Cybersecurity Trends
Nr. 4 / 2018
Exclusiv: ate m Forţele aur ajutorul c a t p u l r o v iva r t o p m î u sa
AI?
5G -
multe avantaje, dar și mai multe riscuri
!
Keep the dates ! CYBERSECURITY - MEDITERRANEAN 2nd Edition Florence, 9th -10th of May 2019 All details soon on: www.cybersecurity-mediterranean.it
ends Editorial - Cybersecurity Tr
Autor: Laurent Chrzanovski
C
operta acestui număr conţine fotografia unui telefon Nokia fabricat exact acum 20 de ani, cu tehnologia 2G, ultima de dinainte de „revoluţia 3G”, cea care ne-a adus internetul pe micile ecrane ale telefoanelor noastre mobile. Dar această „revoluţie”, care totuși a antrenat costuri mari și mergea destul de slab, nu a fost nimic în comparaţie cu ce ne așteaptă, adică trecerea la GA, care va multiplica de 30 de ori viteza datelor accesate sau transmise de pe un dispozitiv mobil. Datele noastre, pentru care au fost create și implementate nu doar GDPR dar și o avalanșă de acte normative și regulamente de securitate, vor fi centrale într-un nou ecosistem unde nicio lege sau regulament nu ne poate fi de ajutor. Utilizatorul individual, singur, va folosi sau nu smartphone-ul său punând, sau nu, în
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
pericol întreaga societate în care evoluează: familie, prieteni, loc de muncă și așa mai departe. De peste un an omul a depășit deja cu ușurinţă cantitatea de date citite, elaborate sau trimise pe dispozitivele sale „smart” faţă de datele folosite prin intermediul propriului laptop. Dar un smartphone nu este un laptop. Este o verigă extraordinar de slabă, nesigură și ne-securizabilă, pusă în mâinile noastre. Mai bine spus, pusă în buzunarele noastre pentru a ne monitoriza toată viaţă, în primul rând de către GAFAM, în cazul în care nu am setat la maxim parametrii de confidenţialitate și am ales să nu avem instalat niciun app în plus faţă de cele care ne sunt impuse de către producător. În aceste vremuri apar cam 400 de aplicaţii pe zi, unele reale iar altele criminale care le imită pe cele reale. Nicio companie de antivirus nu va putea să fie atât de eficientă împotriva acestora din urmă, deoarece un app poate fi la fel de complicat ca și un întreg program software. Legăturile cu cloud-ul și cu alte instrumente, dar și blocajul lor vor deveni un fel de „ultimă linie de apărare înainte ca un malware încărcat pe un telefon să infecteze tot sistemul, de la laptop la cloud și la servere”. Ce ne așteaptă este evident deja încă din 2017, când am avut de-a face cu malware-ul financiar „Cobalt/Carbanak”. Criminalii au datorat o mare parte din succesul lor si din miliardele de USD furate download-ului pe smartphone-uri a unui simplu joc, Jewels, în varianta sa falsificată. De la smartphone virusul a ajuns la servere, și astfel și-a făcut datoria. Și mai periculoase sunt acele spywares sau aplicaţiile care activează și folosesc smartphone-ul dvs. prin buna voinţa a stăpânului lor, cum este camera video sau simplul microfon, deoarece sunt de ce în ce mai performante. Nu mai suprasolicită bateria, nu mai determină telefonul să aibă comportamente bizare, practic acestea nu se mai pot identifica la nivelul sistemelor prin niște anomalii funcţionale majore. În această perioadă istorică în care războiul economic este în vârful priorităţilor statelor dar și al companiilor private aceste unelte vor cunoaște o creștere exponenţială, mai ales în Europa, unde continuăm să avem întâlniri la vârf și meeting-uri strategice cu telefoanele și tabletele pe masă... Ceea ce veţi face cu telefonul mobil (da, telefonul încă ar trebui să nu fie primul computer din viaţa noastră) vă va influenţa viitorul. În bine, dacă sunteţi precaut și folosiţi avantajele acestei acceleraţii exponenţiale a vitezei de transmitere, sau în rău, dacă descărcaţi orice, de oriunde... Până atunci însă mai avem de sărbătorit un Crăciun și un început de an pe care eu și toată echipa de redacţie vi le dorim să le aveţi cât mai sănătoase și fericite!
1
ends Authorities - Cybersecurity Tr
Î
Autor: Marco Obiso Cybersecurity Coordinator, International Telecommunication Union, Geneva
n anul în care sărbătorim aniversarea de 10 ani a programului mondial „Child Online Protection”, dorim să evidenţiem implicarea Swiss Webacademy, editor al Cybersecurity Trends, în cadrul acestuia. Mulţumită Swiss Webacademy, cele mai recente versiuni ale ghidurilor pe tema Child Online Protection (COP) au fost traduse în limba română și promovate, iar expoziţia „Eroi și victime ale Social Media, de la hieroglife la Facebook”, sponsorizată de ITU, a fost organizată în toată România pe parcursul ultimilor ani. 2018 este și anul în care a fost organizată prima ediţie a „Cybersecurity Mediterranean” (Noto, 10-11 Mai) – lansată de Swiss Webacademy, unde directorul COP din cadrul ITU, Carla Licciardello, a avut oportunitatea de a interacţiona cu școlari în timpul tradiţionalei „zile a conștientizării”. Caravana de evenimente internaţionale PPP, fiecare precedate de „ziua conștientizării” pentru copii și adulţi, a ajuns în acest moment să se compună din 3 congrese macro-regionale (cu evenimente în România, Elveţia și Italia), sprijinite de parteneri instituţionali din 8 ţări. Iar revista online semestrială Cybersecurity Trends, tradusă în 4 limbi și adaptată contextului specific naţional din Franţa, Italia, Marea Britanie, România și Moldova, continuă să apară în mod regulat.
Implicarea Swiss Webacademy, una dintre primele organizaţii care a semnat „Paris Call for Trust and Cybersecurity in Cyberspace”, în timpul evenimentului anual Internet Governance Forum (IGF) confirmă disponibilitatea de a împărtăși experienţe și de a aduce contribuţii de înalt nivel în vederea lărgirii cunoștinţelor asupra ecosistemului în care trăim. Îndeplinirea și consolidarea acestor obiective au fost realizate prin multă voinţă, energie dar și generozitate de către echipa non-profit de la Swiss Webacademy. Iar acest lucru trebuie subliniat, mai ales în contextul acestui an, când s-a înregistrat o scădere a evenimentelor neutre la nivel internaţional. Cu acest nou număr al Cybersecurity Trends dedicat unor subiecte foarte fierbinţi, editorii revistei își propun să pună în valoare, cu obiectivitate, puncte de vedere ale unor cercetători, specialiști și experţi. Este de menţionat faptul că, de la utilizatorii și profesioniștii din domeniul securităţii la „vânzători”, toţi au o preocupare comună: fragilitatea oricărui sistem, în special în ceea ce privește interfaţa sa umană, în cazul în care instrumentele tehnologice și abilităţile umane nu sunt perfect „sincronizate”. Încă o dată, implicarea noastră în construirea continuă a unei culturi a riscurilor digitale va fi elementul care va da acestei performanţe fie o valoare adăugată, fie va reprezenta o sursă suplimentară de risc. Vă dorim, dragi cititori, un 2019 cu multă sănătate! Lectură plăcută!
2
Evoluţii ale ameninţării cibernetice în anul 2018
Autor: Cătălin Aramă
Din perspectiva activităţilor și competenţelor specifice CERT-RO, anul 2018 a evidenţiat o creștere atât în intensitate cât și în complexitate a modurilor de manifestare a ameninţărilor cibernetice, în special pe coordonata agresiunilor cibernetice motivate financiar (criminale). Această motivaţie a agresiunilor cibernetice este și va fi în continuare unul dintre principalii factori care va determina atacatorii cibernetici să dezvolte tehnici de atac din ce în ce mai sofisticate și, de asemenea, să valorifice toate oportunităţile pe care le oferă viaţa de fiecare zi, care este din ce în ce mai conectată cu mediul online, pentru a găsi noi ţinte și a le exploata vulnerabilităţile.
BIO Cătălin Aramă este Directorul General al Centrului Național de Răspuns la Incidente de Securitate Cibernetica (CERTRO). Cu peste 15 ani de experiență în industria IT, acesta a deținut funcții de conducere, atât în mediul public, cât și în mediul privat. El a fost președinte al Clusterului IT Dunărea de Jos și administrator al primului Software Park din România, precum și președinte al Centrului Național România Digitală, instituție în subordinea Ministerului Comunicațiilor și Societății Informaționale. Dl. Aramă este doctorand la Academia de Poliție Alexandru Ioan Cuza, Şcoala Doctorală de Ordine Publică şi Siguranţă Naţională și deține un Master în Drept și Administrație Publică Europeană.
Astfel, în anul 2018, au cunoscut o creștere semnificativă atacurile cibernetice de tip phishing. Cu o inginerie socială bine pusă la punct și adaptată cerinţelor diferitelor tipuri de consumatori, atacatorii au explorat și exploatat în același timp atât metoda clasică a emailului trimis sub formă de oferte ale unor companii cunoscute cât și metoda mai nouă/mai puţin folosită până în prezent a phishingului prin telefon. Nu vrem să discutăm aici despre numărul de victime, însă este esenţial să subliniem faptul că nivelul de pregătire a populaţiei atât în ceea ce privește înţelegerea acestui tip de ameninţare cât și în ceea ce privește semnalarea acestor moduri de manifestare a ameninţării cibernetice trebuie mult îmbunătăţit. Subliniem aici rolul fundamental al existenţei unui cadru legislativ în domeniul securităţii cibernetice care să asigure atât funcţionarea instituţiilor cu competenţe cât și educaţia populaţiei în acest domeniu, pe categorii de vârstă și sociale. O altă modalitate de manifestare a ameninţărior cibernetice în anul 2018 o reprezintă atacurile de tip cryptojacking (minare de criptomonedă). În esenţă, este vorba despre folosirea, de către atacatori, a resurselor utilizatorilor (putere de procesare) unor site-uri pentru minarea de criptomonedă. Creșterea exponenţială a valorii diferitelor tipuri de criptomonedă nu a trecut neobservată, fiind valorificată de atacatorii care au identificat imediat potenţialul oferit de varietatea de utilizatori ai resurselor Internet precum și de noutatea tipologiei de atac, relativ puţin cunoscută până în perioada prezentă. Atacurile de tip ransomware rămân, în continuare, unul dintre instrumentele utilizate de criminalii cibernetici pentru obţinerea de foloase necuvenite. Imaginaţia atacatorilor, pe această direcţie, este foarte creativă, aceștia neavând nici o problemă în reutilizarea unor fragmente de cod din aplicaţii deja cunoscute pentru derularea acestui tip de atac. Pericolul ransomware nu provine numai din faptul că produce pagube financiare dar și din faptul că poate duce la afectarea vieţilor omenești în situaţii în care sunt atacate instituţii din domeniul sănătăţii. Desigur, enumerarea și analiza tipologiilor de atacuri cibernetice pot fi aprofundate cu elemente tehnice și de context operaţional, dar apreciem că cele mai importante elemente care trebuie evidenţiate și puse în aplicare în mod imediat sunt următoarele: Creșterea nivelului de conștientizare a utilizatorilor de Internet despre pericolele existente în mediul online, despre modul de manifestare al acestora precum și despre măsurile de securitate ce trebuie aplicate pentru evitarea acestora; Cooperarea între entităţile de stat, private și mediul academic pentru stabilirea unei abordări comune în ceea ce privește combatarea diferitelor tipuri de manifestare a ameninţării cibernetice; Semnalarea către CERT-RO a unor astfel de incidente/tentative, în scopul prevenirii materializării și extinderii acestora.
3
ends Authorities - Cybersecurity Tr
Hardware-hacks O altă dimensiune a securităţii cibernetice Autor: Mihai Vişoiu, Cyberint
Securitatea cibernetică a dominat primele pagini ale publicaţiilor occidentale din ultimii ani prin subiecte legate de scurgeri de informaţii, influenţarea rezultatelor unor alegeri publice şi atacuri cibernetice în contextul noului tip de conflict, războiul hibrid.
Într-un articol publicat în 4 octombrie a.c. cu titlul „The Big Hack: How China Used a Tiny Chip to Infiltrate US Companies / Marele Hack: cum a folosit China un cip minuscul pentru a infiltra companiile americane”, publicaţia Bloomberg Businessweek a expus o nouă latură a ameninţării la adresa securităţii cibernetice, Hardware hacks, survenită în 2015. În articol este prezentată (presupusa) compromitere a serverelor a 30 de companii americane, inclusiv a giganţilor Amazon şi
Apple, precum şi a unor agenţii din sistemul de securitate naţională în urma unui incident de securitate major cauzat de o componentă de hardware. Citând o serie de surse anonime din companiile afectate, precum şi foşti şi actuali oficiali din zona de securitate naţională a SUA, articolul susţine că serverele realizate de unul din principalii producători la nivel global, Supermicro, prezentau o alteraţie majoră: prezenţa unui microcip pe plăcile de bază. Această componentă modifica core operating system de aşa manieră încât acesta să accepte modificări şi să contacteze alte computere controlate de atacatori pentru a recepţiona cod suplimentar şi instrucţiuni ulterioare. Practic, în momentul în care un server era instalat şi pornit, acesta devenea o cale de acces liberă pentru atacatori. Cum aceste servere erau utilizate în centrele de date ale principalilor actori din zona de IT&C şi chiar a autorităţilor publice şi agenţiilor de
4
intelligence, după cum e susţinut în articol, ramificaţiile acestui “atac” sunt majore. Hack-urile care vizează elemente de hardware au un grad mai ridicat de dificultate în realizare decât cele de software, însă efectele pe care le produc pe termen lung pot avea un impact devastator. Practic, componentele maliţioase fie sunt introduse în procesul de manufacturare, fie produsele sunt manipulate în tranzit, modificările fiind implementate până acestea ajung la clientul final. Neidentificată înaintea conectării, o astfel de alteraţie îşi poate îndeplini funcţiile fără a fi neutralizată pentru perioade semnificative de timp. De altfel, după cum a evidenţiat Bloomberg Businessweek, dacă unor companii precum Apple şi
Amazon le-a trebuit timp şi o doză de şansă să identifice această problemă, care este probabilitatea ca alte companii, care beneficiază de resurse semnificativ mai reduse, să prevină vulnerabilităţile de securitate provenite din alteraţii de hardware. Principala barieră în realizarea hack-urilor de hardware este reprezentată de filtrele de securitate, însă acestea sunt departe de a fi infailibile. Deşi componentele hardware sunt proiectate în emisfera vestică, procesul de producţie se realizează
în proporţie covârşitoare în Asia de sud-est, o zonă supusă unor alte cerinţe de calitate şi în care companiile-mamă nu pot avea acelaşi control. Dacă veridicitatea faptelor expuse necesită dovezi suplimentare1 sau, cel puţin, rezultatul unor anchete oficiale ale autorităţilor implicate, în măsura în care acestea pot fi făcute publice, ideile centrale prezentate ridică de la sine un număr de semnale de alarmă.
