Cybersecurity Nr. 2 / 2018
Trends
, n i a h c k c Blo te n e m u g r a RA T N O C i ș PRO Ce
Cover Story
GDPR: ă? urmeaz
Ameninţarea CYBER din interior
ends Editorial - Cybersecurity Tr
Paradisul Hacker-ului: când în faţa lui se află veriga slabă împreună cu veriga cea mai slabă a securităţii Autor: Laurent Chrzanovski
internet efectuat prin dispozitive mobile a depășit numărul „istoric” de accesări de la tastatura laptop-ului. Deja de anul trecut accesul prin smartphone a depășit ca număr cu mult celelalte metode.
Ce ușor, ce simpatic, ce deștept și ce frumos este noul meu smartphone... da. Ușor de hăckuit, simpatic foc pentru vânzări on line, deștept pentru că dă informaţii confidenţiale către companii multinaţionale și frumos pentru că, oricine vrea să afle ceva reușește cu succes, la distanţă și fără să lase urme. Alarma a fost pornită deja din toamna anului 2016, când pentru prima dată la nivel mondial accesul la
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
Așa cum a menţionat Nicola Sotira, într-un număr anterior al revistei noastre, peste doi ani vom ajunge să accesăm 80% din informaţii folosind propriul smartphone. Adică între a descărca un joc antrenant, a se amuza de o glumă bună on line, și a viziona a unui videoclip, o să ne fie de asemenea la îndemână să ne accesăm informaţiile dintr-un cloud, să facem operaţiuni de tip internet banking, să lucrăm la distanţă cu parteneri de afaceri, și toate acestea folosind din nou acel mic obiect cu ecran tactil care, din ce în ce mai des, nici nu mai manifestă simptome bizare atunci când este infectat de către un spyware, adică supraîncălzirea sau epuizarea rapidă a bateriei, etc. Şi toate acestea au la bază un motiv simplu, legat doar de o logică comercială, care va împinge producătorii de smartphones să pună pe piaţă cât mai multe modele noi în fiecare an, ducând ulterior la producerea de consecinţe ce pot fi dramatice. Acest lucru e posibil şi deoarece cadrul juridic este în favoarea producătorilor: lor li se cere doar ca un smartphone să funcţioneze, adică să permită o comunicare rapidă şi fără interferenţe. Doar atât. Securitatea by design nu există în acest domeniu – cu excepţia telefoanelor special criptate – astfel parametrii de confidenţialitate la
1
Editorial - Cybersecurity Trends fel ca şi securitatea dispozitivului sunt lăsate în grija proprietarului, care devine singurul vinovat în caz de abuz. Micuţul nostru «prieten» de buzunar are acum un număr cu peste 40 de milioane de rânduri de program software mai mult decât faţă de programele NASA care au fost necesare pentru a-i duce pe Neil Armstrong şi echipa sa pe Luna si de a-i readuce înapoi pe Pământ... Așadar, în afară de faptul că ar trebui să fim dotaţi cu ochi de lynx pentru a distinge tot fel de mesaje şi web-situri false şi periculoase pe un ecran atât de mic, problema de bază constă în faptul că, pe fondul unei interconectivităţi constante şi totale, vorbim de folosirea de către cel mai slab inel al securităţii (omul de rând fără cultura de securitate digitală) a device-ului cu cea mai nesigură tehnologie. La început au fost BYOD (Bring Your Own Device), care a fost problema securităţii anilor 2000, și care era oricum cât de cât stăpânibilă tehnologic vorbind, deoarece atunci era vorba de un PC sau un laptop cu dotări de securitate de bază, folosit atât pentru munca profesională cât și pentru viaţa privată. De acum însă vorbim de „Smart-BYOD”, la care se adaugă, din „planeta IoT”, o multitudine de obiecte
care mai de care ultra-vulnerabile, conectate la smartphone, cum ar fi de exemplu o brăţară de jogging ieftină. Toate acestea devin o bombă cu ceas atât pentru utilizator, cât și pentru familia sa și angajatorul său. Așadar, neputând să schimbăm trend-ul comercial, singurul efort care trebuie făcut, cu constanţă, hărnicie și fără întrerupere, este difuzarea culturii de securitate. Începem deja prin a îndruma cititorii noștri să facă un mic efort, foarte puţin costisitor: acela de a avea măcar 2 smartphoneuri: unul pentru serviciu și banking, pe care să nu fie încărcată nicio aplicaţie în afara celor sigure și să nu fie salvată automat nicio parolă, și un al doilea pentru tot ceea ce ţine de mesagerie, reţele de socializare și amuzament. În rest, este importantă cunoașterea de către fiecare din noi a riscurilor, a măsurii propriului ego şi a vulnerabilităţii exploatate atât de mult de către specialiștii de marketing și de hackeri. Să lăsăm telefonul oprit și cât mai departe de noi, atunci când avem subiecte serioase de vorbit, şi să dezactivăm orice aplicaţie nefolosită – iată în momentul de faţă doar câteva din pietrele de temelie ale unei vieţi smartphone-izate, între toate soluţiile pe care le veţi descoperi în articolele din acest număr. Nu uitaţi: «smart» nu sunteţi nici dumneavoastră nici obiectul acela invaziv pe care îl folosiţi permanent, «smart» sunt cei care obţin de acum toate informaţiile pe care și le doresc, despre tot ceea ce faceţi, cu acordul dumneavoastră tacit, care începe din momentul în care cumpăraţi „spy-phone-ul” fără să vă gândiţi că trebuie să dezactivaţi toţi parametrii inutili înainte de prima utilizare.
Vă așteptăm în 13 şi 14 septembrie la Sibiu pentru a 6-a ediţie a congresului «Cybersecurity-Romania», platformă de dialog public-privată pentru Europa Centrală. O vară plăcută!
2
Authorities
Ameninţările cibernetice în era Internet of People Una dintre constatările raportului1 CERT-RO privind evoluția amenințărilor cibernetice în anul 2017 este aceea că malwareul de tip botnet migrează dinspre PC către IoT. Motivele acestui fenomen țin evident de faptul că dispozitivele de tip IoT sunt conectate aproape tot timpul la Internet și deci formează o „armată” mai tot timpul disponibilă, dar sunt și mai ușor de exploatat în masă de către atacatori pentru că sunt mai puțin securizate decât PC-urile. Autor: Cătălin Pătraşcu
O categorie aparte de IoT o constituie dispozitivele personale inteligente (smart) precum telefoanele mobile, ceasurile, brăţările fitness, ochelarii etc, în sensul că au tendinţa de a fi în permanenţă în preajma proprietarului sau atașate de corpul acestuia, motiv pentru care a apărut și noţiunea de „wearables” sau „wearable devices”. Odată cu această evoluţie a tehnologiei și a dispozitivelor inteligente ar trebui să ne așteptăm deja la o schimbare a percepţiei oamenilor asupra ameninţărilor cibernetice, sau cel puţin să sperăm că acest lucru se va întâmpla. Tot în raportul CERTFoto: https://www.ept.ca/ RO amintit anterior se features/speed-developmentvorbește despre evoluţia wearable-devices-solidunor ameninţări cibertargeted-platform/ netice cunoscute precum
BIO Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.
malware, ransomware, botnet, phishing sau DDoS. Toate acestea reprezintă deja ameninţări la adresa dispozitivelor pe care noi le „purtăm”. Pur și simplu atacarea acestor dispozitive sau compromiterea lor de către hackeri are un efect și un impact cu totul și cu totul diferit asupra individului, mai ales dacă facem o comparaţie cu perioada primilor viruși informatici care de cele mai multe ori erau creaţi de entuziaști și adesea inofensivi. Lucrurile se complică și mai tare dacă ne gândim că de fapt tendinţa este ca aceste dispozitive inteligente și conectate să fie cumva implantate în corpul uman, fenomen cunoscut ca „human augmentation”. Ajungem de fapt la noţiunea de IoP (Internet of People). Rămâne să ne întrebăm oare cât timp va trece până când rapoartele despre evoluţia ameninţărilor cibernetice vor consemna migrarea malwareului de tip botnet de la IoT la IoP, adică de la dispozitive la oameni, Foto: https://www.intelligenthq. când probabil vom discuta despre human com/innovation-management/ bots sau cyberzombies. why-the-internet-of-people-isDe curând au fost identificate variante going-to-replace-the-internetde ransomware, denumite MEDJACK, care of-things/attachment/screenvizează aparatura medicală din spitale. Proshot-2017-03-27-at-13-48-48/ babil că nu va trece mult timp până când o să vorbim despre ransomware care atacă implanturile umane cu rol curativ, corector sau de augmentare. Oare cât de neplăcut ar fi pentru un individ să constate că ochii bionici i-au fost infectaţi cu ransomware și nu-și va putea recupera vederea decât după plata unei sume de bani? Iată de ce securitatea cibernetică ar trebui să devină o preocupare pentru absolut toată lumea și ar trebui să fie luată serios în calcul ca o componentă importantă a educaţiei, sănătăţii și securităţii individuale. 1 https://cert.ro/vezi/document/raport-alerte-2017
3
ends Authorities - Cybersecurity Tr
Resursa umană, cheia în combaterea criminalităţii informatice Autor: Adela ALBU, Cyberint
Only amateurs attack machines; professionals target people. Bruce Schneier1 (2000)
Noi tendințe în asigurarea securității cibernetice Combaterea criminalităţii cibernetice, dar și a atacurilor cibernetice în general, a devenit un subiect foarte popular în actualitatea de azi. Firmele de servicii de securitate cibernetică concurează pentru oferirea celor mai bune produse de securitate cibernetică care să protejeze companiile și utilizatorul final împotriva atacurilor provenite din spaţiul cibernetic. De la nivel de stat, prin instituţiile sale abilitate, până la utilizatorul curent, de la nivel macro, la nivel micro, cu toţii putem fi victime ale atacurilor cibernetice. Noile tehnologii au contribuit fundamental la schimbarea modului de viaţă în societatea de azi, dar au adus cu sine și o serie de noi riscuri la nivel global. Odată cu evoluţia Internetului, s-au diversificat și atacurile cibernetice și implicit modul de raportare al utilizatorilor la ameninţările provenite din spaţiul cibernetic. Securitatea cibernetică a devenit o adevărată provocare la nivelul fiecărui stat din cauza complexităţii atacurilor cibernetice. Până în prezent, toată lumea s-a concentrat pe modul în care tehnologia și aplicaţiile sunt folosite pentru protecţia sistemelor informatice împotriva atacurilor cibernetice. Dark web-ul furnizează nenumărate servicii celor care doresc să deruleze activităţi circumscrise criminalităţii cibernetice și în același timp oferă protecţia anonimităţii2. Mai mult de atât, expansiunea fenomenului de crime-as-service, prin care orice persoană, chiar și fără cunoștinţe tehnice, poate utiliza diferite instrumente criminale prin achiziţionarea unor pachete de servicii de la dezvoltatorii de malware, a făcut ca procesul de combaterea a fenomenului criminalităţii informatice de către instituţiile abilitate să fie extrem de dificil. În contextul apariţiei unor noi reglementări pe zona de securitate cibernetică, a unor campanii de awareness,
4
corelat cu evoluţia ameninţărilor cibernetice, companiile sunt dispuse să investească resurse financiare importante pentru achiziţionarea unor soluţii de securitate cibernetică. Însă, de cât de multe resurse financiare am avea nevoie pentru combaterea acestui fenomen? Potrivit estimărilor companiei Gartner, Inc., în anul 2018 companiile vor investi cu 8% mai mult în soluţii de securitate cibernetică, faţă de anul 2017, costurile ridicându-se la suma de 96.3 miliarde de dolari3. Serviciile de securitate cibernetică au rol foarte important în asigurarea securităţii cibernetice la nivelul oricărei entităţi, însă nu trebuie neglijată resursa umană, utilizatorul final, care poate reprezenta una dintre cele mai mari vulnerabilităţi. Acest lucru poate fi privit din mai multe perspective, și anume exploatarea emotivă a unor predispoziţii umane, dar și lipsa de instruire în domeniul securităţii cibernetice și de percepere a riscurilor la care acesta se expune sau expune entitatea pe care o administrează. Toate aceste elemente conduc la concluzia că instruirea, educarea și antrenarea resursei umane sunt elemente esenţiale în lupta împotriva criminalităţii cibernetice.
