Tendin țe globale [611753]
1 | P a gi nă
CUPRINS
Sumar executiv
Tendin țe globale
– Entit ățile ostile
– C(ybercrime)aaS
– Finan țele subterane
– IoTși IoBadT
– Amenin țări și vulnerabilit ăți
– Percep ția asupra riscurilor și amenin țărilor cibernetice
– Big data în detecție și prevenție
Peisajul local
– Date m alware
– Malware pe mobile
– Spam
– Alerte CERT.ro
Cadrul legal și institu țional
– Strategia de securitate cibernetică a Uniunii Europene
– Proiectul de directiv ă NIS
– Strategia de Securitate cibernetic ă a Rom âniei
– Suveranitatea, localizarea și confiden țialitatea da telor
Recomand ări
2 | P a gi nă
Sumar executiv
Asocia ția Na țională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înfiin țată în 2012 ca
persoan ă juridic ă română, fiind o organiza ție de drept privat, nonprofit, f ără scop patrimonial,
neguvernamental ă, profes ională, independent ă. Un rol important al ANSSI este de a promova bune
practici în domeniul securit ății informa țiilor și a sesiza factorilor cu competen țe administrative
dezechilibrele de pe pia ța IT, ac ționând pentru instituirea unei culturi etice și de s ecuritate pe
aceast ă piață prin coagularea unor forme de parteneriat public privat care s ă conduc ă la eficien ță și
opera ționalitatea sistemelor IT implementate în România. În egal ă măsură, ANSSI se implic ă activ în
domenii conexe, cum ar fi comunica țiile e lectronice, solu țiile și sistemele de e -guvernare ș i
e-administra ție, accesarea instrumentelor structurale sau standardele ocupa ționale.
Prin prezentul document, ANSSI își propune s ă sintetizeze tendin țele de evolu ție ale riscurilor și
ameni nțărilor de securitate cibernetic ă, prin raportarea spa țiului virtual autohton la tendin țele
înregistrate la nivel global.
Scopul acestei evalu ări îl reprezint ă eviden țierea unor indicatori relevan ți în raport cu care membrii și
partenerii no ștri, at ât din mediul privat, c ât și din mediul public, s ă poat ă să-și orienteze strategiile și
politicile proprii necesar a fi adaptate permanent pentru asigurarea unui nivel adecvat de securitate
cibernetic ă. Totodat ă, prin evaluarea tendin țelor înregistrate de catego riile de riscuri și amenin țări
eviden țiate în document, pot fi ident ificate mai facil tipurile de mă suri concrete necesar a fi adoptate
în plan tehnologic, precum și tipurile de competen țe necesare pentru personalul specializat în
domeniul securit ății cib ernetice.
Materialul se dore ște un document pragm atic, realizat pe baza datelor ș i contribu țiilor analitice
furnizate de o parte a membrilor și partenerilor ANSSI, identifica ți ca atare în document.
Se porne ște de la evolu țiile identificate la nivel global , se analizeaz ă prin compara ție situa ția local ă,
inclusiv cadrul normativ , prezent ându-se în final un set de propuneri și recoman dări.
În prima sec țiune se observ ă, la nivel macro, diversificarea entit ăților ostile, apari ția și dezvoltarea ( în
tandem) a Cy bercrime -as-a-Service și a finan țelor subterane, precum și impactul paradigmei IoT. Sunt
prezentate principalele tendin țe în domeniul amenin țărilor cibernetice, detali indu-se aspectele ce țin
de kiturile de exploatare, Java și spam. De asemenea, se prezint ă o analiz ă a percep ției privind
riscurile de securitate și a costului lipsei de securitate la nivelul utilizatorilor și al companiilor.
Prin raportare la tendin țele globale, secțiunea urm ătoare analizeaz ă peisajul local. Observ ăm astfel
că:
– Cele mai notab ile amenințări informatice la adresa utilizatorilor de Internet din România sunt
reprezentate de virușii de tip crypto -ransomware și troienii bancari Tinba si Dridex
– Win32.Worm.Downadup ocup ă primul loc în lista amenin țărior informatice din 2015
– În zona de mobile, pe primul loc se afl ă troienii de fraud ă cu mesaje scurte la numere cu
supratax ă (50% din cazuri), urma ți la distanță de instrumentele de spionaj tip AndroRAT
– Spam -ul a r ămas la un nivel relativ constant, pe primul loc (50% din cazuri) reg ăsindu-se
mesajele care plaseaz ă produse farmaceutice și suplimentele alimentare , urmate de site –
urile matrimoniale (10%) și produsele contraf ăcute (7%)
3 | P a gi nă – În ceea ce prive ște alertele CERT.ro, în prima jum ătate a anului 2015 num ărul acestora a
ajuns la aproape 30 de milioane cu 1.7 milioane IP -uri unice
În ceea ce prive ște cadrul legislativ, se observ ă o evolu ție convergent ă cu tendin țele europene, dar și
o abordare (at ât european ă cât și local ă) ușor conservatoare, în pa și mici, care permite însă evitarea
erorilor și asimilarea lec țiilor anterioare.
În final ul materialului se prezint ă o serie de propuneri și recomandă ri din care punct ăm:
– Întregirea cadrului legal în domeniul securit ății cibernetice
– Dezvoltarea de CERT -uri sectoriale
– Definirea unui set de condi ții teh nice minime de securitate pentru sistemele informatice
– Înfiin țarea unui Cluster orientat pe securitate cibernetic ă, care s ă includ ă un Centru na țional
de transfer tehnologic și un Centru specializat pentru evaluarea nivelului de securitate al
soluțiilor ha rdware/software
– Oragnizarea unui Centru na țional de competen țe care s ă asiste institu țiile publice î n
dezvoltarea sistemelor informatice
– Un cadru normativ pentru infrastructurile de tip Cloud
– Dezvoltarea de “hub -uri informa ționale”, care s ă asigure schimbu l securizat de informa ții
între institu țiile publice , interconectate prin Intranetul guvernamental
– Oferirea de facilit ăți (vouchere) care s ă permit ă actorilor economici s ă-și efectueze un audit
minim de securitate
– Introducerea unor roluri de speciali ști IT în toate institu țiile publice centrale și locale
4 | P a gi nă
Tendin țe globale
Trăim astăzi într-o lume din ce în ce mai conectat ă și suntem înconjura ți de device -uri din ce în ce mai
inteligente. 90% din informa ția disponibil ă online a fost introdus ă în ultimul an , 85% din aplica țiile
dezvoltate azi sunt preg ătite pentru cloud , iar noi petrecem în medie 4 ore pe zi în fața unui ecran, fie
că vorbim de laptop, desktop, tablet ă sau smartphone. Timpul petrecut în spaț iul virtual cap ătă o
pondere din ce în ce mai mare, am învățat să ne “transfer ăm” o parte din activit ăți și ne-am adaptat
o serie de gesturi la mediul online: acum , nu doar c ăută m și alegem haine online ținând cont de
pozele din, ci putem s ă le “prob ăm” virtual, nu ne mai rezum ăm la a c ăuta dup ă cuvinte ch eie, ci
dialog ăm cu un asistent electronic într-un limbaj (aproape) natural , iar pentru pl ăți folosim portofele
electronice și monede virtuale.
Până în 2020 se estimeaz ă că num ărul de telefoane inteligente va dep ăși 6 miliarde, în timp ce IoT va
num ăra apr oape 80 miliarde de device -uri. Nivelul de sofisticare va cre ște accelerat, la fel
func ționalit ățile, a șa că soluțiile electronice vor c ăștiga teren în fa ța alternativei clasice. Implicit,
furnizorii de servicii vor fi din ce în ce mai interesa ți de prezen ța și pozi ția lor în spa țiul virtual,
însoțindu -și astfel clien ții poten țiali.
Pentru furnizorii care își adapteaz ă și își diversific ă oferta introduc ând servicii electronice noi,
succesul s e măsoar ă prin num ărul de utilizatori efectivi și prin frecven ța utilizării soluției (ș i, în final,
prin num ărul de clien ți ai serviciului sau produsului propriu -zis, fie c ă e vorba de clien ții unui serviciu
de Internet banking sau ai unui magazin virtual ). Iar un consumator va folosi varianta online dac ă știe
cum, poate și vrea s ă o fac ă:
– Știe cum – Atrage aten ția asupra setului minim de cuno ștințe și competen țe al utilizatorului,
dar în egal ă mă sură indic ă furnizorilor de servicii importan ța ergonomiei interfe ței (un
exemplu relevant din zona B2B: 71% dintre achizitori ar cump ăra mai mult dac ă aplica țiile ar
permite o navigare mai facil ă și ar simplifica procesul de cump ărare pentru companii –
www.internetretailer.com ).
– Poate – Consumatorul dispune de resursele minime pentru a accesa serviciul online:
echipament și conexiune Internet.
– Vrea – Aici trebuie s ă avem în vedere at ât factorii motiva ționali (de exemplu valoarea
adăugat ă de serviciul electronic, a șa cum este ea perceput ă de client) , care ac ționeaz ă în
sensul utiliz ării serviciului, cât și atributele care pot limita utilizarea acestuia (de exemplu, un
nivel de securitate al sistemului perceput ca fiind insuficient, aspect asupra c ăruia ne vom și
concentra în continuare).
Din aceste perspective, cre șterea nivelului de con ectivitate și sofisticare al device -urilor contribuie la
dezvoltarea și diversificarea alternativei electronice dar, în acela și timp, induce riscuri de securitate
suplimentare, cu efect opus, de limitare a utiliz ării serviciilor online.
5 | P a gi nă
Entit ățile ostile
Privind retrospectiv, observ ăm că locul t ânărului programator care realiza, acum 20 de ani, un virus
doar pentru a -și dovedi c ă poate s ă o fac ă, este luat de grupuri organizate, formate deseori din
speciali ști din regiuni/ țări diferite, motivate și de rez ultate financiare sau de alt ă natur ă.
Complexitatea, dimensiunea și frecven ța viru șilor a crescut de asemenea. Codul surs ă al unui virus
din 1995 ocupa c âteva pagini și putea fi analizat de un singur specialist, în câteva ore, în timp ce un
virus modern es te “dezlegat” de o echip ă întreag ă, iar codul surs ă s-ar putea întinde pe c âteva sute
de mii de pagini. În urmă cu 20 de ani, furnizorii de solu ții antivirus se confruntau cu un virus nou o
dată pe s ăptămână sau chiar mai rar, în timp ce azi apar peste 250 .000 de viru și zilnic (incluz ând și
muta țiile).
