INTERVIU cu Ramsés Gallego, expert în securitate cibernetică: Niciun program de securitate din lume nu va funcţiona fără trei piloni: tehnologie, procese şi oameni | VIDEO
Andreea SoareRamsés Gallego a declarat, în cadrul unui interviu acordat Monitorului Apărării şi Securităţii şi MEDIAFAX, întrebat ce i-ar trebui României pentru a deveni rezistentă din punct de vedere cibernetic, că cei trei piloni fără de care niciun program de securitate nu poate exista sunt: tehnologia, procesele şi oamenii.
Ramsés Gallego, Strateg Securitate Cibernetică, vice-preşedinte Quantum World Association şi Ambasador pentru ISACA Barcelona Chapter, a acordat un interviu pentru Monitorul Apărării şi Securităţii şi MEDIAFAX, în care a vorbit despre tehnologia 5G, vulnerabilităţile cibernetice ale statelor membre UE sau elementele necesare României pentru a deveni rezistentă din punct de vedere cibernetic.
Redăm interviul integral:
Reporter: Bună dimineaţa, domnule Gallego! În primul rând, vreau să vă urez bine aţi venit şi vă mulţumesc că aţi acceptat interviul. Este atât o plăcere, cât şi o onoare să vă avem aici. Vom vorbi astăzi despre securitate, securitate cibernetică, spaţiul cibernetic, vulnerabilităţi, ameninţări şi riscuri. Aş vrea să încep prin a vă întreba care ar fi principalele ameninţări la adresa statelor membre UE în materie de securitate cibernetică?
Ramsés Gallego: Este o onoare pentru mine să mă aflu aici şi să am posibilitatea de a vorbi şi de a dezvolta idei importante legate de securitate cibernetică, garanţii de securitate şi practici guvernamentale în domeniu. Andreea, cred că principala ameninţare constă în a nu înţelege care sunt riscurile. Se spune că cea mai mare ameninţare este a nu înţelege care sunt lipsurile securităţii, să credem că totul este în regulă, că totul va fi bine. Aşadar, cea mai mare ameninţare - pe lângă ameninţările convenţionale precum cyber-jacking, crypto-jacking sau compromiterea emailurilor - noi analiştii, strategii, furnizorii punem un nume fiecărui atac. Dar, ca un întreg, în privinţa unui stat, ca regiune a planetei trebuie să înţelegem ce se află în joc. Şi aici mă refer la oameni. Acest lucru nu se referă la tehnologie, ci la oameni, la cetăţeni, la informaţii critice, la protejarea „sufletului” unei naţiuni, dacă o pot numi aşa. Deci cea mai mare ameninţare, exceptând concepte tehnologice precum clouds sau mobilitate sau Internetul Lucrurilor. Andreea, ne aflăm într-o eră care este din ce în ce mai conectată. Noi îl numim Internet of Things sau Internet of Everything. Este interesant să înţelegem ca ţară, ca regiune, ca o comunitate că ameninţarea este posibilitatea ca o ţară să fie interesată de informaţiile noastre (data). Dar poate, de asemenea, o companie interesată de informaţiile noastre. Vorbim despre o dezordine. Ne aflăm, cumva, într-un război cibernetic, de aceea cea mai mare ameninţare este să credem că nu ni se va întâmpla nimic, sau ne gândim la cine ar putea fi interesat în a ne face rău, mai ales în România, o ţară situată, din punct de vedere geografic, într-un loc destul de special. Aşadar, cineva ar putea să vă atace vizând, de fapt, alte entităţi. Vi se poate utiliza infrastructura – şi aici mă refer atât la companiile de stat, cât şi la cele private - pentru a vă folosi ca punte în scopul atacării altora. Noi numim asta diversiune (False Flag Attack): a ataca o entitate vizând, de fapt, o altă entitate. Aşadar, revenind la întrebarea ta, de care sunt foarte încântat - şi, din nou, mă simt foarte onorat să fiu aici, astăzi – cea mai mare ameninţare este să ne gândim că nu ni se va întâmpla nimic. Orice atac, Andreea, se află la doar trei click-uri distanţă. Poţi fi atacat sau hack-uit tocmai din cealaltă parte a lumii. Şi este un lucru pe care îl reiterez la conferinţele la care sunt invitat sau interviuri ca acestea şi anume: Cum putem monitoriza acest lucru, dintr-o perspectivă legală? Cum te adresezi şi cum abordezi o ameninţare care se află în cealaltă parte a lumii? În ce tribunal poţi merge, dacă poţi demonstra acest lucru, pentru că din punct de vedere fizic, dacă furi geanta sau portofelul cuiva, este destul de evident, pentru că este un bun fizic care lipseşte. În spaţiul digital, însă, se poate fura baza de date, proprietatea intelectuală sau codurile nucleare pe care le pot avea două entităţi în acelaşi timp. Cu alte cuvinte, cea mai mare ameninţare, revenind astfel la întrebarea ta iniţială, este să ne gândim că totul va fi în ordine, iar în această lume, nu va fi totul în regulă. Cineva este interesat într-o ţară, regiune sau o entitate folosită ca punte pentru a ataca alte entităţi.