Mai întâi, este relevantă dilema expusă în articol conform căreia companiile trebuie să aleagă între a avea un număr mai redus de produse, dar al căror securitate o pot garanta, şi toate produsele de care au nevoie, însă să se expună unor riscuri, companiile alegând de fiecare dată a doua opţiune. Această observaţie este corectă, iar companiile nu pot fi condamnate pentru încercarea de a înregistra un profit mai mare. Cu toate acestea, referitor la securitatea în mediul cibernetic, acest principiu elementar al economiei conform căruia un cost mai mic de producţie rezultă într-un câştig mai mare pentru părţile implicate nu poate fi ilustrat în alb şi negru, ci ocupă, mai degrabă, diferite nuanţe de gri. Această situaţie este datorată în principal prin prisma faptului că orice vulnerabilităţi de securitate se traduc, în termeni financiari, în posibile pierderi considerabil mai mari decât câştigurile rezultate dintr-un lanţ de producţie şi distribuţie cu costuri mici. Includerea în ecuaţie a unor elemente precum acţiunile unor companii listate la bursă şi luând în considerare că aceste companii şi-au axat campaniile de marketing pe securitatea oferită clienţilor, făcând din acest aspect principalul asset al produselor lor, reprezintă un argument important pentru care securitatea reprezintă un factor cuantificabil din punct de vedere financiar. De altfel, giganţii din domeniul IT au realizat profituri semnificative şi pentru că produsele lor au fost selectate pe criteriul securităţii oferite. Întrebarea care rezultă în mod natural este ce poate fi făcut pentru ca astfel de situaţii să fie contracarate eficient? Dat fiind faptul că procesul de manufacturare se desfăşoară, cu precădere, în alte state, zona Asiei de sud-est fiind dominantă în acest sens, autorităţile au posibilităţi limitate în identificarea problemelor şi breşelor de securitate. Mai mult, în unele cazuri, aşa cum este stipulat în articolul din Bloomberg Businessweek, cadrul legal limitează procesul de investigare până la înregistrarea unor „victime», iar specificitatea domeniului IT dictează că, din acel moment este deja „prea târziu» pentru a remedia situaţia creată, pagube majore fiind deja produse.
Astfel, (1) vigilenţa autorităţilor, publice sau private, cu rol în controlul de securitate este un factor determinant. Un alt aspect important constă în (2) permanenta adaptare a cadrului normativ pentru a ţine pasul cu evoluţiile tehnologice, prezenţa pe agenda publică a temelor referitoare la securitatea cibernetică fiind, de asemenea, deosebit de importantă.
Totodată, într-o lume interconectată, un subiect ca responsabilitatea securităţii cibernetice depăşeşte sfera autorităţilor şi revine şi clienţilor, fie ei din rândul companiilor sau clienţi individuali. Astfel, (3) conştientizarea riscurilor de securitate este crucială, iar punerea în balanţă în momentul achiziţionării unor produse sau servicii a acestora, pe acelaşi nivel cu preţul, devine elementul fundamental în menţinerea securităţii cibernetice globale. 1 Articolul Bloomberg Businessweek a generat o un număr semnificativ de reacţii, atât în rândul companiilor şi instituţiilor implicate, cât şi al presei. Concluzia general agreată în rândul publicaţiilor a fost aceea că situaţia prezentată este plauzibilă, însă este necesar un număr suplimentar de dovezi.
Bibliografie 1 https://www.bloomberg.com/news/features/2018-10-04/the/big-hack-how-china-used-atiny-chip-to-infiltrate-america-s-tio-companies 2 https://www.washingtonpost.com/ blogs/erik-wemple/wp/2018/10/22/yourmove-bloomberg/?noredirect=on&utm_ turn=.5320521c2914 3 https://www.macworld.com/article/3310613/ security/apple-strongly-denies-bloombergs-chinesehacking-report.html 4 https://www.theguardian.com/commentisfree/2018/oct/13/tech-giants-us-chinese-spy-chipsbloomberg-supermicro-amazon-apple 5 https://mashable.com/article/chinese-hardwarehack-bloomberg-apple-amazon/#3S.Xwr3Hkgqm
5
Focus - Cybersecurity Trends
Securitatea sistemelor IT critice: ce facem când nu avem PATCH-uri?
Autor: Virgilius Stanciulescu,
Director IT, ANCOM
Rețelele sistemelor industriale de control (ICS) și rețelele IT clasice devin din ce în ce mai întrețesute, interconectate, sau, hai să spunem, „convergente”. Stațiile de lucru și serverele din rețelele ICS care utilizează sisteme standard de operare IT, cum ar fi Windows, devin din ce în ce mai frecvente. Din păcate, deși operatorii ICS sunt conștienți, totuși apelează în continuare la tehnologii comune, larg utilizate și accesibile astfel că aceste opțiuni fac ca rețelele ICS să fie mai vulnerabile decât oricând la hacking, în special atacurile malware și ransomware.
De exemplu, atacurile NotPetya și WannaCry ransomware dar și cele de după ele au dovedit că atacurile cibernetice cu siguranţă nu doar că nu vor înceta şi vor căpăta noi și noi forme atât tehnice cât și de monetizare, dar și că pur și simplu aplicarea de patch-uri (pachete de corecţie) poate să împiedice infectarea sau răspândirea și că această simplă măsură poate fi extrem de eficientă. Aceste două atacuri s-au bazat pe exploatarea vulnerabilităţii Eternal Blue (un defect de securitate în cadrul mai multor versiuni ale sistemului de operare Windows), pentru a infiltra și bloca sistemele vitale, cerând o răscumpărare pentru a le debloca. Cu toate acestea, patch-ul util pentru prevenirea atacurilor a fost deja disponibil cu câteva luni înainte de a avea loc. Se pune întrebarea de ce multe organizaţii importante nu au avut aplicate patch-uri, lăsând sistemele vulnerabile?
Downtime = Costuri Prima problemă este aceea că reţelele industriale mari, infrastructura și reţelele comerciale sunt, de obicei, gândite să funcţioneze la aproape maximum de capacitate și implică de multe ori producerea unui
6
produs, fie că este vorba de electricitate, o mașină, un aliment sau o jucărie. Deci, când sistemele scad capacitatea sau producţia se oprește, există un impact financiar asupra operatorilor / proprietarilor. Nimic surprinzător, e destul de clar că operatorii comerciali nu doresc întreruperea sistemelor foarte des pentru a instala patch-uri. Această fereastră de timp este planificată cu mult timp înainte și adesea pot trece luni de zile sau chiar un an până la următoarea fereastră de patch-uri. Deci, în
cazul amintit doar ca exemplu, este posibil ca în timp ce patch-ul Microsoft era disponibil în martie, unele companii să nu fi ajuns în perioada de patchuri planificată atunci când primul atac a avut loc în luna mai.
A risca sau nu În alte cazuri, companiile, deși derulează o analiză risc / beneficiu, aleg să nu aplice patch-uri, ignorând faptul că multe atacuri moderne pot distruge complet întreaga reţea ICS și că nu este vorba dacă reţeaua va fi atacată / compromisă, ci când se va întâmpla asta. Motivul cel mai frecvent este pur și simplu asumarea că sistemele funcţionează ca atare și
nimeni nu își asumă gestionarea schimbării, perioadele de nefuncţionare. Deși ilogic, există multe companii care își asumă sau mai degrabă speră că în cazul apariţiei infectării costurile vor fi mai mici decât costurile generate de întreruperi ale producţiei, în ideea că poate infectarea nu se va produce niciodată sau extrem de rar. Inutil de spus că această practică nu este recomandată.
Uneori chiar nu se poate Există și cazuri în care într-adevăr mitigarea riscului prin aplicarea de patch-uri de actualizare nu se poate face: există adesea sisteme, dispozitive
BIO Cu o experiență de 20 de ani IT&C, atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, conduce Direcția IT a ANCOM, Virgilius încearcă cu spirit analitic și managerial să ducă ANCOM pe drumul transformării digitale. Viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure, o parte din sistemele de bază fiind operaționale și constituind bază de dezvoltare în continuare. Sistemul Integrat pentru Managementul Spectrului Radio, un sistem critic pentru managementul comunicațiilor în România este unul dintre ele, iar platforma eControl i-a urmat. Deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, expert în securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare în vederea respingerii atacurilor cyber.
vulnerabilităţile software au fost patch-uite. Este posibil să existe o vulnerabilitate necunoscută nimănui în afara câtorva hackeri de elită - așa-numita exploatare „zero day”, așa cum era EternalBlue înainte de a fi dezvăluită publicului. În aceste cazuri, de cele mai multe ori nici compania care face software-ul nu știe despre problemă, deci teoretic nu există patch. Există, de asemenea, cazuri în care terţii care deţin sau gestionează echipamente în cadrul reţelelor operaţionale neglijează actualizarea acestor sisteme în timp util. Aceste terţe părţi ar putea avea, de asemenea, conexiuni în reţeaua ICS. În astfel de cazuri, operatorii ICS nu pot controla dacă sistemele sunt actualizate, tocmai pentru că ele funcţionează în conformitate cu SLA (acorduri privind nivelul serviciilor) și posibil să și partajeze date cu terţa parte.
Ce facem când nu se poate? și aplicaţii critice care nu au patch-uri, deoarece sunt depășite, end-of-life, nu mai au suport, nu există patch pentru ele, sau nu există condiţii tehnice pentru a se aplica, de exemplu nu există memorie liberă pentru a instala un patch. Și într-adevăr, actualizare la zi nu înseamnă neapărat că toate
Având în vedere diversitatea motivelor pentru care patch-urile nu sunt posibile, există totuși în aceste cazuri opţiuni disponibile pentru a proteja operaţiunile și dispozitivele din sistemele ICS:
7
Focus - Cybersecurity Trends
Audit intern Primul pas important este realizarea unui inventar intern sau a unui audit al sistemelor conectate, identificarea potenţialilor vectori de ameninţare și definirea nivelului de risc. Multe companii nu au hărţi exacte ale fluxurilor de date sau ale arhitecturilor de sistem, care sunt extrem de utile pentru securitatea informatică eficientă. Dacă nu știm unde suntem vulnerabili, nu există nicio modalitate de a atenua posibilitatea atacului cibernetic. Un audit poate fi efectuat manual sau cu ajutorul unui instrument automat de descoperire a dispozitivelor de reţea, deși multe organizaţii evită utilizarea instrumentelor automate, deoarece ar putea perturba operaţiile prin adăugarea unei încărcări suplimentare în reţea, chiar mici uneori. De obicei, nu trebuie căutat prea departe pentru a găsi sisteme și dispozitive conectate care au vulnerabilităţi cunoscute sau potenţiale, dar găsirea tuturor acestora poate fi o provocare. Cu toate acestea, impactul asupra întregii reţele a unui dispozitiv sau un sistem care poate fi infectat poate fi totuși limitat. Eliminarea conexiunilor care nu sunt necesare Uneori dispozitivele sunt conectate la reţele externe fără nici un motiv cu adevărat necesar. Fie că este vorba de o arhitectură defectuoasă a reţelei, de lipsa unor proceduri de securitate clar definite, de solicitări urgente de acces la date sau de a face acest lucru deoarece se poate face, sistemele și echipamentele conectate inutil sunt cauza principală a infecţiilor și a proliferării malware. Aceasta include, de asemenea, conexiuni cu terţe părţi care nu (mai) au nevoie de acces la reţeaua ICS. Fiecare conexiune la o reţea externă, indiferent cât de bine este monitorizată, reprezintă o posibilă cale pentru un atac în reţeaua ICS. Mulţi operatori ICS sunt neavizaţi în ceea ce privește securitatea informatică, iar unii nu au nici măcar un singur rol dedicat, ba chiar au diverse persoane care au creat diverse conexiuni iar aceste persoane poate nici nu mai sunt în companie. Astfel că pentru fiecare conexiune care este eliminată, se elimină și nevoia de protecţie, atenţie și vigilenţă din partea unui grup cât mai restrâns.
