Studiul Efectelor Economice al Razboiului Cibernetic Prin Aplicarea Modelarii Bazate pe Agenti

Economie

Studiul Efectelor Economice al Razboiului Cibernetic Prin Aplicarea Modelarii Bazate pe Agenti

Byadmin ianuarie 1, 2024

Studiul efectelor economice al razboiului cibernetic prin aplicarea modelarii bazate pe agenti

CUPRINS

Introducere

CAPITOLUL 1: Amenintarile cibernetice – concepte de baza si procesul de dezvoltare al acestora

1.1. Abordarea conceptuala a efectelor economice in contextul spatiului cibernetic

1.2. Intelegerea de ansamblu a criminalitatii cibernetice

1.2.1. Tipurile de atacuri cibernetice

1.2.2. Războiul cibernetic

1.3. Introducerea modelarii bazate de agenti in contextul mediului cibernetic

CAPITOLUL 2: Analiza unui atac cibernetic in contextul securitatii cibernetice

2.1. Concepte de securitate informationala in contextul atacurilor cibernetice

2.2. Evaluarea modelului clasic al securitatii informationale

2.3. Evaluarea resurselor necesare unui atac cibernetic

CAPITOLUL 3: Utilizarea metodologiei specifice de risc in vederea combaterii criminalitatii cibernetice

3.1. Nivelul de maturitate al unei organizatii din punct de vedere al riscului

3.2. Analiza riscurilor specifice amenintarilor caracteristice mediile digitale

3.2.1. Abordarea si elementele constitutive ale riscurilor

3.2.2. Determinarea riscurilor reziduale

3.3. Tendinta comportamentala a atacatorilor cibernetici, factor de impact al riscului

CAPITOLUL 4: Studiul impactului economic al razboiului cibernetic

4.1. Disponibilitatea datelor statistice caracteristice efectelor vulnerabilitatilor cibernetice

4.2. Consecintele macroeconomice ale amenintarilor cibernetice

4.2.1. Efectele asupra factorilor de productie

4.2.2. Asigurarile impotriva riscurilor cibernetice

CAPITOLUL 5: Modelul de simulare al unui atac cibernetic si aplicarea unor procese de optimizare si evaluare bazate pe agenti inteligenti

5.1. Procesul de definire al agentilor

5.2. Componentele modelului

5.3. Simularea modelului si evaluarea sistemului

ANEXA 1: Analiza de risc specifica amenintarilor cibernetice

ANEXA 2: Numarul de atacuri cibernetice inregistrate la nivel global in perioada 2012 – 2014

ANEXA 3: Definirea agentilor modelului de atac cibernetic si caracteristicile acestora

Studiul efectelor economice al razboiului cibernetic

prin aplicarea modelarii bazate pe agenti

Introducere

Războiul cibernetic reprezintă un fenomen curent, o realitate caracterizata de incercarile de obținere a accesului neautorizat asupra unor date si/ sau resurse din domeniul tehnologiei informationale prin intermediul mediilor de comunicare (in special prin exploatarea resurselor oferite de Internet). Acest tip de conflict presupune desfășurarea unor acțiuni ale unei entitati împotriva altei entitati, împotriva informațiilor deținute de aceasta sau a sistemelor informatice utilizate, în scopul atingerii unor obiective sau influențării unor ținte personale, politice, etc. De exemplu, prin atacuri cibernetice se pot bloca site-uri web sau retele publice, se pot intrerupe sau ingreuna servicii considerate esentiale de o organizatie sau o natiune, prin acest tip de manipulare informațională putand fi furate sau alterate informatii senzitive ce dauneaza sistemelor financiare, strategice, tehnice, etc.

In acest context al securitatii cibernetice, lucrarea de cercetare curenta prezinta obiectivul de a implementa un sistem multiagent în care unitățile de baza – „agenții” – interacționează între ei cu scopul de a determina tendința comportamentului unui atacator cibernetic la un moment dat. Pe baza caracteristicilor definite și a rezultatelor simulărilor sunt apoi efectuate anumite analize, reprezentând primele informații suport pentru procesul de luare a deciziilor și de definire a unor măsuri de securitate. Scopul general este ca acest tip de informații să ajungă să fie colectatele și procesate astfel încât să fie utilizate înaintea unui atac cibernetic, să ajute in remedierea, în cel mai scurt timp posibil, a resurselor compromise atunci când este detectată exploatarea unei breșe de securitate.

Securitatea informatiei si impactul atacurilor cibernetice reprezinta aspecte critice ale mediului cibernetic, un spatiu considerat fara granite, in continua evolutie si caracterizat de starile anonime ale participantilor. Dar dezvoltarea dinamica, rapida si complexa faciliteaza in acelasi timp si cresterea alarmanta a vulnerabilitatilor si a riscurilor la care sunt expusi utilizatorii resurselor cibernetice, la orice nivel: atat individual, la nivelul unei natiuni cat si global.

Metodologia propusă în cadrul acestei lucrări, de simulare a atacurilor cibernetice, de furnizare a unei soluții de cuantificare a riscurilor specifice și de implementare a măsurilor de securitate corespunzătoare, reprezintă un instrument ce poate aduce un plus de valoare în procesele de decizie ale managementului. O abordare integrată, având în centru datele și analiza acestora, ar contribui în general în cadrul organizațiilor la îmbunătățirea profilelor de risc IT asociate (implicit și în procesul de evaluare corespunzătoare a efectelor economice asupra mediului operațional), conducând în același timp la costuri operaționale reduse prin minimizarea incidentelor și amenințărilor informatice. Relevanța în cadrul procesului este data prin înțelegerea activității malițioase a atacatorului, pentru care metodele de prevenire trebuie să fie aplicate.

Cu privire la cercetarea efectelor economice ale atacurilor cibernetice, aceasta evaluare este efectuata in cadrul tezei prin analiza riscurilor implicate, deoarece principiile fundamental economice ale gestionării riscului sunt următoarele:

– Orice organizație/ entitate trebuie sa evalueaze permanent adecvarea capitalurilor detinute la riscuri și sa asigure un nivel corespunzător al acestora și al fondurilor de sustinere a activitatilor/ participantilor la realizarea rezultatelor, în funcție de elementele obtinute in urma evaluării riscurilor semnificative la care este expusă;

– Strategia organizațiilor/ entitatilor este astfel definită încât procesul de alocare a bugetelor periodice și analiza rezultatelor asteptate să justifice expunerea la risc pentru segmentele de beneficiari si servicii vizate de organizație/ entitate (realizarea profitului scontat în corelație cu menținerea riscului la nivelul acceptat de management).

Scopul metodologiei propuse nu este de a genera o simulare exactă a unui atac cibernetic specific unui anumit tip de amenințare sau eficienta în analiza unei anumite vulnerabilități exploatate, ci de a dezvolta un model general, flexibil in aplicabilitate, pentru a putea explora compromisurile implicate în combaterea amenințărilor cibernetice cat mai aproape de realitate. Concluziile generate de aceste experimente vor identifica relații utile care au nevoie de o examinare suplimentară, în scopul de a dezvolta o mai bună înțelegere a amenințărilor cibernetice și a modalităților cât mai eficiente de pregătire și chiar gestionare a acestor evenimente.

Importanta cercetarii propuse prin lucrarea de fata este reprezentata de faptul ca resurselor informatice si evolutia mediilor virtuale sunt integrate din ce in ce mai mult in aspectele vietii cotidiene. Teza este structurata in urmatoarele sectiuni majore, si anume:

Motivarea cercetarii, a problematicii implicate prin prezentarea si revizuirea literaturii de specialitate in contextul razboiului cibernetic si al efectelor economice ale acestora. Aceasta sectiune este acoperita prin capitolele 1 si 2.

