Cybersecurity Nr. 1 / 2018
Trends
MOBILE Y T I R U C E (IN)S
Cover Story
SECURITY Ce au spus specialiştii la la 360° „Cybersecurity-Switzerland”
ends Editorial - Cybersecurity Tr
Când mobilitatea începe să prezinte mai multe riscuri decât avantaje… Autor: Laurent Chrzanovski
Cu toţii ne-am obișnuit să mergem oriunde cu smartphone-ul sau tableta, să accesăm materiale personale și profesionale cu ele, fără să fim conștienţi de ansamblul ameninţărilor care ne privesc în mod direct, din momentul în care am considerat cu toţii că un smartphone este nici mai mult nici mai puţin decât un laptop de rezervă. Această alegere, puternic promovată de către marketing și aplicată de către numeroși patroni pentru a fi în contact
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
permanent cu angajaţii și informaţiile firmei lor, nu a fost urmărită suficient de atent de către instituţiile competente în domeniul conștientizării. Ori exact în anul care a început intră în vigoare 2 regulamente care vor face dintr-un smartphone cea mai importantă unealtă pentru proprietarul său: prin PS2D, giganţi mondiali precum Apple, Amazon, Microsoft pot să devină «banca» dvs. cu servicii și plată prin... smartphone. Comod, desigur. Sigur? Rămâne de văzut... Prin GDPR, pierderea datelor personale ale altora devine o infracţiune sancţionată cu amenzi care pot merge până la 4% din cifra de afaceri anuală a unei firme... Ori cum să protejăm datele accesate prin cea mai nesigură dintre uneltele IT? Această dilemă este deja tranșată de către mediul de afaceri, pentru care securitatea nu este un parametru primordial, ci rentabilitatea. Astfel, în următorii 2 ani, mai mult de 80% dintre date vor fi accesate, la nivel mondial, prin intermediul unui dispozitiv mobil, cu consecinţe care nici nu pot fi cuantificate încă. De ce? Nu numai pentru că fiecare nouă generaţie de smartphone este mai performantă decât cea de dinainte, și vorbim de cam 3-4 generaţii pe an în ceea ce privește lansările pe piaţă a noilor modele de către firmele de top! Mai mult, îndeplinirea condiţiilor tehnice și punerea la dispoziţia publicului larg a 5G se va desfășura în toată UE până în 2021, probabil mai devreme. Ori faţă de 4G, 5G mărește de 30 de ori rapiditatea tranzitului și a recepţiei datelor. Viteza impresionantă la care se va ajunge le va permite smarphone-urilor, în multe zone ale Europei, să devină chiar mult mai rapide în folosirea resurselor digitale decât laptop-urile legate la fibră, în zone care nu au fibră optică de mare viteză. Modul în care serviciile secrete și armata SUA au fost victimele directe ale folosirii unei aplicaţii de sport(!), sau ce poate să dăruiască competitorilor simpla prezenţă a unui smartphone în cadrul unei reuniuni strategice și mai multe despre această tematică veţi regăsi în textele lui Nicola Sotira și Giancarlo Butti. Cât despre faptul că securitatea digitală a ajuns să înglobeze securitatea noastră fizică și implică toate sectoarele și toate momentele din vieţile noastre, veţi găsi multe puncte, pentru a avea o panoramă la 360°, în rezumatul prezentărilor ţinute în cadrul congresului «Cybersecurity-Switzerland». De azi, mai mult ca niciodată, e-viaţa, m-viaţa, și viaţa pur și simplu a fiecărui om sunt la un nivel de risc care el însuși trebuie să fie delimitat prin setări și folosiri sau nu a anumitor unelte sau aplicaţii...
1
- Cybersecurity Trends
2
Authorities
Dragi cititori, Autor: Marco Obiso Cybersecurity Coordinator, International Telecommunication Union, Geneva
D
acă în 2017 atacurile cibernetice complexe, la scară globală și știrile false dădeau titlurile din media principală aproape în fiecare săptămână, anul acesta se pare că pornim de la un nivel încă și mai ridicat, datorită descoperirii unor vulnerabilităţi la nivelul celei mai vitale componentă a dispozitivelor noastre: procesorul însuși. Prin urmare, mai mult ca niciodată, creșterea conștientizării, educaţia și dezvoltarea de capacităţi în domeniul securităţii cibernetice, rezilienţa și apărarea sunt cheia pentru o viaţă digitală mai bună, mai sigură și mai plăcută. ITU își continuă eforturile în toate domeniile, prin implicarea membrilor săi precum și prin promovarea unor parteneriate eficiente în acest domeniu. În numărul curent al revistei, veţi găsi un exemplu de realizări proactive și pozitive, în domeniul partajării de informaţii despre ameninţări și soluţii între actori din toate sectoarele implicate: specialiști din domeniul public și privat, dar și utilizatori din aceste domenii. Salutăm multiplicarea și adaptarea, de către Swiss Webacademy și partenerii săi a conceptului de platformă de dialog pentru Europa Centrală, dezvoltată în Sibiu, începând din 2013. Nașterea platformei anuale de dialog dedicată Europei de Vest (în Porrentruy, Jura, aka „Cybersecurity-Elveţia”) și, desfășurarea în luna mai a evenimentului care va avea loc în Noto (Sicilia), focalizat pe ecosistemul mediteranean sunt evenimente foarte necesare care să se adauge celor existente. Mai presus de toate, multe congrese, conferinţe și întâlniri se încheie odată cu panelul final, după ultima prezentare. Cybersecurity-Elveţia continuă prin livrarea, în 4 limbi, a peste 40 de pagini de white paper, permiţând tuturor să ia contact cu substanţa de bază a prezentărilor tuturor speaker-ilor prezenţi, furnizând teme de gândire și multe idei care să fie dezvoltate ulterior, deoarece evenimentul, sprijinit de ITU, ia în considerare multe elemente importante de securitate cu impact asupra sau provenind din lumea digitală. Cu o zi înainte de conferinţa de la Sibiu, precum și a evenimentului de la Porrentruy, Swiss Webacademy, susţinută de departamente specializate din Poliţia Română și Elveţiană, acestea au stabilit un nou record european și elveţian în privinţa numărului de copii și adolescenţi care au fost conștientizaţi de pericolele care îi înconjoară în lumea virtuală precum și asupra celor mai bune și mai ușoare precauţii pe care trebuie să le ia. Prin urmare, ITU a decis să se alăture și să co-organizeze o zi de conștientizare care să fie oferită de Swiss Webacademy copiilor sicilieni și adolescenţilor din Noto, în 9 mai, în parteneriat cu prestigioasa Poliţie Italiană Naţională de Comunicaţii și cu Departamentul Cyber al Centrului Global de Securitate Cyber (înfiinţat de Poșta Italiană). Educaţia și cultura de securitate cibernetică, într-o lume în care noi, oamenii, suntem cea mai slabă verigă în linia digitală de apărare, sunt obligatorii. Avem datoria sa lucrăm împreună în acest domeniu pentru a oferi tinerilor informaţiile necesare pentru a evita principalele capcane și pericole.
3
ends Authorities - Cybersecurity Tr
Criminalitatea informatică, noul business al secolului al XXI -lea Autor: Adela ALBU, Cyberint
În anul 2017 numărul de utilizatori ai rețelei Internet a ajuns la 3,8 miliarde reprezentând 51% din populația globului1. Trăim așadar azi într-o societate în care totul se derulează online, cu foarte mare rapiditate şi se măsoară în biţi. Această dependenţă a oamenilor de noile tehnologii a generat, odată cu multiple beneficii, şi o serie de riscuri în planul siguranţei viеţii cotidiеnе, concretizându-se adesea în prejudicii fie la adresa persoanelor fizice, direct, fie la adresa statului, indirect, prin instituţiile sale.
Pe acest fond, criminalitatea informatică a evoluat, ajungând la varianta crime-as-a-service, un concept care defineşte tendinţa agresorilor cibernetici de a dezvolta pachete de servicii şi instrumente sofisticate pe care ulterior le pun spre vânzare sau închiriere către alţi infractori care nu au abilităţi tehnice şi care pot astfel, doar prin achiziţionarea kit-ului, să deruleze foarte uşor un atac cibernetic. Moneda de schimb în cazul acestor servicii este cel mai adesea una virtuală. Modelul crime-as-a-service a devenit foarte popular în rândul comunităţilor de hackeri şi a contribuit şi mai mult la expansiunea criminalităţii informatice. Practic, orice persoană fără cunoştinţe tehnice, cu acces la resurse financiare minimale, poate derula cu uşurinţă un atac. Criminalii cibernetici au la îndemnă tot mai multe posibilităţi care le uşurează eforturile în derularea unui atac. Criminalitatea informatică este foarte ofertantă pentru adepţi, întrucât, spre deosebire de tipurile clasice de infracţiuni, aceasta este foarte greu de probat și promite profituri uriașe în timp record. Totodată făptuitorii nu trebuie să dispună de mari resurse financiare pentru a acţiona, fiindu-le în același timp protejată integritatea fizică întrucât ei nu trebuie să fie prezenţi la locul faptei, ca în cazul infracţiunilor de tip clasic.
4
Pe fondul crizei economice, a lipsei locurilor de muncă pentru tinerii absolvenţi, coroborat cu avantajele menţionate anterior, fenomenul a luat amploare în ultimii ani, fiind o meserie foarte atractivă în special pentru cei dornici să obţină câștiguri facile în timp scurt. Infractorii informatici sunt motivaţi de o serie de interese personale, aceștia urmărind să obţină cel mai adesea un profit material, sau, mai rar, caută să obţină notorietate sau recunoașterea ca buni programatori. Viteza cu care se pot realiza astfel de atacuri, anonimitatea pe care o oferă spaţiul cibernetic, cât și ușurinţa cu care aceștia își pot anonimiza conexiunile de internet prin intermediul diferitelor programe specializate îngreunează activitatea instituţiilor abilitate în prevenirea și combaterea acestui tip de criminalitate. Concomitent cu aceste caracteristici ale spaţiului virtual, se remarcă o lipsă de cultură de securitate cibernetică în rândul populaţiei, fapt care determină de multe ori ca multe persoane să cadă pradă ingineriei sociale, campaniilor de phishing ș.a. Prin urmare, persoanele fizice sunt cele mai expuse atacurilor cibernetice criminale, în contextul în care
acestea stochează şi prelucrează date personale şi utilizează diferite platforme de socializare online unde îşi expun o serie de date personale, fiind potenţiale victime ale unor acţiuni de exfiltrare a datelor cu caracter personal în scopul utilizării acestora pentru derularea unor atacuri. Principalele riscuri pentru acestea rămân însă furtul datelor de identitate, faptul că pot fi victimele unor înşelăciuni derulate în mediul online sau că se pot confrunta cu furtul de bani din conturile bancare. Cu toate acestea, atacurile derulate de grupările criminale nu vizează însă numai persoanele fizice, ci și companiile private și instituţiile statului, mai ales în contextul în care grupările de criminalitate informatică s-au specializat tot mai mult, fiind implicate în agresiuni cu un înalt nivel de expertiză. În cazul unei infectări cu un malware, agresorii pot avea acces la sute de alte calculatoare, pagubele putând fi însemnate. Criminalitatea informatică este o afacere în continuă dezvoltare derulată de indivizii care sustrag anual milioane de euro. Indiferent de cât de sofisticate sunt metodele folosite, acest fenomen presupune tranzacţionarea unor sume mari de bani, însă cu cât sunt mai sofisticate metodele folosite, cu atât infractorii sunt mai bine organizaţi, iar grupul este mai greu de penetrat. Potrivit unui studiu publicat de compania Cybersecurity Ventures – „2017 Cybercrime Report”, criminalitatea informatică va produce economiei globale anual costuri de aproximativ 6 trilioane de dolari, până în anul 2021, înregistrând o creștere considerabilă având în vedere
Criminalitatea informatică va produce economiei globale anual costuri de aproximativ 6 trilioane de dolari până în anul 2021, înregistrând o creștere considerabilă. valoarea de 3 trilioane de dolari estimată în anul 2015. În același timp, potrivit estimărilor companiei Cybersecurity Ventures, la nivel mondial cheltuielile pe produse și servicii de securitate cibernetică vor depăși 1 trilion de dolari, cumulativ, până în 20212. În tot acest timp, infractorii se specializează, existând numeroase pagini web dedicate ce conţin instrucţiuni foarte elaborate de pregătire pentru a putea deveni hacker, accesibile de altfel oricui. Așadar, dacă ne uităm la evoluţia fenomenului, până în anul 2000, cazurile legate de atacurile de tip informatic aveau cu preponderenţă în spate adolescenţi dornici să devină cunoscuţi prin faptele lor, dar nu urmăreau obţinerea unor avantaje materiale în mod special. În prezent, lucrurile s-au schimbat foarte mult. În ultimii ani s-a constatat o profesionalizare a infractorilor, odată cu creșterea nivelului tehnologic. Grupările de criminalitate informatică deţin cunoștinţele și capabilităţile necesare de a susţine derularea de infracţiuni informatice pe scară largă. Aceștia și-au diversificat metodele și mijloacele prin intermediul cărora derulează atacuri cibernetice. Având în vedere acest context, este evident cum infracţiunile tradiţionale au pierdut uşor lupta cu marea diversitate de obiective și caracteristicile specifice oferite de spaţiul cibernetic - anonimitate, rapiditate, facilitatea cu care se pot obţine câştiguri, costurile reduse. Criminalitatea informatică nu cunoaşte frontiere, în general nu este ţintită, singura motivaţie a agresorilor fiind cea financiară. De aceea și combaterea fenomenului criminalităţii informatice presupune
5
ends Authorities - Cybersecurity Tr acţiuni complexe, coordonate şi de amploare la nivelul internaţional. Criminalitatеa informatică acopеră o gamă largă dе faptе, iar în litеratura dе spеcialitatе anglo-saxonă еxistă două concеptе carе sunt utilizate pentru astfel de activităţi: cybеr-dеpеndеnt crimе (infracţiuni informaticе ce pot fi derulate numai în mеdiul onlinе precum activităţi dе crеarе şi gеstionarе dе reţele de boţi, de aplicaţii maliţioase) şi cybеr-еnablеd crimе (infracţiuni informaticе potеnţatе dе mеdiul onlinе, precum carding, skimming, fraude prin intermediul platformelor de comerţ electronic)3. Principalеlе formе dе manifеstarе alе criminalităţii informaticе sunt atacurilе informaticе, fraudеlе on-linе şi cu cărţi dе crеdit, dar şi pornografia infantilă. În evoluţia fenomenului un rol foarte important l-au jucat și forumurile de criminalitate informatică platforme online dedicate care să asigure relaţionarea şi schimbul de date, în condiţii de anonimitate, pentru agresorii cibernetici4. Acestea au stat la baza apariţiei conceptului de crime-as-a-service.
Cele mai multe astfel de forumuri sunt organizate pe model ierarhic, accesul fiind în baza unor criterii (fie că este vorba de achitarea unei taxe, de o recomandare sau în baza reputaţiei). De asemenea, membrii sunt împărţiti în diferite categorii ţinând cont de vechimea şi expertiza acestora sau de notorietate. În cadrul forumurilor de criminalitate informatică agresorii cibernetici fac schimb de expertiză, cumpără sau vând instrumente, malware și alte instrumente necesare pentru derularea de atacuri cibernetice. În ultimii ani atacurile cu ransomware au cunoscut un trend ascendent, acestea fiind derulate de grupări de criminalitate cibernetică care deţin capabilitatea de a distribui malware către milioane de calculatoare concomitent. Odată infectate, datele aflate pe calculatoarele victimelor sunt criptate în totalitate printr-un algoritm puternic, fiind imposibil de decriptat.
