De-a lungul timpului, odată cu progresul și inovațiile specifice domeniului IT&C, prin implementarea la scară largă a unor tehnologii care să faciliteze interacțiunea cu mediul online, amenințările cibernetice au evoluat, atât din punct de vedere al complexității, formele specifice de manifestare suferind mutații, cât și al frecvenței, numărul atacurilor cibernetice crescând de la an la an. Dacă la începutul anilor ’90, securitatea cibernetică era o preocupare exclusivă a departamentelor IT din cadrul instituțiilor publice și al companiilor private, în prezent, pe fondul creșterii cantitative și calitative a amenințărilor, preocupările specifice domeniului s-au mutat la nivelul strategic al acestor entități. Astfel, putem vorbi de o transformare radicală a domeniului, inclusiv prin modificarea cuvintelor cheie care definesc securitatea cibernetică. În primă fază, cuvinte precum virus și worm caracterizau securitatea cibernetică, dar în prezent Advanced Persistent Threat (APT), Internet of Things (IoT) sau chiar Artificial Intelligence (AI) și Machine Learning (ML) sunt tot mai des utilizate de experții în domeniu.
Cum a evoluat amenințarea cibernetică
Primul atac cibernetic notabil a avut loc în 1988, când Robert Morris, tânăr absolvent al universității Cornell din Statele Unite ale Americii, a creat primul worm care a vizat și infectat pe „scară largă” – aproximativ 6000 de sisteme, care la momentul respectiv reprezentau în jur de 10% din totalul de calculatoare conectate la Internet. Morris Worm, așa cum a fost denumit, a fost prima aplicație malware prin care s-a reușit realizarea unui atac de tip Denial-of-Service (DoS). Pentru eliminarea infecției, administratorii rețelelor regionale de Internet au decis deconectarea acestora în vederea neutralizării amenințării, demersul realizându-se într-un orizont de câteva zile. Astfel, pentru câteva zile, toată rețeaua Internet existentă la nivel mondial și-a întrerupt activitatea.
Atacuri care utilizau aplicații malware de tip virus, worm, spyware și chiar ransomware au fost preferate de hackerii anilor ’90. Astfel, mediul de securitate cibernetică existent în acea perioadă poate fi asimilat criminalității cibernetice din zilele noastre, prin prisma motivației și a complexității atacurilor derulate.
La nivelul Serviciului Român de Informații, anii ’90 au reprezentat momentul de început în ceea ce privește asigurarea securității cibernetice a propriilor sisteme, existând preocupări pentru securitatea hardware și software.
Începând cu anii 2000, nivelul de complexitate al amenințării cibernetice a început să crească, realizându-se primii pași în direcția anonimizării scopului real al atacatorilor, prin aplicațiile de tip trojan. Acestea au fost și sunt utilizate în prezent, atât de actori din sfera criminalității cibernetice, cât și de entități cu motivație strategică, prima decadă a secolului XXI fiind momentul în care activitățile de spionaj cibernetic au fost inițiate la scară largă. Câteva exemple notabile în acest sens sunt grupările APT1 și APT28, care au vizat atât ținte din spectrul guvernamental (afaceri externe, domeniul militar și administrație publică), cât și entități private (din domeniul financiar, aerospațial, IT&C, transporturi).
La nivelul NATO, Summitul din 2002 de la Praga a fost primul moment în care securitatea cibernetică a Alianței a fost abordată la nivel strategic, în rândul statelor aliate resimțindu-se necesitatea protecției sistemelor informatice ce ar fi trebuit să fie utilizate la Summitul de la Riga din 2006.
Redefinirea securității cibernetice
Anii 2007-2008 au reprezentat o perioadă-cheie pentru definirea actuală a mediului de securitate cibernetică, fiind prima dată când o entitate cu motivație strategică a atacat cibernetic infrastructura IT&C guvernamentală a altor state. De asemenea, această perioadă poate fi considerată cea în care „armele cibernetice” au început să fie utilizate pe scară largă.
Răspunsul NATO la aceste activități din spațiul cibernetic s-a concretizat prin adoptarea primei strategii a Alianței în acest domeniu, în luna ianuarie 2008 – Policy on Cyber Defence.
La nivelul Serviciului Român de Informații, anul 2008 a reprezentant momentul în care s-a realizat trecerea de la protecția propriilor sisteme, către o preocupare constantă pentru asigurarea securității cibernetice a infrastructurilor IT&C cu valențe critice existente la nivel național, fiind constituite două departamente cu atribuții în acest sens: unul care a abordat securitatea cibernetică din perspectivă HUMINT și altul care a realizat abordarea din perspectivă tehnică.
