„În ultimii ani, atacurile la adresa sistemelor informatice reprezintă o amenințare emergentă la nivel internațional”
MARIUS BERCARU: Cât de semnificativă este amenințarea din spațiul cibernetic pentru state, în general, și pentru România, în particular?
FLORIN COSMOIU: În ultimii ani, atacurile la adresa sistemelor informatice reprezintă o amenințare emergentă la nivel internațional, derularea acestora fiind conexată evenimentelor cu impact asupra statelor sau comunităților din cadrul societății.
Din această perspectivă, se poate afirma că spațiul cibernetic a devenit o reflexie a conflictelor și stărilor de tensiune pe plan mondial.
În caz particular, raportându-ne la calitatea țării noastre de membru NATO și UE, alături de poziţia geografică, resursele de care dispune şi obiectivele strategice pe care le are, România are statutul de țară vizată de atacuri cibernetice, în scopul principal de exfiltrare de informații strategice.
MARIUS BERCARU: Putem să ne gândim că pagubele unui atac cibernetic sunt comparabile cu cele ale unui atac cu armată clasică?
FLORIN COSMOIU: Pagubele acestor tipuri de acțiuni sunt dificil de comensurat, în special prin prisma efectelor pe termen lung pe care le implică fiecare dintre ele. De altfel, este bine ştiut că una dintre caracteristicile ameninţării cibernetice o reprezintă caracterul asimetric, acesta însemnând o relaţie de invers proporţionalitate între investiţiile într-un atac şi valoarea pagubelor produse.
Cu toate acestea, în ultima perioadă se poate observa o tendință tot mai accentuată cu privire la realizarea de atacuri „cyberkinetice”, cu efect asupra spaţiului fizic.
În acest sens, putem exemplifica prin atacul de la sfârșitul anului 2015 din Ucraina, într-o regiune situată la granița cu România, când agresorul cibernetic a preluat sub control infrastructura de furnizare a energiei electrice. Rezultatul în acest caz a fost încetarea furnizării de energie electrică timp de câteva ore în regiunea respectivă. Totodată, în cazul în care entitățile teroriste și-ar dezvolta capabilitățile tehnologice în realizarea unor atacuri cibernetice de amploare, acestea pot avea un impact devastator asupra societății.
MARIUS BERCARU: Se vorbește foarte des de atacuri cibernetice realizate de actori statali. Care ar putea fi scopul acestor atacuri? Ce își propune acest gen de atacuri?
FLORIN COSMOIU: Atacurile cibernetice realizate de actori statali vizează în principal infrastructurile cibernetice de interes naţional, urmărind preluarea controlului asupra acestora, în scopul sustragerii de informaţii confidenţiale, de natură strategică, circumscrise domeniilor afaceri externe, economico-financiar, energetic, apărare, ordine publică şi securitate naţională.
MARIUS BERCARU: Cum putem să deosebim un atac al unui actor statal de cel cu intenții criminale?
FLORIN COSMOIU: Principala diferență între cele două tipuri de atacuri cibernetice o constituie motivația atacatorului.
Aşa cum menţionam anterior, agresorii statali vizează exfiltrarea de informații strategice din sferele de interes, în timp ce principalul resort motivaţional în cazul atacurilor cibernetice criminale îl reprezintă obţinerea de foloase financiare ilicite.
De asemenea, agresiunile cibernetice de natură statală sunt mai dezvoltate din punct de vedere al nivelului tehnologic.
MARIUS BERCARU: Care sunt principalele tipuri de atacuri criminale?
FLORIN COSMOIU: Activităţile subsumate criminalităţii informatice vizează cu predilecţie domeniul economiei digitale, prin compromiterea confidenţialităţii datelor gestionate de platformele de comerţ electronic (care au rămas ţinte predilecte) şi fraudarea conturilor/ fondurilor clienţilor acestora. De asemenea, în derularea acestui tip de atacuri, sunt vizați atât utilizatorii serviciilor de banking online, cât și infrastructurile cibernetice ale instituțiilor bancare.
Grupările infracţionale recurg la crearea şi utilizarea de reţele de boţi, ca instrumente pentru derularea altor atacuri cibernetice, însă predominanta ultimilor ani a fost dată de utilizarea şi distribuirea de malware, în special a celui de tip ransomware (CryptoLocker).
Atacurile derulate prin utilizarea de ransomware au un impact major asupra victimelor în situaţia, foarte frecventă, în care acestea nu au măsuri minimale de protecţie (back-up al datelor şi un program antivirus). În plus, până în prezent nu a fost identificată o soluţie pentru recuperarea cheii private necesară pentru decriptarea datelor, fără a plăti recompensa. Relevant este faptul că plata recompensei nu garantează recuperarea datelor.