James Scott, Institute for Critical Infrastructure Technology
Resursa umană, o vulnerabilitate exploatată de infractorii cibernetici Emoţiile au un rol deosebit de important, acestea coordonând modul în care oamenii percep lumea. Ele influenţează deciziile acestora și totodată modelează comportamentul în mediul social și fizic4. Sistemul limbic, care este localizat la nivelul lobului temporal din creier, este cel care are capacitatea uimitoare de a procesa emoţiile (inclusiv cele intense precum frica și furia), precum și întregul comportament afectiv de-a lungul vieţii5. Cercetările în domeniul psihologiei au demonstrat că oamenii își folosesc reacţiile afective ca surse adiţionale de informaţii pentru a lua decizii, mai ales în condiţii de incertitudine. Mai mult decât atât, oamenii adesea atribuie greșit reacţiile lor emotive unor situaţii sau lucruri care nu există de fapt6. Emoţiile influenţează așadar toate procesele cognitive, și mai ales deciziile, ceea ce face ca oamenii să poată fi exploataţi emoţional și astfel să fie vulnerabili. Dacă într-o interacţiune faţă-n-faţă cu alte persoane există un context în care o informaţie poate fi evaluată, ţinând cont de cine este interlocutorul și ceea ce știm despre el, toate aceste informaţii nu sunt disponibile în mediul online, în spatele unui utilizator putând să stea orice persoană. Deși o problematică din sfera psihologiei, exploatarea emoţiilor își are aplicabilitatea și în domeniul securităţii cibernetice, deoarece la nivelul oricărei instituţii este nevoie de aplicarea unui set minim de politici de securitate care să includă: măsuri procedurale, măsuri pe linia instruirii utilizatorilor și măsuri tehnologice. Factorul uman este cel care joacă un rol esenţial în acest context – fie că este în poziţia celui care aplică măsurile procedurale sau tehnologice, fie că este simplu utilizator, acesta trebuie să fie suficient de bine antrenat, instruit și conștient de riscurile care provin din spaţiul cibernetic, astfel încât să poată răspunde corect în faţă oricărui incident și să reprezinte chiar un instrument eficient în contracararea atacurilor cibernetice. Un studiu realizat de către compania de soluţii de securitate Cofense reliefează faptul că urgenţa și curiozitatea sunt în topul emoţiilor umane exploatate de către campaniile de phishing. De asemenea, un interes crescut îl prezintă email-urile cu teme din social media, divertisment și premii. Pe lângă procesarea deciziilor cu sprijinul emoţiilor, oamenii au și o serie de bias-uri cognitive care sunt erori mentale rezultate din modul în care aceștia procesează informaţia7. Oamenii acţionează raţional, dar în baza modelului propriu mental, care nu este întotdeauna adaptat la realitate. Percepţia oamenilor și modul în care aceștia procesează informaţiile sunt foarte mult influenţate de experienţele anterioare, de nivelul de educaţie, de valorile culturale, nivelul de așteptări, dar și de modul în care informaţia este recepţionată. Pentru a nu percepe distorsionat realitatea, trebuie să conștientizăm propriile lentile (adică modele mentale, bias-uri, predispoziţii mentale etc.)8. Zilnic, miliarde de evenimente cibernetice au loc, dintre acestea multe transformându-se în adevărate incidente. Analiștii de securitate cibernetică sunt nevoiţi să ţină pasul cu numărul acesta impresionant de date referitoare la botneţi, malware, exploit-uri și alte astfel de lucruri în vederea identificării acelor evenimente care necesită cu adevărat o intervenţie rapidă. Numărul foarte mare de atacuri, precum și rapiditatea cu care evoluează ameninţările, dar și complexitatea acestora, alături de versatilitatea vectorilor de infecţie fac ca activitatea de detecţie și prevenire a incidentelor cibernetice să fie foarte
dificilă. În acest context, pentru utilizatorul final care nu este familiarizat cu domeniul securităţii cibernetice, dar care este totuși beneficiar al resurselor puse la dispoziţie de societatea informaţională, devine o misiune aproape imposibilă să se protejeze de ameninţările spaţiului cibernetic.
Cognitive hack și criminalitatea informatică Abordând domeniul criminalităţii cibernetice, statistic vorbind comportamentul uman și conștiinţa joacă un rol important în practică, mintea umană fiind considerată cea mai mare slăbiciune în securitate cibernetică. În acest context, a apărut nouţiunea de „cognitive hack” care descrie acele atacuri care se bazează pe schimbarea percepţiilor umane și a comportamentului, în scopul obţinerii accesului într-un sistem informatic. În general, aceste tipuri de atacuri sunt descrise prin phishing, spear-phishing și inginerie socială. Pe lângă aceste atacuri de tip cognitiv cunoscute, au apărut și altele noi mai complexe, precum malvertisment, conţinut social media, video infectate și altele9. Atacurile de tip cognitiv sunt utilizate de mai mult timp, în ultima perioadă însă ele au devenit mult mai sofisticate10, reprezentând adevărate breșe de securitate cu implicaţii economice. Dacă bătălia în domeniul atacurilor cibernetice s-a transferat către mintea umană, atunci întrebarea este dacă e posibilă construirea unei apărări cognitive la intersecţia dintre om și calculator11. Criminalii cibernetici încearcă să penetreze, prin diferite tehnici, sistemele informatice pentru a ajunge la acele informaţii din reţea pe care să poată să le folosească în interesul lor pentru obţinerea unor câștiguri financiare. Email-urile și traficul web sunt cele mai folosite și efective modalităţi de a distribui aplicaţiile maliţioase12. Phishing-ul este cel mai utilizat vector de infecţie pentru atacurile cibernetice deoarece reprezintă cea mai atractivă și de succes metodă folosită de agresorii cibernetici pentru ţintirea și exploatarea vulnerabilităţilor umane13. Un exemplu de atac cibernetic cu foarte mare succes, care a exploatat vulnerabilităţile umane, este ransomware-ul. Cea mai utilizată metodă de răspândire a ransomware-ului a fost prin campanii de tip phishing14. În susţinerea acestei afirmaţii, avem ransomware-ul GandCrab identificat la începutul acestui an. Până în prezent, companiile de securitate cibernetică anunţau apariţia versiunii a treia a ransomware-ului. Fortinet a semnalat că acest ransomware este distribuit prin campanii de spam, conţinând subiecte de tipul „Order #65121” și conţinând în atașament fișiere de tipul VBS downloader care instalează GandCrab v3. Totodată, acesta este distribuit și folosind Magnitude exploit kit15.
5
ends Authorities - Cybersecurity Tr
GandCrab este doar un exemplu de ransomware care a avut „succes” și care a utilizat metode de tip phishing pentru a infecta victimele. Acest ransomware a făcut peste 50.000 de victime în mai puţin de o lună, inclusiv din România. Momentan, acesta nu poate fi decriptat gratuit, deși pentru o versiune anterioară producătorul de soluţii de securitate, Bitdefender, în parteneriat cu autorităţile române și Europol au pus la dispoziţie în mod gratuit un instrument pentru decriptarea datelor16. Spear-phishing-ul este un alt tip de atac prin care se încearcă păcălirea destinatarului pentru a obţine acces în cadrul unei reţele sau pentru distribuirea unui malware. Acesta este asociat mai degrabă cu actorii statali.17
6
Un astfel de exemplu îl reprezintă atacul de tip APT derulat de gruparea de criminalitate informatică Carbanak. În luna martie a.c. Europol a comunicat oficial că liderul grupării Carbanak a fost reţinut în Spania. Gruparea de criminalitate informatică Carbanak a utilizat malware-ul Cobalt și a atacat începând cu anul 2013 100 de instituţii în 40 de ţări și a produs pagube în valoare de 1 milliard de dolari în industria financiară. Modul de operare al atacatorilor a constat în transmiterea prin campanii de tip spear-phishing a unor atașamente conţinând malware, mail-urile părând a fi legitime. Odată descărcat malware-ul, acesta permitea atacatorilor să controleze de la distanţă staţiile infectate, oferind acces către reţeaua internă a băncii și totodată posibilitatea de a controla ATM-urile. Acest fapt le conferă accesul necesar pentru a sustrage bani18. Așadar, aceste tipuri de campanii funcţionează pentru că sunt credibile. Potrivit unei statistici întocmite de compania Fireeye, oamenii deschid 3% din mesajele spam pe care le primesc și 70% din încercările de tip spearphishing, iar dintre aceștia 50% deschid link-urile atașate19. Ingineria socială este utilizată de asemenea pentru exploatarea vulnerabilităţilor umane și comportamentul uman în vederea obţinerii de acces într-o infrastructură sau la o reţea. De aceea, angajaţii și utilizatorii, în general, trebuie să fie conștienţi de existenţa acesteia și de tacticile sale20.
Ingineria socială este poate cea mai inteligentă metodă de a profita de utilizatori deoarece tendinţa umană este de a crede tot ceea ce i se spune. Esenţa constă în a manipula psihologic oamenii să divulge informaţii confidenţiale sau să ofere acces la un sistem informatic21. Indiferent că vorbim de un atac mai sofisticat de tipul APT sau de un atac cibernetic criminal, oamenii ajung să fie „păcăliţi” de o presupusă realitate. Tehnicile de inginerie socială nu fac altceva decât să exploateze o predispoziţie cognitivă a acestora.
Ce putem schimba Gândirea critică ar putea ajuta la percepţia corectă a realităţii. Denumită și gândirea despre cum gândim, aceasta este o activitate cognitivă şi meta-cognitivă prin care sunt conştientizate etapele şi altgoritmii implicaţi în procesul de gândire, iar gânditorul are două obiective: găsirea soluţiei unei probleme şi improvizarea modului de gândire22. Oamenii sunt fiinţe complexe, de aceea sunt predispuși spre a fi păcăliţi de către tactici utilizate de criminalii cibernetici, precum ingineria socială. E foarte importantă apărarea împotriva unor astfel de metode și învăţarea din greșeli. Doar utilizarea tehnologiei nu poate stopa atacurile de acest tip, este nevoie și de educare utilizatorului în acest sens23. Așadar, oamenii au nativ o serie de vulnerabilităţi care pot fi ușor exploatate în contextul potrivit de către infractorii cibernetici. Ceea ce este important este conștientizarea riscurilor, cunoașterea metodelor utilizate de infractorii cibernetici și cunoașterea măsurilor minime de securitate ce ar trebui luate la nivelul oricărui utilizator. În concluzie, dacă consensul este că omul reprezintă una dintre cele mai mari vulnerabilităţi în asigurarea securităţii cibernetice, atunci una dintre soluţii pentru combaterea criminalităţii informatice este concentrarea pe factorul uman, fără a ignora celelalte elemente de natură tehnologică. Este uman să fii vulnerabil din punct de vedere emotiv și acest lucru nu poate fi schimbat, dar pentru a reduce semnificativ atacurile cibernetice care
exploatează această predispoziţie, este fundamentală pregătirea și educarea resursei umane. Numai printr-un proces constant de pregătire și adaptat la realităţile spaţiului cibernetic, criminalitatea cibernetică poate fi redusă.
BIBLIOGRAFIE Anupam, Gupta, Human Resource Vulnerability: Social Engineering, https://www.onlinejournal.in/ IJIRV2I10/179.pdf Cyber Criminology. Exploring Internet Crimes and Criminal Behavior, edited by K.Jaihankar, CRC Press, 2011 COGNITIVE HACKING: TECHNOLOGICAL AND LEGAL ISSUES https://www.researchgate.net/ publication/237253031_COGNITIVE_HACKING_ TECHNOLOGICAL_AND_LEGAL_ISSUES Enterprise Phishing Resiliency And Defense Report 2017 Analysis Of Susceptibility, Resiliency And Defense Against Simulated And Real Phishing Attacks, Phishme, Human Phishing Defense, http://cofense.com/wp-content/ uploads/2017/11/Enterprise-Phishing-Resiliency-andDefense-Report-2017.pdf David T. Moore, Critical Thinking And Intelligence Analysis, National Defense Intelligence College, Washington DC, 2007 Dave, Chronister, Parameter Security - Managing Partner, https://def.camp/speaker/dave-chronister/ George, Cybenko, Annarita, Giani, Carey, Heckman, Paul, Thompson, Dartmouth College, Cognitive Hacking: Technological And Legal Issues, https://
7
ends Authorities - Cybersecurity Tr www.researchgate.net/publication/237253031_ COGNITIVE_HACKING_TECHNOLOGICAL_AND_ LEGAL_ISSUES James, Bone, Cognitive Hack, The New Battleground în Cybersecurity... the Human Mind, CRC Press Taylor&Francisc Group, 2017 James J., Blascovich, Christine R., Hartel, Human Behavior in military contexts, National Research Council of the National Academies, National Academic Press, Washington DC, 2008 Paul, Thompson, Cognitive hacking and intelligence and security informatics, Thayer School of Engineering and Department of Computer Science, Dartmouth College, Hanover, New Hampshire Richard J., Heuer, Jr., Pshihology of intelligence analysis, Center for the study of intelligence, 1999 Phishing trends&intelligence report. Hacking the human, PhishLabs – 2017 https://pages.phishlabs. com/rs/130-BFB 942/images/2017%20PhishLabs%20 Phishing%20and%20Threat%20Intelligence%20 Report.pdf https://pdfs.semanticscholar.org/cb06/ dc28f2fc4ceb5947607846603ed749ef99b5.pdf http://citeseerx.ist.psu.edu/viewdoc/download?doi =10.1.1.463.9196HYPERLINK “http://citeseerx.ist.psu. edu/viewdoc/download?doi=10.1.1.463.9196&rep=r ep1&type=pdf”&HYPERLINK “http://citeseerx.ist.psu. edu/viewdoc/download?doi=10.1.1.463.9196&rep=r ep1&type=pdf”rep=rep1HYPERLINK “http://citeseerx. ist.psu.edu/viewdoc/download?doi=10.1.1.463.9196& rep=rep1&type=pdf”&HYPERLINK “http://citeseerx.ist. psu.edu/viewdoc/download?doi=10.1.1.463.9196&re p=rep1&type=pdf”type=pdf https://www.gartner.com/newsroom/id/3836563 https://www.fireeye.com/current-threats/bestdefense-against-spear-phishing-attacks.html https://www.forbes.com/sites/ christopherskroupa/2016/11/21/cognitive-hack-thenew-battleground-in-cybersecurity/#210c04c37f3e https://www.csoonline.com/article/2124681/socialengineering/what-is-social-engineering.html
https://pages.phishlabs.com/rs/130-BFB-942/images/2017%20 PhishLabs%20Phishing%20and%20Threat%20Intelligence%20Report. pdf https://www.bleepingcomputer.com/news/security/gandcrab-version3-released-with-autorun-feature-and-desktop-background/ https://www.bitdefender.ro/news/bitdefender-a-dezvoltat-inparteneriat-cu-politia-romana-diicot-si-europol-un-kit-gratuit-pentrurecuperarea-datelor-destinat-victimelor-clasei-de-ransomwaregandcrab-3446.html https://www.europol.europa.eu/newsroom/news/mastermind-behindeur-1-billion-cyber-bank-robbery-arrested-in-spain https://qbi.uq.edu.au/brain/brain-anatomy/limbic-system.