Nivel de complexitate – Criminalitate organizat ă și actori statali
– Bine organizate și finan țate
– Motiva ți de c âștigul financiar sau geopolitic
– Districtivi, cu scopul de a perturba economia
– De obicei încă jucători individuali
– Acțiuni planificate și premeditate
– Motivat de dorin ța de c âștig financiar
– Jucători individuali
– Oportunist și ocazional
– Motivat de dorin ța de a “dovedi c ă pot”
Evolu ția temporal ă – Creșterea nivelului de complexitate
Creșterea comple xității implic ă costuri suplimentare, ajung ându-se la valori foarte ridicate. În locul
“scriitorului de viru și” din 1995, în general nemotivat financiar și nefinan țat, identific ăm în prezent
mai multe roluri, fiecare cu motiva ția sa (o entitate, grup sau p ersoan ă, poate cumula mai multe
roluri simultan):
– Finan țatorul – Cel care sus ține financiar dezvoltarea unui instrument/mecanism de atac
informatic , incluz ând aici organiza ții teroriste, grupurile infrac ționale organizate și actorii
statali
– Echipa care con cepe și realizeaz ă malware -ul
– “Distribuitorul” – Veriga în procesul (ilicit) de comercializare a malware -ului. Distribuitorul nu
dore ște să utilizeze respectivul instrument.
– Clientul – Cel care achizi ționeaz ă malware -ul pentru a -l utiliza sau angajeaz ă CaaS
(Cybercrime -as-a-Service)
6 | P a gi nă După cum se men ționeaz ă și în documentele NATO, până în prezent, cei mai periculoși actori în
domeniul cibernetic rămâ n statele -națiuni, de și o larg ă diversitate de capabilități ofensive este acum
accesibil ă și actorilor non -statali, cum ar fi grupurile infrac ționale organizate sau grup ările teroriste.
Spionajul de stat sau sabotajul de înaltă sofisticare necesit ă, ca și până acum, hotă rârea, rațiunea
cost-beneficiu și capabilitățile unui stat -națiune.
Nu există nicio îndoial ă că unele țări , companii sau grupuri organizate investesc deja masiv în
capabilități cibernetice care pot fi folosite și în scopuri militare. La prima privire, cursa digitală a
înarmării se bazează pe o logică clară și implacabilă, deoarece domeniul războ iului cibernetic oferă
numeroase avantaje: este asimetric, atrăgător prin costurile scăzute și atacatorul deține inițial toate
avantajele. Mai mult decât atât, nu există practic nicio formă reală de descurajare în cadrul războiului
cibernetic, deoarece pân ă și identificarea atacatorului este extrem de dificilă și, respectând dreptul
internațional, probabil, aproape imposibilă. În aceste condiții, orice formă de retorsiune militară ar fi
foarte problematică, atât din punct de vedere legal, cât și din punct d e vedere politic ( www.nato.int ).
Cybercrime -as-a-service
Dezvoltarea de malware sofisticat se bazeaz ă pe 2 componente esen țiale:
– acces la o surs ă de finan țare consistent ă
– acces la capabilit ăți tehnice relevante
De cur ând, Europol a estimat c ă la nivel global exist ă aproximativ 100 de “creiere” care pot realiza
astfel de malware, majoritatea î n fostele țări sovietice. Mai grav î nsă, o bun ă parte dintre aceste
mecanisme informatice , odat ă construite și utilizate în sensul și pentru motivul pentru care au fost
7 | P a gi nă elaborate, încep s ă fie disponibile pe o pia ță neagr ă dedicat ă. Infractorii cibernetici din ziua de azi nu
mai au nevoie de cuno ștințe tehnice specializate ci doar de un card de credit, put ând să achizi ționeze
“arma” ca atare ( și, din p ăcate, în lumea virtual ă nu exist ă conceptul de “permis port -armă”) sau s ă
angajeze serviciul de exploatare/utilizare al acesteia.
Serviciile oferite î mbrac ă mai multe forme ( www.mcafee.com ):
– Reasearch -as-a-Service – în acest caz nu se poate vorbi neap ărat de o pia ță neagr ă, ci mai
degrab ă gri. Aici reg ăsim organiza țiile care identific ă și prezint ă vulnerabilit ăți 0-day c ătre
companii selectate dup ă anumite criterii de eligibilitate. Totu și, nu se exclud i ntermediarii
care nu mai aplic ă acelea și criterii stricte, informa ția put ând ajunge la entit ăți care o folosesc
ulterior în scopuri infrac ționale.
– Crimeware -as-a-Service – identificarea și dezvoltarea de kit -uri de exploatare, instrumente
suport (keylogger s, bots), solu ții de mascare a con ținutului malware (cryptors, polymorphic
builders), robo ți și chiar dispositive hardware conexe (skimmers).
– Cybercrime Infrastructure -as-a-Service – odat ă ce infractorii cibe rnetici obț in instr umentele
necesare, pentru atacul propriu -zis ace știa pot închiria re țele de calculatoare pentru un atac
DoS sau pot accesa platforme pe care s ă-și hosteze con ținutul malware.
– Hacking -as-a-Service – având un cost superior alternativei î n care se achizi țione ază
componentele individuale, “cump ărarea” un ui atac reprezint ă varianta care necesită cele mai
puține cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credenț iale, date
despre cardurile de credit etc.
8 | P a gi nă
Fina nțele subterane
Această economie paralelă s -a dezvoltat î n special pentru că infractorii (și nu ne rezumă m la cei
cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.
Economia digitală subterană, ca orice economie, se bazează pe fluxu l liber de fonduri. Varietatea
mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază față de
lumea reală, plățile fizice fiind efectuate către monede digitale nedetectabile.
Multe mecanisme de plată cu aspect import ant on -line oferă un număr de caracteristici care le face
atractive ca și instrument financiar pentru organizațiile criminale – anonimatul, transferuri rapide,
ieftine și ireversibile și tranzacțiile financiare disimulate.
9 | P a gi nă În multe privințe, unele mecanis me de plată pot oferi un nivel de anonimat similar banilor, dar
într-un mediu on -line.
În continuare se prezint ă, sintetizat, modul în care sunt utilizate diversele mecanisme de plat ă
(www.europol.euro pa.eu ):
Payment purpose Payment for Common payment
mechanisms Example
Victim payment Extorsion Bitcoins,
Bank Transfer,
paysafecard Payment extorted as a result
of a ramsonware or DDoS
attack
Fraud Bitcoins,
Bank Transfer,
Western Union Loss to an onli ne fraud/scam
Criminal to
criminal payment Counter AV PayPal Testing of malware against
commercial AV products
Data Bitcoins, Ukash,
Western Union,
Webmoney Purchase of compromosed
financial data such as credit
cards
DDoS Bitcoins DDoS service for hir e
Hosting Bitcoins Purchase of hosting
(including bulletproof)
Malware Visa, MasterCard,
WebMoney, PayPal Purchase of malware, such
as RATS and banking trojans
Trade on hidden
service Bitcoins, Ukash,
paysafecard Purchase of drugs or
weapons
Payment for
legitimate service Bitcoins, Bank transfer,
Visa, MasterCard Hosting, hardware, software,
travel, accomodation etc
Money
movement Bitcoins, Bank transfer,
Western Union Movement of money to
maintain control of funds or
hide/break a financial trail,
including „cashing -out” of
compromised financial
accounts. This also includes
exchange to, from or
between virtual, digital and
fiat currencies
IoT și IoBadT
Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafața de
atac. Dispozitivele IoT se reg ăsesc deja pretutindeni și din acest motiv industria IT trebuie să țină cont
de problemele de securitate și confidențialitate. Un studiu recent a scos în evidență faptul că
dispozitivele IoT casnice expun utilizatorii la o gam ă variată de amenințări, incluzând furtul de date și
10 | P a gi nă sabotaje, iar proliferarea dispozitivelor IoT va avea o influență majoră asupra comportamentului
uman, schimb ând modul în care realiz ăm anumite activit ăți, cum ar fi achizi țiile online, plata online
etc (www.veracode.com , www.cybersecuritytrends.ro ).
Odat ă cu IoT a ap ărut și un al doilea concept, “Internet of Bad Things” , reunind aici dispozitivele care
conțin vulnerabil ități intrinseci, greu de înlăturat, unele ap ărute încă din faza de design. Din aceast ă
categorie fac parte dispozitivele produse de companii în care presiunea departamentului de
marketing -vânzări pentru încadrarea într-un calendar ferm face ca etapa de te stare s ă fie redus ă
excesiv , dar și dispozitivele în care reg ăsim firmware vulnerabilizat voluntar de produc ător pentru a
putea avea ulterior acces de la distan ța la echipament . În cazul IoBadT, eliminarea vulnerabilit ăților
prin patch -uri ulterioare este dificil ă sau chiar imposibil ă.
Infractorii cibernetici, hackerii susținuți de state, hack -tiviștii și teroriștii cibernetici pot exploata
defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Infractorii cibernetici pot
fi interesa ți să fure informații sensibile administrate de platformele IoT sau pot fi interesați să
compromită obiectele inteligente și să le utilizeze în activități ilegale, cum ar fi derularea unor atacuri
asupra unor terțe entități sau mineritul Bitcoin. În mod si milar agențiile de Intelligence sunt
interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă,
care utilizează routere, console de jocuri și smartphone -uri pentru a spiona persoanele vizate.
Teroriștii ciberneti ci și hack -tiviștii pot fi de asemenea interesați să compromită dispozitivele IoT
pentru a fura informații sensibile.
Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește
rapid în anii care vor urma.
Principal ele amenințări cibernetice pentru dispozitivele IoT pot fi ( www.symantec.com ,
www.cybersecuritytrends.ro ):
– Denial of service – atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând
probleme serioase în rețeaua dispozitivelor inteligente și paralizând serviciul pe care acestea
îl furnizează.
– Botneți și atacuri malware – acesta este scenariul cel mai comun și mai periculos,
dispozitivele IoT sunt compromi se de atacatori care abuzează de resursele lor. În mod uzual
atacatorii utilizează cod specializat care să compromită software -ul care rulează pe
dispozitivele IoT. Malware -ul poate fi utilizat pentru a infecta dispozitivele utilizate pentru
controlul rețe lei de dispozitive inteligente sau să compromită software -ul care rulează pe
acestea. În cel de -al doilea scenariu atacatorii pot exploata prezența unor defecte în
firmware -ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să detur neze
componentele IoT spre o funcționare neplanificată.
– Accesul neautorizat la date – atacatorii pot spiona comunicațiile dintr e dispozitivele IoT și să
colec teze informații despre serviciile pe care acestea le implementează. Datele accesate prin
intermedi ul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibern etic sau de către o
agenție de i ntelligence sau de către o companie privată în scopuri comerciale. Breșele de
securitate reprezintă o problemă serioasă pentru organizațiile sau persoanele c are utilizează
dispozitive inteligente.