8
Segmentarea Crearea unui mediu protejabil înseamnă, de asemenea, segmentarea reţelei ICS de sisteme de control industrial în sine și crearea unor niveluri de securitate în cadrul acesteia. Prin crearea mai multor segmente de reţea, fiecăruia i se poate atribui un nivel propriu de securitate și încredere, iar fluxul de date între fiecare segment poate fi limitat și monitorizat. Segmentarea poate, de asemenea, să ajute la atenuarea traversării laterale în caz de penetrare, în cazul în care hackerii sau malwareul vor să sară de la un dispozitiv / sistem / staţie de lucru la altul. Implementarea securității bazată pe hardware: sens unic Destul de des, propunerea de a deconecta conexiunile la reţeaua ICS, indiferent de cât de simplă sau complexă, poate duce la presiuni din partea utilizatorilor finali cu diferite roluri IT sau de business sau terţe părţi care doresc acces la date ICS. În aceste cazuri, se recomandă
ca operatorii să schimbe cât mai multe dintre aceste conexiuni într-o singură direcţie, utilizând o diodă de date sau un dispozitiv cyber similar bazat pe hardware. O diodă de date este un dispozitiv bazat pe hardware care impune fizic un flux unic de date. Se impune o singură cale pentru fluxul de date, permiţându-i să curgă de la un compartiment la altul, dar nu înapoi. Ca sisteme de transfer de date într-o singură direcţie, diodele de date sunt folosite ca instrumente de securitate cibernetică pentru segmentarea și protejarea reţelelor împotriva ameninţărilor cibernetice externe și pentru prevenirea penetrării din orice sursă externă. Acestea permit transmiterea datelor către utilizatorii care au nevoie de aceasta, fără a permite accesul înapoi, ceea ce poate fi extrem de util pentru reţelele nepatch-uite sau neînchise în alt mod. Diodele de date susţin în mod eficient o arhitectură «air-gapped» din exterior, permiţând în același timp continuarea fluxurilor de date din reţeaua ICS. Firewall-urile și instrumentele cyber bazate pe software sunt, de obicei, prima linie de apărare, și primele la care ne gîndim atunci când se are în vedere construirea unui zid de securitate în jurul reţelelor sensibile. Din păcate, pe lângă faptul că au propriile probleme cu atacuri de tip zero day, firewall-urile presupun ele însele gestionarea continuă a schimbării, configurarea, și manangementul actualizărilor. Dimpotrivă, diodele de date adesea nu necesită nicio gestionare a schimbărilor, deoarece acestea nu necesită reconfigurare, upgrade sau înlocuire a sistemelor sau setărilor în sistemele industriale de control - inclusiv în sistemele vechi. Ca dispozitive bazate pe hardware, nu sunt vulnerabile la atacurile software și, prin urmare, nu necesită patch-uri periodice, deși patch-uri pentru îmbunătăţirea funcţionalităţii pot fi disponibile din când în când. Diodele de date ajută de asemenea la segmentarea reţelei și la crearea de straturi de apărare între reţelele de încredere și cele de neîncredere. Eliminarea sau autorizarea dispozitivelor portabile Având în vedere că abordarea prudentă ar trebui să fie aceea de a menţine o decuplare a arhitecturii ICS, totuși multe date sunt în conexiune cu medii portabile iar în acest caz vectorul cel mai probabil de atac vor fi mediile portabile - dispozitive USB, laptopuri, etc. Prin urmare, este vital ca toate mediile portabile să facă obiectul unei examinări aprofundate, inclusiv antivirus, sume de control pentru hash și autentificare. În mod obișnuit, această examinare este efectuată cu un layer de securitate (chioșc de control), unde suportul portabil este mai întâi conectat și scanat înainte ca acesta să poată fi conectat oriunde în reţeaua ICS. Aceste chioșcuri de securitate pot fi utilizate și împreună cu diodele de date, firewall-urile și instrumentele de autentificare pentru a oferi securitate suplimentară. În mod ideal, nu ar trebui să li se permită intrarea în reţeaua ICS a laptopurilor sau a altor medii sofisticate care au fost conectate la internet, dar, dacă este necesar, trebuie să facă obiectul aceluiași control aprofundat. Investiția în pregătire Realitatea este că cele mai puternice tehnologii de securitate cibernetică și cele mai bune practici din lume nu vor împiedica un om să greșească mai ales dacă nu este instruit. Prin urmare în sistemele de control industrial este vital să minimalizăm cât mai mult elementul uman mai ales
într-un mediu în care există vulnerabilităţi cunoscute. Nu mai vorbim de faptul că eroarea umană reprezintă mai mult de jumătate din toate incidentele cibernetice. Fără o instruire consistentă în procedurile de securitate cibernetică a personalului, toate eforturile tehnice de securitate pot fi compromise intenţionat.
Concluzie Aplicarea patch-urilor poate fi simplă în teorie dar devine o problemă în reţelele de control industrial. Oricare ar fi motivul pentru care organizaţia nu are patchuri, sau nu le poate aplica, există și alte posibilităţi de a implementa o securitate adecvată și de a preveni un atac cibernetic. Prin utilizarea diverselor tehnici și tehnologii, cum ar fi diodele de date, operatorii ar putea chiar să evite gestionarea schimbărilor, eliminând necesitatea perioadelor de nefuncţionare care pot fi costisitoare și pot păstra o legătură între reţeaua ICS și reţeaua IT, reducând sau eliminând riscul asociat cu acesta. Urmând sugestiile de mai sus, în combinaţie cu cele mai bune practici ale organismelor de reglementare din industrie, precum și implementarea unui program cuprinzător de instruire, se poate construi o bază puternică pentru a preveni atacurile cibernetice împotriva sistemelor vechi, neactualizate.
Bibliografie 1 http://www.cybersecurity-review.com/wp-content/ uploads/2018/09/WHAT-IF-YOU-CAN%E2%80%99TPATCH-By-Scott-Coleman-Owl-Cyber-Defense-SolutionsCSR-Online-September-2018-1.pdf 2 https://www.wired.co.uk/article/what-is-eternal-blueexploit-vulnerability-patch 3 https://docs.microsoft.com/en-us/security-updates/ SecurityBulletins/2017/ms17-010 4 https://spectrum.ieee.org/telecom/security/the-realstory-of-stuxnet 5 https://ics-cert.us-cert.gov/sites/default/files/documents/ Seven%20Steps%20to%20Effectively%20Defend%20 Industrial%20Control%20Systems_S508C.pdf 6 https://ics-cert.us-cert.gov/sites/default/files/documents/ Seven%20Steps%20to%20Effectively%20Defend%20 Industrial%20Control%20Systems_S508C.pdf 7 https://www.dataprivacymonitor.com/cybersecurity/ deeper-dive-human-error-is-to-blame-for-mostbreaches/ 8 https://www.wired.com/2016/03/inside-cunningunprecedented-hack-ukraines-power-grid/
9
Focus - Cybersecurity Trends
Securitatea cibernetică: prima linie de apărare în faţa impactului inteligenţei artificiale Autor: Marc-André Ryter
În următorii ani spațiul cibernetic se va confrunta cu dezvoltarea inteligenței artificiale. Acest lucru va determina o potențială mărire a eficienței atacurilor cibernetice și îi va forța pe toți utilizatorii spațiului cibernetic să își adapteze metodele de protecție. În special forțele armate se vor confrunta cu provocări considerabile în a-și menține operaționalitatea, deși ele de asemenea, în multe zone, vor putea beneficia de avantajele inteligenței artificiale.
Introducere Scopul acestui articol este să demonstreze importanţa securităţii cibernetice ca metoda de protecţie împotriva riscurilor crescute ce vor fi generate de dezvoltarea și integrarea inteligenţei artificiale (AI) în spaţiul cibernetic. Articolul se concentrează pe dimensiunea tehnică a evoluţiei AI și ce presupune acest lucru pentru forţele armate. Totuși, anumite consideraţii etice sau consideraţii filosofice cu privire la locul omului în lumea mașinilor sunt de neevitat. Ceea ce se întâmplă în spaţiul cibernetic poate reprezenta un progres imens dar poate
BIO Colonel, absolvent de studii de politică de securitate și licențiat în Științe Politice, Marc-André Ryter este colaborator pe zona de doctrină militară a Statului Major al armatei Elvețiene. El urmărește dezvoltările tehnologice care sunt relevante pentru forțele armate și pentru diferitele cadre de operațiuni, în mod particular pentru dezvoltarea doctrinei militare. Marc-André Ryter poate fi contactat la adresa: marc-andre.ryter@vtg.admin.ch
10
de asemenea deveni oricând o ameninţare majoră. Cel mai probabil aceste riscuri vor pune în pericol pacea și securitatea internaţională. Această evoluţie este inevitabilă și la acest moment un pas înapoi este de neînchipuit. Noile tehnologii se regăsesc acum atât în zona privată a individului cât și în viaţa socială1, iar perspectivele AI vor face ca beneficiile să justifice o mulţime de compromisuri. Progresul în domeniul tehnologiei informaţiei oferă speranţă dar este și periculos în același timp. Noile instrumente pot promova pe de-o parte libertatea și dezvoltarea, progresul și bunăstarea dar și opresiunea, frauda, manipularea și controlul. Avansul tehnologic este benefic pentru toată lumea, de la cel puternic la cel slab, de la autorităţi ale statului la grupuri criminale. Astfel, ierarhiile și autoritatea sunt fie întărite, fie slăbite2. Iar acest lucru va avea un impact semnificativ asupra naturii viitoarelor conflicte. Dacă se dorește controlul dezvoltării noilor tehnologii și în special controlul aplicaţiilor, este important ca riscurile și oportunităţile să fie anticipate și integrate. AI va revoluţiona implementarea securităţii cibernetice dar și percepţia asupra sa, acestea vor deveni atribuţii permanente și colective. În ziua de astăzi, statele și infrastructurile critice sunt deja victimele unor atacuri pentru a se obţine diverse avantaje, fie politice, militare sau economice. Spaţiul digital este deja un adevărat spaţiu de confruntare3 iar atacurile cibernetice fac parte pe zi ce trece dintr-un nou tip de război rece4. Societăţile în ansamblu, din cauza interconexiunilor de la nivelul lor, vor deveni din ce în ce mai vulnerabile. Forme noi de conflicte, până acum ignorate, vor apărea la nivelul ţărilor, companiilor sau indivizilor. Dar un lucru este sigur, chiar dacă apar la nivel naţional sau internaţional, politic
sau economic, conflictele vor avea o dimensiune cibernetică din ce în ce mai pronunţată. Actorul care deţine avantajul la nivelul reţelei, va deţine avantajul și în faţa adversarului său5. Atacurile cibernetice vor fi din ce în ce mai exacte și mai rapide. Ca răspuns la această evoluţie, securitatea cibernetică trebuie să devină o construcţie formată din multiple elemente complementare, care împreună să creeze o arhitectură globală de securitate a spaţiului cibernetic. Iar competenţele militare din această zonă pot și trebuie să devină un element important al acestei arhitecturi. Scopul ameninţărilor digitale, în special când au de-a face cu AI, nu este încă foarte bine înţeles. Pentru moment, că să ne imaginăm acţiunile belicoase ale unui posibil agresor, este nevoie de o extrapolare a riscurilor din zona civilă la riscurile de la nivelul forţelor armate. Acesta este motivul pentru care, forţele armate, incluzând armata elveţiană, trebuie să se afle în fruntea securităţii cibernetice. Astfel, am avea primul nivel al acţiunii de descurajare a unui atac cibernetic, respectiv se previne invazia teritoriului de către forţe armate străine. Acestea pot fi determinate să înceteze activităţile de la nivelul solului, dacă nu au reușit în prealabil să slăbească sau să slăbească forţele armate ale ţării vizate. Rezilienţa, mai precis recuperarea rapidă a capacităţii de acţiune, trebuie să permită angajamentul mijloacelor de acţiune după sau în ciuda unui atac cibernetic în urma căruia au intervenit anumite daune. Este evident așadar de ce forţele armate sunt direct interesate să contribuie la securitatea cibernetică. Noile tehnologii care vor fi folosite în viitor trebuie să fie sigure pentru a contribui la îndeplinirea misiunii, chiar utilizând un mediu cibernetic deteriorat.
Elemente problematice ale progresului inteligenței artificiale Principala provocare o reprezintă cunoașterea modalităţii de a controla evoluţia curentă a AI și consecinţele acesteia asupra forţelor armate, având în vedere că această evoluţie este inevitabilă. Trebuie identificate schimbările de paradigmă iar acest lucru va duce la schimbări în viaţa socială dar și în relaţiile dintre ţări. Lumea de mâine se caracterizează prin volatilitate, incertitudine, complexitate și ambiguitate. Puterea se va proiecta într-un mod nou iar conflictele armate convenţionale, așa cum sunt azi, în viitor se vor transforma în fenomene periferice. Provocarea va consta în identificarea unei modalităţi de a adopta cât mai multe noi tehnologii în paralel cu propria protecţie împotriva riscurilor majore presupuse de aceste tehnologii. În acest context, securitatea cibernetică devine o responsabilitate globală a Statului și a tuturor celorlalţi actori care beneficiază de oportunităţi în spaţiul cibernetic sau care sunt avantajaţi de buna funcţionare a acestuia. Imaginea 1: Exemplu de un centru de date mare localizat în Islanda – este evident astfel că spaţiul cibernetic se bazează pe o infrastructură fizică ce poate fi atacată (https://www.cio.com/article/2368989/data-center/100152-10-more-ofthe-world-s-coolest-data-centers.html#slide8, 20.07.2018)
Articolul original al lui Col. Marc-André Ryter, în limba franceză, a fost publicat în nr. 2/2018 din Military Power Revue of the Swiss Armed Forces (pp. 18-30). Armata Elveţiană a acordat revistei noastre onoarea de a traduce acest articol în limba română în exclusivitate. Pe această cale ținem să mulțumim în mod calduros Divisionarul Urs Gerber, redactor-șef ale Military Power Revue și Colonelul Marc-André Ryter pentru disponibilitatea și spriinul acordat. Toate volumele Military Power Revue se pot descărca gratuit accesând web-site-ul Armatei Elvețiene: www.vtg.admin.ch/en/media/publikationen/militarypower-revue.html
Per total, principala ameninţare este reprezentată de faptul că toate acţiunile din spaţiul cibernetic pot determina daune concrete în spaţii fizice și pot afecta populaţia civilă, sau pot chiar cauza victime. Trebuie identificate ameninţările inexistente încă dar care vor fi rezultatul progresului noilor tehnologii și AI. Ameninţarea cibernetică trebuie să se situeze la același nivel cu ameninţările de tipul atacurilor cu rachete balistice sau de tipul terorismului internaţional, ne mai menţionând faptul că aceste ameninţări pot fi combinate. Actori non-statali vor fi capabili să producă aceleași efecte ca și actorii statali. Trebuie totuși avut în vedere că atacurile care pot submina securitatea naţională și stabilitatea unui stat au nevoie de resurse considerabile.