1 An American cryptographer, computer security professional, privacy specialist and writer. He is the author of several books on general security topics, computer security and cryptography. 2 James, Bone, Cognitive Hack, The New Battleground în Cybersecurity...the Human Mind, CRC Press Taylor&Francisc Group, 2017, p.59 3 https://www.gartner.com/newsroom/id/3836563, accesat la data de 20.06.2018 4 James J., Blascovich, Christine R., Hartel, Human Behavior in military contexts, National Research Council of the National Academies, National Academic Press, Washington DC, 2008, p.55 5 https://qbi.uq.edu.au/brain/brain-anatomy/limbic-system, accesat la data de 20.06.2018 6 Ibidem,p.58 7 Richard J., Heuer, Jr., Pshihology of intelligence analysis, Center for the study of intelligence, 1999, p.111 8 Idem, p.4 9 Ibidem, p.XIII-XIV 10 Ibidem, p. 37 11 https://www.forbes.com/sites/christopherskroupa/2016/11/21/cognitive-hack-the-new-battleground-incybersecurity/#210c04c37f3e, accesat la data de 21.06.2018 12 Ibidem, p.21 13 PhishLabs – 2017 Phishing trends&intelligence report. Hacking the human https://pages.phishlabs.com/rs/130BFB-942/images/2017%20PhishLabs%20Phishing%20and%20Threat%20Intelligence%20Report.pdf,accesat la data de 21.06.2018 14 Idem 15 https://www.bleepingcomputer.com/news/security/gandcrab-version-3-released-with-autorun-feature-anddesktop-background/, accesat la data de 21.06.2018 16 https://www.bitdefender.ro/news/bitdefender-a-dezvoltat-in-parteneriat-cu-politia-romana-diicot-si-europol-un-kitgratuit-pentru-recuperarea-datelor-destinat-victimelor-clasei-de-ransomware-gandcrab-3446.html, accesat la data de 24.06.2018 17 Ibidem 18 https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-inspain, accesat la data de 26.06.2018 19 https://www.fireeye.com/current-threats/best-defense-against-spear-phishing-attacks.html, accesat la data de 20.06.2018 20 https://www.csoonline.com/article/2124681/social-engineering/what-is-social-engineering.html, accesat la data de 21.06.2018 21 Anupam, Gupta, Human Resource Vulnerability: Social Engineering, https://www.onlinejournal.in/IJIRV2I10/179.pdf, accesat la data de 24.06.2018 22 David T. Moore, Critical Thinking And Intelligence Analysis, National Defense Intelligence College, Washington DC, 2007 23 Dave, Chronister, Parameter Security – Managing Partner, Condition Behavior Through Security Awareness Programs, On-Going Program, https://def.camp/speaker/dave-chronister/
www.agora.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR CAŢIILOR
8
Cybersecurity: mai multă siguranţă, costuri mai mici. Prin colaborare şi cultură de rezilienţă! VIP din toată Europa şi două sectoare critice vor da exemple de soluţii aplicabile, începând de la marile industrii până la IMM-uri. Autor: Laurent Chrzanovski
C
ongresul „Cybersecurity-Romania”, ajuns la a 6-a ediţie, este un eveniment de neratat pentru întreprinzători si responsabilii de securitate. Organizat in cooperare si cu susţinerea Uniunii Internaţionale a Telecomunicaţiilor (ONU, Geneva) congresul a fost desemnat de către acesta ca «exemplu de bune practici pentru continentul European», generând ulterior încă două congrese anuale gemene, în Italia şi Elveţia. Sectoare luate ca exemplu: pentru ediţia 2018, am ales două sectoare care nu pot să își permită să greșească în abordarea problemelor de securitate, şi asta nu din cauza penalităţilor GDPR sau a chestiunilor legate de imagine a brandului, ci pentru că orice greșeală comisă poate deveni fatală, riscând mii de vieţi umane. Aceste sectoare sunt transportul aerian şi infrastructurile critice. Pentru toți managerii şi responsabilii de securitate! Specialiștii din aceste domenii, la fel ca şi cei mai buni profesioniști din sectorul public şi privat din peste 10 ţări, nu vor veni pentru disecarea problemelor proprii a sectoarele lor, ci să explice cum au reușit să ridice nivelul lor de securitate mult peste medie, deoarece un incident pentru ei poate însemna un avion care se prăbușește sau un gazoduct care ia
foc, şi nu o «simplă» amendă a statului sau o afectare momentană a imaginii sale pe piaţă. De ce pot ei ceea ce noi nu putem? Problema recurentă a Europei este lipsa de a înţelege şi a adopta modele de succes implementate în Asia sau America. Din partea SUA şi a altor mari puteri, reprezentanţi speciali ai instituţiilor şi guvernelor respective ne vor explica cum funcţionează ecosistemele lor naţionale, mai ales în raportul public-privat. International Air Transport Association (IATA), regulator mondial în domeniul aviaţiei, va arăta cum cooperarea şi partajarea informaţiilor asupra vulnerabilităţilor a redus drastic cheltuielile fiecărei companii din ecosistem, mărind în paralel în mod exponenţial capacitatea sa de apărare, în comparaţie cu întreprinderile care preferă să investească sume colosale pentru a se apăra singure. Ce au acești „monștri” în comun cu întreprinderea mea? În cadrul acestui congres de neratat, Armata Elveţiană va explica de ce orice armată din continentul european este exact ca şi o firmă privată: nu mai este factor de inovaţie şi depinde de tehnologii produse de terţi, ale căror securitate trebuie imperios testată. Consecinţele unui eșec, evident, sunt mult mai uriașe pentru cine apără o ţară decât pentru cine apără o întreprindere, dar miza şi soluţiile de bază sunt pur şi simplu... aceleași. Cât de (ne)pregătite sunt echipele companiei dvs? War-game! În premieră în România, cel mai real war game contracronometru, conceput de Dotan Sagi (ex Head of El-Al Security Academy, fondator al BeStrategic) va arăta cât de (ne)pregătite sunt companiile atunci când se află în faţa unei crize majore care implică comunicări multiple cu alte companii şi cu instituţii ale statului. Cea mai mare surpriză, în toate exerciţiile făcute de către Dotan până acum, a fost aceea de a constata că nu factorul politic sau cel statal au pus întotdeauna probleme, şi nici comunicarea dintre diferiţii (Continuare în pagina 28)
9
ends Authorities - Cybersecurity Tr
Ameninţarea cyber din interior
Autor: Virgilius Stanciulescu Director, Direcţia IT, ANCOM
Oamenii sunt, fără îndoială, componenta principală a conceptului securitate cibernetică. Concep hardware, protocoale, programează, proiectează, configurează și gestionează sisteme, instalează plugin-uri și patch-uri, utilizează calculatoare.
În fiecare activitate și în fiecare punct al spaţiului cibernetic, oamenii pot crea vulnerabilităţi. Indiferent dacă își dau seama sau nu, oamenii reprezintă riscuri și
BIO Cu o experiență de 20 de ani IT&C, atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, Virgilius conduce Direcția IT a ANCOM cu spirit analitic și managerial încercând să ducă ANCOM pe drumul transformării digitale. Viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure. ANCOM deține sisteme avansate operaționale care la rândul lor constituie bază de dezvoltare în continuare. Sistemul Integrat pentru Managementul Spectrului Radio, un sistem critic pentru managementul comunicațiilor în România este unul dintre ele, iar platforma eControl i-a urmat. Virgilius deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare in vederea detecției, investigării, răspunsului la incidente de tip cyber.
10
sunt generatori de riscuri de securitate. Cu toate acestea ameninţările din interior nu sunt doar un produs al greșelilor involuntare ale celor conștienţi ci trebuie avută în vedere și partea întunecată a naturii umane, iar ideea inamicului din interior este veche de când lumea avându-și echivalentul în domeniul cyber. Din perspectiva cyber, un „insider”, adică „cel din interior”, este angajatul căruia compania i-a încredinţat dreptul de a accesa și opera datele, informaţiile companiei în cadrul procesului zilnic de lucru. Practic oricine care are acces legitim (autorizat) la informaţiile și la sistemele de business, la bazele de date, email-uri sau orice alte resurse informaţionale ale companiei, este un „insider”. În multe companii, există insideri (persoane din interior) care de fapt nu sunt angajaţi. Aceștia pot fi: foști angajaţi, contractori, parteneri de afaceri, vânzători, furnizori, etc. De asemenea tot aici intră și o categorie aparte: furnizorii de servicii de cloud, servicii de hosting de aplicaţii de business, care ar putea avea acces în reţeaua companiei. Practica demonstrează că evidenţa și controlul privilegiilor de acces ale acestor insider, personaje „din interior” dar care nu sunt angajaţi, este mult mai anevoioasă, managementul acestor privilegii mai dificil dar, mai ușor de exploatat. Putem avea încredere în angajaţi și în alte persoane cu acces din interior? Răspunsul, desigur, este în general că da. Ar trebui sa fie deoarece afacerile au la bază și capitalul uman, iar fără oameni de încredere în interior și fără acea incredere, organizaţia nu ar putea funcţiona. Cu toate acestea, „nu”-ul rezidual, chiar în procentaj mic, poate fi cauza unor îngrijorări serioase. Iar în acestă lumină, problema se transformă mai mult în setarea limitelor de încredere la nivelul corect. Este nevoie de metode mereu actualizate și îmbunătăţite de a selecta potenţialii angajaţi, de management al drepturilor de acces, de impunere a respectării politicilor, obligaţiilor, de detecţie a tendinţelor și comportamentelor cu potenţial negativ, de implementare a controalelor de securitate.
© Delta 2017 report Amenințarea din interior îmbracă două forme: insider-ul care face rău intenţionat (adică insider-ul „maliţios”) și insider-ul neștiutor. Deși cele două tipuri de ameninţări din interior au motivaţii și obiective diferite, comportamente diferite faţă de organizaţie, ele pot avea efecte similar de distrugătoare la adresa organizaţiei. Insider-ul răufăcător (maliţios) este spionul sau trădătorul și reprezintă de fapt cel mai bine conceptul de ameninţare din interior. Acesta este cel care își folosește în mod intenţionat accesul legitim la resursele companiei pentru a afecta în mod deliberat organizaţia. Persoanele rău intenţionate știu informaţii despre organizaţia respectivă, îi cunosc sistemele, structura și angajaţii sau colaboratorii, precum și operaţiunile și procedurile interne. Au acces la reţea din interiorul sistemului de apărare perimetrală. Pot fura date, dezactiva sisteme și instala viruși sau malware. Cei cu privilegii elevate pot face mai mult, de exemplu dezactivarea conturilor, distrugerea backup-urilor, schimbarea fișierelor de configurare. Cei cu privilegii mai puţin elevate apelează de multe ori la trucuri de genul bypass-ul proceselor de autentificare sau obţinerea accesului prin credenţialele altora.
Un aspect important de știut este că un insider, ca ameninţare maliţioasă, nu se limitează doar la domeniul cyber, ci sunt şi alte metode posibile prin care el să acţioneze: furt fizic, distrugere, violenţă. Psihologia atacatorului din interior este un domeniu definit de studiu, existând multe motive pentru care un angajat sau persoană din interior trece de cealaltă parte a baricadei. Insider-ul neștiutor, sau atacatorul / răufăcătorul fără intenţie: aproape oricine poate cădea în categoria aceasta, de ameninţare fără știinţă, inclusiv personalul de conducere. Ca factor de ameninţare, insiderul inconştient, neintenţionat şi neştiutor, poate face gafe de securitate care expun compania sau organizaţia la riscuri cibernetice majore. Pentru că paleta de potenţiali actori involuntari este atât de mare şi comportamentele lor sunt neintenţionate și greu de prezis, insider-ul fără intenţie este unul dintre cele mai periculoase puncte slabe în întreaga companie. Și iată că vorbim de fapt de aproape fiecare angajat ca fiind un punct slab, dacă cultura de securitate nu reprezintă o prioritate ca o educaţie. Outsider „mascat” în insider: Acest tip de insider nu este un insider în adevăratul sens, ci mai degrabă un impostor care utilizează credenţialele legitime ale altora pentru a accesa reţeaua în moduri în care utilizatorul real nu ar face-o. Acest actor încearcă să obţină credenţiale legitime utilizând o varietate de tactici şi tehnici. Apoi foloseşte aceste credenţiale dobândite pentru accesarea fișierelor de parole, folderelor, listelor de control al accesului şi altor resurse de reţea. Bineînţeles că treaba este mult mai simplă dacă obţine credenţiale de acces ale unui administrator de sistem sau ale unui utilizator privilegiat.
11
ends Authorities - Cybersecurity Tr
12
© CERT Guide to Insider Threats, 2012
Ce este de făcut? Primul lucru pe care liderii de business ar trebui să îl facă cu privire la ameninţarea din interior este de a o lua în serios. Deşi există o recunoaştere pe scară largă că ameninţarea este foarte gravă, în majoritatea sectoarelor nu există suficientă determinare de a construi planurile specifice de contracarare, structurile organizaţionale și controalele necesare pentru a face faţă acestor tipuri de ameninţări, de a le preveni, detecta şi contracara. Este nevoie de o abordare cuprinzătoare care abordează şi valorifică aspectele specifice al ameninţării din interior. Tehnologia în sine nu este suficientă. Trebuie adresată de asemenea dimensiunea critică umană.
