Consens: utilizatorul, organizația și statul

În contextul în care fenomenul agresiunilor cibernetice cunoaşte o amplificare constantă, susţinută de aproape perfecta anonimizare specifică spaţiului virtual şi de cadrul legal lacunar de impunere a măsurilor sancţionatorii, securitatea cibernetică devine un deziderat tot mai greu de atins.

Construcţia şi aplicarea unui sistem eficient de securitate cibernetică a devenit un proces complex, multifaţetat, ce necesită o abordare multidisciplinară şi implicarea conjugată a statului, organizaţiei/ companiei şi utilizatorului (din dubla sa perspectivă, de angajat al organizaţiei şi de utilizator independent). În vederea susţinerii acestui demers, de importanţă critică este identificarea scopului comun, a intereselor convergente ale celor trei actori, în contextul în care pot exista perspective diferite asupra conceptului de protecţie, a relevanţei acesteia pentru satisfacerea intereselor generale, precum şi asupra implicaţiilor conexe generate.

Utilizatorul, organizaţia şi statul oferă cele trei abordări asupra procesului de asigurare a securităţii cibernetice, interferenţa acestora reprezentând soluţia optimă pentru iniţierea construcţiei unui sistem preventiv şi reactiv eficient, orientat spre securitate comună şi edificarea unei strategii defensive exhaustive.

Interdependenţa perspectivelor porneşte de la principiul conform căruia securitatea cibernetică nu este rezultatul exclusiv al aplicării unei soluţii software, ci al intercorelării atribuţiilor şi responsabilităţilor entităţii statale, organizaţiei şi utilizatorului pe acest palier. Astfel, acesta din urmă are nevoie de ceilalţi doi actori fie pentru crearea unui cadru legislativ protectiv şi coerent (de către stat), fie pentru iniţierea unor proceduri şi metodologii de lucru (de către organizaţie). Pe de altă parte, organizaţia are nevoie de cultura de securitate a utilizatorului şi de stat, unicul actor care deţine sau ar trebui să deţină instrumentarul sancţionatoriu capabil a determina diminuarea acestei ameninţări cu caracter de fenomen şi fundamentarea unui sistem preventiv. În acest scop, entitatea statală solicită implicarea celorlalţi actori, deoarece fiecare deţine partea sa de responsabilitate în cazul unei infectări cu malware a infrastructurilor cibernetice de interes pentru securitatea națională.

Statul – coordonator al procesului de securizare a amenințării cibernetice

Responsabilitatea superioară, prin prisma complexităţii atribuţiilor implicate, este cea a entităţii statale, garant al securității organizației și utilizatorului, al informațiilor vehiculate la nivelul infrastructurilor cibernetice de interes pentru securitatea națională, dar şi al fiecărei reţele informatice, indiferent de relevanţa informaţiilor vehiculate la nivelul acesteia.

La nivel guvernamental se realizează reglementarea normelor generale de securitate cibernetică, se stabilesc strategii şi se promovează abordări unitare ale unor concepte şi perspective evolutive, aplicate și dezvoltate de organizaţii, care se confruntă în mod direct cu efectele atacurilor cibernetice.

Statul propune o serie de soluţii, conforme strategiei şi intereselor naţionale/ supra-naţionale, în vederea constituirii unor mecanisme eficiente de prevenţie şi reacţie, un ansamblu coerent de acte normative şi decizii care vizează reducerea riscurilor specifice cyberspace-ului.

O abordare incoerentă a ciclului preventiv-reactiv-sancţionatoriu de către entitatea statală poate reprezenta o vulnerabilitate de securitate cibernetică pe care orice agresor va căuta să o speculeze în vederea derulării de activităţi ilegale în spaţiul virtual.

Totodată, construcția cadrului conceptual, organizatoric şi acţional, necesar asigurării securităţii cibernetice, prezintă relevanţă şi din perspectiva conturării unor cerinţe minimale de securitate pentru infrastructurile cibernetice ale fiecărei organizaţii.

Astfel, deţinătorii de infrastructuri cibernetice ar trebui să adopte şi să pună în aplicare politici (norme interne) de securitate cibernetică, cu respectarea unor cerinţe minime stabilite la nivel naţional, care să le permită identificarea şi implementarea măsurilor tehnice şi organizatorice adecvate pentru gestionarea eficientă a riscurilor inerente spaţiului virtual.

