Cybersecurity Trends 1/2016 RO

Page 1

Cybersecurity Trends

. PAG17 6 1

VIP

Interviu

Nr. 1 / 2016

CARLA LICCIARDELLO

DREPTURILE COPIILOR ȘI INTERNETUL . PAG29 12-

Cover Story

PERSONAL SECURITY & PRIVACY



ends Editorial - Cybersecurity Tr

autor: Laurent Chrzanovski

Din păcate, în sfârșit s-a întâmplat ceea ce toţi experţii anunţaseră deja de un an și jumătate: un atac SCADA reușit, pe scara largă. Era ora 15:30, în 23 decembrie, când electricitatea a fost întreruptă în toată regiunea IvanoFrankivsk (Ucraina de Vest). Un atac sofisticat, precedat și prelungit prin metode de atac convenţionale precum TDoS (Telephone denial of service). Fără a intra în detalii care ţin de tehnologie, sau, dimpotrivă, de geopolitică în cadrul războiului declaraţiilor și acuzaţiilor care au urmat acestui atac, această premieră trebuie contextualizată însă în trei frameworkuri mult mai preocupante decât reușita atacului. Prima este durata infiltrării sistemului, estimată la 6 luni, și data executării atacului, o lună după black-out-ul

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

din Crimeea (21 noiembrie) și care, de data asta, a fost efectuat cu o tehnică «pre-digitală»: atacatorii au detonat pur si simplu explozivi în cele 2 turnuri de redistribuţie de electricitate ucrainieni spre peninsulă în apropierea orașului Kherson. Ne aflăm așadar, fără a stabili cu precizie atacatorul, într-un fel de «retaliation» în stil mafiot, mai simplu spus la o aplicare cu consecinţe civile grave a legii talionului. Al doilea framework, bine pus în evidenţă de revistele de specialitate în energie, este alegerea regiunii de atac. La prima vedere este o regiune lipsită de importanţă. Este slabă economic și relativ puţin locuită, fapt confirmat de către cei 80.000 de civili care au fost victimele black-out-ului. Dar la polul opus, este o regiune crucială pentru schimburi energetice Est-Vest. Acolo sunt noduri vitale si ale sistemului electric și ale sistemului de gaze pentru redistribuţia energetică spre ţările UE. Al treilea framework este cel definit de către câţiva dintre cei mai buni specialiști în domeniu, și anume că gradul și intensitatea atacului au fost atent alese de către hackeri, care au demonstrat că stăpânesc tehnologia pentru a face daune infinit mai grave, așa cum a rezumat foarte bine Michael Assante, director SANS ICS: ceea ce au făcut atacatorii «nu este limita a ceea ce cineva poate să facă; este doar limita a ceea ce cineva a ales să facă»1. Consecinţa pozitivă a acestui sabotaj digital este că lumea importantă din sectorul infrastructurilor critice a început să vorbească. Cea mai interesantă știre a venit de la o ţară foarte secretizată, Israel, cu efectul bine gândit de «bombă mediatică», în cadrul conferinţei VIP «Cybertech 2016». Ministrul energiei a declarat în 26 ianuarie că Autoritatea Naţională pentru Electricitate a fost ţinta unui atac cibernetic foarte dur, printre cele câteva sute care sunt «de rutină» pentru această instituţie, în fiecare lună2. Indiferent de mărimea sau calitatea acestui atac, despre care se știe foarte puţin și care a fost definit de către unii specialiști nu ca un atac asupra infrastructurii în sine ci mai mult ca un val de phishing/ransomware3, este foarte interesant să privim cum sunt apărate unele infrastructurile critice în Israel, și nu numai. Principala companie a ţării, Israel Electric Corporation, a înfiinţat în 2013 deja propriul său «Cyber Gym»4, cu tineri specialiști activi în trei domenii: apărare, gestiune de criză și contra-atac. După rodaj, această «academie informală» a atins o calitate atât de înaltă încât s-a transformat într-o «training arena» care la rândul său predă cursuri și instruiește colaboratori ai altor companii5. De ce publicăm acest scenariu aproape de «cyber-war» într-un număr de revistă dedicat soluţiilor end-user? Pur și simplu pentru a arăta că o apărare proactivă, indiferent că este vorba despre o mare companie din domeniul

1


ds Editorial - Cybersecurity Tren infrastructurilor critice, sau de un mic IMM, se bazează pe cunoaștere, testare și educarea resurselor umane. Fiecare utilizator trebuie să aibă un nivel minim de educaţie, și vedem bine cât de lung este drumul care rămâne de făcut. Elemente6 ale raportului încă nepublicat al CISCO arată că 71% din antreprenori încă consideră securitatea ca un obstacol în fluiditatea afacerilor lor7, în timp ce marea majoritate a antreprenorilor pur și simplu nu vor să recunoască dacă au probleme sau nu în domeniul securităţii8. Acest număr vă va da câteva exemple din care se poate vedea că folosind măsuri de bun simţ, se reduc masiv riscurile de a fi atacat. La fel, este foarte important de subliniat că o metodă de «gaming» și de «gym» bazată pe factorul uman și talent, așa cum a început povestea de succes la Israel Electric Corporation, a adus nu numai o securitate extrem de sporită în companie, dar a devenit și un produs de succes în vânzări. Tehnologia este necesară. Sistemele de apărare sunt necesare, dar în sfârșit marile companii dau semnalul că vremea «outsourcing-ului» s-a terminat. Formarea, educarea, pregatirea, gestionarea crizelor în cadrul firmei sunt cheia succesului, cheie care transformă un sistem de apărare din defensiv în proactiv. Dacă inginerii ucrainieni ai Prykarpattyaoblenergo ar fi avut o pregătire de apărare, poate că ar fi știut, în 23 decembrie, «what that little flicker of his mouse cursor portended that day».

2

Este scumpă securitatea? Nu, dacă este bine gândită. Ultimul din marii giganţi ai lumii farmaceutice, urmărind ce fac concurenţii săi, a făcut din IT și din securitatea IT noua sa modalitate de a economisi mult din buget mărind gradul de apărare și devenind anticipativ în intelligence. Cum? În 2 ani, AstraZeneca a completat insourcing toate resursele IT, angajând 3400 de specialiști și formând personalul. Rezultatul, anunţat acum o lună, depășește orice așteptare: economii de 350 de milioane de dolari pe an și securitate evaluată la un nivel neatins în istoria firmei9… În firmele mai mici, outsourcing-ul este demonstrat că optimizează și securitatea și costurile operaționale - în general, nu ale unui business în sine. Dar numai dacă cumpărătorul înțelege ce trebuie «outsource-at» și cu ce partener… Nimeni nu este mai bun cunoscător și mai bun paznic al casei decât proprietarul…

Note: 1 A se vedea printre altele anchetele complete rezumate de către revista Wired: http://www.wired. com/2016/01/everything-we-know-about-ukraines-power-plant-hack/http://www.wired.com/2016/03/ inside-cunning-unprecedented-hack-ukraines-power-grid/ 2 http://www.israelnationalnews.com/News/News.aspx/207075#.VubZIMfjlOc 3 http://www.computerworld.com/article/3026609/security/no-israels-power-grid-wasnt-hacked-butransomware-hit-israels-electric-authority.html 4 http://www.jpost.com/Enviro-Tech/Israel-Electric-Corporation-inaugurates-Cyber-Gym-to-protectnetwork-dependent-infrastructure-330291 5 http://www.cybergym.co.il/services/ 6 articol din Wired 03/2016, op.cit 7 http://www.theregister.co.uk/2016/02/17/cyber_security/ 8 http://www.cio.com/article/3035260/security/business-leaders-still-in-denial-about-cybersecuritythreats.html 9 http://www.computerweekly.com/news/4500272779/AstraZeneca-IT-insourcing-exceeds-expectation


Trends Authorities - Cybersecurity

Mesajul oficial al International Telecommunication Union

Marco Obiso, Cybersecurity Coordonator, International Telecommunication Union, Geneva

Tematica acestei noi ediţii a revistei Cybersecurity Trends, „viaţa privată și securitatea personală” este unul dintre subiectele fierbinţi care preocupă întreaga comunitate internaţională. După cum subliniază experţii în lucrarea „În căutarea încrederii cibernetice”1, noi ca indivizi ascultăm „știri de ultimă oră” din diverse surse media despre noi operaţiuni de phishing, despre incidente privind scurgeri masive de date, furt de identitate și alte pericole care ne ameninţă viaţa digitală. Cu cât aflăm mai multe despre partea întunecată a lumii digitale, cu atât avem mai puţină încredere în ea, o atitudine care nu poate duce decât la noi probleme, deoarece nu mai putem trăi ne-conectaţi. Regulile și comportamentele din lumea digitală trebuie înţelese, pentru a beneficia de această lume într-un mod sigur și aceasta începe cu educaţia de bază și cu împărtășirea de know-how astfel încât să prevenim posibilitatea de a deveni ţinte și de a fi atacaţi. Pentru a explica corespunzător conceptul aș dori să citez un text care a fost utilizat la descrierea uneia dintre sesiunile forumului WSIS din 2015.2 „Creșterea ușurinţei de a transmite link-uri și de a analiza informaţia ridică îngrijorări în privinţa protecţiei vieţii private. Din punct de vedere al reglementărilor și al politicilor, cea mai mare atenţie a fost acordată datelor personale, corelate cu inovaţia bazată pe date. Provocarea este de a găsi un echilibru rezonabil între dreptul indivizilor la viaţă privată și oportunităţile emergente din inovaţiile bazate pe date. Concret, relaţiile sunt formate și se bazează pe conexiuni și interacţiuni. Indivizii au relaţii cu alţi oameni și cu entităţi, cum ar fi angajatorii lor, canalele de media socială și altele. Suplimentar, indivizii au relaţii cu obiecte, cum ar fi telefoane, mașini, console de jocuri și alte obiecte bazate pe tehnologie. Pe măsură ce aceste

tehnologii continuă să avanseze rapid, aceste conexiuni, roluri și relaţii se multiplică exponenţial cu fiecare inovaţie. Datorită inovaţiei bazate pe date și evoluţiei constante a relaţiilor digitale, ne confruntăm cu o evoluţie semnificativă de la conceptele tradiţionale de sine și identitate spre o nouă abordare de management a identităţii digitale, care transcede lumea off-line și regulile care o guvernează. Pe măsură ce cetăţenii globali converg pe Internet și noile media, tehnologiile și serviciile străbat și influenţează cultura, datele personale sunt oferite voluntar, folosite ca pârghie și uneori compromise.” Ca o dovadă a angajamentului în acest domeniu, ITU a editat în 2012 o broșură denumită Privacy in Cloud Computing3, creionând starea de fapt și actualizând-o de atunci în mod permanent cu ajutorul diferitelor think-tank-uri. Un an mai târziu ITU a lansat un proiect în regiunea Caraibelor (HIPCAR), în cadrul căruia una dintre zonele prioritare a constituit-o viaţa privată și protecţia datelor pentru ţările din Caraibe. Ghidurile4 regionale, realizate cu acest prilej, identifică bunele practici în protecţia datelor și s-au dovedit a fi foarte utile pentru ţările din regiune.5 Anul trecut, în cadrul framework-ului de la forumul World Summit on the Information Society (WSIS), un întreg panel a fost dedicat cybersecurităţii și vieţii private într-o lume a inovaţiei bazate pe date. Toate lucrările și prezentările au fost înregistrate și pot fi accesate de pe pagina dedicată a site-ului ITU6. ITU publică de asemenea, tot timpul anului, cele mai noi documente emise de diferite agenţii pe o pagină specială dedicată celor mai bune practici în securitate7. După cum se poate vedea, misiunea organizaţiilor internaţionale, ca și a statelor membre, trebuie să nu se rezume doar la a discuta strategii pentru securizarea bunurilor digitale, ci la „a făptui fapte” și nu doar „a vorbi vorbe”. După ani de zile în care mediul digital a fost considerat „cool”, „smart”, „util”, în momentul de faţă generează o pletoră de îndoieli, neîncredere și uneori temeri. Rolul nostru, împreună, este de a fi capabili să regăsim încrederea deplină atunci când utilizăm instrumentele digitale, dar acest lucru poate fi realizat doar după acumularea unor cunoștinţe de bază despre modalităţile în care ne putem auto-apăra ca persoane private și despre greșelile pe care să nu le facem pe net, evitând astfel surprizele neplăcute. În acest domeniu, ca și în altele, ITU sprijină statele membre și cetăţenii acestora în efortul de creștere a conștientizării, îmbunătăţirea cunoștinţelor și construirea capacităţilor umane și instituţionale pentru a beneficia de potenţialul extraordinar pe care IT&C-ul îl poate oferi lumii. Note: 1 2 3 4

https://www.itu.int/pub/S-GEN-WFS.02-1-2014 https://www.itu.int/net4/wsis/forum/2015/Agenda/Session/195 https://www.itu.int/dms_pub/itu-t/oth/23/01/T23010000160001PDFE.pdf https://www.itu.int/en/ITU-D/Projects/ITU-EC-ACP/HIPCAR/Documents/FINAL%20DOCUMENTS/ ENGLISH%20DOCS/privacy_and_data_protection_model%20policy%20guidelines.pdf 5 https://www.itu.int/en/ITU-D/Projects/ITU-EC-ACP/HIPCAR/Documents/FINAL%20DOCUMENTS/ ENGLISH%20DOCS/privacy_and_data_protection_model%20policy%20guidelines.pdf 6 http://www.itu.int/net4/wsis/forum/2015/Agenda/Session/195 7 http://www.itu.int/en/ITU-T/studygroups/2013-2016/17/ict/Pages/ict-part05.aspx

3


ends Authorities - Cybersecurity Tr

Repere legislative pentru asigurarea securităţii cibernetice autor: Adela Albu

Provocările societăţii moderne sunt tot mai complexe şi mai variate, fapt dеtеrminat dе schimbărilе cе au loc pе fondul procеsului dе globalizarе și dе dеpеndеnța informațională. Evoluţia recentă a agresiunilor cibernetice a făcut ca acestea să reprezinte cea mai mare provocare pentru societatea informaţională. În context, asigurarеa sеcurității cibеrnеticе a dеvenit o componеntă importantă a sеcurității naționalе.

Abstract Cyber security has become a national security priority and the responsibility to manage it belongs to governments, through its public institutions, but in cooperation with the private sector. The digital economy has become a vital component of state and global economy and in this context ensuring cyber security is vital. So we have to consolidate national legal and institutional framework in the field of cyber crime and cyber security, in order to maintain a free and non-discriminatory access to the Internet. The complex legislative reform was generated by the need to have appropiate and coherent legislative measures in line with the actual context and with the evolutions of society and technologies and to implement the obligations Romania assumed at European and international level. Significant legislative improvement were made in the last years in Romania. The legislative reform comprised the modification of the Criminal Code and of the Criminal Procedure Code, also as regards incrimination, for the first time, of cyber crime and computer related crimes. So that the national legal framework to be consolidate, a Cyber Security Law should be approved. Such a legislative act is very neccesary at a time when an important number of computers in our country were and continue to be involved in differernt cyber incidents or attacks, mostly without the knowledge of the owners.

4

În ultimii ani s-a constatat o divеrsificarе a mijloacеlor şi mеtodеlor utilizatе în derularea agresiunilor cibernetice, concomitеnt cu crеştеrеa nivеlului tеhnologic şi spеcializarеa infractorilor. Agresiunile cibernetice reprezintă o ameninţare atât la nivel statal, cât şi la nivel individual. Dеpеndеnţa dе tеhnologiе a sociеtăţii modеrnе generează riscuri în planul siguranţei viеţii cotidiеnе a cеtăţеnilor. Orice utilizator al unui calculator conectat la internet poate fi ţinta unui atac cibernetic. În ultimii ani, România a întrеprins un amplu procеs dе rеformă lеgislativă, carе a vizat pе dе o partе modificarеa cеlor două coduri în matеriе pеnală, iar pе dе altă partе rеvizuirеa întrеgii lеgislaţii pеnalе şi procеsual pеnalе. În anul 2001, în cadrul Consiliului Еuropеi, a fost adoptată Convеnţia privind Criminalitatеa Informatică. La data dе 15 mai 2004 România a ratificat, prin lеgеa nr. 64/2004, printrе primеlе statе, Convеnţia Consiliului Еuropеi privind Criminalitatеa Informatică, adoptată la Budapеsta la 23 noiеmbriе 2001. Lеgеa 161/20031 (Titlul III - Prеvеnirеa şi combatеrеa criminalităţii informaticе) a implеmеntat în mod fidеl prеvеdеrilе Convеnţiеi, fiind folosită dе Consiliul Еuropеi ca еxеmplu în numеroasе activităţi dе asistеnţă tеhnică2. Ultеrior, prеvеdеrilе dе drеpt substanţial şi procеdural din acеastă lеgе au fost prеluatе şi dеzvoltatе în noilе coduri. De asemenea Lеgеa 365/20023 a statuat infracţiunilе privind comеrţul еlеctronic, iar lеgеa nr. 8/19964 a rеglеmеntat faptеlе dе rеproducеrе și/sau distribuirе nеautorizată a programеlor informaticе protеjatе. Au fost adoptatе cеlе două noi coduri şi a lеgilor dе punеrе în aplicarе a acеstora5, iar la data dе 1 fеbruariе 2014 acеstеa au intrat în vigoarе6. În domеniul criminalităţii informaticе noilе coduri implеmеntеază standardеlе intеrnaţionalе îndеosеbi cu trimitеrе la Convеnţia Consiliului Еuropеi privind criminalitatеa informatică. O dată cu intrarеa în vigoarе a noului cod, infracţiunile informatice au fost inclusе în dispoziţiilе Codului Pеnal, astfеl7: Titlul II. Infracţiuni contra patrimoniului. Capitolul IV - Fraudе comisе prin sistеmе informaticе şi mijloacе dе plată еlеctronicе (Frauda informatică art.249 – sancţionată antеrior prin Lеgеa nr. 161/2003, Еfеctuarеa dе opеraţiuni financiarе