Reporter: Deci, ar trebui să fim permanent pregătiţi?
Ramsés Gallego: Absolut. Prevenirea şi reacţia sunt absolut necesare. De altfel, sunt invitat – şi, din nou, mulţumesc pentru invitaţie- de către CERT România unde mâine voi ţine nu una, ci două prezentări despre Directiva NIS (Directiva de Securitate a Informaţiei şi a Reţelei), care a fost stabilită acum trei sau patru ani, deci deşi există de ceva vreme se vorbeşte despre cooperare, despre cum noi, „băieţii buni”, ne adunăm pentru a ne împotrivi ”băieţilor răi”, care s-au aliat pentru a face schimb de informaţii despre noi. Deci pregătirea, cooperarea, prevenirea sunt absolut necesare, Andreeea. Trebuie să îi facem să conştientizeze că noi suntem la curent, noi companiile de state şi private. Trebuie să îi avertizăm că suntem pregătiţi, că ne pasă.
Reporter: Aşadar, este necesar să venim cu o abordare comună pentru statele membre UE sau UE-NATO?
Ramses Gallego: Absolut! Avem nevoie de un cadru simplu şi unificat. Eu sunt un partizan şi călătoresc în jurul lumii, merg în 25 de ţări în fiecare an. Am mai fost şi în această ţară minunată înainte. Acum vin dintr-o călătorie în care am văzut Bogota-Medellin-Kuala Lumpur-Manila, deci practic călătoresc în jurul lumii pentru a sugera guvernelor să vină cu un cadru unificat şi simplificat. Este necesar de acel PPP, adică Parteneriat Public şi Privat. Companiile de stat şi guvernele trebuie să colaboreze cu companiile private, în România, mai ales, există firme extraordinare, cu tehnologii impresionante, aşadar, trebuie folosite, pentru că atacatorii vor folosi alte tehnologii pentru a vă ataca. Revenind la întrebarea ta, este absolut necesar să venim cu un cadru unificat şi simplificat. Putem folosi COBIT 5 drept cadru de cooperare sau Directiva NIS, de fapt, trebuie să folosim Directiva NIS, sau ITIL ori ISO2700, pentru că singurul lucru care nu va funcţiona, şi vorbesc din experienţă, este să acţionăm singuri, în linişte. Nu va funcţiona nimic dacă acţionăm singuri. România trebuie să se „inspire” de la Uniunea Europeană, noi ca şi comunitate, ca ţară, ca regiune a lumii. Este absolut necesar, altfel, nu va funcţiona.
Reporter: Pentru că suntem înconjuraţi de ameninţări şi riscuri, credeţi că există riscul unei căderi a infrastructurilor critice în situaţiii de criză?
Ramsés Gallego: Îmi pare rău să spun dar da, nu pentru că se poate întâmpla, ci pentru că deja s-a întâmplat, Andreea. Deja s-a întâmplat. Când aprovizionarea cu energie, nu centrala nucleară, exemplul cel mai des folosit, ci alimentarea cu energie, să spunem o fermă cu mori de vânt, care produce energie, sau alimentarea cu apă, transportul care sunt infrastructuri critice bazate pe tehnologie, pentru că, la finalul zilei, computerul este cel care decide distribuţia de apă pentru Bucureşti, spre exemplu, ce fel de energie merge într-un anumit loc. Aşadar, revenind la primul meu răspuns, dacă aş fi un stat sau un atacator care vrea să facă rău, să creez dezordine, aş ataca aeroporturi sau alimentarea cu energie. Întrebarea era foarte clară: Se poate întâmpla? Da! Dar s-a întâmplat deja, asta este ceea ce încerc să punctez. Şi mâine, când voi vorbi despre Directiva NIS, mă vor referi la infrastructuri critice, la companii, sectoare critice care includ bănci, transport, alimentarea cu energie şi apă. Fie că vorbim despre entităţi bune sau rele, acele infrastructuri sunt bazate pe tehnologie, windows-uri, linux-uri, unităţi centrale, clouds - care sunt foarte importante, ne bazăm tot mai mult pe clouds, deci se poate întâmpla, s-a întâmplat şi - pentru a fi foarte clar pentru cititorii voştri şi pentru cei care ne privesc - se va întâmpla din nou. Pe scurt: un oraş precum Baltimore, întregul oraş Baltimore din SUA a fost „răpit”. Nu doar o companie, nu doar un spital sau doar o şcoală, ci întregul oraş a fost „răpit” printr-un atac ramsomware (un tip de program virusat) şi întregul proces digitalizat al oraşului precum plăţile sau alte aspecte digitale şi proceduri ale oraşului Baltimore au fost, pentru şase luni, închise. Au trebuit să revină la plăţile pe hârtie pentru că cineva s-a gândit că vrea să creeze probleme. În timp ce noi eram miraţi că acest lucru s-a întâmplat în Baltimore, acelaşi lucru s-a întâmplat în Atlanta, SUA, în august 2016. Răspunsul meu la întrebarea ta este da! Se poate întâmpla, s-a întâmplat deja şi se va mai întâmpla.
