CYBERSECURITY, EVENTS

Ce presupune Noua Normalitate în securitatea și confidențialitatea noastră


Marți 24 Noiembrie am avut onoarea de a participa la evenimentul ”ESET Security Days”, într-o dublă ipostază: de moderator și de vorbitor. Chiar dacă există riscul ca aprecierile mele să fie oarecum subiective, voi povesti în continuare ce m-a impresionat la acest eveniment. Deși a fost o ediție online, s-a muncit mult și cred că participanții chiar au avut prilejul să asiste la ceva deosebit. Organizatorul ESET Romania și vorbitorii invitați s-au străduit să marcheze momentul prin diversitatea abordării unor probleme care ne afectează pe toți: ce învățăm din această criză.

ESET Security Days este un concept umbrelă pentru o serie de evenimente derulate la scară globală, care se adresează specialiștilor implicați în procesele de securitate IT din infrastructurile guvernamentale și de business. Conferința ajuns la a patra ediție in România, anul acesta fiind derulată în premieră, exclusiv online. Actuala ediție a beneficiat de sprijinul esențial al unor invitați, reprezentanți ai unor structuri guvernamentale, asociații profesionale, specialiști de top și consultanți în probleme de securitate cibernetică și prelucrarea datelor personale.

Un conglomerat de prezentări reunite prin același liant

Dezbaterile au vizat cele mai actuale tendințe din peisajul amenințărilor globale, analize ale amenințărilor de securitate cibernetică la care sunt permanent expuse organizațiile de stat și companiile, precum și realitățile noului context generat de Pandemie și impactul asupra industriei și specialiștilor care implementează politicile de securitate și confidențialitate din companii. A fost un adevărat conglomerat de subiecte, toate reunite în liantul comun al crizei și al amenințărilor sporite de securitate.

”Marea noutate”, care a constituit și unicitatea acestei ediții, se regăsește în mutațiile pe care le trăim zi de zi: schimbarea radicală a modului de lucru și tot ce presupune asta, de la amenajarea unui spațiu de lucru, la asigurarea securității rețelelor, sistemelor, aplicațiilor și platformelor de comunicare și colaborare. Conceptul Home Working s-a transformat din situația privilegiată a unor grupuri restrânse la necesitatea continuării comunicării și colaborării, ca esență a continuității în business. Provocările tehnice, organizaționale și umane asociate cu noul stil de lucru țin de noile ipostaze din care lucrăm și trăim, de noi vulnerabilități, precum creșterea alarmantă a atacurilor informatice care și-au găsit un fundament propice pe vulnerabilitățile infrastructurii, pe lipsa de reguli clare, dar și pe curiozitatea specific umană avidă de informații referitoare la Coronavirus și la starea Pandemiei.     

Tematica generală a conferinței de anul acesta s-a axat pe subiecte legate de ”The State of IT OPS & Cybersecurity: lessons to be learned”, unde leit-motivul regăsit în toate prezentările a fost analiza complexă a implicațiilor crizei generate de Pandemie asupra siguranței și confidențialității datelor. Le-am promis celor peste 300 de participanți conectați la platforma de conferințe online un maraton de noutăți și subiecte de interes, și cred că ne-am ținut de cuvânt. O simplă parcurgere a agendei pe care o vedeți în captura alăturată poate susține complexitatea și diversitatea unghiurilor din care este privită cruda realitate: ce se întâmplă cu datele noastre în anul de grație 2020, care vă rămâne o lungă perioadă ca un punct de reper, un an pe care nimeni nu și l-a dorit dar pe care încă îl trăim, cu situații extreme greu de anticipat, ale căror efecte sunt greu de estimat.

Cu speranța unei strategii reale

Prezentarea de deschidere l-a avut ca invitat special pe Dan Cîmpean, director general CERT:RO, cu un subiect deosebit de fierbinte legat de necesitatea înființării unui Directorat Național de Securitate Cibernetică, un subiect dezbătut destul de intens în ultima perioadă, în special pe rețelele sociale profesionale. Așa cum deja s-a întâmplat în alte țări, noua entitate guvernamentală ar trebui să preia atribuțiile actualului Centru Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) și să asigure, pe lângă atribuțiile curente ale acestuia, premisele unui for național care să poate face față provocărilor de securitate cibernetică ridicate de dezvoltarea tehnologică accelerată și noile amenințări din economia digitală.

