Foarte interesant! Cum se apără România de atacuri informatice și memorandumul secret cu Israelul
Foarte interesant! Cum se apără România de atacuri informatice și memorandumul secret cu Israelul.
Lipsa de personal calificat, sisteme de operare învechite precum Windows XP sau Windows 7, încă folosite de nenumarate instituții și absența educației continue pe partea securitate informatică, sunt prinpalele vulnerabilități ale sistemelor publice de IT identificate de specialiștii în securitate informatică. Bogdan Botezatu, director de cercetare în amenințări informatice la Bitdefender, a explicat pentru G4Media.ro că în prezent există dificultăți în privința aplicării directivei NIS referitoare la securitatea rețelelor și sistemelor informatice, transpusă în legislația din România în ianuarie 2019.
Site-ul Curţii Constituţionale a României a fost ţinta unui atac informatic, vineri după-amiază, nemaiputând fi accesat pentru o perioadă. În locul paginii de start, cei care încercau să intre pe site-ul CCR puteau vedea mesajul „Hacked By laZy hAcker” şi o imagine cu un personaj dintr-o animaţie japoneză. De asemenea, toate funcţiile paginii erau suspendate. Ulterior, pagina web generată de autorii atacului informatic a fost eliminată, însă site-ul CCR nu a putut fi accesat pentru o perioadă.
Rep: Care sunt principalele vulnerabilităti ale sistemelor informatice din administrație în fața unor eventuale atacuri informatice?
Bogdan Botezatu, Bitdefender: Lipsa de vizibilitate în infrastructura IT este o problemă majoră cu care se confruntă atât companiile din sectorul public, cât și cele din sectorul privat. Din păcate, de cele mai multe ori administrația nu are suficiente resurse tehnice și financiare să evalueze riscurile ce pot duce la atacuri informatice.
Un alt lucru de egală importanță este și lipsa de personal calificat, mai exact a unor echipe tehnice dedicate rezolvării problemelor de securitate cibernetică, prin urmare erorile umane, lipsa actualizărilor de securitate pe partea de software sau serviciile configurate incorect pot compromite infrastructura.
De cele mai multe ori, atacatorii trec neobservați din cauza sistemelor de operare învechite, precum Windows XP sau Windows 7, încă folosite de nenumarate instituții, deși aceste sisteme de operare nu mai primesc suport tehnic sau actualizări de securitate.
Lipsa capacităților de monitorizare continuă a infrastructurii a tehnologiilor complementare precum instrumente de detecție și răspuns sau de monitorizare a traficului în rețea cresc timpul de detecție și răspuns la amenințări informatice și expun organizațiile la atacuri pentru perioade mai mari de timp.
Atacurile de tip ransomware, amenințări informatice ce blochează accesul la date și apoi solicită recompensă în schimbul deblocării, sunt cele mai întalnite tipuri de atac îndreptate împotriva sistemelor din sectorul public.
Cauza acestor incidente e de cele mai multe ori factorul uman – o altă vulnerabilitate a componentei de business. Lipsa educației continue pe partea securitate informatică îi face să cadă ușor victimă tehnicilor de inginerie socială și tentativelor de phishing.
Pe lângă atașamente și linkuri infectate, angajații mai pot compromite securitatea sistemului și prin simple erori umane legate de refolosirea parolelor, crearea de copii a documentelor pe dispozitive portabile, pierderea acestor dispozitive și chiar partajarea parolelor în cadrul echipei.
O soluție de securitate și actualizările constante a programelor software limitează extrem de mult suprafața de atac, dar nu substituie componenta educațională și trainingurile de cybersecurity awareness în care ar trebui înrolați angajații.
Rep: Există în prezent lacune în legislatie, care pot afecta activitatea de prevenire a atacurilor si de protectie a datelor? In ce masura implementarea directivelor europene ajuta în mod practic? Mai sunt necesare institutii suplimentare?
Bogdan Botezatu: La un an de la intrarea în vigoare a standardelor legate de GDPR s-au înregistrat în total 90.000 de notificări, conform Reprezentanței Comisiei Europene în România. Deși trebuia transpusă până în 2018, în 12 ianuarie 2019 în Romania a intrat în vigoare legea de transpunere a directivei NIS din 2016, referitoare la securitatea rețelelor și sistemelor informatice. Teoretic, prin actele legislative adoptate, România are momentan un mecanism de prevenţie, detecţie şi reacţie în eventualitatea unui atac sau a scurgerilor de date.
Deși există legi implementate, multe organizații nu și-au luat toate măsurile de siguranță pentru a fi conforme cu normele GDPR, în special. În sectorul public, componenta de reglementare e mult mai blândă cu instituțiile de stat, cărora li se aplică amenzi cu sume cuprinse între 10.000 și 200.000 lei.