Reporter: Au fost foarte multe discuţii în ultima perioadă despre tehnologia 5G, avantajele şi dezavantajele acesteia, aşadar, care ar fi cele mai mari provocări pe care România le va întâmpina după implementarea tehnologiei 5G?
Ramsés Gallego: Dă-mi voie să îţi spun că tehnologia 5G este fantastică! Avantajele tehnologiei 5G sunt fantastice. Promite o viteză maximă de 10 Gb/s, adică de 10 ori mai mult decât ne oferă azi tehnologia 4G. Este ceva impresionant! De zece ori mai multă viteză, viteza maximă! Aşadar, nu este nici o îndoială că tehnologia este magnifică. Întrebarea se referea la ameninţările generate de tehnologia 5G şi este o întrebare pe care o primesc tot timpul. Trebuie să aveţi încredere în furnizorul vostru, nu doar în materie de tehnologie 5G, ci se aplică tuturor aspectelor, dar în special privind această tehnologie care face referire la centre pentru stocarea datelor în responsabilitatea guvernelor, servere şi infrastructuri care conectează oamenii de infrastructuri critice. Deci, trebuie să avem încredere în furnizori şi îmi place, Andreea, acest cuvânt pentru că încrederea se câştigă. Nu eşti de încredere doar pentru că spui asta, ci eşti de încredere pentru că mai multe persoane spun asta. Câştigi încrederea consumatorilor tăi şi, în acest caz, a cetăţenilor. Deci, când vorbim despre 5G- o tehnologie fantastică- răspunsul meu ar fi: trebuie să ai încredere în furnizorul tău, să ai încredere însă să verifici întâi. Ronald Reagan obişnuia să spună: Ai încredere, dar întâi verifică. Acest îndemn poate fi urmat şi când vine vorba despre tehnologia 5G. Ai încredere în furnizorul tău, fie că este vorba de un furnizor chinez sau european, care sunt doi furnizori importanţi de 5G, cel asiatic sau german. Ai încredere, dar verifică, pentru că, în Spania, ţara din care provin, se dezvoltă deja tehnologia 5G, iar eu am fost un susţinător ai ideii, am fost implicat în asta, dar, ok, dar întrebarea este: eşti stăpân pe propriul tău destin, în materie de routere, switching sau infrastructura propusă? Dacă răspunsul este nu, ceva este greşit. Dacă răspunsul este da, atunci trebuie să te felicit, pentru că înseamnă că ai încredere, dar verifici. Eşti stăpân pe propriul tău destin. Există ceva ascuns în infrastructură? Verifici daca cineva foloseşte acea infrastructură critică pentru a te spiona. Deci 5G este o iniţiativă pe care am susţinut-o, am fost implicat în multe proiecte legate de 5G, dar întotdeauna am spus: ai încredere, dar verifici, întotdeauna, pentru că altfel ameninţările sunt foarte mari. 10 Gb/s oferă o mare oportunitate pentru a spiona, a obţine informaţii, informaţii critice, din – şi revin la întrebarea ta – infrastructuri critice, alimentarea cu energie- şi nu putem permite asta, nu doar România, nu doar noi, „băieţii buni”, ci întreaga lume. Ai încredere, dar verifică, acesta este răspunsul meu.
Reporter: Revenind acum la România, ce ar trebui să facă România pentru a deveni rezistentă din punctul de vedere al ciberneticii?