Dan Cîmpean, director general CERT.RO

Aflat la conducerea CERT.RO din mai 2020, Dan Cîmpean s-a afirmat rapid ca un adevărat catalizator al problematicilor specifice și activităților CERT.RO, găsind totodată, în ciuda unei agende de lucru super încărcate, răgazul necesar pentru dezbaterea celor mai arzătoare probleme și pe rețelele sociale, cu onestitate și profesionalism. Intervenția de la ESET Security Days s-a dovedit în aceeași notă, cu o expunere precisă și bine argumentată legată de nevoia reală de a ne depăși barierele și de a face un pas înainte către o aliniere la modul în care trebuie abordată Strategia Națională de Securitate Cibernetică.

Lansată încă din anul 2013, această strategie viza crearea unui sistem național integrat –Sistemul Național de Securitate Cibernetică (SNSC), ca un  cadru general de cooperare, reunind autorităţi şi instituții publice, cu responsabilități şi atribuţii în domeniul asigurării securității cibernetice și răspunsului la incidente, funcționând ca un mecanism unitar de relaționare şi cooperare interinstituțională. Strategia prevedea, de asemenea, dezvoltarea entităților de tip CERT-RO menite să supervizeze implementarea coerentă a tuturor măsurilor de prevenire şi reacție la atacurile cibernetice împotriva instituțiilor publice sau a companiilor private. Pentru mai multe detalii despre acest istoric citiți și articolulDe ce e necesară o nouă structură de guvernare a Strategiei de Securitate Cibernetică a României”.

În fine, la 1 ianuarie 2019 a intrat în vigoare Legea nr. 362/ 2018 prin care este transpusă Directiva (UE) 2016/1148 cunoscută și ca Directiva NIST care prevede măsuri pentru un nivel comun ridicat de securitate a rețelelor şi a sistemelor informatice în Uniune. Cu această ocazie, CERT-RO a primit noi atribuții, devenind  Autoritate Competentă la Nivel National pentru Securitatea Rețelelor şi Sistemelor Informatice, Punct Național de Contact şi CSIRT Național în domeniul de aplicare a Directivei NIS. Cu ocazia intervenției din cadrul ESET Security Days, domnul Cîmpean a anunțat că luna aceasta au fost aprobate și publicate actele subsecvente Legii nr. 362/2018 (Legea NIS), absolut necesare pentru identificarea și înscrierea operatorilor de servicii esențiale (OSE) în Registrul operatorilor de servicii esențiale, pentru aprobarea Listei serviciilor esențiale și a valorilor de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale.

De ce e nevoie de o nouă structură? Este destul de clar pentru toată lumea că premisele înființării CERT:RO din anul 2011 nu mai corespund realităților și evoluției tehnologice actuale. Așa cum aprecia Dan Cîmpean în intervenția sa, ”înființarea Directoratului Național trebuie să asigure premisele înlăturării obstacolelor întâlnite în anii anteriori prin conceperea, implementarea şi monitorizarea aplicării unor măsuri de securitate care să corespundă cerințelor europene actuale şi care să asigure un nivel ridicat de securitate a rețelelor şi a sistemelor informatice”. Având menirea de a depăși limitările actualei structuri CERT.RO, noul Directorat va trebui să depună toate eforturile pentru a crește nivelul de sensibilizare a cetățenilor, organizațiilor şi a companiilor, cu privire la toate aspectele legate de securitatea cibernetică. Totodată, noul Directorat ar putea acoperi actualele carențe de nivel instituțional din domeniul securităţii cibernetice din România, prin crearea structurilor şi mecanismelor esențiale pentru asigurarea securităţii spațiului cibernetic național, dar şi o arhitectură de cooperare inter-instituțională flexibilă şi eficientă, prin asigurarea unor roluri instituționale fundamentale.

Cât ne costă slăbiciunile

După această combinație de analiză lucidă a realităților și optimism legat de ceea ce s-ar putea face cu adevărat, a urmat o prezentare care ne-a readus un pic cu picioarele pe pământ. În expunerea sa, Toma Cîmpeanu, director executiv al ANSSI – Asociația Națională pentru Securitatea Sistemelor Informatice, ne-a oferit date reale, deosebit de interesante, legate de costurile ascunse ale lipsei de vigilență informatică. Orice vulnerabilitate a sistemelor, configurarea neadecvată și slăbiciunile umane sunt principalele surse care alimentează piața neagră a celor care ne pândesc din cyberspace.