11
Focus - Cybersecurity Trends Sistemele trebuie protejate ca un întreg. Dacă nu există protecţie un atacator poate distruge sau întrerupe multe servicii esenţiale pentru populaţie cum ar fi distribuţia de apă și electricitate sau chiar serviciile de vânzări în general. Iar acest lucru poate duce la tulburări sociale. Nu este de mirare astfel că atacurile cibernetice rusești din Ucraina în 2014 au vizat, pe lângă modul de desfășurare al alegerilor, și centrale electrice, bănci, spitale și sisteme de transport. Teoreticieni ai sistemelor susţin că dacă 37% dintr-o infrastructură este distrusă, aceasta nu va mai funcţiona6. Conform „Revue Stratégique”, gravitatea unui atac poate fi stabilită luând în considerare 4 criterii7. Mai întâi, este necesară (1) evaluarea daunelor care pot fi aduse intereselor fundamentale ale ţării înainte de (2) a analiza încălcările securităţii interne. Apoi (3) este necesară evaluarea daunelor aduse populaţiei și mediului și în final (4) cele aduse economiei. Se poate afirma la acest moment că AI va juca cu siguranţă un rol important în securitate, atât în ceea ce privește capabilităţile de apărare cât și cele de atac. Pentru anumite atribuţii de siguranţă, AI va depăși cel mai probabil capacităţile umane și va determina noi descoperiri. AI va putea controla unele dintre noile tehnologii dincolo de capabilităţile umane. Este esenţial rolul AI în machine learning / deep learning. Învăţarea automatizată determină progresul rapid al mai multor aplicaţii în comparaţie cu programarea. AI va permite fuziunea dintre lumile reale și virtuale pentru a obţine o mai bună reprezentare a mediului. Vor exista oportunităţi noi de formare, care vor avea la bază o capacitate crescută de colectare a datelor, de analizare rapidă a acestora și apoi de utilizare imediată.
ameninţări noi și va modifica caracterul și natura ameninţărilor cunoscute8. Atacurile vor fi mai eficiente, mai exacte, mai dificil de atribuit și vor exploata sistematic toate vulnerabilităţile. Forţele armate vor avea noi capabilităţi cum ar fi identificarea ţintelor umane (comandanţi militari) sau navigaţia autonomă. Se vor putea pune în aplicare campanii de dezinformare la o scală și cu o probabilitate în acest moment necunoscute. Imaginea 3: Îmbunătăţirea posibilităţilor de creare a unor imagini generate de calculator în scopul dezinformării. Imaginea adevărată este în stânga, imaginea creată în dreapta (https://interestingengineering.com/ ai-software-generate-realistic-fake-videos-from-audio-clips, 30.05.2018) Astfel, viitoarele atacuri din spaţiul cibernetic se vor caracteriza în principal printr-o eficienţă crescută. Acestea vor fi pregătite mai bine și cu mai multă atenţie9. Din cauza implicării AI, atacurile vor fi personalizate și făcute la comandă pentru a atinge obiectivul dorit. În faţa acestui potenţial, provocarea va consta în interoperabilitatea dintre om și mașini. Trebuie menţinut un anumit nivel de simplitate astfel încât oamenii să poată folosi informaţia rapid. Prea multă informaţie poate fi la un moment dat contraproductivă, la toate nivelurile și funcţiile, inclusiv în zona militară. Nu mai este ficţiune știinţifică apariţia în domeniul securităţii cibernetică a unui război al mașinilor, sisteme contra sisteme. Mașinile de atac trebuie simultan să fie capabile să se apere împotriva unor contraatacuri extrem de rapide din partea sistemelor vizate anterior. În ceea ce privește roboţii, există trei factori importanţi de securitate10. În primul rând, dezvoltarea și lansarea roboţilor, un fenomen global în curs de răspândire. În al doilea rând, adaptabilitatea roboţilor pentru diverse utilizări, ceea ce poate fi o reală problemă de securitate, și, în final, autonomia, care este factorul cel mai riscant. Este posibil ca o mașină să vrea să nu mai fie sub controlul soldatului și să continue îndeplinirea misiunii în modalitatea cea mai raţional posibilă. Controlul uman poate fi perceput ca fiind elementul distrugător și periculos care trebuie eliminat pentru ca misiunea să fie îndeplinită. Unul dintre cele mai mari pericole ale acestei evoluţii este reprezentat de faptul că AI va putea să ia anumite decizii care au nevoie de reacţii rapide și fără echivoc cum ar fi lansarea unor rachete sau arme nucleare11. AI va determina creșterea eficienţei atacurilor cibernetice de tipul APT (Advanced Persistent Threats), care sunt cel mai des utilizate pentru spionajul industrial. Aceste instrumente, dificil de identificat, sunt foarte utile pentru spionajul reţelelor clasificate ale forţelor armate. Mulţumită
Imaginea 2: Capabilităţi îmbunătăţite de analiză a imaginii cu ajutorul AI, permiţând pregătirea mai bună a operaţiunilor. (https://publiclab.org/wiki/near-infraredcamera - 30.05.2018) Există trei modalităţi prin care este de așteptat ca AI să determine creșterea ameninţărilor: va extinde și diversifica ameninţările existente, va introduce
12
Imaginea 4: Evoluţia complexităţii ameninţărilor de tip APT, elemente și faze.
acestor APT, actori non-statali vor putea avea aceeași influenţă în domeniul spionajului ca și actorii statali. Dar AI poate avea un impact pozitiv asupra creșterii siguranţei. Deschide noi perspective asupra abilităţilor de a identifica, contracara și răspunde la atacuri cibernetice, chiar și la momentul în care vectorul atacurilor nu este cunoscut în avans. Deja este implicată în detectarea anomaliilor și a malware-ului din spaţiul cibernetic.
Impactul asupra forțelor armate Aflate în faţa ameninţării potenţiale considerabile pusă de AI în spaţiul cibernetic, forţele armate trebuie să fie pregătite să sprijine autorităţile civile în cazul unui eveniment de destabilizare majoră a societăţii. În multe dintre cazuri, riscurile pentru forţele armate trebuie să fie extrapolate pornind de la riscurile din zonele civile, pentru a putea presupune care vor fi acţiunile maliţioase ale unui agresor. Spaţiul virtual va avea nevoie de un mediu sigur în care evoluţiile pozitive să fie integrate iar potenţialul lor să nu genereze dezastre. Luând în considerare oportunităţile și riscurile potenţiale, este nevoie ca forţele armate să găsească cea mai bună modalitate de a profita de aceste avantaje dar și de a se proteja de riscuri. Întâi de toate ele trebuie să își asigure buna funcţionare pentru îndeplinirea serviciilor de securitate a Statului. Imaginea 5: Specialiști ”cyber” din forţele armate israeliene (IDF). (https:// www.blick.ch/ storytelling/2018/ zukunft/index5. html, 08.08.2018)
O nouă dezbatere este pe cale să înceapă. În ceea ce privește conflictul și lupta, evoluţiile în curs ale AI și noile tehnologii vor provoca mai multe daune prin acurateţea și eficienţa lor crescută. Aceste noi sisteme vor face posibilă distrugerea mult mai eficientă a mijloacelor adversarului. Utilizând această logică, noile tehnologii sunt utilizate doar ca vectori de îmbunătăţire a ceea ce este posibil deja. Dacă schimbăm paradigma, este evident faptul că apare întrebarea dacă un inamic poate fi învins și altfel, fără a te lupta cu el. Spargerea unei reţele poate fi mai utilă decât introducerea unui nou sistem de armă. Nu va fi nevoie de distrugerea fizică a adversarului, acest lucru nu mai este un scop în sine, iar natura războiului nu doar va evolua ci se va modifica complet. AI și armele cibernetice au flexibilitate mărită, care le permite, prin utilizarea lor, să producă efecte de mai multe feluri. Puterea se va proiecta într-un mod nou iar conflictele armate convenţionale, așa cum sunt azi, în viitor se vor transforma în fenomene periferice, de cele mai multe ori fiind conduse de intermediari. În contextul acestui nou tip de luptă, posibilele consecinţe pentru populaţia civilă nu sunt încă cunoscute. Evoluția naturii conflictelor și a forțelor armate Modificarea naturii conflictelor duce la apariţia a numeroase întrebări. Întrebarea fundamentală este dacă războiul cibernetic va deveni războiul viitorului, și nu confruntarea dintre sistemele de arme robotice. În acest
caz apar consecinţe importante la nivel de doctrină. Adversarul poate fi învins de acţiuni din spaţiul virtual care l-ar împiedica să reacţioneze și să își utilizeze toată infrastructura critică. De asemenea, nu mai este evident dacă vor mai fi de folos armele nucleare sau sistemele de arme cu efecte devastatoare. Va exista posibilitatea să se blocheze comanda acestor arme prin intermediul spaţiului cibernetic sau chiar dezactivarea lor. În mod similar, armele cibernetice ar putea, dacă este nevoie, să producă daune la fel de mari ca și armele nucleare. În acest caz, cheia succesului va fi capacitatea de a dezvolta acţiuni în spaţiul cibernetic. Astfel intimidarea unui adversar și demonstraţia de forţă se vor muta în spaţiul cibernetic, și nu vor fi resimţite, într-o primă fază, deloc sau aproape deloc de către populaţia civilă. Însă pot apărea evenimente precum paralizarea unor sectoare întregi ale economiei unei ţări, izbucnirea voluntară a unor dezastre tehnologice sau ecologice, cu multe victime sau manipularea procesului democratic. Acestea se vor numi acte de război. Așadar, apărarea în spaţiul cibernetic va face parte din arsenalul forţelor armate pentru a îndeplini misiunea de a apăra și proteja populaţiile civile. Dimensiunea cibernetică este în continuă intensificare la nivelul obligaţiilor forţelor armate, de la planificare la modul de acţiune, infrastructură și procese. Toate elementele spaţiului cibernetic multiplică forţele implicate12. Este de menţionat faptul ca atacurile cibernetice nu sunt doar exacte, dar sunt și foarte rapide (au viteza luminii). Forţele armate vestice, care utilizează extensiv noile tehnologii și se află poziţionate prin întreaga lume, se confruntă în permanenţă cu riscurile asociate utilizării tehnologiilor din spaţiul cibernetic. Aceste tehnologii sunt de multe ori necesare pentru desfășurarea operaţiunilor, inclusiv cele de menţinerea a păcii sau misiunile umanitare în zone greu accesibile. Importanţa spaţiului cibernetic în planificarea și desfășurarea operaţiunilor este de multe ori subestimată, în ciuda faptul că acolo se pot atinge multe obiective militare. În primul rând, este posibilă distrugerea și întreruperea schimburilor de date (comunicaţii de orice fel), dar și împiedicarea accesului la informaţii, coruperea sau distrugerea acestora prin infectarea lor. Dar obiectivul simplificat ar putea să fie distrugerea anumitor informaţii din calculatoare sau a unor baze de date întregi sau blocarea reţelelor. Se poate avea în vedere infectarea cu un malware a calculatorului dușmanului, ca asigurare în caz de atac sau pentru soluţionarea unor viitoare conflicte. În acest caz, este nevoie ca atacul să nu fie detectat. Pe de altă parte dacă un stat folosește arme de largă scală în spaţiul cibernetic, pentru a cauza daune semnificative dușmanului, atunci intenţia este clară, și nu este neapărat necesar să rămână ascuns. Dimpotrivă, se va dezvălui pentru a obţine ceea ce dorește13.