11 | P a gi nă – Breșe accidentale – Managementul datelor într -o arhitecutură care include dispozitive IoT
este un aspect critic. Informațiile sensibile pot fi expuse nu numai într -un atac cibernetic, ci
pot fi expuse sau pierdute și în mod accidental.
– Protectie redusa la nivel de conexiune – Prin exploatarea unui defect în SmartTV -ul nostru
atacatorul poate avea acces la rețeaua domestică și să dezactiveze orice sistem antifurt
implementat pentru securitatea fizică.
Firmele de securi tate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la
scară globală. Cel mai întâlnit scenariu este utilizarea de botneți alcătuiți din mii de dispozitive din
domeniul IoT, cunoscute și sub denumirea de thingboți, care sun t utilizați pentru a trimite mesaje de
spam sau pentru coordonarea unor atacuri DDoS. Rezumând , un thingbot poate fi utilizat pentru:
– a trimite spam.
– a coordona un atac împotriva unei infrastructuri critice.
– a furniza un malware.
– a funcționa ca punct de in trare în rețeaua unei companii.
Doua vulnerabilit ăți merit ă punctate aici:
1. Bash Bug (CVE -2014 -6271) este un defect critic care poate fi exploatat de la distanță și care
afectează mașini Linux, Unix și Apple Mac OS X, inclusiv dispozitive IoT. Companiile de
securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către
infractori pentru afectarea dispozitivelor din diferite industrii.
2. Heartbleed : prin exploatarea defectului Heartbleed un atacator poate citi de la distanță
mem oria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL. Un
dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o
vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj Heartbeat către a cesta.
Dispozitivul IoT îi va răspunde trimițând date suplimentare din memoria sa, putând expune
credenți alele și alte date sensibile.
Amenin țăr iși vulnerabilit ăți
Vendorii majori de tehnologie dispun de capabilit ățile tehnice de colectare, agregare și analizare
continu ă a vulnerabilit ăților și amenin țărilor (precum traficului malware), de -a lungul unui set global
de date de telemetrie, rezultatele oferind perspective asupra unui posibil comportament criminal
viitor. Principalele concluzii sunt prezentate mai jos ( www.cisco.com ):
– Atacatorii au devenit m ai eficienți în a pr ofita de bre șele de securitate pentru a -și ascunde
activitatea.
– Operatorii de crimeware, precum ransomware, angajează și finanțează echipe de dezvoltare
profesioniste pentru a -i ajuta să se asigure că tacticile lor rămân profitabile.
– Criminalii apelează la rețeaua de internet anonimă Tor și Proiectul Internetului Invizibil (I2P)
pentru a transmite comunicațiile de tip comandă și control (command&control) în timp ce
evită detectarea.
– Autorii malware au intensificat studierea tehnicilor precum detectarea în sandbox pentru a -și
masca prezența pe rețea.
12 | P a gi nă – Au fost exploatate 1% din vulnerabilitățile si expunerile comune (CVE – Common
Vulnerabilities and Exposure) identificate prin alerte de extremă urgență. Asta înseamnă că
organizațiile trebuie să -și stabilească prioritățile și să aplice corecțiile necesare acelui procent
din vulnerabilități cât mai rapid. Dar chiar și cu tehnologie de securitate de vârf, excelen ța în
procedurile interne este necesară pentru a adresa aceste vulnerabilități.
– De când kitul de exploatare Blackhole a fost abandonat în 2013, nici un alt kit de exploatare
nu a fost capabil să obțină aceleași culmi ale succesului. Este insă posibil ca lo cul în top să nu
mai fie la fel de râvnit de autorii kiturilor de exploatare precum era odată. Angler continuă să
domine piața kiturilor de exploatare când vine vorba de sofisticare și eficacitate. Utilizatorii
par s ă investeasc ă în special în kit -uri care -și dovedesc abilitatea de a evita detec ția.
– Unii autori ai kiturilor de exploatare încorporează texte din romanul clasic al lui Jane Austen
“Rațiune și simțire” în paginile web care le găzduiesc kiturile de exploatare. Este foarte
probabil c ă antimalware -ul și alte soluții de securitate vor categorisi aceste pagini ca valide
după ”citirea” unui asemenea text.
– Adversarii folosesc din nou macrocomenzile Microsoft Office pentru a livra malware. Este o
tehnică veche care acum a pierdut teren, dar este reluată pe măsură ce entități rău
intenționate caută noi moduri de a contracara măsurile de protecție
– Exploatările Java au scăzut cu 34% pe măsură ce securitatea Java se îmbunătățește, iar
atacatorii adoptă noi vectori de atac.
– Malware -ul din Flash poate interacți ona acum cu JavaScript pentru a ajuta la camuflarea
activității, fiind mult mai greu de detectat și analizat.
– Exploatarea vulnerabilităților lui Adobe Flash sunt în creștere, acestea fiind integrate regulat
în kituri de exploatare utilizate la scară largă precum Angler și Nuclear.
– Volumul spam a crescut cu 250% în ultimul an. Spam -ul de tip Snowshoe, care implică
trimiterea unor volume mici de spam de la o gamă largă de adrese IP pentru a evita
detectarea, este o amenințare în dezvoltare. Volumul spam este în creștere în Statele Unite,
China și Federația Rusă, dar rămâne relativ stabil în alte regiuni în primele cinci luni ale anului
2015
– Utilizatorii și echipele IT au devenit fără voie componente ale problemelor de securitate.
Criminalii online se bazează p e faptul că utilizatorii vor instala malware sau vor ajuta la
exploatarea lacunelor în securitate.
– Heartbleed, periculosul defect de securitate, este o amenin țare critică pentru OpenSSL. Cu
toate astea 56% din toate versiunile OpenSSL existente au mai mult de 50 luni vechime și de
aceea sunt încă vulnerabile.
– Nivelul de conștientizare al riscurilor și amenințărilor cibernetice, competențele și
capabilitățile utilizatorilor, coroborate cu campaniile focusate ale atacatorilor, plasează multe
industrii într -o zonă cu risc crescut de expunere la malware. Pe primul loc, î n ultimul an,
regăsim industria farmaceutică și chimică.
– Creatorii malware folosesc add -on-urile de la browser ca un mediu pentru distribuirea
malware și aplicații nedorite. Această abordare pent ru distribuirea malware se dovedește a fi
de succes pentru actorii implica ți, pentru că mulți utilizatori au încredere automat în
add-on-uri sau le consideră inofensive.
– Industria securității acordă mai multă atenție diminuării vulnerabilităților în soluțiile open
source
13 | P a gi nă A. Exploatări Web: Pentru autorii kiturilor de exploatare, menținerea locului din top nu
înseamnă că ești cel mai bun
În lumea afacerilor, companiile doresc să fie cunoscuți ca lideri ai industriei. Dar pentru autorii
kiturilor de ex ploatare care operează în așa numita ”economie subteran ă”, menținerea celei de -a
patra sau a cincea poziție în cadrul topului kiturilor de exploatare poate fi un semn și mai distinctiv de
indicare a succesului.
În cursul ultimului an și jum ătate, Angler, S weet Orange și Goon erau kiturile de exploatare observate
cel mai des ”în ac țiune”, potrivit experților de securitate.
– Angler a fost observat cel mai frecvent dar, din motive neclare, a ieșit în evidență foarte mult
la sfîrșitul verii. Cercetarea atribuie popularitatea lui Angler deciziei autorului de a elimina
cerința de a descărca un malware sub forma unui fișier executabil Windows. Includerea
vulnerabilităților Flash, Java, Microsoft Internet Explorer (IE) și chiar și Silverlight in pachetul
Angler face acest kit de exploatare unul ”de supravegheat”.
– Sweet Orange este de asemenea foarte dinamic; componentele se schimbă constant astfel
încât Sweet Orange poate rămâne eficient și nedetectat. Asta califică Sweet Orange ca fiind
kitul de exploatare cu cele m ai mari șanse de reușită. Sweet Orange distribuie o gamă de
malware către sistemele finale fără corecții și include exploatări pentru vulnerabilitățile din
Adobe Flash Player, IE și Java. Atacatorii care folosesc Sweet Orange se bazează pe
malvertising pen tru a redirecționa utilizatorii către site -uri, inclusiv cele legitime, care
găzduiesc kitul de exploatare. Utilizatorii sunt de obicei redirecționați de cel puțin două ori în
acest proces. Site -urile compromise care rulează versiuni depășite ale sistemelo r de
gestionare al conținutului (CMS) precum WordPress și Joomla sunt cunoscute pentru
găzduirea kitului Sweet Orange.
– Goon poate fi considerat drept ”cel mai organizat” kit comparat iv cu restul kiturilor de
exploatare. Inițial descoperit de cercetătorii î n securitate în 2013, Goon, cunoscut ca și ”kitul
de exploatare Goon \Infinity”, este un sistem de distribuție malware care generează
exploatări pentru vulnerabilitățile browser -ului care țin de Flash, Java sau Silverlight pe
platformele Mac și Windows.
În timp ce numărul aproximativ al kiturilor de exploatare detectate în teren a scăzut cu 87% în lunile
următoare expunerii kitului Blackhole, numărul de kituri detectate a crescut în timpul verii anului
trecut. În ultimele două săptămâni ale lunii august se observă o creștere semnificativă în numărul de
detecții ale kitului de exploatare Angler. Însă, până în luna noiembrie, numărul general de detectări
14 | P a gi nă ale kiturilor cunoscute a scăzut din nou, iar Angler și Goon \Infinity rămân cele care apar cel mai
frecven t. Scăderea generală a numărului de kituri de exploatare este de 88%.
B. Amenințări și vulnerabilități: Java în declin ca vector de atac
În anii recenți, Java a jucat un rol principal nedorit în lista celor mai severe și predominante
vulnerabilități de explo atat. Însă, Java începe să nu mai fie principala alegere a atacatorilor care caută
cele mai rapide, ușoare și greu de detectat căi pentru a lansa exploatări folosind vulnerabilități
software.
Din topul celor 25 de vulnerabilități legate de vendori și produ se din ultimul an, numai unul era legat
de Java. Compar ând ultimii 2 ani, num ărul de vulnerabilit ăți Java a sc ăzut de la 54 la 19. Date
provenite de la Baza de Date a Vulnerabilităților Naționale (NVD) arată un declin similar, de la 309 la
253.
Asta nu ar trebui să descurajeze criminalii din mediul online de la a continua să profite de
popularitatea și eficiența utiliz ării acestor vulnerabilități vechi, dar care continuă să existe și în
prezent.