© Haystax 2017 Insider Threat Study
Un insider neavizat poate fi ușor „exploatat” (fiind o vulnerabilitate) de un hacker sofisticat, ca fiind un punct de intrare relativ ușor de obţinut în vederea atacurilor avansate. Se pot folosi tehnici complexe și elaborate, dar un același rezultat îl poate avea un simplu phishing, mult mai ieftin și servește scopului. După obţinerea accesului iniţial, hackerul poate executa o mișcare laterală în reţea sau poate escalada privilegii de acces pentru a implanta malware avansat în reţea. Phishingul este mecanismul dominant folosit și astăzi pentru a penetra reţelele, chiar de cei mai avansaţi hackeri deoarece are o rată de succes mare, pentru un cost relativ scăzut și se prefigurează din start ca o metodă ieftină ce merită mereu încercată. Alte tactici de inginerie socială includ pretinderea de a fi o altă persoană sau pretinderea accesului într-o incintă pe motive inventate, profitând de neglijenţă sau dimpotrivă, de politeţea sau dorinţa de a fi de ajutor a unor angajaţi lipsiţi de instruire în acest sens. Outsider-ul care se prezintă ca insider nu este interesat să pretindă că este o altă persoană în mod principal, cât să ajungă să folosească resursele IT ale acelei persoane eventual. Prin spargerea parolelor sau a altor tehnici, un hacker poate exploata credenţialele mai multor utilizatori autorizaţi sau administratori în timpul unui atac. Spre deosebire de adevăratul insider, singurele elemente observabile pot fi footprint şi fingerprint care pot fi văzute în log-uri sau cod malware sau fragmente pe care acesta le-a utilizat. Ameninţarea din interior este uşor de înţeles în concept, dar foarte greu de cuantificat în practică. Cât de mare e ameninţarea? Date reale consolidate sunt greu accesibile și statisticile privind frecvenţa apariţiei şi impactul ameninţărilor din interior sunt evazive. Lipsa de detecţie și descoperire a evenimentelor din interior, precum și mai ales refuzul de a împărtăşi sau de a le raporta sunt două dintre motivele principale ale lipsei de informaţii. Cu toate acestea, recentele sondaje privind ameninţările din interior și analiza datelor compromise au relevat următoarele: Există o creștere a ameninţărilor din interior în ultimii ani. Majoritatea organizaţiilor nu au controale şi măsuri adecvate pentru prevenirea sau contracararea ameninţărilor din interior. Atacurile din interior sunt mult mai greu de detectat decât cele din exterior. Contractorii sau persoanele din interior non-angajaţi reprezintă un risc major și nu se acordă suficientă atenţie modului în care ar trebui lucrat cu aceste persoane. Adesea se descoperă activităţi periculoase, maliţioase, intenţionate sau nu, abia după ce angajatul pleacă din organizaţie în urma examinării device-urilor pe care le-a utilizat.
O abordare completă ar trebui să cuprindă: A. Stabilirea unei culturi „threat-aware” axată pe integritatea instituţională şi încrederea, chiar „fiabilitatea” (din acest punct de vedere) personală. Cultura companiei este un produs al multor factori, dar unul decisiv este comportamentul conducerii şi valorile pe care le modelează. O cultură de integritate instituţională şi încredere personală este favorabilă succesului în aproape orice întreprindere. Factorii pentru realizarea acesteia includ următoarele: Crearea unui mediu în care acţiunile proprii ale angajaţilor reflectă un grad ridicat de integritate instituţională şi fiabilitate / încredere personală. Formularea de reguli şi aşteptări clare într-un document „Politica de utilizare acceptabilă” pentru companie care reglementează folosirea resurselor IT. Acest lucru ar trebui să fie un acord oficial semnat între Companie şi fiecare angajat şi partea externă care are acces la resurse sau facilităţi. Crearea unui mediu sigur în care se pot auto-raporta acţiuni accidentale care pun în pericol securitatea. Eliminarea stigmatului comiterii unei
Managementul configuraţiilor şi configurări sigure. Managementul patch-urilor şi al vulnerabilităţilor. Segmentare internă a reţelei. E. Monitorizarea şi detectarea comportamentelor anormale. Programul ar trebui să încerce să împiedice atacuri din interior prin captarea de indicatori de activitate potenţială înainte de producerea de probleme: în general, provin din interior prin intermediul datelor tehnice sau indicatorilor comportamentali: Date tehnice: cele mai importante surse de informaţii tehnice legate de atacuri cyber sunt alertele în timp real ale sistemelor de securitate, senzorilor de retea si de host, log-uri, sistemelor de alertă automate, sistemelor de prevenire a pierderii sau scurgerilor de date. Non-tehnice: construirea de intelligence operaţional prin mix de metode cyber, antifraudă, securitate fizică. Pot fi și: comportament email (volume, adrese, conţinut, atașamente), paternurile activităţilor curente, măsurarea performanţei angajatului, indicatori de afiliere (gradul de participare la activităţile firmei, utilizarea social-media, etc). Analizele acestui tip de date prin automatizare dar şi prin procese manuale pot identifica modele de comportament care indică riscuri privitoare la angajaţi sau atacuri iminente din interior. De asemenea, se pot integra informaţii externe despre ameninţări relative la factorii care ar putea influenţa creşterea riscului de atac din interior.
Bibliografie 1. www.securityroundtable.org 2. Thomas Fuhrman – Delta Risk LLC
© INSA Insider Threat Program
încălcări de securitate din neatenţie poate ajuta la minimizarea impactului şi e de folos tuturor. Furnizarea de programe de conştientizare regulate asupra ameninţărilor din interior, de formare, precum şi exerciţii realiste de antrenament contra phishingului. Stabilirea unui set de valori instituţionale ce reflectă cultura dorită, selectarea liderilor pe baza aderării lor la aceste valori şi includerea demonstrării acestor valori ca factor de evaluare a performanţei angajaţilor. B. Înfiinţarea unui consiliu executiv pentru gestionarea unui sistem multidisciplinar integrat, program conceput pentru a descuraja, preveni, detecta, şi răspunde la ameninţările din interior şi limitarea impactului. Programul ar trebui să aibă participarea activă a departamentelor funcţionale din întreaga organizaţie: IT, Cyber, Riscuri, accesul fizic, resursele umane, antifraudă, în general toate verticalele companiei. C. Programul ar trebui să cuprindă: crearea şi supravegherea politicilor legate de gestionarea ameninţărilor din interior. flux de lucru regulat, procese și reuniuni în mod activ și colective pentru reexaminarea informaţiilor de ameninţare din interior, examinarea indicatorilor interni de risc, evenimente in interior, tendinţe. punerea în aplicare a unor procese de asigurare a gradului de încredere a personalului de la verificări de fond la procedurile de evaluare a factorilor de risc comportamentali şi vulnerabilităţii la compromis. D. Construirea şi operarea controalelor de securitate. Multe dintre controalele de securitate care deja există (sau ar trebui să existe) în cadrul întreprinderii pot fi eficace în detectarea, prevenirea sau atenuarea rezultatelor ameninţării din interior. Ar trebui să includă: controalele de acces, în special pentru utilizatorii privilegiaţi (cei cu autoritatea administrativă). protecţia datelor, inclusiv criptarea, tehnologia de prevenire a pierderii datelor, backup, monitorizarea exfiltrării.
13
Focus - Cybersecurity Trends
Să găsim un echilibru între om și tehnologie Aaron Higbee, Cofondator și CTO al Cofense, vorbește despre apărarea, în viitor, împotriva atacurilor de tip phishing și întreabă pe ce se va baza acest lucru: pe oameni sau pe mașini?
Autor: Aaron Higbee
Cele mai multe atacuri informatice încep cu un e-mail de phishing. Deoarece vectorul este digital, suntem înclinaţi instinctiv să căutăm o soluţie digitală. La urma urmei, computerele pot executa algoritmi complecși, nu obosesc și pot oferi suport 24 de ore pe zi, aproape întotdeauna la capacitatea lor maximă. Gândiţi-vă la anul trecut: hackerii au folosit atacuri de tip phishing pentru a bloca companiile multinaţionale, pentru a truca alegerile cele mai mediatizate din lume și pentru a menţine guverne întregi offline pentru
BIO Aaron supraveghează toate aspectele de cercetare și dezvoltare care stau la baza Cofense. Aceasta soluție leader pe piața in direcția serviciilor de consultanță oferite de Grupul Intrepidus, pe care Aaron l-a co-fondat. Înainte de aceasta, el a fost consultant principal si instructor-șef pentru divizia Foundstone a McAfee. De asemenea, a lucrat în domeniul securității și gestionării incidentelor precum și al securității centrelor de date pentru marii furnizori de servicii de Internet. www.cofense.com
14
perioade lungi de timp. În plus, fiinţele umane sunt o ţintă vulnerabilă și o pradă ușoară pentru sistemele digitale foarte avansate. Fie că este vorba de un e-mail de phishing sau de o înșelăciune telefonică de natură fiscală, hackerii au perfecţionat arta ingineriei sociale (social engineering). Ei știu să ne depășească limita neîncrederii obișnuite și ne pun în poziţia de a acţiona impulsiv. Pentru aceasta, aplică tehnici de psihologie umană, adesea exploatând frica, curiozitatea, emoţia sau sentimentul de urgenţă. Sau, în unele cazuri, distragerea atenţiei. De exemplu, aceste atacuri prin e-mail au loc în primele ore ale zilei de lucru, în timp ce angajaţii beau cafeaua de dimineaţă, uitându-se la corespondenţa primită în noaptea precedentă. De asemenea, hackerii creează campanii sezoniere în perioada de închidere a anului fiscal și în timpul sărbătorilor, cum ar fi Crăciunul. Acestea provoacă răspunsuri bazate pe stres, dar si pe lăcomia noastră atunci când vine vorba de promoţii irezistibile sau de reduceri atractive. La toate acestea se adaugă informaţii care pot fi găsite cu ușurinţă pe Web-ul întunecat (dark web) sau de la un angajat nemulţumit. Nu este greu să folosiţi angajaţii pentru a avea acces la reţea dacă știţi cum să faceţi. Forţa informaticii crește pe zi ce trece. Dar noi? Noi suntem competitivi? Poate că nu, din moment ce noi suntem punctele slabe necontestate ale securităţii informatice. Cea mai simplă soluţie ar fi eliminarea elementului uman din procesele informatice, dar cu siguranţă acest lucru nu ar fi jucat în favoarea noastră ...
Avem nevoie de o altă soluție. Oamenii au multe avantaje faţă de colegii lor mecanici și digitali. Chiar și cei mai entuziaști robofili vor recunoaște că există lucruri pe care oamenii le pot face la niveluri mai înalte decât un computer, iar unele aspecte-cheie ale protecţiei prin phishing sunt un bun exemplu. Ciudat, dar adevărat, „felicitările digitale” sunt o modalitate bună de a înţelege dacă e-mailul primit este opera unui hacker. De exemplu, una dintre persoanele dvs. de contact scrie «Dragă Michai» în loc de «Mihai»-ul curent și scurt cu care sunteţi obișnuit. Un computer nu vede aceste nuanţe, dar o persoană da. Deși în general este considerată o emoţie negativă, suspiciunea există în noi cu scopul precis de a ne proteja de naivitatea noastră. Pentru a exploata cele mai bune aptitudini ale angajaţilor lor, companiile ar trebui să considere intuiţia drept o resursă care poate avea efecte pozitive atunci când este utilizată în contextul potrivit. O resursă pe care calculatoarele nu o au. Un alt avantaj, de exemplu, este capacitatea noastră de a ne îndoi de un lucru. Un computer efectuează fără a discuta sarcinile stabilite de un administrator de sistem, acceptă fiecare comandă și o execută. Nu se adaptează, nu adaugă nimic, nu «gândește». Dacă un e-mail ajunge de la o sursă sigură, ce contează
pentru computer dacă contul este «MichaelBreok@gmail.com» în loc de «MichaelBroek@gmail.com»? O altă caracteristică importantă a fiinţelor umane este imprevizibilitatea sau creativitatea lor. Mulţi hackeri își câștigă viaţa încălcând un sistem securizat și profitând de victimele informatice. Deci, în timp ce pe de o parte creșterea modelului de afaceri al „malware-as-a-service” înseamnă că mai multe persoane fără experienţă sunt implicate în această cursă de arme a securităţii informatice, pe de altă parte cei care creează malware-ul devin specialiști ai vulnerabilităţii pe care vor să o exploateze. Cu alte cuvinte, ei știu cum o mașină reacţionează la anumite intrări. Același lucru nu se poate spune despre fiinţele umane. Oamenii pot deveni victimele unei tentative de phishing sau o pot ignora. Ar putea să o raporteze poliţiei sau furnizorului lor de securitate. Ar putea si să trimită e-mailul unui destinatar nedorit sau să înregistreze un domeniu asociat cu malwareul și să oprească campania. Toate aceste reacţii posibile arată că infractorii cibernetici implicaţi în campanii de phishing trebuie de multe ori să-și limiteze «publicul ţintă» și să-și petreacă timpul creând sisteme care să nu trimită tentative de phishing unor anumite grupuri. Deși acest lucru poate părea un avantaj relativ nesemnificativ, orice barieră în distribuirea phishing-ului este o victorie.
Deci, dacă oamenii pot fi condiționați, vom avea vreodată un mediu de securitate fără inteligență artificială? E imposibil sa ne așteptăm ca noua generaţie de profesioniști în domeniul securităţii IT să se întoarcă la procesele manuale de securitate. Programele anti-malware, firewall-urile și filtrele de spam sunt esenţiale pentru a elimina cele mai multe programe malware. Sacrificarea acestor resurse ar fi pur și simplu ineficientă. Putem compara securitatea IT cu construcţia unui fort: orice fortificaţie activă ar trebui să aibă pereţi exteriori mari și o serie de măsuri stricte de securitate care să reglementeze cine ar trebui și nu ar trebui să poată intra. Dar, pentru a avea un fort cu adevărat securizat, e nevoie de cineva care sa se asigure că nimeni nu urcă pe perete sau se preface că e altcineva când intră pe poartă. De asemenea, este important să ne asigurăm că acești gardieni se antrenează - de ce să cheltuim miliarde pe pereţi dacă gardienii dau cheile de la poarta străinilor? Exact același lucru se întâmplă atunci când angajaţii dau clic pe link-uri de tip phishing și predau hackerilor ceea ce aceștia au nevoie pentru a accesa reţeaua.