În momentul de față există dificultăți în soluționarea tuturor notificărilor legate de protecția datelor cu caracter personal. Statele membre ale UE nu au căzut, însă, de acord asupra unei strategii universale cu privire la menționarea vulnerabilităților de software, a obținerii de date prin spionaj sau a păstrarii datelor personale ale utilizatorilor. Fiecare stat membru aplică doar anumite aspecte ale directivei și momentan încă nu lucrează împreună ca un tot unitar.
Un memorandum încă secret
Pe data de 6 iunie, Ministrul Comunicaţiilor, Alexandru Petrescu, şi şeful Directoratului Naţional pentru Securitate Cibernetică al Statului Israel, Yigal Unna, au semnat, la Palatul Victoria, un memorandum de înţelegere privind cooperarea în domeniul securităţii cibernetice.
Ministrul comunicațiilor a declarat că memorandumul ”va susţine pe termen nedeterminat eforturile comune ale celor două părţi în domeniul cheie al securităţii cibernetice, prin schimb de informaţii şi expertiză privind politici şi bune practici în domeniu, creşterea capacităţii instituţionale prin instruirea resurselor umane, alături de organizarea de grupuri de lucru şi teste operaţionale de securitatea cibernetică”, a menţionat ministrul Comunicaţiilor”.
Nu este clar ce conține textul acestui memorandum. La solicitarea G4Media.ro, biroul de presă al ministerului a răspuns: ”Din motive ce țin de dificultatea, complexitatea și volumul lucrărilor documentare și în temeiul Legii 544/2001, vă aducem la cunoștință faptul că, prin prezentul e-mail, invocăm prelungirea perioadei de răspuns cu 30 de zile”.
Atacurile informatice și pericolul rusesc
Când site-urile unor instituții publice sunt atacate, poate fi mâna unor puști teribiliști sau hackeri care doresc sa-și lase semnătura pentru a se face cunoscuți dar uneori poate fi mai mult decât o simplă joacă de-a șoarecele și pisica.
Uneori în spatele unui atac se pot ascunde forțe statale. Pe lângă atacurile directe, care presupun pătrunderea într-un sistem informatic cu scopul extragerii de date, au loc și alte timp de atacuri, mai sofisticate, sub forma campaniilor de dezinformare.
Comisia Europeană a anunțat, vineri, într-un raport, că UE a strâns probe cu privire la activitatea de dezinformare ”continuă şi susţinută” făcută de Rusia şi care a vizat scăderea prezenţei la vot în timpul alegerilor europarlamentare din 23-26 mai şi influenţarea preferinţelor alegătorilor.
Înaintea alegerilor pentru Parlamentul European, executivul comunitar a avertizat în legătură cu interferenţa Rusiei, iar Uniunea Europeană şi-a sporit capacităţile pentru identificarea ştirilor false şi dezvăluirea cazurilor de dezinformare.
Dovezile strânse în ultimele luni au ”indicat o activitate de dezinformare continuă şi susţinută din partea surselor ruse care vizau reducerea prezenţei la vot şi influenţarea preferinţelor electorale”, a menţionat Comisia Europeană în raportul publicat vineri.
În contextul în care știrile false reprezintă una dintre marile probleme ale democrației, Chamber of Excellence in International Affairs (CEIA) a organizat luni, 10 iunie, la Camera Deputaților, dezbaterea „Fake News vs. UE? Dezinformarea digitală și post-adevărul în contextul alegerilor europene”.
Experții CEIA au arătat că strategia propagandei pro-Kremlin a constat în promovarea doar a câtorva personaje politice structurate în tipologii: femeia victimă/luptătoarea demnă; eroul revoluționar care a demascat dublul standard al alimentelor; președintele – autor al unor planuri de destabilizare.
Principalele narațiuni anti-UE au pivotat în jurul a patru teme centrale:
1) UE și instituțiile sale sunt în descompunere, și doar populiștii (suveraniștii) ar putea-o salva; 2) Summit-ul de la Sibiu reprezintă o uniune pentru atacarea naționalismului și o trădare a intereselor țării; 3) Românii nu sunt interesați de alegerile europene și 4) Parlamentul European nu este important deoarece europarlamentarii ar fi niște nulități dirijate de birocrați europeni (o narațiune conexă cu cea de România – colonie a Occidentului).
Cum se apără Europa
În ce privește campaniile de dezinformare, statele UE nu au reușit încă să-și armonizeze punctele de vedere și să impună sancțiuni statelor care lanseză atacuri sau campanii de dezinformare.
Politico a criticat, într-un articol publicat în octombrie 2018, incapacitatea UE de a impune sancțiuni împotriva Rusiei și statelor care lansează campanii de dezinformare și atacuri informatice.