13
Focus- Cybersecurity Trends Inteligența artificială ca provocare pentru forțele armate Deoarece importanţa timpului, distanţei, vitezei și temporizării scade, acestea nemaifiind niște constrângeri, utilizarea atacurilor în spaţiul cibernetic, care pot fi și automatizate, va crește. Este posibil ca acţiunile în spaţiul virtual împotriva unor dușmani neconvenţionali să fie mai greu de implementat, sau să fie mai limitate dacă aceștia nu se bazează pe reţele informatice în desfășurarea operaţiunilor și pentru sistemele de arme. În cazul Ucrainei, în 2014, existenţa controlului manual parţial a ușurat modalitatea de reacţie în cazul atacului cibernetic asupra infrastructurii de energie electrică. Atacurile cibernetice asupra Estoniei, Georgiei și Iranului nu au fost percepute de aceste ţări ca atacuri militare și prin urmare nu au avut niciun impact asupra forţelor armate. Dar este interpretabil, totuși distrugerea unor capabilităţi cheie poate fi văzută ca un atac asupra întregii ţări. De asemenea este necesar să fie luată în considerare situaţia în care importanţa spaţiului virtual este diferită pe parcursul fazelor unui conflict sau dacă, dimpotrivă, această importanţă se menţine și după încheierea ostilităţilor. Ar fi eronat să se considere utilizarea spaţiului virtual ca un spaţiu operaţional doar sau în principal în fazele iniţiale ale conflictului și să se creadă că oportunităţile, și deci importanţa spaţiului virtual, scad în timpul conflictului. În ciuda celor menţionate mai sus, încă sunt câţiva autori care continuă să creadă că ameninţarea războiului cibernetic nu prezintă un pericol serios pentru forţele armate. Ei percep activitatea din spaţiul cibernetic ca pe niște măsuri luate în paralel pentru rezolvarea conflictului tradiţional sau hibrid iar schimburile din domeniul cibernetic sunt doar mici încăierări. Acesta este motivul pentru care este nevoie să fie analizat în detaliu impactul AI asupra forţelor armate. Consecinţele revoluţionare la nivel de securitate ale AI vor determina forţele armate să se adapteze. AI și învăţarea online vor avea implicaţii decisive pentru securitatea cibernetică și pentru războiul cibernetic. În ceea ce privește desfășurarea unui conflict, trebuie realizat un salt calitativ de nivelul apariţiei aviaţiei. Pe lângă aplicarea la nivelul luptelor dinamice a inteligenţei artificiale, forţele armate cu ajutorul AI vor putea să își îndeplinească misiunea de asigurare a securităţii societăţii. AI va putea să analizeze și să combine un volum imens de informaţii. În special în domeniul informaţiilor secrete, activităţi care acum presupun implicarea mai multor persoane pot fi automatizate. Forţele armate vor avea o capacitate crescută de colectare a informaţiilor, de analizare și utilizare rapidă a acestora. Lupta pentru superioritate în spaţiul informaţional va fi feroce, deoarece va fi decisivă. AI va determina apariţia unor oportunităţi de formare în lumi care combină informaţii reale cu elemente
14
virtuale și va permite o pregătire incomparabilă a operaţionalizării, care poate de asemenea fi realizată la distanţă. AI se va dovedi un instrument valoros în faza iniţială a conflictelor sau în momentul în care un actor nu vrea sau nu poate utiliza trupe în vederea atingerii obiectivului. Spionarea sistemelor adversare ca măsură pregătitoare de luptă va deveni din ce în ce mai importantă și va deveni primul pas în declanșarea unui război. Această colectare de informaţii va reprezenta baza activităţilor subversive de genul mobilizarea și influenţarea opiniei publice în scopuri politice, respectiv manipularea informaţiilor. Va fi de asemenea folosită pentru sabotarea sistemelor de arme, infrastructurii critice și distrugerea sau modificarea naturii comunicaţiilor14, toate acţiuni care slăbesc adversarul și astfel se pregătește câmpul de luptă. Pe de altă parte, oricând actori izolaţi vor putea acţiona direct și în mod violent. AI va avea un impact și în domeniul materialelor și al echipamentelor. Controlul noilor tehnologii se va realiza mult mai bine de către AI decât de către oameni. Noi capabilităţi robotice combinate cu inteligenţa artificială vor permite atingerea unei ţinte la nivel de centimetru15. Se va îmbunătăţi și va deveni un aspect esenţial programarea senzorilor, în special a celor care pot declanșa un răspuns automat. Automatizarea combinată cu AI va permite dezvoltarea unor răspunsuri de tipul ”trage și uită” cu aplicaţii pentru multe sisteme, de aici nevoia de a dezvolta în paralel posibilităţi de control uman asupra utilizării acestor arme. Forţele armate vor dori să utilizeze la maximum avantajele mașinilor în desfășurarea unei lupte. În același timp vorbim despre materiale care nu sunt doar mult mai ușoare și izolatoare, dar care pot să își schimbe forma și culoarea. Dacă aceste materiale sunt combinate cu inteligenţa artificială vor crește posibilităţile de utilizare, în special la camuflaj sau pentru îmbunătăţirea performanţei soldaţilor. Utilizările inteligenței artificiale în desfășurarea operațiunilor militare Combinarea informaţiilor disponibile și AI în spaţiul cibernetic va diminua nevoia de rezistenţă din punct de vedere psihologic. Această capabilitate va fi folositoare atât pentru apărare cât și pentru atac. Un atac va fi construit cu precizie și personalizat conform obiectivului său pentru a-i asigura eficacitatea. Astfel, în domeniul dezinformării, posibilităţile se vor multiplica iar diseminarea se va face rapid. AI va deveni un sprijin esenţial în
Imaginea 6: Interpretare automată exactă a fotografiilor militare de recunoaștere (https://www.38north.org/2017/10/ udmh102517/, consulté le 30.05.2018)
desfășurarea operaţiunilor, în principal datorită potenţialului său ridicat de analiză. AI deschide noi dimensiuni pentru aceste posibile îmbunătăţiri, în special pentru căutarea vulnerabilităţilor sistemului dușman. Va deveni posibilă sprijinirea combatanţilor prin intermediul unor sisteme autonome. Modalitatea de luptă se va caracteriza în viitor și prin extinderea abilităţii de a îndeplini misiuni în mod autonom. Omul, prin intermediul AI, va încerca să reacţioneze la modificări mai repede și mai bine decât adversarul său, ceea ce conduce la avantaje pe câmpul de luptă. AI va permite lupta simultană contra unei multitudini de sisteme, atât în lumea reală cât și în cea virtuală și contracarea unor atacuri diferite și aflate la distanţe mici. Va permite sincronizarea modalităţilor de apărare, prioritizarea și acţiunea rapidă. În funcţie de obiective, AI va putea face o analiză mai bună a ţintelor potenţiale, în special prin verificarea încrucișată a informaţiilor. Acest lucru se va aplica și analizei imaginilor, aceasta completându-se cu alte informaţii pentru, spre exemplu, identificarea infrastructurilor critice și a celui mai potrivit timp în care acestea pot fi atacate, fie prin atacuri cibernetice, fie prin atacuri convenţionale. Dar AI poate asigura sprijinul trupelor și la nivelul unor aspecte mai puţin tehnice, cum ar fi în domeniul psihologiei, prin analiza conţinutului violent, care poate afecta moralul trupelor. În domeniul protecţiei fizice sunt reduse riscurile, în special când este vorba de misiunile de recunoaștere în zone inamice sau de eliminare a minelor, care pot fi îndeplinire de roboţi. Va fi posibilă conservarea capitalului uman prin repartizarea sarcinilor plictisitoare sau periculoase unor mașini echipate cu AI. Prin AI se poate îmbunătăţi și luarea deciziilor, prin conexiunile de la nivelul diferitelor unităţi, prin simulările operaţionale pentru pregătirea operaţiunilor. Astfel cresc eficienţa și performanţa sistemelor de luptă iar funcţiile logistice și de sprijin sunt simplificate, în special în zona de întreţinere. În concluzie, calculatoarele cu AI vor deveni ele însele niște sisteme armate. Armele cibernetice se transformă în superarme de distrugere16 și slăbire a adversarului. Totuși, întotdeauna va exista o diferenţă mare între securitate, care poate fi îmbunătăţită în zonele urbane sau la nivelul unor infrastructuri de genul gări sau aeroporturi, unde sunt instalaţi mulţi senzori precum camerele de supraveghere, ale căror imagini sunt disponibile și pot fi analizate, și lupta dinamică într-un mediu în care nu sunt disponibili senzori statici. În timpul unei operaţiuni, instalarea la scală largă a unor senzori va continua să fie un obstacol deoarece pot apărea surprize la nivelul scalei de acţiune. Datorită integrării din ce în ce mai avansată a AI la nivelul sistemelor forţelor armate și câmpul de bătaie se va modifica. În primul rând, va avea loc înlocuirea extensivă a oamenilor cu roboţi autonomi, în toate domeniile, de la logistică la roboţi de luptă. Bineînţeles că acești roboţi vor avea niveluri diferite de autonomie, în funcţie de atribuţiile fiecăruia. Va trebui stabilit controlul uman minim necesar pentru fiecare atribuţie. Pe termen lung, lupta la nivel aerian va deveni parţial inutilă și, pentru anumite misiuni, poate fi înlocuită cu drone. Această tendinţă va fi sprijinită și de scăderea costurilor dronelor. În ceea ce privește forţele terestre, doar o paradă militară va putea să fie identificată pentru ca ele să poată să răspundă atacului a sute sau mii de drone. În mod similar, încărcăturile improvizate de explozibil vor deveni arme de precizie, crescând eficienţa oricărui grup terorist, spre exemplu prin utilizarea unei mașini autonome pentru atacurile sinucigașe cu bombe. Se va mări capacitatea unor grupări armate de a destabiliza o societate, ca parte a unei strategii hibride. Aceste grupări ar putea utiliza roboţi pentru asasinări automatizate la nivel înalt a unor militari sau oficiali politici și economici.
Totuși, AI va putea fi folosită și pentru dezarmarea acestor grupări prin identificarea tranzacţiilor suspecte și, la nivel general, prin identificarea posibililor teroriști prin analiza unor pachete de indicii. Apărarea pasivă sau activă a unor ţinte cu valoare ridicată precum infrastructura critică (blindajul, apărările active, radarul UAV) poate fi de asemenea îmbunătăţită. Învăţarea mai mult sau mai puţin automatizată a AI este un subiect important, ceea ce poate fi o vulnerabilitate deosebită dacă un inamic reușește să infiltreze elemente eronate în procesul de învăţare. Aceste elemente distrugătoare pot fi informaţii false pe care întreg sistemul de învăţare se bazează sau pot avea în vedere modificarea percepţiei mașinilor cu privire la un anumit mediu ceea ce poate determina diferite comportamente, unele periculoase. Spre exemplu se poate inversa metoda de recunoaștere pentru prieten sau dușman în cadrul fazei de învăţare sau sistemele autonome de arme pot fi învăţate să vizeze în mod special ţinte civile. Însăși educaţia autonomă va deveni o ţintă, deoarece va deveni interesant sabotajul dușmanului în această etapă, pentru a încetini îmbunătăţirea capabilităţilor sistemelor autonome de arme și pentru a spiona sau a preveni înmulţirea funcţiilor roboţilor cu AI17. În ciuda acestor lucruri, AI ne va forţa să acordăm mai multă autonomie mașinilor, pentru ca acestea să fie utilizate la nivelul potenţialului lor, în special pentru viteza lor de reacţie. Omul este cel care, în acest punct, va deveni un factor de încetinire. Dacă limităm autonomia și viteza mașinilor pentru a le controla mai eficient, atunci ne asumăm riscul ca dușmanul să devină mai rapid. Astfel nu vom avea de ales, și va exista riscul ca oamenii să devină simpli spectatori ai interacţiunilor dintre mașini, sau chiar ai unor bătălii între mașini. Exemplu dronelor este edificator. Crește exponenţial numărul dronelor utilizate pentru diverse atribuţii iar aceasta poate deveni o problemă deoarece va crește riscul apariţiilor unor acţiuni necontrolate. În ultimă instanţă, pentru a putea lua măsuri de protecţie și a asigura redundanţa sistemelor, vor trebui identificate sistemele de arme care pot opera fără suportul AI. Vulnerabilitățile asociate cu inteligența artificială Integrarea accelerată a AI în sistemele și procesele forţelor armate ridică numeroase întrebări cu privire la efectele negative posibile și măsurile necesare pentru ţinerea sub control a riscurilor. Ţinta finală este prevenirea deturnării utilizării sistemelor și proceselor militare de la scopul pentru care au fost concepute. La un nivel foarte general, întrebarea este cum va putea un mediu cibernetic degradat să interfereze cu abilitatea forţelor armate de a-și îndeplini misiunea, de la mobilizare la luptă. Este posibil ca aceste evoluţii tehnologice, sau
15