MARIUS BERCARU: În cel fel afectează atacurile cibernetice utilizatorii de acasă, cetățenii în general?
FLORIN COSMOIU: Calculatorul unui cetăţean poate fi ținta unui atac sau poate fi folosit pentru a derula un atac cibernetic. Spre exemplu, prin distribuirea de aplicații malițioase către o țintă, agresorii cibernetici pot dobândi accesul la sistemul informatic vizat și obține controlul asupra acestuia, în scopul utilizării unei părți din capacitatea de procesare a sistemului în derularea de activități infracționale. Totodată, atacatorii vizează obținerea datelor personale din calculatoarele țintă, cum ar fi credențialele de conectare la diverse platforme online, în vederea obținerii unor foloase financiare ilicite sau în scopul de a șantaja victima.
MARIUS BERCARU: Există estimări cu privire la numărul de computere din România infectate într-un fel sau altul?
FLORIN COSMOIU: Nicio instituție nu deține date exacte cu privire la numărul de calculatoare infectate la nivelul României. Raportându-ne la cele trei categorii de utilizatori, respectiv utilizatori casnici, persoane juridice de drept privat și instituțiile de drept public, este greu să stabilim cu exactitate numărul sistemelor informatice infectate.
Ca date statistice, potrivit raportului cu privire la alertele de securitate cibernetică procesate de CERT-RO în anul 2014, au fost implicate în cel puțin o alertă de securitate cibernetică un număr de 2.4 milioane de IP-uri unice, aproximativ 24% din totalul alocat spațiului cibernetic românesc.
Numărul real de calculatoare infectate este mai scăzut, dar este greu de estimat, în special din cauza alocării dinamice a IP-urilor, existând totodată și situații în care un utilizator se poate conecta cu același sistem informatic la Internet atât prin rețeaua de acasă sau de la locul de muncă, cât și prin intermediul unui hotspot wireless dintr-un spațiu public.
MARIUS BERCARU: Cum își pot proteja instituțiile rețelele de computere? Dar cetățenii, ce măsuri își pot lua pentru laptopul de acasă? Vă rugăm să sintetizăm pentru cititori cele mai importante 5 sfaturi pentru cetățeni și instituții.
FLORIN COSMOIU: În vederea asigurării securității cibernetice a infrastructurilor cibernetice pe care le dețin sau le au în responsabilitate, persoanele juridice de drept public sau privat ar trebui să implementeze un set de politici și planuri de securitate care să respecte un set de cerințe minime de securitate cibernetică, să realizeze – anual sau când este necesar – audituri de securitate cibernetică, să implementeze un sistem de management al incidentelor de securitate cibernetică, să nu permită accesul neautorizat la datele deținute la nivelul acestor infrastructuri și să desemneze persoane responsabile în ceea ce privește coordonarea activităților de securitate cibernetică.
În privința persoanelor fizice, acestea ar trebui să folosească sisteme de operare și programe software cu licență, să actualizeze permanent sistemului de operare și browser-ul utilizat, să folosească soluții antivirus actualizate zilnic și să efectueze scanări periodice ale sistemului pentru identificarea posibilelor fișiere cu conținut malițios. Nu în ultimul rând, este foarte important ca utilizatorii să nu acceseze linkurile primite prin e-mailuri care solicită actualizarea informațiilor personale, întrucât entitățile legitime nu cer niciodată furnizarea sau verificarea unor informații sensibile printr-un mijloc nesigur, precum e-mailul.
În spațiul cibernetic, utilizatorul reprezintă primul filtru în prevenirea contactului cu aplicații malițioase.
MARIUS BERCARU: Au existat cazuri de instituții românești atacate? Care sunt instituțiile statului care gestionează astfel de cazuri?
FLORIN COSMOIU: Bineînțeles, luând în considerare rolul pe care România îl are în arhitectura de securitate a UE și NATO, instituțiile românești au fost şi vor fi vizate de atacuri cibernetice cu un înalt nivel tehnologic.
În ceea ce privește cunoașterea, prevenirea și contracararea atacurilor cibernetice desfășurate de actori statali la adresa instituțiilor din România, Serviciului Român de Informaţii îi revine un rol important în domeniu.
Trebuie să reţinem, totuşi, faptul că demersul naţional principal de consolidare a capabilităţilor de apărare cibernetică l-a reprezentat constituirea Sistemului Naţional de Securitate Cibernetică şi a Consiliului Operativ de Securitate Cibernetică, entităţi prevăzute prin Strategia de Securitate Cibernetică a României.