6
Îndepărtarea fişierelor maliţioase de pe o staţie infectată nu conduce la remedierea pagubelor, fişierele de pe aceasta rămânând inaccesibile. Dacă victima nu are implementate măsuri de back-up, există riscul ca nici după plata recompensei, care este cel mai adesea solicitată în Bitcoin, să nu îşi poată recupera datele. Evoluţia rapidă a atacurilor de tip ransomware este explicată prin adoptarea modelului ransomware-as-a-service prin care criminali cibernetici cu foarte puţine cunoștinţe tehnice pot prelua instrumente și servicii create de către dezvoltatorii de malware pentru a derula atacuri cu ransomware5. Dezvoltatorii de ransomware publică codurile aplicaţiei pe site-uri dedicate de unde agresorii criminali pot apoi achiziţiona cu ușurinţă malware-ul. Multe kit-uri de ransomware sunt disponibile și gratis, însă în momentul în care este plătită recompensa, plata este făcută direct către dezvoltator care, ulterior, redirecţionează o parte din bani către infractorii care au achiziţionat pachetul. Spre exemplu, ransomware-ul Cerber a fost unul dintre cele mai răspândite pachete de ransomware-as-a-service. Acesta a generat 2,3 milioane de dolari venit anul pentru agresorii cibernetici6. Ransomware-ul este ușor de folosit și ieftin de achiziţionat. Tocmai de aceea a înregistrat o creștere a popularităţii. Potrivit raportului anual publicat de către compania SonicWall, atacurile cu ransomware au crescut de la 167 de milioane în 2015, la 638 de milioane în 20167. Cele mai noi aplicaţii de tip ransomware încorporează metode inovative de eludare a sistemelor de protecţie antivirus, crescând posibilitatea ca acestea să nu fie detectate sau eliminate la timp. De asemenea, ultimele variante de ransomware includ şi alte funcţionalităţi de bază care, pe lângă criptarea fişierelor, pot să fure şi date bancare sau date personale ale victimei. Cel mai des utilizat vector de infecţie îl reprezintă răspândirea de ransomware prin ample campanii de spam către milioane de adrese de email (spre exemplu TeslaCrypt, Locky). Spam-ul folosit pentru distribuirea de malware este caracterizat de faptul că pretinde că reprezintă un mesaj important din partea unei instituţii cunoscute (spre exemplu facturi privind diverse bunuri sau servicii). Protejarea împotriva unor astfel de vectori de infecţie poate fi realizată prin adoptarea unor soluţii complementare precum educarea utilizatorilor, adoptarea unor soluţii de bune practici, precum și adoptarea unor servicii de scanare a email-urilor. De asemenea, o altă modalitate de infecţie este reprezentată de utilizarea «exploit kit-urilor», instalate în cadrul aplicaţiilor web cu rolul de a infecta victimele doar prin simpla vizitare a unei pagini web (spre exemplu exploit kit-ul Neutrino a permis distribuirea de Locky). Această tehnică este facilitată de existenţa unor vulnerabilităţi în aplicaţiile instalate pe calculatoarele victimelor (ex. versiuni vechi ale Adobe Flash Player). În general, exploit kit-urile sunt instalate pe servere, atacatorul urmărind să redirecteze victimele către acestea prin intermediul unor link-uri trimise în email sau prin redirectarea traficului web cu ajutorul serviciilor comerciale. Un alt fenomen ce a luat amploare este expansiunea dispozitivelor inteligente conectate la Internet (Internet of Things / IoT), ceea ce a făcut
ca și atacatorii să se îndrepte către zona aceasta pentru a dezvolta noi aplicaţii malware capabile să deruleze atacuri de tip DDoS, prin utilizarea unor dispozitive IoT vulnerabile. Totodată, aceste dispozitive pot fi folosite și pentru exfiltrarea unor informaţii confidenţiale existente la nivelul acestora. Pe fondul popularităţii IoT, atacurile de tip DDoS sunt în creștere. Cu toate acestea, cea mai noua reţea de boţi creată pe platformă IoT, Hide ‘n Seek, descoperită de către compania Bitdefender la începutul acestui an, prezintă un nivel de complexitate mare și un număr crescut de capabilităţi, precum furtul de date care pot fi folosite pentru spionaj, în comparaţie cu iniţiativele anterioare venite din partea grupărilor de criminalitate informatică.
Botnetul este de tip peer-to-peer și la data de 26 ianuarie a.c. controla un număr de 32.312 de sisteme IoT, distribuite la nivel mondial. Botnetul are mai multe funcţionalităţi, precum exfiltrarea de date, execuţia de cod și interferenţa cu activităţile derulate de device-uri8. Aplicaţia maliţioasă prin intermediul căreia a fost creată reţeaua de boţi se răspândește cu rapiditate și este optimizată în mod continuu. Potrivit celor de la Bitdefender, acesta are capabilităţi de răspândire asemănătoare unui vierme, în contextul testării automate a unor adrese IP întâmplătoare, pentru identificarea de noi victime. În România, evoluţia fenomenului criminalităţii cibernetice a determinat ca la nivel naţional să fie iniţiat un proces activ de consolidare a securităţii cibernetice - din punct de vedere legal, instituţional și procedural fiind întreprinse eforturi susţinute în acest sens de către autorităţile cu responsabilităţi în domeniu, prin care se vizează, în principal, diminuarea vulnerabilităţilor în faţa atacurilor9. Reglementările legislative existente și gradul de operaţionalizare al acestora la nivelul majorităţii instituţiilor publice din România nu permit, în prezent, prevenirea și contracararea eficientă a agresiunilor cibernetice de nivel ridicat. Întrucât cadrul legislativ actual nu defineşte obligaţii pentru deţinătorii de infrastructuri cibernetice în scopul protejării acestora, mare parte dintre instituţiile la care au fost identificate şi semnalate vulnerabilităţi informatice au avut, în detrimentul unei abordări preventive, o atitudine reactivă, dispunând măsuri ulterior producerii şi identificării atacurilor cibernetice10. În ultimii 50 de ani au fost adoptate numeroase soluţii în toate ţările care să răspundă problemelor legate de securitatea internetului, singurul
lucru care a rămas constant a fost însă dezvoltarea continuă a tehnologiei. Aceste tendinţe impun la nivelul întregii societăţi o nevoie permanentă de perfecţionare şi adaptare a strategiilor şi tacticilor necesare reacţiei la atac cibernetic, într-un ritm alert.
Bibliografie Legea nr. 286/2009 privind Codul Penal, publicată în Monitorul Oficial nr.510 din 24.07.2009, cu modificările și completările ulterioare; Legea nr. 64/2004 pentru ratificarea Convenţiei Consiliului European din data de 23.11.2001 privind criminalitatea informatică, Budapesta, publicată în Monitorul Oficial nr.343 din 20.04.2004; Comprehensive Study on Cybercrime, United Nations Ofifice on Drugs and Crime Vienna, Editura United Nations, New York 2013; Cyber Security Maturity Model, Global Cyber Security Capacity Center, University of Oxford; Derek S, Reveron, Cyberspace and National Security. Threats, Opportunities and Power in a Virtual World, Georgetown University Press, Washington DC, 2012; McAfee North America, Criminology Report, Organized crime and the Interne, 2007; Mirela, Gorunescu, Maxim, Dobrinoiu, Infracţiuni prevăzute în legi speciale – Infracţiunile din domeniul informatic, Editura C.H.Beck, Bucuresti, 2013; labs.bitdefender.com; http://www.bbc.com; https://blog.sonicwall.com; https://blog.barkly.com; https://www.cisco.com; https://cybersecurityventures.com; https://www.csoonline.com; https://www.gov.uk; http://intelligence.sri.ro; https://krebsonsecurity.com; https://www.stickman.com.au; https://securityintelligence.com.
1 https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics. html, accesat la data de 31.01.2018 2 https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report. pdf, accesat la data de 30.01.2018 3 https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/248621/horr75chap2.pdf, accesat la data de 30.01.2018; 4 http://www.bbc.com/news/technology-40671091, accesat la 28.01.2018; 5 https://securityintelligence.com/whats-behind-the-rising-tide-of-ransomware/, accesat la data de 31.01.2018 6 https://blog.barkly.com/how-ransomware-as-a-service-works, accesat la data de 31.01.2018 7 https://blog.sonicwall.com/2017/02/sonicwall-threat-report-reveals-cybersecurity-arms-race/, accesat la data de 31.01.2018 8 labs.bitdefender.com/2018/01/new-hide-n-seek-iot-botnet-using-custom-built-peer-to-peercommunication-spotted-in-the-wild/ accesat la data de 01.02.2018 9 Adela Albu, http://intelligence.sri.ro/legile-pamantesti-ale-lumii-virtuale/, accesat la data 01.02.2018 10 Ibidem
7
ends Authorities - Cybersecurity Tr
Evoluţia ameninţărilor malware în anul 2017 Malwareul rămâne în continuare una dintre cele mai importante amenințări cibernetice și care înregistrează o permanentă evoluție ascendentă în ceea ce privește nivelul de sofisticare tehnologică, complexitate și diversitate, după cum reiese și din graficul de mai jos.
Autor: Cătălin Pătraşcu
Anul 2017 a adus câteva evoluţii și tendinţe interesante ale acestei ameninţări, unele dintre acestea regăsindu-se în rândurile următoare.
Fileless Malware Atacatorii preferă tot mai mult utilizarea de malware care nu lasă urmă pe discurile de stocare ale sistemelor infectate. Acest tip de malware este dificil de investigat prin metodologiile și cu uneltele clasice. Practic, malware-ul rezidă doar în memoria RAM, componentele acestuia devenind astfel foarte volatile. Pentru contracararea acestui tip de malware organizaţiile au nevoie de unelte și proceduri adecvate, care să permită monitorizarea infrastructurii IT în timp real, detecţia rapidă a anomaliilor și acţionarea în timp real pentru prevenirea, stoparea sau ameliorarea incidentelor. Pe scurt, câmpul de luptă dintre atacatori și cei care protejează infrastructurile IT migrează în memoria volatilă (RAM), punând astfel presiune pe organizaţii și
BIO Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.
8
Evoluţia numărului de noi versiuni de malware în ultimii ani (Sursa: McAfee Labs Threat Report, December 2017) producătorii de tehnologie să investească în găsirea unor soluţii adecvate de contracarare și investigare (Memory Forensics) a acestor ameninţări.
Living of The Land Tot mai multe atacuri utilizează malware rezultat prin combinarea unor unelte software pre-instalate în sistemele ţintă, precum: PowerShell, PSExec, WMI etc. Astfel, atacurile devin mai greu de detectat deoarece respectivele unelte sunt destinate în mod normal pentru derularea unor activităţi legitime de administrare a sistemelor informatice. Campania NotPetya din vara anului 2017 este un exemplu relevant în acest sens. Utilizarea uneltelor preinstalate reprezintă de fapt o tehnică de evitare a detecţiei de către diferite produse antivirus/antimalware, având în vedere că de cele mai multe ori uneltele preinstalate se află într-un soi de „whitelist” (listă de încredere). Spre exemplu, s-au înregistrat cazuri în care atacatorii au reușit să pătrundă de la distanţă în anumite sisteme Windows sau Linux și au criptat manual datele de pe respectivele sisteme, utilizând uneltele disponibile sau unelte legitime instalate ulterior (PGP, VeraCrypt, TrueCrypt, BitLocker etc.).
exemplu. În unele cazuri era suficientă simpla vizitare a site-ului pentru ca un cod maliţios (exploit) să încerce să ruleze în browser și să exploateze astfel sistemul.
Malware pentru MAC
Evoluţia numărului de versiuni de malware pentru MAC în ultimii ani (Sursa: McAfee Labs Threat Report, December 2017)
Contrar percepţiei generale conform căreia sistemele de operare de tip Linux/Unix nu sunt afectate de malware, în ultimii ani au fost identificate din ce în ce mai multe variante de malware special create pentru MAC OS X. Mai mult, în anul 2017 rapoartele arată aproape o dublare a acestui tip de malware, ceea ce arată o tendinţă evidentă a atacatorilor de a ţinti și aceste sisteme, mai ales în contextul în care și cota de piaţă a acestor sisteme este în continuă creștere.
Supply Chain Attacks Click Less Malware Datorită creșterii eforturilor în direcţia conștientizării riscurilor cibernetice în rândul utilizatorilor, atacatorii încep să se orienteze către mecanisme de infectare a sistemelor informatice fără a fi nevoie de vreo acţiune din partea utilizatorilor. Astfel, au fost identificate tot mai multe cazuri de infecţii datorate simplei vizitări a unui site web, sau prin răspândirea automată în reţea (capabilităţi de tip „worm”). Campania WannaCry este un exemplu relevant de malware care nu presupune vreo acţiune din partea utilizatorilor pentru răspândire. În ultimii ani au fost identificate destule campanii ransomware care se răspândeau prin intermediul unor reclame web inserate în cadrul unor siteuri web care se bucură de popularitate crescută, precum cele de știri spre
Atacatorii au observat că uneori, în vederea atacării unor ţinte anume sau a cât mai multor utilizatori și companii, este mult mai eficient să se compromită anumite mecanisme de producţie, aprovizionare sau distribuire de hardware și software. Spre exemplu, inserarea de malware într-o unealtă software utilizată la scară largă este o metodă foarte eficientă de infectare în masă. Unul dintre cele mai relevante cazuri de anul trecut a fost compromiterea Cleaner. Alte campanii au vizat mecanismul de actualizare al unor unelte software (precum în cazul M.E.Doc ), sau malware la nivel de firmware (BIOS, UEFI).
9
Trends Central Folder - Cybersecurity
10
Partenerii din Belfort, participanţi în număr mare la Congres
Membrii Institutului de Înalte Studii de Apărare Naţională (IHEDN), Asociaţia Regională 10 și invitatul de onoare, Generalul de Armată (R) Marc Watin-Augouard Primul din stânga, Christian Arbez, este Directorul general al Camerei de Comerţ și Industrie din Belfort, iar primul din dreapta, Jean-Luc Habermacher, auditor al IHEDN, este Președinte fondator al Vallée de l’Énergie
11
Trends Central Folder - Cybersecurity Ziua 0: 6 decembrie 2017
Ziua prevenţiei pentru adolescenţi și adulţi
U
nul dintre principiile de bază ale congresului îl reprezintă organizarea pentru populaţia locală a unei zile de prevenţie gratuită împotriva pericolelor Internetului și a celor mai frecvente ameninţări. În prima parte a zilei au fost organizate două ședinţe de o oră și jumătate pentru 440 de elevi și 32 de profesori (adică 18 clase de elevi de liceu, un record în Elveţia!). Poliţia cantonului Jura, reprezentată prin ofiţerul Daniel Affolter, responsabil cu comunicarea și prevenţia, și prin inspectoarea Sylvie Allemann, responsabilă în IT la Poliţia judiciară, a contribuit cu o prezentare succintă a problematicii, urmată de o sesiune de întrebări și răspunsuri cu liceenii. Daniela Chrzanovski (Swiss Webacademy) a prezentat riscurile majore generate de Internet și a animat jocul-concurs cu premii oferite de UBS și UPC. Invitatul special, Pierre-Alain Dard, șef al Brigadei pentru minori a Poliţiei cantonului Geneva, a explicat situaţiile cu care se confruntă brigada, precum și legile în vigoare, ilustrându-le cu multe exemple concrete. Seara pentru adulţi și antreprenori a fost organizată în cadrul unei ședinţe de o oră și jumătate, urmată de 45 de minute de întrebări care au dovedit interesul crescut în astfel de chestiuni al celor 115 adulţi prezenţi (27 de antreprenori, 28 de administratori IT din sectorul public și 60 de cetăţeni). Au luat cuvântul: Pierre-Arnauld Fueg, primarul orașului Porrentruy, care, în cuvântul său de bun-venit, a subliniat cât de important este ca adulţii să fie la curent cu pericolele Internetului, pentru a putea constitui o societate solidară și rezistentă. Francisco Arenas, Manager Solution Business Sales în Elveţia franceză, UPC a insistat pe noul acord care va permite diferenţierea serviciilor prestate de furnizorii de Internet: securitatea cibernetică a consumatorului. Laurent Chrzanovski a vorbit despre chestiunile actuale, ameninţările și mijloacele de a le evita, pentru ca apoi să prezinte IMM-urilor incidentele majore din 2017 (cauze, efecte, concluzii desprinse). Ulterior, a evidenţiat un nou privilegiu pentru cetăţenii elveţieni și luxemburghezi, și anume acela de a se putea asigura împotriva riscurilor cibernetice la preţuri rezonabile, situaţie imposibilă pentru majoritatea vecinilor europeni.
12
Congresul: cuvânt de deschidere
Pierre-Arnauld Fueg
Congresul a fost deschis în mod oficial de către primarul orașului Porrentruy, domnul Pierre-Arnauld Fueg, al cărui discurs îl reproducem mai jos. «Doamnelor și domnilor, dragi gazde, în calitate de primar și în numele orașului Porrentruy, îmi face o deosebită plăcere să mă adresez vouă astăzi. Am impresia că trăim aici puţin din mitul care a dat naștere stemei orașului nostru, atestat de la începutul secolului al 13-lea prin stema oficială. Așa cum aţi putut citi și în broșura congresului, mistreţul, ilustrat într-un mod nostim pe materialele congresului și pe ecusonul pe care l-aţi primit, întruchipează o legendă legată strâns de conceptul de securitate. Potrivit acesteia, „a fost odată o fiară aparte care, fugind iute, putea să sară peste zidurile orașului, înalte de zece picioare, de parcă erau doar niște garduri neînsemnate. Acest mistreţ providenţial era văzut ca un mesager al spiritelor protectoare ale orașului, iar Consiliul Municipal a decis, în cadrul unei ceremonii solemne, ca animalul să devină pentru totdeauna emblema nobilei cetăţi a localităţii Porrentruy.” Acest episod i-a făcut pe Consilieri să înţeleagă că mai multe porţiuni ale incintei de fortificaţii erau prea joase pentru a putea rezista atacului unui inamic și au decis pe loc să întărească acele segmente. Autorităţile și Consilierii de astăzi sunt tot mai conștienţi că fortificaţia digitală a orașului, a administraţiei, a reţelei de energie și a protecţiei cetăţenilor noștri trebuie întărită în mod regulat. Avem așadar un apetit foarte mare pentru informaţiile despre tendinţele globale în domeniul
ameninţărilor care se schimbă de la o zi la alta, pentru a putea lua cele mai bune decizii, pentru a ne adapta standardele, pentru a întări măsurile luate deja în fiecare sector, pentru a deveni la fel de eficienţi în ceea ce privește capacitatea de rezistenţă pe cât am reușit să ajungem în privinţa gestionării utilizării surselor de energie. Astfel, în primele zile din mai, autorităţile din Porrentruy și Swiss Webacademy au început întocmirea dosarului necesar pentru crearea unei platforme macroregionale de dialog privind securitatea cibernetică pe care orașul să o găzduiască anual. În 3 iulie, Consiliul local a votat în favoarea iniţiativei, iar Primăria a devenit co-organizator al evenimentului, asigurând susţinerea logistică, umană și financiară. Pe parcursul verii, din cauza termenului foarte scurt până la începerea primei ediţii, organizatorii – printre care și eu – am numit-o „ediţia 0.0”. Astăzi, văzând participanţii care ni s-au alăturat, talentul lor și funcţiile pe care le ocupă, „minţilor 0.0” ale organizatorilor le e greu să conceapă că ceea ce se întâmplă este aievea. Primăria Porrentruy este onorată de prezenţa lor. Recunoștinţa noastră, în calitate de autoritate locală, se îndreaptă și spre decidenţii IMM-urilor și întreprinderilor din Cantonul Jura și din Franţa care au acceptat să participe la această premieră. De asemenea, suntem profund recunoscători Uniunii Internaţionale a Telecomunicaţiilor, sub egida căreia se desfășoară evenimentul, dar și prestigioaselor instituţii din Italia, Franţa și Elveţia care i-au oferit parteneriatul și susţinerea. Însă dincolo de această mândrie întemeiată, am început deja să lucrăm pentru coordonarea participanţilor care vor constitui publicul următoarei ediţii cu standardul incredibil de ridicat al gazdelor prezente la această premieră. Pentru reușita acestui congres, dar și pentru mizele următoarelor, am dori să subliniem implicarea constantă a doamnei Daniela Chrzanovski și a întregii sale echipe de la Swiss Webacademy, precum și a doamnei Jasmine Greppin, de la Eureca Venture. Dumnealor au lucrat cot la cot, zilnic, cu echipa Primăriei, formată din doamnele Magali Voillat și Anaïs Cuenat. Le adresăm tuturor sincere mulţumiri. În fiecare zi, responsabilul de eveniment, Laurent Chrzanovski, împreună cu Jean-Jacques Wagner și Luca Tenzi, și-au pus la dispoziţie toate cunoștinţele; reţelele lor internaţionale s-au adăugat celei pe care o avea Primăria, culminând astfel cu un rezultat impresionant: Porrentruy găzduiește astăzi vorbitori din opt ţări și din șapte organizaţii internaţionale, acoperind problematica securităţii sub toate aspectele sale majore. Municipalitatea speră ca atât congresul cât și farmecul orașului nostru să vă inspire, alături de cunoștinţele, întâlnirile și impresiile personale care vă vor însoţi în aceste două zile. Nu ne rămâne decât să vă urăm un călduros „Bine aţi venit”, iar, împreună cu întreaga echipă care vă stă la dispoziţie, să vă dorim un congres reușit și ședere plăcută la noi în oraș.»