Focus - Cybersecurity Trends aplicarea lor la nivelul forţelor armate, să fie împiedicate din cauza riscurilor implicate. Când vorbim despre armament și control mai mult sau mai puţin automatizat, trebuie să și garantăm că se va păstra controlul, sau că este exclusă preluarea sau reprogramarea de către un adversar. Va deveni deosebit de importantă întărirea securităţii și a protecţiei sistemelor18. Vulnerabilităţile vor fi căutate activ și inevitabil atacate. Vor exista constrângeri semnificative pentru integrarea AI la nivelul forţelor armate. O provocare importantă o reprezintă identificarea celei mai bune combinaţii dintre om și mașină, cu scopul de a utiliza la maxim potenţialul și sinergiile AI. Este vorba despre modalitatea cea mai bună de combinare a activităţii de identificare a oportunităţilor cu luarea celei mai bune decizii, mai rapid decât adversarul și în mod repetat19. Mai presus de toate, este important să se evite ca mașina să neutralizeze omul sau funcţiile sale de control în cazul în care aceasta nu este de acord, din orice motiv, cu decizia omului. Acest lucru nu va fi întotdeauna ușor, în special în domeniile în care AI depășește inteligenţa umană. Oamenii ar trebui să se străduiască să păstreze siguranţa populaţiilor ca prioritate esenţială a AI, în orice fel de circumstanţe. Pentru moment AI încă depinde de factori de învăţare care sunt cel puţin iniţiaţi de către oameni. Abilitatea AI de a reacţiona și de a rezolva situaţii noi și neașteptate, ceea ce este esenţial pentru forţele armate, va deveni o prioritate pentru dezvoltare. Totuși, acest lucru demonstrează că va fi nevoie să se dezvolte un nou sistem specific de control pentru armele autonome, în special pentru cele cu efect letal. Trebuie să ne asigurăm că oamenii pot dezactiva imediat un sistem autonom care deviază de la misiunea sa. AI poate cauza probleme neașteptate deoarece viteza și acumularea mare de interacţiuni au efecte imprevizibile. În contextul acestei evoluţii inevitabile, responsabilitatea finală pentru utilizarea armelor autonome trebuie să rămână a oamenilor, și trebuie exclusă eliminarea controlului20. Unul dintre pericolele inerente ale acestei evoluţii o reprezintă faptul că unele decizii care au nevoie de reacţii rapide și neechivoce pot fi delegate către AI, cum ar fi utilizarea rachetelor sau armelor nucleare21. AI poate conduce la o nouă cursă a înarmării, toţi actorii vor dori să își îmbunătăţească sistemele de arme cu AI. Utilizarea răspândită a AI poate fi o evoluţie inevitabilă datorita beneficiilor sale dar și datorită consecinţelor din domeniul protecţiei. Oamenii vor lua din ce în ce mai puţine decizii, și, în același timp, mașinile vor dicta ritmul luptei în toate zonele de operaţiuni, și vor influenţa direct rezultatul. Oamenii vor trebui să identifice o metodă de a păstra controlul asupra proceselor și de a stabili limitele mașinilor și a implicării acestora. Trebuie luată în considerare apariţia unui război în care sunt utilizate
16
rachete auto-ghidate, tancuri autonome și drone înarmate. Am putea observa un fel de ”dezumanizare” a războaielor viitorului. În desfășurarea oricărei operaţiuni, împiedicarea comunicaţiilor a avut întotdeauna un rol esenţial. Dar acest lucru are un impact pozitiv doar în condiţiile în care îţi poţi asigura funcţionarea propriilor comunicaţii. Se presupune așadar că eliminarea forţelor dușmanului pentru a câștiga nu va mai fi la fel de importantă precum ar fi capacitatea de infiltrare în centrul sistemului inamic, în centrele sale de gravitaţie, pentru a-l distruge sau paraliza. Capacitatea de a identifica ferestre de oportunitate devine din ce mai importantă și mai decisivă. Imaginea 7: Radarele sunt utilizate pentru monitorizarea continuă a activităţilor, inclusiv a atacurilor din spaţiul cibernetic (https://www. journaldugeek.com/2015/01/16/ pal-la-cyberguerre-cest-pourdemain/15.08.2018) Oportunităţile apar atunci când inamicul este ”orbit” sau indus în eroare. Sistemele de comunicaţii ale forţelor armate inamice vor deveni așadar infrastructuri critice esenţiale. Atacarea și distrugerea lor vor paraliza și vor învinge adversarul într-o lume în care alfabetizarea informaţională și capacitatea de manipulare a ei înseamnă putere. Superioritatea spaţiului informaţional se obţine prin capacitatea crescută de a colecta date, de a le analiza și utiliza rapid pe câmpul de luptă. Vor exista mai multe surse și va fi mai simplă răspândirea de informaţii false precum și influenţarea deciziilor inamicului. Propaganda, înșelăciunea și ingineria socială (precum este manipularea psihologică de largă scală) vor fi îmbunătăţite. Acestea vor crea confuzie în rândul adversarilor prin distorsionarea situaţiei, fiind mult mai eficiente decât distrugerea echipamentelor sau a sistemelor de arme. Structurile verticale de comandă vor fi înlocuite treptat de structuri flexibile de reţele care vor include cooperarea permanentă sau temporară cu noi componente. Schimbări majore vor avea loc și la nivelul centrelor de gravitaţie și al planificării ţintelor. Un alt pericol major îl reprezintă, fără îndoială, dezechilibrul resurselor cibernetice, care vor împinge unul dintre actori spre o atitudine agresivă, fiind sigur de victorie. Este nevoie de echilibru și la nivelul armelor cibernetice și al suportului AI, care va permite descurajarea utilizării acestora la nivel cibernetic, așa cum spre exemplu este descurajată utilizarea armelor nucleare. Perioada de tranziţie dintre dezvoltarea noilor capabilităţi și echilibrul resurselor va fi plină de riscuri. Trebuie avut în considerare faptul ca nu este ușor să aplici sistemele AI civile la nivelul armatei. Măsura în care aceste tehnologii vor putea fi duplicate este un factor important dar posibil să creeze și limite. Una dintre cele mai importante dimensiuni ale utilizării sistemelor autonome de arme o reprezintă daunele colaterale care pot interveni. De cele mai multe ori vorbim despre echilibrul intereselor în acest domeniu, iar contextul evoluează cu fiecare secundă în parte. Nu este vorba doar despre acurateţea informaţiei disponibile, ci și despre evaluarea sistemului global în care o singură acţiune poate avea un impact strategic. Problema autonomiei include de asemenea și dimensiunea responsabilităţii, în legătură cu modul de acţiune și consecinţele utilizării sistemelor
autonome de arme. În final, ne putem imagina că, în contextul unei apărări active, un Stat poate avea un răspuns parţial miliar la acţiuni cibernetice agresive contra intereselor sale, atât la nivel cibernetic cât și non-cibernetic. De facto, protecţia cibernetică și capabilităţile cibernetice le permit forţelor militare să își îndeplinească misiunile, și astfel să își desfășoare operaţiunile într-un mod mai eficient și chiar cu costuri mai mici22. Importanța apărării cibernetice pentru armata elvețiană În anii următori, apărarea cibernetică eficientă și protecţia sistemelor vor fi fundamentale pentru rolul de intimidare al armatei elveţiene. Dacă atacurile cibernetice nu vor reuși să slăbească armata elveţiană, atunci respectivul inamic va evita să continue atacul la nivelul solului sau al aerului. Securitatea cibernetică este esenţială ca primă linie de apărare deoarece poate descuraja declanșarea unor atacuri în spaţii fizice. Dar nu trebuie să fie confundată cu descurajarea utilizării armelor nucleare. Scopul este ca adversarul să fie convins să renunţe la un atac prin contracarea operaţiunilor pregătitoare din spaţiul cibernetic și spaţiul informaţional. Asemenea măsuri de contracare trebuie să fie promovate în mod activ. Acestea se potrivesc mai ales în cazul în care adversarul are o strategie hibridă, care începe prin vizarea debilitării statului și a forţelor sale armate prin măsuri luate în spaţiul cibernetic. Viaţa unui potenţial agresor poate fi foarte dificilă dacă are nevoie de mai multe resurse pentru a ajunge la o victorie. Cum Elveţia nu mai are o armată numeroasă care să ţină la distanţă un potenţial inamic, ea trebuie să aibă în vedere cu prioritate securitatea cibernetică pentru a-și proteja sistemele de arme și infrastructura critică, astfel încât să nu fie slăbită înaintea unui atac. Posesia unor sisteme care utilizează AI poate fi un factor descurajator23. Dependenţa armatei elveţiene de infrastructura civilă, în special de reţelele de comunicaţii, este un factor care justifică dezvoltarea securităţii militare în spaţiul virtual. Este esenţial pentru armată ca aceste infrastructuri să fie și ele foarte bine protejate. Din acest moment este important ca subiectul apărării cibernetice să fie inclus în toate exerciţiile militare sau de management al crizelor, în special în cazul în care sunt implicaţi parteneri civili. Relaţiile bidirecţionale dintre forţele armate și instituţiile civile se intensifică, ceea ce înseamnă că, în practică, în contextul arhitecturii securităţii cibernetice, forţele armate pot să beneficieze de sprijinul companiilor civile, atât timp cât nu sunt dependente de ele. Cercetările din cadrul Armasuisse W+T trebuie să dedice resurse și studiului, dezvoltării și adoptării pentru a putea contracara cercetările făcute de oponenţi. Și mai mult, în ceea ce privește resursele umane, nu trebuie uitat faptul ca forţele armate și companiile civile se vor lupta pentru aceiași specialiști. Sistemul milităresc va trebui să devină un avantaj, nu un handicap. Posibilele ciocniri în spaţiul cibernetic vor crea așteptări mai mari dar și constrângeri pentru lideri de niveluri diferite, ei vor avea nevoie să poată să acţioneze autonom într-un cadru global dat. Oricine are „un comportament ordonat” (Befehlstaktik) în utilizarea noilor tehnologii, spre exemplu ca instrument permanent de control pentru a impune o viziune, va avea de pierdut. Grupările de atac modulare, extrem de flexibile, care pot desfășura diferite tipuri de operaţiuni și se pot adapta unui adversar aflat în permanentă evoluţie, reprezintă forţele viitorului. Armata elveţiană va avea nevoie de o structură de comandă extrem de flexibilă, prevăzută ca fiind o parte a unui sistem de sisteme, în care conducerea verticală este înlocuită de o conducere tematică, orizontală și flexibilă. Cel mai
probabil creșterea importanţei spaţiului cibernetic va determina scăderea importanţei deţinerii puterii asupra pământului și a spaţiilor fizice în general. Așadar această evoluţie este semnificativă și va trebui să fie inclusă în dezvoltarea viitoare a armatei, deoarece noţiunea de teren a fost dintotdeauna importantă pentru doctrina militară. Războiul cibernetic va duce la creșterea importanţei analizei centrelor de gravitaţie ale inamicului și ar trebui să determine realizarea unui efort important de protejare a propriilor centre de gravitaţie și de atacare a centrelor de gravitaţie opuse. Sprijinul pe care AI îl poate acorda desfășurării luptelor în spaţiul urban, care este principala zonă de acţiune a armatei elveţiene, va fi important și poate fi un avantaj decisiv. Din cauza faptului că se preconizează reînnoirea a numeroase sisteme de arme în următorii 10-15 ani și a așteptării ca aceste sisteme de arme să fie folosite pentru următorii 30 de ani, provocările planificării acestor achiziţii vor fi foarte reale și nu pot fi subestimate. Vor trebui abordate subiecte precum utilitatea viitoare a tancurilor sau a altor mijloace grele precum artileria. Totuși, procesele de achiziţie ale acestor sisteme vor trebui să integreze dimensiunea securităţii cibernetice și a redundanţei, în caz de atacuri cibernetice. Armata elveţiană va trebui să aibă la dispoziţie mijloace cibernetice potrivite pentru pregătirea optimă a câmpului de bătaie sau pentru blocarea pregătirii câmpului de bătaie de către adversar. Din cauza angajamentelor externe ale armatei elveţiene, vor trebui identificate posibilităţile și limitele de acţiuni în spaţiul cibernetic împotriva unor inamici neconvenţionali. Va trebui identificată și cea mai bună modalitate de asigurare a securităţii cibernetice a trupelor în cazul desfășurării de operaţiuni în medii nefavorabile. Pe scurt, există 8 direcţii de dezvoltare, cu implicaţii pentru spaţiul cibernetic și pentru AI, care vor afecta armata elveţiană și care vor trebui monitorizate și incluse în planificarea dezvoltării forţelor armate: (1) numărul crescut de roboţi, în toate domeniile, (2) renunţarea la anumite sisteme de arme, fiind înlocuite de noi tehnologii (3) metode noi de luptă rezultate din utilizarea noilor tehnologii (4) noi arme, (5) noi criterii și instrumente ale puterii, (6) autonomia crescută a mașinilor, (7) noi probleme legate de mașini și, în final (8) noi ţinte.
Concluzii Apărarea cibernetică a devenit o necesitate absolută nu doar pentru protecţia populaţiei și a infrastructurii dar și pentru viaţa socială și democratică. Atacurile cibernetice sunt principala ameninţare, deși aceasta a fost până acum mascată de vizibilitatea acţiunilor
17
Focus - Cybersecurity Trends teroriste. Noi vulnerabilităţi apar mai rapid decât sunt eliminate cele vechi. Una dintre problemele majore o va reprezenta costul unei protecţii extinse.