Prezentarea stadiului actual al domeniului securitatii cibernetice, al metodologiilor deja existente de combatere a criminalitatii cibernetice si de cuantificare a impactului economic si a riscurilor implicate. Aceasta sectiune este acoperita de capitolele 3, 4 si 5, inclusiv utilizarea metodelor de simulare si modelare bazata pe agenti in intelegerea proceselor economice si a securitatii cibernetice.

Conexiunea dintre rezultatele deja existente, a instrumentelor de decizie deja create prin modelarea bazata pe agenti si aspectele noi, complementare, tratate prin lucrarea de fata. Aceasta sectiune este acoperita de capitolul 6, cuprinzand si metodologia de realizare a proceselor specifice.

Prezentarea rezultatelor si a implicatiilor cercetarii, de la descrierea metodologiei, ipotezelor si a datelor de lucru, pana la concluzii si propuneri a unor solutii pentru zonele in continua dezvoltare ale mediului cibernetic. Aceasta sectiune este acoperita de capitolele 7, 8 si 9, cuprinzand si aspecte ce vor imbunatati tema de cercetare in viitor.

În urma prezentarii generale a războiului cibernetic și a unui scurt istoric al implicatiilor economice, se urmărește obținerea unei înțelegeri a amenințărilor cibernetice, a trendurilor acestora. În plus se analizează provocările la care trebuie sa facă față masurile de securitate informațională în contextul schimbărilor continue și rapide a mediilor IT. Se efectuează de asemenea o analiză a programelor curente de monitorizare a amenințărilor cibernetice cât și a celor mai bune practici în domeniu. De asemenea, in cadrul ultimului capitol, in vederea trasarii obiectivelor de cercetare viitoare, se propune si un proces de evaluare a riscului specific și in contextul unui model de maturitate al organizațiilor din punctul de vedere al criminalității cibernetice.

În capitolul doi se prezintă studiul efectelor economice în contextul atacurilor cibernetice, cu impact atât la nivel de organizație, cât și la nivel național. Se constituie o prezentare a unor metodologii propuse pentru a măsura impactul economic, având în vedere modalitățile în care mediul cibernetic este integrat la nivelul unei organizații, la nivelul individului cat si la nivelul societății.

Prin intermediul ultimelor capitole ale lucrarii sunt evidentiate rezultatele obținute, analiza si contribuția așteptată in domeniul cibernetic, concluziile finale, dar și trasarea unor linii directoare de cercetare viitoare. Astfel se sustine utilitatea adoptării din partea oricarei tip de organizatie a unor strategii specifice de securitate cibernetică, ca instrumente esențiale în planificarea și organizarea activităților de prevenire, investigare, cercetare și combatere a exploatarilor vulnerabilitatilor specifice.

Originalitatea lucrarii de cercetare consta in sustinerea si aplicarea metodologiei sistemelor multiagent ce simuleaza diverse comportamente si modele cibernetice, corelate cu riscurile generate de vulnerabilitatile exploatate in diferite tipuri de atacuri ce se pot manifesta la un moment dat, cat si cuantificarea cat mai realistica a actiunilor intreprinse de catre un atacator cibernetic, necesara in procesul de luare al deciziilor. Astfel, in cadrul tezei sunt prezentate aspecte noi ale impactului economic in mediul cibernetic (de ex. analiza costurilor determinate de exploatarea breselor de securitate), cat si modalitati de abordare imbunatatite ale problemelor deja existente. In urma cercetarii literaturii de specialitate, o concluzie preliminara o reprezinta faptul ca nivelurile de cunoștință din prezent asupra costului atacurilor cibernetice si a aspectelor financiare legate de securitatea cibernetica sunt limitate.

Lucrarea demonstreaza importanta adresarii problemelor majore cu care se contfrunta mediului cibernetic, si anume prevenirea amenintarilor cibernetice si detectarea unui atac cibernetic, deoarece cu cat o entitate isi desfasoara activitatile si procesele de lucru utilizand resurse informatice, cu atat ea este expusa la abilitatea atacatorilor de a exploata bresele de securitate existente.

Intrebarea critica ce trebuie pusa in orice context organizational este legata de alocarea resurselor corespunzatoare in scopul protejarii datelor, iar aceasta evaluare trebuie sa contina in mod obligatoriu si o componenta financiar-economica. Si aceasta observatie este aplicabila atat organizatiilor din sectorul privat cat si institutiilor din sectorul public. Evaluarea costurilor dar si a probabilitatii unui atac cibernetic necesita o metodologie foarte clara de analiza.

Ca si parte componenta a raspunsului, trebuie calculate costurile asociate ninire, investigare, cercetare și combatere a exploatarilor vulnerabilitatilor specifice.

Originalitatea lucrarii de cercetare consta in sustinerea si aplicarea metodologiei sistemelor multiagent ce simuleaza diverse comportamente si modele cibernetice, corelate cu riscurile generate de vulnerabilitatile exploatate in diferite tipuri de atacuri ce se pot manifesta la un moment dat, cat si cuantificarea cat mai realistica a actiunilor intreprinse de catre un atacator cibernetic, necesara in procesul de luare al deciziilor. Astfel, in cadrul tezei sunt prezentate aspecte noi ale impactului economic in mediul cibernetic (de ex. analiza costurilor determinate de exploatarea breselor de securitate), cat si modalitati de abordare imbunatatite ale problemelor deja existente. In urma cercetarii literaturii de specialitate, o concluzie preliminara o reprezinta faptul ca nivelurile de cunoștință din prezent asupra costului atacurilor cibernetice si a aspectelor financiare legate de securitatea cibernetica sunt limitate.

Lucrarea demonstreaza importanta adresarii problemelor majore cu care se contfrunta mediului cibernetic, si anume prevenirea amenintarilor cibernetice si detectarea unui atac cibernetic, deoarece cu cat o entitate isi desfasoara activitatile si procesele de lucru utilizand resurse informatice, cu atat ea este expusa la abilitatea atacatorilor de a exploata bresele de securitate existente.

Intrebarea critica ce trebuie pusa in orice context organizational este legata de alocarea resurselor corespunzatoare in scopul protejarii datelor, iar aceasta evaluare trebuie sa contina in mod obligatoriu si o componenta financiar-economica. Si aceasta observatie este aplicabila atat organizatiilor din sectorul privat cat si institutiilor din sectorul public. Evaluarea costurilor dar si a probabilitatii unui atac cibernetic necesita o metodologie foarte clara de analiza.

Ca si parte componenta a raspunsului, trebuie calculate costurile asociate nivelului actual al unei organizatii, in acelasi timp fiind necesara si o analiza a costurilor viitoare, costuri ce trebuie evaluate si in functie de modul in care evolueaza domeniul securitatii cibernetice. Aceasta activitate este foarte complexa, in modelul de cost fiind necesare pentru a fi incluse elemente cat mai detaliate, de exemplu frecventa atatcurilor cibernetice, nivelul vulnerabilitatilor de sistem cunoscute, cu potential de a fi exploatate, etc. Toate aceste elemente trebuie cuantificate cat mai exact si introduse intr-o formula decizionala cat mai buna in determinarea atat a efortului ce trebuie depus in definirea si implementarea unor controale corespunzatoare asigurarii securitatii informatiei cat si in determinarea bugetelor optime ce ar trebui alocate masurilor specifice.

Exista in egala masura parti care susțin faptul că razboiul cibernetic reprezinta o amenințare cat se poate de reala, în timp ce alte parti resping conceptul deoarece pana in prezent nu a fost încă documentat in mod public si/sau formal un astfel de atac. Insa indiferent de poziția pe care o adopta expertii in domeniul cibernetic, atacurile cibernetice au reprezentat subiectul de atenție din ce in ce mai crescuta atat a publicului general dar și al celui academic, mai ales in ultimii ani.

De aceea este necesara o atenție sporită asupra domeniului si a clarificarii conceptelor si a proceselor specifice, pentru a dezvolta o înțelegere cat mai cuprinzatoare a subiectului.

