16 noiembrie 2018

Strategii europene şi americane de securitate cibernetică. Cum se combate decalajul dintre „do it Today”şi „fix it on Tuesday” (I)

Laurenţiu Sfinteş

Recent, am participat la o conferinţă organizată de către Institutul Danez de Studii Internaţionale, la Copenhaga, pe tema securităţii cibernetice. Ideile expuse, răspunsurile date de către invitaţi[1] întrebărilor puse de un public avizat - s-au aflat în sală şi reprezentanţi ai forţelor armate daneze - au adus argumente privind accentuarea eforturilor de reglementare a domeniului securităţii cibernetice, a elaborării strategiilor naţionale în domeniu, prezentând ameninţările existente şi viitoare ca fiind mult mai profunde şi cu implicaţii la adresa securităţii infrastructurii critice mult mai directe decât se discută şi se admite public. În continuare, câteva din aspectele relevate pe timpul conferinţei referitoare la situaţia actuală în acest domeniu, evoluţiile din ultima perioadă care au dus la necesitatea adoptării unor strategii naţionale, dar şi reglementări internaţionale şi naţionale de răspuns la ameninţările cibernetice.

Sursă foto: Mediafax

Într-o cuvântare recentă, ţinută la Conferinţa de Securitate de la Munchen[2],  secretarul general ONU, Antonio Guterres’, afirma că „partea întunecată a procesului de inovare şi ameninţările cibernetice sunt una din primele şapte ameninţări importante la adresa păcii internaţionale, stabilităţii şi securităţii (...) Ameninţările cibernetice sunt în creştere. Războiul cibernetic devine din ce mai puţin o realitate ascunsă, fiind din ce în ce mai capabil să distrugă relaţiile dintre state, să distrugă unele dintre structurile şi sistemele vieţii moderne”.

Este o caracterizare corectă şi directă a problemei, venită din partea liderului organizaţiei globale care are însăşi responsabilităţi în domeniul securităţii internaţionale. Dar problema ameninţărilor cibernetice nu a apărut peste noapte. Este un rezultat al acumulărilor de câteva decenii într-un domeniu care a evoluat mai rapid decât societatea care l-a creat. Astfel, societatea a devenit din ce în ce mai dependentă de Internet şi de produsele tehnologiei informaţiei.

Iar această tehnologie s-a dezvoltat atât de rapid încât produsele sale au devenit nesigure, în goana pentru o implementare cât mai rapidă a noilor programe şi aplicaţii. Pe principiul, „produ acum, repară, dacă apar probleme, mai târziu”. În varianta americană „do it Today, fix it on Tuesday” / „fă acum, repară marţi”.

Discuţia despre ce se poate face pentru a remedia această situaţie se poartă pe trei paliere:

  1. oportunităţile în creştere ale economiei digitalizate;
  2. produsele software insuficient securizate care inundă piaţa;
  3. multitudinea de capabilităţi, potenţate şi de motive / interese din alte domenii, politice, economice, de a exploata vulnerabilităţile acestor produse, ale sistemelor cibernetice.

În ceea ce priveşte oportunităţile, câteva date sunt relevante. Astfel, la nivel mondial, în anul 2018, economia digitalizată, a produselor electronice, sistemelor, programelor şi aplicaţiilor este estimată la 3,7 trilioane de dolari. Pe termen scurt, se estimează că ar putea ajunge la 19 trilioane de dolari, iar pe termen lung la 32 trilioane de dolari (aprox. 46% din economia globală). Prin conectarea la internet a locuitorilor din statele mai puţin dezvoltate se poate realiza o creştere economică a PIB-urilor naţionale apreciată între 4 şi 10%. La acest moment, un procent de 5 până la 7% din PIB-ul global este economie digitalizată. Procentul este mai mare în unele state, de exemplu, în Olanda - 25%, Danemarca - 10 – 20%, SUA - 7%.

Tendinţa care se manifestă pe plan global este pentru economii din ce în mai interconectate, iar PIB-ul naţional şi global să fie o consecinţă a acestor structuri interconectate, în care fluxurile financiare şi informaţionale circulă liber peste graniţe cu ajutorul internetului şi al platformelor informatice create ca să sprijine, prin programe special realizate, fiecare domeniu în parte.

Dependenţa de acest domeniu, de implementarea cât mai rapidă de noi produse şi servicii, a venit însă „la pachet” cu o abordare greşită a aspectelor de securitate. Astfel, existenta unor programe şi platforme insuficient securizate a devenit aproape o normă.

Nevoia de câştig rapid, de acaparare a pieţei cibernetice, a creat un decalaj între momentul lansării unui produs, şi cel al implementării procedurilor de securitate. Pe principiul „trimite-l pe piaţă acum, rezolvăm problemele care apar mai târziu”.

A existat, de asemenea, percepţia că este dificil de identificat vulnerabilităţile şi de atacat sistemele informatice de către terţi, care nu au fost implicaţi în crearea acestor sisteme.

