italian într-un mod mai mult sau mai puţin direct, împreună cu banii contribuabilului italian, în mod direct, sunt actorii care au permis ca Hacking Team să existe și, mai mult decât atât, să îndeplinească muncile murdare ale serviciilor italiene și europene și să obţină contracte în peste 75 de ţări, garnisite cu moartea oponenţilor politici și a jurnaliștilor plătiţi din banii contribuabililor italieni. Aceasta este singura morală demnă de reţinut: Italia, stat european democratic, a permis și permite în continuare astfel de lucruri în numele concurenţei tehnologice. Însă, contrar marilor puteri, Italia nu deţine mijloacele de a subjuga complet o companie intereselor serviciilor de informaţii proprii sau de a împiedica o astfel de companie să treacă linia roșie care marchează teritoriile Internetului rezervate marilor puteri. În acest context, nu putem decât să surâdem amar în faţa insistenţei mediatice a marilor puteri de a lua distanţă faţă de „mercenarii web-ului” care nu sunt dispuși să se lege cu un cordon ombilical permanent de agenţiilor lor de informaţii și care nu doresc să se supună în mod exclusiv consimţământului lor în cazul vânzării către state terţe. Legendarele departamente de „black ops” și „birourile fantomă” ale serviciilor de stat și-au schimbat doar costumul și numele. Acum au trecut în civil, nu mai au grad militar și se numesc „commissioners” sau „privateers”11. Și nu ne înșelăm deloc: tot impozitele noastre sunt cele pe care contează guvernele noastre… atunci când se spionează unele pe altele și când ne spionează pe noi.

2015: FBI vs Apple („San Bernardino case”): o manevră publicitară magnifică În data de 2 decembrie 2015 a avut loc cel mai grav atac armat din Statele Unite din ultimii trei ani, soldat cu 14 morţi și 22 de răniţi. Un cuplu înarmat, susţinător ai Statului Islamic, a deschis focul asupra unor persoane dintr-un centru social din San Bernardino, în apropiere de Los Angeles. Ambii teroriști au fost apoi uciși într-un schimb de focuri cu poliţia. Telefonul Apple iPhone 5C al soţului, Syed Rizwan Farook, a fost găsit intact. A început atunci o operaţiune de publicitate fără precedent în presa nespecializată. O încleștare tragicomică prin care FBI a târât în instanţă Apple cu scopul de a primi acces la datele stocate în telefonul și în cloud-ul teroristului. Fără a aminti serviciile de informaţii, există pe plan mondial cel puţin 3 companii – toate „commissioners” sau companii cu care statele au contracte – capabile să decripteze iPhone-uri. Care a fost așadar scopul urmărit prin această operaţiune de intoxicare de mare anvergură?

Înainte de toate, între Apple și agenţiile americane este de mult timp în desfășurare, în culise, o partidă de șah cu privire la datele care sunt furnizate autorităţilor și la condiţiile în care acestea sunt furnizate. Apple este, conform majorităţii centrelor de cercetare specializate, unul din ultimii giganţi ai netului care a renunţat la pretenţii după intrarea în vigoare a Patriot Act, formulând niște condiţii rămase necunoscute până astăzi.

Însăși reputaţia Apple este în joc. Dacă FBI declară pe loc că deţine toate datele de pe iPhone, toată publicitatea făcută securităţii și confidenţialităţii sistemului de criptare a iPhone-urilor Apple, un avantaj concurenţial important, ar fi în van. Poziţia Apple, centrată pe „protejarea consumatoruluiproprietar”, rămâne inflexibilă, iar FBI avea să comunice, câteva luni mai târziu, că a reușit decriptarea iPhone-ului graţie unor hackeri misterioși12. Ambii protagoniști ies curaţi din această „comedie”. Spargerea unui singur iPhone de generaţie depășită a necesitat atâtea luni, așadar proprietarii de iPhone 6 și, mai nou, iPhone 7, pot fi siguri că nimeni nu le poate invada intimitatea. Este exact genul de iluzionism care îl determină pe consumator să creadă că nu mai are nevoie să înveţe să se protejeze el însuși, în mod activ.

2013-prezent: căutarea disperată a unui inamic (credibil, de preferință) Acest capitol ambiţios nu constituie în niciun fel o acuzaţie adusă vreunui stat menţionat. Fără a trece linia roșie a nenumăratelor „teorii ale conspiraţiei”, este totuși de datoria noastră să furnizăm cititorului câteva informaţii credibile și să fixăm un cadru geopolitic cât mai obiectiv cu putinţă. Câteva axiome incontestabile vor fi de folos pentru o mai bună înţelegere a fenomenului: „Cyber-statele”: mari puteri, puteri în curs de dezvoltare, puteri regionale În ciuda a ceea ce se vehiculează în media, cele „patru puteri” sunt foarte inegale. Două dintre acestea sunt, de departe, mult înaintea celorlalte în ceea ce privește tehnologiile și resursele, atât cele defensive cât și cele ofensive în toate domeniile, de la atacuri frontale la

1

15


ds Cover Story - Cybersecurity Tren infiltraţii hibride și până la operaţiuni ale agenţiilor de informaţii: SUA și Israelul. Urmează apoi Rusia, putere în curs de dezvoltare care a făcut salturi calitative majore în decursul ultimilor ani, atât prin creșterea stabilă a nivelului tehnologic defensiv și ofensiv, cât și, mai ales, prin stăpânirea la perfecţie a războiului purtat de agenţiile de informaţii. În fine, lista e completată de China, cu resursele umane colosale de care dispune și care îi permit să exceleze cu precădere în protecţia propriului teritoriu și în tehnologiile destinate colectării de date sensibile, mai ales cele cu plus-valoare economică. Toate analizele recente sunt rezultate ale unor cercetări efectuate în spaţiul occidental, așadar evoluţia capacităţii reale a Chinei este doar speculativă. Urmează apoi statele în care autorităţile publice deţin capacităţi excelente în domeniul ciberneticii, care ar putea fi numite „puteri regionale”, conform unei scheme politico-militare „clasice” deoarece toate, fără excepţie, se situează mult sub cei „2+2” giganţi. Se pot aminti, desigur, Marea Britanie, Franţa, Canada, însă mai ales, în ultimul timp, India, Turcia sau Iranul, aceste state urmând, în materie de apărare și de atac cibernetic, politici, reguli și evoluţii proprii. În acest context, merită menţionat faptul că, Marea Britanie, Canada, Australia și Noua Zeelandă fac parte, alături de SUA, din alianţa „Five Eyes”, care nu are nici pe departe ca unic scop schimbul de informaţii strategice... Punerea unui atac cibernetic pe seama unui anumit stat, la scurt timp după ce acesta s-a produs, este o decizie pur politică Nevoia de a comunica în procesul de gestionare a unei crize majore s-a transformat în nevoia de a „arăta vinovatul cu degetul”, nevoie atât de vitală mijloacelor mass media. Astfel, într-o lume a acţiunilor ilegale dintre cele mai insidioase (de la cele mai simple acţiuni până la veritabile atacuri), este de datoria victimei (companie sau stat) să identifice „atacatorul”, iar în lipsa unei identificări, tot ecosistemul său uman și de tehnologie a securităţii riscă să cadă în derizoriu. În cazul statelor, această logică a fost „legitimată” de atacurile iniţiate de Federaţia Rusă în Estonia (2007), apoi înainte și în timpul războiului între Federaţia Rusă și Georgia (2008). Însă aceste două atacuri, masive și complexe, nu reprezentau decât versiunea modernă a tehnicilor de sabotare a comunicaţiilor adversarului, adică varianta „cyber” a unei componente vitale a războiului tradiţional (DDoS = saturarea serverelor; DdoT = saturarea liniilor telefonice și a altor mijloace de transmisie). În cazul Georgiei s-a asistat la primul război veritabil clasic însoţit de acţiuni „cyber”, acestea din urmă incluzând piratarea directă a interfeţei web a mai multor mijloace de informare în masă, a site-ului Președinţiei etc.

2

16

Însă în niciun caz nu pot fi numite „atacuri cibernetice” în accepţiunea noii definiţii a Associated Press Stylebook: în urma acestor acţiuni, procesul de disaster recovery a fost rapid. În schimb, în cazul unor veritabile atacuri (Sony, TV5 Monde, IvanoFrankivsk etc.) care au adus atingere sistemului, care s-au soldat cu furturi de date etc., acestea sunt înfăptuite conform unei metode complexe de a acţiona, iar pentru ca acţiunea să fie săvârșită eficient este nevoie de luni sau chiar de ani de inginerie socială și de infiltrări de tot soiul. În consecinţă, agenţiile de informaţii și marile multinaţionale în domeniul securităţii sunt capabile să depisteze indicii care să le permită identificarea unui „ultim atacator verificat”, însă doar după luni de muncă asiduă în investigarea fiecărei componente a atacului, atât tehnică, dar și umană13. Există și „certitudini” cu privire la cine este în spatele acestei „ultime verigi”, adică acuzarea unui organism oficiat al unui stat terţ, însă acestea sunt rare în comparaţie cu multitudinea de atacuri importante și nu pot fi făcute publice decât după lungi investigaţii, în niciun caz în ziua atacului sau în timpul săptămânilor care îi urmează. Punerea unui atac cibernetic pe seama unui anumit stat este un act care urmărește un scop în primul rând economic și geostrategic „Managementul crizei” militar reprezintă o doctrină economică din care marile state occidentale (mai ales după izbucnirea celor două războaie aproape simultane în Afganistan și în Irak) sperau să-și hrănească an de an prin finanţări de urgenţă (fonduri „negre” sau „rezerve”) agenţiile, armata și îndeosebi sectoarele militaro-industriale, tehnologice proprii, precum și cele ale aliaţilor lor. Imprevizibilul constă în apariţia celei mai cumplite situaţii: nici state de reconstruit, crize de deplasat sau lupte interstatale, ci o ameninţare a cărei gravitate, specificitate și anvergură a depășit predicţiile tuturor teoreticienilor „managementului crizei”, așa cum a fost acesta definit la sfârșitul secolului XX: grupurile fundamentaliste islamiste. Confruntaţi cu Al Qaeda, AQMI, ISIS sau altele, devine imposibilă justificarea cheltuielilor colosale de armament greu sau „reconstruirea” la scară mare a ţărilor fragmentate de războaie al căror sfârșit nu este aproape (Libia, Irak, Sudan, Siria, Yemen etc.). Așa cum au declarat sub protecţia anonimatului anumiţi furnizori ai Pentagonului, „este imposibil să vinzi submarine nucleare, avioane care nu pot fi detectate, rachete ofensive sau defensive folosind grupările islamice ca argument pentru vânzare”. În acest context, pentru stimularea finanţării cercetării, capacităţilor tehnologice, achiziţiilor și vânzărilor, trebuia să fie făcută o alegere între implicarea într-un „cyberwar management” cu o credibilitate deosebit de fragilă și care ar fi stârnit multe nemulţumiri în domeniul pur militaro-industrial, sau revenirea la o schemă de război rece cu componenta „cyber” pe post de valoare (exponenţială) adăugată. SUA și aliaţii săi nu puteau să se mulţumească cu mitul tehnologiei cibernetice a regimului nord-coreean (auto-proclamat responsabil pentru atacul contra Sony). Aceasta pentru simplul motiv că alegerea Coreei de Nord ca ţap ispășitor ar fi constituit pe de o parte un joc extrem de periculos și, pe de altă parte, nu ar fi convins aliaţii europeni întrucât înseși fundamentele unei asemenea „puteri” sunt nerealiste. Într-un articol din 201514, în timp ce fostul director al FBI, James Comey, susţinea că avea o „high confidence” că acest stat a fost responsabil pentru atacul asupra Sony, agenţi ai Pentagonului declarau că „The majority of its combat systems are antiquated, with many of the weapons systems dating from the 1960s, 70s and 80s”. O super-putere a

3


ciberneticii cu sisteme militare arhaice... ceva nemaivăzut, chiar dacă acest stat a putut fi cel care a comandat atacul, având în vedere faptul că dispune de mijloacele necesare pentru a contracta serviciile unor mercenari din state asiatice15. Celălalt ţap ispășitor ideal era Iranul, însă și aici era vorba de o putere regională a cărei recentă reapariţie pe scena internaţională a zădărnicit definitiv crearea unei mișcări omogene a aliaţilor împotriva fostei Persii. Declicul s-a produs astfel imediat după cazul Snowden și a fost încă și mai pronunţat odată cu sfârșitul euro-maidanului din Kiev. Până în acest moment și mai ales după anexarea Crimeei de către Rusia, pentru SUA și aliaţii lor retorica a fost mai degrabă centrată pe pericolul reprezentat de China. Zugrăvirea Chinei ca inamic cibernetic al Occidentului ar fi avut, desigur, avantajul deţinerii unei palete credibile de argumente, însă ar fi dat o lovitură fatală economiilor noastre încă împotmolite de efectele crizei din 2007. De altfel, toţi specialiștii au remarcat că, după întâlnirea din 2015 dintre Barack Obama și Xi Jinping, China a scăpat aproape complet de postura sa de „suspect nr. 1” în ceea ce privește provenienţa atacurilor cibernetice. Avantajul Rusiei constă în oferirea unei panorame de contrast total: pe de o parte, se observă renașterea unei elite și progresul în domeniul cercetării, dezvoltării și implementării tehnologiilor cibernetice și militare de avangardă, fără a pune la socoteală talentele de nivel mondial, diplomatice și financiare – o bancă naţională care a gestionat perfect criza din 2007 și apoi embargoul. Însă, pe de altă parte, rămâne un uriaș cu picioare de lut, amestecând vechea și noua gardă, sectoarele de vârf ramuri întregi ale economiei de redefinit, dependenţă total de preţul materiilor prime și de fluctuaţiile dolarului etc. În fine, inamicul ideal se află acolo, perfect justificat și justificabil clasei politice și publicului după reacţiile Moscovei – prevăzute și atât de dorite de marile puteri occidentale – de după euro-maidan. Așa se face că atacul care a vizat postul TV5 Monde în 8-9 aprilie 2015, opera unui așa-numit „Ciber-califat” care se revendică de la ISIS fără ca acesta din urmă s-o confirme, a determinat ca ancheta să vizeze un grup de hackeri numit APT28 (sau Pawn Storm), suspectat de majoritatea specialiștilor ca fiind strâns legat de organele de securitate ale Federaţiei Ruse. În afară de faptul că argumentele care susţin motivaţia Rusiei de a viza TV5 Monde sunt foarte îndoielnice, problema de bază o reprezintă tehnologia folosită. Este vorba de un produs al APT28 folosit și descoperit cu doi ani înainte de către aceeași multinaţională de cyber-securitate responsabilă cu protecţia TV5 Monde. În 2015, aproape oricine putea să facă rost de acest produs al APT28 și să-l modifice cu ușurinţă16 pe forumurile din dark web. Mai era necesară doar achiziţionarea prin metoda pay per service a unui mijloc de infiltrare în sistemul canalului de televiziune, ale cărui parole de la reţele erau scrise pe post-it-uri lipite pe peretele de sticlă al redacţiei17… Cât despre „intervalul” orelor de muncă ale răufăcătorilor, teoria conform căreia acesta corespunde fusului orar al Moscovei este pur și simplu ridicolă. Pe de o parte fiindcă această zonă acoperă o bună parte din ţările orientale iar, pe de altă parte, un asemenea raţionament presupune ca un hacker să aibă aceleași ore de muncă precum un angajat la bancă… În orice caz, versiunea oficială a fost deja consacrată și, potrivit acesteia, Rusia a fost cea care a orchestrat atacul TV5 Monde. Până în prezent, acest fapt reprezintă cea mai bună dovadă de politică de atribuire, în perfectă concordanţă cu politica franceză și occidentală faţă de Rusia la momen-

tul atacului: Rusia nu iese neapărat nevinovată, însă nu reprezintă totuși decât încă o ţară adăugată la lunga listă a potenţialilor suspecţi. Marea problemă pe care o reprezintă aceste declaraţii și „jocurile de război” care le însoţesc, al căror impact noi, în calitate de cetăţeni europeni, nu îl putem determina la adevărata valoare, este că, pentru vechiul continent, ele constituie porţi deschise spre mai multe soluţii, deopotrivă periculoase și oneroase. În primul rând, mult prea puţini cetăţeni sunt preocupaţi de faptul că Europa nu reprezintă o putere, neavând nici diplomaţie comună, nici armată comună, nici servicii de informaţii comune. Ea reprezintă cel mult un „gigant economic” în ansamblul său, prin nesocotirea enormelor diferenţe între statele care o compun. Astfel, alocările suplimentare din bugetele publice (bugetul anual și fondul de rezervă) destinate îmbunătăţirii capacităţilor tehnologice în domeniul ciber-securităţii – sau al apărării, pe scurt – ar reprezenta, deci, pentru majoritatea statelor UE, cadouri făcute marilor puteri politice și militare, în special Statelor Unite, întrucât 9 din 10 state ale UE sunt membre NATO. Un risc major, convenabil conducătorilor fiecărui stat, l-ar reprezenta forţarea cetăţenilor să-și abandoneze treptat anumite drepturi fundamentale în numele securităţii, pentru a întări sistemele de supraveghere, ceea ce ar constitui un act politic perfect justificabil în timp de război, chiar dacă acest război este unul digital.