Ierarhia vulnerabilit ăților vendorilor și produselor:
Explo atările care implică vulnerabilități pe partea clientului în Adobe Flash Player și Microsoft IE au
detronat Java, alături de exploatările care vizează servere (spre exemplu exploatări ce implică
vulnerabilități în cadrul Apache Struts, sistemul open -source web). Numărul în creștere al
exploatărilor Apache Struts este un exemplu al tendinței criminalilor de a compromite infrastructura
online pentru a -și mări raza de acțiune și posibilitățile din timpul atacurilor.
Cadrul Apache Struts este un punct de pornir e logic pentru exploatări, datorită popularității sale.
Sistemele de gestionare al con ținutului (CMS) sunt de asemenea ținte preferate; adversarii se
bazează pe site -uri care rulează versiuni vechi de CMS pentru a facilita livrarea exploatării.
15 | P a gi nă Categor ii de produse exploatate:
Obs. O zon ă care impune o aten ție sporit ă în viitor o reprezint ă sisteme SCADA, atacurile asupra
acestora dubl ându-se anual. Odată cu nevoia de deschidere și interconectare a rețelelor de
monitorizare și control apar implicit și riscurile specifice rețelelor și sistemelor IP clasice. Această
tendință de interconectare , procesare în cloud (cel mai probabil privat) și deschidere către terți a
acestor rețele, considerate până acum sigure prin izolarea lor, va putea duce la incident e
semnificative de securitate daca nu este efectuata din timp o analiza de risc și implementate
controale specifice zonei de IT. Mare parte din aceste sisteme intra sub incidenta infrastructurii
critice dar și in zona industriala privata efectele unui atac pe sistemele de control industrial poate
duce la pierderi importante din punct de vedere financiar sau pot genera incidente cu impact asupra
mediului de exemplu. Consideram că și aceasta zona ar trebui tratată distinctiv inclusiv în zona
cadrului legislat iv și reglementată din punct de vedere al securității cibernetice, mai ales în contextul
creșterii amenințărilor teroriste și al atacurilor coordonate de alte națiuni.
Analiză: Factorii probabili pentru care adversarii au abandonat exploatarea Java
Cercet ătorii sugerează că declinul în exploatările Java poate fi legat de faptul că exploatări Java de tip
“zero day” nu au mai fost dezvăluite și prin urmare nu au mai fost disponibile pentru atacatori în anul
2014. Versiunile moderne Java sunt corectate automa t, iar versiunile mai vechi și vulnerabile sunt
blocate automat de către vendorii de browsere. Apple face un pas în plus și dezactivează versiunile
vechi și vulnerabile și le corectează prin actualizări automate. În plus, Centrul de Răspuns la Incidente
de Securitate Cibernetică SUA (US -CERT) a recomandat ca utilizatorii de calculatoare să securizeze,
dezactiveze sau să înlăture Java.
Ultima versiune Java, Java 8, are controale mai puternice față de versiunile anterioare. Este și mai
greu de exploatat pentr u că acum necesită interacțiune umană, ca semnarea unui cod și o căsută de
dialog prin care se cere activarea Java. Criminalii online au descoperit ținte mai ușoare și și -au
îndreptat atenția către vectori non -Java care le oferă un profit mai mare al inves tiției. Spre exemplu,
mulți utilizatori nu actualizează Adobe Flash sau cititoarele PDF în mod regulat, oferind criminalilor o
gamă mai largă de vulnerabilități atât vechi, cât și noi. De asemenea, s -a observat că numărul
kiturilor de exploatare care inclu d exploatări Silverlight este în creștere.
16 | P a gi nă Figura urm ătoare arată c ă „domnia” Java ca principalul vector de atac are o tendință în scădere de
aproape 2 ani. Folosirea Flash pentru lansarea exploatărilor a fost oarecum dezordonată, cu punctul
culminant în 2 014. Utilizarea PDF a fost constantă, fiindcă mulți infractori cibernetici par să rămână
concentrați pe lansarea campaniilor țintă prin intermediul emailurilor cu atașamente PDF. Atacurile
Silverlight, deși încă mici la număr față de vectorii consacrați, s unt în creștere.
C. Alerte cumulative anuale în declin
Totalul alertelor anuale, ca sum ă a vulnerabilitățil or noi și actualizate ale produselor raportate în
2014, par e să cunoască un declin (de 1.8%). Procentajul poate fi mic , dar este pentru prima oară în
ultimii ani când alertele au scăzut comparativ cu anul precedent.
Cel mai probabil motiv pentru declin este atenția crescândă acordată de vendori testării și dezvoltării
de software. Îmbunătățirile aduse ciclurilor de dezvoltare par să reducă numărul de v ulnerabilități ce
pot fi ușor exploatate de criminali.
17 | P a gi nă Alerte noi vs. alerte actualizate : Numărul în cre ștere de alerte noi pentru anul 2013 și 2014 indică
faptul că sunt raportate mai multe vulnerabilități noi față de anii precedenți, ceea ce înseamnă c ă
vendorii, dezvoltatorii și cercetătorii în domeniul securității găsesc, repară și raportează noi
vulnerabilități în produsele lor. Numărul total al alertelor noi și totalul anual sunt la egalitate sau scad
ușor în 2014 comparativ cu anul 2013.
D. Pericole le unui software depășit și de ce corectarea nu e singura soluție
Tradi țional, atacatorii adoptă cea mai ușoară cale disponibilă când determină unde și cum vor avea
succes în exploatare. Aleg produse care prezintă o suprafață de atac mai mare; acele oportu nități
sunt în general create de folosirea unui software depășit sau fără corecții. Spre exemplu, aplicarea
corecțiilor rămâne o provocare fiindcă există încă multe sisteme care sunt vulnerabile la un atac SSL
Poodle. Bazat pe tendințele observate, cercetă torii sugerează că proliferarea versiunilor depășite a
unui software exploatabil va continua să ducă la probleme de securitate de magnitudine mare.
O echip ă de exper ți a folosit motoare de căutare pentru a examina dispozitivele conectate la internet
care f olosesc OpenSSL. S -a determinat că 56% din dispozitivele examinate foloseau versiuni OpenSSL
care erau mai vechi de 50 luni. Asta înseamnă că în ciuda publicității oferită lui Heartbleed, defectul
de securitate în manevrarea TLS (Transport Security Layer) descoperit în 2014, și a nevoii urgente de
a actualiza la ultima versiune de OpenSSL pentru a evita asemenea vulnerabilități, organizațiile nu se
asigură că rulează cele mai noi versiuni.
E. Spam: Spammerii adoptă strategia Snowshoe
Phishing -ul continuă să î și dovedească valoarea ca unealtă pentru livrarea malware și furtul de
creden țiale deoarece utilizatorii cad pradă tacticilor de spam familiare. Atacatorii au realizat că este
adesea mai ușor să exploatezi utilizatori la nivel de browser și email decât să le compromiți serverul,
ceea ce înseamnă că spammerii continuă să inoveze.
Nu este neobișnuit să vezi un sistem anti -spam care detectează mai mult de 99% din spam.
Majoritatea celor mai bune sisteme anti -spam fac asta. În acest mediu, spammerii încearcă ap roape
orice pentru a evita filtrele spam. Pentru a se asigura că acel spam ajunge la destinația menită, ei
folosesc din ce în ce mai des noi tactici pentru a evita detecția bazata pe reputația IP -ului.
18 | P a gi nă
Spam snowshoe (incălțăminte de zăpadă): Comparația e ste potrivită deoarece snowshoe permite
unei persoane să meargă prin zăpada adâncă prin distribuirea greutății sale pe o suprafață mai mare,
astfel prevenind scufundarea piciorului în zăpadă. Spam -ul snowshoe este alc ătuit din emailuri
nesolicitate trimise prin intermediul unui număr mare de adrese IP, și la un volum mic per adresă IP,
astfel prevenind anumite sisteme spam de la a -l detecta. Pentru a diminua spam -ul snowshoe,
profesioniștii în securitate nu se pot baza pe soluții bazate pe reputație, din mo ment ce aceleași
mesaje dintr -o campanie pot fi generate din sute sau chiar mii de locuri în cazul campaniilor ce
utilizeaza botneti. Examinarea altor componente ale spam -ului poate oferi o detectare mai precisă.
Volumul de spam în func ție de țară:
F. Malv ertising cu ajutorul add -on-urilor de la browser: provocarea pagubelor mici per utilizator
pentru a colecta recompense mari
Analiza a arătat că această familie de add -on-uri este mult mai extinsă decât se credea și că, creatorii
de malware folosesc o combi nație de cod foarte sofisticat , scris în mod profesionist și un plan de
afacere rafinat pentru a menține acel malware profitabil pe termen lung. Cu alte cuvinte, nu este
necesar un control complet asupra gazdei țintă pentru a monetiza cu succes. Asta duce la o
predominanță crescută a tipului de malware construit special pentru un impact scăzut asupra gazdei
afectate și optimizat pentru monetizare pe termen lung pe seama unei largi populații afectate.
19 | P a gi nă Percep ția asupra riscurilor și amenin țărilor ciberneti ce
Un studiu realizat pe 1700 de companii din 9 țări a scos la iveal ă câteva concluzii interesante
(www.cisco.com ):
– 59% din treChief Information Security Officers (CISO) își consideră procesele de securitate
optimizate, co mparativ cu 46% din tre managerii ins ărcina ți cu securitatea operațiunilor .
– Aproximativ 75% din CISO își văd solu țiile de securitate ca fiind foarte sau extrem de
eficiente, iar aproximativ un sfert din ei percep solu țiile de securitate ca fiind oarecum
eficiente.
– 91% dintre respondenții din cadrul companiilor cu securitate sofisticată sunt întru totul de
acord că directorii companiei consideră securitatea o prioritate de top.
– Mai puțin de 50% din respondenți folosesc unelte standard precum corecția și confi gurarea
pentru a ajuta prevenirea breșelor de securitate.