La acest moment, există deja programe speciale, create de tineri IT-işti, care sunt pe platforme publice, site-uri internet şi care pot să arate vulnerabilităţile în infrastructura cibernetică la nivel global. Unele sunt libere la utilizare, altele, mai sofisticate, create în scop mercantil, se pun la dispoziţia clienţilor, în schimbul unei sume, de obicei, insignifiante, luând în calcul daunele pe care le pot produce.

Unele din structurile de informaţii, economice, potenţial şi militare, folosesc chiar aceste programe pentru a verifica propriile sisteme sau pentru educarea personalului în implementarea măsurilor de securitate.

Harta cu vulnerabilităţile calculatoarelor sau sistemelor este, astfel, la îndemâna oricărui simplu utilizator care, din fotoliul de acasă, poate să identifice vulnerabilităţi, să aleagă o ţintă, să plătească pentru serviciul solicitat, cu card Visa, eventual, dar şi în alte modalităţi, şi să aştepte executarea acestui serviciu. Poţi fi hacker fără să fii hacker! Hackerul adevărat lucrează pentru tine. Ce servicii îţi oferă? Oho, e o piaţa atât de diversă! De exemplu, preluarea informaţiilor de pe site-uri, preluarea unui ID vulnerabil, atacarea pofilelor personale de pe platformele de socializare, Facebook, Twitter (costă doar 100 dolari!), atacarea sistemelor de operare şi preluarea / distrugerea datelor (mai uşor la Windows, mai greu la Apple, la altele, dar e vorba doar de o sumă mai mare, se poate realiza), trimiterea de spam-uri (câteva sute de mii de calculatoare infectate costă tot în jur de 100 dolari!), procurarea documentelor personale  acolo unde acestea sunt procesate în sisteme digitalizate. Distrugerile sunt imense, pot fi făcute de indivizi stând comod pe canapeaua din birou, nu e nevoie să existe organizaţii sofisticate pentru a cauza probleme.

Pe de altă parte, o organizaţie care lucrează digitalizat şi are capabilităţi medii, are nevoie, în medie, de 197 de zile pentru a identifica un incident de securitate produs la sistemele sale şi de 67 de zile pentru a-l neutraliza. Dar de multe ori nici nu ştie că are o problemă. De obicei, cei care descoperă aceste incidente sunt structurile de informaţii specializate, creatorii de programe utilizate. Acestea sunt instituţii care execută permanent supravegherea reţelelor şi programelor, pentru a preveni atacurile cibernetice sau pentru a descoperi eventuale probleme de software.

Lucrurile se complică în ceea ce priveşte neutralizarea incidentului, dacă este vorba de programe sofisticate de atac, devin şi mai complicate dacă atacul se produce dintr-o tara cu capabilităţi superioare.

Atacarea sistemelor şi reţelelor guvernamentale, publice, ale marilor corporaţii şi companii, ale site-urilor de socializare a devenit o ocupaţie cotidiană. Aproape nu există companie, organizaţie, structură publică importantă care să nu fi fost atacată cibernetic. Şi nu este vorba de sisteme şi firme din statele mai puţin dezvoltate. Acesta este un fenomen care are loc în lumea dezvoltată, în lumea digitalizată.

Atacurile au, în multe cazuri, motive economice şi financiare. Sunt atacate structurile care gestionează bani, mulţi bani, băncile, fondurile de pensii, infrastructura de taxe publice şi impozite, arhivele de instituţii sau de corporaţii, pentru că se pot deturna sume de bani, pentru că se pot fura patente şi invenţii, sau idei de afaceri, pentru că se pot cere recompense.

Aceste atacuri sunt permise în proporţie de 1/3 de către vulnerabilităţi cunoscute. Cele mai obişnuite sunt cele cauzate de implementarea parţială a măsurilor de securitate. Multe programe de utilizare, multe aplicaţii au nevoie de o mai mare libertate de mişcare decât cea permisă de procedurile de securitate. Utilizatorii aleg, pentru a putea funcţiona un anumit program şi pentru a avea dividendele economice sau financiare ale utilizării acestuia, să pună ştacheta de securitate mai jos, sperând că nu se va întâmpla nimic.

Dar se întâmplă:

Octombrie 2016 - Blocarea serviciilor de internet în SUA şi Europa[3], printr-un software maliţios de tip Mirai[4]. Peste 75 de mari companii importante au înregistrat pierderi evaluate la 22.000 dolari/minut/fiecare, aprox 100 milioane dolari de fiecare entitate. Totul orchestrat de trei persoane, care au intenţionat blocarea camerelor de securitate din New York şi producerea de haos;

Mai 2017 – Blocarea serviciilor medicale din Marea Britanie, dar şi a altor servicii din aproximativ 100 de ţări, printr-un atac cu virus denumit WannaCry ransomware[5] (cu finalitate în plata unei sume pentru a utiliza instrumentul de deblocare a programului Microsoft), atribuit a-şi avea originea în Coreea de Nord. Serviciile au fost blocate pentru că utilizatorii nu au mai avut acces la propriile calculatoare şi reţele. Funcţionarea serviciilor medicale a fost afectată pentru că multe au la bază conexiuni online, servicii digitalizate. 81 de spitale britanice au fost offline când trebuiau să fie online.