Din momentu in care o persoana/organizatie obtine acces la Internet devine o potențiala tinta vulnerabila. Un act al atacatorilor cibernetici are potențialul de a ne afecta pe oricare dintre noi in orice moment. Libertatea oferita de spatiul cibernetic, lipsa limitarilor fizice sau a celor legale la nivel international sustin in prezent eventuale atacuri, mai ales la scara extinsa.

CAPITOLUL 1: Amenintarile cibernetice – concepte de baza si procesul de dezvoltare al acestora

Securitatea informatiei in contextul datelor detinute in prezent de o organizatie poate reprezenta cu usurinta tinta unor atacuri malitioase in scopul obtinerii unor beneficii necorespunzatoare. Caracterul critic al protejarii datelor, de orice tip, prezinta un trend crescator in contextul in care tot mai multe sisteme informatice sunt integrate in activitatile zilnice si mai ales sunt centralizate in scopul unei mai bune gestiuni a proceselor si activitatilor de lucru.

In acest capitol se urmareste o scurta prezentare a conceptelor de baza utilizate in cercetarea impactului economic al atacurilor cibernetice, al intrumentelor reprezentate de modelarea bazata pe agenti si al domeniului reprezentat de securitatea informatiei.

Analiza științifică a unor concepte de comportament și dezvoltare caracteristice sistemului complex economic în care componenta informațională și cea de cunoaștere, au un rol extrem de important. Studiul componentei economice, mai exact a impactului din punct de vedere al costurilor implicate de un atacator „virtual” este inspirat din dezvoltarea noii economii bazate pe mediile cibernetice, și pe importanța acordată cunoașterii, ca un factor cheie a înțelegerii depline a activităților economice.

Abordarea conceptuala a efectelor economice in contextul spatiului cibernetic

Motivul initial al crearii Internetului a fost reprezentat de dezvoltarea unei retele sigure de comunicare in cazul unui razboi nuclear. Inca din anii 1980 acesta a cunoscut o crestere rapida, reprezentant un motor semnificativ al conceptului de interconectivitate, contribuind astfel si la procesul de globalizare. Orice companie si persoana poate in teorie sa utilizeze resursele oferite de Internet pentru a se integra cu orice alt nod (fizic sau logic), provocand insa in acelasi timp notiunile traditionale de spatiu, timp si resurse. Orice perturbatie din acest „spatiu”, fie prin simple miscari de economie globala sau in special prin miscari cu intentii ostile (atacurile cibernetice), pot duce la pierderi financiare/reputationale semnificative.

Pionier în domeniul criminalității informaționale, Donn B. Parker este cercetator si consultant pe probleme de securitate informatică în cadrul Institutului de Cercetare Stanford din Statele Unite ale Americii. El și-a început activitatea de cercetare în prima parte a anilor 1970, prima sa carte în domeniu fiind publicată în 1976. Parker a fost de asemenea coordonatorul cărții „Criminalitatea computerizată: Manualul resurselor justiției criminale” (publicata in 1979 – engl. „Computer Crime: Criminal Justice Resource Manual”). Documentul a reprezentat la acea vreme primul manual federal al Statelor Unite în domeniul aplicării dreptului privitor la acțiunile informationale ce caracterizau mediul cibernetic in prima sa faza de creare.

În 1982, Organizația pentru Cooperare și Dezvoltare Economică (OECD – Organisation of Economic Co-operation and Development) a înființat un comitet de experți ICCP (Information and Computer Communication Policy Committee) cu rolul declarat de discuție și analiză a criminalității computerizate și a schimbărilor pe care aceasta le impune în cadrul sistemului legislativ. Comitetul și-a prezentat recomandările în anul 1986, menționând că, având în vedere natura criminalității computerizate, este de dorit punerea bazelor și dezvoltarea unui sistem internațional de cooperare în vederea reducerii și controlării acestor tipuri de activități. În plus, le-a fost recomandat țărilor membre să-și schimbe legislația penală astfel încât să acopere și activitățile ce țin de criminalitatea computerizată (OECD, 1986).

Anii 1980 și 1990 au reprezentat perioada de începere și consolidare a activităților de diversificare a economiilor țărilor în curs de dezvoltare. Multe dintre ele au ales să facă acest lucru prin utilizarea tehnologiei informației în vederea atingerii statutului de societăți bazate pe cunoaștere. Concomitent a apărut nevoia unei fundamentări legale corespunzătoare dreptului cibernetic. Una dintre cele mai îngrijorătoare tendințe ale ultimilor ani o reprezintă apariția și dezvoltarea rapidă și complexă a unei economii subterane unde produsele software de tip cod malitios, informațiile privind cărțile de credit și identități furate sunt disponibile la prețuri accesibile.

Termenul „spațiu cibernetic” apare pentru prima dat in anul 1984, de către William Gibson, unde descria o lume virtuală a calculatoarelor. Astăzi, termenul a devenit sinonim cu Internetul, cu toate că spațiul cibernetic nu este reperzentat numai de Internet. În plus față de infrastructura hardware disponibilă în cadrul retelei globale este necesară și o infrastructură software, inclusiv în termenii unor mecanisme de reglementare și a apariției unui cadru legal cibernetic la nivel global.

Depășirea etapei în care raționamentele din sistemele de inteligență artificială se bazau pe logica simbolică a dus la un progres rapid în anii 90 către așa numita inteligență comportamentală, în care, conform lui Rodney Allen Brooks (profesor de robotică la Institutul de Robotica din Massachusetts), inteligența este produsul interacțiunii dintre un agent și mediul său. La sfârșitul anilor 90 mulți cercetători au ajuns totuși la concluzia că astfel de arhitecturi pentru sistemele bazate pe agenți nu ar fi adecvate. Drept urmare, au fost propuse arhitecturi hibride, care să încorporeze atât proprietățile metodei de organizare bazată pe raționamentul logic, cât și ale celei bazate pe comportamentul reactiv la mediu.

În prezent, modelele de economie artificială, un mediu simplificat în care se simulează realitatea, ajută la analiza unor efecte ale unor fenomene care nu ar putea fi studiate în realitate și care ajută la îmbunătățirea caracteristicilor unui sistem. Insa perceperea economiei sub forma unui sistem dinamic complex, in special in contextul implicarii mediului cibernetic, generează o nevoie de instrumente noi pentru cercetare. Ca o metodă de simulare constructivă, mediul computațional economic dovedeste în ultimii ani, o putere și aplicabilitate in egala masura extinse. Capacitatea de a oferi un mediu de încredere pentru persoanele fizice și organizatii pentru a interacționa on-line este un factor critic pentru inovare și creștere. Mediul virtual face ca protecția și rezistența impotriva exploatarii vulnerabilitatilor sistemelor digitale sa devina un factor critic pentru creșterea economică la nivelul organizatiilor si chiar a tarilor.

Este introdusa astfel o prima definitie a conceptului de economie a informatiei reprezentand, conform Manuel Castells (sociolog in domeniul societatii informationale, a comunicatiilor si globalizarii), o economie orientata spre activitățile de informare, a cunoasterii și mai nou, spre resursele caracteristice industriei tehnologiei informationale. Prezinta ca obiectiv intelegerea prinicipiilor economice de baza, insa aplicabile in special tehnologiei informatiei.