– Este mai probabil ca organizațiile mari și mijlocii să aibă abord ări de securitate foarte
sofisticate, comparativ cu organizațiile de alte dimensiuni incluse în studiu
Pe de alt ă parte însă, aproap e jum ătate din utilizatori confirm ă că au întâlnit programe malware anul
trecut și că în cele mai multe cazuri (81%) aceste incidente au avut consecin țe negative asupra
utilizatorilor ș i dispozitivelor lor ( www.kaspers ky.com , www.b2binternational.com ,
www.faravirusi.com ). Astfel :
– 12% dintre utilizatori cred c ă echipamentul lor a fost infectat în urma acces ării unui site web
compromis
– 8% au menț ionat ca posibile cauze ale infecț iei folosirea unui stick de memorie USB care nu le
aparț ine, un alt dispozitiv infectat sau instalarea unui malware de ghizat î ntr-un program
legitim
– 7% dintre respondenți au declarat că dispo zitivele lor au fost infectate în urma deschiderii
unui fiș ier atasat la e -mail
– 13% nu au putut explica cum au ajuns programele malware pe dispozitivul lor
Studiul a arătat că patru din cinci infecț ii cu malware au ca uzat probleme pentru cei afectaț i
(rezultatele obținute în u rma utilizării unui chestionar cu ră spunsuri multiple):
– 35% din utilizatori s -au confruntat cu diminuarea randamentului echipamentului
– 30% dintre respondenț i au observat anunț uri publicitare deranjante (de exemplu, browser -ul
îi redirecț iona că tre site -uri nedorite)
– 20% dintre cei intervieva ți au g ăsit programe nedorite pe dispozitivele lor
– 17% din cazuri a u prezentat modificări la nivelul setă rilor browser -ului sau siste mului de
operare, efectuate fără cunoștinț a utilizatorului
– 10% – pierderea datelor cu c aracter personal
– 9% – publicarea de mesaje neautorizate sau “like -uri” pe site -uri de socializare
– 8% – furtul datelor cu caracter personal
– 6% – hacking -ul camerei web
Mai mult decâ t atât, o parte dintre responden ți au fost nevoi ți să plăteasc ă infractorii cibernetici
după ce au fost infectate cu viru și de tip ransomware:
– 11% pentru a debloca dispozitivul
20 | P a gi nă – 6% pentru a decripta fi șierele personale
Per total, unul din trei utilizatori (33%) s -a confruntat cu pierderi financiare în urma unui atac
malware. Pe l ângă plata unei r ăscump ărări infractorilor, victimele au cheltuit bani pentru deblocarea
unui dispozitiv sau a datelor, pentru a achizi ționa un software care s ă elimine efectele infect ării sau
chiar pentru a cump ăra un dispozitiv nou. În cazurile în care s -au înregistrat pierderi financiare, costul
mediu al unui atac s -a ridicat la 160 de dolari.
În ceea ce prive ște costul lipsei de securitate a companiilor un studiu pe 5500 de companii din 26 de
țări (www.kaspersky.com , www.b2binternational.com , www.faravirusi.com ) ne arat ă că:
– Cele mai costisitoare bre șe de securitate sunt fraudele întreprinse de angaja ți, atacurile de
spionaj ciberne tic, intruziunile în rețea și deficien țele cauzate de furnizori externi ;
– Bugetul mediu necesar pentru remedierea unei bre șe de securitate poate ajunge la 551.000$
pentru întreprinderile mari și la 38.000$ pentru companiile mici și mijlocii ;
– O bre șă grav ă în sistemele de securitate IT poate cauza multiple daune afacerii. Dat ă fiind
varietatea posibilelor prejudicii, uneori este dificilă estimarea costurilor totale, chiar și de
către victime. Companiile obi șnuite trebuie s ă cheltuiasc ă mai mult pentru servici i
specializate (cum ar fi experți IT externi, avocați, consultanț i etc.) și câștigă mai pu țin ca
urmare a oportunit ăților pierdute sau a perioadei de inactivitate ;
– Pe lang ă cifrele deja men ționate, companiile pl ătesc în medie de la 8.000$ (IMM -uri) la
69.0 00$ (companii mari) pentru optimiz ări la nivelul infrastructurii, al personalului și al
preg ătirii acestuia ;
– Factura medie a unei companii afectate de o bre șă:
o Servicii specializate (IT, gestionarea ris cului, avoca ți): p ână la 84.000 $, cu o
probabilitate d e 88% ,
o Oportunit ăți de business ratate: p ână la 203.000$, 29% ,
o Perioada de inactivitate: p ână la 1,4 milioane $, 30% ,
o Media total ă: 551 .000 $,
o Costuri indirecte: p ână la 69.000 $,
o Daune aduse reputa ției: p ână la 204.750$ .
Big Data în detecție și prevenție
În 2015, s -au utilizat mult mai frecvent a nalizele de se curitate folosind infrastructuri de tip "Big
Data". Din păcate, creșterea comp lexității atacurilor cibernetice va conduce implicit la creșterea
costurilor asociat e cu mitigarea lor . Nimeni nu este imun . De exemplu, un site important este de
obicei "testat" de 1 milion de ori în fiecare zi de părți terțe rău voitoare. Pare un număr mare , dar
aceste atacuri sunt sesizate rar întrucât același site prelucrează milioane de alte evenimente pe
secund ă. Exist ă o serie de abordări pentru a combate amenințări cunoscute. Provocarea este de a
găsi corelații noi și modele pentru a identifica atacurile sofisticate, cum ar fi phishing și hacktivism.
Analiza de securitate în timp real într -un sistem de tip "Big Data" t rebuie să filtreze și să analizeze
milioane de evenimente pe secundă dintr -o varietate mare de surse de date, inclusiv surse
tradiționale, cum ar fi fișierele jurnal sau de audit, și surse emergente, precum imagini, rețele sociale
și e-mail.
21 | P a gi nă Analiza de sec uritate bazată pe "Big Data" permite organizațiilor să exploateze cantități mari de date
— date generate atât în interiorul cât și în afara organizației — și să descopere corelații , să
construiască modele de detecție și să elimine amenințările de securitat e. Mai mult, aceste rezultate
sunt obtinute in timp real .
Predicția atacurilor cibernetice în timp real înseamnă că organizațiile pot descoperi noi amenințări
înainte ca acestea să aibă un impact semnificativ și pot reacționa rapid înainte ca acestea să se
propage. Scopul, așadar, este de prevenție și protecție.
Și politicile de confidențialitate pot fi îmbunătățite prin analize bazate pe "Big Data". De exemplu, o
organizație poate monitoriza traficul Web și fluxurile din rețea. Rezultatul acestei analize poate
evidenția exact care dintre servere le Web au fost infectate cu malware, să identifice domeniile
suspecte, să detecteze scurgeri de documente și să identifice tipare de acces neautorizat.
Evoluția sistemelor de analiz ă în domeniul securit ății ciberneti ce:
– prima generație: sisteme de detectare a intruziunilor
– a doua generație: folosirea de sisteme de management al incidentelor și evenimentelor de
securitate (SIEM)
– a treia generație: analiză de tip "Big Data" cuplată cu inteligen ța artificială (Machine
Learning) – SIEM II
Prima generație (sisteme de detectare a intruziunilor) și -a atins limita atunci când oamenii au realizat
că protejarea completă a unui sistem nu era posibilă. Nu există nici o modalitate de protejare perfectă
a unui sistem. Sistemele de d etectare a intruziunilor sunt în continuu dezvoltate de aproape trei
decenii. Primele au fost foarte specifice, un fel de extensie a firewall -urilor. Ele fol osesc pentru
detecție semnături , bazându -se pe acestea pentru detectarea intruziuni lor sau infecții lor cu malware.
Principala p roblema a acestor sisteme o reprezinta numărul mare de alerte false.
Pentru ca volumul și varietate de informații care trebuie să fie agregate și corelate au crescut foarte
mult și pentru limitarea numărului de alarme false, au fost proiectate sistem ele de generația a doua
(SIEM) . S-au dezvolta t, de asemenea, astfel centre de operațiuni de securitate, capabilități în care se
pot urmări centralizat toți indicatori i de securitate dintr -o rețea. La nivelul acestor centre, pe baza
datelor colectate, se pot modela tendințe specifice .
Cea de a treia generați e poate acomoda formate de date noi și permite analize pe date nestructurate
cum ar fi conținut Web sau "mesaje Tweeter". Analiza datelor nestructurate este foarte dificil ă
pentru s istemele SIEM clasice.
Principalul avantaj al "Big Data" și NoSQL este că acestea pot stoca date în structuri scalabile ,
permițând, în același timp , crearea de interogări specifice .
"Big Data" permite , de exemplu, investigația incidentelor de securitate p rin analiza tendințelor pe
termen lung folosind date istorice. Prin colectarea datelor pe scară largă și analizând tendințe
istorice, se poate identifica c ând a început un atac și care au fost pașii pe care atacatorul i -a executat
pentru a prelua controlu l unui sistem. Chiar dacă nu a fost detectat atacul original de către sistemele
clasice, analizând datele istorice putem identifica și contracara repetarea acestuia .
22 | P a gi nă O alt ă caracteristic ă important ă este eficiența interogărilor . Atunci când se dorește iden tifica rea de
corelații, "Big Data" permite efectuarea de interogări complexe și generarea rezultatelor într -un timp
rezonabil.
"Big Data" este abia la început, mai multe companii construind acum asemenea sisteme de analiză .
Prin folosirea acestor a se reali zează evoluția de la metoda clasică de analiz ă descriptiv ă la analiz a
predictiv ă (orientată pe viitor, pe ceea ce urmează să se întâmple ).
Diferențele dintre sistemele clasice și cele baz ate pe “Big Data”, cum ar fi sistemul Hadoop pentru
procesare distri buită în "batch -uri" și transformarea datelor în timp real pe măsur ă ce acestea ajung
la sistem ("streaming data/ processing") sunt determinate de tehnologiile pe care sunt construite.
Intersecția dintre ML ("Machine Learning") și securitatea IT se concen trează pe analiza datelor fără a
se limita la generarea de rapoarte . ML permite o analiză automatizat ă și avansată a datelor putând să
detecteze proverbialul "ac în carul cu fan", adică comportamentul anormal într -o cantitate uriașa de
informații.
"Machine Learning", precum și "Big Data", câștigă popularitate datorită utilizării sale pe scară largă în
multe companii de tehnologie din întreaga lume. Asemenea instrumente sunt folosite în sisteme ce
tranzacționează volume mari de date (de exe mplu, Netflix, Ama zon), filtrele de spam (de exemplu
Google) și multe alte aplicații.
Dintr -o perspectivă cibernetic ă, modele le generate trebuie să aibă putere predictivă , să distingă
automat între trafic ul de rețea normal și cel generat de o persoan ă potențial rău intențio nată, care
poate fi un indicator al unei infecții active, atac cibernetic sau malware. "Machine Learning" poate fi
folosit pentru a construi clasificări, în scopul model ării și de a oferi un răspuns binar (de exemplu, bun
sau rău) la traficul de rețea anal izat.
23 | P a gi nă
Peisajul local
Date malware
Cele mai notabile amenințări informatice la adresa utilizatorilor de Internet din România au fost
virușii de tip crypto -ransomware și troienii bancari.
