În mediul actual de securitate, caracterizat prin asimetrie și incertitudine, lista pericolelor este completată cu un nou tip de ameninţare – cibernetică – unde actorii sunt reprezentaţi de entităţi statale şi non-statale.
În ultimii ani, amenințarea cibernetică a reprezentat una dintre cele mai persistente și dinamice amenințări la adresa securității naționale a României, aflându-se într-o evoluție continuă, atât din punctul de vedere al numărului de agresiuni, cât și al complexității metodelor specifice utilizate.
Raportându-ne la calitatea țării noastre de membru NATO și UE, la poziția geografică, resursele de care dispune și obiectivele strategice pe care le are, remarcăm că România nu mai reprezintă doar o platformă de atac, ci este prezentă pe harta țintelor agresiunilor cibernetice, în special cu scopul exfiltrării de informații.
România este expusă zilnic riscurilor în domeniul cibernetic generate de alte state, grupări sau indivizi. În prezent, aceste riscuri sunt provocate de trei categorii de agresori cibernetici: state, grupări de criminalitate cibernetică și grupări motivate ideologic.
Ofensiva statală
Acțiunile ofensive derulate de actorii statali sunt îndreptate asupra infrastructurilor IT&C cu valențe critice pentru securitatea națională şi urmăresc preluarea și menținerea controlului asupra acestora, într-un mod silențios. Scopul este acela de a exfiltra informații confidențiale, de natură strategică, dar și a utiliza infrastructurile pentru susținerea sau derularea altor atacuri.
Printre agresiunile cibernetice statale investigate de către Centrul Naţional Cyberint, se numără: RedOctober, MiniDuke, Snake, și APT28 – agresiune care, recent, a vizat compromiterea sistemelor informatice utilizate de către angajați din domeniul afacerilor externe.
În România, atacurile în cauză au vizat preponderent instituții ale statului din domeniul afacerilor externe și apărării, iar pentru penetrarea infrastructurilor atacatorii au folosit aplicații malware sofisticate (de tip 0-day). De asemenea, au fost utilizate infrastructuri complexe de atac sau exfiltrare.
Atacurile grupărilor de criminalitate cibernetică
În ceea ce privește atacurile cibernetice derulate de către grupările de criminalitate cibernetică, în ultima perioadă au înregistrat o amploare deosebită, inclusiv la nivelul instituțiilor publice, campaniile cu aplicații malware de tip ransomware.
Astfel de atacuri nu vizează o entitate anume, ci scanează sisteme informatice la nivel global și exploatează vulnerabilitățile existente ale acestora, scopul unic reprezentându-l obținerea de beneficii financiare în schimbul decriptării conținutului afectat.
Una dintre campaniile recente de acest fel este WannaCry/WannaCrypt, lansată în 12 mai 2017, care a afectat peste 200.000 de sisteme informatice aparținând mai multor companii și organizații din peste 150 de state (între care SUA, Marea Britanie, Franta, Spania, Japonia, Rusia), inclusiv din România.
Aplicația malware exploatează o vulnerabilitate a sistemului de operare Windows pentru a compromite staţiile gazdă. Fişierele stocate pe aceste staţii sunt criptate, iar în schimbul decriptării este solicitată o recompensă.De asemenea, aplicația șterge orice copie a fișierelor de pe staţia victimă, în scopul îngreunării recuperării datelor.
Aplicaţia WannaCrypt are suport pentru 28 de limbi, criptează 179 de tipuri de fișiere și solicită plata unei recompense în bitcoin, cu o valoare cuprinsă între 300şi 600 de dolari.
Agresiuni motivate ideologic
Agresiunile cibernetice motivate ideologic, derulate de către grupări hacktiviste, hackeri independenți sau grupări de hackeri islamiști, au un nivel tehnologic redus, vizând îndeosebi obținerea unui impact mediatic.
Evoluția acestui tip de agresiuni este una dinamică, potențată de existența unor evenimente pe scena politică, economică și socială care prezintă interes pe agenda agresorilor.
Ţinte potenţiale
Când vorbim de mutațiile și tendințele agresiunilor cibernetice generatoare de riscuri la adresa securității naționale, în contextul noului tip de război hibrid, prezintă relevanță dezvoltarea capabilităților cibernetice ofensive la nivelul agresorilor în scopul afectării funcționalității și chiar sabotării infrastructurilor IT&C.
Un atac din partea unei entități ostile asupra unor infrastructuri ce au asociate sisteme SCADA, aparținând instituțiilor ce asigură servicii esențiale pentru populație, are potențialul de a se constitui într-un mijloc de presiune major. Fiind vorba de infrastructuri critice, un astfel de atac poate declanșa o reacție în lanț care să implice pierderi de vieți omenești și consecințe grave asupra securității și economiei unui stat.
De asemenea, în funcție însă de rețeaua pe care o infectează și în cadrul căreia acționează, atacurile de tip ransomware pot constitui o amenințare majoră, în special dacă sunt vizate sisteme de control industrial sau rețele informatice din domenii strategice.
Nu în ultimul rând, o dezvoltare semnificativă vor înregistra agresiunile cibernetice îndreptate împotriva dispozitivelor din categoria Internet of Things (IoT). Producătorii de înaltă tehnologie nu au întotdeauna în vedere asigurarea securității produselor, sens în care vulnerabilitățile acestora sunt exploatate de agresori cibernetici pentru a obține acces în rețeaua în care acestea sunt utilizate sau pentru lansarea de atacuri asupra altor ținte. Din acest motiv, în domeniul IoT există la momentul de față o serie de riscuri care, odată speculate, se pot transforma într-o reală amenințare.