13
Trends Central Folder - Cybersecurity ZIUA 1: 7 decembrie 2017 În prezentarea sa, „Cuvântul CEOului: A fi agil și a putea schimba propria viziune în ceea ce privește securitatea cibernetică”, Xavier van NUVEL, CEO și fondator al Digital Solutions și al OpenOnline (Elveţia) și-a împărtășit viziunea despre inovaţie și despre rezistenţa unei întreprinderi graţie factorului uman și a capacităţii – sau incapacităţii – sale de a se adapta la un mediu și la niște ameninţări în continuă schimbare. Graţie celor trei cuvinte coordonatoare COOPERAREINOVARE-ANTICIPARE, speaker-ul a evidenţiat vectorii care ţin de agilitatea raţională (pedagogie, proactivitate, sincronizare colegială) și cei care depind de agilitatea emoţională (empatie, înţelegerea situaţiei, „rebeliune constructivă”).
Într-o lume din ce în ce mai structurată pe datele transmise sau schimbate (data), oricare ar fi mijloacele tehnologice utilizate, administratorului și CISO-ului le revine sarcina de a sprijini colaboratorii întreprinderii în dezvoltarea agilităţii, în sincronizarea acţiunilor lor, prin o mai bună interacţiune cu scopul elaborării unor idei utile grupului, inclusiv în ceea ce privește natura emoţională a fiecăruia. Cu formarea adecvată și responsabilizarea fiecărui colaborator, rezultatele pentru întreprindere – în domeniul dezvoltării afacerii, al identificării și formulării unui răspuns la atacuri – pot fi sporite prin exploatarea resurselor umane aflate deja la dispoziţie, înainte de a recurge la terţi pentru anumite nevoi punctuale. Primul speaker, Col. Marc-André RYTER (colaborator în instrucţie în cadrul statului-major al Armatei Elveţiene), a tranșat mizele și ameninţările transformării digitale a „armatei 4.0”, văzute în ansamblu, apoi, în particular, în cazul Elveţiei, ţinând cont de situaţia geopolitică, strategică și de mijloacele puse la dispoziţie.
14
Forţa discursului, acompaniat de proiectarea unor imagini alese cu atenţie, a evidenţiat dificultatea procesului extrem de lung, pentru decidenţii din armată, de a alege un element conectat, de la o simplă cască de soldat până la un vehicul semiblindat sau o dronă. Într-adevăr, datele reale în momentul efectuării analizei preliminare (resurse financiare, mediu, demografie și tehnologie) sunt cele care, prin filtrul doctrinei și al analizei capacităţilor necesare, vor determina elaborarea unor concepte de bază care apoi se vor concretiza într-un caiet de sarcini (sau masterplan) care să implice toate măsurile de dezvoltare umane și tehnice pentru lansarea achiziţiei și pentru adaptarea tuturor elementelor conectate ale armelor și echipamentelor de ultimă generaţie. Prezentarea a demonstrat perfect dificultatea și adevărata revoluţie a modului de gândire care permite evaluarea armelor cu un grad mare de conectivitate în raport cu raţionamentul care, până acum un deceniu, determina achiziţii de bunuri militare mai „convenţionale”. Ecuaţia finală se dovedește a fi dificilă, întrucât lumea „4.0” deschide o gamă largă de perspective pozitive (utilizarea eficientă a resurselor disponibile înaintea, în timpul și după acţiune), însă fiecare perspectivă este însoţită de tot atâtea riscuri majore legate de vulnerabilitatea și capacitatea maximală a fiecărui modul interactiv.
Prezentarea a fost atât de bogată în informaţii încât comprimarea acesteia într-un rezumat sintetic este imposibilă, însă autorul furnizează o mare parte din descoperirile cercetării sale într-un articol publicat în nr. 1/2017 al Military Power Revue of the Swiss Armed Forces (pp. 50-62), pe care vă invităm să îl descărcaţi1. Într-un discurs care a venit ca mănușă în completarea prezentării Colonelului Ryter, a fost rândul lui Julien Provenzano (CEO al start-up-ului Pré-Ka-Ré) să prezinte pe scurt auditoriului
prototipul de mănușă de infanterie pe care societatea sa îl dezvoltă, cu scopul de a ajuta soldaţii să efectueze „ordine manuale îndeplinite de mănușa electronică”. După o prezentare a avantajelor acestui echipament și o analiză SWOT a mănușii propriu-zise, ale cărei mize majore nu sunt reprezentate de producţia sa, ci mai degrabă mărimea și consumul microcontroller-ului integrat, autorul a detaliat în mod exhaustiv riscurile și problematicile (ameninţările) ridicate
de un astfel de obiect dacă ar cădea în mâinile inamicului – fie prin transformarea sa într-un obiect indisponibil, fie prin emiterea de date eronate. Publicul a putut astfel să constate, concret, nu doar utilitatea incontestabilă a unui asemenea obiect, ci și multitudinea de parametri de definit și de perfecţionat pentru rezolvarea ecuaţiei securizării unui număr imens de detalii care pot deveni puncte vulnerabile, precum și măsurile necesare a fi elaborate, testate și aplicate pentru ca mănușa să îndeplinească imperativele și exigenţele implacabile ale destinatarului său. Prin intermediul detaliilor furnizate de autor, acest exemplu a captat atenţia fiecărui participant vizavi de complexitatea și de multiplele vulnerabilităţi ale oricărui obiect conectat „civil” sau „industrial”, unde exigenţele de securitate sunt mult mai scăzute, sau chiar inexistente. Completând perfect secţiunea „armată & cibernetică”, speech-ul lui Alexandre Vautravers (Responsabil cu Programul de Securitate Globală la Global Studies Institute al Universităţii din Geneva și Redactor al Revistei Militare Elveţiene) a fost axat pe complexitatea conceptului războaielor de astăzi, purtate atât pe teren digital, non-militar (alunecare de sens între „soft power și smart power”), cât și pe teren real, împreună cu toată plaja de războaie hibride. Dimeniunile războiului de astăzi au fost prezentate în amănunţime: populaţia și economia, acţiunile CIMIC (cooperări între civili și militari), operaţiunile tactice și, în fine, toate acţiunile strategice și operaţionale.
Analizând sistemul elveţian, așa cum a fost acesta validat în 2016, autorul a demonstrat clar că nicio armată nu mai este capabilă să rezolve singură conflictele de azi dacă nu are și sprijinul unei arhitecturi instituţionale și private care să acopere aproape toate domeniile „law enforcement-ului”, colaborări public-private active, precum și coordonări regulate cu aleșii și cu lumea politică. Implementată în mod progresiv, aceasta arhitectură care înglobează o multitudine de stakeholderi și care are ca punct central dimensiunea cibernetică, cu repercusiuni asupra tuturor
formelor tradiţionale de securitate, se prezintă foarte complexă la prima vedere, însă începe să își dovedească eficienţa și să se confirme ca singură soluţie viabilă pentru un stat neutru și federal, cu vocaţie consensuală2. Prezentarea lui Marc German (diplomat de întreprindere și expert în criminalitate cibernetică) a făcut trecerea între lumea militară, securizată „din datorie” și cea de afaceri, explicând că inteligenţa concurenţială și securitatea cibernetică se completează una pe alta și constituie două feţe ale aceleiași monede, perenitatea întreprinderii.
15
Trends Central Folder - Cybersecurity Afirmaţiile sale, care încurajau adoptarea unei posturi defensive, dar și ofensive, au fost răspicate și au zugrăvit un mediu economic globalizat, în care organizaţiile se luptă pentru creșterea competitivităţii și optimizarea rentabilităţii, iar numeroși concurenţi nu urmează regulile. Pentru Marc German, „Inteligenţa competitivă reprezintă capacitatea de a deţine și exploata informaţie utilă pentru a crea valoare durabilă într-o întreprindere, prin implementarea unor acţiuni coordonate de cercetare, de analiză și de exploatare a informaţiei utilă decidenţilor. În alte cuvinte, inteligenţa competitivă constă în transformarea datelor în informaţii și a materiei brute în materie cenușie”.
Fără a incita la încălcarea cadrului legal prin comandarea unor „black-ops” împotriva competitorilor, acţiuni frecvente, din păcate, autorul insistă pe ideea că, pentru a supravieţui, a se dezvolta și a câștiga teren faţă de competitori, o întreprindere este nevoită să treacă la ofensivă, căutând să valorizeze informaţii care să-i confere un avantaj. Concomitent, aceasta trebuie să-și protejeze datele, metodele și know-how-ul proprii, dorite însă și de concurenţi3. A doua sesiune, dedicată mizelor generate de tehnologiile de top, a fost deschisă magistral prin keynote speechul lui Martin Lee (Director de Cercetări în Securitate la Cisco Talos, UK). Cercetătorul a trecut în revistă marile atacuri din 2017 și a găsit un numitor comun, adică punctul central al suprapunerii a patru fenomene cunoscute și în plină expansiune: evoluţia ransomware-urilor și a creșterea rentabilităţii acestora (atingând 34 de miliarde de dolari în venituri pe an), de unde și „democratizarea ameninţărilor”, virușii fără ţintă precisă, însă cu o putere de propagare pandemică (WannaCry, Goldeneye…). Al patrulea fenomen este fără îndoială cel mai grav și va avea o evoluţie lentă, întrucât este vorba despre alegerea întreprinderilor de a folosi instrumente permeabile, programate deficitar, vulnerabile și ușor atacabile și care, în plus, sunt folosite timp îndelungat cu nonșalanţă sau cu necunoașterea
16
faptului că aceste instrumente au fost atacate de luni sau chiar ani de zile. Printre concluzii, Martin Lee a insistat pe importanţa arhitecturii informatice a întreprinderilor, care ar trebui reluată și examinată punct cu punct, însă mai ales a regulilor minime de adoptat, propunând publicului o versiune sintetică și mai puţin aridă a celebrului „NIST framework”. Roland-Iosif Moraru (profesor și vice-rector la Universitatea din Petroșani, România) a pledat pentru dobândirea unei veritabile culturi a securităţii înainte de a se specializa în securizarea sistemelor proprii ale unuia din cele două mari sectoare ale economiei, întrucât exigenţele sunt aceleași, însă nu figurează în aceeași ordine pe lista de priorităţi. Pentru sectorul afacerilor, în „top 3” priorităţi se regăsesc confidenţialitatea, urmată de integritate și de disponibilitate, în timp ce, pentru sectorul industrial, disponibilitatea este pe primul loc și confidenţialitatea pe ultimul. Pentru a asigura această disponibilitate pentru client și pentru a evita atacurile, trebuie testate în permanenţă toate sistemele, trebuie prevăzute paliere de securitate și segmentat sistemul de control, trebuie întărite în mod regulat componentele sistemului și, în special, trebuie deţinute proceduri clare de implementat de către fiecare colaborator, din momentul în care este detectată o intruziune.
Securitatea persoanelor și a echipamentelor, vigilenţa constantă și rezilienţa bazată pe cunoașterea incidentelor sau atacurilor la care au fost supuse întreprinderi cu profil similar sunt cele trei axiome de bază fără de care, conform autorului,
nicio tehnologie nu va putea răspunde atacurilor, care devin tot mai eficiente, schimbătoare și evolutive. Christophe Réville (co-fondator al Summitului IE2S și specialist în inteligenţă strategică) a insistat asupra pericolului de a introduce, sub presiunea reseller-ilor, echipamente dotate cu funcţia „machine learning” fără a cunoaște toate detaliile în materie de securitate. Adesea prezentate directorilor ca un panaceu în termeni de eficienţă, de rentabilitate și de reducere a marjelor de eroare, aceste instrumente pot fi noua poartă de intrare pentru toate atacurile de anvergură. Folosind o metaforă simplă, speaker-ul a declarat că inteligenţa artificială „a trecut în ultimele luni de la o funcţionare raţională și logică, sau «emisferă cerebrală stângă», în care se desfășura de treizeci de ani – data mining, algoritmi liniari etc. – la o paradigmă care integrează viziunea globală și procesul intuitiv – foarte propriu «emisferei cerebrale stângi». O revoluţie haotică în care comportamentele induse ale mașinilor desenează fractali improbabili…”
A ilustrat cele prezentate cu un exemplu îngrijorător, cel al unui grup de calculatoare conectate care s-au debarasat de engleză (limba de comunicare între programatori și mașini), pentru a începe să creeze un limbaj unic, comprehensibil doar lor – până au fost scoase din priză. Reprezintă acestea începutul unei lupte între mașini care să se sustragă de la orice formă de control uman? Mizele unei astfel de posibilităţi au determinat 116 directori ale celor mai mari întreprinderi de robotică să adreseze o scrisoare deschisă Organizaţiei Naţiunilor Unite (în 20.08.2017), solicitând comunităţii mondiale să ia măsurile necesare înainte ca această luptă între inteligenţele artificiale să devină un real pericol mortal pentru om, în caz de utilizare armată. Christophe Madec (expert în ciber-securitate) și JeanGabriel Gautraud (BESSÉ Conseil) au explicat dificultăţile
întâmpinate de către managerii de risc în timpul întâlnirilor de lucru în diferite întreprinderi, indiferent de sectorul de activitate, din momentul în care abordează subiectul securităţii cibernetice. Într-adevăr, la bază, managerul de risc nu este un expert în securitate cibernetică și, chiar și atunci când are pregătire în domeniu, se confruntă, în cadrul întreprinderii, nu doar cu un CISO, ci cu un simplu manager IT, de unde și problema de a găsi un vocabular și un teren comun pentru a purta o discuţie constructivă. Din lipsa unei culturi digitale, întreprinderile – mai ales cele ale sectoarelor primare și secundare, însă și IMM-urile din toate sectoarele definesc riscul ca un fenomen ce aduce atingere mizelor lor strategice și nu infrastructurilor proprii, delegând astfel managerului de risc sarcini de verificare și de asigurare a ceea ce managementul consideră ca fiind „critic”4.
Astfel, impactul multiplu al unui atac cibernetic modern, perfect ilustrat de către speakeri, vizând atât canalul de producţie cât și filierele de vânzare sau de aprovizionare, generând prejudicii interne și externe, rămâne neînţeles de către patronat. În acest „șoc al culturilor”, fără responsabili pregătiţi sau infrastructuri securizate, o securizare adecvată devine imposibilă, creându-se o inegalitate de o amploare impresionantă între întreprinderi, în funcţie de mărimea lor, prezentată foarte corect de către autori. În Franţa, 95% dintre întreprinderile din CAC40 sunt asigurate împotriva riscurilor cibernetice, doar 3% dintre întreprinderile mijlocii și 2% din IMM-uri au ales o astfel de asigurare. Deschizând sesiunea printr-o prezentare a instrumentelor și a strategiilor de ultimă generaţie, Bénédict Matthey (Cyber Security Executive la Darktrace) a ilustrat cu secvenţe filmate în situaţii reale beneficiile majore pe care le pot aduce produsele în care Inteligenţa
17
Trends Central Folder - Cybersecurity
artificială este aplicată exclusiv în securitate cibernetică. În contextul existenţei unor cantităţi de date în creștere exponenţială și a unor angajaţi cu sarcini tot mai variate, este esenţial ca vigilenţa și expertiza umană să fie concentrate pe informaţii fundamentale și verificate și pe anomalii generate atât de comportamente umane cât și de sisteme a căror funcţionare este anormală, ceea ce poate constitui o simplă disfuncţie sau debutul unui atac în toată regula. În noua generaţie de bunuri de consum regăsim și automobilele, tema prezentării lui Yannick Harrel (șeful departamentului de strategie în cadrul grupului franco-german Technology & Strategy). Subiect al ultimei sale lucrări, Automobiles 3.05, tehnologia înglobată (embedded technology) a vehiculelor actuale ridică numeroase probleme de securitate cauzate de vulnerabilităţi native ale sistemelor și ale modurilor de comunicare alese – și compilate – de către constructor pentru un singur vehicul, ceea ce face ca automobilul de astăzi să nu mai fie doar produsul muncii constructorului (marca), ci și al giganţilor sectorului IT&C și al reseller-ilor acestora. Insistând pe faptul că breșele nu sunt întotdeauna datorate lipsei de atenţie sau refuzului producătorilor sau subcontractorilor acestora de a securiza echipamentele, autorul subliniază că foarte multe breșe de software sunt în realitate necunoscute până în momentul în care hackerii le folosesc într-un Zero Day.
