„Din 27 de țări ale Uniunii Europene, doar vreo şase – şapte sunt relativ pregătite în fața unui atac cibernetic”, a declarat un înalt oficial din domeniul securității cibernetice la o conferință tematică desfășurată la Londra, sub egida Chatham House (deci și a regulii de rigoare), la care am participat zilele trecute.
Situația e îngrijorătoare din punct de vedere al riscurilor pentru că, la acest nivel, membrii UE ar trebui să aibă nu doar o strategie de politici comună, ci și proceduri standard pe care să le activeze simultan. Însă, după cum au remarcat mai toți vorbitorii, uneori sunt mult mai greu de surmontat granițele între organizații și comunități, decât cele geografice ale statelor.
Experții recomandă colectarea și dezvoltarea unei evidențe mai bune despre vectorii generatori, având în vedere că informațiile despre cum decurge un atac sunt foarte rare în rapoartele existente privind amenințările; despre impactul realizat de adversari pentru a înțelege scopul final al atacurilor și a prioritiza măsurile de protecție; includerea perspectivei utilizatorilor care este încă absentă din informația actuală; folosirea unei terminologii comune și, cel mai important, o cooperare politică în lipsa căreia nu se pot face rapid progrese în acest domeniu. Am observat însă, pe parcursul a doar două zile, într-o conferință liberă, cât de diferită poate fi viziunea unor oameni cu însărcinări în domeniu, doar pentru că ei provin din China și din Rusia, pe de-o parte, și din SUA sau restul lumii, pe de altă parte. O politică similară va fi un adevărat challenge.
Deși în România tema securității cibernetice preocupă foarte puțin și doar la nivelul structurilor operative, pe agenda internațională este o temă focus, Pentagonul declarând, pentru prima dată, cyberwar-ul prioritate zero înaintea terorismului.
Marea Britanie a alocat Programului Național de Securitate Cibernetică 650 de milioane de lire sterline, iar Germania 100 de milioane de euro, vizând dezvoltarea capacităților tehnologice de apărare a infrastructurilor critice. Țara noastră se află încă la nivelul de un expert IT la două ministere, deși ultimul raport al CERT-RO dezbătut în CSAT arată că am devenit o țintă importantă pentru spionajul economic și fraudele cibernetice, în primul trimestru al acestui an înregistrându-se peste 2.000 de atacuri cibernetice clasificate cu risc ridicat, tendința fiind ascendentă.
În Marea Britanie există catedră de securitate cibernetică în opt universități importante, iar la National Defense University, încă din 1995 a absolvit prima generație de ofițeri pregătiți să coordoneze campanii de război cibernetic.
În România, reziliența infrastructurilor critice este foarte scăzută și în următoarea perioadă aceasta va fi un obiectiv major atât pentru instituții, cât și pentru mediul privat, iar în absența unui parteneriat onest, echitabil și profitabil între cele două entități, nu se vor putea face progrese.
Dincolo de adoptarea unui cadru normativ și instituțional, societatea este complet neavizată în privința riscurilor și vulnerabilităților din spațiul virtual, nu are o minimă cultură de securitate, în timp ce agenda publică este ocupată cu subiecte minore.
Anticipativ, cu doi ani în urmă, în cadrul unui eveniment organizat de Institutul Aspen, Mircea Geoană spunea că România trebuie să aibă o voce în cadrul conversației globale despre guvernanța digitală, iar de curând, într-un format discret de reflecție, la București s-a „inaugurat” discuția despre Big Data.
Fără a fi pesimistă însă, cred că ar trebui mai întâi să evaluăm corect gradul de reziliență al infrastructurilor critice naționale, să elaborăm și să implementăm, printr-un efort susținut, un plan național de reacție la incidentele cibernetice, să conștientizăm populația că orice posesor de laptop sau de telefon mobil se poate transforma într-o armă manevrată de altcineva, să încurajăm și să motivăm tinerii care excelează în domeniul informatic pentru a rămâne acasă, să investim mai mult în securizarea propriilor rețele informatice. Cu alte cuvinte, să prioritizăm discuțiile, atenția și implementarea măsurilor.
Știm cu toții că nu există barieră pentru hacking, că au fost atacate de la site-urile Casei Albe și ale Pentagonului până la cele ale Estoniei, care a fost ștearsă de pe harta internetului în 2007, sau al Georgiei, în 2008, care a pierdut practic controlul asupra domeniului de țară (.ge), că în 2010 Stuxnet a devenit prima armă cibernetică din lume și că în raportul cost/profit, dacă pentru o rachetă de croazieră se cheltuiesc două milioane de dolari, o armă cibernetică poate costa între 300 și 50.000 de dolari, daunele produse fiind incredibile.
Cifrele vehiculate de vorbitorii prezenți la Londra arată că zilnic sunt atacate cibernetic 1,5 milioane de persoane și că se pierd circa 300 de miliarde de euro anual în lumea întreagă din cauza criminalității informatice.
Amenințările nu vin doar din partea unor actori statali, ci și din partea unor organizații criminale și chiar a unor grupări de mici dimensiuni animate de „sentimente patriotice” (cum declarau oficiali ruși), de interese materiale sau, alteori, de pasiune și de nebunie.
Netul devine un „ecosystem” virtual în care trebuie să eliminăm factorii poluatori și distructivi la adresa „sănătății” celorlalți. Având în vedere tabloul global, trendul ascendent al acestor amenințări, cred că România trebuie să-și concentreze atenția pe securizarea digitală dacă nu vrem să rămânem o țintă la fel de vulnerabilă precum suntem acum.