– Versiunea 3 a troianului Tinba , precum și cele mai recente iterații ale familiei Dridex sunt
două exemple de troieni bancari special concepuți pentru piața de e -banking din România.
Aceste familii de viruși care, în trecut, activau pe piața internațională (USA, Franța,
Germania), au fost modificate pentru a intercepta tra nzacții pe portalurile de e -banking ale
principalilor jucători bancari din România.
– Telemetria speciali știlor poziționează Win32.Worm.Downadup pe primul loc în amenințările
informatice care au vizat România în prima jumătate a anului 2015 ( www.bitdefender.ro ).
– O apariție notabilă în topul amenințărilor informatice o reprezinta Win32.Sality , un virus
extrem de longeviv, care infectează fișiere executabile, apoi instalează un component de tip
backdoor ce perimte acce sul hackerilor. Botnet -ul Sality cuprinde peste un milion de
calculatoare la nivel global și e activ din 2003.
– Trojan.AutorunINF și Win32.Worm.Downadup sunt două familii de malware care au
supraviețuit din epoca Windows XP. Ambele amenințări sunt strict le gate de această
platformă și nu pot infecta calculatoare ce rulează sisteme de operare scoase pe piață după
Windows XP. Acest lucru este posibil din cauza faptului că, în România, cota de piață a
24 | P a gi nă Windows XP s -a micșorat relativ puțin pe parcursul anului 20 15, coborând doar 3.72
procente (de la 17.3% în ianuarie la 13.58% în septembrie).
Notă: ransomware -ul necunoscut e detectat comportamental și intră în categoria “Alte Euristici”.
Malware pe mobile
Terminalele mobile care rulează Android au devenit o ți ntă predilectă a atacatorilor. Principalele
amenințări care au dominat topul malware în prima jumătate a anului 2015 sunt troienii care trimit
mesaje la numere cu suprataxă (Android.Trojan.SMSSend.HN, Android.Trojan.SMSSend.MZ,
Android.Trojan.SMSSend.FO ș iAndroid.Trojan.SMSSend.PB), precum și instrumente de spionaj din
familia AndroRAT (Android.Trojan:AndroRAT.A).
25 | P a gi nă – Troienii de fraudă cu mesaje scurte la numere cu suprataxă însumează 49,18% din totalul
amenințărilor informatice pe Android. Acești troieni sunt, de obicei, injectați în jocuri sau
aplicații comerciale, apoi sunt distribuiți pe forumuri sau site -uri de torrente de unde pot fi
descărcați în mod gratuit. Odată ce au fost instalate, aceste aplicații vor trimite mesaje
premium pentru a abona victi mele la diverse servicii care trimit mesaje contra cost
(horoscop).
– Pe locul doi în topul celor mai frecvent întâlnite amenințări se afă AndroRAT , un instrument
de acces de la distanță care permite unui atacator să preia controlul asupra fun cțiilor
import ante ale dispozitivului. Inițial dezvoltat ca proiect educațional, AndroRAT a fost
adaptat pentru a fi injectat în aplicații legitime, apoi diseminat prin market -uri terțe, unde
aplicațiile nu sunt verificate.
Panou de comand ă și control AndroRAT:
Spam
Distribuția mesajelor de tip spam pe tipuri a rămas relativ constantă în perioada ianuarie – iunie
2015, cu mici diferențe la nivel procentual.
– Pe locul 1 , aproximativ jumătate din totalul mesajelor nesolicitate plasează produse
farmaceutice și suplimente alimentare .
– Pe locul 2 ca volum se situează mesajele care promovează site-uri de matrimoniale .
Spam -ul axat pe matrimoniale a cunoscut o creștere ușoară în ultimul an (10.3% față de
6.8%).
– Pe locul 3, mesajele nesolicitate ce promove ază produse contrafăcute au scăzut ca procent
față de a doua jumătate a anului 2014 (7.1% față de 13.40%) , dar activitatea în acest segment
crește o dat ă cu apropierea sărbătorilor de iarnă.
26 | P a gi nă
– Mesajele infectate ocupă locul 4 în topul celo r mai frecvent î ntâlnite tipuri de spam. Mai
bine de cinci procente din mesajele analizate de Bitdefender conțin atașamente malware, o
creștere semnificativă față de a doua jumătate a anului 2014 (3.2%). Această creștere e
alimentată de grupările care operează rețele de c rypto -ransomware și troieni bancari, cele
mai frecvente amenințări care se răspândesc prin intermediul e -mail -ului.
Alerte CERT.ro
În perioada 01.01.2015 – 30.06.2015, la CERT -RO au fost primite sesizări (alerte), astfel:
– Număr total de alerte procesate : 29.417.949 (automate: 29.417.302, alerte colectate
manual: 647);
– Număr total de IP -uri unice extrase din totalul alertelor: 1.717.304.
27 | P a gi nă Numărul alertelor primite de CERT -RO în prima jumătate a anului 2015, a scăzut cu 46% (29.417.949)
față de prima jumăt ate a anului 2014 (54.854.197), scăderea fiind expusă în tabelul de mai jos.
Distribuția primelor 7 tipuri de alerte primite, pe clase de alerte:
Nr. Clasă alerte Număr alerte Procent
1 Vulnerabilities 24.037.554 81,71 %
2 Botnet 5.061.753 17,21 %
3 Malware 178.958 0,61 %
4 InformationGathering 78.828 0,27 %
5 AbusiveContent 31.400 0,11 %
6 CyberAttacks 24.027 0,08 %
7 Fraud 5.413 0,02 %
Tipuri de malware caracteristice spațiului cibernetic românesc (identificarea tipului de malware a fost
posibilă în 17% din numărul alertelor primite):
Nr. Crt. Tip Malware Procent (%)
1 Downadup 48,73 %
2 ZeroAccess 12,28 %
3 Sality 9,39 %
4 Virut 8,41 %
5 Ramnit 7,83 %
28 | P a gi nă 6 Zeus 2,82 %
7 Conficker 0,64 %
8 Citadel 0,62 %
9 Kins 0,50 %
10 Pushdo 0,35 %
Distribuția detaliată a alertelor pe clase și tipuri:
Nr
. Clasa alerte Tip alertă Alerte
manuale Alerte
automate Total Procent
1 Vulnerabilities SSL POODLE 0 7218138 7218138 24,54
2 Vulnerabilities VulnerableNTP 0 5665385 5665385 19,26
3 Botnet BotnetD rone 32 5060033 5060065 17,20
4 Vulnerabilities OpenResolver 0 4996489 4996489 16,98
5 Vulnerabilities OpenSSDP 0 1877859 1877859 6,38
6 Vulnerabilities OpenNetBIOS 0 1274440 1274440 4,33
7 Vulnerabilities OpenSNMP 0 1159835 1159835 3,94
8 Vulnerabili ties FREAK 0 804709 804709 2,74
9 Vulnerabilities OpenIPMI 0 372086 372086 1,26
10 Vulnerabilities OpenNATPMP 0 287705 287705 0,98
11 Vulnerabilities OpenMsSql 0 230124 230124 0,78
12 Malware MaliciousUrl 100 178721 178821 0,61
13 Information
Gatherin g Scanner 96 78730 78826 0,27
14 Vulnerabilities OpenChargen 0 41588 41588 0,14
15 Vulnerabilities Open NAT PMP 0 36087 36087 0,12
16 AbusiveContent Spam 25 31372 31397 0,11
17 Vulnerabilities NetisVulnerability 0 23856 23856 0,08
18 CyberAttacks Brut eforce 9 23460 23469 0,08
19 Vulnerabilities OpenQOTD 0 18163 18163 0,06
20 Vulnerabilities OpenMongodb 0 17233 17233 0,06
21 Vulnerabilities OpenRedis 0 10596 10596 0,04
22 Fraud Phising 192 5217 5409 0,02
23 Vulnerabilities OpenProxy 0 3236 3236 0,01
24 Botnet BotnetCCServer 4 1684 1688 0,01
25 CyberAttacks APT 1 502 503 0,00
26 Malware InfectedIP 105 30 135 0,00
27 CyberAttacks ExploitAttempt 35 0 35 0,00
28 Vulnerabilities OpenElasticsearch 0 22 22 0,00
29 CyberAttacks DDoS 20 0 20 0,00
30 Compromised
Resources Compromised
Network/System 9 0 9 0,00
29 | P a gi nă 31 Compromised
Resources Compromised
Website 4 0 4 0,00
32
Fraud UnlawfuleCommerc
e/ Services 3 0 3 0,00
33 Compromised
Resources Compromised
Router 1 2 3 0,00
34
AbusiveContent DisclosureOf
ConfidentialData 3 0 3 0,00
35 Malware MalwareSample 2 0 2 0,00
36 Information
Gathering SocialEngineering 2 0 2 0,00
37 Vulnerabilities OpenDB 2 0 2 0,00
38 Fraud FinancialFraud 1 0 1 0,00
39 Vulnerabilities ExposedPLC 1 0 1 0,00
TOTAL 647 29.417.302 29.417.949 100,00%
30 | P a gi nă
Cadrul legal și institu țional
Creșterea nivelului de securitate cibernetic ă implic ă acțiuni pe mai multe planuri:
– Organizațiile par să își fi îmbunătățit capabilit ățile prin adoptarea unor unelte mai sofisticate
pentru preve nirea atacurilor și reducerea impactului lor, dar și prin achizi ționarea de
competen țe tehnice conexe.
– La rândul lor, vendorii de tehnologie sunt de asemenea mai atenți către găsirea și rezolvarea
vulnerabilităților în produsele proprii, oferind atacatoril or mai puține oportunități.
– Vendorii de solu ții de securitate tind s ă formeze coali ții, prin care ace știa își pun în comun
capabilit ăți complementare pentru a putea realiza solu ții de securitate capabile s ă facă față
unor atacuri din ce în ce mai sofistica te. Posibil ca în viitorul imediat s ă asist ăm chiar la o
migrare spre o arhitectur ă de ap ărare integrat ă.
– Cadrul legal evolueaz ă și trateaz ă între aga complexitate a securit ății cibernetice, cu teme
aparte cum ar fi, de exemplu:
o Atacuri transfrontaliere, in tersect ând arii cu legisla ții diferite, de exemplu: ini țiate
dintr -un stat non -UE, folosind o infrastructur ă dintr -un alt stat non -UE și care
afectează sistemele informatice dintr -un stat UE
o Infracțiunile cibernetice nu trebuie să fie tratate independent d e acțiunile din lumea
reală – ciclul infracțiunii porneș te din lumea rea lă, poate avea o verigă/etapă/
componentă sau mai multe cu desfășurare în mediul online, în final însă consecințele
se manifestă î n mediul fizic
o Asigurarea că institu țiile responsabile cu apărarea intereselor cetăț enilor au acces la
instrumente ș i mecanisme digitale cu măcar același nivel de sofisticare ca ș i cele ale
atacatorilor
– Cadrul instituțional care definește rolurile și responsabilitățile actorilor implicaț i
– Cadrul de cooperare public -privat, cultura de colaborare
În cele ce urmeaz ă, vom analiza dir ecțiile de acțiune aș a cum sunt ele stabilite prin str ategia de
securitate cibernetică a UE și proiectul de directivă NIS, precum și principalii pași făcuți în acest sens
în Româ nia. D e asemenea, vom trata probabil cea mai spinoasă temă a momentului –
conf idenț ialitatea datelor.