Informația în sine ajunge astfel să fie privită ca o „armă,” în mod paradoxal una imaterială, o tinta critica in procesul de obtinere a acestora fiind mediile de stocare. Un conflict nu poate fi purtat fără cunoașterea adversarului, iar astăzi mai mult ca oricând nevoia de a cunoaște este de o importanță vitală in contextul evolutiei. Accesul la informații devine o armă cu două tăișuri odată cu apariția Internetului, deoarece posibilitățile de a obține informația ca si resursa cresc exponențial impreuna cu numărul celor care au acces la cunoaște (metodele de obtinere a acesteia). Astfel, Internetul vazut ca si resursa poate fi considerat un bun in contextul criminalitatii cibernetice. De asemenea, nu se supune caracteristicilor traditionale ale unei resurse, in sensul economic:

Este gratuit in cele mai multe cazuri,

Prezinta abilitatea de a anula distanțele dintre indivizi (fizice si logice), furnizand in acelasi timp si anonimitatea acestora,

Prezinta o utilitate comuna pentru participanti, deoarece costurile implicate pentru securizarea elementelor constitutive se impart in mod global catre toti actorii. In acelasi timp costul de protejare al fiecarui actor prezinta un castig marginal fata de ceilalti actori, chiar daca toti beneficiaza de „resursa Internet”. Insa in cazul in care un utilizator scade nivelul de securitate la un moment dat in zona proprie, se pot obtine anumite „castiguri”, dar acest plus prezinta un castig marginal doar pentru sine, afectand in mod universal (negativ) ceilalti actori.

Era informatiei aduce in fata astfel o noua forma a managementului resurselor, si anume economia digitala, care conform studiilor in domeniu reprezinta rețeaua globală a activităților economice și sociale (in special noul comportament al consumatorului, strategiile si modelel de afaceri specifice), furnizate in special prin intermediul tehnologiei informației și comunicațiilor (resursele esentiale fiind de asemenea reprezentate de Internet, infrastructura fizica de echipamente, etc.) si in contextul globalizarii. Din punct de vedere al constientizarii dimensiunii pietei economice specifice, conform statisticilor de monitorizare din domeniu5, aproximativ 40% din totalul populatiei a globului utilizeaza in prezent Internetul, aceasta valoare urmand sa atinga un numar de peste 3 miliarde in anul 2015.

Tabel 1. Numarul de utilizatori de Internet la nivel global (milioane). Sursa: Ibid. 5.

O problemă semnificativă a acestor tipuri de economii emergente, atât pentru entitățile din sectorul public cat și pentru cele din sectorul privat, o reprezinta alocarea corespunzatoare a resurselor pentru securizarea informațiilor. Astfel, este necesara o analiza economică efectuata in prealabil, in urma careia sa fie obtinute costurile implicate atât istorice cat și potențiale, nivelurile peste care o masura implementata nu mai asigura protectia datelor prin evaluarea riscurilor, determinarea frecventei incercarilor de exploatare a vulnerabilitatilor sistemelor. Doar in urma acestor procese de analiza o entitate poate determina cantitatea optima pe care trebuie sa o aloce domeniului securitatii informațiilor și sa măsoare in acelasi timp eficacitatea bugetelor alocate.

Intelegerea de ansamblu a criminalitatii cibernetice

Criminalitatea cibernetică reprezintă un fenomen aflat intr-o continua dezvoltare. In mod conceptual in literatura de specialitate, aceasta este reprezentata de orice tip de actiune ce constituie o intentie daunatoare (ce poate rezulta in distrugerea si/sau intreruperea serviciilor unui sistem) si care utilizeaza resurse tehnologice de tipul calculatoarelor și a rețelelor de comunicare. In general, reprezinta orice tip de atac ilegal impotriva resurselor informationale (inclusiv datele stocate) cu scopul de a obtine beneficii financiare, sau chiar de a intimida o entitate in scop politic sau social.

In completarea acestor definitii, criminalitatea cibernetică include, tipurile de actiuni daunatoare tradiționale efectuate prin Internet, cum este frauda electronica, jocurile ilegale, furtul de identitate, a datelor de card de credit, manipularea unor servicii, etc. (atunci când activitățile ilegale mentionate sunt comise prin intermediul unui calculator și/ sau Internet).

Setul de instrumente este dat de un minim de resurse fizice (un calculator, un punct de acces la Internet) dar in special este reprezentat de programele malițioase (engl. “malware”, “crimeware”) prin aplicatiile software proiectate pentru a comite infractiuni prin intermediul Internetului. Cele mai cunoscute exemple sunt reprezentate de virusi, programe introduse in calculatorul unei persoane in mod neautorizat, obtinand astfel informatiidespre aceasta, fara constientizarea sau acordul efectuarii acestor inregistrari, prin monitorizarea si inregistrarea activitatii utilizatorului, etc.

Tipurile de atacuri cibernetice

Asa cum am mentionat anterior, in cadrul spatiului cibernetic exista numeroase persoane ce utilizeaza mediile virtuale si programele malitionase pentru propriile acțiuni ilegale, orientate catre resurse sau persoane in vederea obtinerii unor castiguri sau pentru propria provocare. Conform unui studiu de specialitate cele mai frecvente metode de atac cibernetic sunt:

Spionajul cibernetic – acest tip de infracțiune reprezintă actul sau practica de a obține informații secrete (sensibile din punct de vedere al confidențialității, clasificate din punct de vedere al proprietății de date) de la persoane fizice, organizații, institutii publice folosind metode ilegale de exploatare prin intermediul Internetului, rețelelor, sau sistemelor software.

Vandalismul cibernetic – reprezintă un set de atacuri prin care informațiile conținute pe infrastructuri web sunt șterge, alterate sau supuse unor activități malițioase in vederea obtinerii unei recunoasteri sau pentru propria placere a atacatorului. Principala motivatie nu este de natura financiara, fiind identificata rapid, cu impact scăzut asupra reputației unei organizații și relativ ușor de remediat.

Propaganda cibernetică – mesajele politice pot fi răspândite prin intermediul sau pentru oricine cu acces la Internet; se întâlnește frecvent ca o sub-categorie a vandalismului cibernetic.

Colectarea de date – reprezintă obținerea unor informații interne unei organizatii sau personale, în vederea reutilizării datelor si a castigurilor financiare, fiind vândută sau chiar utilizată în scopuri de șantaj.

Atacuri distribuite de tipul “denial-of-service” (DDoS) – este o încercare de a aduce o orice tip de resursă tehnologica sau o rețea informatică la o stare de indisponibilitate pentru utilizatorii săi. Constă în eforturile depuse de una sau mai multe persoane să întrerupă temporar sau definitiv servicii unei entitati ce actioneaza in spatiul cibernetic.

Întreruperi de echipamente – infracțiuni efectuate în general în scopuri militare, utilizând calculatoare și sateliți pentru îndeplinirea atacurilor. De exemplu, pot fi interceptate sau chiar înlocuite informații critice legate de comenzi și comunicații de transport strategic.

In această categorie se înscriu și atacurile efectuate prin compromiterea sistemelor hardware comune, folosit în scop comercial la nivelul rețelelor organizaționale, implementând software rău intenționat la nivelul aplicațiilor.

Amenințarea infrastructurilor critice – atacuri cibernetice efectuate în general în scopuri politice sau pentru transmiterea unui mesaj al unei organizații infracționale, infrastructura Acestea afectează sistemele informatice care susțin de exemplu infrastructura unui oraș, liniile de comunicații, sistemele de transport, producând pagube semnificative la nivel economic.

In lucrarea “Hacking Exposed: Network Security Secrets and Solutions” sunt prezentate etapele standard ale unui atac cibernetic, asa cum reies din figura urmatoare:

Figura 1. Etapele standard ale unui atac cibernetic

La nivel logic si fizic, categoriile propuse de catre cercetarea de fata (reprezentand tipurile de incidente cel mai des intalnite intr-o organizatie) sunt reprezentate de:

Negarea/blocarea serviciilor, prin atacurile care previn sau impiedica utilizarea corecta a retelelor, sistemelor sau aplicatiilor (suprasolicitarea resurselor),

Utilizarea de cod malitios, fie ca este vorba de virusi, troieni, viermi, sau orice alt tip de eveniment bazat pe cod neautorizat care reuseste sa infecteze cu success o tinta,

Acces neautorizat, atunci cand o persoana reuseste sa obtina acces (logic sau fizic) fara permisiune la resursele unei retele, system, aplicatie, date stocate sau orice alt tip de echipament/software,

Utilizare necorespunzatoare, atunci cand o persoana incalca principiile si reglementarile interne/externe unei entitati de folosire acceptabila a retelei sau a politicilor sistemelor informatice,

Orice alt tip de eveniment compus din una sau mai multe actiuni din cele prezentate anterior.