în mod fraudulos art.250, Accеptarеa opеraţiunilor financiarе еfеctuatе în mod fraudulos art.251 – prеvăzutе antеrior în Lеgеa nr.365/2002) Titlul VI – Infracţiuni dе fals. Capitolul III – Falsul în înscrisuri Titlul VII. Infracţiuni contra siguranţеi publicе. Capitolul VI Infracţiuni contra siguranţеi şi intеgrităţii sistеmеlor şi datеlor informaticе (Accеsul ilеgal la un sistеm informatic art.360, Intеrcеptarеa ilеgală a unеi transmisii dе datе informaticе art.361, Altеrarеa intеgrităţii datеlor informaticе art.362, Pеrturbarеa funcţionării sistеmеlor informaticе art.363, Transfеrul nеautorizat dе datе informaticе art.364, Opеraţiuni ilеgalе cu dispzitivе sau programе informaticе art.365 – incriminatе antеrior dе lеgеa nr.161/2003, încadrulTitlului III) Titlul I. Infracţiuni contra pеrsoanеi. Capitolul VIII - Infracţiuni contra libеrtăţii şi intеgrităţii sеxualе Titlul VIII. Infracţiuni carе aduc atingеrе unor rеlaţii privind conviеţuirеa socială. Capitolul I. Infracţiuni contra ordinii şi liniştii publicе. Lеgеa nr. 18 pеntru aprobarеa OUG 98/2010 privind idеntificarеa, dеsеmnarеa şi protеcţia infrastructurilor criticе a fost adoptată ca dеmеrs dеrivat din nеcеsitatеa transpunеrii în lеgislaţia intеrnă a Dirеctivеi еuropеnе 2008/114/ CЕ8. În 2011 a fost adoptată OUG nr. 111/2011 privind comunicaţiilе еlеctronicе, aprobată cu modificări şi complеtări prin Lеgеa nr. 140/2012, cu modificărilе şi complеtărilе ultеrioarе. Totodată, prin Hotărârеa dе Guvеrn nr. 494/2011 a fost înfiinţat CЕRT-RO ce arе ca principală misiunе analizarеa disfuncţionalităţilor procеduralе şi tеhnicе la nivеlul infrastructurilor criticе. În scopul idеntificării, nеutralizării şi limitării еfеctеlor atacurilor cibеrnеticе, în România s-au constituit o sеriе dе CЕRT-uri la nivеlul unor instituţii cu atribuţii. Prin Hotărârеa nr. 271 din 15 mai 20139 (publicată în Monitorul Oficial nr. 296 din 23 mai 2013), Guvеrnul Româniеi a aprobat Stratеgia dе sеcuritatе cibеrnеtică a Româniеi şi Planul dе acţiunе la nivеl naţional privind implеmеntarеa Sistеmului naţional dе sеcuritatе cibеrnеtică. Stratеgia dе sеcuritatе cibеrnеtică a Româniеi conţinе obiеctivе pе tеrmеn scurt şi lung şi accеntuеază că, din cauza faptului că atacurilе cibеrnеticе sunt din cе în cе mai frеcvеntе şi complеxе, еstе nеcеsar un nivеl dе sеcuritatе crеscând pеntru infrastructura digitală. România îşi propunе să asigurе normalitatеa în spaţiul cibеrnеtic rеducând riscurilе şi еxploatând oportunităţilе prin îmbunătăţirеa cunoştinţеlor, capabilităţilor şi mеcanismеlor dе dеciziе10. După aprobarеa Stratеgiеi dе Sеcuritatе Cibеrnеtică a Româniеi, a fost constituit Consiliul Opеrativ dе Sеcuritatе Cibеrnеtică (COSC), organismul prin carе sе rеalizеază coordonarеa unitară a Sistеmului Naţional dе Sеcuritatе Cibеrnеtică. Iar în anul 2013 prin hotărârе a CSAT a fost aprobat Planul dе acţiunе la nivеlul naţional privind implеmеntarеa Sistеmului Naţional dе Sеcuritatе Cibеrnеtică (SNSC). SNSC rеprеzintă cadrul gеnеral dе coopеrarе carе rеunеştе autorităţi şi instituţii publicе, cu rеsponsabilităţi şi capabilităţi în domеniu, în vеdеrеa coordonării acţiunilor la nivеl naţional pеntru asigurarеa sеcurităţii spaţiului cibеrnеtic, inclusiv prin coopеrarеa cu mеdiul acadеmic şi cеl dе afacеri, asociaţiilе profеsionalе şi organizaţiilе nеguvеrnamеntalе11. Coordonarеa unitară a SNSC sе rеalizеază dе cătrе COSC, coordonat tеhnic dе cătrе SRI. Un alt pas important a fost reprezentat de adoptarea în anul 2014, prin Hotărârе a CSAT, a Programului Naţional dе Managеmеnt al Riscurilor (PMR) în domеniul sеcurităţii cibеrnеticе, cât şi Sistеmul Naţional dе Alеrtă Cibеrnеtică (SNAC). În cadrul șеdinţеi dе Guvеrn din 30 apriliе 2014, a fost adoptat proiеctul dе Lеgе privind sеcuritatеa cibеrnеtică, iar la 19 dеcеmbriе 2014, proiеctul a fost adoptat, cu amеndamеntе, dе Sеnatul Româniеi.

Curtеa Constituţională a dеclarat prin Decizia nr. 17 din 21 ianuarie 201512 proiеctul dе lеgе privind securitatea cibernetică nеconstituţional în intеgralitatе, aducând o serie de obiеcţii privind confuziilе și condiţionărilе pе carе lеgеa lе incumbă cu trimitеrе la dеţinătorii dе infrastructuri cibеrnеticе.13 Prin adoptarеa proiectului de Lеge privind sеcuritatea cibеrnеtică14 s-a dorit crеarеa unui cadru unitar dе acţiunе a autorităţilor compеtеntе, statuarea unor drepturi şi obligaţii pentru deţinătorii de infrastructuri cibernetice, în vederea responsabilizării acestora, dar şi identificarea unui program privind managеmеntul riscului în caz dе incidеnt cibеrnеtic. Totodată, proiectul de lege urmăreşte definirea obligaţiilor ce revin autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice şi furnizorilor de servicii prevăzuţi de lege, în scopul protejării infrastructurilor cibernetice. Lеgеa a fost întâmpinată cu multе critici în primul rând din prisma tеmеi insuflatе dе posibilitatеa rеstrângеrii еxеrciţiului drеpturilor și libеrtăţilor cеtăţеnеști pеntru asigurarеa sеcurităţii naţionalе. Însă, potrivit prevederilor constituţionale, „exеrciţiul unor drеpturi sau al unor libеrtăţi poatе fi rеstrâns numai prin lеgе şi numai dacă sе impunе, după caz, pеntru: apărarеa sеcurităţii naţionalе, a ordinii, a sănătăţii ori a moralеi publicе, a drеpturilor şi a libеrtăţilor cеtăţеnilor; dеsfăşurarеa instrucţiеi pеnalе; prеvеnirеa consеcinţеlor unеi calamităţi naturalе, alе unui dеzastru ori alе unui sinistru dеosеbit dе grav”.15 În prezent au fost reluate demersurile pentru elaborarea unui nou proiect de lege. Proiectul privind Legea securităţii cibernetice îşi propune protejarea, în spaţiul cibernetic, a dreptului la viaţă intimă, familială şi privată al cetăţenilor, în special a datelor cu caracter personal gestionate de către deţinătorii de infrastructuri cibernetice, precum şi la creşterea capacităţii de reacţie la incidentele cibernetice, prin impunerea de cerinţe minime de securitate cibernetică şi prin stabilirea principiilor de acţiune pentru gestionarea incidentelor de securitate cibernetică. Persoanele fizice sunt de asemenea expuse agresiunilor cibernetice în contextul în care deţinătorii de infrastructuri cibernetice stochează, gestionează şi prelucrează datele cu caracter personal fizice (existând riscul exfiltrării datelor cu caracter personal în vederea utilizării acestora pentru derularea unor agresiuni cibernetice). În acest sens, la nivel european există preocupări referitoare la adoptarea unui Regulament privind protecţia datelor cu caracter personal, fiind elaborat la nivelul Parlamentului European şi al Consiliului, la 27 noiembrie 2015, un nou Proiect de Regulament privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Noul Proiect de Regulament stabileşte mai multe linii de acţiune precum: crearea unui set unic de norme la nivel

5


ends Authorities - Cybersecurity Tr Bibliografie Constituția Româniеi, rеpublicată, Monitorul Oficial al Româniеi, nr. 763 din 03.10.2003 Lеgеa nr.286/2009 privind Codul Pеnal, publicată în Monitorul Oficial nr.510 din 24.07.2009, modificată prin Lеgеa nr.27/2012 pеntru modificarеa și complеtarеa Codului Pеnal al Româniеi și a Lеgii nr. 286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.180 din 20.03.2012, Lеgеa nr.63/2012 pеntru modificarеa și complеtarеa Codului pеnal al Româniеi și a Lеgii nr.286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.258 din 19.04.2012, Lеgеa nr.187/2012 pеntru punеrеa în aplicarе a Lеgii nr.286/2009 privind Codul pеnal, publicată în Monitorul Oficial nr.757 din 12.11.2012 Noul Cod Pеnal intrat în vigoarе la 01.02.2014, disponibil la http://www.mpublic.ro/ncp.pdf Lеgеa nr.255/2013 pеntru punеrеa în aplicarе a Lеgii nr.135/2010 privind Codul dе Procеdură Pеnală și pеntru modificarеa și complеtarеa unor actе normativе carе cuprind dispoziții procеsualе pеnalе, publicată în Monitorul Oficial nr.515 din 14.08.2013; Lеgеa nr. 365/2002 privind comеrţul еlеctronic, publicată în Monitorul Oficial nr. 959 din 29.11.2006 Lеgеa nr.8/1996 privind drеpturilе dе autor şi drеpturilе conеxе, împrеună cu Lеgеa nr. 285/2004, carе modifică şi complеtеază lеgеa mеnţionată antеrior, publicat în Monitorul Oficial nr. 60 din 26.03.1996 Hotărârеa nr. 271/2013 pеntru aprobarеa Stratеgiеi dе Sеcuritatе Cibеrnеtică a Româniеi şi a Planului dе acţiunе la nivеlnaţional privind implеmеntarеa Sistеmului naţional dе Sеcuritatе Cibеrnеtică, publicată în Monitorul Oficial nr. 296 din 23.05.2013 Proiectul de lege nr. 580/2014 privind securitatea cibernetică a României, disponibil la http://www. cdep.ro/proiecte/2014/200/60/3/pl263.pdf Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

6

european privind protecţia datelor, existenţa dreptului „de a fi uitat” prin posibilitatea ştergerii datelor, dreptul de portabilitate al datelor, desemnarea unor autorităţi de supraveghere în fiecare stat membru care să supravegheze transferul şi utilizarea datelor cu caracter personal. În plan naţional, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritatea de supraveghere desemnată pentru supravegherea lucrului cu date cu caracter personal, în conformitate cu prevederile legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Potrivit Legii nr. 677/2001, operatorul de servicii de comunicaţii este obligat să aplice măsuri tehnice adecvate pentru protejarea datelor caracter personal împotriva oricărei distrugeri, deteriorări sau afectări a acestora, iar măsurile trebuie să asigure un nivel de securitate adecvat. Autoritatea de supraveghere este cea care trebuie să elaboreze periodic cerinţele minime de securitate. O altă preocupare la nivel european o reprezintă adoptarea Directivei privind securitatea reţelelor şi a informaţiei (NIS) care are în vedere asigurarea unui nivel comun ridicat de securitate a reţelelor şi a infrastructurilor. Proiectul de Directivă urmăreşte adoptarea măsurilor corespunzătoare pentru gestionarea riscurilor de securitate şi stabilirea unor standarde unice pentru deţinătorii de infrastructuri cibernetice. Concluzionând, în actualul contеxt dе sеcuritatе, adoptarеa unui cadru lеgal carе să sprijinе dеzvoltarеa capacităţilor еlеmеntеlor dе sеcuritatе alе statului еstе o nеcеsitatе pеntru oricе ţară. Totodată, asigurarea unui spaţiu cibernetic sigur este responsabilitatea atât a statului cât şi a autorităţilor competente, a sectorului privat şi a societăţii civile. Consolidarea încrederii între stat şi societatea civilă şi creşterea culturii de securitate cibernetică prin educarea societăţii civile sunt puncte esenţiale de atins în obţinerea unui deziderat privind spaţiul cibernetic. Note: 1

Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, publicată în Monitorul Oficial al României, Partea I, nr. 279 din 21 aprilie 2003, cu modificările şi completările ulterioare 2 www.coe.int/cybercrime 3 Legea 365/2002 cu modificările aduse prin legea 121/2006 - legea comerțului electronic 4 Legea nr.8/1996 privind drepturile de autor şi drepturile conexe, împreună cu Legea nr. 285/2004, care modifică şi completează legea menţionată anterior 5 Legea nr. 286/2009 privind Codul Penal Legea nr. 135/2010 noului Cod de Procedură Penală Legea nr. 187/2012 pentru punerea în aplicare a noului Cod penal Legea nr. 255/2013 de punere în aplicare a Legii nr. 135/2010; www.legalis.ro 6 Disponibile în limba română la: http://www.just.ro/MinisterulJusti%C8%9Biei/NoileCoduri/ncp_ ncpp_05092013/tabid/2604/Default.aspx 7 Noul Cod Penal intrat în vigoare la 01.02.2014, disponibil la http://www.mpublic.ro/ncp.pdf 8 Directiva europeană 2008/114/CE din 08.12.2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora, Jurnalul Oficial al Uniunii Europene L345/75, disponibil la www.cpic.mai.gov.ro 9 http://www.cert-ro.eu/files/doc/StrategiaDeSecuritateCiberneticaARomaniei.pdf 10 Hotărârea nr. 271/2013 pentru aprobarea Strategiei de Securitate Cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de Securitate Cibernetică 11 Proiectul de Lege nr. 580/2014 12 Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro 13 Decizia CCR nr. 17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 04.09.2014, disponibilă la www.ccr.ro 14 Proiectul de lege nr. 580/2014 privind securitatea cibernetică a României, disponibil la http://www.cdep.ro/ proiecte/2014/200/60/3/pl263.pdf 15 Art.53, alin.2, Constituţia României republicată, Monitorul Oficial al României, nr. 763 din 3.10.2003


7


Trends y it ur ec rs be Cy s ie it or th Au

Atacuri informatice bazate pe microcomputere autor : Alexandru Stoian, consultant securitate cibernetica, CERT-RO

Unul dintre cele mai răspândite dispozitive destinate utilizatorilor casnici (home automation) este Raspberry Pi. În prezent piața este dominată de Raspberry Pi 2 (Pi 3 fiind disponibil de puțin timp în oferta câtorva producători externi), care oferă un pachet suficient de performant pentru a putea fi folosit cu succes, nu doar pentru pornirea și oprirea unor servo-mecanisme, sau pentru a efectua operațiuni simple bazate pe date culese de la multitudinea de senzori disponibili în piață, ci chiar pentru a permite construcția unor roboți complecși care, până acum câțiva ani, ar fi necesitat un întreg departament de cercetare-dezvoltare. Specificațiile tehnice ale acestui dispozitiv includ un procesor cu 4 nuclee și 1 GB de RAM.

Există chiar și un model mai mic, apărut recent, denumit Raspberry Pi Zero, care dispune de doar două porturi USB și nu are interfaţă Ethernet. Acesta este folosit cu succes în multiple proiecte, inclusiv ca staţie radio portabilă alimentată de la un panou solar. Configuraţia suficient de puternică și design-ul compact au făcut ca Raspberry Pi să atragă atenţia specialiștilor în intruziuni informatice. Astfel, combinat cu o baterie externă, un card wireless și un modem 3G, cu o distribuţie Linux specifică (precum Kali Linux 2.0), acesta devine o puternică platformă de atac, permiţând o multitudine de atacuri cibernetice, unele dintre acestea fiind detaliate mai jos, cum ar fi „Evil-Twin”, „Network Implant” și chiar „Man In The Middle” pentru reţelele mai mici. Evil-Twin reprezintă unul dintre cele mai simple atacuri informatice ce pot fi derulate cu ajutorul unui dispozitiv precum cel descris mai sus. Acest tip de atac permite crearea unui punct de acces wireless care să pară similar cu unul legitim, numai că traficul făcut prin acesta, cu excepţia celui securizat prin SSL/TLS, poate fi interceptat. Acest fapt permite atacatorului să aibă acces la diferite informaţii confidenţiale ale utilizatorilor, precum credenţialele de acces la diferite servicii online. Network Implant poate fi o consecinţă a compromiterii parolei de wireless, sau o consecinţă a ne-supravegherii porturilor libere Ethernet în interiorul unei reţele. Astfel, dispozitivul Raspberry poate fi conectat la reţea și

8

va permite atacatorului posibilităţi multiple de a compromite reţeaua din interior. Prin conectare la reţeaua 3G, atacatorul poate folosi acest implant ca un proxy în interiorul reţelei. Suprafaţa de atac în interiorul reţelei ţintă este mult mai generoasă decât cea din exteriorul reţelei, având în vedere și faptul că puţine reţele sunt protejate prin sisteme firewall interne sau măcar monitorizate prin sisteme de detecţie sau prevenţie a intruziunilor (IDS/IPS). În această situaţie, staţiile de lucru și site-urile interne sunt la dispoziţia atacatorului, permiţându-i acestuia chiar să și exfiltreze date din interiorul reţelei fără ca sistemele de tip DLP (Data Loss Prevention) să genereze vreo alertă. Aceste tipuri de atacuri erau posibile și în trecut, folosind platforme ca telefoane mobile sau plăci de dezvoltare specifice, dar aspectele precum preţul redus, portarea sistemelor de operare pentru arhitectura ARM , extensibilitea și publicitatea masivă din jurul platformei Raspberry Pi fac acest gen de atacuri mult mai probabile și mai accesibile în viitorul apropiat. În 29 Februarie 2016 a apărut Raspberry Pi 3, având inclusă o interfaţă wireless 802.11n, Bluetooth 4.1 și procesor mai puternic pe 64 biţi. Totul într-un pachet de aceleași dimensiuni, eliminând însa nevoia pentru un card wireless extern. Aparent acest model este compatibil chiar și cu Windows 10 IOT, extinzând şi mai mult plaja de aplicabilitate a acestei platforme.


9


ends Authorities - Cybersecurity Tr

Intimitatea personală: starea actuală, aspecte și recomandări autor: Natalia Spinu

Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

Intimitatea. Ce este? De ce a devenit un aspect atât de acut al modernității? Cum să o protejăm? Acestea sunt întrebările despre care aș dori să discutăm. Noi corporații și tehnologii dezvoltă radical libertățile noastre dar permit și o invazie fără precedent în viața noastră privată. Telefonul mobil te ajută să păstrezi legătura cu familia și prietenii, dar ușurează și accesul agențiilor de securitate la locul în care te afli.

Căutările pe care le faceţi pe Internet despre informaţii medicale sensibile ar putea părea un secret între voi și motorul de căutare, dar companii ca Yahoo, What’s Up, Facebook și Google crează tezaure de informaţii prin trasarea și înregistrarea activităţilor voastre online. Informaţiile voastre personale sunt potenţial disponibile oricui are destul cash sau poate

Natalia Spinu Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

10

obţine o citaţie din partea unui judecător sau a unui investigator pentru aplicarea legii. Legile naţionale și internaţionale trebuie aliniate cu nevoile crescânde de intimitate, care apar odată cu noile tehnologii. Mai multe administraţii statale au optat și pentru utilizarea de malware pentru a se angaja în spionarea sau sabotarea unor reţele de calculatoare ale unor dizidenţi sau ne-rezidenţi, în numele «securităţii naţionale». Respectul pentru intimitatea indivizilor, autonomie, anonimitate și dreptul la libera asociere trebuie pus în balanţă cu îngrijorările legitime care ţin de aplicarea legii. Guvernele naţionale trebuie să elaboreze metode legale de verificare care să prevină abuzul puterilor statului, iar organismele internaţionale trebuie să ia în considerare modul în care mediul tehnologic în schimbare modelează bunele practici de securitate ale agenţiilor. Există mai multe tipuri de intimitate. Acestea includ intimitatea comunicaţiilor, ceea ce înseamnă nesupravegherea comunicaţiilor, intimitatea informaţiilor, sau așa numita intimitate a datelor și intimitatea personală, ne-manipularea informaţiilor despre indivizi. Acest articol se concentrează pe intimitatea personală. Intimitatea personală este dreptul fundamental al oricărui cetăţean de a controla propriile informaţii personale și de a decide dacă le dezvăluie sau nu. Înregistrările medicale, datele biometrice, relaţiile personale și situaţia financiară sunt exemple de astfel de informaţii care pot fi utilizate în scopuri maliţioase și din acest motiv trebuie protejate. Intimitatea personală se confruntă cu multe aspecte recunoscute la nivel global. Unele dintre provocările de păstrare a intimităţii sunt legate de sistemele de calcul guvernamentale și private.