Mijloacele mass media și cinematografia vehiculând o propagandă care afectează procesul de conștientizare cetățenească Din cauză că s-a pierdut din vedere bunăstarea socială a cetăţeanului și ca urmare a inundării acestuia cu „breaking news”, cyber-războaie între state, mijloacele mass media reduc la tăcere toţi stimulii care îl determină să se preocupe de propria protecţie personală, întrucât acesta nu se mai simte vizat de ceea ce se întâmplă. De cealaltă parte, aceste „titluri spectaculoase” sunt folosite, mai ales de către Israel și Rusia, pentru a sensibiliza indivizii și companiile într-un „elan patriotic” de solidaritate faţă de patria lor, în care toţi cetăţenii trebuie să contribuie pentru creșterea nivelului naţional de apărare… În acest elan de propagandă, cinematografia americană nu se lasă mai prejos. Ca și în

17


ds Cover Story - Cybersecurity Tren cazul lui Chris Kyle, CPO al Navy Seals transformat în erou de către Clint Eastwood în 2015 în filmul „American Sniper”, omul perfect mânat de un simţ personal al moralei în lupta împotriva unui sistem care nu îi convine și în continuarea luptei inclusiv în exil este zugrăvit în „Snowden” (2016). Faţă de aceste blockbuster-uri, filmul excelent „The Fifth Estate” (2013) al lui Bill Condon care are ca subiect crearea WikiLeaks și personalitatea lui Julian Assange este cu siguranţă mai aproape de realitatea omului în cauză decât mitologiile cinematografice create în jurul personajelor Kyle și Snowden. De asemenea, „Jason Bourne” (2016), îndepărtându-se de primele trei episoade din saga, prezintă o versiune plauzibilă a intruziunii reale a forţei coercitive a agenţiilor americane în cadrul marilor companii ale Internetului, în special din domeniul browserelor, mesageriilor instant și reţelelor sociale. În fine, documentarulficţiune „Zero days” (2016) de Alex Gibney, bazat pe cazul Stuxnet – malware creat ad hoc pentru a distruge cinci laboratoare iraniene de îmbogăţire a uraniului printr-o componentă a centrifugelor folosite – este edificator. Desigur, nu reprezintă decât un „adevăr” care trebuie confruntat cu alte „adevăruri” la fel de plauzibile în ceea ce privește detaliile implicării statelor participante la acţiune (SUA și Israel), însă constituie un excelent vademecum despre crearea unei veritabile arme de sabotaj cibernetic și eșuarea totală a stăpânirii acesteia după operaţiunea pentru care a fost concepută, Stuxnet continuând să infecteze anual câteva zeci de infrastructuri.

Apoteoza anului 2017: „Vault 7 CIA Leaks” sau revanșa „deep State” față de un președinte incomod Frenezia denunţurilor din toate direcţiile conform cărora Rusia18 și-a pus la dispoziţie toate mijloacele necesare pentru ca Trump să câștige alegerile americane are, se

18

pare, o doză de adevăr. Însă acest val inedit de acuzaţii foarte grave de ingerinţă, din partea unui stat terţ, într-un proces democratic naţional – raportul agenţiilor Președintelui Trump nu a dezvăluit nimic, sub pretextul secretului apărării – tinde să ne facă să uităm că guvernele celor 3 ciberputeri terţe erau toate pro-Trump în mod deschis. În afară de Rusia, Israel și China, există atâtea ţări care nu au rămas pasive în ultimii doi ani. Iar asta fără a aminti nenumăraţii inamici interni acumulaţi de-a lungul anilor de către cuplul Clinton, în cadrul diferitelor organe de stat, cărora li se adaugă grupurile de hackeri americani, care sunt la fel de performanţi precum omologii lor ruși. Fără a reveni asupra subiectului atribuirii de furturi de informaţii confidenţiale care au împănat campania electorală americană, am asistat la ceea ce pare, din toate punctele de vedere, o premieră în expunerea la pericole a unei părţi a securităţii naţionale dintr-un stat: publicarea de către WikiLeaks a dosarelor programului Vault7 al CIA. Dacă susţinerile avocaţilor WikiLeaks sunt corecte, niște personaje puternice din CIA, cu acces la întreg ansamblul de dosare secrete, au „oferit” WikiLeaks cea mai mare scurgere de documente „ciber” de până acum, un act în chip de revanșă fără morală, fără a mai pune la socoteală că trădează absența totală a patriotismului și a deontologiei profesionale din partea autorilor săi. Dacă acest scenariu se confirmă, are o oarecare logică. Întrucât candidatul Trump declarase deschis, în 10 octombrie 2016, „I love WikiLeaks”, o propoziţie rămasă în istorie și pusă în contextul atacurilor sistematice ale aceluiași candidat Trump împotriva tuturor serviciilor secrete ale SUA, CIA ar fi răspuns prompt, organizând această scurgere de date. Oricare ar fi autorul acestei scurgeri de date, rezultatul este foarte grav, iar CIA a ieșit câștigătoare din trei puncte de vedere19: Un președinte este umilit chiar pe site-ul pe care îl lăuda. Spre deosebire de candidatul Trump din 2016, Trump ca Președinte al Statelor Unite nu își poate permite să laude o organizaţie care deţine documente secrete de interes naţional al cărei fondator este sub mandat de arestare Interpol și împotriva căruia au fost formulate de către Ministerul Public american vreo zece capete de acuzare. CIA va avea dreptul, așa cum a făcut-o și NSA după cazul Snowden, să ceară și să primească alocări bugetare suplimentare pentru a „astupa breșele de securitate” – chiar dacă toată lumea știe că Vault 7 nu mai este funcţional de mult timp, cel puţin nu în forma în care a fost extras și publicat în prezent. Cu niște focuri de avertizare lansate atât de repede, raportul de forţă dintre Casa Albă și serviciile de intelligence este mai mult decât niciodată favorabil serviciilor. Președintele a fost prevenit, la fiecare declaraţie necontrolată ar putea suporta costurile unor acţiuni de același fel…

1

2

3


Concluzia: despre adevărata „piraterie a anului”, nicio apariție în media În această învălmășeală de minciuni, informaţii, intoxicări, semi-adevăruri, lumea „ciber” cea mai ascunsă, în care se joacă totul, adică „dark web-ul” în care „comunică” și „lucrează” infractori, servicii secrete, mercenari, a fost zguduită din temelii în data de 3 februarie. O cincime din „dark web” a fost neutralizată de hackerii Anonymous20. Aici este vorba cu siguranţă de un stat. Însă care? Nu se va ști niciodată, însă serviciile afectate, comunicaţiile indisponibilizate, pierderile de date încă necunoscute în prezent sunt rezultatul unei operaţiuni în care s-au folosit tehnologii de vârf necunoscute, un „zero day” complex, cu consecinţe mai grave decât pot fi imaginate, un know-how pe care doar „mercenarii de stat” îl au. Se pare că 2017 a început ca „anul tuturor pericolelor cibernetice și manipulării mediatice posibile”…

Note: 1 https://www.nist.gov/cyberframework 2 Cf. printre alte articole la alegere: J. Wolff, Why We Need to Be Much More Careful About How We Use the Word Cyberattack (Slate News, 30.03.2017): http://www.slate.com/blogs/future_ tense/2017/03/30/we_should_be_careful_when_we_use_the_word_cyberattack.html; R. Slater, What makes a cyberattack? Experts lobby to restrict the term (ABC News, 28.03.2017): http://abcnews.go.com/Technology/wireStory/makes-cyberattack-experts-lobby-restrictterm-46420726 3 https://www.theguardian.com/us-news/2015/jun/03/barack-obama-surveillance-reformvacillation-caution-fear 4 https://imrussia.org/en/russia-and-the-world/642-us-russia-relations-in-2013-a-year-of-livingambiguously 5 http://money.cnn.com/2013/06/10/news/obama-china-cybersecurity/ 6 https://www.privacyinternational.org/node/147 7 http://www.ibtimes.co.uk/hacking-team-sold-spy-software-blacklisted-sudan-stonewalledun-investigation-1509465 8 http://www.wassenaar.org 9 https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sellsspyware-repressive-countries/ 10 Cf. D. Kushner, Fear This Man. To spies, David Vincenzetti is a salesman. To tyrants, he is a savior. How the Italian mogul built a hacking empire, in Foreign Policy 3/2016 http:// foreignpolicy.com/2016/04/26/fear-this-man-cyber-warfare-hacking-team-davidvincenzetti/ 11 Cu privire la acest subiect, a se vedea paralela excelentă făcută de către F. Egloff între corsarii de altădată și mercenarii net-ului de astăzi în „Cybersecurity and the Age of Privateering: A Historical Analogy”, Working Paper, Oxford 2015: https://www.politics. ox.ac.uk/publications/cybersecurity-and-the-age-of-privateering-a-historical-analogy. html

12 https://www.theguardian.com/technology/2016/apr/27/fbi-appleiphone-secret-hack-san-bernardino 13 Cf. lucrării excelente a E. Nunes ; P. Shakarian ; G.I. Simari ; A. Ruef, Argumentation models for cyber attribution, in 2016 IEEE/ ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM), pp. 837-844: https://arxiv.org/ pdf/1607.02171.pdf 14 https://www.bloomberg.com/news/articles/2016-04-19/northkorean-cyber-capability-among-world-s-best-brooks-says 15 A se vedea posibilele consecinţe internaţionale, dacă există cumva dovezile cu privire la implicarea statului în cauză, în studiul recent al lui C. Sullivan, “The Sony 2014 Hack and the Role of International Law”, in Journal of National Security, Law and Policy 8:3 (2016) : http://jnslp.com/wp-content/uploads/2016/07/The_2014_Sony_ Hack_and_International_Law.pdf 16 http://www.cnetfrance.fr/news/cyberattaque-contre-tv5-mondeou-le-ba-ba-du-hacker-debutant-39817950.htm 17 A se vedea raportul complet al atacului întocmit de specialiști ai multinaţionalei coreene AhnLab: http://global.ahnlab.com/global/ upload/download/documents/1506306551185339.pdf 18 Cel mai recent și mai neutru articol despre acest subiect este probabil cel al lui Hal Berghel, On the Problem of (Cyber) Attribution, in Computer 50:3 (2017), pp. 84-9: http://ieeexplore.ieee.org/stamp/ stamp.jsp?tp=&arnumber=7888425 19 http://www.paulcraigroberts.org/2017/01/17/trump-vs-cia-paulcraig-roberts/ 20 http://securityaffairs.co/wordpress/55990/deep-web/freedomhosting-ii-hack.html

www.agora.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR R 19


Focus - Cybersecurity Trends

Identitatea digitală și dreptul de a fi uitat Marea majoritate a informațiilor și datelor personale care circulă în mod constant pe web au făcut ca identitatea digitală să se afle mai puțin sub controlul nostru, dar în același timp să aibă repercusiuni semnificative în viața reală de zi cu zi.

autor: Michele Gallante

Utilizarea constantă și spasmodică a aplicaţiilor și a obiectelor conectate la o reţea de calculatoare afectează în mod iremediabil comportamentul oamenilor, care împărtășesc într-o clipită informaţii personale, fără să se gândească la consecinţe și la înlăturarea lor dificilă din lumea virtuală: de fapt odată încărcat, un fișier de pe web devine aproape imposibil de eliminat complet.

BIO Michele este un avocat practicant înscris în ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.

20

Pentru a proteja drepturile legate de difuzarea necorespunzătoare a acestor date în reţele de calculatoare și pentru a asigura intimitatea fiecărui cetăţean a luat naștere așa-numitul „drept la uitare“ și anume dreptul unei persoane de a fi uitat și de a nu-i fi aduse aminte fapte care îl privesc. În practică, acest drept este ca o garanţie pentru cei care nu doresc să fie expuși pe termen nelimitat la consecinţe dăunătoare, care le pot afecta negativ reputaţia, pentru evenimente care au avut loc în trecut (în special într-o eră digitală ca a noastră, în care cele mai multe informaţii circulă on-line). După cum a afirmat filosoful Friedrich Nietzsche „uitarea este o facultate activă“ care în lumea modernă trebuie să fie exercitată cu proceduri foarte precise. De exemplu, să vedem cum se poate solicita dez-indexarea web pentru un motor de căutare major cum este Google1: atunci când completaţi formularul pus la dispoziţie on-line, trebuie să specificaţi motivele, și se face o copie obligatorie a unui document de identitate a solicitantului. Eliminarea reală nu este nici imediată, nici automată, și, desigur, nu se va șterge și din alte motoare de căutare, altele decât Google.


În evaluarea motivelor invocate de solicitant, motorul de căutare poate decide să nu ia în considerare o cerere nelegitimă și să refuze ștergerea conţinutului. În acel moment, utilizatorul poate face apel la clauza de confidenţialitate, la un cost de 150 € și o așteptare de cel mult șaizeci de zile. În fine, dacă nici în acest caz utilizatorul nu este mulţumit, poate face apel la o instanţă civilă împotriva Garantului, dar acest lucru, desigur, necesită timp și sume mai mari de bani. Procedura pare ușoară, dar în 2014 Google a acceptat doar cu puţin peste 30% dintre cele 36.000 de cereri, pe motiv că nu au fost completate în mod adecvat sau pentru că motivarea a fost considerată insuficientă. Sfatul autorităţilor este să apelaţi la consultanţi experţi, pentru a nu vă pierde în procedurile birocratice și pentru a vă fi recunoscute drepturile. Cu toate acestea, chiar și în astfel de situaţii, de cele mai multe ori, informaţiile de interes public sunt dificil de eliminat, iar în cazul în care o știre a devenit virală, procedura nu este suficientă pentru o eliminare completă. Dreptul la viaţa privată și reputaţia celor implicaţi trebuie să fie garantată, totuși aceasta este pusă în balanţă cu libertatea presei, și doar o echilibrare perfectă a intereselor va permite o decizie corespunzătoare. Așa cum a spus de Rodotà „Dreptul de a fi uitat poate înclina periculos balanţa spre falsificarea realităţii și poate deveni un instrument pentru limitarea dreptului la informare“ și din aceste motive, sunt necesare reguli clare și transparente.

Recent, Regulamentul European 679/2016 a creat o primă formă de disciplinare. De fapt, articolul 17 prevede că orice persoană are dreptul de a obţine de la operator ștergerea datelor cu caracter personal, fără întârzieri nejustificate. Totuși, acest drept se pierde atunci când divulgarea anumitor informaţii este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare, îndeplinirea unei obligaţii legale sau pentru îndeplinirea unei sarcini de interes public sau exercitarea autorităţii statului, din motive de interes public în domeniul sănătăţii publice, în scopuri de arhivare în interes public, de cercetare istorică sau știinţifică sau în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanţa de judecată. În dreptul nostru nu există reguli exprese, dar se aplică în exclusivitate matricea jurisprudenţială. La data de 3 decembrie 2015, Curtea de la Roma cu sentinţa nr. 23771 a reiterat faptul că dreptul la uitare nu este

«Drept de a fi uitat» a fost creat pentru a apăra drepturile legate de folosirea ilegitimă a datelor personale pe internet și pentru a garanta intimitatea fiecărui cetățean. altceva decât o expresie aparte a dreptului la viaţă privată (de asemenea, exprimată la nivel european în articolele 7 și 8 din Carta drepturilor fundamentale). Concluziile desprinse din această hotărâre arată că trebuie să fie clar că faptul pe care intenţionaţi să-l faceţi uitat nu trebuie să fie recent, și că nu este de interes public. În echilibrarea intereselor care stau la baza legii în cauză, în lipsa unei legislaţii italiene aparte, trebuie remarcat modul în care interesul public joacă un rol-cheie în decizie. De fapt, chiar și în textul unic al atribuţiilor jurnalistului (3 februarie 2016), se recomandă ca ziariștii să evite să facă referire la anumite fapte din trecut, cu excepţia cazului în care acestea sunt esenţiale pentru caracterul complet al informării. „Uitarea este o formă de libertate“ (Khalil Gibran) și acest lucru, într-o societate dezvoltată ca a noastră, trebuie să fie spus clar și transparent, asigurând o protecţie adecvată a identităţii noastre, acordând o atenţie deosebită noii realităţi digitale. Armonizarea europeană făcută de noul regulament privind prelucrarea datelor cu caracter personal, cu caracter obligatoriu permanent începând din 25 mai 2018, este doar începutul unui schimb de intenţii menit să ducă la îndeplinirea unui drept recunoscut ca fiind fundamental.

Nota: 1 Link: https://support.google.com/legal/contact/lr_ eudpa?product=websearch.

21


Focus - Cybersecurity Trends

Securitatea cibernetică în Italia: un grad mai mare de conștientizare din partea companiilor, dar bugetele sunt limitate

autor: Massimiliano Cannata

„După aproape o sută șaizeci de ani de la Unificarea Italiei, nu am reușit încă să realizăm fuziunea celor nouă state din care s-a născut Italia modernă. Rezultatul este vizibil: un stat fragmentat în mai multe realităţi care nu comunică între ele. Anumite regiuni din nord se pot lăuda cu deţinerea unor standarde de producţie și a unui nivel de trai apropiate cu cele din Europa centrală, în timp ce regiunile din sud continuă de prea mult timp să stagneze, rămânând încă departe de zorii vreunei dezvoltări. Reprezentanţii politici devin din ce în ce mai concentraţi pe propriul viitor, fără a manifesta vreun interes pentru dialog sau dezbatere, și au pierdut din vedere responsabilitatea care le incumbă, implicarea în destinul teritoriilor și al comunităţilor.