Conform Strategiei, Sistemul Naţional de Securitate Cibernetică reprezintă cadrul general de cooperare pentru asigurarea securităţii cibernetice, care reuneşte autorităţi şi instituţii publice cu responsabilităţi şi capabilităţi în domeniu. Acesta acţionează pe componentele de cunoaştere, prevenire, cooperare și coordonare, contracarare, toate acestea realizându-se prin informare, monitorizare, diseminare, analizare, avertizare, coordonare, decizie, reacţie, refacere şi conştientizare, adoptare de măsuri proactive şi reactive.
Organismul prin care se realizează coordonarea unitară a SNSC, desemnat prin această Strategie, este COSC (din care fac parte, în calitate de membri permanenţi, reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaţională, Serviciului Român de Informaţii, Serviciului de Telecomunicaţii Speciale, Serviciului de Informaţii Externe, Serviciului de Protecţie şi Pază, Oficiului Registrului Naţional pentru Informaţii Secrete de Stat, secretarul Consiliului Suprem de Apărare a Ţării).
MARIUS BERCARU: Nu putem evita proiectul legii securității cibernetice. De ce este necesară o astfel de lege?
FLORIN COSMOIU: Din punct de vedere strategic, la nivelul României trebuie continuate eforturile de creare şi dezvoltare a unui cadru legislativ eficient, care să asigure condiţiile necesare printr-o cooperare strânsă cu entităţile afectate a atacurilor cibernetice.
Cadrul naţional actual de reglementare legislativă şi nivelul de operaţionalizare a instituţiilor şi structurilor cu atribuţii în domeniul securităţii cibernetice din România nu permit, în prezent, prevenirea şi contracararea eficientă a unor atacuri cibernetice la scară naţională.
O lege a securităţii cibernetice ar stabili cadrul general de reglementare a activităţilor în domeniul securităţii cibernetice şi obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice.
De asemenea, un astfel de act normativ ar institui cadrul legislativ care să permită instituţiilor statului cu atribuţii în domeniul cyber să cunoască, prevină şi contracareze ameninţările cibernetice, să diminueze vulnerabilităţile infrastructurilor cibernetice şi să asigure exercitarea neîngrădită a drepturilor şi libertăţilor fundamentale ale persoanelor în spaţiul cibernetic.
În absenţa posibilităţii de descurajare sau diminuare directă a nivelului de agresivitate a atacurilor cibernetice, măsurile de reacţie necesare trebuie să aibă în vedere limitarea / eliminarea vulnerabilităţilor create de cadrul legal insuficient dezvoltat în acest domeniu şi de nivelul precar al culturii de securitate cibernetică la nivelul entităților publice și private.
MARIUS BERCARU: Există voci care, în cursul dezbaterii publice cu privire la noul proiect de lege a securității cibernetice, au afirmat că instituțiile statului vor putea controla online-un românesc. Care sunt garanțiile de respectare a drepturilor cetățenești în acest caz?
FLORIN COSMOIU: Constat la nivelul societății civile o preocupare majoră, în ceea ce priveşte instituțiile statului și modul în care activitatea acestora pot afecta dreptul la intimitate prin introducerea acestei legi, aspect absolut legitim, susținut de poziția SRI, potrivit căreia datele cu caracter privat pot fi accesate decât prin mandat emis de judecător.
Nu observ, însă, aceeași îngrijorare cu privire la faptul că datele personale ale cetățenilor pot fi accesate şi folosite de către persoane rău voitoare, grupări de criminalitate informatică, entități străine sau de către agresori cibernetici.
Legea securității cibernetice a României statuează clar faptul că, numai în cazurile în care există indicii temeinice privind afectarea securității cibernetice, drepturile cetățenilor pot fi restrânse doar prin mandat judecătoresc.
MARIUS BERCARU: James Clapper, directorul Comunității americane de informaţii, avertiza recent în cadrul unei audieri în congres despre un nou pericol: ”In the future, intelligence services might use the Internet of Things for identification, surveillance, monitoring, location tracking, and targeting for recruitment.” Domnule Cosmoiu, cum anticipați securitatea cibernetică a viitorului, mai ales în contextul marcat de dezvoltarea programelor analitice de big data și de ceea ce numim Internet of Things?
FLORIN COSMOIU: Indiferent de modul în care evoluează tehnologia, dreptul la viață privată a utilizatorului trebuie să primeze, iar ca acesta să fie asigurat, trebuie să existe o legislație clară privind exercitarea acestui drept în spațiul cibernetic. În acest sens, legislația trebuie să conțină reglementări care să oblige producătorii / dezvoltatorii de tehnologii la implementarea unor măsuri de protecție adecvate a utilizatorilor, în raport cu orice terț.