Guvernele colectează volume uriașe de informaţii intime personale. Nu există cale de scăpare, chiar dacă un individ se mută într-o altă ţară, acea ţară va începe să colecteze informaţii despre acel individ. Corporaţiile private și companiile, cum sunt companiile de telecomunicaţii și site-urile de media socială urmăresc și colectează volume enorme de date. Guvernele devin tot mai digitalizate și majoritatea datelor personale sunt colectate și stocate pe sistemele IT ale administraţiei. Această combinaţie de date personale și private deţinute de organizaţii externe crează riscuri semnificative în privinţa intimităţii cetăţenilor. Companiile private colectează date personale practic peste tot în ciberspaţiu. Fie că utilizaţi Facebook, faceţi cumpărături online sau navigaţi pe Internet, modul în care utilizaţi Internetul furnizează volume enorme de informaţii despre voi, mediul în care vă aflaţi și despre comportamentul vostru. Informaţiile personale reprezintă cea mai mare valoare pentru organizaţiile externe. Acestea colectează informaţiile voastre personale și le vând altora. Acesta este modul în care companiile private fac bani, prin monetizarea informaţiilor voastre personale. Oamenii plătesc acest preţ prin utilizarea serviciilor oferite «gratuit». Cu cât utilizatorii dezvăluie mai multe informaţii despre ei, cu atât apar mai multe violări ale intimităţii. Nu în cele din urmă, indivizii care posedă fonduri suficiente pot face rost de instrumente de supraveghere puternice, cu ajutorul cărora să comită diferite fraude, spionaj economic sau alte abuzuri ilegale asupra intimităţii cetăţenilor și a altora. Principala problemă fiind că tendinţele din legislaţia actuală tind să adreseze riscurile de violare a intimităţii care vin dinspre guverne și companii, nu și din partea unor indivizi. Recentele încălcări ale securităţii datelor au arătat cât de vulnerabili și de lipsiţi de ajutor sunt cetăţenii obișnuiţi, indiferent de măsurile legale, politice și tehnice care se iau pentru protecţia lor. Mai mult, dificultăţile de punere în practică a «dreptului de a fi uitat» din industria privată și acordurile legale, cum este «acordul umbrelă» dintre SUA și UE, care permit unui stat străin să aibă acces la informaţiile personale sensibile ale oricărui cetăţean sau ne-cetăţean al altui stat, doar pe baza unei solicitări formale, complică și mai mult aspectele legate de protejarea intimităţii. Chiar dacă nu există nici o scăpare în faţa lui «Big brother» anumite lucruri pot fi făcute de către indivizi pentru a se proteja. Câteva dintre acţiunile care pot fi luate în considerare sunt: Controlaţi ce informaţii personale faceţi disponibile pentru utilizare și observare publică fără restricţii. Puneţi-vă întrebarea «dacă fac disponibilă această informaţie, cum ar putea acest lucru să mă afecteze pe mine, pe prietenii mei, colegii mei sau organizaţia din care fac parte, în viitor?» Din momentul în care informaţia este publicată pe Internet, nu o mai puteţi lua înapoi. Este postată pentru totdeauna! Reţineţi că orice activitate desfășuraţi, în special pe Internet, va fi urmărită. Pentru totdeauna! Protejarea informaţiilor personale poate părea o misiune lipsită de sorţi de izbândă, dar există câţiva pași simpli pe care toţi utilizatorii de Internet îi pot urma pentru a se proteja și a-și proteja intimitatea online. Securizați-vă dispozitivele. Utilizaţi blocarea ecranului, autentificarea în doi pași, parolele și facilităţile de recunoaștere a amprentei pentru a vă securiza smartphone-ul, tableta și calculatoarele. Utilizați parole puternice. Folosiţi parole complexe, care să includă majuscule, cifre și caractere speciale și schimbaţi-le în mod regulat.

1 2

Intimitatea personală este dreptul fundamental al oricărui cetățean de a controla propriile informații personale și de a decide dacă le dezvăluie sau nu.

3

Fiți proprietarul vieții voastre digitale. Gândiţi-vă ce anume postaţi online. Tot ceea ce puneţi pe Internet - email-uri, poze, tweet-uri și bloguri - vor putea fi accesate pentru totdeauna. Fiţi proprietarul vieţii voastre digitale prin postarea doar a acelor lucruri care doriţi să poată fi văzute. Închideţi conturile online pe care nu le mai utilizaţi! Personalizați setările conturilor voastre și ale aplicațiilor. Multe conturi și aplicaţii au setări implicite care încurajează utilizatorii să partajeze mai multe tipuri de informaţii. Verificaţi setările contului vostru pentru a vă asigura că informaţiile voastre sunt vizibile doar celor pe care îi autorizaţi. Cu cât partajaţi mai puţine informaţii despre viaţa voastră personală, cu atât este mai bine. Gândiți-vă înainte să instalați o aplicație. Înainte să download-aţi o aplicaţie mobilă, înţelegeţi ce informaţii va accesa acea aplicaţie (cum ar fi locul, accesul la reţelele sociale etc.) și ajustaţi-vă setările de intimitate în mod corespunzător. Gândiți înainte să acționați. Fiţi precauţi atunci când vi se oferă ceva ce pare prea bun ca să fie și adevărat, când vi se solicită informaţii personale, sau când vi se sugerează să daţi click pe un link sau să deschideţi un attachment. În astfel de situaţii poate fi vorba despre un malware sau puteţi fi redirectat către un site cu conţinut maliţios. Intimitatea personală rămâne o chestiune deschisă. Se fac multe lucruri pentru protejarea ei, dar mult mai multe rămân de făcut atât la nivel naţional, cât și internaţional, pentru a ajunge la un nivel acceptabil pentru toţi în privinţa securităţii datelor personale. Acum este vremea în care vigilenţa personală, conștientizarea, și - mai important - dorinţa de a proteja intimitatea devin o piatră de temelie în asigurarea protecţiei intimităţii personale, nu numai în ţara noastră, ci pe tot globul și în ciberspaţiu.

4

5 6

11


Trends y it ur ec rs be Cy y or St r Cove

Ameninţările de tip

Programele malware exploatează punctele slabe și vulnerabilităţile sistemelor software la nivelul sistemului de operare (OS), aplicaţiilor, utilitarelor software, dar și la niveluri hardware (ex. chip-uri de calculator). Complexitatea software-ului oferă un avantaj pentru cei care dezvoltă malware, astfel programele malware sofisticate și utilizatorii acestora pot ascunde activităţile lor și îşi pot acoperi urmele prin furnizarea de adrese false, redirecţionarea traficului, ștergerea activităţilor lor (de exemplu, ștergerea fișierelor și a informaţiilor din fișierele jurnal), „plantând” informaţii false sau lucrând în afara ţării în care se desfășoară activitatea rău intenţionată. Aplicaţiile malware polimorfe își schimbă semnăturile (ex. nume de fișiere și locaţii) şi/sau indicatorii de compromitere, astfel încât software-ul antivirus nu poate identifica componentele programului pentru a le elimina. Unele tipuri de malware fac foarte dificilă eliminarea, deoarece acestea se pot ascunde prin modificarea setărilor de fișiere și permisiuni de directoare. În unele cazuri, programele malware par a fi eliminate, dar apoi se vor reinstala după repornire. Fenomenul malware a crescut de la evenimente pur și simplu deranjante la software și sisteme care pot compromite computerele guvernamentale, pot captura

12

Se

cu

te a Siste m elo

r In

ic e

at

ANSSI rit a

r

m

ru

Toma Cîmpeanu, CEO Asociaţia Naţională pentru Securitatea Sistemelor Informatice

nt

Aurelian Mircea Grigore, Membru activ în ISACA Romania și Membru Colaborator al ANSSI

pe

RANSOMWARE

žia Nažion ocia alÅ As

fo

Programele malware pot exista într-o varietate de forme, cum ar fi key loggers, viruși, viermi, troieni, ransomware, spyware, adware și botnet-uri, pentru a numi doar câteva. Programele malware pot fi încorporate în tipuri diferite de fișiere și pot fi activate prin simpla accesare a unui fișier rău intenționat sau a link-ului dintr-un e-mail. Aceste programe pot fi „plantate”, în mod intenționat sau accidental, pe site-uri web. De asemenea, programele malware pot fi răspândite prin intermediul unui software de comunicații (e-mail, chat etc), unor suporturi de memorie mobile (unități de stocare USB, CD-uri, dischete), wireless, prin dispozitive mobile infectate, precum și prin însăși o rețea compromisă.

informaţii de acces sau pot fura banii unui individ. Cei care controlează programe malware pot obţine informaţii personale și financiare, pot afecta companiile și instituţiile financiare, ameninţând mijloacele de trai ale oamenilor și averea personală. Dezvoltatorii de malware au creat aplicaţii pentru a controla alte programe periculoase sau reţele de calculatoare infectate. Au apărut astfel reţele de calculatoare/terminale infectate de tip botnet controlate prin intermediul unor centre de comandă și control (C & C). Unele dintre utilizările unui bot sau botnet includ: Rularea unui atac distribuit denial-of-service (DDoS), care poate trimite fluxuri mari de pachete User Datagram Protocol (UDP), cereri Internet Message Protocol Control (ICMP) sau Transmission Control Protocol (TCP) sync requests Infectarea altor computere dintr-o reţea prin preluarea controlului complet al unei mașini victimă Utilizarea și partajarea de cantităţi mari de lăţime de bandă în rândul comunităţilor hacker-ilor Instalarea unui backdoor pentru a menţine accesul după o exploatare cu succes Găzduirea datelor ilegale pe un sistem făcându-l parte a unei reţele de partajare de informaţii ilegale (software sau filme piratate) Pentru a infecta sau a compromite un sistem informatic, un atac cibernetic trece prin trei faze:


1

Pre-compromiterea - Această etapă constă din: a. Recunoașterea ţintei sau a victimei b. Personalizarea programelor malware pentru provocarea de daune, obţinerea de date și spionarea ţintei c. Stabilirea unui mijloc de acces Compromiterea - În această etapă, sistemul ţintă este exploatat în avantajul atacatorului (hacker) și, ulterior, malware-ul este instalat pe sistemele vulnerabile. Post-compromiterea - Odată compromise sistemele vulnerabile ale reţelei, atacatorul stabilește un centru de C & C pentru a direcţiona atacurile cibernetice viitoare. Infractorii cibernetici nu folosesc numai programe malware pentru a avea acces la informaţii proprietare, sensibile si personale, ci aplică și tehnici de tip „piggyback” pentru: Capturarea informaţiilor de acces on-line banking Transmiterea de surse și destinaţii Internet Protocol (IP) și liste de e-mail Manipularea site-urilor de jocuri de noroc online, în avantajul lor Monitorizarea practicilor neadecvate de actualizare a sistemelor Studierea de obiceiuri și rutine de navigare ale ţintei Capturarea activităţilor de navigare pe mobil ale ţintei Studierea reţelelor sociale și site-urilor de mesagerie Practicile neadecvate de programare si timpul au permis infractorilor cibernetici să devină organizaţi și fiind conștienţi că nu toată lumea dispune de cea mai bună securitate, au inceput să vizeze persoanele mai puţin pregătite.

2 3

Evoluția Ransomware Utilizarea instrumentelor ransomware de către infractorii cibernetici și rezultatele înregistrate au condus la dezvoltarea şi diversificarea acestora. Pe parcursul ultimelor câteva luni, cercetatorii au raportat, pentru prima dată, un ransomware capabil să cripteze fișierele fără conexiune la Internet, nefiind necesară comunicarea cu serverele lor C & C pentru procesul de criptare. Printre noile instrumente se remarcă Locky ransomware, al cărui mod de operare se aseamănă cu troianul bancar Dridex, precum și o versiune nouă a CTB-Locker care atacă serverele de web. CTB-Locker, vizează site-uri web WordPress, criptează fișierele și-i cere proprietarului site-ului răscumpărarea acestora. În plus, ofertele RaaS (Ransom-as-a-Service) sunt din ce în ce mai populare pe site-urile închise DeepWeb și forumuri Darknet. Aceste servicii permit potenţialilor atacatori crearea cu ușurinţă de variante ransomware, profiturile fiind obţinute din viitoarele infecţii de succes. Recent, a fost identificat un nou RaaS „botezat” Cerber ransomware, care este oferit pe un forum subteran din Rusia. Anterior acestuia a fost ORx-Locker, oferit ca un serviciu prin intermediul unei platforme găzduite pe un .onion server. Ransomware-ul se răspândește putând lua forme noi, inclusiv tradiţionalele link-uri de e-mail sau site-uri web de phishing.

Utilizarea JavaScript în Ransomware Cercetătorii in securitate au descoperit o noua variantă a RaaS - ransomware-as-a-service: Ransom32. Spre deosebire de altele, inclusiv Tox și FA-

Bio - Aurelian Mircea Grigore Aurelian Mircea Grigore activează de 15 ani în domeniul securității cibernetice, cu o experiență acumulată pe parcursul evoluției profesionale. A ocupat funcții de administrator de sistem, specialist în tehnologii de securitate, consultant în Securitate informatică, auditor de sisteme informaționale si a dezvoltat servicii de securitate cibernetică pentru infrastructurile critice, sisteme de control industrial și SCADA precum și pentru sectoarele public, bancar și IMM. A participat la traducerea și adaptarea de standarde de securitate în cadrul ASRO, este membru activ în ISACA Romania și Membru Colaborator al ANSSI. A colaborat cu fundația CAESAR și TaskForce AMCHAM pentru promovarea securității cibernetice.

Bio - Toma Cîmpeanu Toma Cîmpeanu a absolvit ca șef de promoție facultatea de matematică și facultatea de automatizări și calculatoare, are doctoratul și un master în sisteme de coordonare și control, precum și un MBA cu o universitate britanică. În ultimii 15 ani a ocupat poziții de conducere în companii de stat și private cum ar fi SN Radiocomunicații, TAROM, Informatica Feroviară, grupul SCOP Computers, eSign România sau TotalSoft. De asemenea, a fost Secretar de Stat în Ministerul pentru Societatea Informațională, reprezentantul României și membru al Board-ului ENISA, Președinte al Agenției pentru Serviciile Societății Informaționale și Vicepreședinte al Centrului Național “România Digitală”. Și-a legat numele de strategia eRomânia, sistemul național eLicitație și Punctul de Contact Unic al României. Toma Cîmpeanu a activat în domeniul academic la Universitatea din Craiova și a condus operațiunile Institutului de Management și Dezvoltare Durabilă, singura organizație românească care a coordonat la nivel global un grup de lucru al ONU. Din 2015, Toma Cîmpeanu este CEO al Asociației Naționale pentru Securitatea Sistemelor Informatice.

KIN, aceasta dezvoltare este oarecum diferită, deoarece folosește un framework JavaScript numit NW.js. Computerworld a semnalat această evoluţie la începutul lunii ianuarie. Ransom32 solicită ca victimele sa efectueze plata în termen de 4 zile, altfel, în termen de o săptamână, întregul hard disk va fi distrus.

13


Trends y it ur ec rs be Cy y or St r Cove Problema rezidă în faptul că NW.js este un framework legitim, ceea ce face chiar mai dificil ca Ransom32 să fie adăugat la soluţii de detectare a programelor malware bazate pe semnături, jucătorii din piaţa de securitate raportând că mulţi dintre ei nu au avut o acoperire mare de detecţie pentru primele câteva săptămâni după ce software-ul a fost descoperit.

Ransomware continuă să crească Atacurile ransomware și ameninţările avansate aferente au crescut în număr și rafinament în ultimul an. Variantele anterioare ransomware au suferit o scădere de 10 până la 30 la sută a profitului în cazul în care acestea au fost folosite de către infractori, în timp ce Ransom32 urcă la 25 la sută. Până în prezent, Ransom32 a fost observat doar infectând PC-uri Windows, dar nu se așteaptă să rămână limitat la Windows pentru foarte mult timp, infractorii cibernetici generând pachete pentru Linux sau Mac pentru a-şi extinde spectrul de acţiune.

Cerber Ransomware - Nou, dar matur Un nou ransomware criptografic, numit Cerber de creatorii săi, a început recent să vizeze utilizatorii de Windows. Comportamentul Cerber este asemănător cu majoritatea ransomware: Codează o largă varietate de fișiere de sistem (inclusiv share-uri Windows și de reţea) cu criptare AES-256, și adaugă extensia .cerber Evită infectarea utilizatorilor în majoritatea statelor post-Sovietice Prezintă note de răscumpărare cu instrucţiuni privind modul de efectuare a plăţii (acesta solicită iniţial 1,24 Bitcoin), și oferă posibilitatea de a decripta un fișier ca un demonstraţie de bună-credinţă. Un alt lucru interesant este faptul că Cerber nu este propagat de către dezvoltatorii săi. În schimb, ei oferă aceasta «ca serviciu» vizitatorilor unui forum subteran închis din Rusia. Până în prezent, victimele nu au nicio modalitate de a-și decripta ei înșiși fișierele, astfel încât acestea fie plătesc preţul și speră că infractorii le vor trimite cheia de decriptare, sau se resemnează și renunţă la fișierele respective pentru totdeauna.

KeRanger - Noul Ransomware vizează pentru prima dată Mac-urile Hackerii au infectat Mac-uri cu KeRanger ransomware printr-o copie contaminată Transmission, un program popular pentru transferul de date prin intermediul reţelei de partajare de fișiere peer-to-peer BitTorrent.

14

KeRanger, care blochează datele de pe Mac-uri, făcându-le inaccesibile utilizatorilor, a fost descărcat de aproximativ 6500 de ori înainte ca Apple si dezvoltatorii sa fie capabili să-l contracareze. Mai mult, experţii în securitate cibernetică au declarat că în perioada următoare se așteaptă la o creştere a atacurilor pe Mac-uri.

Distribuția Ransomware Cea mai mare parte a vectorilor de distribuţie de variante ransomware implică ingineria socială. De exemplu, sunt utilizate mesajele de poștă electronică, inclusiv fișiere Office rău intenţionate, mesajele de tip spam cu linkuri maliţioase sau campanii de publicitatea dăunătoare care exploatează site-uri WordPress vulnerabile sau site-uri Joomla cu cod maliţios încorporat. Distribuirea profită de asemenea, de avantajul comenzilor macro și kit-urilor de exploatare (exploit kits), cum ar fi Nuclear sau Angler. Uneori sunt exploatate vulnerabilităţile browser-ului sau certificatele digitale furate.