Imaginea 8: Importanţa infrastructurii (cum sunt reţelele care tranzitează Islanda) pentru buna funcţionare a spaţiului cibernetic (https://askjaenergy. com/2013/02/11/data-centres-in-iceland/, 20.07.2018) Progresul din spaţiul cibernetic și utilizarea mărită a AI în acest spaţiu operaţional vor schimba parametrii cu care suntem obișnuiţi. Atât pentru civili, cât și pentru forţele armate. Noile ameninţări din spaţiul cibernetic nu le vor înlocui pe cele vechi ci se vor adăuga acestora, care rămân ca posibile instrumente de acţiune, prioritate având actorii non-statali, cum ar fi atacurile de toate felurile, deturnările de avioane sau ambarcaţiuni, etc. În aceste cazuri forţele armate sunt doar pe post de partener și pot contribui cu resurse la managementul unei crize cibernetice, atâta timp cât legea permite. În aceste situaţii ele nu vor avea un rol conducător și nu trebuie să aibă dacă există civili care preiau acest rol. Dar asta nu înseamnă că ei nu trebuie să asigure furnizarea completă a serviciilor necesare de protecţie eficientă a sistemelor și astfel au dreptul să decidă care sunt priorităţile și cum trebuie alocate resursele. Nivelul de securitate al sistemelor statului, inclusiv al sistemelor forţelor armate, este o problemă centrală. Un nivel ridicat este esenţial. AI va crea noi oportunităţi, oportunităţi care vor fi disponibile pentru mai mulţi actori. Caracteristicile geopolitice cum sunt dimensiunea teritoriului, populaţia și resursele naturale nu vor mai constitui atribute ale puterii unei ţări. Revoluţia generată de noile tehnologii va extinde și redistribui puterea, de cele mai multe ori în favoarea unor jucători mai mici și mai slabi24. State mai mici dar cu AI avansat vor avea un impact mai mare. Pericolul principal este reprezentat fără îndoială de dezechilibrul resurselor, care poate determina un stat să aibă o atitudine agresivă dacă este sigur că va învinge sau are superioritate în spaţiul cibernetic. Este nevoie de echilibru și la nivelul armelor
18
cibernetice și al suportului AI, care va permite descurajarea utilizării acestora la nivel cibernetic, așa cum spre exemplu este descurajată utilizarea armelor nucleare. Regularizarea spaţiului cibernetic este esenţială pentru a asigura cooperarea și a reprima abuzurile. Statele vor trebui să deţină mijloace pentru a juca un rol normativ în spaţiul cibernetic, ceea ce la acest moment este destul de dificil. Dacă distanţa dintre statele sărace și cele bogate continuă să se mărească, este de așteptat izbucnirea unor crize majore. Ţările sărace vor avea mijloace crescute de a reacţiona împotriva abuzurilor de la nivelul sistemului economic global și vor putea, cu mijloace relativ limitate, să lanseze acţiuni agresive în spaţiul virtual împotriva celor care sunt percepuţi ca asupritori și profitori. Toate acestea vor conduce la apariţia unor riscuri majore de destabilizare și conflict. Problema răspunderii trebuie rezolvată cât mai rapid. În cazul unei probleme majore când este dificil de identificat agresorul, va fi necesar să fie atribuită responsabilitatea pentru fapte. Poate fi vorba de proprietar, de programator, de constructor, de emiţător sau chiar de stat. Aceasta este una dintre cele mai importante întrebări deschise din lumea aflată în continuă automatizare. Dificultatea cu care se atribuie responsabilitatea este problema principală, deși poate fi și un factor calmant pentru joc, deoarece îl forţează pe atacator să își măsoare reacţia. Totuși este nevoie și de o soluţie, deoarece pe măsură ce atacurile devin mai eficiente, mai exacte și dificil de atribuit ele vor viza toate vulnerabilităţile. Vor apărea mai mulţi actori capabili de astfel de atacuri. Îmbunătăţirea siguranţei va fi determinată nu doar de nevoia de face mai bine lucrurile ci și de a le face diferit. Va fi necesară modificarea comportamentului pentru a reduce și a elimina riscurile. Va deveni din ce în ce mai importantă faza experimentală, atât pentru a verifica posibilele câștiguri de la nivelul securităţii cât și pentru a căuta vulnerabilităţile și a le elimina. Mulţumită capabilităţilor crescute de învăţare autonomă, AI va putea, în viitorul apropiat, să dezvolte și să asigure securitatea cibernetică a unui sistem într-un mod total autonom, respectiv fără nicio implicare umană. Totuși, oamenii își vor menţine un rol în procesul de machine learning. Lipsa totală a interacţiunii umane poate conduce la dezvoltarea mașinilor într-o direcţie greșită și astfel se reduce eficacitatea securităţii. Importanţa fiinţei umane, respectiv a soldatului, nu va dispărea, așa cum o vor face multe dintre temerile din acest domeniu. Adevăratul risc îşi va face apariţia în momentul separării oamenilor de mașini, atunci vor apărea în mod inevitabil conflictele. Va deveni esenţial ca sistemele militare să devină suficient de sigure pentru a compensa răspândirea extinsă a ameninţărilor digitale. Este imperativ ca toţi cei implicaţi să fie conștienţi de seriozitatea acestei ameninţări. Riscul în spaţiul cibernetic este un risc sistemic și nu se limitează la atacuri ţintite sau limitate. În acest context, securitatea cibernetică împiedică nu doar atacurile cibernetice dar și atacurile în alte zone de operaţiuni, având în vedere că slăbirea adversarului în spaţiul cibernetic poate constitui o primă etapă de pregătire a unui conflict deschis. Va trebui să ne obișnuim cu un mediu în care atacurile cibernetice vor fi ceva comun și cu apariţii sistematice, ceea ce poate pune în pericol stabilitatea întregului spaţiu cibernetic. Astfel, este posibil să apară din ce în ce mai des conflicte între sisteme, toate fiind sprijinite de utilizarea AI, unele dintre ele încercând și să își exploateze reciproc vulnerabilităţile. Securitatea în lumea virtuală va sta la baza protecţiei lumii reale. Totuși, perspectiva unor daune extinse, incluzând daunele colaterale, îi poate determina pe atacatori să fie mai precauţi, în special când este vorba de actori statali. Într-adevăr este extrem
de dificil de estimat consecinţele unor atacuri cibernetice care vor afecta nediscriminatoriu toate calculatoarele și sistemele dintr-o ţară și ale căror efecte colaterale sunt prin definiţie imprevizibile. Acest pericol este ușor de conceput când vine vorba de arme autonome bazate pe AI și lipsa controlului din partea oamenilor. Forţele armate și armata elveţiană în particular nu au de ales. Trebuie să se protejeze eficient împotriva atacurilor cibernetice și a răspândirii noilor tehnologii dacă își propun să își menţină capacitatea de a-și îndeplini misiunea de protecţie a populaţiei și a teritoriului naţional. Este imposibil de imaginat niște forţe armate care nu au o componentă cibernetică. Neluarea în serios a provocărilor progresului spaţiului cibernetic și al AI introduce riscuri existenţiale la nivelul societăţilor. Anumite măsuri de întărire a securităţii în spaţiul cibernetic pot și trebuie să fie luate, de cele mai multe ori chiar cu ajutorul AI. Sunt șase elemente ale unei protecţii cibernetice eficiente: (1) prevenirea prin educaţie, (2) anticiparea, (3) protecţia, (4) detectarea, (5) atribuirea și (6) răspunsul. Educaţia utilizatorilor de internet și a mass-mediei este esenţială. Anticiparea presupune cunoașterea ameninţărilor, pentru a putea pregăti contraatacul, în timp ce protecţia presupune toate acele măsuri de îngreunare a misiunii atacatorilor. Detectarea trebuie să fie posibilă prin măsuri luate în interiorul sistemelor. Aceste măsuri vor deveni din ce în ce mai importante și mai complicate o dată cu dezvoltarea criptografiei. Atribuirea presupune mijloace specifice de analiză a semnalului. În final, răspunsul are în vedere reînceperea și continuarea activităţii precum și măsurile luate direct împotriva atacatorului.
Note: 1 Ryter, Marc-André: La 4ème révolution industrielle et son impact sur les forces armées, MPR I/17, pp. 50-62. 2 Rid, Thomas: The Rise of the Machines, Scribe Publications, London, 2016, p. 298. 3 Ryter, op. cit., pp. 58-60. 4 Straub, Jeremy: Artificial Intelligence is the weapon of the next Cold War, The Conversation, 29.01.2018, disponible sous https://theconversation.com/artificialintelligence-is-the-weapon-of-the-next-cold-war-86086, p.2 5 Anil, Suleyman: How to integrate cyber defence into existing defence capabilities, in ANGELI, Franco (Dir.): International Humanitarian Law and New Weapon Technologies, International Institute of Humanitarian Law, San Remo, 2012, pp. 152. 6 Anil, op. cit., p. 149. 7 Revue Stratégique de Cyberdéfense, Secrétariat Général de la Défense et de la Sécurité Nationale, Paris, 12.02.2018, disponible sous http://www.sgdsn.gouv.fr/ uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf, p. 81 8 Brundlage, Miles (et al): The Malicious Use of Artificial Intelligence: Forecasting, Prevention and Mitigation, February 2018, 99 p., disponible sous: https://arxiv.org/ ftp/arxiv/papers/1802/1802.07228.pdf. 9 Ibid, p. 21. 10 Ibid, p. 39. 11 Straub, op. cit., p. 3. 12 Arquilla, John et Ronfeldt, David: Cyberwar is coming!, Comparative Strategy, vol. 12, no 2, 1993, p. 39. 13 Dannreuther, Roland: International Security: the Contemporary Age, Cambridge, Polity Press, 2013, p. 266. 14 Brundlage, op. cit., p. 43. 15 Rid, op. cit., p. 296. 16 Douzet, Frédérick: Cyberguerres et cyberconflits, dans BADIE, Bertrand et VIDAL, Dominique: Nouvelles Guerres, L’état du monde 2015, La Découverte, Paris, 2014, pp. 111-117. 17 Allen, Greg et Chan, Taniel: Artificial Intelligence and National Security, Harvard Kennedy Scholl, Belfer Center for Science and International Affairs, July 2017, p. 46. 18 Villani, Cédric: Donner un sens à l’intelligence artificielle: pour une stratégie nationale et européenne, Mission parlementaire du 8 septembre 2017 au 8 mars 2018, Paris, mars 2018, p. 221, disponible sous aiforhumnaity.fr. 19 Rid, op. cit., p. 300. 20 Brundlage, op. cit., p. 42. 21 Straub, op. cit., p.3. 22 Revue Stratégique de Cyberdéfense, op. cit., p. 52. 23 Straub, op. cit., p. 5. 24 Arquilla et Ronsfeldt, op. cit., p. 26.
19
Trends - Cybersecurity Trends
Dezvoltarea Securizată de Cod – metoda cepei: 4 întrebări triplu stratificate Autor: Massimiliano Brolli
Din ce în ce mai des, în organizațiile mari, se vorbește despre Dezvoltare Securizată de Cod (Safe Code Development - SSC), mai precis despre instrumente automatizate de suport pentru programatori, care permit analizarea software-ului creat, identificarea vulnerabilităților (de tipul Owasp TOP10 sau SANS25) și rezolvarea lor înainte de lansarea oficială, determinând astfel realizarea unui software puternic și sigur.
Dar este oare această abordare mulţumitoare?
Interpretare: partea de sus – etapele de testare și dezvoltare sigură de cod/ partea de jos – etapa de evaluare dinamică a codului Există modalităţi diferite de efectuare a testelor de siguranţă a aplicaţiilor, toate bazate pe detectarea erorilor de
BIO În prezent responsabil cu funcțiile de monitorizare a nivelelor de securitate și a activităților de Risk Assessment în cadrul TIM și al societăților sale, Massimiliano a avut funcții de conducere și în cadrul Telecom Italia precum și la TIIT (Telecom Italia Information Tecnology), cu experiență în activitați de governance și audit de securitate pentru platforme centralizate de gestiune. Anterior, el a lucrat în programare la IBM, 3inet, Praxi si BNL. Massimiliano predă des cursuri pe teme precum uml object oriented și structuri și limbaje de programare.
20
programare și implementarea logicii la nivel de aplicaţie, dar practica dezvoltării securizate de cod reprezintă întotdeauna cel mai delicat și „nesigur” strat al producţiei unei aplicaţii „impenetrabile”. În experienţa mea cu audit-urile de securitate, de foarte multe ori am dat peste diverse proceduri de evaluare a impactului, impact care decurge din existenţa prea multor vulnerabilităţi nerezolvate din SSC dar, foarte des, nu există nicio urmă de astfel de vulnerabilităţi în rapoartele realizate cu instrumentele statice de scanare. Dar, înainte de a vă spune mai multe, trebuie să ne punem următoarea întrebare: „Ce presupune scanarea statică a unui cod?” Dacă răspunsul vostru este „un instrument care îţi permite să identifici toate problemele de securitate ale unei aplicaţii, probleme care ar expune respectiva aplicaţie la riscuri”, sunteţi departe de adevăr. De fapt, instrumentele statice de scanare (dar și cele dinamice, după cum voi arăta ulterior, în ciuda celor spuse de furnizorii acestor instrumente) permit detecţia, cu o marjă mică de eroare, a vulnerabilităţilor specifice codurilor de intrare și filtrare precum XSS și Injection. Tabelul următor (Sursa: Owasp, plus câteva completări) identifică această problemă, iar voi puteţi trage propriile concluzii. Dacă este analizat în amănunt acest TOP 10 al Owasp se observă că există vulnerabilităţi cu impact puternic care nu sunt identificate de instrumentele
ID Owasp
Elemente de vulnerabilitate
Tip de utilizare
Tip de difuzare
Identificare cu instrumente automatizate
Impact
Facile = Ușor; Medio = Mediu; Difficile = Dificil; Severo = Puternic; Comune = Obișnuit; Diffuso = Frecvent automatizate iar aceste vulnerabilităţi apar la nivelul comportamentului aplicaţiei sau sunt erori de proiectare care nu pot fi detectate de instrumentele actuale. Spre exemplu, vulnerabilităţile de tipul Broken Authentication și Broken Access Control sunt vectori formidabili de atac care pot duce la un impact puternic fără a lua în considerare codul de SQL Injection care este dificil de identificat, astfel se dovedește că scanarea statică este limitată deoarece: nu identifică toate erorile de logică din aplicaţie, identificându-le doar pe cele din zonele critice de exploatare de tipul deficienţelor de la nivelul dezvoltării profilelor și a autorizărilor de acces la conţinut. determină apariţia unor rezultate de tip fals – pozitiv (peste 50% dintre studii sunt de acest tip) dar și a unor rezultate fals – negative, acestea fiind mult mai riscante și incontrolabile, cum ar fi adevăratele vulnerabilităţile care sunt de multe ori confundate cu SQL injection. calitatea scanărilor depinde de calitatea aparatelor de scanat dar și a mediului în care această scanare se realizează (de ex. dependenţele dintre librării sau dintre modulele aplicaţiei, arhitecturi din afara aplicaţiei sau atenţionări de scanare nerezolvate). Dar adevăratul „om rău” nu lucrează în dezvoltare ci în producţie, și de cele mai multe ori este din China sau Rusia, așadar următoarea întrebare concludentă ar fi „...dacă se transferă funcţia de control în etapa de producţie și se utilizează instrumente dinamice, oare acest lucru ar duce la o siguranţă mai mare?”. Răspunsul la această întrebare este asemănător cu răspunsul la întrebarea care este diferenţa dintre un om și o mașină. Pe scurt, totuși scanarea de tip dinamic (spre ex cu instrumente de scanare web) este utilă (așa cum sunt și evaluările de vulnerabilitate) deoarece mută controlul mai aproape de activitatea ilegală. Și în acest caz trebuie avute în vedere o serie de limitări: Instrumentele Web de scanat nu elimină prezenţa erorilor de aplicaţie din dezvoltarea programelor (așa cum se întâmplă și în cazul scanarilor statice), chiar dacă au o gamă mai mare de acoperire, tocmai pentru că sunt realizate la faţa locului.