Organizația și rolul său în susținerea securității cibernetice

Atacurile cibernetice pot genera pierderea unor date de importanţă critică pentru companie, proprietate intelectuală sau relevante pentru valoarea comercială, situaţii de natură a afecta avantajul competitiv al entităţii respective. Mai mult, un studiu al Oxford Economic a demonstrat faptul că agresiunile cibernetice prezentate în spaţiul public (mass-media) determină un impact imediat asupra cotaţiilor bursei de mărfuri, „sensibile” la afectarea reputaţiei companiei-victimă, aspect de natură a implica importante pierderi financiare pentru aceasta.

Interesele organizaţiei impun tranziţia de la modul clasic în care este abordată securitatea cibernetică, focusat exclusiv pe reacţie şi control, la o abordare inovativă, care să includă și elemente de prevenție, bazată pe riscuri și o strictă ierarhizare a intereselor critice ale entităţii.

În scopul detectării rapide a intruziunilor cibernetice şi identificării unor reacţii defensive eficiente la acestea, organizaţiile trebuie să îşi reconfigureze politicile de securitate printr-o conexare eficientă a tehnologiilor, proceselor şi competenţelor umane cu activităţile specifice de risc management.

În esenţă, finanţarea proceselor care integrează capabilităţile predictive, preventive, de detectare şi de reacţie reprezintă soluţia optimă în vederea diminuării impactului agresiunilor cibernetice. O strategie eficientă va necesita cunoaşterea adversarului, a motivelor acestuia, resurselor, metodelor de atac, implicând asigurarea monitorizării şi analizei ameninţărilor, colaborarea cu spaţiul public şi cel privat, specializat în soluţii IT, sau cu alte entităţi ale căror cunoştinţe pot fi angrenate în acest proces, precum serviciile de intelligence.

În definitiv, nu există o politică de securitate cibernetică perfectă, fiind însă deosebit de importante corecta corelare a acesteia la specificul organizației și a mediului în care își desfășoară activitatea şi integrarea rolului pe care utilizatorul infrastructurilor cibernetice îl joacă în acest demers.

Utilizatorul, factor decisiv al succesului politicii de securitate cibernetică

Nicio politică de securitate cibernetică nu produce efectele scontate fără o implementare corectă și o aplicare la toate nivelurile organizației. Necunoașterea și dezinteresul utilizatorului primar determină neaplicarea regulilor fundamentale de securitate cibernetică, situație care reprezintă o vulnerabilitate a organizației și care, cel mai probabil, va fi speculată de agresorii cibernetici. Așadar, de o importanță critică pentru organizaţie este aplicarea politicii de asigurare a securităţii cibernetice, cu strictețe, de către fiecare angajat în parte. În lipsa concretizării măsurilor și soluțiilor trasate, politica de securitate devine nefuncțională, astfel încât utilizatorul reprezintă factorul decisiv pentru determinarea succesului/ insuccesului acesteia.

Există o multitudine de reguli și bune practici în ceea ce privește rolul utilizatorului în procesul de asigurare a securității cibernetice, toate focusându-se pe importanța fundamentală a responsabilizării acestuia pentru fiecare acțiune derulată de pe stațiile de lucru ale organizației.

Din perspectiva sa de utilizator independent, acesta poate aplica aceleaşi principii vehiculate în mediul organizaţional în lipsa constrângerilor specifice statutului de angajat, ci exclusiv din convingerea că respectarea regulilor şi normelor de accesare a serviciilor online poate determina diminuarea riscurilor de infectare cu malware.

Astfel, dezvoltarea fenomenului ransomware la o scară exponenţială determină necesitatea ca utilizatorul să devină un jucător activ pe componenta securităţii cibernetice, în caz contrar interesele sale imediate (atât cu privire la securitatea datelor, cât şi de ordin financiar) fiind serios periclitate.

