Cyber security awareness – un concept pe care îl auzim tot mai des. Dar oare câți dintre noi conștientizează adevărata lui valoare, mai ales acum, într-o epocă în care Internetul ocupă mai toate aspectele vieții noastre? Câți dintre noi înțeleg ce înseamnă și ce implică cyber security awareness, într-o lume în care numărul incidentelor de securitate cibernetică crește exponențial?
De exemplu, din analiza The Global State of Information Security Survey 2015, realizată de PwC, reiese că numărul total de incidente de securitate cibernetică detectate în anul 2014 a crescut cu 48% faţă de 2013, atingând 42,8 milioane de evenimente la nivel global.
Pe de altă parte, potrivit datelor furnizate de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), acesta a primit în 2014 peste 78 de milioane de alerte de securitate cibernetică, privind mai mult de 2,4 milioane IP-uri unice din România implicate în diverse tipuri de incidente de securitate cibernetică.
Comparativ cu anul 2013, numărul alertelor a crescut cu 81,4%, iar cel al IP-urilor unice afectate cu 9,1%. 54% din alertele primite vizează sisteme informatice configurate necorespunzător, nesecurizate sau vulnerabile, care sunt folosite de agresori cibernetici pentru ascunderea identităţii şi derularea de atacuri cibernetice asupra altor ţinte. În plus, 46% din alerte vizează sisteme informatice din România, victime ale unor atacatori care au reuşit preluarea de resurse în cadrul unor botneţi, prin exploatarea unor vulnerabilităţi tehnice şi infectarea sistemelor cu diverse tipuri de malware.
Este deja un truism să precizăm că, pe lângă beneficiile incontestabile aduse la nivelul societăţii, informatizarea induce şi vulnerabilităţi şi riscuri de securitate cibernetică, tehnologiile informaţiei şi comunicaţiilor fiind la îndemâna tuturor. Spaţiul cibernetic a devenit, în ultimii ani, o opţiune tot mai atractivă pentru agresorii cibernetici, fie ei statali sau non-statali, de a-şi materializa intenţiile ilicite, întrucât nu implică resurse foarte mari, iar beneficiile pot fi imense, atât din punct de vedere al pagubelor produse, cât şi din perspectiva posibilităţilor de anonimizare. În aceste circumstanţe, societatea s-a schimbat radical. În urmă cu aproximativ cinci ani nu discutam despre atacuri care să afecteze sisteme şi organizaţii critice/ de interes strategic.
În 2011 vorbeam despre un singur astfel de atac, Red October – un atac cibernetic despre care se presupune că ar fi fost derulat de un actor statal, care a vizat obţinerea de informaţii confidenţiale privind politica externă, resursele naturale din Marea Neagră, dar şi secrete economice şi politice din această zonă – pe care îl şi consideram la acel moment drept cea mai mare ameninţare la adresa securităţii naţionale a României din ultimii 20 de ani.
Acum, având în vedere contextul geopolitic, respectiv apartenenţa ţării noastre la diferite organizaţii europene şi internaţionale, vorbim deja despre adevărate capabilităţi cibernetice ofensive dezvoltate de entităţi statale, care nu ezită să le utilizeze pentru culegerea de informaţii strategice şi dobândirea de avantaje de acest tip.
Atacurile au evoluat foarte mult, de la cele brute, la cele sofisticate, de tip Advanced Persistent Threat şi la campanii foarte bine orchestrate, care vizează ţinte precise, organizate în timp şi bazate pe studiu elaborat.
Domeniul financiar-bancar este, de asemenea, vizat de atacuri cibernetice. Botneţii sunt, în prezent, coloana vertebrală a acestor atacuri, în condiţiile în care astfel de reţele formate din sisteme informatice compromise sunt folosite pentru a derula atacuri cibernetice asupra altor ţinte, atât în România, cât şi în afara ţării.
Pe de altă parte, botneţii sunt comercializaţi pe piaţa neagră, aspect care marchează o evoluţie semnificativă pentru securitatea cibernetică, având în vedere că, în urmă cu câţiva ani, piaţa neagră a criminalităţii cibernetice se concentra pe distribuirea detaliilor bancare, datelor de autentificare, parolelor, cărţilor de credit false etc.
În plus, se poate observa o evoluţie clară către atacurile personalizate pentru anumite bănci, care denotă o cunoaştere foarte bună de către atacatori a măsurilor de protecţie existente în infrastructura atacată.