BIO Massimiliano Cannata (Palermo, 1968), Filozof, ziarist profesionist, autor televizual, este un expert consultant în domeniul comunicării întreprinderilor. Este membru al comitetului științific al „Anfione e Zeto”, colaborează cu „Technology Review”, „L’impresa”, „IlGiornale di Sicilia”, „Centonove Press”. Este autor al mai multor texte, centrate pe diferite subiecte, precum inovare socială, a formării, a dezvoltării organizaționale și manageriale.

22

Din această pricină, „Rapporto Italia 2017” al Eurispes, recent prezentat la Roma în sediul prestigioase Biblioteci Naţionale Castro Pretorio, zugrăvește o „Italie polimorfă”. „Ţara noastră este angoasată” - explică Președintele Gian Maria Fara – „rata sărăciei este în creștere (unul din patru italieni consideră ca va deveni sărac, în special în cazul pierderii locului de muncă), iar acest lucru este reflectat clar de faptul că jumătate din familiile italiene au mari dificultăţi în momentul în care trag linie la sfârșitul lunii, iar foarte mulţi tineri (în jur de 13%) s-au văzut nevoiţi să revină în locuinţa familială din cauză că nu aveau un loc de muncă”. Ca în fiecare an, prezentarea raportului Eurispes Gian Maria Fara, Preşedinte Eurispes a permis studierea îndeaproape a multor fenomenologii sociale și economice, prin analize și cercetări conduse de Institut. Printre acestea, lumea TIC a devenit una dintre temele centrale ale dezbaterii.

Ciber-spațiul: un avantaj ce merită păstrat Conform previziunilor raportului Global Risks 2014 al World Economic Forum, în 2020 pierderile economice cauzate de atacurile cibernetice ar putea atinge trei mii de miliarde de dolari. Nu vor fi deci suficiente doar iniţiativele individuale pentru a face faţă unei urgenţe atât de grave. Este necesară elaborarea de planuri strategice de spectru larg, care să fie capabile să implice sectorul public, sectorul privat și cercetarea, în scopul realizării unei administrări a riscului informatic eficientă. Atacurile informatice cauzează doar companiilor italiene daune estimate la mai mult de 9 miliarde de euro anual. Puterea și fragilitatea se asociază, în cadrul „infosferei”, „teritoriului” vital care conţine datele confidenţiale și informaţiile sensibile. Infractorii cibernetici cunosc bine acest lucru, și aleg acest domeniu ca ţintă principală a celor mai puternice atacuri la nivel mondial, adică aproape 68% dintre cazuri în 2015 (faţă de 60% în 2014). În timpul primului trimestru din 2015, infracţiunile informatice au înregistrat un salt de 30% faţă de întreg anul 2014, reprezentând mai mult de 66% dintre cele mai grave atacuri informatice. Acţiunile infractorilor vizează cel mai adesea infrastructuri critice, ca de exemplu reţele de distribuţie de energie sau reţele de telecomunicaţii. Și în acest caz, perioada de joncţiune a fost reprezentată de primul semestru al anului 2015, când s-au înregistrat mai mult de 20 de atacuri de acest tip, faţă de doar două atacuri înregistrate pe tot parcursul anului 2014 (așadar, o creștere de 900%). (Sursa: lucrarea Eurispes, bazată pe datele Clusit, 2016). Printre potenţialele victime ale atacurilor informatice, se numără atât instituţii publice, cât și companii. IMM-urile sunt de departe cele mai vulnerabile, întrucât securitatea cibernetică presupune costuri, în special pentru im-


plementarea unui sistem de protecţie eficientă, cheltuieli pe care companiile din această categorie nu și le pot întotdeauna permite. Dintr-un alt punct de vedere, nu trebuie subestimate daunele economice, dar și de prestigiu pe care companiile victime ale atacurilor informatice vor trebui să le suporte.

Diversele tipologii de atacuri Conform analizelor din raportul Clusit, în Italia, sectoarele cele mai afectate de atacurile informatice au fost următoarele: informaţiile și jocurile: media online, precum și platformele de blogging și de gaming au suferit în 2015 o creștere cu 79% a atacurilor faţă de 2014; automotive: atacurile din 2015 au crescut cu 67% faţă de anul precedent; cercetare și educaţie: în acest sector, atacurile au crescut cu 50%, cu o tendinţă clară pentru activităţile de spionaj; facilităţi de cazare, hoteluri, restaurante, rezidenţe individuale și colective reprezintă o nouă categorie în raportul Clusit. În această din urmă categorie, atacurile au vizat utilizatorii. În fiecare lună, unul din trei atacuri își îndeplinește scopul și este descoperit prea târziu. În 66% dintre cazuri, descoperirea atacului nu are loc decât la mai multe luni (faţă de media globală de 51%), doar în 7% dintre cazuri (media globală) accesările prin efracţie sunt descoperite după câteva zile și în 16% dintre cazuri, după câteva săptămâni (faţă de media globală de 22%). Sursa: lucrarea Eurispes, bazată pe datele Accenture, „High Performance Security Report”, 2016 Conform unui studiu efectuat de Accenture, „HfS”, majoritatea organizaţiilor se confruntă cu lipsa în bugete a sumelor consacrate angajării de personal specializat în apărarea împotriva atacurilor informatice. 42% dintre companiile contactate declară că este nevoie urgentă de creșterea fondurilor necesare angajării de specialiști în securitate, dar și formării resursei umane deja disponibile în cadrul companiei. 54% dintre companiile respondente consideră că p această resursă este insuficient pregătită pentru prevenirea sau îndepărtarea atacurilor de securitate. De mare interes sunt și descoperirile celui de-al patrulea studiu internaţional de la Zürich cu privire la riscul atacurilor informatice, care evidenţiază, în ceea ce privește atacurile, efectele de care se tem cel mai mult IMM-urile: furtul de date despre clientelă (20%), atingerile aduse reputaţiei companiei (17%), furtul unor sume de bani (11,5%), furturi/uzurpări de identitate (7,5%) și furturi de date despre angajaţi (6,5%).

Angajament cu privire la securitate

Al 29-lea Raport Italian al Eurispes

În ciuda gravităţii unui fenomen în plină expansiune, trebuie subliniat că doar 19% dintre marile companii au maturitatea necesară care să le permită o viziune pe termen lung cu privire la securitate, dar și dezvoltarea de planuri concrete care să implice abordări tehnologice, iar organizaţia să definească cu precizie rolurile fiecăruia în ecosistem. În schimb, 48% din companii nu sunt decât în stadiul iniţial în parcursul lor spre o securitate digitală. Printre ameninţările cele mai frecvente în decursul celor doi ani, se remarcă: malware (80%), phishing (70%), spam (58%), atacuri de tip ransomware (37%), precum și fraude (37%). Principalele vulnerabilităţi identificate sunt: conștientizarea colaboratorilor în ceea ce privește politicile și bunele practici comportamentale (79%), distragerea atenţiei (56%), accesul mobil la informaţiile companiei (45%), prezenţa

dispozitivelor mobile personale (33%). Companiile au înţeles în special nevoia de a integra în cadrul personalului responsabili pentru managementul strategiilor de securitate cibernetică. Cu toate acestea, în prezent, mai puţin de jumătate dintre marile companii (42%) au printre angajaţi un Chief Information Security Officer (CISO), adică un specialist ale cărui atribuţii sunt definirea viziunii strategice, implementarea programelor de protecţie a resurselor informaţionale ale companiei și minimizarea riscurilor, în timp ce în 10% dintre cazuri, introducerea acestui angajat este prevăzută în cursul acestui an. (Sursa: Osservatorio Information Security & Privacy, School of Management, Politecnico di Milano.) În 36% dintre cazuri, securitatea informaţiei este încredinţată altor persoane în cadrul companiei, cum ar fi responsabilul cu securitatea. 12% dintre companii nu au încă o persoană dedicată acestei sarcini și nu au programat introducerea acesteia în efectivul de personal pe termen scurt. În altă ordine de idei, creșterea volumului de date și eterogenitatea surselor de informaţii fac necesară crearea unor posturi dedicate gesionării problemelor de privacy. Noul Regulament european privind protecţia datelor cu caracter personal introduce postul de Responsabil cu protecţia datelor (Data Protection Officer – DPO), a cărui existenţă va fi obligatorie pentru instituţiile publice și în cazurile specifice prevăzute de noul act normativ al UE. Responsabilul cu protecţia datelor este un specialist cu competenţe juridice, informatice, care cunoaște managementul riscurilor și analiza proceselor companiei; acesta implementează politica de gesionare a prelucrării datelor cu caracter personal, supraveghind îndeplinirea exigenţelor normative în vigoare.

Principalele obstacole Cele mai mari obstacole cu care se confruntă companiile italiene în prezent în eforturile lor de a face faţă eficient atacurilor cibernetice rămân aceleași. Competenţele profesionale: companiile invocă lipsa mijloacelor pentru efectuarea de investiţii în formarea și angajarea de specialiști, tocmai într-un mediu în care formarea și sensibilizarea culturală sunt elemente fundamentale pentru protejarea împotriva infracţiunilor cibernetice. Bugetul: securitatea cibernetică necesită investiţii nu doar în materie de formare a resursei umane, ci și în tehnologii de ultimă generaţie (ca de pildă aplicaţii privind platforme de cognitive computing, inteligenţă artificială sau platforme de criptare a datelor). Calitatea managementului: adesea, managementul executiv consideră securitatea cibernetică o cheltuială superfluă, deși tocmai acesta ar trebui să definească o strategie viabilă proprie de securitate care să ţină cont de priorităţile afacerii printre care se regăsesc atât menţinerea reputaţiei companiei, cât și protecţia datelor acesteia.

23


Focus - Cybersecurity Trends

Elveţia confruntată cu atacurile cibernetice. Starea actuală. CLUSIS Association Suisse de la Sécurité de l'Information

autor: Johny Gasser

Raport care prezintă concluziile și elementele de reținut din ziua strategică 2016 a Asociației elvețiene pentru securitatea informațiilor (CLUSIS). În cadrul sesiunilor s-au abordat subiecte precum riscurile și starea actuală în confruntarea cu cibercriminalitatea și ciberterorismul, grație intervenției experților naționali și internaționali de prestigiu. Fiecare actor din rețeaua economică elvețiană este vizat și ar trebui să ia măsuri complementare.

Sinteză Elveţia este una din ţintele cibercriminalilor. Aceștia sunt interesaţi în special de Elveţia din cauza a trei motive principale: elveţienii sunt printre cei mai bogaţi oameni din lume, așadar se fură acolo unde se găsește de furat; Elveţia este un lider mondial în inovaţie, iar inovaţia implică inteligenţă ce poate fi furată (spionaj industrial și economic);

BIO Expert internațional recunoscut în domeniul securității, cu peste 15 ani de experiență, Johny Gasser acordă asistență companiilor multinaționale în scopul organizării eficiente a cibersecurității. A fost auditor IT și Information Risk Management Advisor la firma KPMG. Apoi, dorința sa de a rezolva și de a anticipa probleme l-a făcut să se alăture companiei Orange Business. Este adesea invitat în calitate de speaker la numeroase congrese internaționale de prestigiu, printre care se pot enumera evenimentele organizate de ISACA, IIA, MIT, CLUSIS, GMU International Cyber Center și multe altele.

24

atât elveţienii cât și întreprinderile elveţiene subestimează foarte mult riscurile legate de Internet. Riscuri subestimate, sindromul „noi nu suntem bancă” Marea majoritate a întreprinderilor elveţiene (între 75 și 90%) se confruntă cu ciber-riscuri inacceptabile și nu iau măsuri de diminuare a lor decât după producerea unui incident grav. Întreprinderile elveţiene, în special IMMurile, sunt prea numeroase pentru ca valoarea informaţiilor disponibile în sistemele lor și în celelalte aparate mobile să poată fi subestimată. Modelul economic al infractorilor și al întreprinderilor care practică spionajul industrial nu este înţeles aproape deloc. Piratarea și spionajul industrial reprezintă activităţi economice foarte profitabile, cu o cifră de afaceri anuală estimată la 400 de miliarde de dolari. „Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic” Majoritatea atacurilor sunt silenţioase și foarte dificil de detectat. De pildă, băncile elveţiene nu detectaseră furtul de date ale clienţilor care a reprezentat începutul devoalării secretului bancar în Elveţia. Și totuși, băncile aparţin unui sector matur în ceea ce privește ciber securitatea. Acest fapt a ușurat înţelegerea dificultăţilor cu care se confruntă IMM-urile, sector care reprezintă majoritatea locurilor de muncă în Elveţia. Spionajul economic și industrial este o realitate, cu precădere în ţările cu un know-how recunoscut sau în care inovaţia reprezintă un domeniu productiv. Elveţia deţine ambele trăsături.


Obiectele conectate anunță o catastrofă? Odată cu apariţia obiectelor conectate, trăim o a cincea revoluţie industrială. Din păcate, aceste obiecte sunt adesea concepute fără a se lua în considerare încă de la început aspectul securităţii și fără implicarea unor experţi în securitate. Consecinţa: regăsim aceleași greșeli care se făceau și la începuturile web-ului. Combinaţia dintre creșterea exponenţială a numărului obiectelor conectate (500 de miliarde de obiecte conectate în 2020) și lipsa lor de securitate zugrăvește un tablou deloc îmbucurător pentru viitorul persoanelor și companiilor. Ciber-terorism, companiile elvețiene nu fac față unui pericol imediat Elveţia nu reprezintă o ţintă prioritară pentru jihadiști. Atentatele constituie adesea acţiuni de represalii, iar cât timp Elveţia și companiile de pe teritoriul acesteia nu sunt implicate în acţiuni în cadrul conflictelor teritoriale ale terorismului, riscul rămâne scăzut. Situaţia poate fi îmbunătăţită. Dacă starea actuală este îngrijorătoare, unele acţiuni simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Toate acestea necesită decizii și acţiuni concrete nu doar din partea companiilor, ci și a autorităţilor. Prezentul document descrie câteva recomandări.

1. Elveția, o țintă pentru cibercriminali Elveţia, companiile și cetăţenii săi prezintă o atracţie însemnată pentru cibercriminali. Pentru a înţelege nivelul real al ameninţării, trebuie analizat „business-model”-ul cibercriminalităţii. Infracţionalitatea cibernetică este organizată ca o industrie Conform PWC, cibercriminalitatea este o industrie înfloritoare, ocupând locul 2 în clasamentul infracţiunilor economice, și este singura infracţiune economică în creștere în anul 20151. Rapiditatea cu care se răspândește și gradul acesteia de maturitate au stârnit uimire. În ultimul timp, cibercriminalitatea este organizată ca o industrie

„clasică”: cu furnizori, prestatori de servicii, suport post-achiziţie, legile pieţei care determină preţurile, platformele „crime as a service”: cumpăraţi un atac prin câteva click-uri, dacă nu funcţionează contactaţi hotline-ul și vi se pot chiar rambursa banii în cazul în care rezultatele nu au fost atinse… Venituri egale cu PIB-ul Elveţiei Cifra de afaceri a unei singure versiuni a unui malware, versiunea 3 a CryptoWall2, este de 325 de milioane de dolari, pe parcursul a doar două luni. Într-unul din studiile cele mai aprofundate în legătură cu acest subiect, The economic impact of the cybercrime and cyber espionage3, publicat în 2013 de către Center for Strategic and International Studies, veniturile cibercriminalităţii au fost estimate între 300 și 1000 de miliarde de dolari, așadar o medie de 650 de miliarde de dolari, suma ce reprezintă PIB-ul Elveţiei în 20144. Aceste venituri provin din diverse activităţi, cele mai importante fiind: vânzarea de malware care permit acţiuni ilegale, vânzarea de date furate pentru înfăptuirea de fraude (de exemplu, în ceea ce privește cardul bancar), activităţi legate de spionajul industrial (furt de date rezultate din cercetări, oferte comerciale, „know-how” etc.), precum și activităţi care afectează competitivitatea unui concurent (atac în DDOS, atac la reputaţie etc.). Motivele atacării Elveţiei Opinia generală susţine că trebuie întrunite trei elemente pentru ca o infracţiune să fie săvârșită: un mobil, o oportunitate și mijloacele necesare. Este de la sine înţeles că banii obţinuţi cu ușurinţă reprezintă mobilul. Din acest punct de vedere, Elveţia reprezintă o ţintă pentru cibercriminali din motive foarte ușor de înţeles. Să luăm două exemple: primul, infractorul cibernetic vizează persoane fizice, plecând de la premisa că acestea deţin mai puţine sisteme de securitate decât companiile, și probabil și mai puţină expertiză. Al doilea, infractorul cibernetic este încrezător în capacităţile sale și dorește să-și maximizeze veniturile atacând companii și mizând deci pe revânzarea informaţiilor. Cazul nr. 1 – Persoanele fizice sunt vizate Luând în vizor persoanele fizice, infractorul cibernetic trebuie să găsească persoane care să deţină sume importante de bani și care să fie bine conectate la Internet. Prima căutare va avea scopul de a-i descoperi pe cei mai bogaţi. În urma unei simple interogări este relevat faptul că familiile elveţiene sunt cele mai bogate din lume5. Ţinta se conturează. Iar, după o verificare asupra

25


Focus - Cybersecurity Trends ratei de acces la Internet, ţinta se definește: vor fi vizaţi elveţienii. Cazul nr. 2 – Spionajul industrial Pentru maximizarea veniturilor din revânzarea datelor furate de la companii, sunt luaţi în vizor liderii în sectoarele inovaţie, cercetare şi dezvoltare, precum şi cei care deţin un know-how care îi diferenţiază de alţii. Cine altcineva poate reprezenta imaginea calităţii şi fiabilităţii, produse ale unui know-how şi ale unei rigori confirmate, mai bine decât marca Swiss Made? Un studiu privind liderii în sectorul inovaţiei atestă că Elveţia este numărul 1 mondial6. Un al doilea studiu privind numărul de brevete depuse în fiecare an, înlătură orice îndoială: Elveţia este o ţintă foarte interesantă. Şi un paradis pentru spionajul industrial şi economic. Contrar multor prejudecăţi, transformarea într-un cibercriminal necesită destul de puţine cunoştinţe tehnice. Instrumentele de „test de intruziune” sunt suficient de puternice şi de simplu de utilizat. Tutorialele şi serviciile de asistenţă permit oricui transformarea într-un „hacker” în câteva click-uri7. Rămâne de discutat oportunitatea. Companiile elveţiene subestimează mult riscurile legate de Internet. Multe dintre acestea nu se protejează suficient. Acest aspect e detaliat în capitolul următor, Sindromul „noi nu suntem bancă”.