Toma Cîmpeanu, director executiv ANSSI

Care sunt motivele pentru care apar atacurile și cum își aleg hackerii ținta? Majoritatea vor bani, dar mai sunt cei care vor să se răzbune pe ceva, sau să demonstreze cât sunt de deștepți, sau cei cărora pur și simplu le place să distrugă. Cum își câștigă hackerii banii? Cei mai mulți prin vânzarea datelor noastre sau prin blocarea sistemelor și solicitarea de răscumpărări. Ce fac hackerii cu banii câștigați? Cei mai mulți îi re-investesc în resurse din ce în ce mai sofisticate pentru noi atacuri. În bine-documentata plimbare prin paginile de DarkWeb, Toma Cîmpeanu ne-a atât cât de simplu este să îți procuri cele necesare pentru pregătirea unui atac, ba chiar și pentru experimente de simulare. În permanenta competiție dintre activitățile cyber-criminale și cele de apărare, hackerii vor fi mereu cu un pas înainte. Este un adevărat, perpetuum mobile, care a apărut odată cu primul virus informatic în 1988, când viermele Morris a apărut dintr-o eroare de laborator… (vă sună cunoscut?) și care anul acesta a găsit noi resurse de proliferare acolo unde utilizatorii sunt cei mai expuși. Adică acasă. Și pe subiecte de care cu toții suntem interesați. Adică despre Covid-19…

Omul ca sursă, ca armă și ca țintă

Bogdan Tudor, vicepreședinte CIO Council Romania

Venind ca o inspirată continuitate de tematică, prezentarea lui Bogdan Tudor, vice-președinte CIO Council România, a ”pus degetul pe rană”, referindu-se la latura umană a preocupărilor de securitate într-o lume tot mai impactată de efectele de tsunami ale crizei generate de Covid. Legăturile dintre virus-om-tehnologie sunt complicate și multiple. Virusul a fost creat de om, sau cel puțin propagat din neglijența acestuia. Cel mai afectat de virus este omul și tot el are datoria să lupte și să readucă lumea la o normalitate care nu mai reprezintă ceea ce înainte era normal. Noua normalitate este ca imaginea unei păduri, a unui oraș după cutremur sau a malurilor unor fluvii după inundație. Bogdan a trecut în revistă acele întrebări esențiale care ne preocupă pe toți. De ce erorile umane continuă să fie una dintre sursele principale ale vulnerabilităților informatice? De ce nu sunt oamenii în stare să își ia niște măsuri de protecție elementare, să devină imuni la atacurile de phishing sau inginerie socială sau să folosească așa cum trebuie instrumentele pe care le au?    De ce toate astea? Pentru că e vorba de om și deși ”a greși e omenește”, perseverarea în aceeași greșeală devine de neiertat. În plus, rezistența la schimbare și nealinierea la reguli sunt tot atribute ale comportamentului și slăbiciunilor umane.

Cine ne garantează securitatea instrumentelor de securitate?

Adrian Munteanu, Profesor Dr, Specialist și Auditor Securitate Sisteme

Mergând mai departe cu extrapolarea acestui subiect, Adrian Munteanu s-a referit la problemele de securitate by design, asociate testării securității aplicațiilor din cadrul echipelor de dezvoltare software. Familiar cu aceste probleme atât din perspectivă academică dar și din anii lucrați în proiecte, Adrian Munteanu este atât profesor dr. în departamentul Sisteme Informatice de Business, de la Facultatea de Economie și Business Administration din cadrul Univ. Al.I.Cuza, din Iași, cât și specialist cu mare experiență în controlul riscurilor și auditul în securitatea sistemelor de informații.

Conceptul security by design oferă dezvoltatorilor cadrul necesar pentru o bună punere în practică a folosirii controalelor de securitate în toate fazele de derulare a unui proces de dezvoltare de aplicații. Rolul standardelor și al experienței echipei sunt esențiale în acest domeniu. Din păcate, sunt încă destul de multe situații în care oamenii omit să aplice toate procedurile sau se mulțumesc cu o testare superficială, ceea ce conduce inevitabil la apariția bug-urilor și a zonelor de vulnerabilitate a unei aplicații, adică exact ceea ce hackerii vânează cu sârg, expunând serverele la atacuri coordonate până la supra-saturare  și speculând momentele de cădere ale sistemelor.  