Alte tendinţe vizibile, care evoluează rapid şi în România, sunt atacurile asupra sistemelor de operare şi a aplicaţiilor dispozitivelor mobile, atacurile cu malware de tip ransomware – prin care agresorii criptează fişierele de pe sistemele informatice atacate şi solicită anumite sume de bani, ca răscumpărare pentru cheia privată necesară decriptării şi, nu în ultimul rând, atacurile asupra dispozitivelor şi echipamentelor din categoria Internet of Things – ale căror vulnerabilităţi pot fi exploatate de agresorii cibernetici, odată ce sunt conectate la Internet, pentru a obţine accesul în reţeaua în care sunt utilizate sau pentru lansarea de atacuri asupra altor ţinte.
Sergiu Banyai, Business Development Manager la Veracomp, sublinia recent într-un interviu televizat la IT Channel faptul că printre tendinţele fundamentale în ceea ce priveşte modul de realizare a atacurilor cibernetice se numără: atacurile asupra infrastructurii cibernetice a instituţiilor guvernamentale, foarte specializate, realizate de grupuri bine pregătite, unele chiar sponsorizate de diverse entităţi statale sau grupări criminale organizate; atacurile direcţionate către diverse bănci şi includ mecanisme de evitare a detecţiei; exploit-urile tot mai sofisticate, având ca țintă sistemele de operare mobile și aplicațiile mobile open-source.
În aceste condiții, asigurarea securității cibernetice trebuie să reprezinte o preocupare a tuturor indivizilor utilizatori ai unui sistem informatic (indiferent de drepturile de acces acordate) și a fiecărei entități publice sau private, responsabile pentru protecția propriilor infrastructuri cibernetice.
Dar ce înseamnă securitate cibernetică?
Potrivit Strategiei de securitate cibernetică a României, securitatea cibernetică reprezintă „starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic. Măsurile proactive şi reactive pot include politici, concepte, standarde şi ghiduri de securitate, managementul riscului, activităţi de instruire şi conştientizare, implementarea de soluţii tehnice de protejare a infrastructurilor cibernetice, managementul identităţii, managementul consecinţelor”.
Awareness
Atacurile cibernetice se derulează exploatând anumite slăbiciuni, pe care specialiștii le numesc vulnerabilități, iar acestea pot proveni – în principiu – din două zone: de la infrastructura cibernetică vizată (slăbiciuni în proiectarea și implementarea acesteia); sau de la utilizator, indiferent de drepturile de acces la sistem (slăbiciuni derivate din necunoaștere, indiferență, lipsa măsurilor de securitate, lipsa de specializare etc.).
Cele mai multe atacuri cibernetice s-au derulat prin exploatarea vulnerabilităţii umane, îndeosebi în rândul adulţilor de peste 40 de ani în privinţa riscurilor pe care le implică navigarea în condiţii de naivitate, aceasta reprezentând principalul obstacol în realizarea securităţii cibernetice.
Din această perspectivă, se resimte necesitatea dezvoltării unei culturi de securitate cibernetică a utilizatorilor sistemelor informatice şi de comunicaţii, adesea insuficient informaţi în legătură cu potenţialele riscuri, dar şi cu soluţiile de contracarare a acestora.
Ce înseamnă awareness?
A fi conştient presupune a avea cunoştinţă sau discernământ despre ceva. A fi conştient implică cunoştinţe dobândite prin propriile percepţii, dar şi din surse externe. Cyber security awareness nu înseamnă doar cunoaştere. A cunoaşte starea de securitate cibernetică sau nivelul acesteia nu este suficient. A cunoaşte nu implică şi a acţiona. Or, a acţiona este imperios necesar pentru asigurarea securităţii cibernetice. Cyber security awareness este cunoaştere combinată cu acţiune, cu atitudine, cu un comportament proactiv. A fi cyber security aware presupune a cunoaşte şi a înţelege riscurile provenite din spaţiul cibernetic şi a acţiona pentru a le preveni.
A fi cyber security aware presupune a-ţi crea propriul nivel de cultură de securitate cibernetică, prin educaţie, instruire şi exerciţiu, însă – dincolo de dimensiunea teoretică a conceptului – efortul trebuie depus cu precădere în sensul dezvoltării unui comportament activ, responsabil, de adoptare a unei conduite corecte, care să reducă în mod considerabil pericolele.
Autor: Maria Oancea