Oameni + Calculator = Deep Defense
În fine, cei care susţin utilizarea angajaţilor în securitatea informatică vizează „paradoxul de precizie“, care afirmă că este posibil să avem o precizie de 99,99%, în apărare, dar restul de 0,01% va duce adesea la mii de alarme de securitate. Deoarece administratorii IT nu au timp să investigheze toate aceste alerte, paradoxul de precizie necesită interacţiune umană pentru sporirea securităţii. Companiile pot vedea avantajele implicării propriilor angajaţilor în securitatea IT atunci când aceiași angajaţi nu acţionează ca un dezavantaj. Ceea ce companiile au nevoie cu adevărat sunt angajaţi capabili să răspundă atacurilor cibernetice într-un mod adecvat, chiar și în situaţii stresante. Să analizăm acum situaţia dintr-un alt unghi: punctele slabe ale mașinilor reflectă aceleași puncte slabe ale oamenilor care le proiectează. Fiinţele umane proiectează și monitorizează mașinile. Toată securitatea se bazează pe acţiunile concepute de oameni. Din fericire, știm cum să acţionăm: practică, practică, practică. De aceea, exerciţiile și simulările sunt esenţiale pentru orice program de pregătire militară - singura modalitate de a suprapune cele mai bune practici privind instinctele exprimate în situaţii cu încărcătura emoţională este de a face ca aceste bune practici să devina instinctive, ca parte din memoria musculară. Potrivit sondajelor, condiţionarea comportamentală poate reduce cu 97% probabilitatea ca angajaţii să răspundă la un e-mail menit sa facă rău intenţionat după doar patru simulări exerciţii de învăţare în care companiile își «atacă» proprii angajaţi. Motivul care stă la baza eficacităţii sale este că această tehnică nu se limitează la a face utilizatorii conștienţi de existenţa unei ameninţări, ci îi obligă să practice constant modul in care să răspundă la o astfel de ameninţare.
Angajaţii pot fi pionii cei mai puternici dar și cei mai slabi în securitatea IT a companiei dvs. Ei au nevoie de tot ajutorul pe care îl pot obţine de la tehnologia avansată - la urma urmei, hackerii pot și adesea folosesc procese automatizate pentru a trimite mii de e-mailuri de phishing la fiecare oră. Trucul de combatere a acestui flagel automat este de a acţiona la un nivel de securitate tehnică ușor de gestionat precum și de a ajuta oamenii să înţeleagă potenţialele ameninţări pe care tehnologia nu le poate bloca. Un studiu recent al MIT realizat de CSAIL (Computer Science and Artificial Intelligence Laboratory) a relevat că viitorul securităţii informatice ar putea fi parţial uman și parţial robotizat, tocmai din acest motiv. Dacă nu știţi dacă să vă bazaţi pe oameni sau pe mașini, cea mai bună soluţie este să vă bazaţi pe ambele. De ce să alegi, dacă poţi avea totul? La urma urmei, în spatele mașinilor sunt oameni oricum.
Brinthesis este principalul furnizor de soluții Cofense din Italia. Misiunea Brinthesis este de a oferi soluții companiilor cu conținut și inovație de înaltă calitate, soluții capabile să anticipeze schimbările pentru a crește competitivitatea. Pentru mai multe informații: Loreno Patron, co-fondator e-mail: loreno.patron@brinthesis.com mobil: +39 335 5746930
15
Focus - Cybersecurity Trends
GDPR: Ce urmează? Așadar, 25 mai a trecut, iar cea mai mare schimbare a reglementărilor privind datele a epocii noastre este acum în vigoare. În ultimii doi ani, companiile și-au schimbat în toate direcțiile politicile de protecție a datelor, urmând sfaturile ICO și asigurându-se că sunt conforme cu GDPR. Dar ce urmează pentru această fiară mamut? Ce se va întâmpla în lumea digitală?
Autor: Jonathan Stock
Pentru cei care fost izolaţi pe o insulă pustie în ultimii doi ani, GDPR (Regulamentul General privind Protecţia Datelor) este un regulament care face parte din legislaţia UE privind protecţia datelor și viaţa privată pentru toţi indivizii din Uniunea Europeană sau care deţin date în statele UE. Acesta înlocuiește directiva actuală privind protecţia datelor și aduce toate politicile și practicile în concordanţă cu epoca modernă a muncii. La fel ca Arsene Wenger care înlocuiește cultura băutului a fotbaliștilor FC Arsenal cu o gamă atletică de programe de pregătire, GDPR este acolo pentru a ajuta persoanele să-și asume controlul asupra datelor și să fie protejate în era digitală. Din mai 2016, ICO a pregătit terenul ca până la 25 mai 2018 regulamentul GDPR să intre în vigoare. Ei au trimis sfaturi și îndrumări concentrate pe conștientizare,
BIO Jonathan conduce echipa de recrutare în domeniul Securității IT de la IntaPeople și lucrează cu companii de diverse dimensiuni pentru a identifica oamenii talentați din Marea Britanie. Face parte din Clusterul South Wales Cyber Security, contribuie la organizarea de evenimente și, de asemenea, contribuie în mod regulat la revistele online de securitate. El este cu adevărat interesat de securitate și efectul pe care aceasta îl are în lumea noastră globalizată. LinkedIn – https://www.linkedin.com/in/jonathanstock-112a2853/ Twitter – https://twitter.com/JonathanStock86
16
informaţii pe care ar trebui să le deţineţi, comunicarea politicii dvs. de confidenţialitate, drepturile persoanelor, cererile de acces la subiect, cum să procesaţi corect datele personale (acum să luăm 2 secunde pauză de respiraţie înainte de a trece la sfârșitul frazei!), ce reprezintă consimţământul pentru persoane fizice, ce trebuie să faceţi cu încălcarea datelor, evaluarea impactului protecţiei datelor, stabilirea unui ofiţer de protecţie a datelor al unei companii și clarificarea graniţelor internaţionale ale unei companii.
Pur și simplu, dacă nu aţi făcut încă acest lucru ca o companie, aveţi multe de recuperat și o perioadă foarte scurtă de timp pentru a face acest lucru. ICO a acordat deja o perioadă de pregătire de 2 ani pentru a ajuta companiile să-și pregătească politicile de date; ei nu vor să înceapă să penalizeze companiile, vor ca toată lumea să fie conformă. De acum înainte însă vor avea o abordare fermă în ceea ce privește organizaţiile și persoanele care nu respectă GDPR; toată lumea trebuie să înţeleagă că vor fi amenzi potenţiale de până la 20 de milioane de euro sau cu valori de până la 4% din cifra de afaceri globală anuală a companiei. Mai departe vom vorbi despre ce s-a întâmplat până acum în legătură cu GDPR; acest monstru care a afectat viaţa fiecăruia într-un fel sau altul în ultimii 2 ani. Până în acest moment, companiile trimiteau e-mailuri de consimţământ / marketing către majoritatea bazei lor de date, încercând să obţină consimţământul de a-și păstra datele în dosar sau consimţământul de a continua să le comercializeze. Din înţelegerea mea, chiar dacă nu aţi răspuns deloc, companiile ar trebui să vă pună pe listele de oprire deoarece nu aţi dat consimţământul de a fi înscris. Dacă nu aţi răspuns, ar trebui probabil să nu vă mai trimită niciun fel de mesaje…
Așadar, ce urmează pentru GDPR? Din punctul meu de vedere, probabil că va fi ca la Y2K; toate activităţile de bază și agitaţia s-au terminat, acum este doar timpul să supravegheaţi și să vă asiguraţi că schimbările făcute de compania dvs. sunt în continuare implementate. În general, întreprinderile ar trebui să se gândească la procesele lor și la modul în care pot să împărtășească rapid datele pe care le deţin, dacă acestea sunt solicitate de o altă persoană sau organizaţie. Companiile vor primi în mod inevitabil mai multe solicitări în acest sens, astfel încât este vorba despre modul în care aceste solicitări sunt preluate și rezolvate într-o manieră conformă care să respecte regulamentul. Dacă cineva solicită accesul la datele sale, nu vă puteţi îngropa capul în nisip, nu puteţi încerca să le daţi jos și să uitaţi că există, trebuie să vă conformaţi și să vă asiguraţi că (în calitate de companie sau persoană fizică) acţionaţi corect. Pe lângă faptul că facem aceste schimbări în cadrul legislaţiei UE, noi domnii și doamnele norocoase din Marea Britanie trebuie să ne gândim și la viaţa post-Brexit. În primul rând, scuze pentru menţionarea a două subiecte explozive (GDPR și Brexit) în cadrul aceluiași articol, dar este destul de important. Când părăsim UE, ca parte a întelegerii, vom fi în continuare reglementaţi de legislaţia UE timp de 2 ani; un fel de pătură de siguranţă care va ajuta la tranziţie. Guvernul britanic trebuie acum să creeze o lege care să acopere atât GDPR și Directiva anterioară privind Protecţia Datelor, pentru a ne asigura că vor crea ceva mai bun, mai sigur și mai transparent decât orice altceva. Apoi, noi, ca ţară, vom putea face schimb în mod liber între date cu orice ţară din lume.
În ceea ce privește victimele GDPR, sunt sigur că mulţi din industrie au opinii cu privire la compania care va fi prima care va primi o palmă peste încheietura mâinii de la ICO. Sunt fericit să organizez chiar eu un concurs cu acest subiect (dar nu vă îngrijoraţi, datele dumneavoastră nu vor fi folosite pentru nimic altceva decât asta!) Dar, în final, în următoarele câteva luni post-GDPR, sunt sigur că vor apărea o mulţime de povești în presă despre diverse încălcări și constatarea gradului de conformare cu GDPR în general în diferite industrii. Dacă, după ce aţi citit acest articol, simţiţi că mai aveţi nevoie să fiţi la curent cu GDPR, atunci vă recomand să folosiţi site-urile ICO și NCSC pentru informaţii despre ce să faceţi; ei au ghiduri utile și ghișee unice pentru a vă arăta cum să deveniţi conformi. Există diverse companii care pot ajuta și vă pot oferi unele sfaturi bune (există și unele companii de evitat, am auzit povesti de groază unde companiile informează cu privire la data greșită pentru GDPR...!), Deci nu ezitaţi să mă contactaţi pentru diverse recomandări. În cele din urmă, GDPR este cea mai mare schimbare a legilor noastre privind protecţia datelor de ceva timp. Această mișcare va contribui la aducerea legislaţiei în noua eră digitală și la asigurarea unei garanţii mai mari a respectării acesteia. Dacă nu sunteţi conform, este posibil să fi ratat termenul dat, dar niciodată nu este prea târziu să realizaţi această schimbare.
17
Focus - Cybersecurity Trends
Ce au în comun jocul de Poker și securitatea? Este bine cunoscut faptul ca jucătorii buni de poker au performanțe bune sub presiune. Își joacă cărțile pe baza unei analize riguroase a probabilităților și a evaluării impactului. Seamănă foarte mult cu tipul de abilități de care un profesionist de securitate ar putea beneficia atunci când gestionează riscurile legate de securitatea informațiilor.
Autor: Leron Zinatullin
Ce pot învăţa profesioniștii din domeniul securităţii dintr-un joc de cărţi? Se pare, destul de mult. Jucătorii de poker calificaţi se pricep să facă presupuneri educate despre cărţile adversarilor și să le anticipeze următoarele mișcări. În comparaţie, profesioniștii din domeniul securităţii trebuie să se afle înaintea ameninţărilor emergente și a vulnerabilităţilor descoperite pentru a ști dinainte posibilele mișcări alte atacatorilor. La începutul unui joc tradiţional de poker: Texas hold’em, jucătorilor li se acordă doar două cărţi (o mână). Pe baza acestor informaţii limitate, trebuie să încerce să
evalueze șansele de a câștiga și să acţioneze în consecinţă. Jucătorii pot decide fie să rămână în joc – în acest caz, trebuie să plătească o taxă care contribuie la potul general – sau să renunţe. Tot astfel, profesioniștii din domeniul securităţii iau decizii în condiţii de incertitudine. Ei au la dispoziţie mai multe modalităţi prin care pot aborda riscul: pot să-l diminueze prin implementarea controalelor necesare, să îl evite, să îl transfere sau să îl accepte. Costurile acestor decizii variază de asemenea. Nu toate cărţile merită însă jucate. În mod similar, nu ar trebui implementate toate contramăsurile de securitate. Uneori este mai eficient să îţi folosești resursele și să accepţi riscul, decât să plătești pentru un control
BIO Leron Zinatullin este un consultant cu experiență în domeniul riscului, specializat în strategii de securitate cibernetică, managementul și livrarea acestora. El a condus proiecte de transformare a securității pe scară largă, la nivel mondial și de mare valoare, în vederea îmbunătățirii performanței costurilor și a susținerii strategiei de afaceri. Are cunoștințe ample și experiență practică în rezolvarea problemelor legate de securitatea informațiilor, confidențialitate și arhitectură în mai multe sectoare industriale. Leron Zinatullin este autorul Psihologiei securității informațiilor. Website: zinatullin.com I Twitter: @le_rond
18
scump. Atunci când șansele sunt corecte, un profesionist în domeniul securităţii poate începe un proiect de implementare a unei schimbări de securitate pentru a spori poziţia de securitate a unei companii. Pe măsură ce jocul progresează și prima rundă de pariere s-a încheiat, jucătorilor li se pune la dispoziţie o nouă informaţie. Termenul „flop” este folosit în poker pentru cele trei cărţi suplimentare pe care dealerul le plasează pe masă. Aceste cărţi pot fi folosite pentru a crea o combinaţie câștigătoare cu mâna fiecărui jucător. Când cărţile sunt dezvăluite, jucătorul are ocazia să reevalueze situaţia și să ia o decizie. Acesta este exact modul în care schimbarea condiţiilor de piaţă sau a cerinţelor afacerii reprezintă o ocazie de a readuce în discuţie implementarea unei contramăsuri de securitate.
Nu este nimic în neregulă cu încheierea unui proiect de securitate. Dacă un jucător de poker avea o mână puternică la început, dar flop-ul arată că nu are rost să continue, înseamnă că s-au schimbat condiţiile. Poate că implicarea părţilor interesate cheie a arătat că un anumit risc nu este unul critic și că costurile de implementare ar putea fi prea mari. Puteţi să terminaţi acel proiect chiar atunci. Este mult mai bine să anulaţi un proiect de securitate decât să ajungeţi la o soluţie care este ineficientă și costisitoare.