În ce privește cadrul legislativ, există așadar Directiva NIS din 2016 privind securitatea rețelelor și a informațiilor, primul act legislativ privind securitatea cibernetică aplicabil la nivelul de ansamblu al UE. Directiva, care a fost transpusă în legislația din România la începutul anului, obligă statele membre să adopte strategii naționale privind securitatea rețelelor și a informațiilor și să creeze puncte unice de contact și echipe de intervenție în caz de incidente de securitate informatică („echipe CSIRT”).
Directiva stabilește totodată cerințe de securitate și notificare pentru operatorii de servicii esențiale din sectoarele critice și pentru furnizorii de servicii digitale.
În paralel, Regulamentul general privind protecția datelor (GDPR) a intrat în vigoare în 2016 și se aplică începând din mai 2018 însă pare a avea deocamdată un caracter mai degrabă formal. Obiectivul acestui regulament este de a proteja datele cu caracter personal ale cetățenilor europeni prin stabilirea de norme cu privire la prelucrarea și la diseminarea acestora.
Există chiar și un cadru comun privind contracararea amenințărilor hibride, adoptat de UE în 2016, care subliniează faptul că atacurile cibernetice se pot desfășura prin intermediul unor campanii de dezinformare pe platformele de comunicare socială.
Un document mai recent, respectiv din 12 martie 2019, aduce ca noutate ceea ce știe Comisia cel mai bine să facă: noi standarde. Eurodeputații au adoptat o schema de certificate europeană de securitate cibernetică pentru produse, procese și servicii, și, într-un comunicat dat publicității cu acel prilej, și-a exprimat ”temerile asupra prezentei chineze în domeniul IT din UE”.
Potrivit siteului PE, instituția a votat, de asemenea, o rezoluție care îndeamnă la acțiune la nivel european asupra amenințărilor de securitate legate de prezența tehnologică crescută a Chinei în UE.
La presiunea crescândă a SUA, eurodeputații și-au exprimat ”profunda îngrijorare asupra acuzațiilor recente potrivit cărora echipamentele 5G ar putea avea încorporate opțiuni care ar permite fabricanților chinezi și autorităților accesul neautorizat la date cu caracter personal și telecomunicații din interiorul UE”.
Cum se apără România
În 2013, țara noastră și-a aprobat o Strategie de securitate cibernetică și un Plan de acțiune la nivel național pentru implementarea Sistemului național de securitate cibernetică.
Anterior, în 2011, a fost înființat Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO, o instituție publică cu personalitate juridică, finanțată integral de stat, dar fără atribuții în domeniul documentelor clasificate.
Ocazional, emite alerte publice cu privire la riscurile de securitate. Pe perioada asigurării de către România a Consiliului UE, CERT-RO prezidează 3 grupuri de lucru. De asemenea, din acest an activitatea sa este legată de transpunerea Directivei NIS în România.
Din 12 ianuarie 2019, în România a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Această lege transpune Directiva NIS, amintită mai sus, în legislația românească și stabilește mecanismul de prevenţie, detecţie şi reacţie în cazul unor incidente de securitate cibernetică.
Legea se adresează în primul rând operatorilor de servicii, persoane fizice sau juridice exemplificate în anexa legii care au legătură cu sectoarele de energie (electricitate, petrol, gaze naturale), transport (rutier, aerian, feroviar, maritim și fluvial), bancar, infrastructuri de piețe financiare, sănătate, furnizarea și distribuirea de apă potabilă și infrastructura digitală (Internet Exchange-uri și DNS).
Directiva se mai adresează și serviciilor digitale, mai exact piețelor, motoarelor de căutare online și serviciilor de clouding.
Toate aceste entități trebuie, prin această lege, să își diminueaze riscurile de securitate, ceea ce înseamnă că trebuie să își facă și bugete pentru asta. Legea a desemnat CERT-RO drept autoritatea competentă și a fost nevoie de o ordonanță de urgență emisă la începutul anului, pentru bugeta activitatea acestei instituții.
O altă obligație ce revine transportatorilor, băncilor sau clinicilor medicale este notificarea rapidă, către CERT-RO, a incidentelor care afectează semnificativ continuitatea serviciilor esențiale. O asemenea notificare trebuie să includă, de exemplu, descrierea incidentului, impactul estimat al incidentului și măsurile preliminare luate de firme.
Legea prevede și sancțiuni care pot merge de la 3.000 de lei, până la 100.000 de lei, sau chiar la 5% din cifra de afaceri pentru abateri repetate.
În ceea ce privește măsurile anti-troling luate de autoritățile din România, nu există rapoarte publice concludente. Autoritățile dețin o serie de date cu privire la activitatea acestora și a unor siteuri cu audiență destul de mare care pot fi considerate ca parte a sistemului de troling în România.
Nu există însă rapoarte publice ale instituțiilor, cu privire la eventualele măsuri luate în acest sens ci doar câteva campanii de circulație mult mai restrânsă, împotriva știrilor false și a modului în care pot fi identificate.