Manipularea atacurilor Ransomware Un val recent de atacuri ransomware a fost observat la nivel global, cu un număr mare de infecţii raportate în Statele Unite ale Americii, Marea Britanie, Germania și Israel. Atacatorii nu par a avea un obiectiv specific, ţintele fiind foarte diverse: spitale, instituţii financiare și companii, şi neputându-se identifica o industrie vizată preponderent. În continuare, gasiti sugestiile noastre privind acţiunile recomandate pentru a evita atacurile de tip ransomware, precum și modul de acţiune în cazul după infectări:

Apărați organizația împotriva potențialelor amenințări Instruirea angajaţilor dumneavoastră - deoarece componenta umană este cea mai slabă verigă din securitatea cibernetică organizaţională și majoritatea cazurilor implică inginerie socială asupra unora dintre angajaţi. Stabiliţi reguli privind utilizarea sistemelor companiei și descrieţi cum arată mesajele de phishing. Creșterea gradului de conștientizare în ceea ce privește acceptarea fișierelor care sosesc prin intermediul mesajelor de e-mail - instruiţi angajaţii dumneavoastră să nu deschidă fișiere suspecte sau fișiere trimise de expeditori necunoscuţi. Luaţi în considerare punerea în aplicare a unei politici organizaţionale privind abordarea unor astfel de fișiere. Vă recomandăm blocarea sau izolarea fișierelor cu următoarele extensii: js (JavaScript), jar (Java), bat (Batch file), exe (executable file), cpl (Control Panel), scr (Screensaver), com (COM file) and pif (Program Information file). Dezactivaţi script-urile Macro care rulează pe fișiere Office trimise prin e-mail - in ultimele luni, au fost raportate mai multe cazuri de atacuri ransomware care utilizează acest vector. De obicei, comenzile Macro sunt dezactivate în mod implicit și nu recomandăm să le permiteţi activarea. In plus, vă sugerăm să utilizaţi software-ul Office Viewer pentru a deschide fișiere Word și Excel pentru care nu este necesară editarea. Limitarea privilegiilor de utilizator și monitorizarea în mod constant a staţiilor de lucru - gestionarea atentă a privilegiilor de utilizator și a privilegiilor de administrator poate ajuta la evitarea răspândirii ransomware în reţeaua organizaţiei. Mai mult decât atât, monitorizarea activităţii asupra


staţiilor de lucru va fi utilă pentru depistarea timpurie a oricărei infecţii și blocarea înmulţirii către alte sisteme și resurse de reţea. Creaţi reguli care blochează programele de executare din dosarele AppData / LocalAppData. Mai multe variante ale ransomware-ului sunt executate din aceste directoare, inclusiv CryptoLocker. Prin urmare, crearea unor astfel de norme poate reduce riscul de criptare în mod semnificativ. Păstraţi sistemele dvs. actualizate - în multe cazuri, hackerii profita de sisteme învechite pentru a se infiltra în reţea. Prin urmare, actualizările frecvente ale sistemelor organizaţionale și implementarea patch-urilor de securitate publicate pot reduce în mod semnificativ șansele de infecţie. Utilizaţi un software terţ dedicat pentru a face faţă ameninţării. De exemplu, AppLocker pentru Windows, care este inclus în sistemul de operare, ajută la combaterea malware. Vă recomandăm contactarea unui furnizor de securitate organizaţională și luarea în considerare a soluţiilor oferite.

Acţiuni de urmat dacă sunteți infectat Restaurarea fișierelor - unele instrumente ransomware creează o copie a fișierului, o criptează și apoi șterge fișierul original. În cazul în care ștergerea se realizează prin intermediul funcţiilor de ștergere din sistemului de operare, există o șansă de a restabili fișierele, deoarece, în majoritatea cazurilor, sistemul de operare nu suprascrie imediat fișerele. Decriptarea fișierelor criptate - decriptarea va fi posibilă dacă au fost infectate cu unul dintre următoarele trei tipuri ransomware: Bitcryptor, CoinVault sau Linux.Encoder.1. Prin urmare, detectarea exactă a genului de ransomware care a atacat PC-ul este crucială. Efectuaţi back-up pentru fișiere pe un dispozitiv de stocare separat în mod regulat - cele mai bune practici pentru a evita daunele produse de un atac ransomware este de a efectua back-up pentru toate fișierele importante pe un dispozitiv de stocare deconectat de la reţeaua organizaţională, deoarece unele variante ransomware sunt capabile de a cripta fișierele stocate pe dispozitive conectate. De exemplu, cercetătorii au raportat recent un ransomware care criptează fișierele stocate pe folderul Cloud Sync. Dacă este detectat ransomware în organizaţie, deconectaţi imediat echipamentul infectat de la reţea. Nu încercaţi să eliminaţi malware-ul și nu reporniţi sistemul înainte de a identifica varianta de ransomware. În unele cazuri, efectuarea uneia dintre aceste acţiuni vor face decriptarea imposibilă, chiar și dacă se plăteşte răscumpărarea.

ANSSI - Partener editorial permanent Cybersecurity Trends Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

www.agora.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR R

15


ds Interview - Cybersecurity Tren

Drepturile copiilor și Internetul O zi din viața lui CARLA LICCIARDELLO „Prin amabilitatea UNICEF”

Carla Licciardello, ITU Child Online Protection Focal Point

ITU este o agenție a Națiunilor Unite specializată pe tehnologia informației și comunicații - IT&C. Noi alocăm spectrul global radio și orbitele sateliților, dezvoltăm standarde tehnice care să asigure interconectarea rețelelor și tehnologiilor și ne luptăm să îmbunătățim accesul la IT&C în comunitățile defavorizate din lumea întreagă. ITU se angajează să conecteze toți oamenii din lume, indiferent unde trăiesc și indiferent de posibilitățile lor. Prin munca noastră, protejăm și sprijinim dreptul fundamental la comunicare al tuturor.

Redacţia: Descrieți principalele zone pe care vă concentrați/ cele mai mari proiecte privind utilizarea Internetului și a tehnologiilor aferente de către copii ce vă bucură, ce vă supără, cum arată succesul în ceea ce faceți? Carla Licciardello: Puterea de a dezlănţui adevăratul potenţial IT&C stă în mâinile copiilor și ale tinerilor. IT&C-ul este un instrument excelent pentru dezvoltarea

Bio Carla Licciardello ITU Child Online Protection Focal Point Carla Licciardello este Child Online Protection Focal Point la International Telecommunication Union ITU, în Geneva. Responsabilitatea ei principală sunt activitățile ITU Child Online Protection, incluzând dezvoltarea de proiecte cu statele membre și alte organizații internaționale. Lucrează și în domeniul Cybersecurity și oferă suport în relațiile interagenții. Înainte de a se alătura ITU, Licciardello a lucrat pentru misiunea italiană de la Geneva și la ONU. La ONU Licciardello s-a concentrat pe Disaster Risk Reduction. Licciardello a lucrat în asistență în comunicații și sprijin umanitar pe politici pentru statele membre care au fost victime ale unor dezastre naturale.

16

copiilor, furnizându-le oportunitatea de a învăţa, crea și de a se angaja în rezolvarea de probleme - „democratizarea” IT&C înseamnă că acesta devine și mai prevalent. În ciuda beneficiilor profunde pe care IT&C-ul le poate oferi, copiii și tinerii sunt confruntaţi cu noi și semnificative riscuri. Copiii pot fi expuși unui conţinut inadecvat, sau unor contacte inadecvate cum ar fi potenţialii prădători sexuali. Reputaţia lor poate avea de suferit prin publicarea unor informaţii personale sensibile, fie online, fie prin „sexting”, nereușind să înţeleagă efectul pe termen lung al amprentei lor digitale. Copiii pot fi implicaţi în comportamente riscante sau necorespunzătoare care să creeze repercusiuni negative asupra lor și posibil asupra altora. Din acest motiv ITU consideră aceste aspecte ca fiind o prioritate și în 2008 a lansat iniţiativa Child Online Protection (COP). Aceasta implică parteneri din toate sectoarele comunităţii globale, într-un dialog internaţional care să abordeze aspectele legate de siguranţa copiilor online și să creeze o experienţă online acreditată pentru copiii din întreaga lume. COP reunește parteneri din toate grupurile de stakeholder-i care să sprijine eforturile globale de protejare a copiilor online prin forumuri, cum ar fi grupul de lucru pentru protecţia online a copiilor, ca și prin acoperirea globală a agenţiei ONU. Împreună am parcurs un drum lung. Siguranţa online a copiilor este în topul agendei politice a multor ţări și a devenit o prioritate de top pentru o varietate largă de stakeholder-i, inclusiv companii private și instituţii financiare. Scopul nostru comun de a asigura încrederea în ciberspaţiu nu poate fi obţinut de ţări sau stakeholder-i care să lucreze izolat, cu toţii trebuie să lucrăm împreună dacă dorim să avem succes în eliminarea neajunsurilor. Într-o lume tot mai interconectată, care nu cunoaște graniţe, este vital ca aceste eforturi diverse să fie aliniate scopului comun de a obţine un ciberspaţiu mai sigur și mai de încredere.


Redacţia: Imaginați-vă că ați fi în aceeași profesie și peste 10 ani, ce credeți că va fi diferit? Carla Licciardello: Cred că în 10 ani Internetul, care este încă în copilărie, va înflori și mai mult. Tendinţele din lumea digitală de azi indică faptul că va crește conectivitatea wireless, la viteze care vor crește exponenţial și că se vor transfera volume imense de date, în mișcare. Aceasta înseamnă că va trebui să ne folosim de realizările de până acum pentru a ne asigura că reţelele vor fi sigure în funcţionare (nu vor pica) și că viitoarele generaţii de utilizatori vor putea naviga în ciberspaţiu într-un mediu mai sigur. Pe măsură ce continuăm să lucrăm pentru a asigura utilizarea IT&C atât în ţările în curs de dezvoltare, cât și în ţările mai puţin dezvoltate - de unde vor proveni cu precădere următoarele miliarde de utilizatori - va trebui să folosim efectul de pârghie al acestei răspândiri a IT&C-ului pentru a permite dezvoltarea socială și protecţia mediului, a genera bunăstare și a furniza sănătate și educaţie copiilor de pe glob. Trebuie să recunoaștem de asemenea că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă, indiferent unde vor trăi, copiii nu vor avea încredere să-l utilizeze. Putem asigura această încredere doar lucrând împreună cu toţi stakeholder-ii din toate ţările, luînd în considerare în mod special faptul că vor apărea noi provocări, ceea ce înseamnă că vor trebui dezvoltate și împărtășite noi instrumente și mecanisme de coordonare. Redacţia: Cum trebuie să colaboreze companiile și ceilalți stakeholder-i pentru a rezolva diferitele provocări și oportunități legate de prezența copiilor în lumea digitală? Carla Licciardello: Pentru a reduce riscurile aduse de revoluţia digitală, permiţând mai multor copii și tineri să culeagă beneficiile sale, guvernele, societatea civilă, comunităţile locale, organizaţiile internaţionale și sectorul privat trebuie să își stabilească niște obiective comune. Industria de profil joacă un rol critic în stabilirea fundaţiei pentru o utilizare mai sigură a serviciilor bazate pe Internet și a altor tehnologii. De exemplu, parteneriatele public-private sunt esenţiale pentru construirea unui răspuns coordonat naţional, regional și internaţional la probleme ca abuzurile sexuale online asupra copiilor, și pentru asigurarea partajării de informaţii între diferiţi stakeholder-i. Industria, agenţiile de aplicare a legii, guvernele și societatea civilă trebuie să colaboreze strâns pentru a se asigura că se aplică framework-uri legale adecvate, în concordanţă cu standardele internaţionale. Astfel de framework-uri trebuie să condamne orice formă de abuz sau de exploatare sexuală a copiilor, să protejeze copiii care sunt victime ale unui astfel de abuz sau exploatare și să se asigure că raportarea și procesele de investigare și de eliminare a conţinutului lucrează cât mai eficient posibil. Redacţia: Cine sau ce organizație considerați că joacă un rol de lider în promovarea drepturilor copiilor în lumea digitală și de ce? Carla Licciardello: Naţiunile Unite joacă un rol important în lumea digitală ca facilitator global pentru diferiţi stakeholder-i care să stea la aceeași masă și să discute, identifice și implementeze soluţii care să conducă la un Internet disponibil universal, deschis, sigur și de încredere. Redacţia: Ce programe și aplicații creative și inovative veți dezvolta pentru copii și părinți pentru participarea civică și/sau cetățenia digitală? Carla Licciardello: Cred că trebuie să stimulăm producţia de conţinut educaţional și creativ online pentru copii, precum și să promovăm experienţa online pozitivă a copiilor. Măsurile tehnice pot fi un element important în a ne asigura că tinerii sunt protejaţi în faţa riscurilor potenţiale din online, dar acestea sunt doar un element al ecuaţiei. Instrumentele de control parental,

Trebuie să recunoaştem că nu vom putea atinge niciodată întregul potenţial oferit de IT&C, dacă, indiferent unde vor trăi, copiii nu vor avea încredere să-l utilizeze. conștientizarea și educaţia sunt de asemenea componente cheie care vor ajuta la împuternicirea și informarea copiilor din diferite grupe de vârstă, ca și a părinţilor, îngrijitorilor și educatorilor. Stakeholder-ii pot sprijini proactiv drepturile copiilor colaborând la înlăturarea diferenţelor digitale. Participarea copiilor necesită alfabetizare digitală, abilitatea de a înţelege și de a participa în lumea digitală. Fără această abilitate, cetăţenii nu vor putea participa la multe din funcţiile sociale care au fost „digitalizate”, incluzând, dar fără a ne limita la, completarea formularelor de impozite, sprijinul acordat candidaţilor politici, semnarea de petiţii online, înregistrarea unui nou născut, ori simpla accesare a unor informaţii comerciale, de sănătate, educaţionale sau culturale. Prin urmare este crucial să dezvoltăm programe care sprijină iniţiative multimedia pentru a furniza copiilor - în mod special din zone rurale sau subdezvoltate abilităţile digitale de care au nevoie pentru a fi încrezători, conectaţi și cetăţeni angajaţi activ, și a le permite participarea deplină, în siguranţă, la lumea digitală. Trebuie să dezvoltăm de asemenea platforme online care promovează dreptul copiilor de a se autoexprima, să facilităm participarea la viaţa publică și să încurajăm colaborarea, antreprenoriatul și participarea civică. În concluzie, este important să dezvoltăm programe de colaborare cu societatea civică locală și cu guvernele, pe priorităţi naţionale/locale, pentru a extinde accesul universal și echitabil la informaţie și la tehnologiile de comunicare, platforme și dispozitive, și la infrastructura corespunzătoare pe care acestea să funcţioneze.

17


Trends y it ur ec rs be Cy y or St r Cove

Asimetrie, divergenţe și comportamente lipsite de repere în lumea IT autor: Laurent Chrzanovski

Comportamentul uman față de tehnologie este azi, antropologic vorbind, foarte apropiat de cel al învățării senzoriale pe care o are un bebeluș în primii săi 2 ani de viață. Și mă refer mai ales la generația 30+, adică aceea care nu s-a născut cu un «alter-ego» digital.

Disclaimer: Am ales să redactăm acest text mai mult pentru a oferi o viziune cât mai neutră posibilă asupra comportamentelor în caz de risc și nu pentru a furniza soluții-cheie aferente. Abundența referințelor pe care le-am extras din revista „Computers in Human Behavior” nu este o preferință subiectivă. Pur și simplu considerăm că această revistă – ca și altele care merg în profunzimea analizelor comportamentale – poate să ofere perspective noi și uneori chiar mai simple și de bun simț despre cum folosim cu toții noile tehnologii, care acum fac parte integrantă din viața noastră cotidiană. Problema care există atunci când te adresezi unui public românofon constă în faptul că încă nu există studii serioase sau date statistice suficiente despre întreaga gamă de comportamente în lumea digitală, specifice cetățenilor din România și Republica Moldova. De aceea ar trebui să analizăm care sunt tendințele acestui domeniu în străinătate și să reflectăm dacă fenomenologiile observate peste hotare sunt valabile pentru „e-cetățenii” din aceste două țări și în ce măsură.

18

Pe scurt, în lipsa unei educaţii codificate, furnizată de către familie, mediu profesional, instituţii de stat și mass-media, cetăţeanul digital învaţă „pe propria piele”, zi de zi, ceea ce constituie pentru el o plus-valoare (culturală, economică, relaţională, socială) lucru care însă îi este sau futil sau, mai grav, nociv.

Smart-home sau atunci când toți avem între 6 luni și 1 an... și tatonăm De pildă, un „smart home” are nevoie de minim 7-10 săptămâni de „ucenicie de descoperire intuitivă” pentru a fi înţeles și stăpânit cu folos de către proprietarul său. Acest moment, crucial pentru securitatea fizica și digitală a persoanei care a echipat complet casa sa cu tehnologie devine chiar obiectul unei reflexii adânci din partea cercetătorilor. Se sugerează


chiar furnizarea unui device cu rol de „mamă”, adică de ghid-învăţătordisaster recovery pentru timpul necesar ca „e-locuitorul” să înveţe cum să folosească în siguranţă dispozitivele care comunică cu el și cu alţii1. Prima problematică, specifică ţărilor latine, este dorinţa de noutate, încurajată de un conformism faţă de tehnologie ca „status symbol” în cadrul societăţii, mult sporită faţă de ţările nordice sau anglo-saxone. Noile game de telefoane, tablete, laptop-uri, dispozitive IoT, smart watches, etc. sunt văzute ca un simbol de bunăstare socială și, datorită costului lor accesibil, constituie un fenomen încă mai răspândit decât cel legat de mărci și modele de mașini pe care un cetăţean a ales să le cumpere. Dar în domeniul securităţii, toate aceste noutăţi nu fac decât să mărească riscul deja ridicat de vulnerabilitate personală și profesională. La polul opus se află ţări în care aceste tehnologii deja au trecut de la faza de „noutate indispensabilă pentru a fi la modă” la faza „am într-adevăr nevoie de asta?” . Cel mai nou studiu sociologic2, de pildă, arată că după câteva luni de utilizare IoT deja începe să își piardă valenţa sa de noutate și că cetăţenii văd ca o reală îmbunătăţire pentru viaţa lor doar foarte puţine aspecte, singurele recunoscute în unanimitate fiind cele ale securităţii de acces a propriei case prin biometrie și ale securităţii fizice anti-furt și anti-incendii. Încet, încet, dacă reţinem datele principale ale acestui studiu, vedem că tot ceea ce este vândut ca „smart” (televiziune, frigider, home automation, monitorizare CCTV etc.) pierde orice conotaţie pozitivă și devine neutru, adica nu aduce schimbări atât de semnificative în viaţa cotidiană încât să merite cu adevărat investiţia financiară. Însă asimetria în IoT este acum la apogeu. De exemplu, dacă ne referim doar la o parte din studiile menţionate mai sus, numai pentru număr mic de participanţi securitatea sistemelor este înţeleasă sau prezintă interes. Și această neînţelegere sau lipsă de interes îi caracterizează pe toţi cei care au încredere în biometrie mai mult decât în obișnuita cheie de oţel care deschide ușa casei. Această încredere într-o nouă tehnologie nu ridică întrebări și asupra modului în care aceasta funcţionează (cine este furnizorul, care este nivelul său de securitate, cum este configurată aplicaţia biometrică etc.) Partea pozitivă a studiului însă este că se va intra într-o anumită normalitate în utilizarea doar a dispozitivelor IoT care au o plus-valoare reală pentru viaţa personală, în funcţie de ceea ce dorește și are nevoie cetăţeanul. Exact cum un bebeluș, după câteva săptămâni, își alege, pe criterii cunoscute doar de el, obiectele lui preferate, de viaţă sau de joacă. Va fi însă necesar să fie inserată și componenta de securitate ca și criteriu de bază, dar și aici vedem un nou „trend”, în Occident. Este vorba despre device-uri, un pic mai scumpe faţă de cele standard, dar verificate de firme de specialitate în termeni de conectivitate securizată, i.e. acest aspect constituie în sfârșit o nouă plus-valoare nu numai pentru clienţi, ci inclusiv pentru marketing-ul multor brand-uri care produc IoT de consum larg.

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

De asemenea, din ce în ce mai multe firme s-au lansat în crearea de aplicaţii și device-uri de securizare, armonizare și gestionare a tuturor device-urilor unei persoane sau ale unei companii, la modul de a garanta securitatea și intimitatea într-o perspectivă logică și completă3.