Există un număr extins de cercetători in diverse domenii precum tehnologia informatiei, securitate informatică, matematică, statistică, etc. implicati in procese de definire si implementare a unor sisteme care pot simula comportamentul unei entitati la un moment dat in vederea luarii unei decizii strategice, fie pentru remedierea unui eveniment de securitate, fie pentru imbunatatirea caracteristicilor deja existente pe aria analizata. Astfel, abordarile multiagent in infrastructuri IT sunt in detaliu prezentate intr-o diversitate de lucrari, din punct de vedere al arhitecturii comunicatiilor, al platilor electronice si al mediului de e-business, metode de previziune si contracarare a amenintarilor de securitate si al intstrumentelor de identificare al breselor de securitate. De asemenea, oferind o perspectivă informatică pe sisteme multiagent, exista studii care se bazează pe idei din teoria jocurilor, economie, logică, filozofie și lingvistică.

Războiul cibernetic

In prezent, acest tip de confruntare cunoscuta sub denumirea de război cibernetic, are in centru ca si scop, obtinerea informatiei, de orice tip. Reprezinta tipul de conflict bazat pe resursele tehnologice si in special Internet, implicand de cele mai multe ori atacuri orientate catre infrastructurile informatice critice ale unei natiuni (de ex. din industria electrica, a trasnportului, a operatiunilor guvernamentale, etc.). Aceste atacuri pot bloca site-uri web si/ sau retele publice, de interes national, pot altera sau fura date clasificate cu simplul scop de a constrange sau de a intimida populatia. Acest fenomen a luat amploare pe baza premisei de dependenta a infrastructurilor critice fata de tehnologia informationala.

Alterarea sau furtul de informații reprezinta o sursa a unor daune semnificative, asa cum reiese din sondajele si rapoartele anuale mai ales ale marilor corporații. In paralel, dezvoltarea mijloacelor de comunicare și a cercetării științifice face posibilă elaborarea unor strategii de manipulare informațională atât la nivel macro, cât și la nivel local sau chiar individual.

Profesorul Lech J. Janczewski (profesor in cadrul universitatii din Auckland, avand experienta in tehnologia informatiei) prezinta o lucrare legata de războiul si terorismul cibernetic („Cyber warfare and cyber terrorism”), dezvoltând aceste doua concepte in mod dinamic, prin studierea caracteristicilor care afectează mediul economic actual, cat si aspectele tehnice ale acestor domenii de cercetare (identificarea, autorizarea, și controlul accesului în mediile virtuale), delimitand anumite concluzii despre răspunsurile națiunilor în contextul acestor vulnerabilități, a asigurarii continuitatii și protejarii spatiului cibernetic. Conform cercetarilor acestuia, trasatura semnificativa a razboiului cibernetic este legata de costurile financiare ce includ pierderea proprietății intelectuale, deteriorarea reputației, impactul asupra productivitatii prin scăderea acesteia, etc., aceste costuri de oportunitate reprezentand o parte importanta din costurile raportate de catre entitati a atacurilor cibernetice de orice tip.

In continuare, conform lucrarii scrise, este introdus termenul de terorismul cibernetic, concept ce reprezinta orice tip de atac premeditat, motivat din punct de vedere politic sau ideologic, efectuat de catre o persoana sau un grup organizat (denumiti „agenti clandestini”) pentru a intimida sau a constrange un guvern/ o populatie, prin manipularea sistemelor informatice, a retelelor de interes national, a datelor stocate de acestea. O trasatura importanta este reprezentata de anonimatul atacatorului, care poate efectua actiunile daunatoare de la o distanda foarte mare, atata timp cat se afla la o distanta mare de locul unde rezulta efectiv actiunile sale.

Integrarea elementelor caracteristice mediilor digitale, avand ca si caracteristica principala un grad ridicat de interconectivitate al participantilor si al resurselor utilizate influenteaza activitatea terorismului cibernetic. Conform statisticilor oferite la nivel global de CERT.ORG (centrul de studiu al vulnerabilitatilor securitatii cibernetice), evolutia totalului vulnerabilitatilor anuale creste semnificativ in fiecare an, asa cum reiese din prezentarea grafica de mai jos (figura 2). Este prezentat numărul total de vulnerabilități catalogate anual, pe baza rapoartelor primite de catre centrul de cercetare din surse publice sau prezentate de entități publice/ private. Exceptiile inregistrate au prezentat un impact asupra unui grup mai de participanti in spatiul cibernetic, fiind efectuate in general in vederea obtinerii unor avantaje politice sau economice.

Figura 2. Vulnerabilitati exploatate si raportate catre CERT.ORG 1995 – 2014. Sursa: ibid. 13

Local, in cazul Romaniei, in contextul razboiului cibernetic, Centrul national de raspuns la incidente de securitate cibernetica prezinta periodic pe site-ul dedicat alerte de securitate si cadrul legislativ si informativ cu privire la orice tip de activitate ilegala de colectare sau interferente cu resurse publice si private.

In acest context, strategia Romaniei de securitate cibernetică sustine obiectivele de lucru, liniile directoare și procedurile considerate critice de întreprindere a masurilor de invatare, cunoaștere, investigare si prevenire a amenințărilor cibernetice, a contracararii exploatarilor vulnerabilităților sistemelor informatice (in scop fiind cuprinse si infrastructurile cibernetice organiationale dar si cele individuale) și a riscurilor specifice spatiului cibernetic. De asemenea, aceasta reglementare sustine si inglobeaza in activitatile promovate atat interesele cat și obiective naționale ce trebuie aplicate în spațiul cibernetic pe teritoriul tarii.

Programele nationale sunt cu atat mai active cu cat in cadrul unui studiu privind bresele de securitate efectuat de compania Verizon in 2013, Romania a fost inregistrata pe locul 2 in ceea ce priveste originea atacurilor cibernetice de natura exclusiv financiara:

Figura 3. Incadrarea Romaniei in topul tarilor generatoare de atacuri cibernetice. Sursa: Verizon 2013 – Raport de investigatii a breselor de date

Pana in prezent, atacurile cibernetice inregistrate de catre organizati/ institutii de stat pot fi considerate ca avand un scop relativ limitat si nu s-au desfasurat la un nivel atat de mare incat sa aiba un impact semnificativ la nivel macroeconomic. Insa in acest context, anumite entitati au pierdut date importante, carora le-au fost atribuite costuri semnificative, atat la nivel financiar cat si reputational. In concordanta cu aspectele mentionate anterior și a exemplelor de atacuri cibernetice[] cu impact international, o definiție formală a acestui nou domeniu poate fi usor prezentată de următoarea afirmație: “războiul cibernetic reprezintă arta și știința luptei fără luptă; de a învinge un adversar fără vărsare de sânge”.

Introducerea modelarii bazate de agenti in contextul mediului cibernetic

Studiul economiei utilizează intensiv modele de simulare ce au la baza resurse caracteristice din domeniul tehnologic, prezentand abilitati extinse de procesare a volumelor mari de date, precum și concepte din domeniul inteligentei artificiale bazate în principal pe sisteme multi-agent. Mediul oferit astfel de tehnologia informatiei stiintei economice este utilizat in mod eficient in testarea si validarea modelelor teoretice sau in investigarea proprietăților componentelor acestora, acolo unde soluțiile analitice nu pot fi aplicate.