Atacuri celebre în România, UE și SUA
În luna februarie 2019, Microsoft a anunțat că organizaţii şi instituţii din Europa, inclusiv din România, au fost vizate de atacuri cibernetice ruse, în perspectiva scrutinului europarlamentar. Moscova a negat orice implicare în aceste acţiuni informatice.
„Am observat cu toţii atacuri cibernetice şi campanii pentru dezinformare în scrutinul prezidenţial desfăşurat în Franţa în anul 2017, iar liderii europeni au avertizat recent că atacurile vor continua în Europa în 2019. Experţii Microsoft au observat recent acţiuni vizând instituţii democratice din Europa (…). Aceste atacuri nu se limitează la campaniile electorale, ci vizează frecvent institute de analiză şi organizaţii non-profit active în domenii asociate democraţiei, integrităţii electorale şi politicilor publice, entităţi care sunt adesea în contact cu oficiali guvernamentali”, a anunțat Microsoft în februarie 2019.
Rusia a fost și este suspectată de influențarea alegerilor din mai multe țări, utilizând metode complexe de influențare a opiniei publice, care includ troli, tehnologie și știri false. Suspiciunile au mers până la acuzații deschise: 13 cetățeni ruși au fost puși sub acuzare de procurorul american Robert Muller pentru implicarea ilegală în campania electorală din SUA. Toți cei 13 aveau legătură cu o companie rusească pe nume Internet Research Agency, cu sediul la Sankt Petersburg supranumită ”ferma rusească de troli”. 12 erau angajați, iar unul era considerat finanțator.
Compania producea mesaje, comentarii pe siteuri de știri, pe bloguri și în diferite alte medii, menite să influențeze publicul american.
Twitter a deprecizat peste 2.700 de conturi care erau conectate la Internet Research Agency, iar aceste conturi au postat 131 000 de tweet-uri numai în doar două luni și jumătate. Aceste mesaje serveau în mod direct sau indirect, Rusiei, au considerat autoritățile americane.
Un raport publicat parțial la începutul anului 2017 la care au contribuit NSA, CIA și FBI (Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution) spune textual că serviciile de informații din Rusia au efectuat operațiuni cibernetice împotriva obiectivelor asociate cu alegerile prezidențiale din 2016 ale SUA țintind ambele partide politice majore din SUA.” Apreciem cu un înalt grad de încredere că serviciul de informații militare rusești (GRU) a folosit personalul Guccifer 2.0 (hackerul român Lazăr Marcel Lehel – n.red.) și DCLeaks.com pentru a face publice datele victimelor americane obținute în operațiuni cibernetice” se arată în raport.
Guccifer ar fi spart emailul lui Hilary Clinton, al fostul secretar de stat american Colin Powell, al lui Sidney Blumenthal, un apropiat al lui Hillary Clinton, emailurile unor membri ai familiilor Bush şi Rockefeller, dar și emailurile lui George Maior, ambasadorul României și ale fostului comisar european Corina Crețu. Datele există în dosarul penal în care acesta a fost implicat.
Revenind la raport, acesta trage un semnal de alarmă important pentru partenerii SUA: ”Inteligența rusă a obținut și a menținut accesul la elementele mai multor comisii electorale naționale sau locale din SUA. DHS estimează că tipurile de sisteme pe care actorii ruși au vizat sau le-au compromis nu au fost implicate în procesul de votare. Mașina de propagandă a statului rus a contribuit la campania de influență, servind drept platformă pentru transmiterea mesajelor de la Kremlin publicului rus și internațional. Evaluăm că Moscova va aplica lecțiile învățate din campania sa comandată de Putin, care vizează alegerile prezidențiale din SUA pentru eforturile de influență viitoare, împotriva aliaților SUA și a proceselor lor electorale”.
În luna martie, Facebook a anunțat că a eliminat patru pagini, 26 conturi de Facebook și un grup din România care făceau parte dintr-o rețea ce opera în România prin conturi false, dar și reale create de apropiați ai PSD, a spus șeful pentru Cyberseccurity al companiei, Nathaniel Gleicher. ”Ei au împărtășit, de asemenea, conţinut care incita la dezbinare și au promovat conținut găzduit de câteva domenii care se prezentau ca site-uri de știri”, au spus cei de la Facebook, citați de HotNews.ro
SUA a strâns relațiile cu țările europene, care au fost prevenite cu privire la pericolul pe care îl reprezintă utilizarea noilor arme în domeniul comunicării, dar și în domeniul altor potențiale riscuri cibernetice, cum ar fi colaborarea cu Huawei și a aplicațiilor acestei companii în domeniul infrastructurii critice. Americanii au transmis chiar și public mesaje partenerilor ei europeni, mesaje care uneori au luat forma unor avertismente.