Strategia de securitate cibernetică a Uniunii Europene ( www.consilium.europa.eu )
Strategia de securitate ciberneti că stabilește abordarea UE privind cea mai bună modalitate de
prevenire și reacție la perturbările și atacurile cibernetice. Strategia detaliază o serie de acțiuni
pentru a consolida reziliența cibernetică a sistemelor informatice, a reduce criminalitatea informatică
și a consolida politica internațională a UE în materie de securitate cibernetică și apărarea cibernetică.
Pentru ca spațiul cibernetic să rămână deschis și liber, aceleași norme, principii și valori pe care
Uniunea Europeană le susține offline ar trebui să se aplice și online. Drepturile fundamentale și
democrația au nevoie de protecție în spațiul cibernetic. Libertatea și prosperitatea noastră depind
din ce în ce mai mult de un internet robust și inovator, iar acesta va continua să se dezvolte dacă
31 | P a gi nă inovațiile din sectorul privat și societatea civilă îi vor sprijini creșterea. Libertatea online presupune
însă deopotrivă siguranță și securitate. Spațiul cibernetic ar trebui să fie protejat de incidente,
activități rău intenționate și utilizare abu zivă. Administrațiile naționale joacă un rol semnificativ în
asigurarea unui spațiu cibernetic liber și sigur. Ele au mai multe sarcini: să salvgardeze accesul și
deschiderea, să respecte și să protejeze drepturile fundamentale online și să mențină fiabili tatea și
interoperabilitatea internetului. Sectorul privat deține și exploatează însă o parte semnificativă a
spațiului cibernetic și, prin urmare, orice inițiativă care dorește să aibă succes în domeniu trebuie să
recunoască rolul central jucat de acesta.
Tehnologia informației și comunicațiilor (TIC) a devenit coloana vertebrală a creșterii economice și
reprezintă o resursă de importanță majoră pe care se bazează toate sectoarele economiei. TIC stă în
prezent la baza sistemelor complexe care asigură funcț ionarea economiilor noastre, în sectoare cheie
cum ar fi finanțele, sănătatea, energia și transporturile, în timp ce multe modele comerciale sunt
construite pornind de la premiza disponibilității neîntrerupte a internetului și a bunei funcționări a
sisteme lor informatice.
Priorit ăți strategice:
– realizarea rezilienței cibernetice;
– reducerea drastică a criminalității cibernetice;
– dezvoltarea politicii și a capacităților de apărare cibernetică legate de politica de securitate și
apărare comună (PSAC)
– dezvoltar ea resurselor industriale și tehnologice în materie de securitate cibernetică;
– instituirea unei politici internaționale coerente a Uniunii Europene privind spațiul cibernetic
și promovarea valorilor fundamentale al UE.
Una dintre principalele acțiuni ale s trategiei este proiectul de directivă privind securitatea rețelelor și
a informației.
Proiectul de directiv ă NIS
Proiectul de directivă privind securitatea rețelelor și a informației (NIS) este un element important al
strategiei de securitate cibernetică. Aceasta ar impune tuturor statelor membre ale UE, principalilor
operatori de internet și operatori de infrastructură, cum ar fi platformele de comerț electronic,
rețelele sociale și serviciile de transport, serviciile bancare și serviciile de asistență me dicală, să
garanteze un mediu digital sigur și de încredere în întreaga UE. Având în vedere că actuala abordare
a NIS se bazează pe acțiunea voluntară, capacitățile naționale și gradul de implicare și pregătire al
sectorului privat variază considerabil de la un stat membru la altul. Proiectul de directivă vizează
crearea unor condiții de concurență echitabile prin introducerea unor norme armonizate care să se
aplice în toate țările UE.
Măsurile propuse includ:
– cerința ca statele membre ale UE să adopte o s trategie privind NIS și să desemneze o
autoritate NIS națională care să dispună de resurse adecvate pentru a preveni, gestiona și
soluționa riscurile și incidentele NIS ;
32 | P a gi nă – crearea unui mecanism de cooperare între statele membre și Comisie pentru a transmite
alertele timpurii referitoare la riscuri și incidente, a face schimb de informații și a contracara
amenințările și incidentele legate de NIS ;
– cerința pentru anumite societăți și servicii digitale să adopte practici de gestionare a riscurilor
și să raportez e incidentele majore de securitate informatică autorității naționale
competente.
Cerința de a raporta incidente de securitate informatică urmărește să dezvolte o cultură a gestionării
riscurilor și să asigure că informațiile sunt partajate între sectoarele public și privat. Cerința include:
– operatorii infrastructurilor critice din anumite sectoare, cum ar fi servicii financiare,
transporturi, energie și sănătate ;
– societăți de servicii informatice, inclusiv magazine de aplicații, platforme de comerț
electron ic, platforme de plăți pe internet, platforme de cloud computing, motoare de
căutare și rețele sociale ;
– administrații publice .
Pe plan na țional au fost elaborate mai multe acte normative, pe paliere diferite (strategii, legi,
hotărâri ale guvernului), unel e ating ând nivelul de maturizare, altele necesit ând adapt ări
suplimentare.
Strategia de Securitate cibernetic ă a Rom âniei (HG nr.271/2013)
Stabile ște 4 direc ții majore de ac țiune:
1. Stabilirea cadrului conceptual, organizatoric și acțional necesar asigurăr ii securității
cibernetice
– constituirea și operaționalizarea unui sistem național de securitate cibernetică;
– completarea și armonizarea cadrului legislativ național în domeniu, inclusiv stabilirea și
aplicarea unor cerințe minimale de securitate pentru inf rastructurile cibernetice naționale;
– dezvoltarea cooperării între sectorul public și cel privat, inclusiv prin stimularea schimbului
reciproc de informații, privind amenințări, vulnerabilități, riscuri, precum și cele referitoare la
incidente și atacuri ci bernetice.
2. Dezvoltarea capacităților naționale de management al riscului în domeniul securității
cibernetice și de reacție la incidente cibernetice în baza unui program național, vizând:
– consolidarea, la nivelul autorităților competente potrivit legii, a potențialului de cunoaștere,
prevenire și contracarare a amenințărilor și minimizarea riscurilor asociate utilizării spațiului
cibernetic;
– asigurarea unor instrumente de dezvoltare a cooperării dintre sectorul public și cel privat, în
domeniul securității cibernetice, inclusiv pentru crearea unui mecanism eficient de avertizare
și alertă, respectiv de reacție la incidentele cibernetice;
– stimularea capabilităților naționale de cercetare , dezvoltare și inovare în domeniul securității
cibernetice;
– creșterea ni velului de reziliență a infrastructurilor cibernetice;
– dezvoltarea entităților de tip CERT, atât în cadrul sectorului public, cât și în sectorul privat.
33 | P a gi nă 3. Promovarea și consolidarea culturii de securitate în domeniul cibernetic
– derularea unor programe de c onștientizare a populației, a administrației publice și a
sectorului privat, cu privire la amenințările, vulnerabilitățile și riscurile specifice utilizării
spațiului cibernetic;
– dezvoltarea de programe educaționale, în cadrul formelor obligatorii de învăț ământ, privind
utilizarea sigură a internetului și a echipamentelor de calcul;
– formarea profesională adecvată a persoanelor care își desfășoară activitatea în domeniul
securității cibernetice și promovarea pe scară largă a certificărilor profesionale în do meniu;
– includerea unor elemente referitoare la securitatea cibernetică în programele de formare și
perfecționare profesională a managerilor din domeniul public și privat.
4. Dezvoltarea cooperării internaționale în domeniul securității cibernetice
– încheierea unor acorduri de cooperare la nivel internațional pentru îmbunătățirea capacității
de răspuns în cazul unor atacuri cibernetice majore;
– participarea la programe internaționale care vizează domeniul securității cibernetice;
– promovarea intereselor naționale de securitate cibernetică în formatele de cooperare
internațională la care România este parte.
Strategia de Securitate cibernetic ă define ște, de asemenea, Sistemul național de securitate
cibernetică (SNSC), cadrul general de cooperare care reunește autori tăți și instituții publice, cu
responsabilități și capabilități în domeniu, în vederea coordonării acțiunilor la nivel național pentru
asigurarea securității spațiului cibernetic, inclusiv prin cooperarea cu mediul academic și cel de
afaceri, asociațiile p rofesionale și organizațiile neguvernamentale.
Misiunea SNSC constă în asigurarea elementelor de cunoaștere, prevenire și contracarare a
amenințărilor, vulnerabilităților și riscurilor specifice spațiului cibernetic care pot afecta securitatea
infrastructu rilor cibernetice naționale, inclusiv managementul consecințelor.
Pentru îndeplinirea obiectivelor prezentei strategii, SNSC funcționează ca un mecanism unitar și
eficient de relaționare și cooperare interinstituțională, în vederea adoptării și aplicării c u celeritate a
deciziilor.
Funcțiile principale ale SNSC se realizează prin informare, monitorizare, diseminare, analizare,
avertizare, coordonare, decizie, reacție, refacere și conștientizare, precum și prin adoptarea de
măsuri proactive și reactive.
Coor donarea SNSC se realizeaza de c ătre Consiliul operativ de securitate cibernetic ă (COSC).
Suveranitatea, localizarea și confiden țialitatea datelor
Suveranitatea datelor (conceptul care spune că datele se supun jurisdicției țării în care sunt localizate
și nu a guvernelor străine sau tribunalelor care pot căuta acces unilateral la ele) și localizarea datelor
(obliga ții legale pentru ca datele să fie depozitate într -o anumită locație) au devenit probleme
aprinse.
34 | P a gi nă Unele țări au început să caute modalit ăți de a-și localiza datele ca o modalitate de a preveni accesul
guvernelor străine la datele cetățenilor și compun cerințe care specifică faptul că datele rămân în
țara lor, iar companiile folosesc echipament produs local.