Revenind la amenințarea cibernetică în general, anul 2010 a însemnat o etapă definitorie pentru aceasta. Astfel, a fost cunoscută o nouă formă de manifestare a amenințării, sabotajul cibernetic, aplicația worm Stuxnet vizând producerea unor pagube materiale însemnate. Din punct de vedere tehnologic, Stuxnet a fost concepută să exploateze vulnerabilități zero-day cu scopul compromiterii echipamentelor care controlau centrifugele utilizate pentru producerea și îmbogățirea uraniului.
Un alt moment important pentru mediul de securitate cibernetică din România a fost anul 2013, în care s-a adoptat Hotărârea de Guvern nr. 271/2013 prin care se aproba Strategia de securitate cibernetică a României. Urmare acestui document strategic și a trendurilor tot mai accentuate existente la nivel mondial, prin Hotărârea Consiliului Suprem de Apărare a Țării, SRI a fost desemnat autoritate națională în cyberintelligence. Astfel, la nivelul Serviciului s-a decis „coagularea” domeniului și crearea unei unități specializate în prevenirea și contracararea amenințărilor cibernetice existente la adresa infrastructurilor IT&C cu valențe critice pentru securitatea națională – Centrul Național CYBERINT. În perioada 2014-2016, la nivelul NATO și UE au existat preocupări tot mai intense pentru creșterea nivelului securității cibernetice, atât pentru Alianță și Uniune, cât și pentru membri la nivel național și au fost încheiate numeroase parteneriate public-private pentru a dinamiza cooperarea dintre aceste entități.
La Summitul de la Varșovia din 2016, șefii de stat și de guverne din NATO au decis să definească spațiul cibernetic drept domeniu operațional alături de sol, aer, apă. Acest aspect a avut rolul de a îmbunătăți modul în care NATO își îndeplinește obiectivele de apărare a spațiului cibernetic aliat.
Caracteristicile ameninţărilor cibernetice
În prezent, ameninţările provenite din spaţiul cibernetic pot fi caracterizate prin complexitate ridicată, dinamism şi automatizare, fapt ce a generat adaptarea instrumentelor pe care experţii în securitate cibernetică le utilizează pentru prevenirea şi contracararea atacurilor. În acest sens, se dovedesc de real interes, atât pentru atacatori, cât şi pentru cei care asigură securitatea infrastructurilor IT&C, produsele concepute având la bază inteligenţa artificială, inclusiv Machine Learning. Din perspectiva atacatorului, prin utilizarea acestor tehnologii pot fi generate automat instrumente necesare desfăşurării unui atac cibernetic dificil de detectat prin mijloace tradiţionale, iar pentru cei care asigură securitatea infrastructurilor pot fi dezvoltate soluţii care detectează automat ameninţările cibernetice pe baza analizei anomaliilor de comportament.
Cu toate acestea, eficienţa produselor cu capabilităţi de inteligenţă artificială depinde în foarte mare măsură de cantitatea de date relevante avute la dispoziţie pentru antrenarea algoritmilor, atât în cazul atacatorului, cât şi în cazul celui care protejează o infrastructură IT&C. Cu cât există mai multe date disponibile, cu atât aplicaţia va fi mai eficientă, principiul pe care funcţionează aceasta fiind cel al învăţării în mod continuu.
Având în vedere faptul că progresul tehnologic a determinat o îmbunătăţire a capabilităţilor, atât din punct de vedere ofensiv, cât şi defensiv, folosirea inteligenţei artificiale pentru derularea unor atacuri cibernetice nu mai este o chestiune ipotetică, ci una absolut reală. În acest context, transmiterea automată a unor mesaje de tip spear phishing în orice limbă sau adaptarea aplicaţiilor malware care nu şi-au îndeplinit scopul şi rescrierea automată a acestora în funcţie de lecţiile învăţate sunt scenarii plauzibile a căror manifestare a devenit posibilă odată cu implementarea pe scară largă a AI şi ML.
În ceea ce priveşte corelaţia dintre atacurile cibernetice şi motivaţia actorilor implicaţi, se remarcă adaptarea şi utilizarea unor tehnici de atac neobişnuite de către actori care în mod tradiţional utilizau alte tipuri de aplicaţii malware pentru atingerea scopurilor. Astfel, atacurile cu motivaţie financiară, specifice grupărilor de criminalitate cibernetică, au crescut în complexitate şi volum, fiind realizate inclusiv atacuri ce folosesc malware de tip APT.
Abstract
Over time, as innovation and progress became part of the IT&C industry, by widespread implementation of new technologies that were aimed to make easier the user-Internet interaction, cyber threats have evolved from both complexity and frequency, by modifying specific ways of manifestation and continuously increasing the number of cyber-attacks. If at the beginning of ’90, cyber-security was an exclusive preoccupation of IT departments, now it is a matter of strategic involvement from both public and private entities.
Autori: Anton Rog şi Cristian Condruţ