Devices: frica fără acțiune sau înțelegerea greșită a autoprotecției Aceeași asimetrie între folosinţă și înţelegerea riscurilor ajunge la o fază cognitivă aproape dihotomică, cum aflăm de exemplu dintr-o recentă cercetare efectuată în SUA: teama din ce în ce mai mare de a fi atacat (hack-uit) care nu se reflectă în acţiuni reale efectuate pentru a preveni această ameninţare4. În timp ce majoritatea participanţilor la test și-au mărturisit teama că identitatea lor digitală și datele lor financiare ar putea furate, 90% dintre ei mai cred că securitatea are la bază un simplu antivrius și un firewall. Pentru o ţară atât de tehnologizată ca și SUA, cifrele privindu-i pe cei care nu au setat nici măcar un password de deschidere a unei sesiuni sunt îngrijoratoare: 62% nu au nicio parolă pentru tableta lor, 40% nicio parolă pentru smart-phone-ul lor, și mai mult de atât 31% din persoane încă deschid laptopul personal fără să introducă vreun ID și parolă. Rezumând, uman vorbind, posesorii acestor unelte sunt siguri că până când tableta și PC-ul se află în geanta lor, iar mobilul este încă în buzunar, nu se va întâmpla nimic, exact ca și cu portmoneul sau cheile casei...

19


Trends y it ur ec rs be Cy y or St r Cove Aici sunt încă multe de făcut pentru a-i învăţa pe oameni ceea ce poate face un hacker cu un laptop sau un telefon mobil pus în „sleep mode” și care nu au parolă de acces.

Social media: se schimbă încet atitudinea, dar nu de tot Reţelele sociale, cu toate controversele despre privacy și modul în care „big data” sunt gestionate, au început să stârnească noi comportamente sau abordări faţă de aceste platforme, în special în Occident. În ceea ce privește instituţiile, pe lângă campanii ale poliţiei despre grooming, cyberbullying și alte violenţe virtuale, medicii au început campanii de awareness adresate școlilor și părinţilor, privind dependenţa copiilor de reţelele sociale și schimbările comportamentale, uneori grave5, ale celor care devin „online social addict”, pentru că adesea se cumulează această dependenţă cu utilizarea abuzivă a smart-phone-ului personal si cu timpul petrecut pe jocuri online, doua elemente bine studiate de câţiva ani. Generaţional vorbind, venirea masivă a tinerilor în reţelele sociale începe să contureze noi modalităţi de utilizare a acestora. Studiile arată că din ce în ce mai mulţi utilizatori, de pildă, limitează accesul la contul lor de Facebook, conţinutul lui fiind vizibil numai unui număr foarte limitat de prieteni, iar mesajele mai banale, mai scurte și mai „de moment” sunt trimise prin Twitter6. Totuși încă putem spune că nu este nici pe departe atinsă măcar o minimă maturitate de utilizare a acestor reţele. Fie pe Facebook, fie pe Twitter sau pe alte reţele gratuite, setarea parametrilor de privacy, mai ales a celor care privesc geolocalizarea, este o opţiune necunoscută sau ignorată de marea majoritate a utilizatorilor. Poate că nu este inutil să reamintim aici că eliminarea fizică a unor generali libieni de către coaliţie a fost posibilă calibrând rachetele exact pe localizarea furnizată de contul de Twitter setat pe telefoanele lor mobile... Generaţia teenager-ilor începe oricum să schimbe ecosistemul relaţional digital, în sensul că este cea care va fi lovită cel mai mult, și adeseori în mod mai crunt, mai mult pe calea digitală decât pe cea fizică7, atingându-se adeseori urmări care merg până la depresie cronică sau sinucidere. În acest sens, tot prin experienţa „pe propria piele”, adolescenţii nu au aceeași opinie binevoitoare pe care o au adulţii despre aceleași reţele. Mai mult de atât, tinerii sunt poate primii care folosesc reţelele sociale ca mijloc de „intoxicare” și nu de „informare”... cu false profiluri, false identităţi etc., pe când majoritatea adulţilor, de pildă, încă mai cred că în reţelele sociale așa-zis profesionale sunt foarte puţine identităţi ne-reale, spre deosebire de profilurile reţelelor de socializare private!

20

Rămâne oricum, și s-a văzut că denunţarea protocolului UE-SUA „Safe Harbour” de către UE la sfârșitul lui 2015 și toţi pașii înapoi făcuţi de aceași UE la începutul lui 2016, ca problematică semnarea contractului – fără să citim cele câteva zeci de pagini pe care le conţine – când aderăm la o reţea gratuită, care nu mai este legată atât de state, cât de acordul pe care cetăţeanul și-l dă agreând printr-un simplu click termenii și condiţiile unei licenţe8.

Alter-ego-ul „online”, de ce atât de diferit față de cel „viu»? Cu toate acestea, majoritatea cetăţenilor au încă un sentiment mai mare de libertate, sau mai bine zis de dezinhibiţie, atunci când sunt online faţă de cum sunt ei, fizic, în viaţa de zi cu zi. Ca o revanșă în faţa unei societăţi urbane în care relaţiile sociale reale sunt din ce în ce mai reduse, reţelele sociale au un rol terapeutic, adesea de contrapondere totală. Cei care au prea puţine relaţii în oraș, au în schimb mii de prieteni virtuali. Cine este foarte introvertit în viaţa de zi cu zi devine cel mai afabil când se simte protejat de interfaţa ecranului...

Acest impact asupra ego-ului și a sentimentului de bunăstare, pentru care în sfârșit beneficiem de studii știinţifice făcute pe o durată si un număr suficient de subiecţi9, este reţeta succesului reţelelor. Dar în același timp, din păcate, prin imprudenţa utilizatorului, acestea devin cutia Pandorei a criminalităţii prin inginerie socială, impostură și fraudă10. Psihologic vorbind, continuăm să asistăm la o adevărată revoluţie în relaţionarea omului cu mediul său înconjurător real faţă de cel virtual, a cărei amploare nu pare sa înceteze, ba dimpotrivă. Studiile semantice ale comportamentului uman și ale expresiei sale online în general arată o deschidere aproape copilărească11 care a căpătat, între altele, denumirea știinţifică de „e-language” sau „Language of the Inbox”.

BYOD, întotdeauna BYOD Nici ţările „mature”, i.e. SUA și Occident, nu și-au schimbat atitudinea lor în ceea ce privește libertatea agajaţilor de a lucra la serviciu cu propriul lor laptop și telefon. Dacă însă în marile puteri economice (SUA, UK, Franţa, Germania, Japonia...) cifrele au coborât totusi în medie sub 45% BYOD faţă de dispozitivele standard furnizate de angajator, totuși în rândul puterilor emergente (Rusia, Brazilia, Africa de Sud...) media este încă de peste 60% și chiar 85% (India, Emirate) în favoarea BYOD12. Și aici, cele mai recente studii au arătat că fenomenul nu mai este în sine o ameninţare, dar folosirea sa fără să fie încadrată de regulamente organice și de acces securizat către serverele companiei încă reprezintă o problematică majoră. S-a adăugat în plus un fenomen relativ nou, dar a cărui amploare


devine îngrijorătoare pentru securitate: folosirea dispozitivelor mobile ca VPN în cadrul firmelor care au o reţea WiFi ce nu permite angajaţilor să acceseze orice tip de website sau de reţea socială. Așadar, problema s-a deplasat de la BYOD-laptop la BYOD-smartphone, care devine astfel o unealtă extraordinară pentru spionaj industrial și furt de date, atunci când este folosită necorespunzator sau cu rea voinţă.

România este prima în topul ţărilor unde „victimizarea”, sau sentimentul de a fi victimă potenţială/reală a furtului de identitate este sporit, alături de Irlanda, Austria, Bulgaria și UK17. Dar motivaţiile acestui sentiment sunt radical diferite dacă observăm fiecare din aceste ţări în parte.

Toleranță totală sau toleranță 0? În acest context, în câmpul specialiștilor în securitate, asistăm la o luptă nemaipomenită între două abordări complet diferite. Prima abordare, cea mai convenţională, îi reunește pe cei care sunt convinși că fenomenul BYOD și al comportamentelor umane greșite se poate contracara prin măsuri tehnice, precum separarea serverelor de email profesionale13 sau controale sporite în definirea, limitarea și trasarea accesului la cloud-ul firmei14. A doua abordare, propusă în general de experţi în confidenţialitate, este bine rezumată de către Dan Amiga15, fostul Intelligence software security architect al Israel Defense Forces, care susţine că organizaţiile trebuie să ajungă la o disciplină de muncă cu un nivel aproape militar în ceea ce privește securitatea și la o toleranţă zero pentru cine greșește. Este evident că ambele tabere au dreptate și motivaţii coerente în ceea ce propun, și că aplicarea unei politici reușite se situează undeva la mijlocul ambelor teorii, în funcţie de gradul de interes economic al brevetelor, activităţilor sau a bazelor de date ale fiecărei companii. Dar pentru a fi implementate, trebuie rezolvat principalul obstacol în calea securităţii, adică lipsa de cultură de bază asupra ceea ce înseamnă securitate și riscuri. Numai atunci când un angajat sau un CEO a înţeles cu adevărat riscurile, vor fi evitate multe greșeli care se fac zilnic online și va fi acceptată inclusiv o toleranţă zero, incompatibilă cu trendul actual al psihologiei muncii care pledează pentru un liber acces la internet ca stimulator de eficacitate în muncă. Implicit, întrucât atât CEO-ul cât și angajatul firmei au fiecare o familie, preluarea unui model de educaţie privind bazele securităţii în cadrul companiei va avea consecinţe pozitive directe asupra un grup mult mai mare de cetăţeni. Așadar, unul din cei mai buni – dar și mai neglijaţi până acum – vectori de educaţie pentru adulţi sunt chiar companiile, așa cum bine arată de exemplu acea parte a programului Child Online Protection publicat de ITU care este destinată companiilor din sectorul industrial și telco16.

Media generalistă și „Breaking News»: vectori de înspăimântare sau de conștientizare? Desigur, rata de penetrare a unei știri către o audienţă cât mai mare o furnizează organele de presă convenţionale (radio, tv, ziare), în forma lor tradiţională sau digitală. Însă, formatul prea des senzaţionalist și prescurtat în care știri complexe sunt difuzate către un mare public are până acum, în domeniul securităţii digitale, un efect mai mult negativ, chiar înspăimântător. Asistăm la o creștere a efectului unor astfel de știri, până la nivel de alarmare a cetăţenilor, cu efect uneori de „conspiraţionism”, dar nicidecum, în UE, nu putem să vorbim încă de o creștere a conștientizării prin media generalistă. Într-unul dintre puţinele studii care arată percepţia cetăţenilor tuturor statelor UE privind identitatea lor digitală și riscul de furt, vedem de pildă că

Grafic după Williams, op. cit., fig. 3, p. 36 În Irlanda, UK și Austria, statul a lansat campanii de sensibilizare cu foarte puternic caracter emoţional prin mass-media, desemnate să îndrume cetăţenii să se informeze mai bine și să acceseze materiale postate online de diferite instituţii ale statului. Au urmat evident dezbateri, și un număr de emisiuni dedicate acestei tematici, care au avut ca prim efect, o creștere a fricii, dar și o documentare sporită a cetăţenilor. În România și în Bulgaria, mass-media nu a făcut altceva decât să propage știri alarmiste, care nu au fost urmate de nicio dezbatere. Acest fenomen, dublat de o dezamăgire socială și politică a cetăţenilor, a adus un mare prejudiciu de imagine și de încredere în capacitatea Statului de a îi apăra în mediul virtual. Lipsa unui răspuns puternic al statului pe aceleași canale – cu excepţia unor spoturi recente ale Poliţiei Naţionale asupra riscului de pedofilie pe net (grooming) – deși există în România conţinut educaţional sau informativ online, fie la CERT-RO, fie la SRI, fie în ministerele competente, explică o situaţie „de reflex uman” care nu are legătură cu numărul mare de infracţiuni sau de furturi, exact ca și în cazul impresiei bune sau proaste despre securitatea fizică pe care cetăţeanul o are în orașul unde trăiește, cum bine subliniază studiul britanic. În SUA, dimpotrivă, un breaking news alarmant, publicat în 24 februarie de către cel mai citit ziar din ţară, USA Today18, a reușit să antreneze o dezbatere naţională și a fost urmată, în același ziar, de o serie de sfaturi de bază pentru cetăţeni. La aterizarea unui zbor intern Dallas-Raleigh, ziaristul Steven Petrow, care își petrecuse întreaga călătorie folosind on-board internet furnizat de operatorul agreat al companiei aeriene, a fost abordat de un hacker care i-a recitat, cuvânt cu cuvânt, fragmente din emailurile trimise de acesta.

21


Trends y it ur ec rs be Cy y or St r Cove Compania responsabilă cu sistemul de operare a recunoscut rapid că acest tip de breșă este posibilă și s-a limitat la recomandarea de a nu folosi serviciile sale fără VPN, fără sisteme de protecţie bune și, culmea, „de a nu accesa sau a trimite materiale confidenţiale” prin on-board internet, la fel ca și prin reţelele WiFi terestre publice. Articolul a stârnit indignare și vor urma anchete, procese etc. fiindcă în SUA este vorba de „liability” și dacă compania aeriană a ales acel provider, are și ea o parte din responsabilitate. Mai ales într-un ziar de impact, cum este cel pomenit mai sus, o conversaţie cu unul dintre avocaţii American Civil Liberties Union valorează cât zeci de spoturi publicitare. Acesta, la întrebarea „cine este în pericol aici?”, a răspuns „Oricine are încredere în securitatea uneltelor tehnologice”, apoi a dat mai multe sfaturi foarte simple și utile pentru utilizatori. Din aceste exemple ne dăm seama cum ar putea să acţioneze instituţiile și ONG-urile pentru a „folosi” aceeași media generalistă pentru a da elemente de siguranţă cetăţenilor.

Indiferent de cadrul legislativ naţional sau european, fiecare end-user, fiecare cetăţean trebuie să fie conștient de responsabilitatea sa în modul în care folosește uneltele digitale și de ceea ce posteză el însuși pe net. Apoi, nu ar strica și niște cunoștinţe de bază pentru a găsi ce postează alţii despre el, prin OSINT de pildă. Până când nu se va hotărî un framework mai dur, dacă se va dori, la nivelul întregii UE, conceptul american de liability, în sensul larg, este de departe cel mai convingător, pentru cetăţeni ca și pentru afaceri. „Good old”, textul lui Steven Caponi publicat în 2013 pe blogul Reuters, rămâne o excelentă lectură pentru a privi lumea digitală ca actor și nu ca victimă21; această pledoarie, destinată CEO și board-urilor firmelor americane care sunt acum responsabile legal în caz de prejudiciu adus prin criminalitate informatică, este ușor de citit și revelează cât și fiecare dintre noi este responsabil legal pentru propriul eu digital și faptele sale. Doar apoi vin soluţiile tehnice, care sunt multe, adesea foarte bune și nu neapărat scumpe, dar care niciodată nu vor salva daunele făcute de naivitatea umană și buna credinţă faţă de necunoscuţi, prin mail-uri, reţele sau forum-uri. Cum bine scrie Luca Tenzi în acest număr al revistei, este timpul să abandonăm conceptele de securitate fizică și cibernetică și să re-învăţăm bazele prudenţei, care în marile multinaţionale are un nume extraordinar de potrivit: securitatea logică.

Concluzie: identitatea digitală, ce este și cine trebuie să o protejeze?

Note:

Tot ce este scris mai sus duce de fapt către un singur concept: identitatea digitală și privacy. Aici, probabil, mai ales în România, ne aflăm în cea mai mare asimetrie comportamentală posibilă. Pe de o parte, o mare majoritate a cetăţenilor sunt precauţi, sceptici sau chiar critici când este vorba de legi, măsuri sau instituţii care au sau ar putea să intervină în domeniul deja conotat negativ cu cuvântul atotcuprinzător „big brother”. Pe de altă parte, ca occidental, mărturisesc că nu am văzut în nicio altă ţară atâta lume, de la simplu cetăţean la om politic, care nu folosește niciun email, public sau personal, cumpărat, găzduit de o firmă de încredere și legat de un contract. Este încă prea puternică atracţia conturilor gratuite, a spaţiilor de stocare online gratuite, să nu mai vorbim despre partea de reţele sociale. A fi un cetăţean digital înseamnă a ști că orice serviciu gratuit se plătește cu... datele personale, și că acestea acum au o valoare19 de multe ori peste cei... 2-3 Euro preţul probabil al unui sistem de email închiriat pe un server securizat. Mai mult de atât, reiese bine din cele mai recente cercetări că fiecare dintre noi este primul responsabil de securitatea datelor și a identităţii sale personale, contextul juridic creat de globalizare și de servicii (reţele, browser-e, software, sisteme de operare) pe care le folosim zilnic nemaipermiţând să fim 100% protejaţi de statul al cărui cetăţeni suntem sau în care am ales să trăim20.