O consecință potențial negativă a ini țiativelor care obligă localizarea datelor – creând legislație care
nu este interoperabilă – este că toate companiile multinaționale pot fi supuse unor cerințe legale
conflictuale. O obligație de a se supune cererilor unei țări de a produce, reține sau distr uge date
poate viola cererile unei alte țări.
În afară de riscul de a crea obligații legale conflictuale, cerințele localizării datelor are potențialul de a
limita fluxul de date peste granițe. Asta poate crea confuzie, dar și provocări semnificative în
administrarea rețelelor. Este un aspect al lanțului de aprovizionare și aici: mai mulți operatori ai
lanțului de aprovizionare global adoptă tehnologii bazate pe cloud pentru a -i conecta pe toți
partenerii din lume. Localizarea datelor ar putea împiedica sau preveni schimbul de date în acele
rețele și activitățile peste hotare ar putea fi vulnerabile la criminalitatea cibernetică. În plus, unele
țări aleg să folosească numai tehnologii natale, sau plasează restricții semnificative privind
persoanele care pot manevra datele cetățenilor, ap ărând riscul de a se izola singure de grupul de
talente global și pot risca astfel o pierdere a inovației aduse de contactul cu idei noi. Câteva companii
tehnologice de top din Statele Unite speră c ă folosirea criptării end -to-end va fi o cale de satisfacere
a grijilor clienților cu privire la datele lor personale în spațiul web.
Atitudinea unei persoane sau organizații când vine vorba de confidențialitatea datelor poate varia în
funcție de locul din lume în care se afl ă. Acest e puncte de vedere variate afectează felul în care
guvernele gestionează confidențialitatea datelor și felul în care întreprinderile fac afaceri atunci când
aceste reglementări se contrazic.
Discu ția legată de compatibilitatea confidențialității datelor – adică crearea abordărilor globale
consistente – a devenit mai urgentă datorită creșterii serviciilor cloud. Spre exemplu, dacă o
companie bazată în SUA cumpără cloud storage de la o companie din India și îl folosește pentru a
stoca date pentru clienți cu d omiciliul în Germania, legile cărui țări se aplica?
Alte drivere a compatibilității confidențialității datelor sunt Internetul Lucrurilor (IoT) și Big Data. Pe
măsură ce întreprinderile iau în considerare noi modalități de a conecta dispozitive și folosesc seturi
masive de date pentru a lua decizii profesionale, au nevoie de structură și reguli pentru felul în care
aceste date pot fi manevrate la scară globală.
Diverse eforturi au fost lansate pentru armonizarea cerințelor legate de confidențialitatea date lor pe
teritoriul unei regiuni sau grup de țări. Spre exemplu, legislația Uniunii Europene este modificată în
prezent și va actualiza structura actuală de protecție a datelor – Reglementarea privind protecția
datelor generale, cerând o armonizare a regleme ntărilor privind confidențialitatea datelor. Se
intensific ă eforturile pentru a ajunge la un acord privind confidențialitatea datelor și armonizare a
legilor legate de suveranitatea datelor. O astfel de armonizare mai bună ar fi binevenită, dar este de
asemenea important ca textul final sa fie în acord cu celelalte regiuni și să respecte realitatea
tehnologiilor. Regiunea Asia -Pacific a dezvoltat Acordul privind impunerea confidențialității peste
granițe din cadrul Cooperării Economice Asia -Pacific (APEC), care facilitează împărțirea datelor în
economiile locale. Mai multă muncă trebuie depusă de guverne în scopul creării de regimuri
35 | P a gi nă compatibile pentru confidențialitatea datelor și securitate, ancorate în standarde recunoscute global
care promovează un inter net deschis cu transmisii libere de date peste granițe naționale și regionale.
Pe măsură ce țările și regiunile clarifică abordările privind confidențialitatea datelor, întreprinderile
vor fi capabile să aplice practici de confidențialitate consistente la nivel global și vor implementa
sisteme eficiente de confidențialitate ”by design”, în care capacitățile sunt integrate în produse și
servicii de la început. Sisteme reglementate de confidențialitate, clare și consistente, ar ajuta
companiile să îndeplineas că și depășească cerințele de confidențialitate, fără a se ține cont de locația
unde se aplică oferta, astfel încurajând dezvoltarea produselor inovative și folosirea datelor.
În urma sondajului privind protecția datelor realizat de experți globali în con fidențialitate din America
de Nord, Uniunea Europeană și regiunea Asia -Pacific despre reglementările de date din regiunile lor,
practici guvernamentale, conținutul utilizatorilor și standardele de securitate , răspunsurile au arătat
un nivel ridicat de cons istență în înțelegerea sensului de confidențialitate a datelor și valoarea
standardelor globale de confidențialitate.
– Rezidența și suveranitatea datelor: răspunzătorii au identificat datele personale și
informațiile de identificare personale (PII) ca datel e care trebuie să rămână în țara de origine ;
– Interceptarea legală: răspunzătorii au arătat o interpretare universală a modurilor în care
datele pot fi interceptate – spre exemplu, când sunt nece sare într -o investigație penală;
– Conținutul utilizatorului: 73 % din răspunzători au fost de acord că trebuie o declarație a
drepturilor privind confidențialitatea consumatorilor care este globală, nu regională. 65% au
afirmat că Națiunile Unite ar trebui să joace un rol activ în c rearea unei asemenea declarații;
– Principii de confidențialitate: răspunzătorii au fost întrebați dacă principiile de
confidențialitate de la Organizația pentru Cooperare Economică și Dezvoltare ar facilita
armonizarea datelor, sau ar crea tensiuni mai mari. Experții participanți la sondaj era u în
favoarea adoptării acestor principii.
În rezumat, sondajul privind confidențialitatea datelor arată că experții sunt de acord în privința
principiilor de bază care, dacă ar fi adoptate la scară globală, ar putea înlesni afacerile. Rezultatele
indică ș i faptul că experții au un interes comun în ”coacerea” acestor principii de confidențialitate
pentru soluții tehnologice noi, în loc să se încerce modificarea lor pentru a acomoda cerințele. Însă,
actualele sisteme de reglementări privind confiden țialitate a sunt relativ noi și se dezvoltă rapid.
36 | P a gi nă
Recomand ări
1. Întregirea cadrului legal în domeniul securit ății cibernetice, asigur ându-se compatibilitatea cu
cadrul UE și NATO cu accent pe :
a. Opera ționalizarea Sistemului Na țional de Securitate Cibernetic ă (SNSC) ;
b. Definirea criteriilor de clasificare a infrastructurilor ;
c. Stabilirea mecanismelor , rolurilor și procedurilor care vor permite o reac ție rapid ă în
cazul identific ării unor incidente de securitate la nivelul unei infrastructuri critice ;
d. Asigurarea eficien ței acțiunilor institu țiilor abilitate prin eliminarea unor bariere
procedural;
e. Asigurarea accesului institu țiilor responsabile la instrumente cibernetice cu m ăcar
acela și nivel de sofisticare ca și cele aflate la dispozi ția atacatorilor .
2. Introducerea de -a lungul verticalelor în care reg ăsim infrastructuri critice a unor elemente de
reglementare care s ă asigure dezvoltarea sau achizi ționarea de competen țe și capabilit ăți tip
CERT
3. O lege și normele tehnice aferente privin d infrastructurile de tip Cloud:
a. Condi țiile minime de securitate ;
b. Modalit ățile de acces ;
c. Rolurile în gestionarea cloud -ului;
d. Principiul “cloud first” .
4. Un cadru normativ care s ă trateze:
a. Definirea, actualizarea și garantarea unui set de condi ții tehnice minime (de
referin ță) de securitate pentru sistemele informatice , raportat la natura informa țiilor
gestionate și tranzac ționate ;
b. Eviden țierea transparent ă a costurilor pentru securitatea sistemelor și subsistemelor
cibernetice ;
c. SLA-uri cadru, prin care vendorii de tehnologie și integratorii își asumă răspunderea și
oferă garan ții privind securitatea echipamentelor și aplica țiilor, inclusiv absen ța
backdoor -urilor “voluntare” .
5. În contextul unei reorganiz ări prin introducerea unui nivel de unit ăți administrative regionale ,
în vederea asigur ării inter operabilit ății securizate între sistemele informatice :
a. Dezvoltarea de “hub -uri informa ționale” regionale, care s ă asigure schimbul de
informa ții între institu țiile publice ;
b. Interconectarea acestora într-un punct central (hub central), firesc într-un stat
național unitar.
6. Dezvoltarea intranetului guvernamental care s ă deserveasc ă toate institu țiile publice centrale
și locale , prin exploatarea eficient ă, unificat ă, a resurselor de comunica ții de ținute de
companii na ționale sau entit ăți publice .
7. Dezvoltarea un ei capabilit ăți centralizate care s ă asiste toate institu țiile publice în preg ătirea
proiectelor în domeniul Societăț ii Informa ționale, inclusiv în cadrul procedurilor de achizi ție
37 | P a gi nă public ă (putând efectua chiar achizi ții centralizate) , asigur ându-se astfel nivelul optim de
securitate și interoperabilitate .
8. Definirea standardelor ocupa ționale specifice domeniului securit ății IT.
9. Dezvoltarea sau achizi ționarea de capabilit ăți tehnice minimale, prin raportare la
infrastructur ă și informa țiile gestionate, atât în zona public ă cât și în sectorul privat :
a. Norme, criterii și necesit ăți pentru introducerea rolurilor de specialist IT și specialist
securitate IT î n cadrul tuturor institu țiilor administraț iei publice locale și central e,
ținând cont de specificul activit ăților prestate (colectarea și introducerea datelor,
identificarea necesarului de echipamente și solu ții IT, organizare, raportare etc) sau,
alternative, asigurarea acestor capabilități din surse externe ;
b. Mentenanța continuă a soluțiilor de securitate efec tuată de specialiști bine pregătiți
atât pe soluția tehnic ă folosit ă cât și cu cunoștințe mai largi de securitate IT ;
c. Proceduri și sisteme adecvate ;
d. Auditare periodic.
10. Oferirea de facilit ăți (eventual baz ate pe instrumente structurale) care s ă permit ă acto rilor
economici să-și efectueze un audit minim de securitate .
11. Înfiin țarea unui Cluster orientat pe securitate cibernetic ă, care s ă includă un centru na țional
de transfer tehnologic și un centru specializat și procedurat pentru evaluare a nivelului de
securitate al solu țiilor hardware/ software .
12. Sprijinirea unei schimb ări culturale î n sensul securit ății cibernetice, cu accent pe
informare/con știentizare, instruire, cooperare public -privat.
ASOCIAȚIA NAȚIONALĂ PENTRU SECURITATEA SISTEMELOR INFORMAT ICE – 2015
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Tendin țe globale [611753] (ID: 611753)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.