In cadrul modelarii bazate pe agenți, un sistem este reprezentat prin implementarea unor tehnici generale de tipul ecuațiilor matematice, ce evaluează caracteristicile unor entități decizionale autonome, cunoscute sub numele de agenți. In cazul modelelor complexe, se utilizeaza si metode de exploatare si analiza a datelor (engl. „data mining”) de tipul retelelor neuronale, a algoritmilor evolutivi sau alte tehnici de invatare. Entitatile definite in cadrul modelului analizează pe baza unor reguli prestabilite mediul în care actioneaza și iau unele decizii de actiune viitoare, fiind instruiti sa simuleze trasaturile entitatilor pe care ii reprezinta din diferite domenii. Un sistem este modelat astfel din punctul de vedere al elementelor constitutive, sub forma unei colectii de entitati caracterizate de dinamica unităților reale reprezentate, cât și de interdependențele dintre acestea.

In acest context, analiza sistemelor cibernetice economice reprezinta studiul diverselor tipuri de economii (de ex. economia de piata, planificata, mixta) și a mecanismelor de reglare și de autorealizare a starilor pe care acestea le formează în economia reală. Astfel fiecare actor al modelului analizeaza constant, prin interactiuni repetitive cat si competitive, starea in care se afla si obiectivele prestabilite, executand un comportament adaptat si imbunatatit pe baza fiecarei informatii pe care o proceseaza. Aceasta abilitate de a evolua determina comportamentul complex, agentii putand oferi informatii semnificative asupra dinamicii sistemului pe care il simuleaza. In plus, pot fi identificate si trenduri evolutive neprevazute, fiind extrem de utile in procesele de luare a deciziilor.

Aplicațiile agenților și modelelor bazate pe acestia sunt extraordinar de diversificate în privința domeniilor stiintifice (in special economic, financiar, tehnologia informatiei ș.a.). Mai mult, in domeniul economic s-a dezvoltat o noua ramura ce se ocupã exclusiv de studiul aplicãrii agenților în rezolvarea diferitelor tipuri de probleme economice, domeniu denumit „economia computationala bazatã pe agenți”. Scopul acesteia derivã din domeniul inteligentei artificiale, urmarind sa creeze instrumente de analiza decizionala a sistemelor economice complexe. Conform definitiei dictionarului economic Palgrave Macmillan actorii din cadrul modelului interactioneaza in spatiu si timp, sub forma unor obiecte computationale care actioneaza pe baza unor norme definite sa redea cat mai bine elementele din realitate. Cele patru caracteristici principale mentionate in dictionar, cea de învățare, de creare a unor retele de interactiune, de determinare a externalitatilor (prin costurile/ beneficiile care rezulta din actiunea agentilor) și eterogenitatea modelelor (prin faptul ca o stare a unui agent la un moment dat poate fi determinata de diferiti factori), ajuta la redarea cat mai fidela a situatiilor ce fac obiectul analizei. Agentii din cadrul unui model nu prezinta la început cunoștințele despre mediul înconjurãtor in care vor actiona, dar au abilitatea de a fi instruiti și apoi sa observe legaturile si interactiunile care se dezvoltã, sa isi coordoneze sa isi organizeze obiectivele oferind raspunsuri cat mai bune.

Modelarea bazata pe agenti evidentiaza in rezultatele furnizate fenomenele emergente, ce sunt generate de interactiunea dintre actorii individuali. Acestea depind in mod special de caracteristicile legaturilor dintre agenti, si nu de caracteristicile pe care acestia le prezinta in mod unic. In contextul in care aceste evenimente pot induce in eroare o analiza, modelarea bazata pe agenti devine abordarea cea mai buna deoarece, asa cum am mentionat anterior, sunt proiectate si simulate comportamentele entitatilor sistemului cat si a legaturilor pe care acestia le creaza in cadrul ineractiunilor efectuate, evidentiind astfel fenomenele ce pot fi considerate exceptii sau care nu pot fi observate cu usurinta.

Mediul cibernetic este caracterizat in principal de adaptabilitate si complexitate, astfel incat in orice moment pot fi constituite modele de simulare dintr-un mare numãr foarte mare de agenți prezentand o flexibilitate semnificativa in comportament si avand capacitatea unor interacțiuni multiple simultane. Aceste interacțiuni dau naștere in egala masura in spatiul cibernetic anumitor procese iar rezultatul obtinut este reprezentat de un sistem dinamic complex format din lanțuri cauzale recurente, ce conecteaza seturi comportamentale individuale in rețele de interacțiuni complexe și obtinand in acelasi timp rezultate socio-economice importante in procesele de luare a deciziilor.

Modelarea bazata pe agenti este extrem de utila in simularea sistemelor si fenomenelor ce sunt alcatuite din mai multi actori care se desfasoara fiecare intr-un ansamblu de imprejurari sau situatii. Flexibilitatea modelarii este de asemenea o caracteristica importanta a procedurilor de analiza, avand in vedere usurinta prin care se poate creste sau reduce numarul de agenti, se pot adauga sau elimina reguli de interactiune sau caracteristici comportamentale, se poate modifica orice functie, spre exemplu abilitatea de instruire si/sau evolutie.

Pentru exemplificarea unui sistem multiagent in spatiul cibernetic trebuie luate in calcul foarte multe tipuri de atacuri cibernetice ce sunt efectuate printr-o serie extinsa de tehnologii, dar in general prezintă un specific de atac care poate fi modelat. În ciuda faptului ca folosesc metodologii de actiune dintre cele mai avansate, fazele de atac cibernetic, în general, urmează același tipar ca un act ilegal tradițional. Acestea sunt după cum urmează:

Prima fază a unui atac este cea de identificare si de recunoaștere a victimei destinate. Prin observarea operațiunilor normale ale unei ținte, pot fi constatate și acumulate informații utile, cum ar fi elementele de hardware și software utilizate, activitățile de comunicații periodice, chiar și de comportament al utilizatorilor.

A doua fază a unui atac este cea de penetrare a sistemului de securitate. Până când un atacator nu este în interiorul unui sistem, există puține acțiuni care pot fi întreprinse unei ținte, cu excepția de a întrerupe disponibilitatea accesului la un anumit serviciu oferit de către entitatea vizată.

A treia fază este reprezentată de identificarea și extinderea abilităților interne prin vizualizarea resurselor informaționale disponibile și prin obținerea a cât mai multor drepturi de acces la zone mai restrânse, securizate, care prezintă o mai mare valoare pentru un sistem dat.

Etapa a patra este efectuată în cazul în care intrusul acționează efectiv, și anume fură/ alterează datele unui sistem sau îngreunează/ oprește accesul la date selectate și/ sau informații.

Ultima etapă poate include îndepărtarea oricărei dovezi de penetrare a sistemului, de furt, prin mascarea traseului prin care s-a comis atacul cibernetic, prin modificarea sau ștergerea fișierelor de jurnalizare a acțiunilor.

În cele din urmă, un atacator va urmări să duca la bun sfârșit fiecare din cele cinci etape prezentate grafic in figura de mai jos. Cu toate acestea, acest lucru este în întregime dependent de tipul si de metodele de atac utilizate, de rezultatul final dorit, și de abilitățile de apărare individuală și/ sau monitorizare implementate de către organizația vizată.

Figura 4. Secvența unui atac cibernetic

Criminalitatea cibernetică nu este o simpla problemă care poate fi rezolvată printr-o soluție clasică, deja existentă. Există o complexitate inerentă a ecosistemului infracționalității cibernetice, deoarece există numeroși actori (agenti) care interacționează în mod constant bazat pe cunoastere (algoritmii predefiniti de invatare) și doar in scopul atingerii intereselor. Din aceasta cauză, amenințarea cibernetică se prezintă ca o situație problematică; nu există o abordare uniformă, putand in acelasi timp sa fie perceputa din diferite puncte de vedere, aflate chiar în conflict (de ex. limitari impuse prin securitatea informatiei versus libertate a circulației informației) și acțiuni din partea agenților din cadrul sistemului cibernetic.