22

1 Victor R.L. Shen, Cheng-Ying Yang, Chien Hung Chen, A smart home management system with hierarchical behavior suggestion and recovery mechanism, in Computer Standards & Interfaces 41 (2015), pp. 98-111 2 Tainyi (Ted) Luor, Hsi-Peng Lu, Hueiju Yu, Yinshiu Lu, Exploring the critical quality attributes and models of smart homes, in Maturitas 82 (2015), pp. 377-386 3 Martin Henze, Lars Hermerschmidt, Daniel Kerpen, Roger Fling, Bernhard Rumpec, Klaus Wehrle, A comprehensive approach to privacy in the cloud-based Internet of Things, in Future Generation Computer Systems 56 (2016), pp. 701-718 4 Jon D. Elhai, Brian J. Hall, Anxiety about internet hacking: Results from a community sample, in Computers in Human Behavior 54 (2016) 180-185 5 Nikos Xanidis, Catherine M. Brignell, The association between the use of social network sites, sleep quality and cognitive function during the day, in Computers in Human Behavior 55 (2016), pp. 121-126 6 Francesco Buccafurri, Gianluca Lax, Serena Nicolazzo, Antonino Nocera, Comparing Twitter and Facebook user behavior: Privacy and other aspects, in Computers in Human Behavior 52 (2015), pp. 87-95 7 Tracy E. Waasdorp, Catherine P. Bradshaw, The Overlap Between Cyberbullying and Traditional Bullying, in Journal of Adolescent Health 56 (2015), pp. 483-488 8 Jeffrey T. Child, Shawn C. Starcher, Fuzzy Facebook privacy boundaries: Exploring mediated lurking, vague-booking, and Facebook privacy management, in Computers in Human Behavior 54 (2016) 483490 9 Jan-Erik Lönnqvist, Fenne grosse Deters, Facebook friends, subjective well-being, social support, and personality, in Computers in Human Behavior 55 (2016) 113-120 10 Ryan Heartfield and George Loukas, A taxonomy of attacks and a survey of defense mechanisms for semantic social engineering attacks. ACM Computing Surveys 48:3, Article 37 (December 2015), 39 pages 11 Heather Macdonald, The Language of the Inbox A Radical Rethinking of Hospitality, in David Goodman and Mark Freeman (eds.), Psychology and the Other, Oxford 2015, 19 pp. 12 Morufu Olalere, Mohd Taufik Abdullah, Ramlan Mahmod, Azizol Abdullah, A Review of Bring Your Own Device on Security Issues, in SAGE Open 2015:3 (April-June), pp. 1-11 13 Fernando Sanchez, Zhenhai Duan, Yingfei Dong, Blocking spam by separating end-user machines from legitimate mail server machines, in Security and Communications Networks 9 (2016), pp. 316-326 14 Nikos Fotiou, Apostolis Machas, George C. Polyzos, George Xylomenos, Access control as a service for the Cloud, in Journal of Internet Services and Applications 6:11 (2015) 15 M. Heller, Military-grade security focuses on isolation and action, Tech Target, 03/03/2016 (http:// searchsecurity.techtarget.com/news/4500277986/Military-grade-security-focuses-on-isolation-andaction) 16 ITU/D, Guidelines for Industry on Child Online Protection, revised ed. 2015 (http://www.itu.int/en/cop/ Documents/bD_Broch_INDUSTRY_0909.pdf ) 17 Matthew L. Williams, Guardians upon high: an application of routine activities theory to online identity theft in Europe at the country and individual level, in British journal of Criminology 56 (2016), pp. 21-48 18 http://www.usatoday.com/story/tech/columnist/2016/02/24/got-hacked-my-mac-while-writingstory/80844720/ 19 Cf. un rezumat a problematicii in M. van Lieshout, The value of Personal Data, in J. Camenisch, S. Fischer-Hüber, M. Hansen (eds.), Privacy and Identity Management for the Future Internet in the Age of Globalisation, Cham 2015, pp. 26-38 20 Michael Searson, Marsali Hancock, Nusrat Soheil, Gregory Shepherd, Digital citizenship within global contexts, in Education and Information technologies 20 (2015), pp. 729-741 21 Steven L. Caponi, Cybersecurity and the board of directors: avoiding personal liability, , incepe pe http:// blogs.reuters.com/financial-regulatory-forum/2013/07/25/cybersecurity-and-the-board-of-directorsavoiding-personal-liability-part-i-of-iii/


Trends

Tehnologia este în continuare baza securităţii informaţionale? autor: Bogdan Vigaru, Business Development

Manager on Security, Asseco SEE România Ne aflăm așadar în situaţia în care, deşi companiile recunosc beneficiile asigurării protecţiei datelor, executivii de la nivelurile CxO depun eforturi doar în sensul incorporării problematicii securităţii în zona operaţiunilor curente, fără afectarea altor iniţiative de afaceri ale companiei. Rezultatul? Abordate într-o asemenea manieră, grijile legate de securitate limitează drastic adoptarea de concepte aliniate cu dezvoltarea tehnologică din piaţă, dar și cu nevoile tot mai crescute ale organizaţiilor, precum: cloud-computing, mobilitatea și, mai nou, evaluările analitice legate de ameninţările și atacurile informatice avansate. „În condiţiile unei viziuni concrete asupra evoluţiei tehnologice a organizaţiilor la nivel global și local, dar mai ales particularizând aceste aspecte la propriile strategii de business, observăm o preocupare din ce în ce mai mare exprimată de la nivelurile de conducere către o abordare sistemică și centralizată a gestiunii riscurilor de securitate, cei mai mulţi fiind direct interesaţi de adresarea acestora pe de o parte în mod tradiţional tehnologic, dar mai ales prin extinderea procedurilor existente prin abordări noi, capabile să acopere inclusiv ameninţările avansate. Aceia care au înţeles cum se prezintă taberele de luptă din tabloul de ansamblu al internetului din 2016, deja și-au aliniat strategiile în direcţia protejării resurselor de business expuse” spune Bogdan Vigaru, Business Development Manager on Security în cadrul Asseco SEE România, unul din integratorii de pe piaţa locală care pune un accent deosebit pe asigurarea securităţii datelor la nivelul clienţilor.

Studiile pe tema ciber-securităţii arată o creştere permanentă a gradului de conştientizare a nevoii de securitate din partea managerilor executivi din companii, indiferent de mărimea acestora, reacția fiind una normală atunci când gândim că astfel de temeri cresc direct proporțional cu maturitatea proceselor organizației. Mai bine de două treimi din factorii de decizie consideră problematica securităţii datelor ca pe o povară suplimentară de timp şi buget. Acesta este, poate, şi motivul pentru care mai mult de trei sferturi dintre ei consideră că sistemele IT din organizaţia lor ar ridica mai puţine probleme în viitor dacă ar proveni integral de la un singur furnizor și dacă ar fi gestionate centralizat, din console integrate, determinând astfel un trend de reducere a riscurilor. „Pentru a determina scăderea probabilităţii de producere a atacurilor informatice generice din piaţă, fiecare organizaţie ar trebui să fi rezolvat deja problema unui minim necesar pentru protecţia afacerii, fie că vorbim despre informaţii, infrastructuri, comunicaţii, dispozitive sau chiar și angajaţi. Astfel, o imagine ideală de ansamblu asupra securităţii ar trebui să conţină sisteme de protecţie la nivelul dispozitivelor endpoint, cum ar fi cele care asigură gestionarea eficientă a actualizărilor pentru acoperirea vulnerabilităţilor la care sunt expuse în special din perspectiva aplicaţiilor de sistem, de tip office şi third-party, care sunt de regulă preferatele hackerilor în atacurile informatice de tip zero-day,” spune Alexandra Duricu, Security Presales Consultant, Asseco SEE România, referindu-se la soluţiile Landesk din portofoliu. „Pe de altă parte, politicile de control al aplicaţiilor, precum și gestiunea dispozitivelor externe sau criptarea datelor reprezintă subiecte fierbinţi din categoria protecţiei la nivelul endpoint” completează ea. Securitatea infrastructurii este în continuare un subiect de bază în construirea unui perimetru protejat în mod adecvat. Din acesta nu trebuie să lipsească sisteme cu capabilităţi de detecţie și protecţie avansată, cum ar fi sistemele NextGeneration Firewall și de prevenire a ameninţărilor avansate, cele de protecţie a aplicaţiilor web - Web Application Firewall, și mai recent cele specializate în analiză de tip antifraudă web și antifraudă mobilă. Acestea din urmă vor reprezenta un punct esenţial de control în 2016, ţinând cont de modul în care organizaţiile globale cu specific criminal se reorganizează împotriva comercianţilor online sau a instituţiilor financiare. În ultimul an soluţiile de antifraudă web și-au dovedit eficienţa în special în cadrul instituţiilor financiare din România, unde, atacurile direcţionate începuseră să ia o amploare îngrijoratoare, iar perspectivele de pierdere financiară deveniseră alarmante. Toate sistemele de securitate clasică nu erau suficiente pentru a detecta la timp și în mod eficient aceste evenimente, așa cum arată studiile interne ale specialiștilor în securitate de la Asseco SEE România. (Continuarea în pagina 32)

23


Trends - Cybersecurity Trends

Ce beneficii oferă arhitectura de securitate Cisco? Arhitectura integrată Cisco îmbunătățește major viteza de detectare a breșelor și incidentelor de securitate. Conform Security Capabilities Benchmark Study 2015, soluțiile Cisco permit reducerea timpului de detecție a unui atac până la 17,5 ore. „Există două tipuri de organizaţii: cele care s-au confruntat cu incidente de securitate și cele care încă nu știu că acest lucru li s-a întâmplat și lor”, declara John Chambers, ex-președinte executiv al Cisco, la Forumul Economic Mondial de la Davos din 2015. Verdictul fostului CEO Cisco se bazează pe date reale: la momentul actual, 54% din breșele de securitate nu sunt detectate în timp util, iar companiilor le sunt necesare între 100 și 200 de zile pentru depistarea incidentelor cu care s-au confruntat deja. Și totuși, deși investesc continuu în soluţii (o companie de dimensiuni mijlocii deţine, în medie, 40 de produse de securitate de la varii vendori), organizaţiile nu reușesc să atingă nivelul de protecţie dorit. Motivele: atacurile cresc continuu în frecvenţă, diversitate și nivel de sofisticare, iar numeroasele soluţii deţinute sunt dificil de gestionat, au un grad redus de interoperabilitate, oferă vizibilitate limitată și necesită specialiști cu competenţe avansate pentru a le personaliza astfel încât să răspundă nevoilor organizaţiilor.

Modelul integrat Cisco Cisco abordează aceste provocări dintr-o altă perspectivă - un model care propune abordarea integrată a tuturor etapelor unui incident de securitate: Înainte: Organizaţiile au nevoie să știe ce trebuie să protejeze (device-uri, sisteme de operare, aplicaţii, echipamente de reţea, categorii de utilizatori etc.), pentru a stabili reguli și politici de securitate bazate pe nevoi și situaţii reale și a le aplica eficient. În perioada atacului: Când atacurile penetrează sistemul de securitate, companiile trebuie să poată detecta incidentul, să blocheze rapid ameninţarea și să remedieze problema. După atac: Inevitabil, unele atacuri au succes, iar companiile trebuie să poată determina rapid scopul atacurilor,

24

anvergura lor și echipamentele și aplicaţiile compromise și să aibă soluţii de limitare a pagubelor și revenire la parametrii normali. Arhitectura de securitate Cisco se bazează pe soluţii și produse mature, integrate unitar, ceea ce permite: - reducerea gradului de eterogenitate a infrastructurii de securitate; - soluţionarea problemelor de incompatibilitate; - îmbunătăţirea nivelului de interoperabilitate; - creșterea vitezei de reacţie; - blocarea în faza incipientă și eliminarea a ameninţărilor; - reducerea efortului si costurilor de management al securităţii. Sunt câștiguri care îmbunătăţesc și consolidează capacitatea companiilor de a face ameninţărilor.

ISE, pilonul arhitecturii Cisco Elementul central al arhitecturii Cisco este Identity Services Engine (ISE), platforma de management centralizat al politicilor de securitate care automatizează aplicarea contextuală a regulilor de acces la resursele din reţea. ISE furnizează vizibilitate sporită, accelerând identificarea, stoparea și eliminarea ameninţărilor, şi este ușor de personalizat. Cisco ISE integrează sisteme de autentificare și autorizare și unelte de control al accesului la resurse - atât al utilizatorilor interni, cât și al celor externi (guest). Platforma stabilește identitatea, locaţia și istoricul accesărilor reţelei pentru fiecare user, nivelul de autorizare al acestuia și gradul de conformitate al echipamentului utilizat cu politicile de securitate și permite accesul la date, aplicaţii și servicii în funcţie de categoriile de utilizatori și drepturile lor, tip de device etc. Prin intermediul ISE Posture Agent, platforma monitorizează și controlează nivelul de securitate al fiecărui device care accesează reţeaua, asigurându-se că acesta respectă standardele definite. Platforma verifică securitatea echipamentelor utilizatorilor, certificându-le sau, în cazul în care nu respectă normele, blocându-le accesul (device-ul e trecut în carantină până când situaţia e remediată). ISE simplifică managementul produselor provenind de la varii vendori prin intermediul ecosistemului de parteneri pxGrid, care pot partaja soluţii telemetrice de securitate și investiga rapid ameninţările pe baza datelor contextuale. Platforma oferă suport avansat pentru integrarea cu Active Directory și asigură gestionarea eficientă a utilizatorilor mobili.


Cisco ISE este o platformă scalabilă și flexibilă, care suportă un număr extins de scenarii de dezvoltare - de la companii mici și mijlocii, până la «large enterprise» și arhitecturi distribuite - și oferă posibilităţi avansate de customizare.

Protecție avansată împotriva amenințărilor Un alt element de bază al arhitecturii Cisco îl reprezintă firewall-urile de nouă generaţie (NGFW) ASA cu FirePOWER Services, care furnizează vizibilitate granulară asupra aplicaţiilor ce rulează în reţea și asupra vulnerabilităţilor și ameninţărilor cu care se confruntă organizaţiile, asigurând protecţie superioară. Cisco ASA depistează tipurile de vulnerabilităţi ale aplicaţiilor și echipamentelor, propunând și/sau aplicând automat, la nivel de configuraţii, reguli și metode de remediere. Prin corelarea vulnerabilităţilor din reţea și a ameninţărilor detectate, soluţia Cisco poate determina amplitudinea unui incident și identifică rapid măsurile de limitare și soluţionare. Cisco ASA utilizează sisteme de acces securizat al reţelelor VPN, NGIPS (Next Generation Intrusion Prevention System), unelte de filtrare URL și DNS (Security Intelligence IP Address Reputation permite filtrarea conexiunilor pe baza analizelor Web Reputation) și are capabilităţi superioare în zona Advanced Malware Protection (AMP). Cisco ASA integrează soluţia AMP ThreatGrid care asigură protecţia împotriva noilor generaţii de ameninţări avansate persistente (Ransomware, Ghostware, Two-Faced Malware etc.), ce utilizează tehnici de disimulare, trafic criptat etc. Soluţia AMP monitorizează continuu device-urile utilizatorilor și echipamentele de reţea, precum și traficul (Wired, Wireless si/sau VPN) și activitatea fișierelor. În cazul depistării unei evoluţii ce se încadrează în categoria «ameninţare», soluţia emite o alertă și realizează automat o analiză retrospectivă pentru identificarea sursei ameninţării, a riscurilor generate și a potenţialelor ţinte. Analiza este scalabilă putând fi extinsă la puncte finale,

device-uri mobile, sisteme virtuale și echipamente dedicate securităţii Web și email. Funcţionalităţile de tip File Trajectory depistează rapid când și ce utilizator, aplicaţie și/sau echipament a accesat un fișier-ameninţare, iar File Retrospection stabilește când și cine a accesat un fișier considerat neutru iniţial și ulterior identificat ca ameninţare. Odată decelată o ameninţare, aplicaţia emite o alertă și/sau pune automat în carantină fișierul și/sau echipamentul infectat, până la finalizarea operaţiunilor de remediere a problemei. Cisco ASA cu FirePOWER Services furnizează informaţii acţionabile, prioritizând măsurile de eliminare a vulnerabilităţilor în funcţie de gravitatea ameninţărilor. Arhitectura integrată de securitate Cisco asigură un nivel superior de protecţie, îmbunătăţește gradul de proactivitate al companiilor, limitează efectele incidentelor de securitate și facilitează remedierea lor rapidă. Datanet Systems, prin experiența solidă acumulată în cei 18 ani de activitate și de parteneriat la cel mai înalt nivel, este principalul partener local Cisco. Competențele extinse ale Datanet Systems, confirmate în numeroasele implementări realizate local și regional, oferă garanția unui partener capabil să livreze soluții eficiente la nevoile organizațiilor și să asigure atingerea nivelului de securitate dorit. Echipa Datanet de ingineri specializați în sisteme de securitate informatică asigură proiectarea, livrarea, punerea în funcțiune și întreținerea infrastructurii de securitate informatică, precum și instruirea de specialitate. Pentru informaţii suplimentare, vă rugăm să accesați www.datanets.ro.

25


Trends - Cybersecurity Trends

Retrospect pentru Windows protecţie hibridă pentru date destinată organizațiilor mici și mijlocii

Excellence in software distribution

Retrospect Backup & Recovery furnizează o metodă rapidă pentru construirea unui plan complet cu scopul securizării datelor unei organizații. Soluția furnizează numeroase opțiuni pentru backup precum: local, cloud sau în altă locație. Aceste opțiuni permit implementarea unui plan pentru protejarea datelor local și accesarea acestora foarte ușor sau protejarea datelor prin mutarea acestora într-un alt loc cu scopul arhivarii și protejării acestora împotriva dezastrelor.

Economisește bani și resurse Soluţia reduce consumul de timp și spaţiu alocat pentru backup prin eliminarea nevoi de backup complet folosind tehnologia de la Retrospect Smart Incremental. Produsul furnizează backup-uri mai mici și mai rapide folosind Block Level Incremental Backups. Garantează că există întotdeauna spaţiu pentru un backup folosind funcţia Automatic Disk Grooming. Elimină nevoia includerii în backup a fișierelor dublate și astfel reduce timpul și spaţiul alocat procesului folosind tehnologiaddededuplicare la nivel de fișiere. Reduce timpul și banii alocaţi deplasărilor folosind gestionarea centralizată a mai multor servere și staţii de lucru Retrospect.

Protecție puternică, flexibilă și de încredere pentru date Protejează întreaga reţea Windows, Mac sau Linux folosind o soluţie cu cost redus Retrospect. Soluţia suportă backup-uri: cloud, disk, NAS și tape. Produsul oferă o imagine completă a procesului de backup folosind panoul High-Level Dashboard Retrospect.

26

Reduce timpul în care un dispozitiv nu este operaţional deoarece un backup poate fi implementat pe un calculator diferit fără probleme folosind agentul Retrospect: Dissimial Hardware Restore. Garantează că mediile virtuale sunt protejate datorită integrarii cu VMware. Suportă medii Exchange si SQL. Poate restaura fișiere datate înainte de corupere sau infecţie cu viruși folosind recuperări în funcţie de timp și dată.

„Am putut recupera date pentru inginerii noștri pe parcursul anilor ce ar fi fost pierdute dacă nu ar fi fost trecute în backup. A fost o situație în care date vechi de 7 ani au fost recuperate pe un PC fără probleme iar inginerii au putut folosi aceste date fără probleme.” Dale Windsor, Honeywell Technologies Solution sat NASA

Securitate înseamnă liniște Produsul poate crea dispozitive de stocare bootabile cu scopul recuperării într-o situaţie în care un echipament este într-o stare non-bootabilă folosind tehnologia Bare Metal Disaster Recovery. Criptarea pe mai multe niveluri de la Retrospect securizează datele chiar dacă un backup este pierdut sau furat. Raportarea email informează dacă un proces backup este finalizat corect. Retrospect furnizează securitate în plus prin întreţinerea automată a mai multor seturi de backup. Garantează protecţia calculatoarelor noi în reţea sau nu sunt conectate la un sistem automat pentru detecţia și înregistrarea clienţilor.


„Am folosit Retrospect de mai bine de 15 ani. În acest timp mi-a salvat datele de cel puţin 2 ori. Odată eram plecată din ţară şi echipa IT a recuperat datele folosind Retrospect. Am folosit Retrospect de multe ori pentru recuperarea versiunilor vechi de fişiere. Rosemary Muller, Muller & Caulfield Architects

Single Server (Disk la Disk) 5 pentru Windows Protejează un singur server Windows şi 5 staţii de lucru Windows, Mac şi Linux conectate la reţea. Suportă medii de stocare: cloud, disk şi tape.

Versiunea trial se poate descărca aici: retrospect.com/try

Retrospect Pentru Editii Windows Multi Server pentru Windows Protejează orice număr de servere, desktop-uri şi laptopuri ce folosesc Windows, Mac şi Linux de la un singur calculator gazda Retrospect. Suportă medii de stocare: cloud, disk şi tape. Un Singur Server-Dispozitive Conectate Nelimitate Protejează un server şi orice număr de laptop-uri şi desktop-uri ce folosesc: Windows, Mac şi Linux folosind o singură gazdă Retrospect. Licenţe adiţionale pentru servere pot fi achiziţionate pentru protecţia serverelor Windows, Mac şi Linux conectate la reţea. Suportă medii de stocare: cloud, disk şi tape.

MS (SBS) Essentials cu Exchange şi SQL pentru Windows Protejează un singur Server Windows ce rulează MS SBS 2012 Essentials plus un număr nelimitat de staţii de lucru şi laptop-uri. Include agenţi pentru: Exchange, SQL, Open File Backup şi Dissimilar Hardware. Suportă medii de stocare: cloud, disk şi tape. Desktop Pentru Windows Protejează un PC Windows non-server şi cinci staţii de lucru sau laptop-uri Windows, Mac şi Linux. Suportă medii de stocare: cloud, disk şi tape.