2. Sindromul „noi nu suntem bancă” În timp ce băncile şi marile multinaţionale par să fi înţeles importanţa crucială a protecţiei împotriva cibercriminalităţii şi chiar dispun de mijloacele şi competenţele necesare, situaţia este încă foarte diferită în ceea ce priveşte majoritatea companiilor elveţiene. Sunt respinse investiţii esenţiale deoarece puterea de conștientizare a pericolului este slăbită de lipsa de cunoștinţe tehnice, precum și de sentimentul prezent la mulţi dintre directorii de companii: „cine ar vrea să ne atace? Totuși, noi nu suntem bancă”. 75% dintre companii sunt expuse la riscuri inacceptabile Studiul Clarity of Cyber Security de KMPG8 evidenţiază situaţia alarmantă a companiilor elveţiene. Pentru 75% dintre companiile studiate, confruntarea cu un incident de ciber-securitate este principalul motiv pentru efectuarea de investiţii în securitate. Concluzia, 75% dintre companii sunt expuse la riscuri considerate inacceptabile pentru persoanele din conducere. Aceste riscuri deci fie nu fuseseră identificate, fie fuseseră greșit înţelese sau evaluate. Or, paleta de companii studiate este constituită în majoritate din companii din sectorul financiar sau multinaţionale de la care se așteaptă un anumit nivel de maturitate, de mijloace și de competenţe în ciber-securitate și în gestionarea riscurilor mai avansat decât media. În altă ordine de idei, este bine de reţinut că o mare parte din economia elveţiană este generată de IMM-uri. Acestea reprezintă 66% din locurile de muncă din Elveţia, conform Oficiului Federal de Statistică9. Proporţia reală a companiilor expuse riscurilor inacceptabile este deci mai degrabă în jurul valorii de 90% decât de 75%. Decalaj mare între percepţia directorilor și realitatea din teren Pe scurt, directorii se cred protejaţi corespunzător și sentimentul de încredere e dominant, persoanele însărcinate cu securitatea informatică (atunci când această funcţie există în cadrul companiei) sunt preocupate de obiectul muncii lor, iar experţii externi în chestiuni de securitate implicaţi în cazul unui incident sau experţii externi de evaluare sunt îngroziţi de ceea ce constată. Cu ocazia zilei strategice 2015 a CLUSIS, au putut fi colectate cifre ilustrative. Astfel, 87% dintre responsabilii cu chestiunile de securitate (RSSI) se consideră în prezent expuși unor riscuri importante. A se remarca faptul că această cifră este rezultatul evaluării a 90% din companiile expuse la riscuri inacceptabile.

26


Or, doar 62% dintre RSSI consideră că persoanele din conducerea companiilor lor înţeleg aceste riscuri. Aceste cifre sunt coroborate în studiul KPMG citat mai sus, în care 56% dintre companiile studiate deţineau o metodă pentru a îmbina business-ul cu riscurile cibernetice. Iar situaţia este și mai îngrijorătoare. De pildă, printre persoanele studiate de CLUSIS, 66% deţin o analiză de risc întocmită de mai mult de un an. În medie, sunt publicate între 15 și 20 de vulnerabilităţi de securitate zilnic, 6.419 în 2015, din care 1.181 au permis preluarea controlului complet asupra dispozitivului afectat. Aceste date demonstrează că riscurile legate de noile tehnologii trebuie de acum înainte reevaluate zilnic, și chiar în timp real. De unde această lipsă de proactivitate sau de viziune? Fiecare companie se confruntă cu realităţi diferite. Și totuși, există cauze cu o recurenţă mai mare decât a altora. Motivele acestei lipse de proactivitate sunt adesea o combinaţie de patru cauze, cu un bilanţ diferit de la o organizaţie la alta: gradul de familiarizare a conducerii vizavi de noile tehnologii și de digitalizare, capacitatea experţilor tehnici de a prezenta riscurile într-un mod comprehensibil pentru persoanele din conducere, numărul și gradul de complexitate a sistemelor informatice și de telecomunicaţii și, în fine, înţelegerea aspectelor care pot reprezenta o valoare sau o motivaţie pentru cibercriminali. A gândi precum protenţialul său inamic Așa cum a fost explicat și anterior, cei care lansează un atac au un obiectiv principal: banii. Pentru a se proteja de atacuri, trebuie înţeleasă valoarea pe care cibercriminalii ar putea s-o intuiască în cadrul companiei. Această valoare poate constitui simplul fapt de a deţine un cont în bancă, cum a demonstrat-o „frauda președintelui”: atacatorii se dau drept directorul companiei sau directorul economic și cer efectuarea unei plăţi în regim de urgenţă pentru o tranzacţie care trebuie să rămână confidenţială. Poliţia Cantonului Vaud indica în 2014 numeroase astfel de speţe, cea mai importantă implicând o sumă de 1,8 milioane de franci10. O sumă care poate pune la pământ majoritatea IMM-urilor, dacă nu deţin asigurările necesare. Aceste fraude sunt de actualitate încă, așa cum o confirmă și apariţiile în media11. O altă motivaţie constant subestimată o reprezintă valoarea informaţiilor cu privire la clienţi, care permit acţiuni împotriva clienţilor înșiși, precum: Furtul de date personale permite uzurparea identităţii și însușirea bunurilor unei persoane fizice, sau atacarea unei companii în ingineria socială.

Furtul de informaţii confidenţiale, precum planurile dispozitivelor de securitate ale unei companii sau ale unei persoane private permite o spargere reală. Acest exemplu e aplicabil sectorului asigurărilor, unde se efectuează o evaluare a amplasamentului obiect al unui contract de asigurare, dar și tuturor celor care fac analize diagnostic, evaluări, inspecţii, controale sau audituri în domenii precum securitatea fizică, securitatea informatică, sănătatea la locul de muncă, securitatea la incendiu, certificarea industrială etc. Acest furt poate fi doar o etapă în procesul infracţional; scopul final poate fi, de exemplu, spionajul industrial. Furtul de informaţii care nu au aparenţa unor date confidenţiale, precum inventarele de software-uri informatice, versiunile acestora, numele dispozitivelor, datele de contact, numerele contractelor etc. Toate aceste informaţii pot fi exploatate pentru pregătirea unui atac împotriva ţintei finale. Probabil toate societăţile deţin informaţii de acest tip. Introducerea sau ștergerea unei tranzacţii întrun/dintr-un sistem: un traficant poate avea interes în ștergerea urmelor unui transport de mărfuri. Sau invers, un infractor poate avea de câștigat din inserarea unei tranzacţii care nu s-a efectuat niciodată pentru mascarea unei spălări de bani. Astfel, compania se poate regăsi implicată în activităţi de trafic sau alte fraude. Problematica spionajului industrial sau economic, constituind un caz aparte, va fi tratată în capitolul următor, Dacă nu s-a detectat nimic nu înseamnă că nu s-a întâmplat nimic.

3. „Nu a fost detectat nimic” nu e acelaşi lucru cu „nu s-a petrecut nimic” „Nu s-a întâmplat nimic, suntem bine protejaţi, poate chiar prea protejaţi. Putem cu siguranţă să reducem costurile.” Această mentalitate persistă în Elveţia. Și totuși, se neglijează faptul că industria numărul 1 în Elveţia, reprezentată de sectorul bancar, a fost constrânsă să își

revizuiască întreaga strategie în urma unor furturi de date ale clienţilor din numeroase bănci. Secretul bancar elveţian ar fi fost încă solid în prezent fără aceste furturi de date. Băncile sunt considerate ca având cel mai înalt sistem de securitate și, cu toate acestea, nu detectaseră

27


Focus - Cybersecurity Trends aceste furturi de date înainte ca autorităţile altor state să le semnaleze. Puţine atacuri sunt vizibile Raportul Symantec din 2016 cu privire la ameninţările pe Internet ilustrează profunzimea problemei acţiunilor nedetectate ale cibercriminalilor12: aproximativ 75% din site-urile legitime (adică cele care nu pot fi folosite în activităţi infracţionale) au vulnerabilităţi tehnice care le permit cibercriminalilor să atace vizitatorii acestor site-uri.

Dacă atacurile prin blocarea distributivă a serviciului (DDOS), acele acţiuni al căror scop este întreruperea serviciului, sunt vizibile imediat, nu același lucru se poate afirma în cazul în care scopul atacatorului este furtul de date. Se poate chiar ca furtul să nu fie niciodată detectat. Atunci când consecinţele ies la iveală, este posibil să nu se mai poată stabili niciodată cu certitudine o legătură cu un furt de date informatice. Exemplul cel mai elocvent este spionajul industrial. Detectarea unuia care fotocopiază toate documentele unei companii nu era ușor. Fie era prins asupra faptei, fie erau depistate un număr neobișnuit de copii. Se putea detecta o creștere a costurilor legate de fotocopiatoare (toner, hârtie, întreţinere), iar gestul reflex ar fi fost atenţionarea persoanelor în scopul reducerii utilizării aparatelor.

28

În lumea virtuală, problematica rămâne aceeași: jurnalele de activităţi relevă o creștere a activităţilor, însă cum acest lucru nu generează costuri suplimentare pentru companie, ar fi surprinzător ca acest lucru să fie detectat cu mijloacele obișnuite sau tradiţionale. Sunt necesare noi metode și tehnologii. În ambele cazuri, consecinţele pot fi teribile: un concurent poate propune același produs sau serviciu la costuri mai reduse, punând în pericol compania și locurile de muncă asigurate de aceasta. Spionajul economic, o realitate Center for Strategic and International Studies (CSIS) a estimat în 2014 costurile infracţiunilor cibernetice și spionajului economic la 445 de miliarde de dolari13. În 2013, CSIS condusese un studiu care lega spionajul economic cu pierderea de locuri de muncă în Statele Unite. Rezultatul era alarmant: pierderi de 100 de miliarde de dolari cauzate de spionajul economic și 508.000 de locuri de muncă pierdute, adică 0,3% din totalul locurilor de muncă din Statele Unite14. Impactul spionajului economic sau al spionajului industrial asupra Elveţiei este foarte greu de cuantificat. Și totuși, numărul exemplelor continuă să crească. O societate precum Kudelski/Nagra, care utilizează tehnologii de ultimă generaţie în domeniul în care activează și în cibersecuritate, a fost obligată în repetate rânduri să-și apere proprietatea intelectuală în faţa instanţelor împotriva unor societăţi de renume, fără ca un act de spionaj să poată fi totuși demonstrat. Comerţul cu amănuntul în Elveţia a fost victima mai multor atacuri ţintite în ultimele luni, guvernul elveţian a fost de asemenea ţintit, deznodământul mediatic fiind furtul de date de la compania publică din domeniul aeronauticii și apărării RUAG. De ce se recurge la spionaj? Odată cu globalizarea, anumite persoane se consideră în stare de război economic, unde orice act ofensiv este permis. Sumele investite în cercetare și dezvoltare sunt colosale, viitorul multor companii, mari sau mici, startupuri sau cu un istoric lung, depinde de această capacitate de a inova, de a fi primii pe piaţă, de a concretiza o idee, de a pune în practică un principiu. După cum am menţionat deja, Elveţia este lider mondial în inovare. Dacă concurenţii ar putea evita aceste investiţii în timp și în resurse, ar deţine un avantaj competitiv cel puţin substanţial, dacă nu chiar determinant. Anumite companii, sau, cel mai adesea, anumite persoane dintr-o companie care nu deţin același nivel în termeni de inovare și deontologie, neavând răbdarea sau posibilitatea de a atinge rezultatele propriilor cercetări, sunt tentate. Cât ar fi dispuse să plătească pentru a obţine informaţii care să le permită să obţină un produs sau un procedeu similar, însă fără costurile și timpul necesare cercetării și testării? Infractorii cibernetici se angajează să obţină anumite informaţii, sau propun spontan informaţii furate de la concurenţi. Târgul e foarte rentabil, după cum s-a văzut.

4. Obiectele conectate anunță o catastrofă? Obiectele conectate fac parte din viaţa noastră de zi cu zi. Potrivit Gartner15, aproape 5 miliarde de obiecte conectate erau folosite la sfârșitul


5. Ciber-terorismul nu constituie un pericol iminent pentru Elveția Odată cu intensificarea terorismului de masă în Europa, teama faţă de acţiuni de tip ciber-terorism crește. CLUSIS a invitat specialiști în acest subiect, în special de la Geneva Center for Training and Analysis of Terrorism16, cu ocazia zilei strategice 2016. Constatarea alungă îngrijorările, locul Elveţiei în economie nu este periclitat de ameninţări iminente, însă terorismul are legături cu Elveţia. Situaţia ar putea deci să se schimbe rapid.

anului 2015, și vor fi mai mult de 20 de miliarde până în 2020. Or, aceste obiecte conectate nu sunt suficient securizate. Nu există norme de control înainte de punerea pe piaţă de noi aparate. Când realitatea depășește ficţiunea și produce frisoane Exemplele se multiplică: mașina pe care hackerii o accidentează, hackeri care preiau controlul unui pacemaker de la distanţă și declanșează un electroșoc care ar putea ucide dacă dispozitivul ar fi implantat unei persoane, camere de supraveghere ale cărei imagini au fost publicate pe un website rusesc, pasagerul care modifică electronica unui avion de linie și reduce puterea unui motor în perioada în care conexiunea la Internet din avion devine posibilă etc. 20 de miliarde de obiecte conectate în 2020 În prezent, 5 miliarde de obiecte conectate sunt folosite și transmit date pe Internet fără ca proprietarii lor să aibă vreun control în această privinţă, în majoritatea cazurilor. Vor fi 20 de miliarde de obiecte conectate. Riscurile nu sunt înţelese și sunt subestimate Faimosul frigider conectat la Internet este disponibil marelui public. Pentru mulţi, nu există niciun risc direct asociat. Trecem cu vederea faptul că, dacă este oprit la distanţă și apoi repornit, mâncarea poate deveni improprie consumului și poate provoca boli sau absenţe de la locul de muncă pe motive medicale neprevăzute. Un pericol adesea ignorat rezidă în faptul că, dacă o persoană rău intenţionată vede conţinutul frigiderului dumneavoastră și evoluţia sa, v-ar putea produce aceste absenţe și astfel să plănuiască o spargere. Același lucru e aplicabil contoarelor electrice inteligente care permit identificarea momentelor în care locuinţa este ocupată sau goală. La scara unei ţări, am putea să ne imaginăm consecinţele unor acţiuni care ar lua în vizor toţi locuitorii acesteia. Așadar, în timp ce fiecare aparat electric trebuie să treacă teste și norme de control, pare surprinzător faptul că revine consumatorului evaluarea securităţii acestor dispozitive și monitorizarea noutăţilor tehnologice pentru a se asigura că nu au fost descoperite noi vulnerabilităţi de securitate ale obiectului conectat care să îi pună în pericol sănătatea și chiar viaţa.