Aceste breșe sunt corectate doar ulterior. Conjugarea a doi factori determină scăderea gradului de siguranţă al unui vehicul, din cauza echipării sale cu prea multe electronice: cererea și obiceiul consumatorilor de a dispune de un ansamblu de funcţionalităţi în habitaclu, ceea ce face imposibilă limitarea lor
18
tehnică, precum, de pildă, dezactivarea ajutoarelor electronice care servesc la stabilizarea vehiculului în orice situaţie, asociată cu inventivitatea hackerilor, care beneficiază de multiplicarea punctelor de acces către vehiculele moderne. Discursul lui Yannick Harrel s-a încheiat printr-o pledoarie în favoarea automobilelor autonome sau semi-autonome ale căror componente conectate să fie concepute după metoda „security by design”, iar lotul de criptare a datelor al fiecăreia dintre acestea să aibă acces la comenzile sensibile. Înapoi la Inteligenţa artificială (A.I.) și la rolul acesteia în domeniul securităţii cibernetice 4.0, Battista Cagnoni (Cyber Security Expert, Vectra) a explicat îndelung motivele pentru care este necesar un SOC (Security Operations Centre) pregătit în ceea ce privește latura umană, procesele și tehnologiile acesteia, înainte de a aplica tehnicile A.I. în securitate. Doar atunci, aplicaţiile de securitate de ultimă generaţie (care asociază conceptele de A.I. și Machine Learning) vor putea fi de ajutor și vor putea furniza o veritabilă plus-valoare, permiţând de exemplu evitarea unui număr semnificativ de acţiuni de triaj umane, lungi și fastidioase și concentrarea pe datele care indică anomalii. Aceste aplicaţii se dovedesc intuitive în domeniul anticipării metodelor de acţiune posibile ale infractorilor și permit majorităţii membrilor SOC să se concentreze pe rezilienţă, apărare în cazul unui atac, repunerea în starea normală a zonelor afectate și, apoi, analizarea criminalistică și investigarea incidentului.
În plus, acestea favorizează omogenitatea și coerenţa în acţiunile membrilor echipei, ceea ce permite evitarea conflictelor în cursul gestionării crizei propriu-zise. Însă Battista Cagnoni este prudent: potrivit acestuia, multe dintre procesele de securitate cibernetică asistate de A.I. nu sunt încă puse la punct, ci tocmai ce au fost scoase din faza teoretică și arhetipală și scoase pe piaţă. Unul din punctele cele mai importante ale acestei prezentări a fost evidenţierea frecventă a faptului că acești doi termeni (A.I. și Machine Learning) devin – ca multe alte cuvinte folosite în lumea digitală – adevărate amalgamuri de noţiuni, astfel că acum clienţi, utilizatori și chiar specialiști sunt nevoiţi să verifice
în mod sistematic despre ce este vorba mai exact. Calificativul „ezoteric” folosit de către speaker pentru a desemna tehnicile de Supervised Machine Learning este perfect corect, căci această definiţie acoperă de la aspecte euristice simple până la aspectele mai complexe, reprezentate prin modelele mai performante, adesea folosite concomitent. Deschizând dezbaterea în legătură cu noile strategii, Luca Tenzi (specialist în convergenţă) a subliniat că, în epoca 4.0, nu a fost înţeleasă simpla convergenţă între domeniul fizic și cel digital. Ilustrează apoi acest fapt cu o constatare recentă făcută de Scott Borg, director al U.S. Cyber Consequences Unit: „As long as organizations treat their physical and cyber domains as separate, there is little hope of securing either one. The convergence of cyber and physical security has already occurred at the technical level. It is long overdue at the organizational level.” Cea mai mare problemă a acestei inadecvări este că are un impact atât de mare asupra naturii generaţiilor care sunt în prezent la putere, atâţia indivizi care nu s-au născut și nu au crescut în era digitală. Discursul lui Luca Tenzi nu se adresează doar corporaţiilor, ci este util pentru orice director. Anterior, sectorul „4.0” genera vulnerabilităţi și pericole ce vizau doar întreprinderile foarte mari, însă acum acestea sunt prezente și în cazul IMM-urilor. Sintetizând6 prin exemple simple dar atât de elocvente – precum cel prin care a prezentat diferitele puncte vulnerabile ale unei multifuncţionale wireless de birou –, speakerul enumeră toate greșelile prelungite în mod voluntar din cauza lipsei de coerenţă și de cultură (camere video, reţele de aer condiţionat, alarme legate în moduri necunoscute la servere și supravegheate de responsabili cu securitatea fizică), apoi descrie lumea reală a obiectelor „4.0” prin grafice impresionante care ilustrează creșterea exponenţială a vânzărilor dronelor (în special pentru supravegherea infrastructurilor sau pentru livrări de colete) în care aproape întotdeauna doar cele destinate entităţilor guvernamentale au fost prevăzute cu hardware corect securizat.
Autorul încheie subliniind necesitatea absolută de a înţelege securitatea ca pe un tot printr-un citat incontestabil, care este valabil și invers: „The lack of technical knowledge of physical security service providers on IP-based systems and IT platforms provides an ideal opportunity for cyber-attacks” (PSIM Video Surveillance Report 2017, v.6). Artur Lazar (director adjunct al centrului Cyberint al Serviciului Român de Informaţii) a prezentat un punct de vedere geostrategic global care a completat perfect discursul precedent. În cadrul unui studiu amplu7 cu privire la definiţia și rolul puterii cibernetice, autorul arată că, de acum înainte, aceasta va îngloba toate celelalte forme de putere tradiţionale. Dacă asta ar fi totul, nu ar fi vorba decât despre o adaptare a lumii contemporane la numeroasele mijloace tehnologice disponibile. Din păcate, nu este cazul. Bineînţeles, pentru a continua să existe, o veritabilă putere cibernetică statală trebuie să se bazeze pe o structură omogenă constituită din cele patru puteri convenţionale, însă devine și o putere în sine, disponibilă unor entităţi hibride și chiar non-statale.
«Online and offline worlds will merge to such a degree that we will no longer be able to differentiate them» Mai rău, asistăm la o fuziune totală între lumea online și cea offline, în punctul în care acestea nu se vor mai putea diferenţia în mod clar, lucru care îi va expune pe cei mai puţin rezilienţi la atacuri, inclusiv în domenii considerate în mod tradiţional ca făcând parte din securitatea „fizică”.
19
Trends Central Folder - Cybersecurity Totuși, într-un optimism încărcat de sobrietate, Arthur Lazar reafirmă că, în prezent, chiar dacă anumite grupări infracţionale sau teroriste, entităţi anonime sau state mai slabe pot dobândi capacităţi ofensive și pot crea pagube grave, adevărata putere cibernetică rămâne în mâinile statelor celor mai puternice. Această stare de fapt se datorează prezenţei altor forme de putere, care permit statelor să acţioneze în mod inteligent atât în direcţie defensivă cât și ofensivă. Pentru aceasta, statele au la dispoziţie toate bazele guvernamentale, economice, militare, sociale, legale și legitime pentru a legifera, reglementa, inova, contraataca, întări gradul de rezilienţă prin optimizarea colaborării cu cetăţenii și cu sectorul privat, prin alocarea unor sume colosale în funcţie de deciziile politice și de posibilităţile economice; atâtea domenii pe care un actor non-guvernamental sau un stat-pirat nu le controlează. Singura condiţie? Dezvoltarea de state „smart”, de elite politice la curent cu noile provocări și consilieri tehnocraţi pătrunzători care să înţeleagă care sunt mizele pe termen scurt, mediu și lung, pentru a investi în mod constant în acest domeniu și pentru a crea dialoguri necesare unei solidarităţi stat-întreprindere-cetăţean și unei solidarităţi interstatale. A patra și ultima ședinţă a primei zile, dedicată mizelor pe care le generează schimburile de informaţii, a început cu o veritabilă premieră: în direct din Regional Operations & Intelligence Center (ROIC) din New Jersey, însuși Joe Billy Jr. (fost director adjunct al FBI) și Locotenentul Jeremy P. Russ (New Jersey State Police) au insistat asupra importanţei unei colaborări reale și eficiente între sectorul privat și diferitele instituţii publice specializate în lupta împotriva criminalităţii de orice fel. Graţie acţiunilor Locotenentului Russ, responsabil al Private Sector Advisory Group (PSAG) și cu implementarea unui Fusion Center, în statul New Jersey există un „one-stop-shop” pentru întreprinderi, care colaborează activ în domeniul securităţii (de la semnalarea unui individ potenţial periculos într-un magazin, până la solicitarea de ajutor cu ocazia unui atac cibernetic în curs), în timp ce ROIC furnizează cursuri de formare, consiliere, asistenţă și grupuri organizate, studiind la rândul său mizele majore ale ecosistemului economic și social al statului în cauză. Joe Billy Jr. a descris modelul pe care sunt constituite cele câteva ROIC-uri existente în Statele Unite, dintre care cel din New Jersey este de departe cel mai performant. Aflate sub controlul Poliţiei Statului în cauză, aceste centre reunesc agenţi din aproape toate agenţiile guvernamentale americane (cu precădere FBI și Homeland Security), ceea ce a permis scurtarea la minimum a
20
timpului de răspuns la alerte, precum și alegerea unei anumite unităţi pentru intervenţie, în funcţie de tipul incidentului. Apoi a amintit și că modul de finanţare (public-privat) încuraja o colaborare excelentă, pentru că fiecare primea și oferea ceva în același timp. Însăși ideea unui astfel de fusion center, care răspunde într-un fel problematicii convergenţei, ridicate de Luca Tenzi mai devreme, este inovatoare întrucât echipele disponibile 24/365 se ocupă de toate cazurile care vizează securitatea, de la o simplă infracţiune la un act terorist și de la data hack la un atac cibernetic de anvergură, trecând prin toate formele de dezastre naturale sau umane care ar putea avea loc în raza lor de acţiune. Distribuirea informaţiilor despre pericolele cibernetice – în scopul protejării informaţiilor sensibile – a fost punctul central al discursului lui Chems-Eddine Zair (CISO al Uniunii Internaţionale a Telecomunicaţiilor – ONU/Geneva). Acesta a descris înfiinţarea, în 2014, apoi implementarea unei STIP (Shared threat intelligence platform) comune tuturor agenţiilor ONU în vederea constituirii unui mediu securizat care să ofere specialiștilor din agenţii posibilitatea de a lucra în comun și de a își întări rezilienţa globală. Capacitatea lor de apărare împotriva ameninţărilor în curs, dar și posibilitatea de a anticipa ameninţări viitoare au crescut exponenţial, fiindcă această platformă oferă, pe de o parte, posibilitatea de înţelegere a anatomiei atacurilor le care au fost supuse alte agenţii, dar și, pe de altă parte, o actualizare constantă a procedurilor de rezilienţă ale fiecărei organizaţii, care devin astfel imune dacă sunt atacate prin aceleași tehnici folosite la atacarea unor alte agenţii. Schimbul de informaţii a rămas centrul dezbaterii, însă de data aceasta din perspectiva laturii sale vulnerabile. Dr. Stephen Foreman (directorul al departamentului metadata, gestionare și reprezentare a datelor al Organizaţiei Mondiale a Meteorologiei – WMO / ONU-Geneva). În momentul în care există atâta responsabilitate a datelor într-o organizaţie atât de importantă, există și riscul de a deveni ţinta și victima colaterală a unui atac. WMO primește încontinuu buletine de la agenţiile specializate ale fiecăruia dintre cele 185 de state membre, din și de la diferiţi sateliţi și de la o multitudine de mijloace de transport aerian sau maritim conectate, astfel că organizaţia trebuie să vegheze atât la veridicitatea acestor informaţii, cât și la implicaţiile acestora asupra terţilor. Provocarea este semnificativă, întrucât în câteva decenii, aceleași rapoarte au trecut de la 50 de linii baud (telex), apoi la scurte mesaje text, până la pagini HTML, ajungând astăzi la mai mulţi gigabiţi.
În a doua ipostază, cea de „furnizor de informaţii vulnerabilizat”, WMO a fost nevoită să lucreze în strânsă colaborare cu mai multe agenţii guvernamentale și militare, dar și cu armatori, proprietari și locatari de… cargo maritim. Într-adevăr, după criza din Cornul Africii, s-a dovedit că transmisiunea datelor meteo pe care fiecare ambarcaţiune de mare tonaj o efectua prin frecvenţe convenţionale era folosită de către piraţi pentru a repera și apoi ataca acele ambarcaţiuni. Ziua a fost încheiată printr-un scurt discurs concluziv ţinut de Laurent Chrzanovski (manager al congresului și redactor-fondator al revistei Cybersecurity Trends) privind consecinţele pozitive și negative ale „conformării” (compliance). Fiind în permanenţă în contact cu marile companii, speakerul a remarcat în ultimii ani, în primul rând datorită intrării iminente în vigoare a GDPR, o creștere exponenţială a funcţionarilor și a angajaţilor administrativi, asistaţi de un număr mare de juriști și de specialiști în securitate, a căror unică activitate este întocmirea de rapoarte de conformare de uz intern, apoi pentru folosul instituţiilor publice – aceleași instituţii care, la nivelul UE, se vor conforma GDPR până în mai 2018 într-o proporţie de mai puţin de 30%. Tocmai în momentul în care toate întreprinderile se plâng de lipsa de specialiști în securitate, Laurent Chrzanovski
consideră periculos faptul că majoritatea consiliilor de administraţie tratează această problemă doar prin prisma amenzilor de care sunt susceptibile în caz de piratare sau de neconformare în metodele lor de protecţie a datelor, ca și cum elementul „date confidenţiale” ar putea fi izolat de ansamblul ecosistemului securizat… Trebuie amintit aici și exemplul creșterii exponenţiale a numărului de administratori raportat la numărul de medici în unităţile medicale americane, ajungându-se la o disparitate de aproape 200 la 1 și o creștere a costurilor de 2300% în aproape 40 de ani… Privind partea bună a lucrurilor, în statele în care piaţa asigurărilor este una sănătoasă, precum Elveţia sau Luxemburgul, GDPR-ul a determinat, în ultimele luni, o ofertă destinată cetăţenilor, care încep de acum să-și aleagă în mod implicat și proactiv datele pe care doresc să le protejeze, iar aceștia, graţie poliţelor propuse la preţuri minime, vor fi singurii care își vor permite să fie reprezentaţi la procese în Statele Unite, întrucât majoritatea asigurătorilor acoperă costurile cu avocaţi și experţi până la plafonul de un milion de franci elveţieni8.
Evenimentul de închidere a primei zile: Marco Essomba, Norman Frankel și Laurent Chrzanovski lansează prima ediţie din Cybersecurity Trends în limba germană, a cincea limbă în care se publică revista trimestrială gratuită de awareness.
Echipa Swiss Webacademy: Andreea Mihet, Marius Amza și Daniela Chrzanovski.
21
Trends Central Folder - Cybersecurity
Ziua a 2-a: 8 decembrie 2017 În discursul său, Rosheen AwotarMauree (Uniunea Internaţională a Telecomunicaţiilor, Programme Officer în cadrul Biroului pentru Europa) a explicat publicului motivele pentru care Agenţia susţine congresul de la Porrentruy și rolul de lider pe care această instituţie îl are în domeniul securităţii cibernetice, atribuţie conferită în 2007 de către Adunarea Generală a ONU. În acest cadru, UIT a dezvoltat un framework în vederea susţinerii statelor membre în dezvoltarea continuă a capacităţilor de rezilienţă și întocmește periodic Global Security Index, cel mai recent fiind publicat de curând9.
Acest index, care ierarhizează statele în funcţie de gradul de siguranţă, se bazează pe un ansamblu de parametri de securitate digitală ce includ atât activităţile actorilor publici cât și iniţiativele de parteneriat public-privat, formările și capacităţile umane și tehnice. Primul invitat special a fost Christos Tsolkas (Vice-Președinte al Philip Morris International – PMI). Prin discursul său a introdus publicul direct în centrul problemei: gestiunea umană a unei crize majore.