Întrebări? Contactaţi Retrospect prin scanarea codului QR sau vizitarea site-ului retrospect.com/contact_sales

CERINŢE SISTEM Retrospect pentru Windows suportă următoarele sisteme de operare Microsoft Windows pentru backup local sau client. Retrospect suportă următoarele sisteme de operare Linux şi MAC pentru backup client. Microsoft Windows

Apple OS X

Linux

Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 Windows Server 2003 Windows Server Essentials 2012 Windows SBS 2011 Windows SBS 2008 Windows SBS 2003 Windows Storage Server 2008 Windows Storage Server 2003

OS X El Capitan 10.11 OS X El Capitan Server 10.11 OS X Yosemite 10.10 OS X Yosemite Server 10.10 OS X Mavericks 10.9 OS X Mavericks Server 10.9 OS X Mountain Lion 10.8 OS X Mountain Lion Server 10.8 OS X Lion 10.7 OS X Lion Server 10.7 OS X Snow Leopard 10.6 OS X Snow Leopard Server 10.6 OS X Leopard 10.5 OS X Leopard Server 10.5 OS X Tiger 10.4 OS X Tiger Server 10.4 OS X Panther 10.3 OS X Panther Server 10.3

CentOS 7 CentOS 6.5 CentOS 6.4 Red Hat Enterprise Linux 7 Debian 7.6 Ubuntu Server 14.04 SUSE 11 Enterprise Server 11 SP3 SUSE 11 Enterprise Server 11 SP2

Produsele Retrospect sunt disponibile în România prin distribuitorul autorizat Romsym Data (www.romsym.ro)

Excellence in software distribution

27


Trends y it ur ec rs be Cy y or St r Cove

Parole sigure. Poate că „ingineria simplă este inginerie bună” autor: Vassilios Manoussos

Când învățam pentru licență, unul dintre profesorii preferați avea două mantre: «ingineria simplă este inginerie bună» și «ingineria veche este inginerie bună». Avea dreptate, cel puțin în cazul celei dintâi.

Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)

Lumea continuă să mă întrebe cum să-și securizeze parolele, cum să evite neajunsurile și cum să-i împiedice pe alţii să le ghicească parolele (inginerie socială). (vedeţi și articolul meu: Cum să hack-uiești conturile prietenilor și ale celor din familie). Adevărul este că soluţiile pot fi uneori mai simple decât par. În primul rând, bunul simţ ar trebui să primeze. FAPT: Indiferent cât de bună este parola pe care aţi ales-o, dacă nu aveţi antivirus și firewall pe calculatorul vostru, va fi furată. Costă mai nimic și este incredibil că indivizii și chiar și micile companii nu se gândesc cât de important este să nu le ai. FAPT: dacă vă folosiţi numele sau numele câinelui pe care îl aveţi etc. cineva vă va ghici cu ușurinţă parola. Cei care doresc să obţină parola voastră pot merge la pagina de logare în email, să tasteze adresa voastră de email, să dea click pe «Forgot password» și să folosească întrebările de securitate pentru a vă ghici parola. FAPT: Reamintirea unei parole scurte este ușoară. FAPT: Reamintirea unei parole din 32 de caractere nu este ușoară. Sau este? Există un proces denumit hashing prin care se calculează o valoare pentru un șir de caractere, sau un

28

fișier, sau chiar pentru un disc întreg. Valoarea de hash este la fel de unică ca o amprentă. Chiar dacă și valorile de hash pot fi decriptate (de ex. să validezi o valoare de hash dintr-un tabel pre-existent), este imposibil să reproduci sursa unui hash. Metoda de hashing MD5 este una dintre cele mai vechi, și în ciuda faptului că este discutabilă utilizarea sa în anumite aplicaţii, rămâne un instrument simplu și exact. Există multe generatoare online MD5. Dacă îl alegeţi pe oricare dintre acestea și introduceţi același șir de litere sau cuvinte, codul de 32 de cifre rezultat trebuie să fie același. Deci cum puteţi utiliza un astfel de instrument pentru a obţine o parolă sigură? Și cât de sigură poate fi acea parolă? Repet, vorbim despre o ameninţare de inginerie socială și de phishing mai degrabă decât despre un atac în care este folosită forţa brută. Dificultatea de a obţine acea parolă hash este direct legată de cuvintele pe care le-aţi folosit ca să o obţineţi. O mică variaţie în sursă va duce la hash-uri total diferite. Să luăm numele meu ca exemplu: Vassilis va întoarce 325fc57f275cd8a61d88800c1c52e541 în timp ce vassilis va întoarce 1534aac0fd311f42ba96a9a280c4253e Ei bine, cât de sigură este o parolă din 32 de cifre? Să aruncăm o privire. Am utilizat verificatorul de parole my1login.com. Verificatoarele de parolă nu sunt un instrument absolut, dar unul potrivit vă va da o bună apreciere asupra stării pe care aţi ales-o.


Adăugarea unei singure majuscule crește timpul necesar pentru spargerea parolei de circa 6 ori.

Acum urmează partea interesantă. Scriind același cuvânt în greacă (utilizând un alfabet ne-latin) face lucrurile și mai complicate pentru spărgătorii de parole. Pentru același cuvânt într-o limbă diferită, de la 41 de minute am ajuns la 25 de zile.

Și în final hash-ul MD5 al numelui meu (vassilis fără majusculă). Acesta ajunge la 13,000,000,000,000,000,000,000 de ani. Ei bine, aceasta este o parolă sigură.

Vă puteți reaminti parola? Doar puţini oameni de pe planetă își pot aminti un șir alfanumeric ca acesta, așa că fie trebuie să-l scrieţi undeva, fie va trebui să-l generaţi de fiecare dată când aveţi nevoie de el. Acest lucru nu ar trebui să fie o problemă. Dacă îl folosiţi ca parolă pentru logare online, înseamnă că vă aflaţi pe un calculator conectat la Internet. Vizitaţi un site care generează MD5 (sau SHA1 sau SHA-256) și generaţi-vă parola de fiecare dată. Va fi mai ușor să vă amintiţi «Am visat o mierlă» decât fea40a4cd0ce4e6aa9d7dfec73a236de.

Cine ar trebui să folosească această metodă Această metodă este de departe mai sigură decât să utilizaţi numele pisicii sau data de aniversare a căsătoriei ca parolă. Organizaţiile mari ar trebui să aibă alte metode mai sofisticate care să asigure accesul la infrastructura IT. Dar persoanele particulare care doresc să se asigure că nu le va citi nimeni email-urile o pot folosi ca un punct de plecare bun spre un comportament digital mai conștient.

Ce să nu faceți Nu folosiţi browser-ul obișnuit aunci când vizitaţi un generator MD5. Utilizaţi modul «incognito» astfel încât alţi utilizatori care folosesc același calculator să nu știe ce faceţi. O valoare hash este la fel de sigură ca și sursa ei. Dacă folosiţi cuvinte ca password și 123456 valoarea hash va fi ghicită ușor. Nu spuneţi altor persoane cum vă stabiliţi parolele!

BIO Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity) Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene. Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția). CERTIFICĂRI: Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London). Mr. Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.

29


ds Focus - Cybersecurity Tren

Securitatea întreprinderilor, tehnologia informaţiei și comunicaţiile: consideraţii despre divergenţe, convergenţe și interacţiuni autor: Luca Tenzi, Expert în securitate corporate, Vicepresident

al CLUSIS - Swiss Information Security Association

Convergența între securitatea fizică și cea logică este un subiect care, în ultimii ani, a ținut prima pagină a revistelor specializate în IT și a devenit o problemă asociată proceselor de management la nivel global.

Dacă pentru companiile lideri de piaţă acest element pare sa fie deja integrat în politicile manageriale implementate, situaţia nu este la fel de bună când vine vorba despre IMM-uri. Este, de asemenea, de reţinut faptul că multinaţionalele cu o puternică structură IT&C, precum

Bio Luca Tenzi este un expert în securitate corporate, cu 15 ani de experiență în companii din Fortune 500. A condus operațiuni de securitate în medii diverse. Experiența sa acoperă mai multe sectoare, incluzând producție, IT&C și instituții financiare. Luca a lucrat și a locuit în Europa, Africa, Orientul Apropiat și America Latină, specializându-se în evaluări de risc la nivel de țară și în management în zone cu risc ridicat, cum ar fi Venezuela, Irak și Libia. Luca este un gânditor strategic inovator și are o istorie bogată de colaborări cu o mare diversitate de stakeholder-i în business și securitate din lumea întreagă. Om de echipă și mentor pasionat, empatic cultural și cu abilități diplomatice, a condus implementarea și managementul unor strategii de securitate globale, programe de reducere a riscurilor și prevenirea pierderilor. A acționat ca director de securitate delegat, responsabil pentru securitatea operațiunilor și management de criză.

30

cele din domeniile financiar-bancar, telecomunicaţii, IT sunt foarte bine conectate la această tendinţă de convergenţă, pe când sectorul industrial acumulează întârzieri semnificative în implementarea politicilor asociate acestui proces de convergenţă. Însă faptele pot fi văzute și altfel, iar personal reţin că există o confuzie în raport cu această convergenţă, existând mai multe opinii divergente, de regulă acestea venind din domenii de expertiză diferite. Un exemplu concret îl reprezintă divergenţele majore de opinie între experţii în securitate fizică și cei în securitate logică, referitoare la convergenţa conceptului de securitate. O altă sursă de opinii contrare o reprezintă percepţia proprie asupra securităţii, astfel că, persoane diferite, atât din mediul intern, cât și extern unei organizaţii, pot ajunge să aibă o interpretare proprie bazată pe experienţă total opusă versiunii formale a firmei. Așteptările unora sau altora despre convergenţă sunt diferite, în special raportat la obiectivele finale ale acestui proces - starea de securitate cibernetică, sau beneficiile directe (financiare) și indirecte (eficienţă structurală sporită). Prima provocare în definirea convergenţei este reprezentată de identificarea structurilor care converg, existând situaţii în care procesele converg, dar și situaţii în care în final vorbim despre integrare. În multe cazuri, convergenţa se realizează pentru conformitate organizaţională, fără o planificare sistemică reală, generând astfel noi funcţii (ca rezultat al convergenţei) insuficient descrise sau pentru al căror management organizaţia nu înţelege profilul profesional necesar.

Securitatea fizică, această necunoscută! O primă etapă care trebuie clarificată este care sunt structurile care converg, funcţiile și poziţionarea acestora în cadrul organizaţional dat. La


nivelul multinaţionalelor, conceptul utilizat este securitate corporativă, care integrează componentele de securitate fizică, securitate informatică și pe cea procedurală. Deși scopul acestui articol nu vizează aspecte de management corporatist, trebuie menţionat faptul că un element important este reprezentat de poziţionarea procesului managerial ce asigură securitatea corporatistă în cadrul organizaţiei, astfel că, importanţa acordată acestei funcţii poate oferi viziuni, responsabilităţi și influenţă strategică extinse sau dimpotrivă restrânse, persoanei care va asigura această funcţie. Activităţile aferente asigurării securităţii lanţului de aprovizionare, protecţiei infrastructurilor critice, managementul fraudelor, protecţia executivilor și securitatea reputaţională, cele privind sectorul de business intelligence sunt câteva dintre cele pe care se concentrează domeniul securităţii corporatiste. Merită menţionate și complementarităţile cu alte funcţii interne, cum ar fi activitatea de management în domeniul resurselor umane, audit intern și managementul riscurilor. Astfel, sunt de analizat tendinţele de convergenţă limitată sau completă a acestor funcţii. Fiecare dintre aceste probleme și provocări adresate domeniului securităţii corporatiste au și componente ce vizează securitatea tehnologiei informaţiei și comunicaţiilor. În consecinţă, sunt multe ameninţări cibernetice care trebuie cunoscute și monitorizate, datorită consecinţelor pe care le generează în lumea reală. Aceste ameninţări generează riscuri semnificative la adresa angajaţilor sau infrastructurilor utilizate de întreaga organizaţie, riscuri de fraude și de afectare pe termen lung a veniturilor companiei, fraude în lanţul de aprovizionare sau sincope în asigurarea continuităţii acestuia cu consecinţe asupra obiectivelor de business etc. Toate acestea adresează provocări serioase asupra gradului necesar de convergenţă între diversele paliere ale securităţii corporatiste, în vederea asigurării obiectivelor asumate la nivelul actului managerial. Securitatea cibernetică a apărut ca proces managerial identificat de către antreprenori ca fiind necesar și critic, pe fondul creșterii accentuate a numărului și complexităţii atacurilor cibernetice. Ca o consecinţă a transferului continuu de informaţii în lumea virtuală și implicit, creșterea valorii proprietăţii intelectuale online și a dependenţei companiilor de componenta informatică, responsabilii cu securitatea cibernetică au sarcina de a proteja valoarea informaţiilor din spaţiul virtual care aparţin firmei – information value chain, precum și infrastructurile critice utilizate pentru producţie și/sau gestiune, acestea devenind din ce în ce mai importante în mediul de afaceri. Astfel, a apărut și se află într-un proces continuu de maturizare funcţia de Chief Information Security Officer – CISO. Asimetria ameninţărilor cibernetice la adresa informaţiei și/sau infrastructurii critice aparţinând companiei au dat acestei funcţii, parte a procesului de asigurare a securităţii corporatiste, un rol transversal și de suport pentru toate activităţile relevante din cadrul oricărei companii adaptate realităţilor lumii contemporane. Însă de fapt această funcţie este dependentă de structura IT a companiei și nu beneficiază de o independenţă faţă de această componentă tehnologică și operaţională, așa cum și-ar dori asociaţiile profesionale în domeniu. Ca și în exemplul anterior, poziţiile și atribuţiile în organigrama firmelor ale funcţiilor de CTO – Chief Technology Officer și CISO vor asigura valoarea viziunii strategice de management corporatist și limitele acestor poziţii în sine.

Astfel, provocarea care va trebui să fie rezolvată în domeniul securităţii corporatiste este:

Convergență sau integrare? Pentru a converge, se înţelege că două elemente (structuri) se vor mișca către un punct comun. Se poate presupune o mișcare către un punct comun echidistant, dar nu este o condiţie sine qua non. În termeni antreprenoriali, am putea să spunem că ambele structuri vor trebui să facă pași comuni pentru a defini și a atinge o nouă stare care va fi diferită faţă de starea actuală. O convergenţă în a trata riscuri asimetrice și transversale căreia întreprinderile trebuie să le răspundă este definită ca o metodologie unică care poate să fie atribuită unei singure funcţii sau structuri. În ceea ce privește integrarea, putem să definim acest proces ca o acţiune a unei structuri care va absorbi (integra) în mod total sau parţial o altă structură, ca de exemplu o structură juridică care integrează serviciul de conformitate (compliance) din cadrul unei companii. În domeniul securităţii, se vorbește tot mai des despre convergenţa dintre domeniul securităţii fizice și cel al securităţii cibernetice. În ceea ce mă privește, am observat, în ultimii ani, o integrare din ce în ce mai evidentă, stricto sensu, a sistemelor de securitate fizică (ex: CCTV, control acces, sisteme de comandă și control etc) la nivelul infrastructurilor IT&C ale companiilor. Evoluţia tehnologică și de piaţă a sistemelor complexe bazate pe infrastructuri IP au determinat convergenţa din ce în ce mai evidentă a infrastructurilor destinate asigurării securităţii fizice cu cele destinate asigurării serviciilor de comunicaţii electronice și tehnologiei informaţiei. Iniţial, au fost create reţele de tip LAN - Local Area Network separate destinate elementelor de infrastructură de securitate fizică, însă pe fondul creșterii complexităţii tehnice și dimensiunii, administrarea separată a acestei infrastructuri nu mai este sustenabilă. Astăzi tehnologia permite crearea de reţele locale virtuale de tip VLAN multiple în cadrul aceleiași reţele locale fizice de tip LAN. Deși utilizarea VLAN-urilor pentru scopuri diferite susţin procese organizaţionale diferite, administrarea elementelor de infrastructură fizică devine unică, ca de altfel și managementul riscurilor de securitate cibernetică, care pot fi generate și de vulnerabilităţile prezente la nivelul sistemelor tehnice destinate asigurării securităţii fizice. De aici se naște prima dilemă. Protecţia infrastructurii și utilizarea unei infrastructuri comune nu generează neapărat convergenţă, însă reprezintă cu certitudine o dovadă privind integrarea funcţiei de securitate fizică prin utilizarea celor mai moderne platforme care utilizează

31


ds Focus - Cybersecurity Tren tehnologii de tip IP. În fapt, securitatea fizică reprezintă unul dintre ultimele procese organizaţionale care profită din plin de evoluţia tehnologică și integrarea unor platforme tehnice care înainte nu comunicau direct. Se poate exemplifica prin utilizarea unei platforme unice de management al identităţii electronice, atât pentru structura de resurse umane, structura de securitate fizică pentru controlul accesului în diferite spaţii și structura de IT pentru asigurarea accesului și drepturilor de acces la reţeaua informatică și la aplicaţiile companiei. Astfel, o serie de start-up-uri noi în domeniul securităţii fizice furnizează pe piaţa privată o serie de produse și servicii care în trecut erau disponibile numai în domeniile apărării și aplicării legii. Sistemele juridice la nivel global sunt chiar preocupate din ce în ce mai mult să asigure protecţia cetăţenilor împotriva potenţialei utilizări necontrolate a acestor noi capabilităţi disponibile pe piaţa liberă. Spre exemplificare, merită menţionate utilizarea dronelor civile, aeriene sau terestre, a capabilităţilor de monitorizare web și filtrare de conţinut online pentru obiective de business intelligence, precum și fenomenul de creștere a utilizării reţelelor sociale și complexitatea funcţiilor oferite de acestea.

Atunci ce converge? Nu cred că se poate vorbi despre convergenţă în sensul larg dacă, de fapt, observăm o simplă integrare a unor procese similare care până în prezent erau replicate și neconectate între ele. Aș îndrăzni chiar să afirm că putem vorbi de un efect al nevoii de eficientizare a organizaţiilor și nevoii de creștere a productivităţii. Însă, așa cum am menţionat mai sus, creșterea exponenţială a numărului și complexităţii atacurilor informatice asupra sistemelor informatice de interes public determină necesitatea de a regândi strategiile de prevenire, identificare și blocare a acestora, în cadrul proceselor de management al riscurilor. Va fi interesant de urmărit evoluţia acestor abordări într-un mediu dominat de contradicţii conceptuale și de viziuni diferite. Este rolul statelor să asigure protecţia sau firmele trebuie să-și asume total această responsabilitate? Aceste discuţii sunt influenţate permanent de elemente dogmatice și legate de conceptul de stat de drept, care, într-o lume aflată în plin proces de virtualizare, se confruntă cu provocări inedite, din ce în ce mai complicate. Cred că, în situaţii particulare, putem evidenţia elemente de convergenţă organizaţională atunci când securitatea corporatistă integrează funcţia de CISO, devenind în fapt funcţia de securitate a întregii infrastructuri utilizate de companie, a lanţului de aprovizionare, a informaţiei de valoare pentru business - information value chain, inclusiv cea a infrastructurii IT&C. În prezent, nu foarte multe companii mari au reușit scoaterea funcţiei de CISO din cadrul structurii IT&C, această structură păstrându-și astfel eficienţa, dar și caracterul pur defensiv.