Ramsés Gallego: Îţi mulţumesc pentru întrebare pentru că îmi place în particular cuvântul rezistenţă, pentru că, dacă îmi amintesc bine, este definit de dicţionar ca abilitatea de a face faţă, nu doar din perspectiva continuării unei afaceri sau a recuperării în urma unui dezastru. Rezistenţa reprezintă capacitatea de a supravieţui, de a face faţă oricărui lucru. Întrebarea ta se referea la rezistenţă cibernetică. Deci, trebuie să fii rezistent în faţa evenimentelor fizice dintr-o ţară specifică sau o companie, privată sau de stat, însă trebuie să fii rezistent din punct de vedere cibernetic, aşadar să înţelegi ce reprezintă clouds, diversele aplicaţii de business, mobilitate. Toate aceste lucruri cer control şi vizibilitate. Deci, revenind la întrebarea ta, ce trebuie să facă România pentru a deveni rezistentă din punct de vedere cibernetic, este înţelegerea. Trebuie să întrebi oamenii potriviţi, lucrurile potrivite, la momentul potrivit. Folosiţi tehnologia potrivită. Să înţelegi ce se află în joc, toţi vectorii, toate unghiurile şi toate dimensiunile într-o epocă cibernetică, o eră a ciberneticii, care face referire la toate aceste dimensiuni. Aşadar, România trebuie întâi să folosească un cadru, oricare dintre ele sau chiar o combinaţie de cadre COBIT5, ITIL, ISO38500, ISO2700. Folosiţi oricare dintre aceste cadre pentru că documentele deja există, Andreea, deci nu trebuie să inventăm nimic, ci doar să folosim ceea ce există deja. Cu alte cuvinte, în primul rând, din punct de vedere procedural, trebuie folosite mai bune metode, cadre, iar din punct de vedere tehnologic, trebuie folosită tehnologia potrivită, iar România are o tehnologie fantastică, însă puteţi apela şi la tehnologie internţională. În ceea ce priveşte cetăţenii, un aspect foarte important – deci trebuie folosite procesele, tehnologia şi oamenii. Folosiţi-vă oamenii, instruiţi-vă oamenii. De altfel, ceea ce voi face mâine şi ceea ce fac acum este un fel de training pentru cei care mă vor asculta. Aşadar, fiţi atenţi la vieţile oamenilor şi conştientizaţi că trebuie să îi protejaţi şi să îi apăraţi. Întoarceţi-vă la originile voastre. România are ocazia unică – adică voi aveţi nişte talente extraordinare, am fost prin universităţi în această ţară şi mi-am dat seama că aveţi oameni talentaţi, tineri la doar 20 de ani, care sunt dezvoltatori fantastici, buni hackeri. Am fost foarte impresionat. Şi pentru că poziţia voastră geografică este foarte specială şi multe ţări importante vă susţin, aveţi ocazia unică de a face lucurile potrivite corect. Nu doar lucurile potrivite, ci şi corecte. Tehnologia potrivită, procesele potrivite şi oamenii potriviţi. Awareness training, educaţie, sunt absolut necesare. Niciun alt program de securitate din lume nu va funcţiona fără aceşti trei piloni: tehnologie, procese şi oameni. Tinerii din universităţi, pentru că am călătorit în toată lumea şi au fost puţine locurile în care am văzut oameni precum cei pe care îi aveţi voi.
Reporter: Aţi vorbit despre educaţie, iar asta este foarte interesant, deci trebuie să ne instruim cetăţenii pentru a se putea proteja singuri?
Ramsés Gallego: Da, şi chiar am sugerat şi în Spania ca guvenele să vină cu anumite programe prin care să îi facă pe oamenii, pe taţii ca mine şi familiile ce se află în joc. Instruiţi oamenii că să se raporteze la telefoanele mobile. Telefonul este o platformă în sine. Am o fată de 17 ani, care îşi petrece mai mult timp pe telefon. Deci, trebuie să îi avertizăm care sunt riscurile: informaţii personale, şi nu mă refer aici doar la imagini, sau Facebook, Twitter, Instagram, ci mă refer la telefon ca întreg. Am detaliile cardului pe telefon şi am chiar şi informaţiile legate de sănătate pe telefon, pentru că sunt maratonist, mă antrenez, deci am informaţii de sănătate pe telefon. Dintr-o dată, totul se află pe telefon. Deci, trebuie, cumva, printr-un program, training de conştietizare (awareness) sau educaţie, interviuri ca acestea să instruim oamenii. Trebuie să facem ceva ca ţară pentru ţara voastră, cu ţara voastră şi prin ţara voastră. Poate par puţin senibil când spun asta, dar chiar cred asta. Acţionează împreună cu ţara ta, prin ţara ta pentru ţara ta. Fă-i să conştientizeze. Milioane de români trebuie să ştie ce se află în joc, pentru că vorbim despre protecţia cetăţenilor, a oamenilor, a companiilor private, a guvernelor, a infrastructurii critice. Este necesar, altfel nimic nu va funcţiona.
Reporter: Domnule Gallego, vă mulţumesc tare mult! A fost o plăcere şi o onoare!
Ramsés Gallego: Plăcerea a fost de partea mea! Vă mulţumesc pentru invitaţie!