Fiecare agent prezinta o viziune asupra spatiului in care actioneaza care se poate modifica sau rămâne constant bazat pe experiență și va acționa în consecință, în scopul de a-și satisface interesele. În scopul efectuării unei analize pe baza unui concept in continuă schimbare, este importantă modelarea amenințării cibernetice prin cât mai mulți factori de influență. Asa cum a fost mentionat anterior, orice interactiune modelata nu este destinata să fie definitiva, fiind chiar necesar să fie implementata astfel încât să suporte modificări în vederea flexibilității, a prezentării cât mai corecte a unei situații la un moment dat datorita caracteristiicii dinamice a morfologiei mediului cibernetic. Cu toate acestea, va evidenția relațiile și va putea oferi răspunsuri la întrebări complexe, care sunt utile în planificarea și managementul riscului împotriva atacurilor cibernetice. Doar in acest context va putea fi conturata o plaja cat mai cuprinzatoare a scenariilor, incluzând si evenimente foarte rare, chiar si pe improbabile, din sfera cirminalitatii cibernetice.

Indicatorii care ar semnala probabilitatea realizarii unui scenariu identificat trebuie să fie in mod constant evaluati în scopul de a aloca resurse pentru a adresa evenimentul problematic in cazul in care este estimat ca va avea loc. Prin “recunoașterea” indicatorilor înțelegem definirea unor metrici care sa răspundă în mod eficient la un set de întrebări cheie, cum ar fi cele propuse mai jos:

Cum putem urmări ce informații digitale se transfera spre și dintr-o organizație și unde ajunge această informație?

Cum putem ști cine se autentifică în realitate într-o rețea, și de unde?

Cum putem controla ce software rulează pe dispozitivele de infrastructură?

Cum putem limita informațiile pe care le punem în mod voluntar la dispoziția unui adversar cibernetic?

Prin furnizarea unor răspunsuri la aceste întrebări se poate identifica riscul care permite o planificare corespunzătoare a resurselor disponibile crescând rata de succes în cazul identificării unei excepții de încălcare a securității.

Un astfel de model multiagent poate fi implementat utilizând programe software specializate, pentru a putea reproduce un comportament conștient, bazat pe înțelegerea mediului atacurilor cibernetice și al securității informatice. Acestea sunt adaptate pentru modelarea sistemelor complexe, care prezintă caracteristica de schimbare de-a lungul timpului. Acest lucru face posibilă explorarea legăturilor dintre comportamentul la nivel micro al entităților cât și la nivel macro, care decurg din diferitele tipuri de interacțiuni. Elementul pozitiv al modelarii ecosistemului amenințărilor cibernetice o reprezintă faptul că permite implementarea unui număr nelimitat de parametri care pot fi adăugați și explorați în orice moment. Pe baza studiilor de aprofundare a conceptului și a atacurilor cibernetice reale (incluziv a noilor forme de manifestare a amenințărilor informatice), noile informații obținute vor putea fi utilizate ca date de intrare pentru model, generând astfel noi scenarii și rezultate.

Un model multiagent ca cel descris mai sus trebuie sa ia in considerare de asemenea elementele de protectie ale unei resurse critice, prin abordările clasice de securitate informatică. Astfel, agenții din cadrul mediului cibernetic simulat terbuie sa faca parte (cel putin) din următoarele categorii de bază:

agenți care sunt afectați de atacurile cibernetice, reprezentând organizațiile, guvernele sau entități de sine stătătoare;

agenți din cadrul metodelor de securitate, reprezentând specialiștii IT, administratorii de rețea, analiștii de sisteme, etc.;

agenți care efectuează atacul în sine, reprezentând infractorii cibernetici;

agenți de detectare, reprezentând entitățile responsabile de identificarea si combaterea criminalității cibernetice (prin abordarea proactivă, data de controalele si masurile de reducere a riscurilor de exploatare a breselor de securitate).

Cu toate acestea, scopul modelului nu este de a genera o simulare exactă a unui atac cibernetic specific, ci de a dezvolta un model abstract și mai general, în vederea permiterii flexibilității explorării compromisurilor implicate în combaterea amenințărilor informatice. Concluziile generate de aceste tipuri de experimente prin simulari si modelare multiagent vor fi relații utile, care vor necesita însă o examinare suplimentară, caracteristică fiecărei entități care va utiliza aceste instrumente în scopul de a dezvolta o mai bună înțelegere a amenințărilor specifice.

Cu toate acestea, raspunsul la o alta întrebare importantă este cercetat în această lucrare, si anume: este procesul de livrare a masurilor de securitate cibernetică proporțional cu prosperitatea economică? Asa cum a fost demonstrat intr-o lucrare de cercetare, dezvoltarea economica atrage un numar mai mare al criminalitatii cibrnetice. Țările aflate in avantaj tehnologic și economic sunt mai bine pregatite pentru a oferi contramăsuri activitatii criminalității informatice. Cu toate acestea, acest lucru nu se întâmplă in mod consecvent. Dezvoltarea tehnologică nu poate traduce in mod direct într-o livrare mult mai eficienta a securitatii cibernetice. Astfel, chiar si alocarea deficitară a resurselor disponibile suplimentar (inclusiv a unor bugete semnificative) poate echivala cu resurse insuficiente.

În încercarea de a oferi contramăsuri pentru criminalitatea informatica, multe dintre țările dezvoltate au încercat o gama larga de aobrdari îmbunătățite, de la un sistem public centralizat de monitorizare si interventie a atacurilor cibernetice la sisteme complet private.

Conceptul de eficiență economică în contextul mediului cibernetic devine astfel unul foarte discutabil. Pentru a demonstra eficienta din punct de vedere economic nu reprezinta in mod direct și eficiență în distribuirea resurselor si a actiunilor ce asigura securitatea informationala. Se poate argumenta faptul că, asemeni pe o piață concurențială unde eficiența economică poate duce la o distribuție a bogăției intre oameni care apartin claselor superioare si cei care fac parte din clasele sărace. Astfel de diferente pot exista si în distribuția masurilor de securitate cibernetica ca si rezultat similar al unui sistem eficient de vedere economic. Motivele pentru care un spatiu devine propice pentru criminalitatea informatică sunt urmatoarele:

existența costurilor tranzactionale și a informației asimetrice și

existența unor externalități si a unor stimulente mai puternice din punct de vedere al proceselor operationale ale unei organizatii.

Scopul acestei analize nu este numai de a înțelege geneza domeniul criminalității informatice în țările avansate din punct de vedere economic, dar si pentru a găsi soluții de imbunatatire prin creșterea eficienței în alocarea resurselor existente, mai degrabă decât prin investiții suplimentare de capital.

Intr-un studiu independent de specialitate, se estimeaza faptul ca la mijlocul anului 2014 criminalitatea informatică a costat economia globală pe o perioada de un an aproximativ 445 de miliarde de dolari, atacurile fiind inregistrate mai ales in sfera furtului de proprietate intelectuală, acestea inregistrand o valuare de peste 160 de miliarde dolari atat pentru persoane fizice cat si pentru organizatii. Raportul din cadrul Centrului pentru studii strategice și internaționale (CSIS), declara si faptul ca se inregistreaza o crestere semnificativa a criminalității cibernetice, afectand in acelasi timp comerțul in mediile virtuale, competitivitatea și inovarea actorilor din acest spatiu. O estimare ar fi de 375 de miliarde de dolari in pierderi, în timp ce valoarea maxima a daunelor globale ar putea usor sa treaca de 575 de miliarde de dolari. Astfel, criminalitatea informatică este vazuta ca un „impozit” pe inovație, încetinind in acelasi timp ritmul de evolutie al spatiului cibernetic la nivel mondial prin crearea de riscuri si reducerea ratei de rentabilitate a participarii in activitati economice virtuale de orice tip.