Cu toate acestea, dacă jucătorii de poker sunt siguri că au dreptate, trebuie să fie gata să-și apere mâna. În ceea ce privește securitatea, ar putea însemna convingerea consiliului de administraţie cu privire la importanţa contramăsurilor pe baza unei analize riguroase a raportului costuri-beneficii. Profesioniștii din domeniul securităţii pot pierde în continuare jocul, iar compania ar putea fi atacată, dar cel puţin au făcut tot ce le stă în putinţă pentru a diminua în mod proactiv acest lucru. Nu contează dacă jucătorii de poker câștigă sau pierd o anumită mână, atâta timp cât iau decizii sănătoase care dau rezultate dorite pe termen lung. Nici cel mai bun jucător de poker nu poate câștiga toate mâinile. În mod similar, profesioniștii din domeniul securităţii nu pot atenua toate riscurile de securitate și nu pot implementa toate contramăsurile posibile. Pentru a rămâne în joc, este important să dezvolţi și să urmezi o strategie de securitate care va ajuta la protejarea împotriva ameninţărilor în continuă evoluţie într-un mod eficient din punct de vedere al costurilor.
Noile provocări globale în domeniul securității cibernetice Între 15 și 17 octombrie, CERT-RO, împreună cu Uniunea Internaţională pentru Telecomunicaţii, va organiza a 8-a ediţie a conferinţei internaţionale „Noile provocări globale în domeniul securitatăţii cibernetice”. Evenimentul va avea loc în București. Ediţia din 2017 a adus împreună peste 200 de participanţi din 18 ţări, experţi în securitate cibernetică, oficiali guvernamentali și factori de decizie politică, precum și reprezentanţi ai companiilor private din diferite domenii și industrii, ONG-uri și reprezentanţi ai mediului academic. Pe parcursul celor două zile au avut loc dezbateri, prezentări și ateliere care au adresat probleme tehnice și legislative din sfera securităţii în spaţiul românesc, european și internaţional. Puteţi accesa raportul conferinţei la cert. ro/certcon7 .
15-17 octombrie 2018
Despre CERT-RO Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO – este o structură independentă de expertiză şi cercetare-dezvoltare în domeniul protecţiei infrastructurilor cibernetice, acţionând în domeniul prevenirii, analizei, identificării şi reacţiei la incidente în cadrul infrastructurilor cibernetice ce asigură funcţionalităţi de utilitate publică ori asigură servicii ale societăţii informaţionale. În urma transpunerii directivei NIS, CERT-RO devine autoritate naţională, CSIRT naţional și punct unic de contact la nivel European, cu responsabilităţi în identificarea operatorilor de servicii esenţiale, stabilirea cerinţelor minime de securitate și notificare, precum și acreditarea altor echipe CSIRT și a auditorilor de securitate.
19
Focus - Cybersecurity Trends
Blockchain, argumente pro și contra unei paradigme contemporane De câțiva ani și în diferite domenii, vorbim din ce în ce mai des despre Blockchain, indicând nu doar o simplă tehnologie, ci o paradigmă teoretică. La prima vedere, Blockchain nu ar fi altceva decât reprezentarea digitală a patru concepte: descentralizare, transparență, securitate și imutabilitate. Autor: Morten Lehn General Manager Kaspersky Lab, Italia
Iniţial termenul s-a referit în principal la tehnologia de gestionare distribuită a tranzacţiilor economice asociate cu lumea cripto-monedelor, în special a celor care se află la baza Bitcoins. De fapt, perspectivele deschise de această nouă frontieră, care, în opinia multora ne va transforma radical viitorul, sunt multe, dincolo de lumea finanţelor și a plăţilor digitale.
BIO Norvegian fiind, Morten Lehn a fost numit director general Kaspersky Lab Italia în iulie 2014, devenind punctul de referință al companiei pentru piața italiană. Înainte de a ocupa această funcție, el a fost Director de vânzări la Kaspersky Lab, avand in sarcina activitățile întregii echipe de vânzări a companiei, pentru segmentul B2B Corporate și Enterprise, B2C Consumer și pentru vânzările online. Înainte de a se alătura echipei Kaspersky Lab în 2013, a lucrat la distribuitorul de calculatoare Bludis, în calitate de manager de vânzări din 2002 până în 2009 și apoi ca director de vânzări, fiind direct in relație profesionala cu CEO-ul companiei. Anterior, Lehn a fost Manager de Dezvoltare a Afacerilor în Unified Messaging Systems AS, unde a condus înființarea filialei italiene a companiei, precum și Manager de vânzări la Euroline AS.
20
Aceste aplicaţii variază de la asigurări la finanţe, de la industria 4.0 la sănătate, de la administraţia publică la perspectivele de retail, de la securitatea IT la întreaga nouă generaţie de IoT, incluzând de asemenea, și dimensiunea publicităţii, a expresiei politice și a idealismului democratic. Fiind și o concretizare a posibilei dezvoltări a unei noi forme de democraţie, Blockchain-ul se evidenţiază prin natura sa structurală, constituită din transparenţă, imutabilitate a datelor și imunitate faţă de corupţie. Așa cum precizează termenul în sine, am putea să ne gândim la Blockchain ca la o bază de date extinsă, o listă compusă din mai multe blocuri de înregistrări de tranzacţii sau informaţii, legate între ele la fel ca într-un lanţ; fiecare bloc are un conţinut deschis, dar criptografic protejat de hashing (o funcţie algoritmică care nu poate fi inversată și care mapează un șir de lungime arbitrară într-un șir de lungime predefinită) și conţine informaţii din blocul anterior, împreună cu noi informaţii. Ansamblul de informaţii conţinute în fiecare bloc și istoricul acestora sunt confirmate, recunoscute și validate de diverși participanţi în sistem, motiv pentru care nu pot fi afectat; poate fi modificat numai cu aprobarea nodurilor reţelei și confirmarea de către „mineri“ (pe care ii putem defini ca fiind cei care controlează sau care se ocupa de proces): tranzacţiile pot fi considerate ca fiind nemodificabile, cu excepţia cazului în care există o intervenţie masivă de „confirmare” de către nodurile reţelei. Schimbarea în raport cu paradigmele conceptuale anterioare este reprezentată de conceptul de Distributed Ledger, sau de o logică de conexiuni distribuite în care există un nou concept de „încredere“ între subiecţi: În acest caz nu mai există un centru fix sau o entitate super partes, ci fiecare element este inextricabil legat de alte elemente ale lanţului. Date fiind toate aceste informaţii, se subînţelege că, folosind un Blockchain, putem obţine (în teorie) o bază de date sigură, fiabilă și care nu poate fi manipulată. Este imposibil să imităm o tranzacţie prin afișarea unei confirmări de plată false. Este imposibil să spunem că plata a fost punctuală, dar că tranzacţia a durat prea mult. Se spune chiar că se poate negocia cu o
bancă, dar nu cu Blockchain-ul. Toate acţiunile par sa fie «sculptate în piatră», fără a fi nevoie de implicarea unor terţi. Dar oare totul este chiar așa cum pare? Aparent da, și chiar și posibilele îndoieli ridicate de conceptul paradigmatic Blockchain arată deja soluţii precise și respingeri punctuale. Dacă pericolul există, acesta se află în securitatea lumii informatice și în capacităţile din ce în ce mai subtile ale infractorilor cibernetici de a se introduce în sisteme care sunt teoretic inexplicabile pentru a exploata toate ferestrele posibile. În primul rând, bazele de date distribuite nu sunt ceva nou, ci există de la sfârșitul anilor ’80. După ce calculatoarele cele mai puternice s-au conectat în reţele locale și globale, a apărut imediat nevoia de a activa un bloc precis de date care să fie transferat fără a implica nodul central. Blockchain-ul este, prin urmare, doar una dintre variantele îmbunătăţite și consolidate ale bazelor de date distribuite care poate fi utilizată pentru tranzacţii financiare într-o manieră fiabilă și confidenţială. În modelul ideal al Blockchain, guvernul sau o instituţie centrală joacă un rol marginal sau nul în fiecare tranzacţie sau pasaj. Oamenii și organizaţiile trebuie să se pună de acord între ei cu faptul că Blockchain-ul este un sistem fiabil de folosit în tranzacţii. Dar lumea reală are alte reguli. Pentru ca tranzacţiile cu Blockchain să funcţioneze în lumea reală, este nevoie de un sistem care să gestioneze incidentele (sau problemele) iar aceasta înseamnă punerea la punct a unor legi pe care organele jurisdicţionale să le poată folosi pentru a impune regulile necesare. Având în vedere că Blockchain îşi va face locul său în multe companii și pe pieţe verticale, e evident că foarte curând se va ajunge la un regulament în această direcţie. Potrivit experţilor, există o serie de mituri sau fapte / chei la care se face referire atunci când se vorbește despre Blockchain, care pot fi luate în considerare din diferite puncte de vedere. Refuzarea lor din vina problemelor / defectelor şi apoi aducerea de soluţii acestora demonstrează angajamentul experţilor în domeniu de a depăși obstacolele posibile și de a deschide într-adevăr o cale in viitor acestei noi paradigme, să îndemne oamenii să caute noi sisteme din ce in ce mai îmbunătăţite.
în Blockchain-ul public și, presupunând că nimeni nu a încălcat regulile, li se returnează depozitul plătit. În cele din urmă, este adevărat că tehnologia de bază poate fi greoaie, dar este o garanţie a siguranţei reţelei.
2. Blockchain este etern Fiecare client superior al reţelei de Bitcoin stochează întregul istoric al tranzacţiilor și acest registru poate atinge o dimensiune de 100 GB. Este capacitatea de stocare a unui laptop ieftin sau a unui smartphone mai performant. Cu cât sunt procesate mai multe tranzacţii pe reţeaua Bitcoin, cu atât crește mai rapid volumul acesteia. Cea mai mare creștere a avut loc în ultimii doi ani. Creșterea Blockchain-ului Bitcoin nu este chiar cea mai rapidă; reţeaua rivală, Ethereum, a acumulat 200 GB de istoric al datelor, în doar doi ani de la lansare și în șase luni de utilizare activă. Astfel, durata de viaţă a Blockchain-
1. Blockchain este o paradigmă eficientă, directă și naturală pentru coordonarea activităților umane și mecanice În realitate, toate nodurile care susţin Blockchain fac exact aceleași acţiuni: verifică că tranzacţiile au loc în conformitate cu aceleași reguli date și efectuează operaţiuni identice, înregistrează aceleași informaţii într-un Blockchain, stochează istoricul lor complet, care rămâne același pentru toţi, în mod permanent. Deci, nu există nici un paralelism, nici o sinergie și nici o asistenţă reciprocă. Există doar duplicări instantanee, de milioane de ori. În mod ideal, acest lucru ar putea fi considerat ca fiind opusul eficienţei. Experţii au fost mult timp preocupaţi de viteza insuficientă a tranzacţiilor din sistemul Bitcoin și, pentru a depăși această problemă, au inventat Reţeaua Lightning (Lightning Network). Participanţii la o anumită reţea, care au nevoie de o rată de tranzacţie mai rapidă, au creat un canal separat și, ca o garanţie a integrităţii sale, au făcut un depozit în reţeaua principală Bitcoin. În acest moment, aceștia pot începe să tranzacţioneze plăţi separat și cu orice viteză. Atunci când nu mai au nevoie de acest canal, participanţii înregistrează rezultatele interacţiunilor
ului, în condiţiile actuale, este limitată la un deceniu. Aceste cifre arată evident necesitatea creșterii capacităţii hard-disk-ului. În plus faţă de necesitatea de a stoca o cantitate mare de date, acestea trebuie de asemenea descărcate. Oricine a încercat vreodată să folosească un portofel pentru criptomonede stocate local a descoperit cu surprindere și consternare că acestea nu pot efectua sau primi plăţi până când întregul proces de descărcare și de verificare nu a fost finalizat. Utilizatorii Bitcoin sunt împărţiţi între entuziaștii care descarcă și stochează datele pe computerele lor și oamenii obișnuiţi care utilizează portofele online și au încredere în servere. Există deja o altă metodă mai
21
Focus - Cybersecurity Trends avansată și mai fiabilă: în loc să stocaţi și să procesaţi întregul bloc de blocuri de 100 GB, puteţi descărca și verifica numai antetul blocurilor și tranzacţiilor proof-ofcorrect direct conectate.
3. Blockchain-ul este în creștere și banii convenționali vor dispărea în curând Reţeaua Bitcoin poate procesa până la șapte tranzacţii pe secundă, pentru milioane de utilizatori din întreaga lume. În plus, tranzacţiile Bitcoin-Blockchain sunt înregistrate doar o dată la fiecare 10 minute. Pentru a spori securitatea plăţilor, exista o practică standard de a aștepta 50 de minute in plus, după care tranzacţia devine validată si procesul continuă. Pentru a face o comparaţie, Visa procesează mii de operaţiuni pe secundă și, dacă
sub control, soluţiile au fost deja avansate: una este posibilitatea de a vota schimbările (ceea ce s-a făcut, de exemplu, pentru cripto-valuta Tezos). Se crede că această metodă va reduce în mod semnificativ necesitatea de a recurge la furci și momente de tensiune emoţională între utilizatori.
5. Caracterul anonim și deschis al Blockchain este un lucru bun
este necesar, poate crește cu ușurinţă lăţimea de bandă. La urma urmei, tehnologiile bancare clasice se pot extinde. Dacă banii convenţionali dispar, pe scurt, acest lucru nu va fi din cauza soluţiilor Blockchain.