Tehnologia este în continuare baza securității informaționale? (Urmare din pagina 23) „Toate aceste ameninţări de fraudă sunt însă strâns legate de alte tipologii de atac - cu malware avansat - care, la fel ca primele, sunt dificil sau chiar imposibil de monitorizat cu sistemele clasice bazate pe semnături. Vorbim în acest caz despre sisteme de tip Advanced Threat Prevention, pe care orice echipă de securitate care are o strategie internă de Cyber Security ar trebui să le ia în considerare alături de sisteme de centralizare, colectare, corelare și analiză de intelligence. Acestea din urmă, cunoscute ca sisteme SIEM, corelate cu sisteme de gestiune a riscurilor, își dovedesc eficienţa mai ales atunci când au suficientă vizibilitate astfel încât să poată structura informaţii din mai multe surse relevante, pentru a detecta anomalii comportamentale la nivelul infrastructurii” mai adaugă Alexandra Duricu. Aceasta subliniază de asemenea faptul că „organizaţiile înţeleg nevoia de investiţii în tehnologia de securitate, dar această atitudine nu se traduce în actualizarea sau extinderea sistemelor curente pentru prevenirea adecvată a pericolelor legate de atacurile cibernetice moderne luând de asemenea în considerare, uneori într-un mod prea relaxat, interesul din ce în ce mai crescut al angajaţilor pentru mobilitate.”

32

Impresia generală este aceea a conştientizării nevoii de folosire mai intensă a conceptului numit mobile computing, insă unii factori de decizie au tendinţa contrară de a limita mobilitatea pentru a proteja datele din companie, pe când alţii abordează tehnologic, procedural și mai ales în mod educativ alternativa folosirii chiar și a dispozitivelor mobile personale pentru activităţile specifice lucrului la birou. „Beneficiile unui program de BYOD (Bring Your Own Device) sunt evidente în orice tip de organizaţie. Riscurile însă sunt cele care îi sperie pe toţi. Realitatea de la această oră arată că mobilitatea şi securitatea pot coexista cu uşurinţă prin folosirea tehnologiei moderne de asigurare a securităţii datelor, care foloseşte criptarea inteligentă a datelor pentru protecţia lor, indiferent că acestea se găsesc în locaţii specifice de stocare, în plin proces de transfer sau în plin proces de prelucrare. În cadrul Asseco SEE suntem conştienţi de toate aspectele relevate mai sus şi, de aceea, ne permitem să afirmăm că la ora actuală există soluţii pentru orice probleme legate de securitate, oricât ar fi acestea de avansate,” adaugă Alexandra Duricu. În opinia multor specialiști în domeniul securităţii informaţionale, anul 2016 va fi unul foarte agitat, în special în contextul ameninţărilor globale. Echipele de securitate vor avea de-a face cu o mulţime de provocări, pe care le vor adresa diferit, în funcţie de apetitul la risc al organizaţiilor lor: unii vor căuta să își consolideze infrastructura și procesele existente, alţii vor căuta metode mai eficiente și mai avansate de analiză. Indiferent însă de direcţia strategică a fiecaruia, nu trebuie să uităm că orice structură de securitate informaţională este cu atât mai vulnerabilă cu cât utilizatorii ei sunt mai puţin educaţi în direcţia securităţii informaţionale.


Biblio

Cartea de faţă se citește, datorită mai multor capitole, ca un roman. Pentru un compendiu universitar, este extraordinar de bine gândită, structurată, și arată că autorii au interacţionat pentru ca articolele să fie coerente. Credem fără exagerare că este un „must” de citit în acești ani în care tematicile legate de privacy și de acţiuni ale serviciilor din propria ţară sau din alte ţări sunt privite cu atenţie de către mass-media. Cartea pune în evidenţă și cât joaca SUA un „efect de bumerang” în tranzitul de date, de convoribiri și de orice flux de informaţii, fiind cel mai mare „communication backbone” din lume, pentru Canada (și UE). Așadar, la unele ore din zi este foarte probabil ca o convorbire Europa-Asia să treacă prin reţele din SUA. În Canada, problema include și comunicaţiile interne „coast to coast” care pot să tranziteze mai rapid prin SUA decât prin reţeaua canadiană. În acest sens, iau naștere o mulţime de întrebări juridice pentru că acest tranzit, dacă este „spionat” în interiorul teritoriului SUA, nu violează legislaţiile internaţionale în vigoare. În acest sens, cercetările specialiștilor din Canada, după „revelaţiile lui Snowden” pun degetul pe toate rănile Canadei, care sunt în marea majoritate și ale noastre. În primul rând, această depenţă în materie de tranzit de orice ţine de telco, împinge la o revizuire și accelerare a politicilor de reînnoire și creștere a capacităţii „rutelor alternative”, pentru a asigura un mai bun echilibru geopolitic mondial. Dar, mai important, autorii pun o presiune mai mare asupra companiilor și instituţiilor statului canadian pentru a se asigura măcar construirea unei reţele naţionale care să nu fie ocolibilă. În al doilea rând, asistăm la o lecţie magistrală în ceea ce privește competenţele de supraveghere și control al activităţii servicilor. Canada a trecut prin mai multe reforme, nu atât pentru a limita eficacitatea servicilor, cât pentru a asigura o mai bună interacţiune între ele și între ele și justiţie ca entitate de validare. S-au definit mai bine și domeniile în care colaborarea internaţională este automată (fraudă, pedofilie etc.) și în ce zone serviciile au obligaţia de a trece prin justiţie sau guvern pentru a obţine o derogare de „intel exchange”.

în limba română! SRI: Serviciul Român de Informații Pe portalul SRI găsiţi informaţii de actualitate, dar mai ales câteva unelte foarte utile pentru cybersecurity: Biblioteca virtuală, unde sunt arhivate multe articole de top, ca de pildă: OSINT - la graniţa dintre secret şi public (http:// www.sri.ro/fisiere/studii/OSINT_SECRET_ SI_PUBLIC.pdf ) Varianta de download-at dar și aplicaţia mobilă pentru citirea revistei «Intelligence» Studii Rapoarte de activitate

www.sri.ro

Michael Geist (ed.), Law, privacy, and surveillance in Canada in the postSnowden era, University of Ottawa Press, 2015

Informaţi-vă

CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat! Ghid: Cum să te ferești de viruși, viermi și troieni 14-11-2013 Ghid: Ameninţări generice la adresa securităţii cibernetice 14-11-2013 Ghid: Securitatea in reţelele sociale şi controlul parental in mediul online 14-11-2013 Ghid: Ameninţări cibernetice la adresa utilizatorilor din Romania 14-11-2013 Ghid: Securitatea serviciilor Internet Banking și Online Shopping 14-112013 Ghid: Securitatea utilizatorului final 14-11-2013 Ghid: Rolul structurilor de tip CERT și utilitatea CERT-urilor private 14-11-2013 Ghid: Securitatea terminalelor mobile 14-11-2013 Ghid: Securitatea in Cloud 14-11-2013

www.cert-ro.eu

D

acă 2015, din punct de vedere bibliografic, a văzut apariţia de articole și volume dedicate aproape tuturor tematicilor care au legătură cu securitatea cibernetică, sfârșitul anului trecut și începutul noului an au marcat, pentru edituri și reviste specializate, un adevărat „boom” de publicaţii pe două subiecte principale, legate de evenimente digitale dar și geopolitice petrecute în ultimele 12 luni: protecţia datelor și privacy, pe de o parte, terorism și război cibernetic, pe de altă parte. Dată fiind tematica acestui număr legată de protecţia și intimitatea persoanelor, nu putem decât să ne bucurăm să vă aducem la cunoștiinţă mai multe texte de vârf pe acest subiect, pentru cine vrea să afle mai multe.

33


ds Biblio - Cybersecurity Tren

Informaţi-vă în limba română! Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.

www.arasec.ro

ARASEC

Pare banal, așa cum relatăm, dar ceea ce a făcut Canada în „postSnowden era” este pasionant, deoarece, așa cum subliniază unul dintre autori, nu fusese reţinută nicio lecţie din greșelile comise între servicii în 1985, când un Boeing 747 al Air India, pe ruta Montreal-Londra-Delhi a fost distrus în zbor de o bombă. Cu 268 de cetăţeni canadieni la bord, acest atentat este calificat încă drept „the largest mass murder in Canadian history”. Raportul finalizat în 2010 arată neglijenţe foarte grave și mai ales lipsa totală de comunicare între entităţile guvernamentale, serviciile de intelligence (CSIS) și serviciile specializate ale poliţiei (RCMP). În rezumat, lectura acestui volum, în vremurile noastre, este obligatorie. Fără a face morală, fără a arunca acuzaţii către nimeni, este o disecare raţională a unei planete complet interconectate, a ce mai poate să fie „naţional” – sau apărat de către justiţia naţională – într-o lume globalizată, cum ar trebui să fie ameliorată transparenţa serviciilor și mai ales cooperarea dintre ele, cum ar trebui instituită o nouă abordare diplomatică bilaterală cu SUA, bazată pe colaborare reciprocă, și care sunt pașii de făcut în privinţa metadatelor, big data, privacy etc. Situaţia Canadei, privită cu lupa de către autori, este pentru multe aspecte și cea a României sau a oricărei alte ţări din Europa. J. Camenisch, S. Fischer-Hüber, M. Hansen (eds.), Privacy and Identity Management for the Future Internet in the Age of Globalisation, Cham 2015 Aceste lucrări ale congresului IFIP conţin cercetări de neratat asupra identităţii virtuale. Pe de o parte, se pune accent și se definesc cu mare capilaritate dar într-un stil ușor de citit ce sunt „big data”, valoare datelor personale și tratamentul acestora în cadrul juridic, normativ și tehnologic de pildă la graniţele între ţările UE și cele non-UE. Unul dintre cele mai interesante texte este cel scris de M. Friedwald et al., „Privacy and Security Perceptions of European Citizens: A Test of the Trade-Off Model” (pp. 39-53), care examinează o anchetă socială făcută în toată Europa despre securitate. Eșantionul fiind chiar uimitor (calitativ și cantitativ: mai mult de 27.000 de cetăţeni europeni), poate fi considerat ca un sondaj exemplar. Ies la suprafaţă mai multe aspecte extrem de îngrijorătoare. Primul este că definiţia intimităţii, pentru majoritatea covârșitoare a persoanelor sondate, nu este bazată pe cunoștiinţe ci este pur și simplu emoţională. Așadar, vechiul sistem democratic de „trade off”, adică renunţare de bună voie la anumite drepturi (aici confidenţialitatea informaţiilor) către stat pentru a permite statului să asigure o mai bună apărare a cetăţeanului nu mai funcţionează deloc. Dezamăgirea paneuropeană legată de lumea politică și capacitatea sa de a schimba lucruri se reflectă peste tot într-o reticenţă din ce în ce mai sporită de a face concesiuni către instituţiile statului. Pe de altă parte, dacă topul sentimentelor de insecuritate este încă larg dominat de șomajul tinerilor (80%), de violenţa cauzată de abuzul de droguri și alcool (74%) și de accesul la sănătate pentru cei mai săraci (69%), pentru prima dată riscul ca infrastructura naţională de internet să suporte o lovitură sau să devină sursă de viruși (39%) depășește teama de a fi victima unui atentat terorist (38%). Vedem, din acest articol și din celelalte, calea foarte dificilă care mai

34


Centrul pentru Securitatea Cibernetică CERT-GOV-MD

(http://cert.gov.md)

Statistica incidentelor pentru poșta electronică (actualizare zilnică) Texte extrem de clare și pertinente despre: • Practici bune de securitate • Politica de securitate • Copii de rezervă • Identitatea online • Reţele de socializare • Reţele wireless • Escrocheria online • Telefonul mobil este de întreprins pentru a restaura încrederea între societatea civilă și stat, pentru a explica care sunt datele legate de privacy, gestionarea și securitatea lor, permiţând astfel depășirea gândirii emoţionale și intrarea într-o dezbaterea raţională asupra problematicii și soluţiilor legate de securitatea digitală naţională și individuală. Giovanni Livraga, Protecting Privacy in Data Release (Advances in Information Security, 57), Cham 2015 Acest volum, destinat numai specialiștilor în informatică, propune baze matematice avansate pentru a gândi și a structura bazele de date și extragerea de informaţii din ele. Această cercetare adâncă, care folosește cele mai avansate tehnici matematice, devine însă foarte interesantă pentru toţi prin concluziile sale, în care se pun în evidenţă rolul fundamental de a defini, chiar cu prioritate, cine sunt persoanele care accedează, la ce parte, bine compartimentată, a datelor unei firme, cum se pot folosi acţiunile zilnice ale unui angajat în acest cadru și eventual revoca drepturile unui user fără a compromite baza. Chiar dacă foarte „de nișă”, cartea face într-un fel pionierat și este adresată mai ales specialiștilor din SUA și din alte ţări în care dezvăluirea datelor care ţin de privacy, fie voluntară, involuntară sau prin atac extern, poate să fie condamnată de către justiţie cu amenzi usturătoare și este mare nevoie să fie redefinită arhitectura de gestiune a bazelor care conţin date confidenţiale. Kai Rannenberg, Jan Camenisch, Ahmad Sabouri (eds.), Attribute-based Credentials for Trust Identity in the Information Society, Cham 2015. Cartea lui Livraga este foarte bine însoţită de volumul colectiv de faţă. Foarte tehnic și el, arată care sunt modele din viitor pentru a crea o societate în care, la modul ideal, fiecare firmă sau cetăţean

• • • • • • • •

Parole puternice Shopping on-line Furtul de date Soluţii de securitate Actualizarea automată Actualizarea produselor soft Accesul de la distanţă Securitatea echipamentelor

care dorește să fie „de încredere” (și în contrapartidă să aibă datele sale protejate) ar trebui să aibă credenţiale, mult mai complexe și ne-hack-uibile, spre deosebire de certificatele care există astăzi, pentru a dovedi cine din lumea reală este cine în lumea virtuală. Consorţiul pan-european ABC4Trust, editorul volumului, dezvoltă activităţi și reflecţii foarte interesante care poate fi accesate la adresa „https://abc4trust.eu”. Brandon Valeriano, Ryan C. Maness, Cyber War versus Cyber Realities: Cyber Conflict in the International System, Oxford 2015 Volumul academic, magistral, explică „crystal clear” ce este un război cibernetic: care sunt armele, operaţiile, ţările sau entităţile capabile de a desfășura acest tip de razboi și teorii/strategii de succes în acest nou framework al bătăliilor moderne. Face și o foarte bună analiză a dinamicii și impactului real pe care un asemenea război ar putea să-l aibă, fiindcă, până acum, s-a folosit numai un număr limitat, cu consecinţe limitate, a întregului arsenal pe care l-ar putea cuprinde un cyberwar. La sfârșitul volumului, se pun și întrebări despre coordonare și acţiuni ale unor entităţi ne-guvernamentale implicate într-un război cibernetic, fie alături de un stat, fie împotriva ambilor beligeranţi. „Cyber rules” și concluziile prezintă soluţii pentru a adopta un cod de bune maniere, măcar între marile puteri ale planetei, care să evite o escaladare într-un dezastru în care civilii, contrar multor alte forme de război, nu au cum să găsească un adăpost sau o zonă neutră, mai ales că este de neconceput un război pur cibernetic care să nu fie însoţit de un război real.

35


ds Biblio - Cybersecurity Tren Sushil Jajodia, Paulo Shakarian, V.S. Subrahmanian, Vipin Swarup, Cliff Wang (ends.) Cyber Warfare. Building the Scientific Foundation, Cham 2015

thought”, pentru că toate scenariile, vechi și noi, sunt extrem de bine și clar definite și exemplificate. Dimensiuni noi, ca și cooperarea între civili și militari în cazul unui război, sau factori (migraţii, crize umanitare) care pot să fie însoţite și agravate de atacuri cibernetice sunt atent analizate, și subliniază cum orice criză poate - și riscă - să aibă și o latură digitală extrem de devastatoare.

Acest compendiu este de departe cel mai interesant volum apărut despre „warfare”. Nu se vrea deloc atotcuprinzător, dar dorește să iniţieze un lung proces de maturizare într-un domeniu în care încă asistăm la tendinţe de a încadra tematici și tehnici care nu au relevanţă știinţifică în lipsa unei definiţii clare despre ce este „cyber” și ce nu. Volumul este foarte bine gândit pentru a fi de folos companiilor și firmelor interesate în a dezvolta o securitate proactivă și anticipativă. În ceea ce privește tematica centrală a numărului de faţă al revistei noastre, trebuie să subliniem articolul lui J.L. Marble et al. „The Human Factor in Cybersecurity: Robust & Intelligent Defense” (pp. 173-206) care prin abordarea sa de 360° este un complement extraordinar pentru cine vrea să afle mai multe în domeniul gestiunii și pregătirii echipelor de lucru în compania sa, pentru a construi un adevărat „response team” rezistent și anticipativ care să facă faţă oricărei tentative de atac. Hans-Joachim Heintze, Pierre Thielbörger (eds.), From Cold War to Cyber War The Evolution of the International Law of Peace and Armed Conflict over the last 25 Years, Cham 2016 Dedicat strategilor și analiștilor, acest volum colectiv arată cât din războiul modern a devenit un viespar de probleme care nu mai au soluţii în framework-uri legale internaţional acceptate. Miriade de entităţi politice recunoscute sau nu, subcontractanţi privaţi, efectele colaterale sau chiar centrale a acţiunii digitale în cadrul unui război fac extrem de dificilă sau chiar imposibilă redactarea unei variante 3.0 a convenţiei de la Geneva. Pasionaţii de istorie și de politică globală vor găsi în această carte chiar „food for

O publicație

Newton Lee, Counterterrorism and Cybersecurity. Total Information Awareness (Second Edition), Cham 2015 Ediţia complet revizuită a capodoperei lui Newton Lee pune foarte bine accentul asupra a ceea ce a fost contraterorismul, ce este acum și ce va fi mâine. Cu diferiţi colaboratori, analizează și cele mai recente evenimente din domeniul digital și le pune în corelaţie cu evenimente trecute din istoria recentă, cum arată de pildă capitolul „Sony-pocalypse: Invoking 9/11 Attacks in Cyber Terrorism”. Dacă primele 3 părţi ale cărţii sunt mai centrate pe problematici ale SUA, ale serviciilor de investigaţii și ale acţiunilor lor, începând cu perioada Reagan și ajungând până azi, partea a 4-a este un breviar esenţial a tot ceea ce trebuie știut despre strategiile și tehnologiile legate de combaterea digitală a terorismului. Mai mult, împreună cu partea a 5-a, oferă o adevărată lecţie pentru fiecare companie sau instituţie care dorește să se apere activ împotriva oricărui fel de agresiune. Domeniul de afaceri, lumea medicală și e-Health, au fiecare capitole dedicate pentru a înţelege cum poate fi ameliorată securitatea la toate nivele decizionale și non-decizionale. Aici, autorul alcătuiește un adevărat îndrumar despre cum se poate crea în cadrul oricărei firme o ofertă educativă de securitate, în mod agreabil și pasionant (gaming, trainings, ethical hacking). Partea finală este dedicată provocărilor viitoare și modul în care suntem fiecare înarmaţi sau dezarmaţi în faţa lor (state, companii, cetăţeni). NB: Toate articolele și volumele fără link URL menţionat sunt gratuite online prin intermediul bibliotecilor universitare care au acces integral la Springerlink, Cairn și la Elsevier ScienceDirect. Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

şi get to know!

Notă copyright: Copyright © 2016 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285

36

ISSN 2393 – 4778 ISSN-L 2393 – 4778

http://www.agora.ro http://cybersecuritytrends.ro


Securitee* Controlează securitatea datelor

Control deplin pentru blocarea sau limitarea transferurilor de date

Politici clare de acces la datele confidențiale pentru utilizatori

Monitorizare continuă și notificări asupra transferurilor efectuate

Rapoarte complete privind activitățile de transfer din companie

*Obține un Free Trial de 30 de zile pentru compania ta Intră pe www.securitee.net/ro



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.