Un scanner dinamic este foarte intruziv, deci este de preferat să se realizeze în faza de testare pentru a proteja exerciţiul, dar scanarea dinamică în etapa de testare conţine și posibile elemente de slăbiciune, cum ar fi mediile eterogene, diferite versiuni software, patch-uri diferite, medii de testare care nu sunt disponibile, etc… Intruziunea la nivel de politică este direct proporţională cu vulnerabilităţile detectate. Este nevoie de experienţă pentru a ajunge la compromisul potrivit între cele două elemente. Spre deosebire de politicile și tehnologiile definite, scanarea dinamică poate determina răspunsuri fals pozitive sau și mai riscantele răspunsuri fals negative. Ajungem acum la cea de-a treia întrebare: „... poate totuși este de preferat ca toată activitatea de scanare să se realizeze în etapa de testare a aplicaţiei”. Aceasta poate fi soluţia, dar chiar și atunci trebuie avute în vedere următoarele aspecte: Testarea web de tipul Application Penetration se desfășoară înainte de lansare, are în vedere toate riscurile existente la nivelul aplicaţiei și este minim invazivă deoarece se realizează de către un specialist iar eficacitatea sa este direct proporţională cu abilităţile personalului specializat. În cazul aplicaţiilor complexe, testarea de tipul Application Penetration nu se poate realiza la toate nivelurile aplicaţiei, cum ar fi limitele de timp pentru managementul controlului (nu se realizează o testare de tip etic). Testarea permite identificarea impactului real dar și a deficienţelor, spre deosebire de scanările statice/dinamice. Pune la dispoziţie o imagine de ansamblu (în combinaţie cu un web scan) asupra gradului real de risc al aplicaţiei. Are costuri mai ridicate decât activităţile automatizate obișnuite. Iar cea de-a patra întrebare este: ...„și atunci? ... care este cea mai bună soluţie?”, răspunsul de obicei este „depinde” deoarece: Dezvoltarea Securizată de Cod se realizează în fabrică, scopul ei este scanarea statică obligatorie a celor mai simple breșe de securitate. De asemenea, utilizarea acestor scannere (menite să fie instrumente de dezvoltare de nivelul Eclipse sau VisualStudio) aduce valoare indirectă prin introducerea „Conștientizării” la nivelul echipelor de dezvoltare, echipe care încă au multe lipsuri la capitolul dezvoltare securizată de software. Scanarea dinamică (la fel ca toate evaluările de vulnerabilitate) este utilă, are multe avantaje și identifică vulnerabilităţi reale dar trebuie să fii foarte atent la riscurile din etapa de producţie, la nivelul de intruziune al produselor de scanare utilizate dar și la politicile utilizate. Testarea de tip Application Penetration este soluţia ideală pentru a avea o imagine de ansamblu asupra riscurilor care apar în urma unui abuz în utilizarea unei aplicaţii și acoperă toate vulnerabilităţile din Owasp TOP10, dar un test de tip Application Penetration poate fi utilizat la nivelul unei aplicaţii complexe doar pentru a o testa.
1
2 3
21
Trends - Cybersecurity Trends
Datanet - F5, alegerea optimă pentru protecţia aplicaţiilor Web Mai mult de jumătate din aplicaţiile Web sunt în mod constant vulnerabile în fata metodelor automate de atac. Datanet Systems contracarează acest tip de riscuri cu ajutorul soluţiei F5 Advanced WAF, care asigură un nivel superior de protecţie împotriva noilor tipuri de ameninţări și oferă funcționalități suplimentare față de Web Application Firewall tradițional.
„Aplicaţiile Web sunt printre principalele ţinte ale atacurilor. Hackerii nu îşi mai concentrează atacurile asupra reţelei, ci în direcţia compromiterii aplicaţiilor Web prin tehnici de «Cross-site scripting», «SQL injection» sau alte metode”. Avertismentul datează din 2008, iar în 10 ani lucrurile s-au schimbat major. La momentul actual, hackerii folosesc metode automate de lansare a atacurilor, precum „Headless browsers”, care fac dificilă diferenţierea dintre un utilizator uman legitim şi un robot. Scanerele de vulnerabilităţi şi breşe utilizate de atacatori sunt tot mai accesibile şi mai performante. Reţelele botnet au la dispoziţie resurse nelimitate de dispozitive uşor de compromis (de la device-uri IoT, până la modemuri „casnice” şi echipamente de reţea enterprise). Baze cu datele de logare a zeci de mii de utilizatori pot fi achiziţionate de pe Dark Web şi folosite pentru a lansa atacuri care „păcălesc” sistemele de autentificare. Pe scurt, din perspectiva securităţii IT, lucrurile evoluează din rău în mai rău, tot mai rapid. Răspunsul Datanet Systems la acest cumul de provocări critice este F5 Advanced Web Application Firewall (WAF). Recomandarea produsului F5 – nominalizat ca lider de piaţă de către Gartner, Forrester Research şi NSS Labs – se bazează atât pe funcţionalităţile unice ale soluţiei, care îi asigură o acoperire extinsă, peste ceea ce oferă produsele competitorilor, cât şi pe experienţa specialiştilor Datanet acumulată în mai multe proiecte implementate în diferite industrii.
Asigurare împotriva „spărgătorilor de conturi” Soluţia F5 livrează toate funcţionalităţile standard ale unei aplicaţii de tipul Web Application Firewall –
22
protecţia împotriva atacurilor cuprinse în OWASP Top 10 reprezentând o funcţionalitate de bază a Advanced WAF –, dar se remarcă prin câteva elemente specifice, care răspund unor cerinţe extrem de actuale. Cum ar fi, de exemplu, problema datelor de logare furate, care se acutizează. În 2016, experţii anunţau că s-a atins recordul absolut – 4,2 miliarde de „credentials” compromise. Anul trecut, doar în primele şase luni numărul lor trecuse de 6 miliarde... Ca urmare, oferta pe Dark Web este bogată şi la preţuri derizorii, iar investiţia este rentabilă – achiziţia unei baze cu 1 milion de date de logare compromise îi asigură unui hacker acces la minimum 20.000 de conturi „corporate”. Evident, cea mai sigură şi ieftină metodă de prevenire a furturilor datelor de logare este schimbarea periodică a numelui de utilizator şi a parolei. Şi mulţi angajaţi chiar o fac. Însă 75% dintre aceştia refolosesc aceleaşi date pentru logarea în mai multe conturi, ceea ce uşurează masiv sarcina hacker-ilor. Pentru a preveni atacurile declanşate prin intermediul datelor de logare furate – mai dificil de detectat decât atacurile în forţă pentru că utilizează strategii de tipul „Low and Slow” –, Advanced WAF monitorizează şi analizează mai multe caracteristici, precum: locaţia IP a user-ului, ora logării, tentativele de conectare iniţiate într-un interval de timp definit, numărul tentativelor eşuate etc., verificând permanent „semnăturile” prin compararea lor cu bazele ce conţin date de logare compromise etc. Pentru a preveni conectările neautorizate, soluţia F5 poate fi configurată, de exemplu, să blocheze un utilizator după un număr de X logări eşuate în Y secunde şi/ sau să filtreze inteligent tentativele de conectare folosind baze de date reputaţionale cu adrese IP sau în funcţie de anumite criterii geografice. Advanced WAF asigură protecţie şi împotriva roboţilor care încearcă să completeze automat câmpurile cu date de logare, făcându-le mai greu de depistat de către aceştia, printr-un mecanism dinamic de modificare. În plus, aplicaţia criptează datele transmise, ceea ce le face neinteligibile în cazul în care sunt interceptate, şi permite folosirea sistemelor de autentificare multi-factor. O altă tehnologie utilizată de către soluţia F5 o reprezintă „injecţiile” JavaScript, cu ajutorul cărora stabileşte rapid dacă utilizatorul din spatele
unui browser este unul uman, legitim, sau dacă este un bot sau un alt instrument automat utilizat de către hackeri. Pentru a face această diferenţiere, Advanced WAF stabileşte la fiecare sesiune iniţiată o „amprentă” a clientului, cu ajutorul căreia face diferenţa între roboţii „prietenoşi” (cum sunt, de exemplu, cei utilizaţi de către motoarele de căutare) şi cei răuintenţionaţi, reducând astfel numărul alertelor fals pozitive. În plus, „amprenta” permite urmărirea atacatorului şi dincolo de adresa IP, facilitând procesul de depistare şi blocare a acestuia. Advanced WAF protejează nu doar organizaţiile, ci şi utilizatorii din cadrul acestora. Funcţionalitatea DataSafe integrată în soluţia F5 foloseşte „injecţiile” JavaScript pentru criptarea dinamică a datelor de logare introduse de către utilizatori, asigurându-le astfel protecţia în cazul în care echipamentele pe care le folosesc sunt infectate.
Analiza comportamentală a atacurilor DoS O altă funcţionalitate specifică soluţiei F5 este „Behavioral analysis DoS” (BADoS), care utilizează mecanisme de „Machine learning” pentru a analiza şi stabili automat profiluri pentru nivelurile normale de trafic generate de fiecare aplicaţie Web, ceea ce face ca orice anomalie să fie depistată mult mai rapid decât o poate face un om. Advanced WAF foloseşte tehnologii de analiză avansată şi învăţare automată pentru a genera baze dinamice de semnături, cu ajutorul cărora blochează atacurile DoS la nivelul 7, fără a mai fi necesară intervenţia administratorului. Pentru a asigura o protecţie extinsă, BADoS monitorizează continuu nu doar traficul, ci şi nivelul de încărcare al serverelor, sesizând orice anomalie apărută şi aplicând automat măsurile de remediere stabilite (încetinirea traficului sau blocarea acestuia). Pentru a depista un potenţial atac DDoS, Advanced WAF foloseşte atât tehnologiile de analiză, învăţare şi monitorizare a traficului, cât şi un algoritm complex care utilizează parametrii precum TPS (Transaction per Second), latenţa la nivel de server (Stress-based detection), baze de date cu semnături de botnet-uri detectate deja etc. Funcţionalitatea BADoS oferă protecţie şi împotriva atacurilor de tip „Heavy URL” sau “Cross-Origin Resource Sharing” (CORS), care pot afecta
funcţionarea aplicaţiilor Web prin solicitarea unui volum foarte mare de resurse. Soluţia permite definirea unui „White list” cu site-urile care pot iniţia solicitări legitime de partajare de resurse.
O soluţie care evoluează continuu Advanced WAF adaugă constant noi funcţionalităţi, adaptate cerinţelor actuale. De exemplu, prin intermediul Anti-Bot Mobile SDK, soluţia F5 permite organizaţiilor să integreze în doar câteva minute capabilităţi avansate de securitate (de tipul „Proactive Bot Defense”) în aplicaţiile mobile pe care le utilizează. Anti-Bot Mobile SDK este uşor de utilizat, nu necesită scrierea de cod şi asigură protecţia aplicaţiilor mobile împotriva roboţilor şi atacurilor automate. Soluţiile F5 beneficiază de suportul unui pachet extins de servicii furnizate de către F5 Lab, F5 Security Incident Response (SIRT) şi F5 Security Operation Center (SOC), resurse specializate care monitorizează şi analizează proactiv ameninţările de securitate apărute la nivel global, oferind soluţii de remediere. Advanced WAF este oferită într-o varietate de modele de licenţiere şi diverse opţiuni financiare, pentru a asigura flexibilitate maximă. Pentru a face alegerea optimă, în conformitate cu cerinţele, competenţele şi bugetul companiei dvs., aveţi nevoie însă de un partener cu experienţă atât în implementarea soluţiilor F5, cât şi în integrarea soluţiilor de securitate. Experienţa de 20 de ani acumulată de către Datanet Systems în acest domeniu reprezintă o garanţie a faptului că, implementând F5 Advanced WAF, organizaţia dvs. obţine o protecţie extinsă în faţa noilor tipuri de ameninţări, dar şi îmbunătăţiri operaţionale importante, precum şi o mai bună utilizare a resurselor.
Dacă doriți să aflați cum puteți valorifica în cadrul organizației dvs. avantajele soluției F5 Advanced WAF, contactați-ne la adresa office@datanets.ro
PARTENERUL TĂU SPECIALIZAT ÎN SISTEME DE SECURITATE
23
Trends - Cybersecurity Trends
Cuprins 1
Editorial Autor: Laurent Chrzanovski
2
Mesaj de la ITU Autor: Marco Obiso
O publicație
Notă copyright: Copyright © 2018
3
4
6
Evoluţii ale ameninţării cibernetice în anul 2018 Autor: Cătălin Aramă Hardware-hacks. O altă dimensiune a securităţii cibernetice Autor: Mihai Vişoiu Securitatea sistemelor IT critice: ce facem când nu avem PATCH-uri? Autor: Virgilius Stanciulescu
Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Swiss WebAcademy.
Redactori: Laurent Chrzanovski, Romulus Maier †
Editorii ţin să mulţumească D-rei Marina Enache pentru traduceri, corecturi și adaptarea terminologică a articolelor
10
Securitatea cibernetică: prima linie de apărare în faţa impactului inteligenţei artificiale Autor: Col. Marc-André Ryter
20
Dezvoltarea Securizată de Cod – metoda cepei: 4 întrebări triplu stratificate Autor: Massimiliano Brolli
22
Datanet - F5 alegerea optimă pentru protecţia aplicaţiilor Web
în limba engleză.
ISSN 2393 – 4778 ISSN-L 2393 – 4778
Adresa: Şcoala de Înot nr. 18, 550005 Sibiu, România
http://cybersecuritytrends.ro
24
office@ swissacademy.eu www.swissacademy.eu