Conform unei evaluări Cloudflare, volumul atacurilor de tip DDoD (Distributed Denial of Service) din al treilea trimestru al anului 2020

Nimic nu e nou sub soare – totul e de unde se formează umbra

Deși din punct de vedere conceptual securitatea și protecția datelor sunt fundamental diferite, dacă ne referim la complementaritatea măsurilor tehnice și organizaționale de asigurare a confidențialității și securității datelor, multe lucruri pot fi preluate din buna practică a metodelor de gestionare a securității sistemelor și puse în aplicare pentru obținerea conformității GDPR. Așa cum preciza Tudor Galoș, consultant de business cu experiență în probleme de transformare digitală și specialist certificat DPO al universității din Maastricht, conceptul privacy by design and by default (PbDbD) a fost dezvoltat de specialiștii canadieni și olandezi în confidențialitate și protecția datelor încă din 1995 și preluat ulterior de toate țările care au dezvoltat un cadru legislativ și tehnic în acest domeniu. Era inevitabil ca noul regulament european să nu preia acest concept și să îl introducă în articolul 25 din GDPR care statutează obligativitatea măsurilor de confidențialitate și protecția datelor prin construcție și implicit.

Tudor Galos, consultant digital transformation, certified DPO, trainer, speaker

Confidențialitatea prin design afirmă că orice acțiune întreprinsă de o companie, care implică prelucrarea datelor cu caracter personal, trebuie făcută având în vedere protecția datelor și confidențialitatea la fiecare pas. Aceasta include proiecte interne, dezvoltare de produse, dezvoltare de software, sisteme IT și multe altele. În practică, acest lucru înseamnă că departamentul IT sau orice departament care prelucrează date cu caracter personal trebuie să se asigure că confidențialitatea este integrată într-un sistem pe parcursul întregului ciclu de viață al sistemului sau procesului.

Confidențialitatea implicită înseamnă că, odată ce un produs sau serviciu a fost lansat publicului, cele mai stricte setări de confidențialitate ar trebui să se aplice în mod implicit, fără nicio introducere manuală de la utilizatorul final. În plus, orice date cu caracter personal furnizate de utilizator pentru a permite utilizarea optimă a unui produs ar trebui păstrate numai pentru timpul necesar pentru furnizarea produsului sau serviciului. Dacă sunt dezvăluite mai multe informații decât este necesar pentru furnizarea serviciului, atunci „confidențialitatea implicită” a fost încălcată.

Tudor a făcut o foarte bine documentată trecere de la cele 7 principii fundamentale ale cadrului Privacy by Design and by Default și modul în care pot fi puse în practică pentru demonstrarea conformității cu articolul 25 din GDPR, sub forma unui checklist de activități și proceduri generate de best practices.

Boy-oh-Boy, câte se mai pot întâmpla

Righard Zwienenberg, Senior Research Fellow ESET Laboratory

Punctul culminant al periplului prin actualitatea conceptelor de securitate și confidențialitate în anul de impact Covid l-a constituit demonstrația susținută de Righard Zwienenberg, Senior Research Fellow ESET Laboratory care s-a conectat cu noi din Olanda, regretând faptul că nu a mai avut ocazia să ne întâlnim la București, ca în anii trecuți. Showul susținut de Righard a plecat de la o expunere susținută la precedenta ediție ESET Security Days din noiembrie 2019, și întrebându-se ce se adeverește și ce nu din prezentarea amenințărilor informatice ale momentului, ne-a plimbat de la o întâmplare amuzantă petrecută la filmarea unui celebru videoclip cu Sabrina, la întâmplări și pericole reale petrecut cu ocazia sesiunilor de colaborare online și a lucrului de acasă. Foarte amuzant, dar și îngrijorător, a fost un filmuleț care a surprins intervenția unui hacker involuntar care a primit invitația de conectare și a intrat în direct la o ședință a unui cabinet ministerial. Richard a mai subliniat faptul că orice fel de platformă de comunicare folosim, aceasta poate fi expusă la atacuri și este rolul nostru să știm și să punem în aplicare toate măsurile de securizare a comunicării oferite de producător. Așa cum s-a tot discutat și s-a dovedit statistic, de multe ori breșele apar pentru că oamenii sunt aceia care nu știu cum să folosească o aplicație sau să seteze un instrument de securizare.