Ciber-terorismul jihadist, fără cazuri decelate până în prezent Grupul auto-proclamat Stat Islamic (SI) acţionează în spaţiul virtual în același mod ca în cel real: atacă ţinte vulnerabile din ţări care îl înfruntă. Aceste atacuri, precum cel împotriva canalului de televiziune TV5 Monde care s-a confruntat cu o întrerupere a emisiei, vizau o ţintă vulnerabilă cu numeroase breșe de securitate și asimilată în mod clar cu o ţară ostilă, Franţa. În prezent, atacurile Statului Islamic și ale simpatizanţilor acestuia nu sunt, din punct de vedere tehnologic, prea avansate. Totuși, această situaţie s-ar putea schimba rapid. Din perspectiva neutralităţii sale și a absenţei activităţilor directe împotriva SI, Elveţia nu reprezintă în prezent o ţintă. Însă totul se poate schimba dintr-o dată, așa cum s-a putut observa în cazul informaţiei eronate de pe Wikipedia, în care Elveţia ar fi făcut parte din coaliţia internaţională împotriva SI, și în urma căruia a fost publicat de către SI un videoclip care cerea luarea în vizor a Elveţiei. Teroriștii SI acordă o atenţie specială mesajelor lor, în aceeași măsură ca și acţiunilor lor. În acest context, un atac împotriva intereselor Elveţiei nu ar avea sens și ar constitui o schimbare bruscă de strategie. Cu toate acestea, dacă un simbol al unei ţări participante la coaliţia internaţională împotriva SI este mai vulnerabil în Elveţia, ar putea fi vizat de un astfel de atac, iar Elveţia ar deveni astfel victimă colaterală. Elveţia și terorismul Teroriștii sunt uneori mai aproape de noi decât am putea crede. Am văzut-o cu ocazia atentatelor din 11 septembrie 2001, când au fost folosite telefoane mobile elveţiene. Astfel, legislaţia s-a schimbat în ceea ce privește obligativitatea de a prezenta un act de identitate pentru o cartelă preplătită. Atunci când grupul de hackeri-activiști Anonymous a publicat un video în care declarau că aveau să înceapă atacurile împotriva SI, răspunsul acestora din urmă nu a întârziat să apară, lansând un videoclip care a reluat

29


Focus - Cybersecurity Trends punct cu punct stilul și retorica Anonymous, afirmând că identitatea membrilor Anonymous le este cunoscută și că îi vor lua în vizor inclusiv din punct de vedere fizic. Acest video a fost postat de către un cetăţean elveţian plecat în Siria și fost membru al comunităţii active a Anonymous.

6. Recomandări Chiar dacă situaţia acuală este îngrijorătoare, anumite acţiuni adesea simple ar permite controlarea riscurilor și menţinerea lor la un nivel acceptabil. Acestea presupun decizii și acţiuni concrete nu doar din partea companiilor, dar și a autorităţilor. Iată câteva sfaturi. Recomandări pentru autoritățile elvețiene Implementarea strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice trebuie accelerată, devenind o prioritate pentru Consiliul Federal. Pe site-ul Confederaţiei, cel mai recent raport asupra stadiului implementării strategiei naţionale de protecţie a Elveţiei împotriva riscurilor cibernetice (SNPC) trece în revistă anul 201417. Același lucru se constată și la rapoartele anuale ale SCOCI – Serviciul Naţional de Coordonare a Luptei împotriva Criminalităţii pe Internet, ultimul raport datând din 201418. Apare deci legitimă întrebarea publicului și a actorilor ciber-securităţii cu privire la existenţa ciber-securităţii pe lista priorităţilor Confederaţiei. Consiliul Federal trebuie să dea un nou impuls Strategiei sale care datează din 2012. De atunci, am asistat la ascensiunea obiectelor conectate, la zorii celei de-a 5-a revoluţii industriale (digitalizarea) și la impresionante expansiune a infracţiunilor cibernetice. În temeiul acestor constatări, crearea unui Oficiu Federal pentru tehnologia digitală pare o idee excelentă. În așteptarea înfiinţării acestuia, Consiliul Federal ar trebui să își întărească echipa de consilieri în acest domeniu. O filieră de formare intensivă a experţilor în cibersecuritate Toate companiile elveţiene au nevoie de expertiză în domeniul ciber-securităţii. De la analiști la experţi tehnici la experţi care să poată transpune riscurile tehnice în măsuri de protecţie a activităţilor, a companiei, inclusiv manageri pentru situaţiile de criză. Atunci când industria producătoare de ceasuri a avut nevoie de competenţe pentru care nu exista la momentul acela formarea specifică, a fost creată o filieră de formare. Trebuie ca acest model să fie replicat pentru a înzestra Elveţia cu experţii de care are nevoie. Există deja acest tip de formare în cadrul școlilor federale, însă aceasta trebuie suplimentată. Această acţiune este direct legată de măsura nr. 8 din SNPC.

30

Ciber-securitatea, tematică în toate formările de excelenţă Suntem parte a celei de-a 5-a revoluţii industriale și toate meseriile sunt sau vor fi influenţate de digitalizare. Este important ca fiecare să se gândească la noile metode de muncă, să înţeleagă ce se va întâmpla. Ciber-securitatea trebuie să fie un subiect important în cadrul tuturor formărilor în Elveţia. Astfel, formările din învăţământul superior ar trebui, cu foarte puţine excepţii, să conţină un modul legat de ciber-securitate pentru asigurarea maximului de competenţe pentru IMM-uri. O formare complementară ar trebui pusă la dispoziţia absolvenţilor, pentru conștientizarea rapidă a IMMurilor și implementarea de măsuri de securitate adecvate. Crearea unei mărci de calitate a ciber-securităţii elveţiene Garanţia de calitate a mărcii Swiss Made este un pilon al economiei elveţiene și al succesului său. Probabil nici nu are echivalent la nivel mondial. Elveţia trebuie să păstreze acest avantaj competitiv într-o lume a digitalizării. Atunci când cumpărăm un aparat electric, trebuie să îndeplinească niște norme de securitate, ca și o mașină sau o locuinţă. Însă nu se spune o vorbă despre ciber-securitate. Verificarea securităţii produsului cumpărat revine persoanei în cauză, iar aceasta nu are nicio modalitate de a efectua această verificare. Crearea unei mărci de calitate elveţiană ar fi deci întemeiată. Societăţile de asigurare ar putea fi un partener privilegiat, întrucât acestea sunt direct interesate ca asiguraţii să aleagă doar tehnologii a căror securitate a fost verificată. Elveţia, ţară a inovării, al cărei viitor depinde de capacitatea sa de a aduce valoare adăugată, trebuie să fie un pionier în acest sector pentru a asigura în mod durabil o economie solidă. Recomandări pentru companiile elvețiene Directorii trebuie să se implice personal în problemele de ciber-securitate Este crucial pentru viitorul companiilor ca directorii să înţeleagă corect mizele și riscurile la care sunt expuse activităţile lor. Nu există decât foarte puţine companii care să nu prezinte un risc cibernetic important. Pentru IMM-uri, recrutarea și păstrarea unor veritabili experţi în cibersecuritate sunt foarte rare. Colaborarea cu societăţi specializate devine deci indispensabilă. Directorii ar trebui să își aloce timp pentru participarea la conferinţe și seminarii despre ciber-securitate și să nu privească acest aspect ca pe o problemă tehnică de încredinţat informaticienilor. De fapt, este o problemă de afaceri.


Informaţiile cu privire la pericole și oportunităţi sunt disponibile și trebuie utilizate pentru luarea unor decizi decizii corecte În ziua de azi, nu mai sunt admisibile scuze precum „nu mi-aș fi putut imagina” sau „nu știam”. Informaţiile sunt disponibile, însă trebuie colectate, filtrate, analizate și, pe baza lor, pot fi luate decizii corecte și pertinente. Prea puţine companii sunt conștiente de informaţiile de care pot dispune prin inteligenţa economică. Această prelucrare a datelor în scopul luării de decizii este o meserie în sine, astfel că apelarea la experţi care să transforme aceste informaţii în factor de creștere.

Mul]umiri CLUSIS ţine să mulţumească următoarelor persoane: - Johny Gasser, Orange Business Switzerland, autorul raportului de faţă Intervenienţii din cadrul zilei strategice: - Marco Obiso - Joseph Billy Jr vicepreşedinte în securitate la Prudential şi fost Director FBI - Mauro Vignati, Serviciile de informaţii ale Confederaţiei - Isabelle Augsburger- Bucheli, ILCE - Sébastien Jaquier, ILCE - Albert Pélissier, Pélissier & Partners - Doron Tenne SICPA - Gal Messinger, STMicroelectronics - Jean-Paul Rouiller - Alain Bauer, Prof. de criminologie aplicată, AB Associates - André Bourget, Cantonul Vaud - Henri Haenni, Abilene Advisors - Maxime Feroul, Kyos - Luckner Saint-Dic, TriskaManagement - Marco Preuss, Kaspersky Lab - Jeff Primus, Actagis - Jonathan Rod, Fortinet - Vincent Bieri, Nexthink SA - Brice Renaud, Palo Alto Networks - Paul Such, SCRT - Nicolas Arpagian, Director ştiinţific, Ciclul „Sécurité Numérique”, Institut National des Hautes Etudes de la Sécurité & de la Justice Comitetul CLUSIS: - Enrico Viganò, Preşedinte - Brian Henningsen, Vice-Preşedinte - Ursula Sury, Vice-Preşedinte pentru Elveţia Germană - Luca Tenzi, Vice-Preşedinte pentru Elveţia Italiană - Christophe Actis, Lara Broi, Catherine Charroin, Nadia Dali, Mo Kardaras, Sabah Detienne, Raoul Diez, Isabelle Dubois, Henri Haenni, Stefan Lüders, Giovanna DiMarzo, Albert Pélissier, Jean-Luc Pillet, Pierre Toquard, Nicolas Vernaz, Sam Vuilleumier.

Inginerii cibernetici trebuie să-și adapteze mesajele pentru a le face accesibile pentru directori Responsabilii cu Securitatea Informaţiei (RSSI) ar trebui să ia în considerare schimbarea numelui funcţiei lor și adaptarea misiunilor și sarcinilor lor în consecinţă. Gata cu securitatea informaţiilor, trăiască protejarea afacerii. Gata cu domnia sistemelor de informaţii și cu adoptarea guvernanţei business în companie. Gata cu rapoartele despre numărul de viruşi blocaţi, despre procentul de disponibilitate sau procentul de vulnerabilităţi întâmpinate şi remediate, este vremea rapoartelor despre incidentele care au reprezentat un pericol sau despre consecinţele efective faţă de afacere, despre cauzele lor şi despre măsurile luate sau cele posibile pentru ca acestea să nu se mai repete. Specialiştii RSSI trebuie să se înarmeze cu informaţii despre activităţile infractorilor cibernetici Infractorii cibernetici pun la dispoziţia „colegilor” lor informaţii cu privire la modul de ocolire a tehnologiilor, a măsurilor de securitate, dar şi date despre „capturile” lor. Specialiştii RSSI ar trebui să aplice aceleaşi tehnici: schimburi de informaţii, supravegherea activităţilor pe dark web (oare conturile de acces de la compania dumneavoastră sunt de vântare pe dark web?, se pregăteşte un atac împotriva datelor dumneavoastră?, care sunt tehnicile actuale utilizate de softurile malware?, care sunt campaniile de phishing şi de spearphishing în desfăşurare?). Mijlocul cel mai eficient este probabil instituirea unei şedinţe regulate, în cadrul căreia experţi în domeniu să susţină prezentări. În orice caz, există numeroase societăţi experte în acest domeniu, iar abonarea la programele lor de supraveghere şi alertare pare o metodă mai eficientă decât instalarea de instrumente, angajarea de experţi şi păstrarea lor în echipă, pentru a evita ca aceştia să se transforme în îndrumători pentru concurenţii dumneavoastră.

10

Note: 1

Raportul PWC Global Economic Crime Survey 2016: http://www.pwc.com/gx/en/services/advisory/consulting/ forensics/economic-crime-survey/cybercrime.html Raportul CryptoWall version 3 threat: http://cyberthreatalliance.org/cryptowall-report.pdf 3 Raportul CSIS, The economic impact of the cybercrime and cyber espionage: http://www.mcafee.com/es/resources/ reports/rp-economic-impact-cybercrime.pdf 4 PIB 2014 conform Oficiului Federal de Statistică: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/04/02/01/key/ bip_nach_einkommensarten.html 5 Raportul Allianz Global Wealth Report: https://www.allianz.ch/fr/news/2015/allianz-global-wealth-report/ 6 Raportul Global Innovation Index 2015: https://www.globalinnovationindex.org 7 Instrument de test de intruziune Metasploit: https://www.rapid7.com/products/metasploit/ 8 Studiu KPMG Clarity on Cyber Criminality: https://www.kpmg.com/ch/en/library/articles-publications/documents/ advisory/ch-pub-20150526-clarity-on-cyber-security-en.pdf 9 Statistici ale l’OFS: http://www.bfs.admin.ch/bfs/portal/fr/index/themen/06/02/blank/key/01/groesse.html 2

Poliţia Cantonului Vaud: www.vd.ch/autorites/departements/dis/policecantonale/ medias/communiques-de-presse/archives/2014/1/28/articles/lesarnaques-contredes-entreprises-se-poursuivent/ 11 Tribune de Genève: www.tdg.ch/suisse/Geneve-croule-sous-les-fraudesaupresident/story/25476180 12 2016 Internet Security Threat Report: www.symantec.com/security-center/threat-report 13 2014 CSIS-McAfee Global Cost of Cybercrime: www.csis.org/events/2014mcafeereport-global-cost-cybercrime et www.mcafee.com/us/resources/reports/ rpeconomic-impact-cybercrime2.pdf 14 CSIS Estimating the Cost of Cybercrime and Cyber Espionage: www.csis.org/news/ csis-releases-fi rst-study-connect-cybercrime-job-loss 15 Studiul Gartner: http://www.gartner.com/newsroom/id/3165317 16 www.gctat.org 17 https://www.isb.admin.ch/isb/fr/home/themen/cyber_risiken_ncs.html 18 https://www.cybercrime.admin.ch/kobik/fr/home/publiservice/berichte.html

31


Trends VIP Interview - Cybersecurity

Interviu cu Gian Carlo Caselli

De pe câmpuri direct la cyberlaundering: mafia din agricultură ia în vizor securitatea reţelelor autor:

Massimiliano Cannata

„Estimările privind ‚cifra de afaceri’ realizată de mafia din agricultură au trecut de la aproximativ 16 miliarde, dată oficială publicată în 2016, la aproape 21,8 miliarde. Este vorba despre o „aproximare prin lipsă” care relevă totuși o clară creștere cu 30% și care evidențiază în mod corect gravitatea fenomenului. Crima organizată a lepădat ‚uniforma militară’ pentru a adopta ‚costumul și cravata’, reușind astfel să profite de avantajele globalizării și ale domeniului financiar 3.0. În plus față de legile inadecvate, care nu reușesc să fie complet aplicate sau să îngreuneze practicile mafiei agriculturii, capilaritatea diverselor articulații ale acestui tip de criminalitate este factorul care creează atractivitatea acestui sector”.

Gian Carlo Caselli Procurorul Gian Carlo Caselli, Președinte al Comitetului Știinţific al Observatorului privind Criminalitatea în sectorul agro-alimentar, lucrează de zeci de ani în domeniul luptei împotriva crimei organizate și terorismului. În acest interviu, dezvoltă aspectele cele mai recente publicate

32

de „Rapporto Agromafie”, cu ocazia publicării celei de-a cincea ediţii a raportului, o iniţiativă creată de Președintele Eurispes Gian Maria Fara și realizată în colaborarea cu Coldiretti (Asociaţia Antreprenorilor Agricoli, ce reunește mai mult de un milion și jumătate de membri, n.r.). Massimiliano Cannata: Domnule procuror, afacerile ilicite în sectorul agroalimentar sunt în plină creștere. Care sunt aspectele cele mai de temut? Gian Carlo Caselli: În primul rând, fenomenul „cameleonic”, cu alte cuvinte capacitatea de transformare a unei ramuri mafiote care s-a reorganizat și care nu poate fi combătută conform schemelor pe care le-am urmat în ultimele decenii, pentru că ar fi contraproductiv. Nimeni ne neagă originile istorice ale unui fenomen propriu regiunii noastre meridionale, care, de-a lungul anilor, și-a demonstrat capacitatea de a se implanta în celulele vitale ale marilor orașe din centrul și nordul ţării noastre. Totuși, în prezent cel mai de temut fenomen este „mafia silenţioasă”, care proliferează prin adoptarea unui mod de operare care diferă cu totul de metodele utilizate în trecut. Pentru a înţelege procesul de transformare la care asistăm în prezent, este de ajuns să ne gândim la fenomenul cyberlaundering, adică spălarea online a banilor proveniţi din activităţi infracţionale.


Massimiliano Cannata: Ce înseamnă, concret, acest lucru? Gian Carlo Caselli: Înseamnă nu doar că „noua” mafie nu mai extorchează proprietarul de supermarket sau de reprezentanţă auto; din contră, se asociază cu aceștia sau chiar le preia întreaga activitate, făcându-și rost astfel de canale „curate” pentru spălarea banilor. Noua criminalitate cunoaște modurile de exploatare a posibilităţilor oferite de Internet, care a ajuns să constituie un fel de accelerator. Dacă, într-o vreme, grupurile mafiote își asigurau veniturile printr-o exploatare de tip violent, „de tip gangster”, impunând un „pizzo” (taxă de răscumpărare) în schimbul „protecţiei” pe care o ofereau, astăzi au devenit ele însele „antreprenori” care sunt în curs de finalizare a unei strategii de „normalizare”. O delincvenţă care se desfășoară prin intermediul Internetului. Dintotdeauna, scopul spălării de bani a fost îndepărtarea banilor de sursa lor adevărată printr-o serie de operaţiuni destinate împiedicării trasabilităţii originilor acestor venituri. Odată cu Internetul, distanţa dintre cel care spală banii și capital crește din ce în ce mai mult, iar anchetele privind suspecţii devin tot mai complexe. Massimiliano Cannata: Care sunt consecințele acestei mutații atât de radicale? Gian Carlo Caselli: Consecinţele sunt evidente: se schimbă chiar și definiţiile cuvintelor „mafia” și „mafiot”, care înglobează acum noi teritorii și care necesită un nou cadru legislativ sincronizat cu „noua” criminalitate ascunsă de acum în spatele consiliilor de administraţie, holdingurilor, fondurilor internaţionale, societăţilor de consultanţă precum și în spatele paravanului formal al politicii instituţionale, așa cum se întâmplă adesea.