4. Blockchain este descentralizat, deci este indestructibil Minerii „independenţi” sunt grupaţi in pool-uri (bazine), pe baza ipotezei că este mai bine să aibă un venit mic, dar stabil, mai degrabă decât un câștig uriaș dar nesigur. Kaspersky Lab a identificat 20 de bazine mari de mineri, primele 4 controlând mai mult de 50% din toată puterea de calcul. Accesul la aceste patru centre de control dă posibilitatea de a dubla propriile Bitcoin-uri. Aceasta, după cum vă puteţi imagina, ar devaloriza oarecum cripto-moneda. O ameninţare și mai gravă ar putea apărea dacă majoritatea bazinelor, împreună cu puterile lor de calcul, s-ar afla într-o singură ţară, ceea ce ar face mult mai ușoară preluarea controlului Bitcoins de către o singură naţiune. Nu este însă ușor să se facă schimbări în protocolul unei reţele descentralizate. Pentru a menţine situaţia
22
Blockchain-ul este deschis și toată lumea vede totul, astfel încât nu există o anonimitate reală în acest sistem. Unele revelaţii ar putea fi tolerabile pentru oamenii obișnuiţi, dar letale pentru companii, de exemplu. Toate părţile contractante, vânzările, clienţii, cifrele într-un cont și multe alte mici detalii ar putea deveni publice. Creatorii cripto-monedei Dash (vechiul Darkcoin) au fost primii care au rezolvat problema anonimatului prin intermediul funcţiei PrivateSend. Este destul de simplu: au proiectat un tumbler în interiorul aceleiași monede. Un sistem și mai fiabil este moneda Monero, cu adevărat anonimă. În primul rând, aceasta utilizează semnăturile electronice care permit unui participant al grupului să semneze un mesaj acţionând în numele grupului însuși și, în același timp, împiedicând pe cineva să-l urmărească pe utilizatorul care a semnat. În acest fel, expeditorul își ascunde urmele și, în același timp, protocolul împiedică cheltuirea banilor de două ori. În al doilea rând, Monero utilizează pentru a transfera bani nu numai o cheie privată, ci şi o cheie suplimentară pentru a vizualiza ceea ce este în portofel. În cele din urmă, unii expeditori ar putea genera portofele de o singură utilizare pentru a păstra separate fondurile private de cele provenite de pe pieţe (o recomandare făcută la Bitcoin cu ceva timp în urmă).
6. Minerii garantează securitatea rețelei În mod ideal, minerul se ocupa de controlul și gestionarea procesului de Blockchain, consumând energie electrică pentru a se asigura că rescrierea
istoricului tranzacţiilor necesită aceeași cantitate de timp ca şi pentru a scrie istoricul original (având aceeași putere de calcul în ansamblu). Dar există un risc, numit «atac de 51%», care se aplică și în cazul soluţiilor Blockchain și care înseamnă ca mai mult de jumătate din puterea computaţională utilizată în prezent pentru activitatea de mining ar fi în mâinile unui anumit grup de mineri. Astfel, se poate scrie în mod fals un istoric de tranzacţii alternativ care ar putea să devină „realitate”. Minerii nu îşi pot opri activitatea de mining. Dar acest lucru ar crește drastic probabilitatea ca o singură persoană sau un singur grup să controleze mai mult de jumătate din puterea de calcul rămasă. Mineritul rămâne încă profitabil, iar reţeaua este încă stabilă, dar situaţia se poate schimba în orice moment. Minerii din reţeaua Proof Of Work consumă o cantitate mare de energie electrică și numărul de megawaţi utilizaţi nu depinde de problemele de securitate sau de bunul simţ, ci de motive pur economice: în cazul în care rata de schimb face ca operaţiunea de mining sa genereze profit, procesul va continua să se extindă. Din acest motiv, vorbim despre una dintre cele mai interesante scene de acţiune ale acestor timpuri pentru infractorii cibernetici și despre reale pericole în a monitoriza și a lua măsuri de securitate în Blockchain. Minerii răuvoitori se pot dovedi, de asemenea, o problemă pentru utilizatorii indirecţi: ei pot prelua resurse care se află în dispozitivul utilizat ducând la o creștere a consumului de energie electrică, şi provocând daune dispozitivelor deja compromise, împiedicând utilizarea corespunzătoare a serverelor prevăzute pentru mașini, putând, mai mult, transmite acestora chiar si alte tipuri de ameninţări. Pentru a da o idee despre amploarea fenomenului, un exemplu ar fi operaţiunea „Mine a Million“ în care Kaspersky Lab a identificat un grup sofisticat de hackeri, care a câștigat milioane de dolari prin intermediul unor programe malware din mining (aproximativ 7 milioane de dolari în a doua jumătate a anului 2017).
Din nou, ca și în celelalte cazuri prezentate mai sus, este important să se sublinieze faptul că experţii din industrie s-au concentrat deja pe una dintre caracteristicile paradigmatice ale Blockchain, dezvăluind problemele acestora și imaginând posibilele consecinţe negative. Ca și în cazul Lightning Network sau Monero, atunci când a venit vorba de problema eficienţei paradigmei sau de anonimatul / transparenţa tranzacţiilor / informaţiilor, chiar şi soluţiile miniere de date malware sunt acolo și sunt deja disponibile tuturor: în acest caz specific, ca și în altele, este vorba despre metode de depășire a tuturor obstacolelor posibile într-unul din sistemele care vor guverna viitorul. În acest caz, soluţiile se referă la lumea securităţii informatice și sunt destinate utilizatorilor de toate nivelele: de la persoane private la IMM-uri si la companii mari. Blockchain-ul este doar unul dintre pașii următori planificaţi pentru viitorul nostru, care va avea un impact important, tocmai pentru că va atinge multe aspecte ale existenţei noastre. Prin urmare, este esenţial să fim conștienţi de pe acum, pentru a nu fi nepregătiţi atunci când viitorul va veni și pentru a răspunde noilor provocări pe care tehnologia ni le prezintă, evaluând toate problemele și toate soluţiile posibile, întotdeauna în mod conștient și, mai presus de toate, în mod sigur din punct de vedere tehnologic.
23
Focus - Cybersecurity Trends
Văzut din U.K.: banii vorbesc, pentru prima dată în ultimii 5 ani! În cadrul studiului despre salarii realizat în 2018 de BeecherMadden, a obține o mărire de salariu este primul motiv pentru care asistăm la schimbările de job in domeniul cybersecurity. Timp de 5 ani, evoluția în carieră a fost prima motivație în alegerea unei alte poziții.
Autor: Karla Reffold
Cybersecurity, prin creșterea sa rapidă, a devenit o adevărată industrie, mai ales în ceea ce privește nivelul de conștientizare din cadrul companiilor. A fost așadar inevitabil ca profesioniști ai industriei de securitate on line să nu vadă imediat acest fenomen ca pe o oportunitate în dezvoltarea lor, după ani buni în care sectorul a fost limitat cu resurse umane şi finanţări cronic insuficiente. În acești ultimi ani, am putut observa măriri de salarii an după an, timp în care companiile s-au luptat să atragă noi talente în echipele lor și diverse organizaţii au investit la greu în a dezvolta departamentele lor de securitate. Am putut de asemenea să observăm indivizi promovaţi mult peste nivelul lor de experienţă, și nu au fost puţini aceia care au fost numiţi în poziţii de CISO având doar câţiva ani de experienţă în risc sau securitate.
BIO Karla este Managing Director şi Founder a BeecherMadden. Karla are peste 12 ani de experienţă în domeniul recrutării până la C-Level. Înfiinţată în 2010, BeecherMadden este o companie leader în recrutare în slujba industriei de securitate. Mobilizând relaţiile sale de lungă durată, cunoaşterea industriei şi abordarea bazată pe date, BeecherMadden ajută companii şi candidaţii să ia cele mai bune decizii în procesul de angajare.
24
În aceste condiţii, devine posibil ca „a fi promovat” să fie mai puţin important decât „să câștigi un salariu mai atractiv”. Aceste măriri de salarii produse într-un cadru naţional (englez, n.d.r.) caracterizat de inflaţie şi de o stagnare a salariilor pot și să aibă un impact important asupra întregului ecosistem. Cu Brexit-ul la orizont, certitudinile asupra poziţiei economice și financiare ale Regatului nu mai sunt atât de solide iar acest factor va avea desigur un rol din ce în ce mai mare în ochii cetăţenilor. 79% dintre cei intervievaţi de către BeecherMadden se așteaptă la o schimbare a poziţiei lor profesionale în cursul anului viitor. Pare pe undeva un număr îngrijorător mai ales pentru organizaţiile care se așteaptă de obicei la o nemulţumire, din partea propriilor angajaţi, de cca 20%. Mai mult de atât, companiile de recrutare ţintesc adesea „candidaţii pasivi”, adică pe aceia care nu caută în special să aibă un nou job dar care ar fi deschiși la o schimbare. Aceștia nu au fost până acum consideraţi ca fiind cei mai buni candidaţi - ţintă, deoarece companiile au considerat „mai ușor” să atragă talente dintre persoanele care sunt activ antrenate în a căuta un job mai bun. De aceea unul dintre criteriile cele mai importante care motivează o persoană în a-și schimba job-ul este găsirea unui echilibru mai bun între muncă și viaţa sa personală, cu o flexibilitate a orarului de lucru. Mai multe companii au recunoscut că piaţa cere mai multă flexibilitate şi că acum pot oferi această plus-valoare, inclusiv pentru servicii care erau tradiţional bazate pe prezenţa la birou. O muncă flexibilă și lucrul realizat de acasă au devenit acum un plus foarte des oferit de angajatori, candidaţii devenind mai puţin complexaţi în a cere această opţiune. Mai mult de 50% dintre candidaţi văd munca flexibilă ca un beneficiu mare în meseria lor. Până în 2016, salariile în domeniul cybersecurity au crescut într-un ritm foarte rapid, candidaţii ajungând la măriri de leafă de până la 30% uneori doar dintr-o singură schimbare de angajator. Dar în ultimii 2 ani, companiile au devenit mai înţelepte în căutarea de viitori colaboratori. Echipele sunt acum mult mai mature și angajează persoane potrivite cu competenţe potrivite, la costuri potrivite, fiind un comportament diferit de perioada în care era important pentru organizaţii să înceapă să construiască echipe de la zero. De asemenea, companiile sunt mai degrabă pregătite pentru a aștepta mai mult în a angaja pe cineva decât să semneze rapid contracte cu un profesional sub-calificat. Din faptul că firmele au reușit să ajungă la o mai bună capacitate de a-și asigura securitatea rezultă că există deja persoane la nivel decizional cu vaste cunoștinţe. Acest lucru nu se întâmpla în anii trecuţi când erau cu toţii în proces de a învăţa pe măsură ce în același timp și promovau. Am observat organizaţii care oferă măriri de salarii mult mai mici, sau chiar nu oferă deloc, în obiectivul lor de a lupta împotriva
tendinţei pieţei şi de a prefera să reușească o mărire echitabilă de salariu la nivelul întregii organizaţii.
Poziţie
Ani de experienţă
Intervalul de salarizare
Analyst / Associate
1-3
£28,000-£40,000
Officer / Senior Analyst
3-7
£40,000-£60,000
Manager
7-12
£60,000-£75,000
Senior Manager
7-20
£75,000-£95,000
Head of
3-7
£110,000-£150,000
Director
7-12
£120,000-£170,000
Global Head / CISO
12-20+
£175,000-£450,000
Câteva categorii de job-uri au rezistat totuși acestui trend, majoritatea fiind dintre cele foarte specializate. Arhitecţii de securitate de exemplu câștigă acum salarii care pot ajunge la nivelul de £120,000, în timp ce până acum 2 ani, puţini dintre ei erau plătiţi cu sume care depășeau £90,000, Câteva companii plăteau chiar această categorie profesională cu sume foarte mici, în jurul a £65,000. De aceea, în acest context, vedem că specialiștii din zona incident response au primit măriri semnificative de salarii. Dacă considerăm nivelul de maturitate şi competenţele echipelor de cybersecurity, aceste măriri au sens. Multe organizaţii au construit SOCs în sânul structurii lor, având nevoie astfel de mai mulţi profesioniști cu experienţă în a gestiona incidente şi a atenua riscuri. Ca întotdeauna, profesioniștii care au și talent tehnic și în același timp au și capacitatea de a comunica problematicile legate de securitate în mod clar către lumea afacerilor sunt pe departe cei mai căutaţi și cei mai bine plătiţi.