Conform datelor furnizate mass-media de FBI în iunie 2015, au fost raportate, pe teritoriul american, aproximativ 1.000 de victime ale CryptoWall, una dintre cele mai recente forme de ransomware, în doar primele trei luni de activitate ale acestui malware. Costurile estimate ale utilizatorilor pentru obţinerea cheii private necesare decriptării datelor au fost de 18 milioane de dolari. Însă, nu întotdeauna achitarea recompensei solicitate de agresor garantează recuperarea fişierelor.

Perspective pentru construcția consensului

Responsabilitatea convergentă a statului, organizației și utilizatorului în ceea ce privește asigurarea securității cibernetice reprezintă soluția indispensabilă menținerii funcționalității fiecărui actor în spațiul virtual. Defectarea acestei triade poate genera repercusiuni incomensurabile pentru fiecare membru în parte, astfel încât interdependența determină nevoia de cooperare și directare unitară a efortului de securizare.

Disfuncționalitățile în activitatea fiecăruia afectează întregul proces de asigurare a securităţii cibernetice, astfel încât este necesară o atentă analiză a potențialelor surse generatoare de inconveniențe și identificarea, de comun acord, a unor soluții eficiente.

În construcția și implementarea unui sistem de securitate cibernetică eficient, corelat la necesitățile fiecărui actor din spațiul virtual, este fundamentală edificarea unui parteneriat strategic public-privat, în urma căruia atât statul, cât și compania să obțină satisfacerea propriilor interese printr-o abordare comună. Decidentul politic trebuie să se folosească de expertiza mediului privat, în special a companiilor IT ce dețin importante centre de analiză malware sau de inovare pe componenta tehnologică, dar și a marilor firme ce și-au construit sisteme de protecție cibernetică eficiente, pentru a identifica vulnerabilități, soluții și a prognoza evoluția amenințărilor cibernetice. De asemenea, partenerul privat poate apela la sprijinul instituțiilor cu responsabilități în domeniul cybersecurity, în vederea stabilirii unor mecanisme de notificare în caz de incident cibernetic, efectuării unor teste de penetrare, a schimbului de informații și expertiză cu privire la agresiunile cibernetice, precum și susținerii demersului de instruire a personalului.

Utilizatorul poate și trebuie să susțină acest proces, responsabilizarea sa fiind imboldul necesar demarării proiectelor de securizare și nu rezultatul acestora.

Interdependenţa acestor interese poate reprezenta scheletul construcţiei unei strategii naţionale de identificare a consensului în domeniul securităţii cibernetice, coordonate de către stat, care ar putea fi constituită din trei elemente:
– politică de iniţiere/ dezvoltare a culturii de securitate cibernetică a utilizatorului;
– campanii de conştientizare a riscurilor cibernetice la care este supusă infrastructura cibernetică a organizaţiei şi care afectează îndeplinirea obiectivelor acesteia;
– demersuri de promovare a parteneriatului public-privat în domeniul securităţii cibernetice.

În definitiv, membrii triadei stat-organizaţie-utilizator trebuie să conştientizeze că orice moment de întârziere în procesul de identificare a intereselor comune în planul securităţii cibernetice produce pagube însemnate, de ordin financiar şi/ sau în planul securităţii naţionale. În vederea transformării acestei triade într-un garant al securităţii cibernetice, soluţia optimă ar fi identificarea şi negocierea elementelor disonante, a piedicilor în calea construcţiei consensului.

Abstract

Building and applying an efficient cybersecurity system require the joint contribution of the state, organization, and user, having a critical impact on the identification of the common goals and convergent interests of all three stakeholders.

Considering the complexity of the assigned attributes involved in this process, the main responsibility rests with the state, as a guarantor of the organization’s and user’s cybersecurity.

The organization’s main objective is to implement the transition from the classic pattern of cybersecurity, entirely focused on reaction and control, to an innovative approach based on prevention, risks, and a strict classification of the entity’s critical interests.

The user’s ignorance and lack of interest are the main causes for breaking fundamental cybersecurity rules and can represent an organization’s vulnerability most likely to be exploited by hackers.

The interdependence of the three stakeholders’ interests can represent the most important element in the construction of a national strategy, which can be coordinated by the state based on three primary elements: an innovative user’s policy of cybersecurity culture, an awareness strategy of cyber risks for the organization’s cyberinfrastructure, and a public/ private partnership in cybersecurity field.

Autor: Radu-Mihai Corbeanu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*