De la privilegiu la necesitate

Onoarea de a încheia acest maraton de informații din lumea securități informației și confidențialității datelor mi-a revenit chiar mie. A fost momentul în care m-am metamorfozat din moderator în prezentator și am avut norocul (sau poate nu chiar norocul…) ca tema aleasă să fie practic o sinteză a tot ceea ce s-a discutat anterior, cu puncte de vedere dintr-o altă perspectivă dar având aceeași finalitate de a explica auditoriului că stă în puterea noastră, a oamenilor, de a face ca lucrurile să se întâmple și ca mult discutatele concepte de securitate să ne ofere într-adevăr siguranță, iar mult-temutele articole din GDPR să ne ofere răspunsurile pentru asigurarea unei conformități reale, nu numai în teorie.

Plecând de la un titlu lung, care a avut menirea să pună cât mai bine în temă auditoriul: ”Care sunt măsurile tehnice adecvate pentru menținerea conformității GDPR în condițiile lucrului de la distanță?”, prezentarea mea s-a axat pe discutarea a trei probleme cheie cu care ne confruntăm astăzi:

  • Ce înseamnă și care sunt măsurile tehnice (și implicit și cele organizaționale) adecvate?
  • Ce înseamnă de fapt Conformitatea  GDPR și cum o putem menține?
  • Cum putem rezolva noile provocări asociate lucrului de la distanță, în speță de acasă?

Nu voi vorbi mai mult despre această prezentare, deja am depășit 3500 de cuvinte, dar promit că revin cu un alt articol dedicat acestor trei probleme care ne afectează în mod cumulat.

Povestea poveștilor

Concluzionând toate cele discutate la ESET Security Days, deși încă nu am întors a 12-a filă din calendar, a fost un an pe care nici cele mai sumbre scenarii nu l-a prevăzut. Și cred că sunt foarte puțini aceea care acum se încumetă să facă predicții pentru ce va fi anul următor. Întreaga lume se găsește acum într-o stare critică. Relaxarea din vară plătită înzecit. Evoluția necontrolată a Pandemiei, apoi a post-Pandemiei și în prezent a Pandemiei post-Pandemie și seria de măsuri succesive care au fost adoptate ne-au prins pe majoritatea dintre noi nepregătiți. Impunerea stării de urgență și adopția forțată a comunicării la distanță au asigurat cât de cât o continuitate a comunicării în condiții de izolare, dar au venit și cu și cu o nouă generație de vulnerabilități.

Nu toată lumea avea cele necesare pentru lucrul de acasă, și aici ne referim în primul rând la calitatea și securitatea conexiunii. Unele aplicații foarte populare prin ușurința de utilizare nu au putut face față la explozia de utilizatori simultani, nefiind pregătite din punctul de vedere al noilor cerințe de securitate.

În graba măsurilor adoptate, rareori s-a făcut o analiză a impactului acestor măsuri pentru siguranța și confidențialitatea datelor personale. Mulți nu au înțeles că GDPR este mai actual ca niciodată în situațiile de criză și că împreună cu securitatea informației trebuie să constituie în continuare un pilon de bază în orice plan de asigurare a continuității în business.

Punctul nevralgic a fost, este și va fi și în continuare  securitatea și confidențialitatea datelor. Multe organizații s-au adaptat, au rezistat și i-au învățat și pe alții ce ar trebui să facă, prin seturi de recomandări și de securitate și de bune practici de conformitate și responsabilitate pentru angajați, clienți și parteneri. Nimeni nu e singur pe lume. Toți suntem componente ale unui ecosistem social, cultural sau de business și dacă o rotiță din angrenaj nu face față, se duce de râpă tot. Întotdeauna efectele unor pierderi de date sunt greu de estimat și pot afecta în mod real viața persoanelor vizate. De cele mai multe ori ne costă înmiit, și acceptăm asta, să reparăm efectele unui incident, decât să investim un bănuț și puțin din timpul nostru pentru a preveni cauzele unui dezastru.