De la kalașnikov la rețele virtuale Massimiliano Cannata: Prin ce se caracterizează strategia adoptată de organizațiile criminale în sectorul agro-alimentar, organizații care dovedesc deținerea unor cunoștințe extraordinare de utilizare a noilor tehnologii? Gian Carlo Caselli: În sectorul agro-alimentar, asistăm, printre altele, la nașterea unei economii paralele. În cazul fenomenului de cyberlaundering pe care l-am evocat deja, activitatea se reduce la o singură operaţie virtuală și dematerializată, în care fenomenul spălării capitalurilor ilicite își găsește condiţiile ideale de dezvoltare. Crima organizată a intrat rapid în lumea tehnologiei, trecând astfel de la kalașnikovuri la arme mai sofisticate, precum botnets, acele reţele care pot controla zeci de mii de calculatoare și care pot fi folosite pentru atacarea online a companiilor și organizaţiilor. Massimiliano Cannata: Acestea sunt operațiuni delicate, care necesită implicarea de persoane cu profil și competențe diferite. Ne confruntăm oare cu o schimbare de generație, în plus față de schimbarea metodelor și a strategiilor, cu un „salt calitativ” al noii criminalități organizate? Gian Carlo Caselli: Trebuie insistat pe faptul că Internetul și reţeaua web permit criminalităţii organizate din toate statele să-și extindă teritoriul pe care acţionează, oferindu-le oportunităţi și perspective inimaginabile până nu demult. Acest lucru a determinat transformarea profilului și identităţii „vechii mafii”. Apoi, trebuie subliniat faptul că reţeaua web reprezintă o „zonă liberă” capabilă să ofere garanţia securităţii și anonimatului, o „zonă gri” care oferă posibilitatea săvârșirii diverselor tipuri de infracţiuni. Securizarea reţelelor, în acest context nou, își păstrează importanţa nativă, dar devine și un mijloc important pentru a face faţă strategiei criminale care nu mai are graniţe și care devine tot mai ameninţătoare.

BIO Gian Carlo Caselli (Alessandria, 1939), imediat după obținerea diplomei în Drept, a fost din 1964 asistent voluntar la Istoria Dreptului Italian la Universitate din Torino. În 1967, intră în magistratură ca Auditor juridic, apoi, la începutul anilor ‹70, devine judecător la Tribunalul din Torino. În acest rol, pe care l-a păstrat până în 1986, Caselli a instrumentat în particular (începând de unul singur, apoi într-o echipă cu alți magistrați) toate investigațiile privind activitățile teroriste ale Brigăzii Roșii și ale Prima Linea, la Torino, Genova și Milano. Revenit la Torino, este numit Președinte al Curții de Justiție. În 1992, după atentatele mafiote de la Capaci și via d’Amelio, care au costat viețile judecătorilor Giovanni Falcone și Paolo Borsellino, Caselli a solicitat numirea în calitate de Procuror al Republicii la Tribunalul din Palermo, punând toată experiența sa în domeniul luptei împotriva criminalității organizate în slujba țării și asumându-și misiunea fundamentală de a contracara Mafia. Dupa o prima perioadă de mandat la Palermo, Caselli și-a continuat cariera cu aceeași pasiune și a îndeplinit alte sarcini de prestigiu și la nivel internațional. În 1999 devine Director al Departamentului de Administrare Penitenciară, în 2001 este membru al Unității de Cooperare Judiciară Europeană «Pro-Eurojust» iar în 2002 devine Procuror General al Republicii la Curtea de Appel din Torino. Angajamentul său a continuat la Torino, unde a fost numit – în unanimitatea Consiliului Superior al Magistraturii – Procuror-șef, înlocuindu-l pe judecătorul Marcello Maddalena. Continuând vocația sa de a răspândi o cultură a legalității, este din 2014 Președinte al Comitetului Științific al Fundației Coldiretti «Observator al criminalității în agricultură și în sistemul agroalimentar». A fost președinte al comisiei de elaborare de propuneri de intervenție în privința reformei faptelor penale în domeniul agroalimentar (D.M. 20.4.2015) înființată de către Ministrul Andrea Orlando. Lucrările comisiei s-au încheiat cu prezentarea către ministru a unui dosar cu 49 de articole, fiecare cu linii de urmărit în proiectul de reformă.

33


Trends VIP Interview - Cybersecurity

Massimiliano Cannata: O criminalitate care se evidențiază și prin capacitatea sa de penetrare „comercială” pe noile piețe. Considerați acest lucru ceva inedit? Gian Carlo Caselli: Exact asta se petrece, de fapt. Cu un talent nebănuit pentru marketing, grupurile mafiote și-au cedat în primă fază responsabilităţile: sarcina gestionării structurii piramidale și celelalte forme de exploatare numeroase. În prezent, ele condiţionează piaţa, stabilind preţul recoltelor, controlând transporturile și sistemul de triaj al mărfurilor pentru lanţuri întregi de supermarketuri, gestionează exportul produselor noastre Made in Italy – atât produse originale, cât și contrafăcute –, creează în străinătate centrale de producţie de Italian sounding, și merg până într-acolo încât înfiinţează reţele de vânzări capilare de tip „magazinul de la colţ”.

Securitatea rețelei ca avantaj strategic folosit ca răspuns Massimiliano Cannata: Vă referiți la ceea ce numim „mafia lichidă”? Gian Carlo Caselli: Este definiţia cea mai adecvată pentru a surprinde aptitudinea criminalităţii organizate de a se infiltra peste tot, exact ca apa. Membrii grupurilor mafiote adoptă stratageme din ce în ce mai diverse, reușind să beneficieze de fluxuri considerabile de capital de finanţare europeană. Este suficient să ne amintim că, doar în decursul anului 2016, Garda Financiară a confiscat 137 de terenuri și a cartografiat 29.689 de terenuri de care dispun grupurile

34

de crimă organizată. Tot în 2016, aceeași instituţie a pus sub sechestru bunuri patrimoniale de 150 de milioane de euro, la care se adaugă confiscarea a 35 de milioane de euro de finanţare publică acordată ilegal. Massimiliano Cannata: Inovațiile nu se opresc aici. High frequency trading este un alt cuvânt-cheie de care trebuie să ținem cont de acum înainte. Ne-ați putea face o sinteză cu privire la acest aspect? Gian Carlo Caselli: Este un instrument tot mai accesibil criminalităţii organizate, care permite efectuarea de tranzacţii pe bursă la viteze foarte mari, operate în mod automat, pe baza unor algoritmi. Sunt operaţiuni speculative realizate prin mobilizarea unor sume însemnate de bani, cu scopul de a influenţa cursul acţiunilor. Ne confruntăm cu niște dispozitive hiper-tehnologice, capabile să emită pe piaţă într-un timp record un flux mare de comenzi, depășind uneori 5000 de operaţiuni pe secundă. Un fel de insider trading automat, ale cărui operaţiuni sunt foarte dificil de depistat de către anchetatori. Massimiliano Cannata: Cum operează acești delincvenți? Gian Carlo Caselli: Datorită vitezei ale high frequency trading, băncile și operatorii financiari acţionează în prezent pe mai multe platforme reglementate, precum bursele sau, mai adesea, pe zone complet necontrolate, precum platformele over the counter (otc), care le permit realizarea de profituri de natură pur speculativă. Graţie vitezei de efectuare a operaţiunilor, operatorii plasează, modifică și anulează milioane de comenzi pe zi, pentru a specula diferenţele minimale de preţ între vânzare și cumpărare. Massimiliano Cannata: Rapiditatea și controlul rețelelor sunt sursele acestor acțiuni ilegale? Gian Carlo Caselli: Punctul central este tocmai viteza: algoritmii, tot mai complecși, „citesc” comenzile efectuate de concurenţi pe diferite pieţe pentru un produs anume. În timpul extrem de scurt dintre plasarea efectivă a comenzii și apariţia în registrul tranzacţiilor oricărei pieţe – adică afișajul telematic ce conţine propunerea de vânzare sau de cumpărare, cantităţile, preţul și operatorul –, grupurile mafiote inundă pieţele cu comenzi ale aceluiași produs, pe alte platforme, reușind să negocieze preţul cel mai convenabil pentru ele. Aceste mii de comenzi au deci rolul de a determina creșterea sau scăderea cotaţiei unui produs. La sfârșitul negocierilor, sunt șterse în câteva fracţiuni de secundă. Viteza este atât de mare încât organele de control din diverse state estimează că doar în 10% dintre comenzile efectuate prin high frequency trading își ating cu adevărat scopul, restul de 90% fiind șterse. Massimiliano Cannata: Ce măsuri pot fi luate în lupta cu fenomene atât de complexe și de bine puse la punct? Gian Carlo Caselli: Complexitatea reţelei fenomenelor criminale a atins un nivel foarte înalt. În prezent, ne concentrăm eforturile pentru cartografirea gradului de penetrare a activităţilor criminale pe filiera agro-alimentară, în scopul obţinerii unui „indice de permeabilitate” care să ne poată ajuta să înţelegem mai bine zonele vulnerabile ale teritoriului pe care acţionăm și să demarăm o activitate de prevenire și de protecţie mai eficientă și mai adaptată timpurilor noastre. Ne confruntăm cu o problemă transnaţională, iar autorităţile de supraveghere au doar o competenţă naţională, ceea ce face ca niciuna dintre ele să nu aibă o viziune completă asupra activităţilor operatorilor high frequency trading. În mod evident, este momentul demarării aplicării unor strategii de investigaţii și de prevenire a riscului și a vulnerabilităţilor, prin intermediul unor servicii de informaţii cu competenţe transnaţionale însărcinate cu implementarea de strategii de ciber-securitate eficiente. Doar dacă reușim să centralizăm lupta împotriva mafiei, se va deschide un orizont de libertăţi pentru ţara noastră. Suntem implicaţi într-un meci pe care nu ne permitem să-l pierdem.


Focus

Noua doctrină informaţională rusă din decembrie 2016 Așa cum unii dintre voi au aflat, prin informații fragmentare și, din păcate, adesea greșite, o nouă doctrină de securitate informațională rusă (Доктрина информационной безопасности Российской Федерации) a apărut oficial la data de 5 decembrie 2016.

autor: Yannick Harrel

BIO Expert și lector în Cyberstrategy la Business & Finance School din Strasbourg, membru fondator al grupului de gândire strategică Echo RadaЯ și deținător al blog-ului «Cyberstrategy East-West», Yannick Harrel este autorul multor lucrări în domeniul strategiei cibernetice și geopoliticii pentru diferite publicații și instituții. În 2011 i-a fost decernat premiul național «Admiral Marcel Duval», din partea revistei French National Defense. A fost angajatul unei companii de pionierat, specializată în fibră optică și în implementarea ei în Franța. A scris cartea «Economic and Financial Cyberstrategies», care a devenit de referință, a fost actualizată și republicată în septembrie 2014. A participat la lansarea masteratului de apărare cibernetică la școala militară din Saint-Cyr. La invitația Consiliului Europei, a participat la primele două ediții ale Forumului Mondial pentru Democrație, pe teme digitale contemporane. Ultima sa lucrare, publicată în 2016, se concentrează pe zona automobilelor, afectată de noile tehnologii, comunicare și control: Automobile 3.0. Deține expertiză, a studiat și a publicat prima carte din spațiul francofon pe tema strategiei cibernetice a Rusiei, în martie 2013.

O primă precizare utilă: nu este vorba în niciun f de prima doctrină de acest fel publicată de către fel aautorităţile Federaţiei Ruse. Comentatorilor pripiţi le su sugerez studierea lucrării mele Ciberstrategia rusă, în ca cazul din 9 septembrie 2000 este disecat de la care prim până la ultima literă. prima A doua precizare, la fel de necesară: atunci când se citează un text, este de bonton să se indice sursa exactă, cu atât mai mult cu cât acest text este într-o limbă străină. Din păcate, boala copierii la scară mare a informaţiei principale (numită în mod obișnuit și copy-paste) are ca efect principal și nefast trecerea în plan secund a acestei necesităţi. Expertul este surprins în primul rând de concizia textului, care nu are nicio legătură cu compilaţia greoaie de articole care caracterizează prima lucrare, alcătuită din patru părţi și a cărei lectură era îngreunată de redundanţe și schimbări de perspectivă. Apoi, încă de la început, se oferă o definiţie a ceea ce autorităţile numesc spaţiu informaţional, cu menţionarea expresă a reţelei de Internet (fără totuși a se limita la aceasta). Aceasta reprezintă o diferenţă radicală faţă de textul iniţial, care nu menţiona Internetul în niciun fel, păstrând un ton neutru în plan tehnologic, întrucât, fără a atribui o definiţie completă, redactorii optaseră pentru o enumerare a sectoarelor și punctelor tehnice vizate. În prezent, abordarea diferă în mod semnificativ și, fără a pierde din vedere orientarea generală, evocă de câteva ori și reţelele sociale. Prin urmare, definiţia dată este următoarea: „Sfera informaţională trebuie înţeleasă ca un ansamblu de obiecte, de sisteme, de site-uri de Internet, de reţele de telecomunicaţii, de tehnologii, de entităţi a căror funcţie este formarea și procesarea informaţiei, procesarea și dezvoltarea tehnologiilor aferente, securitatea informaţiei, precum și mecanismele de reglementare a relaţiilor publice”. Continuarea este, în cele din urmă, o menţinere a principiilor stabilite de către doctrina instituită în 2000, cu menţionarea expresă a apărării intereselor naţionale, cu precădere în cadrul sferei informaţionale. Precizarea este departe de a fi banală: încă din articolul 2 sunt evocate cele trei niveluri ale

35


Focus - Cybersecurity Trends

acestei securităţi informaţionale; în timp ce viziunea americană este bazată pe cele trei straturi (software, hardware, informaţional), alter-ego-ul ei rus se bazează pe un triptic alcătuit din individ, societate și stat. Această structură era deja prezentă în textul de acum șaisprezece ani, însă nu în mod distinct. Această particularitate este, de altfel, amintită la punctul 20. În materie de securitate informaţională, se propune o definiţie relativ stufoasă, însă care a beneficiat de analize în textele ultimilor ani: „Securitatea informaţională reprezintă implementarea mijloacelor juridice, organizaţionale, operaţionale, de investigaţie, de analiză, de informaţii, de contra-informaţii, tehnologice și știinţifice menite să prezică, să detecteze, să disuadeze, să prevină și să respingă ameninţările sau să înlăture consecinţele acestora”. Pentru a confirma această coerenţă, se menţionează și că această doctrină, în afară de faptul că o reactualizează pe cea din 2000, apare cronologic după Strategia de Securitate Naţională a Federaţiei Ruse din 31 decembrie 2015 (Стратегия национальной безопасности Российской Федерации). Textul explicitează apoi care sunt interesele Federaţiei Ruse în sfera informaţională. Nicio lipsă de continuitate faţă de elementele formulate în 2000, doar câteva precizări, cu accentuarea necesităţii de a utiliza tehnologiile informaţiei nu doar pentru a îmbunătăţi democraţia și relaţiile între societatea civilă și stat, dar și pentru a păstra însăși esenţa Rusiei, și anume patrimoniul său cultural, natural, spiritual și moral și spaţiul său multi-etnic.