22
Orator desăvârșit, acesta a explicat în detaliu cele două crize majore pe care a trebuit să le gestioneze în calitate de director al PMI Grecia, cu ocazia izbucnirii crizei economice, apoi în calitate de director al PMI Ucraina în plin Euromaidan, cu întreg corolarul de violenţe și dispute între angajaţi pe acest subiect. După ce a trecut în revistă numărul mare de evenimente dramatice de toate felurile – dând exemplu anul 2014 – la nivel global, acesta a demonstrat că nimeni nu este ferit, iar gestionarea unei crize umane are o singură soluţie: construirea de echipe extraordinare prin oferirea fiecărui angajat a posibilităţii de a se dezvolta pe plan personal și colectiv. Însă pentru a reuși, trebuie construită această mentalitate în interiorul business modelului întreprinderii. O mentalitate care să reprezinte un veritabil mod de funcţionare, care apoi să fie transmis și colaboratorilor. Inovarea trebuie practicată de acum în mod sistematic, dincolo de spaţiile existente, plasând utilizatorul în epicentrul proceselor sale (user-centered design). În această paradigmă constă posibilitatea de a rezista cel mai bine și de a produce rezultate pozitive și neașteptate. Următorul invitat a fost nici mai mult nici mai puţin decât Costin Raiu (Director al Global Research and Analysis Team din cadrul Kaspersky Lab). Celebrul cercetător a făcut o trecere în revistă a ameninţărilor persistente (APT) din 2017 și a multiplelor mutaţii ale acestora, dar și a vulnerabilităţilor care au generat „prăzile” cele mai mari ale anului și cele mai importante „scurgeri de informaţii”. Aspectul cel mai îngrijorător amintit în această prezentare îl reprezintă exploatarea tot mai complexă a acestor elemente, ilustrată prin cazul „Lazarus”, un grup specializat în spionaj cibernetic avansat și în tehnici de sabotaj cibernetic, care și-a
lansat propria „filială”, „Bluenoroff”, care se concentrează pe frauda bancară de anvergură și pe crypto-currency mining. Atacurile sunt tot mai complexe, sunt folosite nenumărate mijloace de camuflaj pentru disimularea identităţii autorilor și sunt tot mai cameleonice: un atac care seamănă cu o fraudă bancară care poate ascunde de fapt o acţiune de spionaj industrial sau un atac de tip crypto-ransomeware care maschează un veritabil tsunami de malware destinate imobilizării unor lanţuri întregi de producţie sau de distribuţie.
La acestea se adaugă grupuri specializate în propagandă și contra-propagandă specializate, instigând reprezentanţi ai sferei politice și mediatice să facă declaraţii pripite, adesea în numele statului. Hoax-urile și false flag-urile au devenit de asemenea unul din scopurile majore ale criminalităţii cibernetice de anvergură, precum și livrarea „gratuită” de vulnerabilităţi sau folosirea programelor open source, care creează confuzie în rândul specialiștilor cu privire la originile sau scopurile urmărite de o anumită ameninţare. Multiplicarea actorilor, a resurselor deţinute de grupuri tot mai avansate, precum și folosirea voluntară a leak-urilor și spionajul cu scopul dereglării sistemelor financiare sunt în continuă creștere, iar în anul care urmează se preconizează o intensificare a acestor fenomene, susţine Costin Raiu. Ultimul invitat special a fost Generalul (R) Marc Watin-Agouard (fondator al Forumului Internaţional al Securităţii Cibernetice). Cu verva caracteristică, Generalul a ţinut o veritabilă pledoarie în favoarea renașterii unei Europe suverane, devoalând aspectul cel mai puţin cunoscut al GDPR: o adevărată armă diplomatică și comercială pe care UE o deţine în sfârșit, după o lungă perioadă de elaborare. Într-adevăr, de acum înainte, pentru a putea face comerţ cu ţările membre, statele terţe vor trebui să-și armonizeze legislaţia pentru ca întreprinderile lor să respecte această normativă și să poată garanta pentru drepturile clienţilor și furnizorilor europeni ai acestora. Dacă Europa este puternică, va putea folosi GDPR-ul pentru a trece la un alt nivel, cum ar fi impunerea localizării în interiorul graniţelor a serverele care conţin date vizate de regulament. Optimist, Generalul consideră că GDPR este primul instrument care permite UE să negocieze de la egal la egal, inclusiv cu marile puteri, având în sfârșit norme clare și obligatorii pentru oricine dorește să stabilească relaţii de afaceri cu membrii săi.
Mauro Vignati (șef al departamentului de cibernetică al Serviciilor de Informaţii ale Confederaţiei) a explicat pe scurt misiunea sa. Fără a furniza prea multe detalii, fapt interzis de statutul său, a subliniat totuși un argument-cheie: cu resurse umane proporţionale cu mărimea statului, cooperarea internaţională și schimburile automate de informaţii cu actorii principali din domeniul privat reprezintă unica soluţie. Prioritatea lui principală o constituie apărarea Elveţiei și a intereselor sale strategice în primul rând de ameninţările permanente cele mai periculoase (APT și mutaţiile acestora). Cei care doresc mai multe detalii pot consulta rapoartele exhaustive ale MELANI10, iar al doilea raport semestrial al anului 2017 va apărea în curând. Colonelul Anton Rog (director al centrului Cyberint al Serviciului Român de Informaţii) a început prin a descrie modul de funcţionare a structurii pe care o conduce, precum și priorităţile sale. Sub conducerea sa, Cyberint a căpătat o nouă dimensiune, fiind deschisă la noi parteneriate în scopul întăririi nivelului naţional de rezilienţă, dar și pentru perfecţionarea cunoștinţelor membrilor echipei sale. Cyberint a fost totodată unul dintre stâlpii Cydex, primul exerciţiu de criză la nivel naţional în materie de securitate cibernetică, care a reunit nu mai puţin de 60 de entităţi publice și private și care le-a analizat capacitatea de prevenţie, de alertă, de reacţie și de colaborare.
Lansarea unui program de masterat în colaborare cu Universitatea Politehnică din București, precum și organizarea, în cadrul unui parteneriat, a evenimentului „Romania Cybersecurity Challenge” în care au concurat echipe din toată Europa, demonstrează deschiderea Serviciului spre alte instituţii publice,
23
Trends Central Folder - Cybersecurity spre sectorul privat și spre alte state, o componentă întărită în 5 ani de colaborare cu Cyberint (peste 5000 de ore de lucru pe an) în cadrul Coaliţiei Cibernetice a NATO. Nicola Sotira (director al departamentului de securitate a informaţiilor la Grupul Poste Italiane și președinte al Global Cybersecurity Center) a descris o imagine interesantă – și îngrijorătoare, în același timp – a orientării digitale a întreprinderilor spre platformele mobile în serviciul clientului. Prins între ciocan și nicovală (nevoile departamentului de marketing și dorinţa utilizatorului de a beneficia de interfeţe simple pentru smartphone-uri), un CISO trebuie să fie tolerant, adaptativ și să știe să limiteze pierderile pentru ca, în cel mai rău caz, pe un suport atât de vulnerabil, aplicaţiile furnizate de întreprindere să fie cât mai securizate posibil. În discursul său carismatic, speakerul, care lucrează de douăzeci de ani în sectorul privat multinaţional și în special în cel italian, nu întrevede nicio alternativă plauzibilă la un viitor al relaţiilor vânzător-client aproape în întregime smartphone-oriented, cu o creștere exponenţială a acestei metode după intrarea în vigoare a liberalizării totale a tranzacţiilor bancare (normativul PSD2) în iunie 2018.
Competenţele SOC, ale CISO, ale CSO vor trebui să evolueze rapid, întrucât întreg ecosistemul de apărare și de rezilienţă va trebui actualizat cu vulnerabilităţile și punctele slabe ale fiecărui smartphone, ceea ce multiplică riscurile la infinit faţă de cele cunoscute, care atacă și afectează în mod „tradiţional” laptopurile și serverele. Nicola Sotira a încheiat într-o notă optimistă, cu o întrebare departe de orice retorică și care nu este legată de ecosistemul digital specializat, ci de cetăţean în general: „Do you trust the
24
figures that appear on your mobile phone’s display as much as you trust the money you have in your wallet?” Va accepta oare individul lambda să nu se încreadă decât în cifrele care apar pe ecranul telefonului, să renunţe la numerar și la cardurile de debit și să îi apară tot felul de mesaje intruzive care să-i propună finanţări pe cât de atractive pe atât de periculoase, de îndată ce efectuează o comandă a cărei sumă îi depășește resursele? O a două perspectivă la fel de îngrijorătoare a fost descrisă de Mika Lauhde (CEO, 65° Security, Finlanda). Membru în toate grupurile importante de stakeholderi din UE (Enisa, Europol, EC etc.), speakerul a dorit să tempereze câteva dintre manifestările de bucurie de o inocenţă frapantă. NIS, GDPR și alte normative reprezintă, desigur, pași înainte pe care speaker-ul nu îi contestă – și la care a contribuit în calitate de membru al organizaţiilor care le-au propus – însă recomandă să nu se amestece lucrurile. Europa, deși cu un statut juridic întărit, a pierdut toate bătăliile tehnologice, fapt ce ridică întrebări asupra modului în care GDPR va putea să îmbunătăţească gradul de intimitate al propriilor cetăţeni. Făcând o paralelă între forţele prezente, Mika Lauhde constată pur și simplu că, împotriva GDPR al UE există (cel puţin) o mare putere care reprezintă subsumarea unei capacităţi de control (și o implementare efectuată deja de mult timp) a propriilor sisteme de operare pentru calculatoare, a propriilor standarde de sisteme de operare în domeniul smartphone-urilor, a propriilor standarde în materie de securitate cibernetică, a propriilor certificări obligatorii, a propriilor microprocesoare, a propriilor aplicaţii de control al smartphone-urilor și a propriilor sisteme de control al reţelelor sociale. Atâtea elemente utilizate de orice cetăţean european, dar exploatabile de către multinaţionale și de state terţe fără nicio limită. Mai rău, speakerul evidenţiază câteva cercetări de vârf la nivel european (cu privire la criptare, transmisiuni, sisteme specifice) care, în lipsa unor aplicaţii clare, au fost cumpărate și adoptate de marile puteri în domeniul civil, dar și în cel aeronautic militar de top. Mika Lauhde trage concluzia că, odată trecută faza „legiferantă”, UE trebuie să reînceapă să deţină controlul asupra unui număr de instrumente de bază care aparţin tehnologiilor folosite de fiecare, dacă dorește să supravieţuiască în lumea de mâine altfel decât pe post de consumator pasiv. Dimineaţa s-a încheiat cu discutarea unui ultim element, instabil prin natura sa și cu impact enorm asupra securităţii, de care trebuie obligatoriu ţinut cont: încălzirea globală. Prezentarea E. S. Abdallah Mokssit (Secretar general al Grupului interguvernamental de experţi în evoluţia climei – IPCC), a cărui prezenţă la un summit internaţional a fost solicitată în ultimul moment, a fost susţinută de Dr Stephen Foreman (WMO). Această prezentare a reprezentat punctul culminant
și elementul inedit plănuit de către organizatorii congresului. Într-adevăr, încălzirea climatică manifestată prin fenomene meteorologice de o rară intensitate – și chiar violenţă – reprezintă un factor perturbator major într-o lume hiperconectată, care poate întrerupe transmisiuni sau reţele energetice sau poate distruge infrastructuri critice, cum s-a întâmplat la Fukushima. Aspectele punctate în prezentarea E. S. Mokssit, în premieră după ce au fost expuse la ultima ședinţă guvernamentală a COP, evidenţiază consecinţele directe ale schimbărilor climatice: probleme de sărăcie și de alimentaţie care generează intensificarea migrărilor și riscurile majore de inundaţii ale unor zone tot mai vaste. În plus, studiile globale ale IPCC indică originea problemei securitare: percepţia responsabilităţii umane a propriei contribuţii la schimbarea dramatică în curs este foarte variabilă.
Or, dacă responsabilitatea acestei situaţii cu privire la gheţari, oceane, ploi începe să fie integrată și acceptată la nivel mondial, nu la fel stau lucrurile în ceea ce privește impactul tuturor acestor aspecte meteorologice asupra sănătăţii, calităţii vieţii și, mai ales… asupra securităţii. De aici și concluzia finală a prezentării IPCC, clară și exhaustivă: „Da, schimbarea climatică reprezintă un pericol major și pentru securitatea cibernetică”. Un punct de vedere în plus care se adaugă la cele prezentate de Arthur Lazar și de ceilalţi speakeri care insistă pe faptul că viaţa (și securitatea) noastră fizică și digitală sunt de acum indisociabile. Margherita Natali (Legal Support to the Division of Information Technologies, Infrastructure Service Section, International Atomic Energy Agency - IAEA) a susţinut una dintre cele mai realiste prezentări, pe tema interceptării comunicărilor grupărilor de criminalitate organizată. Care sunt metodele, rezultatele, responsabilii și, mai ales… care este legalitatea unor astfel de demersuri?
Abordarea pragmatică a lumii de astăzi permite o anumită francheţe și un tip de gândire bazat pe obiective de atins. În cadrul puterii cibernetice care cumulează și înglobează puterile tradiţionale, guvernanţa înlocuiește progresiv suveranitatea, iar multinaţionalele și indivizii sunt capabili să rivalizeze cu statele-naţiuni „actori ai sistemului westfalian”. Astfel, statele, multinaţionalele și infractorii au propriile instrumente profesionale de inteligenţă pe internet, propriile mijloace de comunicare, iar compromiterea acestora generează atât vulnerabilităţi cu impact economic ridicat cât și reușite în lupta împotriva criminalităţii. În acest context, nimeni nu ar trebui să fie scutit de datoria de a contribui, la nivelul fiecăruia, la prevenirea și la lupta împotriva activităţilor infracţionale, graţie unei comunicări eficiente între toţi actorii. Pentru a-și explica raţionamentul, Margherita Natali a oferit exemplul reţelelor de tip „Internet Relay Chat Channels” (IRC), care au tendinţa să înlocuiască reţelele sociale, pentru anumite tipuri de conversaţii. Or, aceste reţele se dovedesc a fi niște escrocherii („anonimatul” garantat e apoi revândut terţilor) și niște mijloace utile pentru pierderea urmei, în orice scop (legal sau ilegal). În acest mediu care folosește Deep Web-ul (în special, Tor) se regăsesc tot mai mulţi cetăţeni și actori economici importanţi, care ar putea avea tocmai rolul de a filtra comunicările „îndoielnice”, de a le face publice, pentru a permite apoi construirea unui deep web mai transparent. Într-adevăr, problema în lupta împotriva criminalităţii este că aceste IRC nu se supun legislaţiei și pot constitui instrumente în serviciul anumitor forme de anarhie și de corupţie, în
detrimentul tuturor acordurilor internaţionale și cadrelor legislative naţionale. Astfel, dacă actorii din sectorul web – de la multinaţionale la cetăţeni, de la instituţii ONU la guverne – ar reuși să formeze un nou „sistem westfalian”, acesta ar fi singurul care ar putea prezenta toate garanţiile de neutralitate,
25
Trends Central Folder - Cybersecurity de echitate și de legalitate care să-i permită să implementeze treptat proiecte destinate bunăstării comune. Marco Essomba (CEO, iCyberSecurity, Reading), în speech-ul său „Full Stack Cyber-security Defence”, a insistat asupra necesităţii reformării în profunzime a organigramei și a modului de funcţionare a marilor companii și industrii. Potrivit speaker-ului – laureat al UK CyberSecurity Industry Personality of the Year din 2017 – în ziua de azi există o segmentare dramatică asupra modului de abordare a problematicilor securitare în șapte domenii majore, fără să existe persoane care să stăpânească minimum două dintre acestea, ceea ce face ca și companiile cele mai avansate în ceea ce privește capacităţile de securitate cibernetică să cadă în capcane sau să blocheze atacuri pentru care sunt de altfel perfect echipate în materie de mijloace umane și tehnologice.
Doar o viziune holistică de leadership asistat și consiliat în permanenţă de către un ofiţer de securitate pătrunzător poate fi elementul care să aducă schimbarea. Această viziune se bazează pe antrenamente comune și inter-departamentale, vitale pentru a rezista atacurilor tot mai complexe care vizează toate procesele unei întreprinderi, de la partea financiară la mijloacele de producţie, și unde componenta umană este cea mai vulnerabilă. În aceste „7 niveluri” ale apărării, sunt vitale echipele motivate de către directori de generaţie nouă, în special în rândul inginerilor, care să stăpânească și apoi să transmită celorlalţi cunoștinţe din cel puţin 3 din cele 7 niveluri – sau straturi –, stabilindu-se astfel legătura necesară cu specialiștii de pe alte niveluri și cu profesioniștii de nișă al căror singur obiectiv este de a fi cei mai buni pe nivelul care le-a fost încredinţat. Olivier Kempf (expert în securitate, membru al IRIS și al Catedrei de apărare cibernatică Saint-Cyr SOGETI Thalès) a prezentat opinia sa conform căreia există două elemente care zguduie puternic societatea în care trăim și care, gestionate incorect, vor intra în conflict: pe de o parte, apărarea cibernetică, pe de altă parte, accelerarea exponenţială a transformării digitale.
26
Apărarea cibernetică reprezintă în primul rând o chestiune de protecţie a reţelelor (securitate cibernetică). Prezintă totuși și alte funcţii clasice, mai agresive (supravegherea, influenţarea, sabotarea). Se bazează pe capacitatea de control a reţelelor, a datelor și a fluxurilor, ceea ce adesea ia forma unei limitări a acestora prin restricţii de utilizare, fie că este vorba de igiena informatică sau de dispozitive mai securizate, întărite în funcţie de informaţia conţinută. Cu alte cuvinte, apărarea cibernetică are tendinţa să restrângă modurile de utilizare.