Cel mai greu, desigur, va fi armonizarea punctelor de vedere diferite între susținătorii drepturilor omului și autoritățile chemate să asigure securitatea cetățenilor și care, uneori, acționează pe o graniță fragilă între abuz, în numele combaterii unor amenințări, și eșec, din cauza birocrației și a obținerii avizelor legale. Mai ales în domeniul securității cibernetice, echilibrul între drepturile omului și nevoia lui de securitate va fi o provocare nu doar pentru instituțiile statului, ci și pentru comunitatea de business și societatea civilă. Mă tem că România, o țară cu mental colectiv afectat și rudimentar, lacunar în privința culturii de securitate, va respinge uneori binele, doar pentru că nu-l va înțelege.
Read the english version below >>
Cyber Security – Balancing Risks, Returns and Responsibilities
“Out of the 27 member states of the European Union, only about six- seven are relatively prepared to face a cyber-attack”, stated a high official from the field of cyber-security, during a conference in London, held under the aegis of Chatham House (therefore under its rule of rigour as well), which I attended the other days.
This situation is worrisome as far as risks are concerned because at this level, EU member states should not only have a common policy strategy, but also standard procedures prepared to be implemented simultaneously. However, as stated by all speakers, sometimes is harder to overcome the boundaries between organizations and communities, than the geographic ones.
Experts recommend collecting data and developing better recordings on the general vectors, considering that information on how exactly a cyber-attack takes place are seldom in existing reports concerning cyber-threats; on the impact antagonists have in order to understand the goal of these attacks and to prioritize security measures; enclosing the users’ perspective which is still missing from current data; the usage of a common terminology and most importantly, a common policy without which, extensive progress cannot be made in this field. I have noticed though, that on the course of only two days, during a free- speech conference, how different opinions can vary from one person to another who has expertise in the field, simply because they come from China and Russia on one hand, and USA and the rest of the world, on the other.
A common policy will represent the real challenge.
Even though, in Romania the cyber- security matter takes up little interest and only when concerning critical structures, on the international agenda the prime focus is on this issue, the Pentagon stating that for the first time, cyber-war has become a zero- priority, ahead of terrorism.
Great Britain has assigned the Cyber Security National Program 650 million pounds, while Germany has allocated 100 million euro, ensuring the technological defence capabilities development of critical infrastructures. Our country is still at the level where two ministries have one IT expert, even though the last CERT-RO report debated in CSAT, shows that we have become a target for economic cyber-espionage and cyber-fraud; over 2000 cyber- attacks were recorded in the first trimester of this year, which were classified as high risk of escalation.
In Great Britain there is a cyber- security chair in eight of the most important universities, while at the National Defence University, ever since 1995, the first generation of officers trained for coordinating cyber- war campaigns graduated.
In Romania, the critical infrastructure’s resistance is very low and within the next period this will represent a major objective for institutions as well as for private organizations, and in the absence of a sincere partnership, fair and profitable, between the two entities, progress cannot be made.
Beyond adopting a legal and institutional framework, society is completely unaware of the dangers and vulnerabilities of cyberspace; hasn’t got the minimum of cyber- security knowledge, while as the official agenda is dealing with minor issues.
Two years ago, during an event organized by the Aspen Institute, Mircea Geoana said that Romania should have a word to say in the matter of global talk on cyber regulations, and recently, in a more closed format of reflections, the Big Data discussions were “released” in Bucharest.
Without trying to be a pessimist, I believe that first of all, we ought to evaluate the resilience degree of our national critical infrastructures, elaborate and implement, through sustained efforts, a national plan for cyber-events intervention, provide awareness campaigns about the fact that every laptop or smartphone can turn into a weapon used by someone else, encourage youth who excel in the cyber field to stay in the country and invest more in the security of our own networks. In other words, prioritize the discussions, the focus and the measures’ implementation.
We all know there are no barriers for hacking, that from the White House and Pentagon’s websites to that of Estonia’s were hacked, erasing the latter from the worldwide map in 2007 or the fact that in 2008, Georgia lost control over its country domain (.ge), while in 2010 Stuxnet became the first world known cyber-weapon and that in the cost/profit report if for a cruise missile two million dollars are spent, a cyber-weapon can cost only between 300 and 50.000 dollars, while the damages it can cause are beyond imagination.
The numbers presented at London by the speakers, show that on a daily basis 1,5 million people are facing cyber-attacks and that almost 300 billion euro worldwide are lost due to cyber-crimes.
Threats not only come from state actors, but also from organized crime and even some small “patriotic” groups (as Russian officials declared), or lead by financial interests, passion and even madness.
Internet is becoming a virtual “ecosystem” from which we have to eliminate the destructive and polluting factors influencing others “health”. Considering the global framework and the escalading trend of these threats, I believe Romania should concentrate its attention on cyber- security, should we not want to remain such a vulnerable target as we are now.
The hardest thing of course, will be synchronizing the different point of views of human rights advocates and the authorities entrusted with the dwellers’ security, which sometimes act borderline between abuse in the name of combating threats and the failure of bureaucracy and obtaining legal visas. Especially in the field of cyber-security, the fragile balance between human rights and his need for security shall raise a challenge not only for state institutions, but also for the business community and civil society. I’m afraid Romania, as a country with damaged and basic collective mentality, unaware of security issues, will sometimes reject what’s good for it, just because it won’t understand it.
Supported by Security Policies Forum