36

Acest apect reiterat trădează viziunea civilizatoare proprie a textelor ruse, în timp ce în statele occidentale această caracteristică este adesea disimulată. Stabilirea ca obiectiv a dezvoltării industriei tehnologiilor informaţiei și electronicii ruse amintește de un document trecut neobservat cu ocazia publicării, dar esenţial atât ca fond cât și ca formă: Strategia de dezvoltare a industriei tehnologiilor informaţiei în Federaţia Rusă în perioada 2014-2020. În acest document, se insistă pe protecţia și dezvoltarea acestei industrii, enumerându-se și mijloacele de realizare a obiectivului, în special analizarea succesului companiilor americane și mobilizarea sectorului militaro-industrial. Textul din 2016 reprezintă o afirmare a acestui obiectiv strategic. Acest aspect e completat ulterior la articolul 17 printr-o menţiune cu privire la suveranitatea tehnologică, conform căreia aceasta trebuie să fie viabilă pentru o reţea de companii naţionale de talie critică în sectorul IT și cel al electronicii. Acest text apărut în 2014 a fost reluat la punctul 18, unde se constată cu regret că cercetarea în domeniile vizate nu este suficient de dezvoltată, împiedicând crearea unui cadru global de securitate informaţională. Apoi se evocă necesitatea producerii unei informaţii mai precise pe subiectele legate de Rusia și de acţiunile sale, ai căror destinatari sunt atât publicul rusofon cât și cel internaţional. Acest obiectiv trimite automat cu gândul la structura Rossia Segodina, înfiinţată în 2013 prin fuziunea dintre Vocea Rusiei și RIA Novosti. Obiectivul asigurării suveranităţii Rusiei este din nou evocat în text, în termen foarte lacunari, însă imperativi. Se amintește faptul că acest obiectiv trebuie atins printr-o coordonare la nivel internaţional. Lucru deloc surprinzător, căci Rusia depusese deja un text la secretariatul ONU în acest sens, și, în plus, susţine Uniunea Internaţională a Telecomunicaţiilor în astfel de demersuri. Aceste precizări sunt legate în mod direct de faptul că, de la intrarea în vigoare a legii federale N 242 FZ din 21 iulie 2014, datele privind cetăţenii ruși trebuie găzduite pe servere prezente fizic pe teritoriul naţionale. Iar dacă Google și Apple s-au conformat acestei exigenţe în aprilie și respectiv septembrie 2015, reţeaua profesională LinkedIn a fost deconectată de la reţeaua rusă la cererea expresă a autorităţilor ruse. Societăţile contraveniente sunt nevoite să închirieze servere ruse sau să și le delocalizeze pe ale lor în Federaţia Rusă. Se enunţă dualitatea spaţiului informaţional și a tehnologiilor conexe: pe de o parte, un avânt al economiei și al îmbunătăţirii raporturilor dintre administraţie și cetăţeni, pe de altă parte, introducerea ameninţărilor specifice care pot destabiliza ţara. Punctul 13 vizează în mod specific ameninţarea teroristă, individuală sau în grup organizat, care ar putea afecta spaţiul informaţional, iar aceasta este o noutate întrucât documentul din 2000 nu explicita problema acestei ameninţări într-un mod atât de clar. O astfel de ameninţare ar putea paraliza în mod critic infrastructurile sau ar putea difuza propagandă care să atenteze la interesele Federaţiei. Apoi este detaliată infracţionalitatea cibernetică, în special ramura sa financiară. Situaţia era deja cunoscută și prevăzută încă din 2000, când instrumentele și reţelele nu erau atât de evoluate ca în prezent. Acest aspect nu putea să lipsească din noua doctrină, dat fiind că au avut loc anumite incidente în materie de infracţionalitate cibernetică ce au lovit instituţiile bancare în Rusia în noiembrie, respectiv decembrie 2016 (incidente precum cel de la Banca Centrală, cu două miliarde de ruble furate). Cibernetica militară este menţionată de câteva ori, însă foarte pe scurt și fără vreun aport real faţă de alte texte oficiale dedicate acestui subiect și


mult mai cuprinzătoare. Articolul 21 detaliază foarte puţin rolul securităţii informaţionale pentru forţele armate, sub patru aspecte: disuasiunea și prevenirea oricărui conflict care ar putea izbucni ca urmare a utilizării tehnologiilor informaţiei; îmbunătăţirea pregătirii și a mijloacelor legate de războiul informaţional în cadrul sectorului militar; pregătirea protejării intereselor Rusiei în spaţiul informaţional; neutralizarea operaţiunilor psihologice informaţionale ce vizează pervertirea patrimoniuluii patriotic și istoric legat de naţiunea rusă. Acest ultim element denotă interesul autorităţilor ruse cu privire la acest aspect al războiului, moștenire a unei lungi tradiţii sovietice în domeniu. Articolul 23 reprezintă o expunere a acţiunilor de securitate statală în spaţiul informaţional necesar a fi implementate. În mare, lista este un rezumat al tuturor punctelor evocate anterior, de pildă cu privire la suveranitatea statului, la protecţia infrastructurilor informaţionale, la utilizarea contramăsurilor pentru a nu se aduce atingere valorilor Rusiei, la preferinţa pentru produsele de tehnologie a informaţiei locale, cu ajutorul cărora să se asigure un nivel de securitate informaţională etc. Un punct laconic, dar care merită toată atenţia, este cel care se referă la vigilenţa privind actele unei forţe străine prin intermediul indivizilor, serviciilor speciale (a se citi: de informaţii) și organizaţiilor care ar putea folosi tehnologia informaţiei pentru a lansa ameninţări la securitatea statului. Acest punct reprezintă conștientizarea că ciberspaţiul, sau spaţiul informaţional, este capabil, prin intermediul actorilor săi, instrumentelor sale sau rezultatelor sale, să pună în pericol stabilitatea politică, economică, financiară și militară a unui stat. Împletirea dintre securitatea informaţională și sectorul economic este tratată mai pe larg. Aici se pot regăsi și preocupările doctrinei din 2000 cu privire la necesitatea de a avea o industrie IT și electronică locală în scopul limitării importului de bunuri și servicii de origine străină. Articolul ar putea fi rezumat după cum urmează: protecţie, inovare, competitivitate și securitatea unei reţele naţionale industriale în domeniul tehnologiei informaţiilor. Termenul de preocupare nu este exagerat în ceea ce privește insistenţa acestei problematici prezente în mai multe texte oficiale începând cu anul 2000. Configuraţia este identică cu cea elaborată de teoreticianul și practicianul protecţionismului, Friedrich List, întrucât premisele sunt aceleași: protejarea companiilor dintr-un sector industrial nou, asistarea și favorizarea lor până când acestea ating un anumit grad de competitivitate, apoi, odată mature, lăsate să se confrunte cu piaţa mondială. Această strategie pe plan economic este identică cu cea din domeniul educaţiei, formării și cercetării știinţifice. Este folosit același raţionament: crearea unei baze solide pentru ca domeniul respectiv să atingă nivelul de competitivitate dorit. Această similitudine nu este întâmplătoare, ci denotă o strategie globală prin care efortul nu este împărţit pe sectoare, ci pe etape de progresie. În fine, există o voinţă mărturisită, identică cu cea precizată în 2000, de a promova o viziune comună internaţională asupra conceptului de securitate informaţională. În acest sens, se precizează că spaţiul informaţional este un câmp conflictual care ar putea fi folosit pentru destabilizarea statelor cu scopuri politico-militare. Suveranitatea Federaţiei Ruse se dorește a fi protejată prin încheierea de parteneriate și elaborarea unui cadru internaţional în materie de securitate informaţională. Un detaliu rămâne totuși imprecis: atunci când se sugerează un segment de gestionare naţională a reţelei de Internet (aspect care a mai fost menţionat o dată)1, se face referire la noul proiect de reţea naţională securizată asigurată de un

sistem de exploatare suveran? Sau la îngrădirea sau, mai degrabă, filtrarea porţiunii ruse din reţeaua de Internet? Acest punct ar merita să fie explicitat ulterior de către autorităţi, întrucât subiectul este încă foarte restrâns, în acest stadiu, pentru formularea oricărei previziuni tangibile. Articolul 30 și următoarele reprezintă în principal menţiuni juridice, iar în final este specificată atribuţia exclusivă a Președintelui Federaţiei Ruse în definirea orientării în materie de politică de securitate a informaţiei (secondat se pare de Consiliul de Securitate al Federaţiei și chiar de Comisia Militaro-Industrială). Este furnizată deopotrivă lista actorilor de prim rang vizaţi de securitatea informaţiei, care cuprinde toate componentele executivului și instituţiile de sub administrarea acestuia (chiar și sub administrarea indirectă, cum este cazul Băncii Rusiei). Se evocă dorinţa de a conserva drepturile cetăţenilor, dar și de a respecta obiectivele în materie de securitate a informaţiei, în același timp, precum și întărirea și interconectarea mijloacelor de securitate a informaţiei între diferitele componente ale structurilor de forţă, militare și civile, pe diverse niveluri teritoriale. Pentru urmărirea efectelor acestei doctrine, secretarul Consiliului de Securitate al Federaţiei prezintă anual un raport. Prin urmare, textul nu aduce nimic revoluţionar. Este, pe de o parte, reiterarea doctrinei din 2000 și, pe de altă parte, o sinteză a documentelor conexe întocmite după apariţia acesteia dintâi, îmbogăţită, ce-i drept, cu câteva puncte specifice prin prisma experienţei ultimilor ani. Astfel, interesul pentru securitatea informaţiei în domeniile economic și financiar a fost întărită, iar reţeaua de Internet este menţionată de mai multe ori (de altfel, aceasta este singura concesie a textului altminteri neutru din punct de vedere tehnologic). În ceea ce privește forma, a fost făcut un efort substanţial pentru ca textul să fie mai ușor de citit decât cel de dinainte, iar în ceea ce privește fondul, se observă clar că orientările viitoare fac dovadă de pragmatism. Fără îndoială, va urma în scurt timp apariţia de documente oficiale sectoriale, așa cum s-a întâmplat și după publicarea doctrinei din septembrie 2000. Doctrina de securitate informațională din decembrie 2016 (în rusă): https://rg.ru/2016/12/06/doktrinainfobezobasnost-site-dok.html Strategie de securitate națională din decembrie 2015 (în rusă): http://www.consultant.ru/document/ cons_doc_LAW_191669/61a97f7ab0f2f3757fe034d1101 1c763bc2e593f/ 1 д) развитие национальной системы управления российским сегментом сети «Интернет»

37


Trends - Cybersecurity Trends

Cum poate îmbunătăţi Datanet Systems nivelul de securitate al companiilor cu ajutorul sistemelor SIEM În fața diversificării continue a amenințărilor informatice, soluțiile clasice de securitate nu mai reușesc să acopere întreaga suprafață de atac a unei companii. Soluția SIEM implementată și personalizată de specialiștii Datanet Systems compensează minusurile, îmbunătățind nivelul de protecție și viteza de reacție a organizațiilor în fața incidentelor de securitate. Aproape jumătate din incidentele de securitate din mediul enterprise nu sunt niciodată investigate. Cauza pricipală este vizibilitatea redusă pe care organizaţiile o au asupra infrastructurii IT, limitare care se cronicizează pe măsura extinderii gradului de informatizare. Adăugarea de noi echipamente și aplicaţii duce la creșterea gradului de eterogenitate a infrastructurii și, implicit, a problemelor de interoperabilitate. Ca răspuns la această provocare, Datanet Systems propune și implementează sistemele de Security Information and Event Management (SIEM). „Sistemele SIEM sunt special concepute pentru a colecta log-uri din întreaga infrastructură informatică a unei organizaţii. Log-urile sunt stocate, corelate şi analizate centralizat, iar sistemul emite notificări și alerte asupra evenimentelor de securitate detectate. Avantajele sunt importante – datele stocate reprezintă informaţii utile în asigurarea cerinţelor de conformitate și în cazul auditurilor care survin în urma unui eveniment de securitate. Totodată, agregarea într-o formă coerentă a tuturor datelor de logare asigură o vizibilitate crescută asupra infrastructurii. Rezultatele obţinute prin analiza corelată a datelor permit sistemelor SIEM să detecteze evenimente

38

de securitate pe care companiile care utilizează soluţiile enterprise clasice de protecţie nu le pot depista in timp util sau chiar deloc“, explică Faruk Hairedin, consultant în securitate Datanet Systems.

Experiența pune în valoare tehnologia Sistemele SIEM nu înlocuiesc soluţiile de detecţie a atacurilor (firewallurile, tehnologiile antivirus, aplicaţiile de prevenire a intruziunilor etc), ci acţionează complementar acestora, eficientizând modul în care sunt tratate incidentele de securitate. De aceea, pentru a valorifica funcţionalităţile sistemelor SIEM, acestea trebuie integrate cu soluţiile și echipamentele existente în infrastructura unei companii. Este o zonă de expertiză pe care


nu foarte multe companii o deţin in-house, dar pe care Datanet Systems, din postura de integrator de sistem cu experienţă cu un portofoliu vast de competenţe, o asigură complet. „O altă provocare importantă este aceea că, cel puţin într-o primă fază, nu orice eveniment identificat de SIEM este și unul potenţial periculos. Datanet ajută organizaţiile să diferenţieze alertele reale de cele de tip «false positive». Pentru aceasta, ajustăm regulile implicite ale sistemului și adăugam altele noi, care să corespundă situaţiilor reale cu care se confruntă clientul. Practic, sistemul SIEM trebuie învăţat constant să depisteze ce înseamnă anomalii pentru fiecare client în parte, în funcţie de cum le definește acesta și de comportamentul specific al reţelei. Datanet furnizează suport clienţilor și în ceea ce privește valorificarea superioară a sistemelor SIEM prin automatizarea răspunsurilor la incidentele detectate. Odată depistat un eveniment, SIEM-ul poate trimite comenzi de blocare, limitare și/sau remediere către o soluţie și/sau un echipament de reţea prin intermediul script-urilor, care pot fi personalizate cu ajutorul specialiștilor Datanet pe specificaţiile și cerinţele clienţilor“, detaliază Cătălin Petrisan, consultant în securitate Datanet Systems.

Cum puteți utiliza concret SIEM? Modelele de utilizare ale sistemelor SIEM sunt numeroase, diferind în funcţie de caracteristicile infrastructurii și specificul proceselor de business ale fiecărui client în parte. Iată câteva scenarii întâlnite frecvent: SIEM-ul depistează un atac lansat de pe staţia unui utilizator legitim. Sistemul emite o alertă, dar poate și comanda unei soluţii de acces securizat la reţea, spre exemplu Cisco Identity Service Engine, să izoleze staţia respectivă. Prin integrarea cu serviciile de Active Directory, care furnizează informaţii despre utilizatori si rolurile acestora, și pe baza analizei logurilor stocate îmbogăţite prin corelarea cu informaţii conexe, SIEM-ul stabilește identitatea și activitatea unui utilizator pe o anumită perioadă de timp. Integrarea SIEM cu serverul Microsoft Exchange furnizează atât informaţii generice despre server (capacitate de procesare, memorie, uptime etc.), cât și metrici specifici (număr de utilizatori activi, stiva de mesaje, indicatori de performanţă ai aplicaţiilor etc.), care pot fi vizualizaţi în rapoarte sau prin dashboard-uri generate în timp real. Mai mult, sistemele SIEM de ultimă generaţie oferă posibilitatea definirii de fluxuri de lucru pe servicii de business critice. De exemplu, dacă un server de mail este definit drept critic, SIEM-ul nu va colecta informaţii doar despre serverul respectiv, ci va defini un „business service“ care conţine toate echi-

pamentele de reţea și aplicaţiile relevante pentru serviciul de mail. Monitorizarea completă permite diferenţierea evenimentelor reale de cele false și identificarea unor probleme dificil de depistat altfel. (Ca de exemplu gradul mare de încărcare pe anumite echipamente de reţea sau problemele la nivel de service provider care pot genera alerte fals-pozitive.)

Atuurile FortiSIEM Datanet Systems furnizează și implementează sistemul FortiSIEM de la Fortinet, o aplicaţie matură, cu numeroase implementări la nivel global și prezenţă constantă în topul vendorilor SIEM. Principalele avantaje competitive ale FortiSIEM sunt: Analiza în timp real a log-urilor – asigură creșterea vitezei de reacţie, spre deosebire de majoritatea soluţiilor SIEM care se rezumă doar la analiza istorică pe baza datelor stocate; Interfață NOC-SOC unificată – platforma unică de management a evenimentelor de reţea și securitate crește eficienţa acţiunilor de remediere; Îmbogățirea informațiilor furnizate – corelarea log-urilor cu datele extrase din sistemele DNS, soluţiile de geolocatie, serviciile de Active Directory etc. facilitează interpretarea și utilizarea datelor de către administratori; Flexibilitate crescută – furnizat ca mașină virtuală, sistemul FortiSIEM este compatibil cu majoritatea platformelor de virtualizare și permite adăugarea facilă a echipamentelor și soluţiilor care se doresc a fi monitorizate prin alocarea de mai multe resurse VM-ului; Compatibilitate extinsă – FortiSIEM se integrează nativ cu zeci de echipamente de securitate, lista extinzându-se constant.

De ce Datanet Datanet Systems are o experienţă solidă și competenţe probate în numeroase proiecte de implementare a soluţiilor de securitate, de networking si de infrastructuri de centre de date. Echipa Datanet de specialiști certificaţi în sisteme de securitate informatică asigură implementarea, punerea în funcţiune, configurarea și personalizarea soluţiilor, oferind servicii complete de consultanţă, mentenanţă și instruire de specialitate. Pentru informații suplimentare, accesați www.datanets.ro.

39


Trends - Cybersecurity Trends

Securitatea Centrelor de date, cu soluţii OPTEX

P

rima externalizare majoră a departamentului de IT a avut loc în anul 1989 (de către Kodak). De atunci şi până acum industria de centre de date a evoluat semnificativ, fiind disponibile în prezent servicii adresate atât companiilor, cât şi persoanelor fizice. Avantajul major al unui centru de date este că oferă o infrastructură scalabilă, ce poate fi modificată pe măsura creşterii business-ului sau oportunităţilor. Însă, succesul unui asemenea business este dat, de cele mai multe ori, de nivelul de securitate al centrului. Conform unor calcule realizate de diferite companii de analiză, costul per minut de downtime este de minim 7,900 USD, iar costul operaţional pentru problemele majore de securitate poate ajunge la 5.4 milioane USD. Normele de securitate, dar mai ales modul în care acestea sunt implementate sunt două elemente foarte importante pentru această categorie de business. Şi, cu toate că cele două nu garantează un uptime complet şi o integritate perfectă a datelor, ele reprezintă prima linie de apărare/ siguranţă. „OPTEX este lider global în dezvoltarea de soluţii de detecţie. Avem în portofoliu echipamente ce pot fi configurate pentru a asigura un nivel maxim de securitate pentru supravegherea centrelor de date”, a declarat Anton Panaitescu, Sales Engineer OPTEX pentru România și Bulgaria.