Ani de experienţă
Intervalul de salarizare
SOC Specialist
1-3
£35,000-£55,000
Penetration Tester
2-7
£55,000-£90,000
Penetration Tester CHECK or eqv qualified
4-12
£60,000-£110,000
Data Protection Manager
4-12
£60,000-£120,000
Incident Response
3-7
£65,000 - £90,000
Security Architect
7-12
£80,000-£110,000
eForensic specialist
4-7
£30,000-£65,000
IDAM specialist
4-7
£40,000-£75,000
Poziţie
Fără să ne surprindă, vedem că cealaltă zonă în care s-au produs creșteri salariale mari este cea a protecţiei datelor. Odată cu introducerea GDPR, organizaţiile au plătit sume importante consultanţilor care le-au ajutat in procesul de punere la punct a procedurilor lor. Mulţi dintre acești consultanţi din domeniul protecţiei datelor au fost plătiţi chiar in mod excesiv, cu sume de până la £1200 pe zi. Când aceste specializări au devenit slujbe permanente, organizaţiile au început să plătească sume de peste £100,000 (uneori chiar aproape de £150,000) specialiștilor cu
experienţă solidă în domeniul data privacy. Astfel vedem cum de exemplu măririle salariale acordate arhitecţilor și ofiţerilor de protecţie a datelor au dus la blocarea măririi salariilor CISOs. Chiar dacă plaja de salarii pentru această categorie este foarte mare, mai mulţi dintre CISO sunt plătiţi cu salarii ce depășesc £300,000, în timp ce salariul mediu normal pentru acest rol este în jur de £150,000 - £180,000, chiar găsindu-se din ce mai rar CISO adevăraţi care să câștige mai puţin de £130,000. De fapt, mulţi specialiști nu doresc să își asume o responsabilitate atât de mare pentru un salariu mai mic decât al celorlalţi câţiva membri din echipa lor. Ei sunt foarte conștienţi de valorile pe care le au de protejat, la fel ca şi consecinţele care pot decurge dintr-o subfinanţare a nevoilor lor. A nu plăti suficient un CISO este un semnal puternic care spune că investiţiile menite să susţină funcţiile necesare de securitate nu vor fi recuperate curând. Astfel, pe de o parte, candidaţii ar trebui: Să aibă așteptări realiste. Fiţi siguri că salariul pe care îl ţintiţi este de fapt potrivit rolului pentru care sunteţi calificat. Așteptările prea mari pot prelungi perioada în care vă găsiţi un nou loc de muncă. Să aibă referințe pentru experiența avută. Vorbiţi cu angajatorul/ firma de recrutare pentru a înţelege cum experienţa și salariul dvs. se situează în comparaţie cu ceea ce există deja pe piaţă. Să ia în considerare posibilitatea de a-și completa abilitățile. Dacă a avansa în cariera dvs. este motivatorul, atunci încercati să preluaţi extra proiecte sau să participaţi la cursuri/activităţi de formare care vă vor îmbunătăţi capacitatea de a gestiona rapid diversele proiecte. Companiile, la rândul lor, ar trebui: Să se asigure că plătesc un salariu corect pentru fiecare poziţie. A plăti mai puţin înseamnă că nu veţi fi capabili să recrutaţi personal, astfel poziţia va rămâne vacantă un timp îndelungat iar această vacanţă va costa mai mult ecosistemul. Să ia în considerare abilitățile de leadership ale șefilor de echipe. A avea un security leader respectat poate să vă ajute să atrageti și să menţineţi profesioniști în companie, candidaţii fiind încântaţi de a lucra împreună cu/de a învăţa de la cineva care este recunoscut in industrie. Să ia în considerare cerințele rolului. Dacă vă veţi asigura că rolul conţine cerinţe care sunt cu adevărat necesare acest lucru vă va ajuta să găsiţi mai rapid cea mai bună persoană. Deseori vedem descrieri ale posturilor care conţin cerinţe care nu sunt cu adevărat relevante și acest lucru poate fi descurajator pentru candidaţi, care vor presupune că organizaţia nu știe ce vrea. Să se miște rapid. Dacă procesul dvs de angajare durează extrem de mult, garantat veţi pierde candidaţii, ei se vor îndrepta către competitorii care îi vor intervieva și le vor face ofertele de angajare cel mai rapid.
25
Focus - Cybersecurity Trends
Observaţiile unui istoric despre coșmarul blockchain-urilor: „byzantine fault” Autor: Laurent Chrzanovski
Una dintre cele mai grave probleme cu care se pot confrunta și cele mai bune blockchain-uri, bazate pe sisteme descentralizate sau distribuite, este aceea de a deveni vulnerabile din vina unei greșeli bizantine „byzantine fault”, i.e. „un defect care prezintă simptome diferite pentru observatori diferiţi” (traducere de Ayala 2016, p. 27)1.
Pentru a preveni acest fenomen în sisteme complet automatizate, câteva companii au dezvoltat o strategie numită «Byzantine fault tolerance», adică niște servicii care admit că nu sunt suficiente componente pentru a considera starea sistemului ca fiind defect. Ca exemplu, Ayala subliniază că «some aircraft systems, such as the Boeing
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
26
777 Aircraft Information Management System and the Boeing 787 flight control systems, use Byzantine fault tolerance». Problema însăși este însă persistentă când umanitatea sau tehnologiile diferite au un cuvânt de spus, ceea ce poate conduce la un «Byzantine failure hack», adică atunci când, confruntând o problemă, centrul de control (uman sau automatizat) nu reușește să ajungă la un acord cu componentele (umane sau automatizate) care gestionează ansamblul ecosistemului de protejat, ceea ce duce la un eșec dramatic în sistem și creează o ușă amplu deschisă către hackeri. Dar care e originea acestei expresii? De fapt, este o prescurtare a unui titlu mai lung, inventat de trei cercetători de vârf din cadrul SRI International. Aceștia au publicat, în 1982, rezultatul final al cercetării lor. Cercetarea a fost comandată de către US Army Research Office și a avut ca obiectiv un studiu al sistemelor integrate în rachetele balistice, pe care l-au numit «The Byzantine Generals Problem»2. Acesta a fost sintetizat în cele patru scheme reproduse mai jos:
© Lamport, Shostak, Pease and ACM, 1982 Oare este – istoric vorbind – adevărat că această problemă a fost recurentă pentru comandanţii armatelor bizantine? Deloc. Autorii articolului au luat
ca sistematică o abordare sintetică și incorectă a istoriei militare a Imperiului Bizantin. De fapt, generalii împuterniciţi de către împărat aveau puterea totală asupra armatei în caz de război. Mai mult, cei mai buni dintre ei încă figurează azi în panteon ca cei mai buni comandori din istorie, cum este de pildă Flavios Belisarios (505-565), care în calitatea sa de singur comandant suprem, cu o armată perfect funcţională, a dublat suprafaţa Imperiului, luând sub control Bizantin aproape jumătate din defunctul Imperiu Roman de Occident. Imperiul, născut în 330 ca Imperiul Roman de Răsărit, a fost unul dintre cele mai mari din Istorie, cel puţin până în 1204.
Imperiul Bizantin înainte (în roșu)de victoriile lui Belisarios și după (în roșu + galben) © Wikipedia Totuși, cercetătorii IT de vârf nu au ales un titlu complet greșit. Problema pe care au pus-o în evidenţă a apărut după 1203-1204, atunci când cruciaţii din toată Europa au renunţat să călătorească până la Ierusalim pentru a încerca să cucerească orașul sfânt și au ales să rămână în Constantinopol. Acolo s-a întâmplat cea mai mare trădare între Creștini. Aceiași cruciaţi au vandalizat și jefuit complet capitala Imperiului – să ne amintim că faimoșii cai de bronz din Bazilica San Marco de la Veneţia au fost furaţi atunci de la hipodromul din Constantinopol. Extrem de slăbit economic după acest episod, Imperiul Bizantin nu a mai putut să își revină la nivelul economic și militar de dinainte de 1203 iar sfârșitul
său a fost foarte încet, căderea Constantinopolului în mâini otomane având loc 250 de ani mai târziu, în 1453. Dar consecinţele militare ale jafului complet al capitalei au fost dramatice. În ultimele două secole și jumătate de supravieţuirea sa, Imperiul a deţinut, desigur, cea mai mare armată din Creștinătate, dar nu a mai reușit să înfrunte singur armatele musulmane. Așadar, generalul șef al armatei bizantine a fost nevoit să se alăture diferitelor corpuri de armată auxiliare constituite de către creștinii din Orient, care nu-i erau supuși și care erau, fiecare, conduși de comandantul lor. Acest sistem a generat o mulţime de trădări, de neînţelegeri și de mari greșeli, care au adus nu puţine victorii cu preţul care s-a adeverit foarte costisitor pentru bizantini - militari morţi pe câmpul de război - sau, mai grav, înfrângeri care au virat în dezastre complete, prin atacuri lansate prea devreme sau retrageri neanunţate de către aceiași comandanţi din cadrul armatelor auxiliare. Aceasta este realitatea care a fost de fapt oglindită în domeniul IT. Problema de bază, a fost, timp de două sute de ani, o lipsă totală de coeziune între principalii comandanţi aliaţi și generalul șef bizantin. Pentru cei interesaţi, acest fenomen a fost explicat în mod magistral de către S. Kyriakidis3, unul dintre cei mai proeminenţi specialiști ai acestei perioade. Revenind la titlu și la problema de IT, o să concluzionăm observând că lipsește numai un simplu adjectiv: târziu; titlul corect ar fi trebuit să fie The late Byzantine Empire Generals Problem. 1 Cf. L. Ayala, Cybersecurity Lexicon, New York 2016, p. 27 2 Leslie Lamport, Robert Shostak, Marshall Pease, The Byzantine Generals Problem, în ACM Transactions on Programming Languages and Systems,Vol.4, No. 3, July 1982, pp. 382-401. 3 Savvas Kyriakidis, Warfare în Late Byzantium (1204-1453), Leiden 2001
În sfârșit o revistă știinţifică destinată tuturor! Așa cum aţi remarcat desigur in ediţiile trecute ale revistei noastre, in secţiunea „recenzii bibliografice”, multe dintre cele mai valoroase cercetări, de la simple articole până la volume întregi, sunt editate de reviste si de edituri care sunt disponibile numai în marele baze de texte știinţifice, și care pot fi accesate în mod gratuit doar în universităţi de prestigiu, sau pot fi achiziţionate contracost la preţuri foarte mari (de la 40 USD pentru un articol, pană la 300 USD pentru un volum). Această discriminare între cine are acces si cine nu la această informaţie, nu poate, pe termen lung, decât sa genereze un elitism al culturii de securitate digitală, care tinde să se bazeze nu atât pe meritul știinţific al cercetătorilor cât mai ales pe locul in care trăiește sau studiază acesta. De aceea, nu putem decât să spunem un mare „bravo!” casei de editură elveţiene MDPI, care va lansa din toamnă
această revistă trimestrială „Cybersecurity”, revistă ce va fi disponibilă gratuit online pe site-ul: http://www.mdpi.com/ journal/cybersecurity.
Un mare plus al acestei reviste este faptul că are un comitet știinţific internaţional de excepţie, care își propune nu doar să publice texte relevante, peer-reviewed, asupra tematicilor de vârf, dar și să joace rolul de pod intre cybersecurity, cyberprivacy, tehnologie și guvernanţă, ceea ce constituie o adevărată revoluţie în lumea mică a unui awareness de calitate. Îi dorim mult succes și ne bucurăm anticipat să citim primul său număr!
27
Focus - Cybersecurity Trends Cybersecurity: mai multă siguranţă, costuri mai mici. Prin colaborare şi cultură de rezilienţă! VIP din toată Europa şi două sectoare critice vor da exemple de soluţii aplicabile, începând de la marile industrii până la IMM-uri. (Urmare din pagina 9) actori, ci neîncrederea a peste 70% dintre colaboratori şi a diferitelor departamente aflate în interiorul companiilor înseși. Acest war game este așadar singurul care poate permite simularea unei crize reale în timp ce în cadrul exerciţiilor de criza obișnuite, efectuate in interiorul unei firme, nu se manifestă aceste fenomene de lipsă de încredere şi de refuz de colaborare între angajaţi. Inteligenţa artificială. Deja a devenit cel mai mare risc de până acum, şi suntem doar la început! Prost tradusă în limbile latine, „Artificial Intelligence” este pentru moment, pe piaţă, ceea ce înseamnă ea în limba engleză, adică „căutare” şi „selectare” a informaţiilor in mod automatizat. Ori deja această tehnică este folosită cu un impact exponenţial mai mare de către hackeri decât de către cei care lupta pentru securitatea on line. Problema este că vom ajunge încet, încet, la o „inteligenţă artificială” în sensul latin al cuvântului. Debranșarea serverelor a unui «big five» pentru că începuseră să comunice între ele într-un limbaj care nu era limba engleză și care nu era comprehensibil de către ingineri, a lansat deja o alarmă care i-a determinat pe Bill Gates, Elon Musk și peste o sută dintre cei mai mari patroni ai SUA să ceară Statului să ia măsuri și să facă reglementari care să împiedice să ajungem la sfidarea legii roboticii a lui Asimov, cu unelte IT care nu mai vor răspunde la comenzile stăpânilor lor... O dezbatere «davos-style» cu 10 specialiști internaţionali de renume în cadrul acestui congres va face o analiză a situaţiei și mai ales va clarifica pentru întreprinderi unde poate să fie utilă «Artificial Intelligence» și unde un profesionist de top rămâne cea mai bună variantă de siguranţă pentru companie. VIPs la dispoziția participanților. La Sibiu nu este nimic de vândut. Nu se vorbește tehnic. Politica şi vorbele goale nu sunt la ele acasă. Dimpotrivă, evenimentul este conceput pentru a avea prezentări de înaltă calitate, pe teme rar dezbătute in congresele cu uși deschise. În plus, locul a fost ales în mod special, pentru ca participanţii săi să poată petrece mai multe momente de networking într-o atmosferă destinsă, iar fiecare să aibă atât ocazia de a oferi cât și de a învăţa multe lucruri. În pauzele de cafea, la prânz, cocktail sau cină, veţi putea dialoga cu unii dintre cei mai buni factori de decizie și specialiști publici și privaţi din Europa și nu numai, personalităţi care, în cadrul evenimentelor din marile capitale ar pleca imediat după speech-ul lor! Oare nu sunt iarăși promisiuni de care nu se vor ţine? Nu. La Sibiu nu a fost niciodată un VIP „tbc” iar tematicile propuse mai sus au fost iniţiate si duse bun sfârșit de fiecare dată, cu succes, aducând mulţumire si satisfacţie acelorași actori de top de la congresele-gemene de la Porrentruy (Cybersecurity-Switzerland, decembrie 2017) si de la Noto (Cybersecurity-Mediterranean, mai 2018). Panelul transporturilor, care a excelat în Sicilia în interacţiunea factorilor de decizie ai IATA, Boeing, Aviation Isac, Interoute, Swissport, Bolloré Logistics, Orange, JRT, ENAV sau Thalès - a arătat că este mai mult decât urgent să începem să ne gândim la o siguranţă comună, pentru că, dacă aviaţia își asumă datoria în mod exemplar, comunicarea rămâne un domeniu potenţial fragil iar multiplicarea platformelor intermodale (trenuri, camioane, mașini, vase, etc.) încep să pună probleme din ce în ce mai mari care afectează în mod direct industrii și ţări.
Vă așteptăm în 13 şi 14 septembrie la Sibiu! 28
O publicație get to know!
şi
Notă copyright: Copyright © 2018 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Editorii ţin să mulţumească D-rei Lucia Sevestrean pentru ajutorul dat la traduceri, corecturi și adaptarea terminologică a articolelor în limba franceză. ISSN 2393 – 4778 ISSN-L 2393 – 4778 Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-330.92.82 Fax 021-330.92.85 http://www.agora.ro http://cybersecuritytrends.ro
şi get to know!
vă aşteaptă la: