26 ianuarie 2016, orele 22:00. Varianta online a „The Times of Israel” publică ştirea frapantă a unui atac cibernetic asupra rețelei IT deținute de un departament din cadrul Ministerului Energiei din Israel. Conținutul știrii redă o cuvântare susţinută în dimineaţa aceleiaşi zile la conferinţa Cybertech din Tel Aviv prin care ministrul Yuval STEINITZ asigura audiența atât de existența incidentului cibernetic, cât și de capabilitățile statului israelian de a stopa efectele malițioase ale malware-ului idenficat. Ceea ce pare să fie surprinzător nu este contrastul dintre dominanţa Israelului pe piaţa soluţiilor de securitate cibernetică şi realitatea întâmplării, ci creșterea în frecvenţă a relatărilor publice ce au la bază un astfel de subiect.
Cu mai puţin de două săptămâni înaintea acestei știri, ediţia online a Reuters relata existența unui alt incident cibernetic, de data aceasta în Ucraina, unde autoritățile au descoperit un calculator infectat în reţeaua informatică a aeroportului Boryspil din capitala Kiev. Codul maliţios era similar cu cel pe care compania de securitate ESET într-o analiză de specialitate îl identificase ca fiind suspectul principal al penei de curent din 23 decembrie 2015, pană ce a afectat zona oraşului Ivano-Frankivsk din Ucraina şi, implicit, infrastructura companiei din domeniu, Prykarpattyaoblenergo.
Statistica atacurilor avansate ce țintesc infrastructura unei entități (advanced targeted attacks) sau care exploatează vulnerabilități necunoscute publicului larg (zero-day exploits) ne spune că, cel mai adesea, momentul detecției survine mult după ce s-a realizat deja infectarea rețelei. Putem presupune, deci, că știri ca cele prezentate mai sus sunt efecte ale unei posibile campanii îndelungate și planificate.
Pe o scară gradată a nivelului de insecuritate cibernetică, absența unei infrastructuri IT ne duce direct la bază, acolo unde suntem protejați chiar și de cel mai complex atac cibernetic ce ar putea exista vreodată, dar ce se întâmplă în cazul unei societăți informaționale care trebuie să asigure necesitățile cetățeanului conform epocii în care trăiește? În situația unei societăți ce își propune să ofere servicii publice eficiente, transparente și cel puțin disponibile online, nevoia de asigurare a securității cibernetice devine un subiect intrinsec.
Întrebările firești care se nasc în acest context sunt dacă România ca stat este cel puțin pregătită să identifice un astfel de atac cibernetic la nivelul propriilor infrastructuri informatice? Dar și care sunt pașii necesari a fi urmați în asigurarea acestui deziderat? Fără a ne opri asupra carențelor legislative curente, un posibil răspuns pentru ultima întrebare îl putem identifica în conținutul Strategiei Naționale de Securitate Cibernetică aprobate prin HG nr. 271/2013.
În concordanță, Serviciul Român de Informații și-a propus, în prima parte a anului 2013, realizarea unui proiect cu fonduri europene nerambursabile care să implementeze prevederile a două din direcţiile de acţiune stabilite prin strategia amintită, respectiv [1] Dezvoltarea capacităţilor naţionale de management al riscului în domeniul securităţii cibernetice şi de reacţie la incidente cibernetice în baza unui „Program naţional” vizând […] consolidarea, la nivelul autorităţilor competente, potrivit legii, a potenţialului de cunoaştere, prevenire şi contracarare a riscurilor asociate utilizării spaţiului cibernetic [simultan cu] creşterea nivelului de rezilienţă al infrastructurilor cibernetice şi [2] Promovarea şi consolidarea culturii de securitate în domeniul cibernetic [prin] derularea unor programe de conştientizare a […] administraţiei publice şi a sectorului privat cu privire la vulnerabilităţile, riscurile şi ameninţările specifice utilizării spaţiului cibernetic, [inclusiv prin] formarea profesională adecvată a persoanelor care îşi desfăşoară activitatea în domeniul securităţii cibernetice, promovarea pe scară largă a certificărilor profesionale în domeniu [şi] includerea unor elemente referitoare la securitatea cibernetică în programele de formare şi perfecţionare profesională a managerilor […], oferind suportul informaţional, analitic şi decizional necesar funcţionării Sistemului Naţional de Securitate Cibernetică.
Evoluţia proiectului
În decembrie 2013, lua naştere proiectul Sistem Național de Protecție a Infrastructurilor IT&C de Interes Național împotriva Amenințărilor Provenite din Spațiul Cibernetic, încadrat în Axa Prioritară III „Tehnologia Informaţiei şi Comunicaţiilor pentru sectoarele privat şi public”, Domeniul Major de Intervenţie 2 „Dezvoltarea şi creşterea eficienţei serviciilor publice electronice”, Operaţiunea 2 „Implementarea de sisteme TIC în scopul creşterii interoperabilităţii sistemelor informatice”.
Scopul a priori al proiectului a fost de a asigura consolidarea sistemelor de securitate cibernetică existente la nivelul infrastructurilor critice naţionale şi a infrastructurilor guvernamentale, având ca substrat dezvoltarea pe trei coordonate principale: actualizarea sau, după caz, completarea tehnologiilor de securitate existente în infrastructurile de securitate IT beneficiare, instruirea resursei umane responsabile cu administrarea acestor rețele și implementarea unui mediu colaborativ absolut necesar în contextul cibernetic actual.
O analiză anterioară derulării proiectului atrăgea atenția asupra unui spectru variat de implementări a conceptului de securitate la nivelul instituțiilor de stat, existența unor elemente IT neinteroperabile chiar în cadrul aceleiași infrastructuri, lipsa unor mijloace sau indicatori care să asigure analiza nivelului de securitate și, nu în ultimul rând, pregătirea deficitară a personalului cu responsabilități în domeniul în cauză. Toate aceste ipostaze ale nivelul de protecție existent la momentul realizării studiului reprezentau vulnerabilități în cunoașterea și conștientizarea prezenței unui posibil atac cibernetic în derulare la nivelul infrastructurii, fără a se mai lua în discuție eventuale capabilități de prevenire.
Revenind la statistică, majoritatea amenințărilor cunoscute ce țintesc infrastructuri IT, publice sau private, folosesc ca vector de infectare site-uri vulnerabile sau create special cu conținut malițios camuflat în codul paginilor web, mesageria electronică prin transmiterea unor mesaje cu atașament infectat, dar și orice dispozitiv mobil (laptop, telefon sau stick de memorie) ce poate fi inserat în rețeaua vizată. Pe fondul vulnerabilităților născute din politici de securitate precare, din lipsa unor metode de inspecție a fluxurilor de date menționate și din capabilitățile reduse de reacție ale resursei umane responsabile, acești vectori de infectare se transformă în adevărate riscuri la adresa securității cibernetice.
O privire exhaustivă asupra infrastructurii de reţea propuse de proiect cuprinde o gamă amplă de soluții de securitate delimitate în două zone ce au fost denumite generic DMZ și INTERN. În timp ce în arealul DMZ-ului sunt plasate sistemele ce iau contact cu mediul exterior și asigură accesul utilizatorilor interni la resursele din Internet, în zona INTERNĂ sunt gestionate informații specifice fiecărei organizații în parte.
Limitându-ne doar la o enumerare sumară a sistemelor achiziționate prin proiect, aceste soluții de protecție împotriva atacurilor cibernetice pot fi categorisite în funcție de rol:
Cu rol de inspecție a traficului pe bază de semnături
– Mail Gateway – produs cu capabilități anti-malware și anti-spam, necesar verificării conţinutului maliţios al mesajelor din mesageria electronică;
– Unified Security Management – produs cu funcționalități integrate ce permit inspecția IDS/IPS, setări de firewall și de politici de securitate;
– Web Gateway – produs necesar inspectării traficului generat pe utilizatorii interni la accesarea site-urile din Internet;
– Web Application Firewall – produs destinat protecției serviciilor web expuse în Internet împotriva atacurilor cunoscute, precum
Integer Overflows, Remote File Inclusion, Format String, Cross-Site Scripting, Cross-Site Request Forgery, SQL Injection ș.a.;
– Soluție de Antivirus;
Cu rol de analiză a traficului pe bază de comportament
– Soluție de analiză într-un mediu virtual – produs destinat analizei comportamentale a fişierelor executabile, script-urilor, DLL-urilor şi a URL-urilor identificate în traficul http și smtp;
Cu rol de evaluare și management al vulnerabilităților
– Vulnerability Management – sistem de evaluare a securităţii sistemelor de operare şi a aplicaţiilor (web sau de altă natură) aflat la dispoziţia administratorului de securitate local;
– Security Information and Event Management – produs ce are ca funcții colectarea centralizată, agregarea, normalizarea şi corelarea evenimentelor de securitate generate de echipamentele de reţea şi de securitate.
Toate soluțiile achiziționate au fost însoțite de cursuri de formare profesională cu scopul de a asigura instruirea angajaților responsabili cu administrarea și exploatarea tehnologiilor la nivelul fiecărei instituții.
Suplimentar asigurării cunoștințelor necesare de administrare, instruirea în domeniu prin aspectele sale sociale a favorizat și crearea unui mediu colaborativ, iar specializarea unui număr cât mai mare de oameni nu poate reprezenta decât un câștig în problematica spațiului cibernetic, orice abordare individuală în această arie având șanse reduse de succes.
Finalitatea proiectului a venit odată cu noiembrie 2015 și chiar dacă parcurgerea celor 23 de luni îngăduite implementării a cunoscut adesea momente de impas cauzate fie de inerția specifică, fie de resursa umană deficitară prin număr, astăzi putem afirma că un prim pas pentru protejarea infrastructurilor critice a fost făcut, lasând viitorului apropiat un alt pas, la fel de mare, spre dezvoltarea culturii tehnologice în mediul cibernetic.
Abstract
City power outage and cyber security, is there at least one common feature to name? Nowadays we call it cyber-attack and it seems to be an increased presence in our monthly news. What can it be done to improve our infrastructures’ protection against breakdowns, information leakage or any kind of cyber threat? As a good start, along with a trained human resource, it will be a minimum of cyber tools for inspection, investigation, and audit events in critical IT infrastructures. Those are the milestones that SRI achieved with the National Project for IT&C Infrastructure Protection against Threats Emanating from Cyberspace.
Autor: Alexandru Ghiţă