Pe de altă parte, asistăm la o revoluţie digitală în sens opus, denumită deseori transformare digitală. Aceasta constă în atenţia utilizatorilor, o mobilitate ieșită din comun, accesări descentralizate și metode agile de dezvoltare a produselor. Dincolo de această mobilitate ridicată, miza subsecventă este cea legată de date, al căror volum deja enorm va crește în proporţii nebănuite, fie prin noi modalităţi de utilizare, fie prin internetul obiectelor. Data este energia secolului XXI, sursa de mâine a bogăţiei și puterii. De la cloud computing la blockchain, de la Big Data la inteligenţă artificială, asistăm la o cursă de viteză care constituie o nouă revoluţie informatică. Aceasta se bazează pe o multiplicare a fluxurilor și a schimburilor de date, și prin urmare pe o eliberare a utilizatorilor, atât în întreprinderi private, cât și în organizaţii publice. Cele două concepte par contradictorii (restricţie sau eliberare?). Pentru Olivier Kempf, primul este necesar, al doilea inevitabil. Vor trebui gestionate ambele în egală măsură. Ilustrând perfect afirmaţiile speakerului precedent, Pascal Buchner (Director ITS & CIO, International Air Transport Association - IATA) a descris în primă fază modul de funcţionare a unuia dintre cele mai complexe ecosisteme posibile: lumea aviaţiei civile, care se desfășoară în „silozuri” și vulnerabilă într-o multitudine de puncte, în funcţie de nivelul de rezilienţă a structurii și a capacităţii ofensive a atacatorului.
Stâlpul de bază, care ar trebui să însoţească toţi angajaţii întreprinderilor din acest sector pe tot parcursul carierei, este și rămâne formarea continuă în domeniul securităţii, un element susţinut și prin controale umane și informatice mai dese și mai sistematice, cu utilizarea ultimelor tehnologii în materie. Așa cum s-a putut reţine din discursul lui Pascal Buchner, situaţia nu trebuie dramatizată, ci trebuie folosite toate mijloacele posibile care să permită tuturor actorilor să înţeleagă că o colaborare veritabilă, schimburile în timp real, o „uniune” trans-sectorială și internaţională reprezintă singura soluţie posibilă pentru a răspunde eficient unui atac bine pus la punct, în ziua în care va avea loc. Așa cum a subliniat-o și speaker-ul, chiar dacă, în mod ideal, acest sector ar putea dispune de mai multe mijloace pentru asigurarea securităţii, punctele slabe rămân factorul uman, complexitatea procesului decizional și nișele sectoriale sau teritoriale fără predispoziţie la colaborare. Pascal Buchner a exemplificat prin cifrele furnizate de ISAC, structura de securitate cibernetică creată ad hoc de către IATA pentru membrii acesteia, care diseminează în timp real informaţii, vulnerabilităţi și bune practici: doar 46 de companii aeriene sunt parte din aceasta, alături de douăzeci de centre OEM, mai mulţi furnizori de servicii, aeroporturi și lanţuri de aprovizionare. Este o bună bază de plecare, însă insuficient din punct de vedere al repartiţiei geografice a centrelor (majoritatea situate în America de Nord, Europa de vest, Australia și Asia de sud-est), al numărului de companii aeriene și de aeroporturi membre la nivel global, ţinând cont de creșterea constantă a pieţei. Priorităţile IATA, în afară de determinarea cât mai multor actori să se alăture centrelor de securitate cibernetică, constau și în crearea de legături între marile regiuni geostrategice și diferitele sectoare care, din diverse motive, nu comunică eficient între ele. Sunt esenţiale, de asemenea, oprirea nenumăratelor iniţiative paralele ale diverselor entităţi cu puteri normative și stabilirea unor standarde care să permită asigurarea confidenţialităţii schimburilor de date de zbor. De exemplu, IATA a dezvoltat un veritabil „war game”, o simulare a unei situaţii de criză totală de aproximativ 1h45’ care poate fi folosită ca model pentru orice membru al asociaţiei. Scenariul este cel mai prost cu putinţă: un inamic eficient a penetrat sistemele avioanelor și producătorilor acestora, generând un eveniment care vizează toţi actorii și care necesită coordonare imediată, schimburi de informaţii urgente pentru remedierea situaţiei. Această simulare s-a dovedit un mijloc excelent pentru studierea ulterioară a fluidizării proceselor, motivele greșelilor de cooperare sau de comunicare, dar și pentru definirea în viitor a rolurilor și responsabilităţilor fiecăruia în caz de criză. Drumul spre o apărare proactivă este lung, din cauza reticenţelor faţă de o colaborare constantă și nu din cauza complexităţii procesului. Speaker-ul a subliniat-o în mai multe rânduri: cadrul defensiv optim propus este simplu, însă trebuie implementat cu constanţă și rigoare.
Col. Xavier Guimard (director adjunct al STSISI - Serviciul de tehnologii și de sisteme de informaţie a securităţii interne în cadrul Jandarmeriei Naţionale) a împărtășit rezultatele cercetărilor sale referitoare la strategiile de luptă împotriva criminalităţii informatice. Analizând date despre capacităţile umane și timpul pe care îl au la dispoziţie infractorii, date culese în mai bine de 10 ani, STISI a reușit să conceapă propriile sisteme informatice, peste o sută de mii de telefoane mobile criptate, o API și un IAM autonome și personalizate. În opinia speaker-ului, sătul de folosirea excesivă a cuvântului „strategie”, un veritabil strateg trebuie să anticipeze, să construiască, să se adapteze înainte chiar de a fi ameninţat. Acest lucru reprezintă o știinţă, și nu doar o teorie, iar multe instituţii greșesc pentru că nu fac această diferenţă.
27
Trends Central Folder - Cybersecurity Avantajul unei bune strategii îl reprezintă capacitatea de a ieși din tipare și de a adopta concepte disruptive, pentru o mai bună apărare și un contraatac eficient. Potrivit col. Guimard, cheia de boltă a sistemului constă în arhitectul acestuia, a cărui iscusinţă îi permite crearea unui ansamblu ușor de apărat de către responsabilii tehnici. Astfel, nu mai este nevoie de CISO: orice specialist este un CISO și sprijină în permanenţă CIO-ul, care la rândul său devine responsabil-șef pe partea de securitate. Utilizând intensiv open-source-ul și conceptul de „all in the browser”, beneficiind de ingineri talentaţi și de o întărire masivă a aptitudinilor și capacităţilor umane, strategia prezentată de Xavier Guimard și implementată la nivel naţional de către Jandarmerie, nu este „vandabilă” probabil unei întreprinderi concurenţiale, însă și-a dovedit utilitatea în asigurarea apărării statului. Discursul Col. Marc-André Ryter (colaborator în instrucţie în cadrul statului-major al Armatei elveţiene) a încheiat congresul într-un mod desăvârșit. După prezentarea sa din prima zi, dedicată mizelor modernizării forţelor armate în era „4.0”, col. Ryter a descris o situaţie captivantă și rară, venind din partea unui militar: într-adevăr, structurile civile și armatele sunt expuse acelorași riscuri. Cele două sectoare colaborează, le sunt aplicabile mai multe sisteme și aplicaţii identice, iar multe dintre noile apariţii tehnologice civile au și utilizări militare.
Totul pe fondul ritmului înfrânat al inovaţiei, al constrângerilor bugetare și al unei competiţii globale. Repetarea cu cadenţe a ciclurilor inovaţiei, sumele puse la bătaie în domeniul dezvoltării tehnologice, noile câmpuri de aplicare a tehnologiilor polivalente sau convergente (precum A.I.), însă și mediul (social și meteorologic) reprezintă factori dificil dar esenţial de înţeles. Fiecărei noi oportunităţi îi corespunde cel puţin un nou risc sau cel puţin creșterea, uneori exponenţială, a vulnerabilităţilor și a pericolelor existente. În fine, în spaţiul cibernetic, acţiunile ostile sunt aproape în totalitate hibride: acestea aduc atingere atât sectorului civil cât și forţelor armate, adesea ca element care precedă sau însoţește
28
operaţiunile convenţionale de mai mare anvergură. În acest cadru, pagubele cauzate unui sistem naţional au un impact care are potenţialul de a periclita toate mijloacele existente de aprovizionare a populaţiei, înainte chiar de a cauza pierderi sau pagube critice în rândul armatei. Această prezentare, dincolo de datele descrise, demonstrează faptul că cele două lumi (cea civilă și cea militară) nu se mai pot ignora și trebuie să colaboreze pentru a întări rezilienţa ecosistemului comun. Doctrina și tendinţele observate îndeaproape de forţele armate pot fi, de pildă, reluate și transpuse ca metodă de gândire și de raţionament în cadrul unei întreprinderi, fapt ce ar putea să contribuie la creșterea gradului de rezilienţă al acesteia, în timp ce rezultatele testelor cu privire la noile tehnologii implementate în sectorul privat pot sprijini armata în procesul de modernizare în mod securizat și eficient.
1 textul original în franceză: http://www.vtg.admin.ch/en/media/publikationen/military-powerrevue.html ; tradus în exclusivitate în Cybersecurity Trends Ediţia Română 3/2017 și Deutsche Ausgabe 1/2017, în curs de apariţie în Edizione italiana 2018/1) 2 cf. A. Vautravers, Cybersécurité pour Genève, in Cybersecurity Trends Edition Suisse 2017/2 3 Cf. The consequences of a poorly understood and poorly managed cybersecurity: a system that deviates from its own duties destined for implosion! VIP Interview with Marc German, Cybersecurity Trends Ediţia română 3/2017, English Edition 3/2017, Edizione Italiana 4/2017 4 Cf., în completare: Challenges and threats in cybersecurity seen from a top risk manager’s point of view. VIP Interview with Jean-Luc HABERMACHER, in Cybersecurity Trends Ediţia română 3/2017, English Edition 2/2017, Edizione Italiana 4/2017, Deutsche Ausgabe 1/2017 5 Cf. de același autor “Automobiles et IoT : liaisons dangereuses”, in Cybersecurity Trends Ediţia română 4/2016, Edition Suisse 2/2018, English Edition 2/2017, Edizione Italiana 1/2017, Deutsche Ausgabe 1/2017 6 Cf. Sicurezza, ma anche comunicazione, comprensione della tecnologia e possibili trends nel mondo corporate e nelle organizzazioni internazionali. Un’intervista esclusiva con Luca Tenzi, in Cybersecurity Trends, Ediţia română 2016/1, Edizione Italia 2017/1 7 Cf. A. Lazar, Cyberpower, a view into future powers, in Cybersecurity Trends: Ediţia română 2/2017, English Edition 2/2017, Edizione Italiana 3/2017 8 cf. Switzerland, a country where Data Protection rules become a (paying) real asset for individuals, in Cybersecurity Trends Ediţia română 4/2017, English Edition 3/2017, Edizione Italiana 4/2017, Deutsche Ausgabe 1/2017 9 https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf 10 https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-sur-lasituation/rapport-semestriel-2017-1.html
Co-organizatorii (Laurent Chrzanovski, Jean-Jacques Wagner, Luca Tenzi), cuprinși de emoţie, au închis congresul, mulţumind speaker-ilor și publicului pentru o premieră care, datorită numărului de subiecte abordate și de teme de gândire pornind de la prezentările participanţilor și de la discuţiile informale, va continua să îi preocupe pe toţi care au fost părtași la eveniment. Disclaimer : © Acest white paper a fost redactat de către Laurent Chrzanovski și exprimă punctul vedere al autorului.
29
Focus - Cybersecurity Trends
Atunci când sportul poate deveni o problemă de securitate naţională Se pare că istoria se repetă și că nu învățăm niciodată nimic din aceasta. Era în anul 2010 când serviciul Foursquare și-a invitat utilizatorii să dea „check-in” în locurile populare și apoi să facă aceste date publice, din greșeală.
Autor: Nicola Sotira
Nu v-aţi convins încă? Încercati să deschideţi Google Maps și să selectaţi din meniu «Timeline»; dacă nu aţi dezactivat accesul la datele voastre de localizare, veţi vedea o hartă clară cu toate deplasările pe care le-aţi făcut, marcate temporal, putându-le vedea ca într-un calendar. Trebuie să admitem că datele reprezintă tot modelul de business al acestor companii și că prin urmare este complicat pentru ele să caute o raţiune pentru care să înceteze să le mai colecteze. Aţi putea să vă miraţi de ce anume mai vorbim încă despre acest subiect, de ce încă al nu știu câtelea articol
BIO Nicola Sotira este Director General al Global Cyber Security Center al Poștei Italiene și Information Security Manager la Poșta Italiană. El lucrează în domeniul securității informației de peste 20 de ani si a câștigat experiență lucrând în diferite companii internaționale. Anterior, Nicola Sotira a fost Director de Vânzări la UC&C & Security Practices în cadrul Westcon Group Italy și VP Sales Italy la Clavister AB. Este profesor la Master în Network Security al La Sapienza University, membru al Association for Computing Machinery. Promovează inovația tehnologică și a fost asociat în mai multe start-up-uri din Italia și de peste graniță.
30
despre partajarea de date? Deoarece, recent, toate publicaţiile au vorbit despre Strava. Aceasta este o aplicaţie pentru monitorizarea activităţilor atletice, Strava fiind capabilă să administreze și să elaboreze, în cel mai mic detaliu, datele alergătorilor și cicliștilor. Totul pornește, ca întotdeauna, de la smartphone-ul nostru, Strava App este gratuită și este disponibilă pentru iOS si Android, aplicaţia permiţând înregistrarea datelor GPS ale alergării sau ale cursei. Aplicaţia ne comunică timpii, rutele, distanţele și putem transforma acest antrenament solitar într-o provocare virtuală. Câteva cifre? În decembrie 2016, Strava a anunţat că peste 300 de milioane de activităţi sportive au fost încărcate; 26,90% dintre aceste activităţi au fost desfășurate în grup, colectând peste 1,3 miliarde de Kudos (Kudos fiind echivalentul Like-ului de pe Facebook).
Ce s-a întâmplat? În noiembrie 2016, Strava a publicat hărţille colectate din toate activităţile sportive, care acopereau 27 de miliarde de kilometri. Problema a fost că unii dintre utilizatorii aplicaţiei lucrau pentru agenţii militare și de intelligence. În acel moment, unii experţi în securitate au putut să conecteze punctele și să găsească o legătură între locurile în care se află bazele militare SUA/ operaţiunile de intelligence.
Totul a fost accelerat de către Nathan Ruser, un student care studiază securitatea internaţională la Australian National University; el a început să posteze pe Twitter o serie de imagini care indicau activităţi ale unor utilizatori Strava potenţial aflaţi în legătură cu baze militare SUA din Afganistan, patrule militare turcești din Siria și multe altele. Departamentul Apărării va revizui politicile în domeniul IoT si al purtabilelor și a afirmat că va încuraja tot personalul din armată să își limiteze prezenţa pe Internet si, desigur, restricţiile sunt și mai stricte atunci când trupele se află în locuri sensibile. Așa cum am mai scris de multe ori, conștientizarea în utilizarea unor astfel de instrumente joacă un rol fundamental, și trebuie să insistăm și mai mult pe conștientizare pentru a crea o generaţie de utilizatori conștienţi în lumea digitală. Există multe zone care pot fi îmbunătăţite în acest domeniu, iar producătorii, companiile de servicii și asociaţiile de consumatori trebuie să lucreze împreună. Și nu în cele din urmă, sunt necesare programe în școli care să facă educaţie pe zona securităţii cibernetice.
31
Focus - Cybersecurity Trends
Riscurile ascunse ale sistemelor de telefonie mobilă Autor:
Giancarlo Butti
Din punct de vedere al securităţii, utilizarea sistemelor mobile implică riscuri majore, pe care, foarte adesea, companiile nu le recunosc ca atare. Cunoașterea acestor riscuri este absolut obligatorie pentru a fi capabili de a implementa măsuri preventive pentru a limita, cât de mult se poate, eventualele daune. Atunci când ne gândim la riscurile intrinsece de utilizare a unui dispozitiv mobil, cum ar fi smartphone-ul, avem tendinţa naturală să ne gândim la posibila interceptare a comunicaţiei între cei doi subiecţi ai conversaţiei. În realitate, complexitatea acestor dispozitive și bogăţia de funcţionalităţi pe care le propun utilizatorilor le face deosebit de insidioase, ceea ce ne determină să evaluăm autorizarea utilizării lor de către angajaţi și de vizitatorii care vin în companie, în mod special în zonele de activitate în care este necesar un nivel adecvat de protecţie și/sau de confidenţialitate. Aceasta intră în totală contradicţie cu modul în care trăim zi de zi, în care astfel de dispozitive, care pot fi în proprietatea companiei sau deţinute de persoane private, sunt aproape omniprezente si pot fi utilizate în cele mai importante momente ale activităţii de business, cum ar fi discuţii axate pe decizii strategice sau ședinţe ale consiliului executiv.
Dispozitive de înregistrare Fiecare dispozitiv mobil este echipat în prezent cu multe instrumente care permit înregistrarea a tot ceea ce se întâmplă în aria de proximitate a dispozitivului: Camere video (adesea două), prin intermediul cărora cineva poate face înregistrări video cu sunet, sau poate face fotografii – inclusiv HD – a locurilor, oamenilor, documentelor sau capturi de ecran cu conţinut interesant. Microfoane, prin intermediul cărora se pot face înregistrări audio, fără ca persoanele din jur să realizeze acest lucru.