Securizarea perimetrală Atunci când se ia în calcul instalarea unui sistem de securitate pentru un centru de date, primul pas ce trebuie avut în vedere este securizarea perimetrului. OPTEX a dezvoltat un cablu de fibră optică special, ce poate fi montat pe gardurile de delimitare. Acest cablu deţine capacitatea de a detecta vibraţiile şi de a utiliza procese de analiză a semnalului pentru a determina prezenţa intruşilor.

40

Securizarea accesului în clădire În eventualitatea în care un intrus a găsit totuşi o cale de acces în complex, acesta trebuie să fie uşor de identificat şi înregistrat. Aceste operaţiuni pot fi realizate printr-o combinaţie între senzorii termici OPTEX, ce pot identifica diferenţele dintre temperatura emisă de corpurile umane şi temperatura mediului ambiant. Astfel de senzori pot activa automat camerele de supraveghere PTZ şi le pot îndrepta spre zona în care a fost detectată prezenţa. Optex deţine în portofoliul său senzori termici 3D ce pot acoperi arii de la 30x20m, la 100x3m.

Securizarea încăperilor de la interior Fiecare zonă din interiorul unui centru de date este compartimentată şi în fiecare camera pot intra doar anumite persoane autorizate. Pentru a ajuta agenţii de securitate să monitorizeze procesul de acces şi să se asigure că fiecare zonă este accesată doar de către persoanele cu autorizaţie, se poate instala o soluţiei de analiză a imaginilor video. Sistemele Optex dedicate securizării interiorului unei clădiri au un grad de acurateţe de 95%. În cazul în care există riscul ca anumite persoane ce deţin un acces nerestricţionat să permită intrarea unei terţe persoane, poate fi instalat un sistem de tailgating, ce poate analiza fiecare scenă de acces în parte şi poate bloca accesul spre anumite zone.

Securizarea serverelor Serverele conţin de cele mai multe ori informaţii confidenţiale, iar nevoia de a le securiza este de maxim interes. Pentru a detecta orice fel de încercare de a accesa datele, se recomandă instalarea unui zid de detecţie virtual, folosind tehnologiile laser OPTEX. Un produs ce poate fi folosit în acest caz este şi modelul RLS-2020S. Acesta integrează un microprocesor de ultimă generaţie, oferind performanţe de detecţie superioare. Atunci când este folosit la interior, modelul poate identifica orice mişcare a unui obiect sau a unei persoane, indiferent de viteza de deplasare. Această informaţie poate fi transmisă către un software VMS care poate activa ulterior, în mod automat, alte sisteme de securitate, precum o cameră CCTV sau blocarea uşilor de acces. OPTEX oferă integrare foarte bună cu diferite sisteme și tehnologii, ceea ce permite ca sistemul să funcţioneze cu ușurinţă la capacitate maximă.


Certificări DPO (responsabili cu protecţia datelor)

N

oul regulament denumit General Data Protection Regulation (GDPR) înlocuiește Data Protection Directive 95/46/ec, începând din data de 25 mai 2018. GDPR se aplică în fiecare stat membru și va duce la un grad mai mare de armonizare a protecţiei datelor între ţările din Uniunea Europeană. Deși multe companii au adoptat deja anumite procese și proceduri referitoare la confidenţialitate, în concordanţă cu Directiva, GDPR conţine un număr de protecţii noi pentru persoanele vizate din UE și ameninţă cu aplicarea de amenzi și penalităţi semnificative pentru controlorii și procesatorii de date, care nu vor respecta cerinţele, din momentul în care acestea vor intra în vigoare în primăvara anului 2018. Cu noi obligaţii referitoare la chestiuni precum consimţământul persoanelor vizate, transformarea datelor în date anonime, notificarea încălcărilor, transferurile de date transfrontaliere, dar și numirea ofiţerilor de protecţie a datelor, pentru a menţiona câteva, GDPR le solicită companiilor care lucrează cu datele cetăţenilor din UE, să întreprindă reforme operaţionale majore. Regulamentul General privind Protecția Datelor prevede ca numeroase organizații să numească un responsabil cu protecția datelor (DPO), se estimează că un număr de 75.000 DPO vor fi necesari în lunile următoare.

Sunteți pregătiți să fiți DPO? Fie că faceţi primii pași către acumularea cunoștinţelor sau sunteţi gata pentru certificarea ca profesionist pentru protecţiea datelor, ITTraining vă poate ajuta. Cercetări recente au stabilit că sunt necesare peste 20 de ore de training doar pentru a dobândi

o înţelegere viabilă a GDPR și că doar acest training nu va fi suficient pentru pregătirea pentru rolul de DPO. Formarea pe care o oferim este recunoscută ca fiind cel mai eficient mod de pregătire pentru acest rol extrem de important.

CIPP/E și CIPM - denumirile certificărilor DPO recunoscute oriunde în lume Nu există nici o modalitate mai bună de a vă pregăti pentru rolul unui responsabil cu protecţia datelor, sau de a vă expune priceperea ca DPO, decât participarea la cursurile de formare pentru a atinge aceste două certificări, cu renume mondial, acreditate ANSI/ ISO.

Iată de ce: CIPP/E - Certified Information Privacy Professional/Europe oferă cunoștinţe GDPR cuprinzătoare, perspectiva și înţelegerea necesare pentru a asigura respectarea și succesul protecţiei datelor în Europa - echiparea potenţialilor DPO pentru a profita de oportunitatea unei cariere noi pe care acestă legislaţie o oferă. CIPM - Certified Information Privacy Manager înarmează profesioniști în protecţia datelor confidenţiale cu tot ce au nevoie pentru a stabili, menţine și a gestiona un program de confidenţialitate a datelor în companie pe întregul ciclu de viaţă. CIPMs cunosc regulamentele privind confidenţialitatea, și ei știu cum să le prelucreze și să le implementeze în organizaţiile lor. Centrul autorizat de training ITTraining, prin intermediul partenerului său Global Knowlegde, vă pune la dispoziţie cursurile de certificare IAPP – CIPP/E și CIPM. Prin achiziţionarea pachetelor de cursuri aveţi acces atât la materiale și la manuale cât și la vouchere de examen și pachet de membru IAPP valabil 1 an de zile.

Pentru mai multe detalii și programa completă accesați www.ittraining.ro!

41


ds Biblio - Cybersecurity Tren

Informaţi-vă

Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

în limba română!

Pe portalul SRI găsiţi informaţii de actualitate, dar mai ales câteva unelte foarte utile pentru cybersecurity: Biblioteca virtuală, unde sunt arhivate multe articole de top, ca de pildă: OSINT - la graniţa dintre secret şi public (http:// www.sri.ro/fisiere/studii/OSINT_SECRET_ SI_PUBLIC.pdf ) Varianta de download-at dar și aplicaţia mobilă pentru citirea revistei «Intelligence» Studii Rapoarte de activitate

www.sri.ro

SRI: Serviciul Român de Informații

CERT-EU, al Uniunii Europene, a dat dovadă de o extraordinară proactivitate, propunând analiștilor dar și cetăţenilor o aplicaţie (App), disponibilă pentru smartphone-uri în varianta iPhone și Android. Această platformă este ergonomică, foarte bine gândită și disponibilă în 10 limbi. Este de fapt rezultatul monitorizării a mii de media online, cu tehnologii de vârf care permit extragerea și clasificarea lor în categorii extrem de bine ierarhizate, de la «top 20 news» ale momentului, la secţiuni dedicate subiectelor (cu sub-domenii) mai specifice precum «ongoing threats»; «strategic threats»; «cybercrime», Economic»; «Products Vulnerabilities»; «Malwares», etc. Graţie acestei aplicaţii, o simplă consultare zilnică a știrilor care vă privesc în mod prioritar poate să vă ajute să vă protejaţi rapid afacerile sau uneltele dvs. conectate, ca de pildă smartphone-ul! https://cert.europa.eu/

Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat! Ghid: Cum să te ferești de viruși, viermi și troieni 14-11-2013 Ghid: Ameninţări generice la adresa securităţii cibernetice 14-11-2013 Ghid: Securitatea in reţelele sociale şi controlul parental in mediul online 14-11-2013 Ghid: Ameninţări cibernetice la adresa utilizatorilor din Romania 14-11-2013 Ghid: Securitatea serviciilor Internet Banking și Online Shopping 14-112013 Ghid: Securitatea utilizatorului final 14-11-2013 Ghid: Rolul structurilor de tip CERT și utilitatea CERT-urilor private 14-11-2013 Ghid: Securitatea terminalelor mobile 14-11-2013 Ghid: Securitatea in Cloud 14-11-2013

42

www.cert-ro.eu

CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică

A.A.V.V., Cybersecurity Futures 2020 (Center for Long-Term Cybersecurity, School of Information, University of California), Berkeley 2016 https://cltc.berkeley.edu/scenarios/ Acest volum se citește ca un thriller de science-fiction. Coordonatorii Universităţii Berkeley au lucrat cu echipe transdisciplinare pentru a propune 5 scenarii plauzibile pentru următorii 3 ani. Textele și imaginile sunt în așa fel făcute de parcă anul de apariţie al cărţii ar fi 2020 și s-ar arunca o privire în trecut. Este impresionant să citești cât de probabile sunt majoritatea ipotezelor propuse în fiecare scenariu, și care ar putea fi consecinţele dacă nu adoptăm încă de acum o atitudine mai precaută și nu punem bazele unei educaţii în domeniul securităţii digitale.


Informaţi-vă în limba română! ARASEC Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.

www.arasec.ro

Primul scenariu «The new normal» prezintă o societate care acceptă din start ca toate informaţiile personale să fie furate și făcute publice. Atacurile devin de ce în ce mai personale, hackerii dau dovadă de o colaborare globală, în timp ce legislatorii și organele naţionale nu reușesc nici să ţină aparatul legislativ la pas cu ceea ce se întâmplă, nici să colaboreze activ la nivel internaţional. Cetăţenii aleg să trăiască deconectaţi sau să-și facă publice toate informaţiile, în mod voluntar, câţiva aleg să contraatace cu aceleași instrumente folosite și de către hackeri. Lumea digitală a devenit un adevarat Vest Sălbatic, unde cei care doresc dreptate trebuie să găsească resursele să-și facă dreptate singuri. Al doilea scenariu, «Omega», prezintă o societate adusă într-o anumită stare de sclavie de către algoritmi și tehnologii capabile să anticipeze și să manipuleze comportamentul fiecărui om conectat atunci când acesta întreprinde anumite acţiuni sau ia anumite decizii, atât în viaţa privată cât și în cea profesională. Specialiștii în securitate sunt depășiţi de noile provocări în care vulnerabilităţile mașinilor de predictibilitate permit hackeri-lor să ia în mână destinele a sute de mii de cetăţeni, cu daune economice și umane colosale. Scenariul al treilea, «Bubble 2.0», prevede o nouă criză a acţiunilor de la bursă a giganţilor web datorită căderii libere cauzate de mutarea publicităţii în domeniul online. Criminalii și companiile supravieţuitoare sunt în plină competiţie pentru a pune mâna pe datele colectate de către companiile care au intrat în faliment. «Războiul datelor» se desfășoară în cele mai rele circumstanţe posibile: stress și panică a pieţelor, drepturi de autor ambigue, sectoare economice opace și «data trolls» preste tot. Criminalii exploatează bancile de date dar și oamenii care lucrează la ele, iar colapsul industriei de IT a lăsat în șomaj sute de cercetători, mulţi dintre aceștia fiind disponibili pentru orice tip de muncă, onestă sau criminală. Scenariul al patrulea, «Intentional Internet of Things», prevede o revoluţie socială, în care grupuri de cetăţeni preiau puterea pentru a se confrunta cu problemele educative, ecologice, medicale, profesionale și personale. Multe probleme despre care se credea că sunt imposibil de a fi soluţionate - de pildă schimbarea climatică sau îmbunătăţirea sistemului de sănătate - sunt pe cale de a fi rezolvate. Tensiunile între ţările bogate, care stăpânesc acest nou internet, și ţările sărace, care nu au acces la tehnologii de ultimă generaţie, sunt la vârf. Hackerii găsesc nenumărate posibilităţi de a manipula și pune în pericol sistemele IoT, cel mai adesea fără ca acţiunile lor să fie detectate. Deoarece IoT este acum peste tot, «securitatea cibernetică» este redusă la simpla «securitate» a vieţii cotidiene. Ultimul scenariu, denumit «Sensorium sau Internetul emoţiilor», anticipează instrumente portabile (wearables) care vor prelua controlul stării emotive a utilizatorului, urmărind în fiecare clipă nivelul hormonal, ritmul cardiac, expresiile faciale, tonul vocii… Internetul a devenit un sistem de citire a emoţiilor, atingând cele mai intime aspecte ale psihologiei umane. Indivizii pot să fie urmăriţi și manipulaţi în funcţie de starea lor, iar criminalii și statele care reușesc să pună mâna pe bazele de date emoţionale profită masiv de acestea pentru a exercita şantaje ţintite individual. Securitatea cibernetică a fost complet regândită și redefinită și are ca scop de a apăra întreaga societate și a menţine sigure bazele de date și de a proteja imaginea publică a cetăţenilor, intimitatea (privacy) fiind acum cea emotivă și morală.

43


ds Biblio - Cybersecurity Tren Centrul pentru Securitatea Cibernetică CERT-GOV-MD

(http://cert.gov.md)

Statistica incidentelor pentru poșta electronică (actualizare zilnică) Texte extrem de clare și pertinente despre: • • • • • •

Practici bune de securitate Politica de securitate Copii de rezervă Identitatea online Reţele de socializare Reţele wireless

• • • • • •

Escrocheria online Telefonul mobil Parole puternice Shopping on-line Furtul de date Soluţii de securitate

Emilio C. Viano (Ed.), Cybercrime, Organized Crime, and Societal Responses. International Approaches, Springer, Cham 2017, 380 pp. Acest volum reprezintă o reușită interdisciplinară impresionantă prin amploarea temelor tratate și calitatea textelor. De fapt, este o disecare a bolilor și vulnerabilităţilor societăţii noastre și a fiecăruia dintre noi ca indivizi în faţa internetului, care sunt tot atâtea uși care le permit criminalilor să-și desăvârșească faptele. Dupa o definiţie comprehensivă a tot ceea ce în mod normal ar trebui definit ca «cybercrime», autorii examinează textele legale și actele normative în vigoare în diferite ţări, și subliniază noile tipologii de infracţiuni care nu sunt încă cuprinse în cadrul legal. Cartea pune și problema compatibilităţii cu constituţia diverselor ţări a anumite acţiuni legale, care ar putea să ajute cetăţeanul, exact cum disecă ce s-ar întâmpla dacă alături de criminali ar fi pedepsiţi legal și consumatorii (care utilizează produse fără licenţă disponibile pe net) sau la ce putem să ne așteptăm în viitor din partea specialiștilor în legiferare. Apoi, urmează exemple foarte interesante despre cum criminalii folosesc vulnerabilităţi umane în scopuri precise. Capitolul începe cu un studiu dedicat gradului de supunere a tinerelor femei faţă de fenomenele de grooming, o acceptare a dominaţiei care este atent studiată și utilizată de către grupările teroriste pentru a selecta viitoare

O publicație

get to know!

• Actualizarea automată • Actualizarea produselor soft • Accesul de la distanţă • Securitatea echipamentelor

recrute, la fel cum, de la ironie, manipulatorii trec rapid la satiră și apoi la insulte pentru a aduce victima către o grupare care vehiculează ura și violenţa religioasă sau ideologică. Infidelitatea, la fel, un viciu pe care îl regăsim în toată istoria umană, dă criminalilor ţinte ideale pentru șantaj de orice tip prin spargere bazelor de date a site-urilor de întâlniri «picante» între persoane căsătorite. Apoi, volumul se orientează spre problemele legate de furtul de identitate, folosit în situaţii juridice foarte diferite, intruziuni criminale în sistemele de supraveghere publice sau private, accesul lor la conţinutul din dispozitivele portabile ale cetăţenilor (smartphone, tableta). Dând ca exemple două grupări criminale italiene foarte cunoscute (Mafia și ‹Ndrangheta), se poate vedea cum sunt folosite toate aceste date, în moduri diferite, pentru a obţine prin șantaj orice concesiune din partea victimelor alese. Criminalii și reţelele sociale, indivizi care devin consumatori de produse ilegale (farmaceutice sau droguri) prin chat-uri aparent banale, facilităţi enorme oferite de internet pentru traficanţi de droguri și de fiinţe umane sunt alte capitole care arată clar cum orice activitate penală, care există de veacuri, are acum o componentă 4.0 extrem de sofisticată. Volumul se încheie cu studii de caz, focalizate pe ţări sau ecosisteme, înainte de a pune toate întrebările morale la care fiecare dintre noi trebuie să aibă un răspuns: dorim o supraveghere în masă din partea statului, pentru a preveni o infiltrare totală a net-ului de către criminalitate sau credem că societatea, economia și cultura vor fi suficiente pentru a preîntâmpina ca în viitor să fim ţinte atât de ușoare?

şi

Notă copyright: Copyright © 2017 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy.

ISSN 2393 – 4778 ISSN-L 2393 – 4778

Editorii ţin să mulţumească D-rei Lucia Sevestrean pentru ajutorul dat la traduceri, corecturi și adaptarea terminologică a articolelor în limba franceză și italiană. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285

44

http://www.agora.ro http://cybersecuritytrends.ro




Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.