Trăim într-o lume interconectată în care identitatea noastră se distribuie instantaneu în lumea virtuală. Dar știm cine suntem în această lume? O dată prezenți în Internet identitatea noastră este a tuturor, datele noastre pot fi văzute, utilizate cu sau fără voia noastră.
Cum ne protejăm împotriva a ce devine un fenomen cu efecte extreme, un flagel globalizat, furtul de identitate. Ţine de capacitatea formatorilor de piață de a ne instrui corect și a reglementatorilor de a proteja interesele consumatorilor de servicii informatice, financiare sau de altă natură. Faptul că infracțiunile informatice se dezvoltă luând forme diverse, de la atacuri pentru bani, până la atacuri cu conotații de activism politic, determină o conștientizare continuă a riscurilor. Dacă mai adaugăm atacurile interstatale sau spionajul cibernetic, lucrurile se complică serios.
Apare conceptul Internet of Thinks, adică aparatura cu care trăim în casă, frigiderul, mașina de spălat etc vor fi și ele interconecontate și expuse. Dar suntem pregătiți atâta vreme cât nu știm să ne protejăm identitatea proprie, nu știm să ne protejăm calculatorul?
România este o țară proxy pentru atacurile informatice, adică suntem folosiți a ataca infrastructurile informatice din alte țări, fără ca să ne dăm seama. Adică calculatoarele celor care nu știu să se protejeze sunt infectate cu programe sofisticate prin care se realizează atacuri asupra altora. Adică identitatea ta este preluată și dintr-un cetățean corect și cinstit te transformi într-un hacker fără voie. Identitatea ta este preluată de un infractor informatic care se prezintă ca fiind tu.
Dacă nu ataci pe alții fără voie, te pot ataca alții pe tine. În ultimele luni milioane de conturi bancare au fost sparte prin atacuri informatice, de la simplul phising prin care ți se cer datele de autentificare într-o aplicație bancară și tu le dai, crezând că site-ul în care ai intrat este al băncii tale, până la atacurile din interiorul organizațiilor.
Chiar dacă pare înfricoșător, solutiile sunt la îndemână, dar pentru a te gândi la ele trebuie să știi la ce te expui dacă nu le aplici.
Problemele mai complicate sunt la nivelul companiilor. O companie lucrează cu datele clienților, păstrează în conturi activele financiare ale clienților, sau doar datele lor personale. Din acest motiv nu doar simplii cetățeni utilizatori de Internet trebuie să își ia măsuri. În primul rând companiile trebuie să ia măsuri. Și aceste măsuri țin de palierul acoperirii riscurilor operaționale. Acestea trebuie să ia măsuri concrete de securizare atât tehnologică cît și organizatorică. Lipsa de procese reale, puse la punct și monitorizate , fără implementarea unor politici referitoare la personal și segregarea atribuțiilor, fără sisteme de monitorizare continuă cu raportări asupra indicatorilor de risc, duce la o organizație care se bazează doar pe conjunctură și noroc, fără a lua măsuri proactive de prevenire. Aici reglementările, bazate pe standarde general acceptate, trebuie să ajute companiile să își crească nivelul de maturitate operațională.
Identitatea fiecăruia dintre noi, când este dată unei baze de date ale unei companii trebuie protejată corespunzător. Și acest aspect trebuie să intre în zona protecția consumatorului, a identității lui.
O protecție corespunzătoare nu ține doar de rezolvarea , în general târzie, a unor incidente, ci de activități de educație pentru proprii clienți, de monitorizare preventivă, de măsuri proactive.
Deci securitatea cibernetică are foarte multe fațete, de la aspectele tehnologice, la cele de organizare, educație, măsuri preventive.
Dar aceste măsuri costă mult. Este rolul autorităților să creeze structuri de suport pentru prevenire și alertare timpurie. Din acest motiv atât legea securității cibenetice aflată în discuție publică, cât și opiniile tuturor actorilor pieței, susțin crearea centrelor de răspuns la situații cinernetice, respectiv CERT-urile sectoriale.
Aceste CERT-uri pot asigura acele servicii care să fie o contragreutate la criminalitatea informatică “as a service” (ca un serviciu). Armele de atac informatic se pot cumpăra ieftin, chiar servicii de atac informatic se pot cumpăra, fără sa ai nevoie a fi specialist in domeniu. Pentru astfel de abordări se impune o abordare structurată si reglementată. Multe firme nu au banii necesari a investiții în tehnologii și personal specializat. Din acest motiv serviciile de securitate informatică „as a service”, oferite de un CERT reglementat și monitorizat de autorități, pot reprezenta soluțiile la o lume în transformare în care atacatorii vor fi întotdeauna înaintea celor atacați. Pentru a reduce pierderile, educația continuă și măsurile proactive, la nivel individual și al companiilor, sunt absolut necesare.
ISEE susţine creare CERT-urilor sectoriale, pe baza noi legi a securităţii cibernetice.
Călin Rangu
Expert asociat ISEE