32
Dispozitive de urmărire a zonei Urmărirea unei zone cu un dispozitiv mobil se poate face simplu atunci când telefonul este lăsat pe o masă (o situaţie considerată absolut normală) sau în timpul unei înregistrări audio care se face în zonă sau chiar prin activarea dispozitivului printr-un apel care să ducă la un instrument aflat la distanţă care să înregistreze. Activarea înregistrării poate fi făcută de către proprietarul dispozitivului, dar cu referire la acest subiect, trebuie să luăm în considerare și posibilitatea ca supravegherea zonei prin dispozitivul mobil în discuţie să fie activată de un terţ, prin intermediul unui spyware, fără ca deţinătorul legitim al dispozitivului să aibă cea mai mică idee despre acest lucru. Utilizarea de „captori” IT, care în realitate sunt apps sau software instalat fără știrea utilizatorului, poate activa microfonul pentru a înregistra conversaţii, sau pentru a supraveghea aria în care se află utilizatorul. Astfel de software permite, uneori, controlul complet al dispozitivului și prin urmare accesul la email-uri, agendă sau oricare alt document sau fișier care există pe dispozitiv. Recent, Codul Penal Italian, ca și legile din alte state membre UE, a fost modificat astfel încât să permită agenţiilor de aplicare a legii să utilizeze astfel de instrumente, chiar dacă, în acest caz, este clar limitată utilizarea acestor instrumente și perimetrul de control. Ca o consecinţă, buna credinţă în fiabilitatea colaboratorilor – la toate nivelurile – precum și cea a vizitatorilor, clienţilor sau contractorilor, care au acces în companie, nu mai este relevantă. Atunci când sunt discutate subiecte importante și confidenţiale, cea mai bună precauţie este interzicerea oricărui dispozitiv mobil în zonă, pentru a evita scurgerile de informaţii.
Dispozitive de arhivare Un smartphone poate fi utilizat ca un hard disc extern. Este suficient să îl conectezi, printr-un cablu, sau prin WiFi, la un PC sau la alt dispozitiv pentru a extrage un volum uriaș de date, care pot trece astfel din reţeaua companiei pe un dispozitiv privat. Astfel de transferuri pot fi observate în timp real dacă firma a instalat sisteme de trasabilitate, sau poate fi chiar interzis dacă porturile USB sunt blocate și utilizatorul nu are drepturi de acces care să îi permită să activeze conexiunea WiFi pe PC-ul de la muncă. Cu toate acestea, transferul și filtrarea de date pot avea loc prin intermediul altor sisteme care nu sunt trasabile și nu pot fi limitate, cum ar fi o înregistrare video cu camera video a smartphone-ului. Chiar dacă o astfel de practică nu este ușor de activat, ea este posibilă și atunci când vorbim despre informaţii vitale a căror ex-filtrare este de mare importanţă pentru o terţă parte, costurile pentru dobândirea de aptitudini și tehnici de extracţie și eventual și de decriptare sunt perfect justificate.
Este inutil să mai amintim aici că orice este înregistrat pe un dispozitiv, fie în mod legal sau ilegal, este supus riscurilor de posibilă pierdere sau furt al dispozitivului, sau de monitorizare improprie a conexiunilor WiFi și USB, precum si a dispozitivului în sine. Desigur, este evident că în cazul unei ex-filtrări ilegale de informaţii, infractorul care folosește dispozitivul și-a luat toate măsurile de precauţie pentru a evita un astfel de risc.
Routere WiFi și similare O altă posibilă utilizare a dispozitivului este pe post de router WiFi, prin intermediul căruia cineva poate conecta toate dispozitivele prost protejate ale companiei, utilizând reţeaua internet. Dacă dispozitivele companiei sunt conectate, simultan, și la intranet, cineva poate crea o breșă în interiorul perimetrului de securitate, cu alte cuvinte noua conexiune nu va fi blocată de către firewall sau de alte instrumente de protecţie împotriva unor ameninţări externe. Din acest motiv, și pentru a evita ex-filtrarea de documente prin intermediul conexiunilor WiFi, companiile trebuie să dezactiveze inclusiv posibilitatea de a crea noi conexiuni la dispozitivele sale.
BYOD (Bring Your Own Device) Chiar dacă un număr tot mai mare de companii permit utilizarea dispozitivelor personale în scopuri profesionale, aceasta nu înseamnă că sunt și sigure: această permisiune vine cu o sumedenie de riscuri, uneori foarte importante, care ameninţă însăși compania. Problemele de securitate ale dispozitivelor pot avea un efect dărâmător asupra confidenţialităţii informaţiilor companiei și aceasta în ciuda unor norme și reguli complexe și bine articulate implementate pentru utilizarea în condiţii precise a unor astfel de practici. Până și posibilitatea de accesare a email-urilor de serviciu de pe un dispozitiv mobil, evitând riscul accesului direct în reţea, este oricum dar nu o bună practică. Accesarea email-urilor implică posibilitatea download-ării de fișiere anexate, precum și a email-urilor propriu-zise, constituind tot atâtea elemente care vor fi găzduite în dispozitivul mobil, în care nivelul de securitate nu poate fi protejat într-un mod adecvat, în nici un fel, de către companie. Mai mult, pot exista dificultăţi obiective care să împiedice compania să controleze dispozitivele angajaţilor. Pentru aceasta, compania trebuie să achiziţioneze instrumente capabile să recunoască orice dispozitiv care încearcă să se conecteze la server de la distanţă, identificându-l ca fiind unul al companiei, sau unul privat, și în al doilea caz să interzică conectarea.
Consumarea timpului în companie Poate să pară banal să amintim aici că având la dispoziţie un dispozitiv mobil, ale cărui multiple canale de comunicaţie sunt activate (vocal, sms, mms, whatsapp…), înseamnă că în timpul orelor de muncă o parte din timpul angajaţilor va fi dedicat relaţiilor din reţeaua personală a acestora. Acest fapt nu are neapărat o conotaţie negativă, deoarece găsirea unui echilibru între muncă și viaţa privată este din ce în ce mai mult atât în atenţia companiilor cât și a legiuitorilor, fapt recunoscut recent și subliniat de noile normative italiene privind subiectul agilităţii la muncă.
BIO Giancarlo Butti are un MBA în Business management și dezvoltarea organizațiilor de la Universitatea Politehnică din Milano, este pasionat de IT&C, de organizarea lor și a regulilor de implementat, ca și de multe topici pe care le-a tratat de la începutul anilor ‘80. El a deținut multiple poziții în instituții bancare importante (security manager, project manager și auditor) înainte de a deveni consultant senior pe probleme de securitate și confidențialitate pentru un număr mare de companii de diferite dimensiuni, active în diferite sectoare. Înafară de activitățile profesionale, îi face plăcere să își împărtășească cunoștințele prin articole, cărți, white papers, manuale tehnice, lecții, seminarii și prezentări la conferințe. Predă cu regularitate subiecte care se referă la confidențialitate, audit și conformitate IT&C în cadrul ABI (Italian Banking Institute), dar și în cadrul CETIF, ITER, INFORMA BANCA, CONVENIA, CLUSIT, IKN și la Universitatea de Stat din Milano. Autor a peste 700 de articole, colaborator regulat a peste 10 media online și 20 de media tradiționale, a publicat 21 de cărți/ white papers, unele dintre ele utilizate ca manuale universitare; a participat, de asemenea la redactarea a 9 volume colective publicate la cerere de ABI LAB, Oracle Community for Security, CLUSIT… Este membru și expert cooptat al AIEA, membru al CLUSIT și al BCI. Participă în cadrul unor grupuri de lucru, în cadrul ABI LAB pe teme de Business Continuity, Digital risks și GDPR, fiind de asemenea activ în cadrul grupurilor de lucru ale ISACA-AIEA dedicate Privacy EU și 263, ale Comunității Oracle pe teme de securitate și fraudă, eidas, securitate tranzacțională, SOC, și ale UNINFO pe confidențialitatea profilelor profesionale, și ale ASSOGESTIONI pe GDPR… Este membru al ABI Training Faculty,pe lista de experți pentru inovație în cadrul OMAT360 și este unul dintre coordonatorii www.europrivacy.info. Deține certificări LA BS7799, LA ISO/ IEC27001, CRISC, ISM, DPO, CBCI, AMCBI.
Prin urmare este oportun să nu stabiliţi politicile companiei bazându-vă pe concepte cum ar fi interzicerea accesului, care ar fi în contrast cu realitatea. Ceea ce companiile trebuie să facă este să stabilească reguli clare de utilizare a dispozitivelor mobile, oriunde există riscuri efective în privinţa securităţii.
33
ds Trends - Cybersecurity Tren Log360
Cele 5 tipuri de alerte critice necesare securităţii IT Analizarea datelor de tip „log” şi identificarea evenimentelor ce au relevanţă din punct de vedere al securităţii este un procedeu dificil mai ales dacă nu se ştie ce fel de evenimente trebuie monitorizate. Cerinţele de securitate IT diferă de la organizaţie la organizaţie însă există anumite cerinţe ce sunt numitor comun pentru majoritatea companiilor. Acest document prezintă o listă de 5 evenimente critice ce nu trebuie niciodată trecute cu vederea.
1. Modificări efectuate asupra datelor confidenţiale Securizarea datelor confidenţiale este un obiectiv critic pentru administratorii IT. Din categoria datelor confidenţiale fac parte date despre angajaţi, clienţi şi date critice ce au legătură cu afacerea. Organizaţiile trebuie să îşi construiască un sistem de audit ce alertează dacă sunt efectuate modificări în fişiere, documente şi baze de date ce conţin date confidenţiale de către indivizi neautorizaţi. De asemenea, organizaţiile trebuie să fie capabile să monitorizeze schimbările ce sunt efectuate asupra drepturilor de acces la astfel de date (ACL-uri). Un astfel de sistem permite organizaţiilor să monitorizeze activitatea ce are loc asupra fişierelor, documentelor şi bazelor de date, prin generarea de rapoarte dar şi alertarea în cazul evenimentelor ce pot semnala o breşă sau încercare de penetrare.
2. Opriri şi reporniri repetate ale serverului Serverele critice trebuie să fie funcţionale tot timpul pentru a garanta funcţionarea organizaţiei. Hackerii atacă aceste servere cu scopul de a afecta productivitatea unei organizaţii. În astfel de cazuri fişierele de tip „log” generate de server devin o sursă de informaţii critică. O singură oprire a unui server nu înseamnă neapărat un atac, dar reporniri de cinci ori în jumătate de
34
oră pot reprezenta un atac. Astfel de activităţi trebuie rapid raportate la administratorul de server pentru ca acesta să înceapă să analizeze evenimentele şi să rezolve incidentul.
3. Încercări de înregistrare esuate şi conturi blocate Organizaţiile trebuie să monitorizeze activităţile de înregistrare pentru respectarea cerinţelor de conformitate. Auditarea în timp real a evenimentelor de înregistrare permite detectarea potenţialelor atacuri sau încercărilor de penetrare. De asemenea un astfel de sistem de raportare poate furniza şi detalii despre conturile blocate și care nu au acces pe server, precum și cauza unei astfel de situaţii. Conturile privilegiate trebuie neapărat să fie monitorizate deoarece sunt ţintele preferate ale hacker-ilor. Este esenţial pentru orice organizaţie să configureze un sistem de auditare a acţiunilor de înregistrare reuşite cât şi nereuşite pentru creşterea securităţii şi generarea de alerte importante pentru păstrarea securităţii.
4. Schimbările din Active Directory ce au legătură cu apartenenţa la un grup Grupurile de tip „Security” din Active Directory furnizează acces utilizatorilor la resurse. Schimbările efectuate asupra acestor grupuri pot crea breşe în securitate. Pentru securizarea accesului privilegiat, organizaţiile au nevoie de un sistem de alertare ce informează asupra schimbărilor din Active Directory (de ex: modificări efectuate la grupurile privilegiate). Auditarea schimbărilor din Active Directory este un element vital pentru respectarea conformităţii şi reducerea expunerii la riscuri. Alertele în timp real reduc şansa finalizării unei breşe dar numai o soluţie specializată pentru auditare va furniza un astfel de sistem.
5. Modificări la Firewall Firewall-urile sunt o sursă critică de fişiere „log” pentru sistemele SIEM deoarece au putererea de a permite sau nega accesul la traficul din reţea. Prin analizarea datelor „syslog”, organizaţiile pot să detecteze ameninţările la nivelul perimetrului reţelei. Administratorii monitorizează traficul ce trece prin firewall dar câteodată modificările efectuate asupra configuraţiei reţelei trec neobservate. Este foarte important pentru orice organizaţie să monitorizeze configuraţia firewall-ului deoarece aceste modificări pot acorda permisiuni unui atacator să penetreze reţeaua.
Auditarea fişierelor „Log” folosind o soluţie SIEM Acestea sunt doar o parte din evenimentele ce au nevoie de un sistem de alertare avansat pentru menţinerea securităţii unei organizaţii. De asemenea, organizaţiile ar avea nevoie de sisteme de alertare pentru evenimente precum: căderi de aplicaţii, cereri de la web-servere periculoase, etc. O soluţie SIEM avansată pentru audit poate să efectueze toate aceste operaţiuni prin centralizarea fişierelor „log” din întreaga organizaţie şi poate alerta în cazul evenimentelor importante. Astfel organizaţiile vor putea detecta rapid ameninţările şi vor avea un răspuns adecvat pentru acestea. Soluțiile ManageEngine sunt disponibile în România prin intermediul distribuitorului autorizat Romsym Data (www.romsym.ro)
Log360 Log360 de la ManageEngine este o soluţie completă de tip SIEM şi include două unelte pentru auditare într-o singură consolă. EventLog Analyzer: Un instrument pentru gestionarea fişierelor „Log” pentru SIEM ADAudit Plus: Un instrument pentru auditare Active Directory în timp real Log360 poate genera rapoarte şi alerte pentru evenimentele de securitate dar de asemenea poate fluidiza rezolvarea unui incident prin crearea automat de tickete pentru alerte şi trimiterea acestora către administratori.
35
Focus - Cybersecurity Trends
C4, transformarea digitală și cibernetică
Autor: Olivier Kempf
Începând din anii 1980 am văzut mai multe cicluri succesive în dezvoltarea calculatoarelor: primul a fost cel al calculatoarelor personale, în anii 1980. Apoi a urmat Internetul, în anii 1990. A venit apoi vremea rețelelor sociale și a Web 2.0, în anii 2000. Astăzi ne confruntăm cu un al patrulea ciclu, acela al transformării digitale (DT), care zguduie societatea, și în mod special lumea economică, mai violent. Unul care ar putea desemna desigur toată această imensă lume a computerelor din „ciberspațiu”. Am făcut-o și noi, la începutul acestui material, încercând să caracterizăm ceea ce am crezut că a fost nou la vremea respectivă.
Aceste cicluri diferite își au corespondentul propriu în câmp strategic. A fost războiul interconectării, urmat de cuplul apărării cibernetice/ securităţii cibernetice. DT curentă se va incarna și ea într-o strategie particulară. Să încercăm să aflăm care anume.
I. Un război axat pe rețea (network-centric) Nu suntem foarte departe de o digitalizare a câmpului de luptă și de războiul interconectării. Proliferarea calculatoarelor a ridicat îngrijorări strategice foarte devreme. Cu mult timp în urmă, la începutul anilor 1960, SUA a înfiinţat DARPA pentru a face faţă eforturilor sovietice de calcul în ceea ce se numea pe atunci cibernetică: merită să ne amintim acest lucru știind rolul pe care DARPA la jucat în inventarea Internetului. Această îngrijorare a fost ulterior schimbată de Zbigniew Brezinski care, încă din 1975, vorbea despre Technetronic Revolution (pentru el, atunci, puterea de calcul era considerată unul dintre mijloacele de biruinţă asupra puterii sovietelor). Mai recent, trebuie să ne întoarcem la dezbaterile din
BIO Olivier Kempf este un strateg specializat în securitate cibernetică, de peste o decadă. Este membru al panel-ului științific „Forum International de Cybersécurité” din Lille, deține un PhD în Political Siences și conduce colecția „Cyberstratégie” a editurii Economica. Este editorul newsletter-ului de inteligență strategică La Vigie (www.lettrevigie.com).
36
anii 1990 despre revoluţia în afacerile militare (RMA): moment în care s-a luat în considerare efectul calculatoarelor personale dar și al reţelisticii/ networking-ului de masă. Toate aceste dezbateri ilustrează o singură percepţie: utilizarea puterii calculatoarelor oferă noi mijloace armatelor. IT-ul este văzut doar ca un instrument, ca un multiplicator de putere. Se aplică atât armelor cât și personalului. Interconectarea personalului, integrarea calculatoarelor în arme vor duce la o creștere a eficacităţii. Acum vorbim despre sisteme de arme, sisteme de comandă. Și este adevărat că se obţine o eficienţă: observaţi acurateţea rachetelor sau capabilităţile unui luptător modern… Acum, un avion nu mai este doar un transportator de bombe, este un calculator care zboară și care transportă calculatoare care explodează la ţinte desemnate si identificate anterior de alte calculatoare interconectate. Aceste calculatoare incorporate (embedded) sunt prin urmare ţinta naturală a atacatorilor cibernetici. De o bombă care cade ne puteam feri doar într-un adăpost, acum, imaginaţi-vă că i se pot trimite informaţii false care să devieze proiectilul de la traiectoria sa. Dar în termeni de Comandă evoluţia este cea mai clară. Anglo-saxonii folosesc termenul Comandă și Control pentru a o desemna, simplificată ca C2. În timpul anilor 1990, computerizarea funcţiei de comandă a dus la construirea C4, apoi C4I, apoi C4ISR, apoi C4ISTAR și apoi… nu mai știu. Să ne întoarcem la C4 (funcţia ISR este specifică serviciilor secrete): nu este doar Comandă, Control, ci și Comunicaţii și Calculatoare. Funcţia de Comandă a fost automatizată prin reţele de calculatoare. A fost menită să risipească ceaţa războiului, dar și să accelereze bucla OODA. Metoda a dat rezultate (gândiţi-vă la războaiele din Golf ) fără a fi convingătoare în câștigarea unui război (gândiţi-vă la Afganistan și Irak). La bază, acest război al reţelelor este foarte utilitar si foarte «top-down».