Un exemplu în acest sens l-a constituit Mirai, aplicație malware de tip botnet, care începând cu a doua jumătate a anului 2016, a fost folosită pentru derularea de atacuri de tip DdoS de mare amploare, prin folosirea unor sisteme de tip IoT compromise pe fondul utilizării unor parole vulnerabile (respectiv cele setate implicit de către producător).
Creșterea rezilienței cibernetice
Având în vedere nivelul actual ridicat al amenințării cibernetice și tendințele de evoluție ale acesteia, implementarea unor măsuri pentru creșterea rezilienței cibernetice trebuie să reprezinte o preocupare majoră a tuturor actorilor implicaţi: atât instituţiile publice, cât şi entităţi şi persoane private.
În ultimii ani, România s-a aflat într-un proces activ de consolidare a securităţii cibernetice la nivel naţional, fiind întreprinse eforturi susţinute în acest sens de către autorităţile cu responsabilităţi în domeniu, prin care se vizează, în principal, diminuarea vulnerabilităţilor în faţa atacurilor de profil.
În vederea dezvoltării capabilităților cibernetice la nivel instituțional și pentru securizarea infrastructurilor IT&C cu valențe critice pentru securitatea națională, SRI – prin Centrul Naţional Cyberint – a derulat, în parteneriat cu MCSI – prin CERT-RO -, MApN, MAI şi STS proiectul tehnic Sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic, finanţat prin programul european POSCCE.
În baza acestui proiect, 54 de instituţii publice au beneficiat de sprijin pentru securizarea, modernizarea şi eficientizarea activităţilor circumscrise domeniului tehnologiei informaţiei şi comunicaţiilor, prin achiziţionarea de echipamente informatice performante şi cursuri de pregătire a administratorilor reţelelor informatice.
În contextul evoluției amenințărilor cibernetice se impune dispunerea unor măsuri pro-active la nivelul tuturor actorilor cu responsabilități în domeniu.
Pentru securizarea infrastructurilor cibernetice pe care le deţin sau le au în responsabilitate, instituţiile publice trebuie să implementeze şi să operaţionalizeze politici de securitate adecvate, care să impună respectarea unui set de minime standarde în domeniu, precum şi sisteme centralizate de management al incidentelor de securitate cibernetică.
Pentru a putea răspunde eficient provocărilor, tehnologiile şi politicile de securitate ce vizează sistemele informatice trebuie să evolueze proporţional cu nivelul ameninţărilor. De aceea este importantă atât realizarea de investiţii în domeniul tehnologic, cât și anagajarea de personal cu pregătire de specialitate, astfel încât instituţiile statului să fie capabile să răspundă riscurilor de natură cibernetică.
Totodată, având în vedere că ameninţarea cibernetică nu cunoaşte graniţe şi vizează un număr mare şi o varietate de infrastructuri, publice sau private este foarte importantă cooperarea, atât la nivel naţional, cât şi internaţional, între toţi actorii implicaţi, precum şi crearea şi dezvoltarea de parteneriate public-private, pentru operaţionalizarea unor mecanisme eficiente de cooperare în acest sens.
Primul exercițiu naţional de securitate cibernetică
Un exemplu de succes pentru dezvoltarea cooperării între sectorul public și cel privat în domeniul securității cibernetice îl reprezintă CyDex17, primul exercițiu national de securitate cibernetică, ce a reunit experți din peste 60 de companii și organizații publice și private, înregistrând un real succes.
Evenimentul s-a desfășurat live în poligonului cibernetic al Centrului Național Cyberint al SRI, creat special în acest scop, unde a fost simulat un incident cibernetic. Peste 200 de specialiști din cadrul echipelor cu rol de jucător au participat activ la rezolvarea incidentului, prin dezvoltarea capacităților tehnice necesare reacției la incidente de securitate cibernetică
Cultură şi legislaţie
Factorul uman contribuie la menținerea unui număr ridicat de vulnerabilități de securitate cibernetică, astfel că un element important în contracararea potenţialelor ameninţări cibernetice este reprezentat de creşterea culturii de securitate cibernetică. Utilizatorul reprezintă primul zid de apărare împotriva ameninţărilor din spatele monitorului, astfel încât întreg personalul unei instituţii trebuie format în sensul unui comportament profesional prudent din perspectivă cibernetică (cyber safe).
Nu în ultimul rând, din punct de vedere strategic, la nivelul României trebuie finalizate eforturile de creare şi dezvoltare a unui cadru legislativ eficient, care să asigure condiţiile necesare investigării fără sincope şi printr-o cooperare strânsă a atacurilor cibernetice, şi care să se armonizeze cu cea europeană.
Abstract
„The current security environment is marked by asymmetry and uncertainty. To the long list of security threats, a new one has been added in recent years – the cyber threat – with both state and non-state actors involved.
Romanian national security is increasingly under pressure from cyber threats, both in terms of the number of cyber aggressions, as well as the complexity of methods. For an efficient response to these new threats, we need to invest in new technologies, in well-trained human resources, as well as to build up our legislation, in order to have the adequate institutions in place. And last, but not least, we need to strengthen the cyber security awareness, as long as each Internet user is ultimately the first line of defense against cyber threats.”
Autor: Anton Rog