Deşi breşele de securitate au fost identificate prin existenţa acestor atacuri, măsurile de contracarare au întârziat, producându-se noi atacuri de amploare, după doar şase săptămâni:

Iunie 2017 - Blocarea activităţilor economice şi a infrastructurii fizice a unor corporaţii prin utilizarea virusului NonPetya[6], acţiune atribuită Rusiei. Vulnerabilitatea a fost tot în zona Microsoft. Atacul s-a produs prin infectarea unui produs software realizat de o firmă de software din Ucraina, dar utilizat de multe corporaţii internaţionale. S-a propagat din Ucraina până în SUA în mai puţin de cinci minute. Una din „victimele” importante ale acestui virus a fost compania daneză Maersk, furnizoarea unei zecimi din PIB-ul naţional. 45.000 de calculatoare au fost distruse, 4.000 de servere, 2.500 de aplicaţii, nu numai în Danemarca, dar şi la toate birourile şi filialele regionale din întreaga lume, în doar două ore. Doar patru calculatoare au rămas neatinse, la un birou al Maersk din Ghana, datorită unei căderi a reţelei electrice. Ele au permis refacerea sistemului cibernetic al firmei, dar pierderile au fost imense, de ordinul miliardelor de dolari. O estimare a pierderilor financiare produse de primul val al atacului este de 50 miliarde dolari. Efectele atacului sunt combătute şi astăzi, la cincisprezece luni distanţă, iar pierderile pot ajunge la aprox. 1 trilion de dolari.

August 2017 – Distrugerea infrastructurii comerciale, a procedurilor de securitate şi siguranţă. Virusul Triton / Trisis, care, iniţial, a acţionat în Arabia Saudită, a atacat ulterior infrastructura fizică şi din alte ţări[7]. Ţinta o reprezintă sistemele de siguranţă care protejează diferite instalaţii - în Arabia Saudită au fost, desigur cele petroliere - pierderile fiind uriaşe şi ajungând să afecteze securitatea naţională a statelor unde se produc astfel de atacuri.

Când se ajunge la nivelul în care se conştientizează că atacurile cibernetice nu sunt doar împotriva indivizilor, nu sunt doar împotriva unor firme şi corporaţii, împotriva unor elemente de infrastructură economică, dar afectează securitatea unei ţări, strategiile de securitate trebuie adoptate rapid şi implementate, dacă se poate, şi mai rapid. Pentru că atacurile cibernetice pun în pericol PIB-ul naţional, securitatea socială, stabilitatea, în final chiar suveranitatea naţională.

Aceasta a dus la decizii fără precedent cum a fost, de exemplu, elaborarea şi publicarea, în aprilie 2018, a unei Alerte tehnice comune, realizate de SUA şi Marea Britanie[8], în care se afirmă că infrastructura naţională a celor două state a fost atacată, iar atacurile sunt atribuite Rusiei. Alerta are obiectivul de a trage un semnal de alarmă pentru instituţii şi corporaţii, pentru a le conştientiza asupra responsabilităţii combaterii vulnerabilităţilor cibernetice şi a raporta imediat structurilor cu atribuţii în domeniu: Departamentul Securităţii Interne al SUA / U.S. Department of Homeland Security (DHS), Biroul Federal de Investigaţii /Federal Bureau of Investigation (FBI), precum şi Centrul Naţional de Securitate Cibernetică din Marea Britanie /  National Cyber Security Centre (NCSC), orice incident sau comportament suspect al programelor şi soft-urilor utilizate. 

Monitorul Apărării şi Securităţii vă va prezenta, în perioada următoare, modul în care se implementează această alertă, precum şi câteva elemente de interes din strategiile cibernetice naţionale adoptate recent şi foarte recent în SUA, Europa, o serie de alte state.



[1] Melissa Hathaway, Hathaway Global Strategies LLC, Jeppe Teglskov Jacobsen, DIIS, Flemming Splidsboel Hansen, DIIS

[2] https://www.un.org/press/en/2018/sgsm18900.doc.htm

[3] https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet

[4] https://cert.ro/citeste/mirai-botnet-ddos

[5] https://www.mediafax.ro/externe/99-de-tari-afectate-de-wannacry-cel-mai-mare-atac-cibernetic-din-istorie-vizate-inclusiv-nhs-ministerul-rus-de-interne-sau-deutsche-bahn-bresa-de-securitate-la-nsa-16296617

[7] https://www.securityweek.com/triton-malware-exploited-zero-day-schneider-electric-devices

[8] https://www.ncsc.gov.uk/news/joint-us-uk-statement-malicious-cyber-activity-carried-out-russian-government