Toti cei care îl practică sunt conștienţi că reţelele de comandă-și-control sunt utilizate adesea pentru a furniza informaţii și a crește nivelul de micro management la nivele mai ridicate de comandă.
II. Dimensiunea și lipsa de acuratețe a spațiului cibernetic Atunci când vorbeam despre ciberspaţiu era o problemă de înţelegere și caracterizare a acestei știinţe a calculatoarelor, distribuită și interconectată, dar și de identificare a caracteristicilor sale strategice. Încetul cu încetul, am uitat de noţiunea de ciberspaţiu pentru a trece la apărare și securitate cibernetică. Această tranziţie a avut loc în timpul decadei 2010. Aceste prime cazuri de agresiune cibernetică datează din anii 1980 (Cuckoo’s egg în 1986, Morris Worm în 1988). Au urmat atacuri mai sistematice (primul atac DoS – denial of service -, în 1995, primul atac cunoscut DOD în 1998, prima afacere „internaţională Moonlight Maze în 1998), strategia ţinând cont de fenomene și a ajuns în dezbateri în timpul Revoluţiei în Afacerile Militare, care evocă războiul network-centric. Arquilla și Ronfeldt au fuzionat cele două abordări și au anunţat în 1997 că „vine războiul cibernetic”. Aceste întrebări au infuzat în anii 2000. Crearea unei comenzi cibernetice (2009), cazul Stuxnet în 2010, dezvaluirile lui Snowden despre NSA (2013) au demonstrat că SUA sunt foarte avansate pe această temă. În Franţa, într-un White Paper din 2008, cyber este identificat ca un nou factor strategic, o abordare subliniată încă si mai pregnant într-un White Paper din 2013. NATO se confruntă cu subiectul după agresiunea împotriva Estoniei, atribuită Rusiei, totuși, ca aproape întotdeauna când vine vorba de Cyber, dovezile lipsind (2007). De interes este că cyber se află pe scara ameninţărilor. Începând de acum, agresiunile cyber pot, dacă este cazul, duce la implementarea Articolului 5 din Tratatul de la Washington. Aliaţii au căzut de acord chiar să definească cyber ca „un mijloc de luptă”, exact ca în cazul altor medii fizice. Fără a intra în dezbateri conceptuale despre corectitudinea acestei abordări, să notăm că această abordare globalizată îndeasă tot ceea ce este legat de calculatoare în aceeași oală cyber.
Dar este așa de simplu? Trebuie într-adevăr să remarcăm că noţiunea de cyber a evoluat. I-au succedat alte prefixe și adjective: electronic(ă) (e-reputaţie, e-comerţ), Internet sau simplu digital. Această evoluţie semantică determină cantonarea cyber în domeniul securităţii, apărării, strategiei. Colocviumul nostru este o conferinţa de securitate cibernetică, Forumul de la Lille este un International Cybersecurity Forum, Comanda SUA este Cybercommand. Pe scurt, dacă în urmă cu 10 ani exista o teamă legată de lipsa de conștientizare a pericolelor spaţiului cibernetic, trebuie să luăm notă că în sfârșit transplantul a fost făcut și că acum cyber desemnează în mod exact funcţia care înconjoară activităţile de pe calculator de orice natură ar fi. Începând de acum, atunci când vorbim despre cyber, vorbim despre conflictele asociate cu spaţiul cibernetic, fie că este vorba despre infracţiuni sau apărare: pe de o parte avem caracteristicile specifice protecţiei si apărării, pe de altă parte avem caracteristicile agresiunii, spionaj tipic, sabotaj și diversiune. Aceste activităţi sunt practicate pe cele trei niveluri ale spaţiului cibernetic (fizic, logic, semantic). Pentru simplificare, cyber se axează acum pe lupta utilizând calculatoarele pentru atingerea scopurilor. Reţelele și calculatoarele sunt mijloacele diferitelor arme (viermi, viruși, troieni, DDOS, falsuri, hoaxe-uri ...) menite să atingă dispozitivul inamic și să îl neutralizeze, corupă, distrugă, ispitească. Apărarea cibernetică este o chestiune de protejare a reţelei (securitate cibernetică). Ea poartă alte funcţii clasice, mai
37
Focus - Cybersecurity Trends agresive (monitorizare, influenţare, sabotaj). Se bazează pe controlul reţelelor, datelor si fluxurilor, care adesea necesită un procent din acestea și restricţii de utilizare, fie că este vorba despre igiena dispozitivelor sau despre dispozitive mai securizate, în funcţie de informaţia manipulată. Cu alte cuvinte, securitatea cibernetică tinde să restricţioneze utilizarea.
III. Ce este nou în transformarea digitală? Astfel utilizăm calculatoarele în două moduri. Pe de o parte IT-ul este văzut ca un instrument. Vom digitiza procesele existente, dar respectând logica intrinsecă existentă și înainte, aceea a ierarhiei. Pe de altă parte, vedem IT-ul ca un instrument care poate ataca alte instrumente similare și le poate reduce eficienţa dorită iniţial. Noua revoluţie în calculatoare schimbă în mod radical aceste lucruri? De ce și cum? Pentru a da un răspuns, să încercăm să caracterizăm fenomenul. Desigur putem menţiona noile instrumente și să ne concentrăm pe latura tehnică: de la cloud computing și până la blockchain, de la big data și până la inteligenţa artificială, suntem martorii unei curse rapide care constituie o nouă revoluţie. Aceasta se bazează pe multiplicarea fluxurilor și schimburilor de date, aducând o libertate a utilizării, atât în companiile private, cât și în organizaţiile publice. Totuși, această abordare tehnologică nu pare să fie cea mai relevantă în acest context. Mai bine să examinăm actorii. DT se bazează pe ultra mobilitate, atenţia utilizatorilor, utilizarea descentralizată, metode agile de dezvoltare de produse. Dacă până acum sistemul era actorul, acum individul este centrul sistemului. El consumă și produce date în volume încă și mai mari. Comportamentul și utilizarea se schimbă în mod corespunzător. Deciziile sale locale câștigă importanţă si afectează în permanenţă funcţionarea sistemului. El are acum mult mai multă iniţiativă și competenţe. El este imersat într-un mediu tot mai computerizat, cu senzori multiplicaţi și integraţi în procese complexe, care reduc considerabil input-urile de date, cresc fiabilitatea acestora și permit o mai bună utilizare a volumului lor crescând. Practic, cantitatea face calitatea. Acest primat al cauzelor individuale provoacă o transformare radicală a relaţiilor profesionale. Leaderul nu mai este cel care distribuie sarcinile, ci este cel care menţine semnificaţia și direcţia de acţiune a grupului, cel din urmă fiind capabil să se auto-reglementeze mai bine datorită instrumentelor. Practic, dacă logica anterioară era top-down, acum este structurată bottom-up. Nu este o problemă de deposedare a prerogativelor conducerii. Din contră, din moment ce nivelul de jos a
38
câștigat în competenţă și autonomie, în același timp furnizează considerabil mult mai multe date fiabile, cărora conducerea le poate dedica mai mult timp pentru a realiza sarcini mai complexe, mai ales de când beneficiază de noi instrumente create de revoluţia digitală: Big Data și ineligenţa artificială sunt posibile la nivel global datorită volumelor de date dar și datorită creșterii permanente a puterii de calcul. Totuși, revoluţia calculatoarelor nu va duce la o transformare a relaţiilor sociale și ierarhice. Aceasta este calea pe care au pornit companiile mari în reformarea lor, iar armatele le urmează.
Dincolo de această ultra mobilitate, chestiunea fundamentală este cea a datelor, al căror volum deja uriaș va crește la proportii neașteptate, fie prin noi utilizări ale Internet of Things. Datele sunt energia secolului 21, sursa bunăstării și puterii de mâine. Fiecare nouă sursă de energie a produs o transformare strategică: vaporii au dus la căile ferate și la o logistică mai amplă; benzina a dus la creșterea mecanizării forţelor și la combinaţia căruţă-avion; puterea nucleară a dat naștere la o descurajare al cărei efect strategic este bine stabilit. Datele vor produce o transformare strategică de aceeași magnitudine.
Concluzie Dar care sunt consecinţele anterioarelor două cicluri ale calculatoarelor? Acela al C4 oferă, fără dubii, o descentralizare mai mare și astfel un nou mod de a contacta comanda. Dar va beneficia de intrumentele avansate de calcul ale Big Data și AI, şi va accesa și mai multe surse de date, atât generate de propriile sisteme cât și provenind din sisteme deschise. Acela al cyber pune problema atacului și apărării: cu alte cuvinte, vechea dialectică a ghiulelei și cuirasatului. Este probabil ca această dialectică să persiste. Să notăm, totuși, că ghiuleaua și armura sunt destinate aceluiași scop: să străpungă (sau să protejeze) o fortăreaţă care găzduieste în interiorul ei o comoară (oraș, o închisoare, un secret de stat, un cifru nuclear). Este relevant din punct de vedere logic? Trebuie, întotdeauna, să protejăm „datele” (sau reţeaua)? Nu ar trebui să ne gândim să protejăm o utilizare, o mobilitate? Să nu ne gândim la un perimetru de apărare sau la apărarea în profunzime (așa cum fac majoritatea sistemelor de securitate cibernetică), ci la o apărare mobilă axată pe fugacitate? Acestea sunt problemele strategice care vor deschide și care vor da naștere unui dialog fructuos între strategi și tehnicieni. Dezbaterea este deschisă...
Un strop de cultură și de conștientizare: Bluetooth Autor: Laurent Chrzanovski
În zilele noastre, cu toţii am putea comunica prin club-foot (picior strâmb). Acest lucru s-ar fi întâmplat dacă un consorţiu de companii indiene și sovietice ar fi adoptat, pentru uz comercial, Frequency Hopping Spread Spectrum (FHSS) – o metodă de transmisie radio cu salt de frecvenţă, practic schimbarea rapidă a spectrului de frecvenţe, utilizând o secvenţă pseudoaleatorie cunoscută atât de
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
emiţător, cât și de receptor -, patentată în 1941 sub denumirea de Secret Communication System (sistem secret de comunicaţii), și concepută pentru a fi utilizată în ghidarea torpilelor marine. În mod logic, căutând un nume simplu, care să aibă legătură cu un cunoscut mare personaj istoric, consorţiul ar fi putut opta pentru Timur (Tamerlane), cuceritorul care ne-a lăsat moștenire, printre alte frumuseţi, orașe ca Samarkand, Bukhara, Khiva, dar și Taj Mahal, datorită fiilor săi care au cucerit nordul Indiei. Numele său, Timur-i-lang, înseamnă Timur Ologul sau Timur Picior-Strâmb, o malformaţie pe viaţă cauzată de o căzătură zdravănă de pe cal din tinereţe. Sorţii au hotărât însă altfel. Un consorţiu scandinav, alcătuit din Ericsson și Nokia, cercetând modul în care ar putea fi conectate wireless (fără fir) diferite dispozitive, au creat în 1998 un Special Interest Group (grup de studiu) în acest scop, în cooperare cu giganţii americani IBM și Intel și cu compania japoneză Toshiba. În momentul în care grupul a finalizat detaliile operaţionale și înainte de a lansa tehnologia pe piaţă, în spatele ușilor închise a avut loc o lungă dezbatere, cu scopul de a găsi o denumire, fie și provizorie, pentru acest instrument de conectivitate. În acel moment, un inginer de la Intel, Jim Kardach, pasionat de istorie, a sugerat utilizarea denumirii blue tooth (Blåtand), porecla postumă1 a lui Harald Gormsson, primul rege viking care s-a creștinat. Cu această nouă religie, el a reușit să unească într-o federaţie toate triburile2 daneze, la fel cum noua conectivitate urma să unească toate dispozitivele IT&C echipate deja cu funcţionalitate Wi-Fi. Prin urmare aceasta a fost decizia comisiei tehnice, în asteptarea echipei de marketing, care să vină cu un brand mai atrăgător. Din contră, cei din urmă, pornind de la Harald au reușit să producă un logo în timp record: nu au făcut altceva decât să fuzioneze într-un oval de culoare albastră, de forma unui dinte, cele două iniţiale runice corespunzând lui H (de la Harald) și B (de la Blåtand).
Astăzi, peste 2,5 miliarde de dispozitive sunt echipate cu această funcţionalitate și Bluetooth pare să aibă un viitor strălucit3. Dar este sigur să utilizăm această tehnologie? Așa cum este cazul pentru oricare instrument popular, răspunsul este da, dar cu grijă. Conceput ca un sistem deschis, Bluetooth nu a fost conceput pentru a fi foarte elastic, ci pentru a fi extraordinar de performant. Există
39
Focus - Cybersecurity Trends un mare număr de modalităţi pentru a hack-ui un dispozitiv cu Bluetooth activat și cunoaștem nu puţine contra-măsuri pentru a împiedica acest lucru4. În septembrie 2017, Cert US5, din SUA, ca si majoritatea media de nișă au tras un semnal de alarmă despre o nouă vulnerabilitate, exploatată de un intrus - poreclit Dubbed Blueborne6 – care se substituie conexiunii legitime, pentru a se infiltra în PC-uri, smartphone-uri și tablete prin intermediul conexiunii Bluetooth și afectând toate sistemele existente (PC, iOS, Android, Linux-Kernel). Apple și Microsoft au livrat rapid patch-urile necesare, ceea ce înseamnă că utilizatorii iOS10 și Microsoft, cu update la zi, sunt în siguranţă, nu însă și smartphone-urile Android. Cu toate acestea, prima măsură de precauţie esenţială pe care un utilizator poate să o ia este să dezactiveze sistematic conexiunea Bluetooth atunci când nu o folosește, așa cum și articolul despre Dubbed Blueborne o subliniază în subtitlu: „A good reason to turn off Bluetooth when you’re not using it”. De fapt, exact ca și în cazul multor altor exploit-uri anterioare, Dubbed Blueborne nu își poate ataca victimele înafara perimetrului de transmisie/ recepţie al dispozitivului hacker-ului și doar dacă funcţia Bluetooth este activată. Din contră, dacă sunteti activ în domeniul business-ului de securitate, există nu puţine măsuri de precauţie de luat și perimetre de stabilit. În acest scop, National Institute of Standards and Technologies (NIST) a publicat în 2016 un manual complet, „Guide to Bluetooth Security”, acum fiind disponibilă o a doua versiune pentru consultare. Această broșură, dedicată CISO, CSO și CIO, dar și pentru Risk Managers, este «musai» de download-at și de citit pentru a fi în măsură de a lua cele mai bune decizii pentru fiecare zonă a ecosistemului de apărat7. Sau, broșura de seminar „Bluetooth Security” de Prof. Antan Giousouf de la Communications Security Department de la Ruhr University8, limpede ca cristalul și bine ilustrată, poate constitui o alternativă mai agreabilă de lectură, decât ghidul NIST, ajutându-vă să vă formaţi singuri o idee holistică asupra problematicii și a modului de diminuare a riscurilor.
1 Porecla pare să fi apărut la cca. 30 de ani după moartea regelui. Nu există atestări ale acesteia din timpul vieţii lui Harald, cum ar fi de exemplu faimoasa piatră runică, sacră, pe care monarhul a aridicat-o în sanctuarul sacru de la Jelling ; cf. A. Pedersen, Monumenternei Jelling Fornyet tradition påtærsklentilennytid (The Jelling Monuments – Expressions of tradition on the threshold of a new era), in M. ManøeBjerregaard, M. Runge (eds.) At værei centrum Magtogminde – højstatusbegravelseriudvalgtecentre 950-1450 Rapport fratværfagligt seminar afholdti Odense, 10. februar 2016, vol. 1, Odense 2017, pp. 5-22. On Harald, see the excellent booklet by Prof. Sven Rosborn from Malmö as well as the book J. Langer, M. LutfeAyoub (eds.), Unraveling the Vikings: Studies of Medieval Norse Culture (Desvendandoosvikings: estudos de culturanórdica medieval), Pessoa 2016 2 Cf. H. Janson, Vikingarochkristendom. Någrahuvudlinjeriochkring den kyrkopolitiskautvecklingeniNorden ca. 800-1100, in Historieforum :Tidskriftförhistoriskdebatt, nr 2 (2009), pp. 58-88 3 Informaţie din lectura “A short history of Bluetooth”, un articolpublicat de Nordic Semiconductor, disponibil la: https://www.nordicsemi.com/eng/News/ULP-Wireless-Update/A-short-history-ofBluetooth 4 cf. K. Haataja, K. Hyppönen, S. Pasanen, P. Toivanen, Bluetooth Security Attacks. Comparative Analysis Attacks and Countermeasures, Cham 2013 (Springer ed.), 88 pp. 5 Descrieretehnică a Dubbed Blueborneși a funcţionalităţilor sale: https://www.kb.cert.org/vuls/ id/240311 6 https://www.theverge.com/2017/9/12/16294904/bluetooth-hack-exploit-android-linuxblueborne 7 https://csrc.nist.gov/publications/drafts/800-121/sp800_121_r2_draft.pdf 8 https://www.emsec.rub.de/media/crypto/attachments/files/2011/04/seminar_giousof_bluetooth.pdf
40
O publicație get to know!
şi
Notă copyright: Copyright © 2018 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Editorii ţin să mulţumească D-rei Lucia Sevestrean pentru ajutorul dat la traduceri, corecturi și adaptarea terminologică a articolelor în limba franceză. ISSN 2393 – 4778 ISSN-L 2393 – 4778 Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-330.92.82 Fax 021-330.92.85 http://www.agora.ro http://cybersecuritytrends.ro