Insa chiar si in aceste tipuri de studii este subliniata lipsa de informații precise si indisponibilitatea unei metodologii de lucru care sa furnizeze o transparenta in datele publicate. Prin exemplul prezentat mai sus se poate determina usor asimetria informatiei, acesteia adaugandu-i-se si impactul negativ asupra reputației unei organizații pe care aceasta l-ar suporta in cazul in care ar face publice datele privind incidentele de securitate cu care se confrunta. In acest context (al unei zone incerte privind cuantificarea atacurilor cibernetice), se înțelegere usor faptul ca nici un beneficiar nu este dispus să plătească suplimentar peste o suma minima ce ar asigura principiile de protejare a datelor si resurselor, pentru combaterea unor amenintari care nu se pot măsura, ajungandu-se astfel la un mediu virtual de interactiune cu o calitate scazuta de securitate a componentelor.

De exemplu o aplicatie software poate fi prezentata de către furnizor ca fiind sigura, insa din cauza faptului că beneficiarii refuză să plătească un cost suplimentar pentru protecția lor fata de alte sisteme aflate pe piata la din cauza lipsei de incredere in informațiile furnizate, vânzătorii vor minimiza investitiile în măsurile de securitate. Un efect similar il are de asemenea refuzul organzatiilor de a divulga date privind pierderile cauzate de incidente de securitate. Acestora se adauga cazurile cu buna stiinta in care riscurile sunt acceptate de organizatii, de exemplu in cadrul industriei bancare, unde institutiile incurajeaza persoanele sau companiile sa utilizeze sistemele de tip banca online (engl. internet banking) in contextul in care acestea obtin castiguri semnificative prin economiile facuta la nivel de operatiuni ce ar putea fi efectuate in sucursale, chiar daca interfata de acces a aplicatiei informatice nu este verificata si securizata la un nivel optim, fiind inregistrate incercari de exploatare periodice a vulnerabilitatilor de sistem.

Lipsa de date exacte privind costurile criminalitatii cibernetice ingreuneaza procesul de gestionare a riscurilor specifice prin imbunatatirea masurilor de monitorizare si a controalelor de securitate informationala. Astfel, conform teoriei jocurilor, unul dintre obiectivele organizatiilor il reprezinta reducerea asimetriei informationale in cadrul modelului principal-agent, asa cum reiese din imaginea de mai jos:

Figura 5. Curba increderii prin scaderea nivelului de asimetrie informationala

De asemenea, a fost tratata in literatura de specialitate a teoriei jocurilor problema stimulentelor în contracte complexe, in conditii de asimetrie informationala. În aceste situații, un individ/o organizatie (principalul) incheie contracte cu o altă entitate (agentul) pentru a efectua o actiune al cărei rezultat va afecta castigul principalului. Acest eveniment are loc atunci când principalul nu dispune de informații complete cu privire la eforturile depuse sau a procesului de alegere cunoscute doar de catre agent. În contextul criminalității informatice, organizația/individul reprezinta principalul care plateste o sumă de bani catre agent, reprezentat de furnizorul măsurilor de securitate care la randul sau trebuie să-și asume sarcina de a oferi măsuri de combatere a criminalității informatice. In acest context o entitate trebuie să examineze stimulentele ce au impact într-un model în care există o relație de tip principal-agent, asa cum este descrisa in paragraful anterior. Rezultatul final afectează castigurile utilizatorilor spațiului cibernetic. Trebuie determinat astfel cum se pot structura la toate nivelurile impactate elementele stimulative cat si modalitatea in care sa se minimizeze diferentele intre informatiile detinute de participanti (atat principali cat si agenti), astfel încât criminalitatea in mediul informational sa fie cat mai redusa iar bunastarea si eficienta beneficiarior sa maximizată.

Ca o masura preliminara a problemei expuse anterior, actiunile de securitate pe termen scurt ar trebui să fie recompensate prin alocarea mai usoara a resurselor de finanțare (datorită faptului că mediul cibernetic este în continuă schimbare), în timp ce măsurile de masurile pe termen lung ar trebui sa primeasca resurse mai scăzute de finanțare. În timp ce aceasta recomandare poate fi in contradictie cu practicile actuale, stimulentele pe care le oferă pot duce la optimizarea eficienței în furnizarea securitatii cibernetice.

CAPITOLUL 2: Analiza unui atac cibernetic in contextul securitatii cibernetice

Securitatea informatiei in contextul datelor detinute in prezent de o organizatie poate reprezenta cu usurinta tinta unor atacuri malitioase in scopul obtinerii unor beneficii necorespunzatoare. Necesitatea protejarii datelor, de orice tip, prezinta o importanta critica in contextul in care tot mai multe sisteme informatice sunt integrate in activitatile zilnice si mai ales sunt centralizate in scopul unei mai bune gestiuni, primind astfel acces la cat mai multe date.

In acest context alocarea resurselor corespunzatoare in scopul protejarii datelor este esentiala, iar evaluarea distribuirii optime a acestora trebuie sa contina in mod obligatoriu si o componenta financiar-economica. Aceasta observatie trebuie aplicata atat organizatiilor din sectorul privat cat si institutiilor din sectorul public, fiind necesar calculul costurilor implicate in structura actuala a unei organizatii, in acelasi timp fiind necesara si o analiza a costurilor viitoare ce trebuie previzionate in functie de modul in care evolueaza domeniul securitatii cibernetice. De asemenea, in acest model de cost propus, trebuie incluse si alte elemente caracteristice atatcurilor cibernetice, si anume frecventa cu care acestea au loc, nivelul vulnerabilitatilor de sistem cunoscute, cu potential de a fi exploatate, etc. Asa cum a fost prezentat in capitolul anterior, toate aceste elemente trebuie cuantificate cat mai exact si introduse intr-o formula decizionala cat mai buna in determinarea atat a efortului ce trebuie depus in definirea si implementarea unor controale corespunzatoare asigurarii securitatii informatiei dar si in determinarea elementelor optime economice (de ex. bugetul alocat) ce ar trebui sa fie luate in considerare, pe langa aspectele tehnologice caracteristice domeniului. Abilitatea de a-si reveni intr-un timp cat mai scurt este esentiala in cadrul unei companii, devenind foarte importat pentru o organizatie sa adreseze abilitatile de a restaura buna functionalitate a operatiunilor dar si abilitatea de prevenire a potentialelor atacuri.

Evaluarea costurilor dar si a probabilitatii unui atac cibernetic necesita o metodologie corespunzatoare de analiza, insa cumulul trasaturilor mai jos enumerate afecteaza crearea unor standarde in aceasta direcție:

Reticenta organizatiilor de a face publice informatiile legate de evenimentele de securitate a informatiei, fie si intr-un mediu colaborativ specific,

Caracterul speculativ al estimarilor costurilor majore ale atacurilor cibernetice,

Atata timp cat un atac cibernetic este limitat in scop si de scurta durata, efectele acestuia pot fi usor considerate ca avand un impact mediu asupra organizatiei tinta.

Pana in prezent, atacurile cibernetice inregistrate de catre organizatii nu s-au desfasurat la un nivel foarte mare incat sa aiba un impact semnificativ la nivel macroeconomic, prezentand doar materializarea riscurilor reputationale. Insa chiar si in acest context, anumite organizatii sau chiar institutii de stat au pierdut date importante, carora le-au fost atribuite costuri semnificative, atat la nivel financiar cat si reputational. Astfel, este foarte importanta evaluarea corecta a acestor atacuri prin prisma impactuli economic, a disponibilitatii datelor ce au caracterizat incercarile (fie cu succes sau nu) de exploatare a breselor e securitate. Detaliile prezentate in general publicului larg de catre o entitate afectata, pot fi de cele mai multe ori foarte usor incadrate in intervale neclare, fiind in astfel limitative in utilitatea lor.

Concepte de securitate informationala in contextul atacurilor cibernetice

Pentru a intelege cat mai clar impactul economic al crimitalitatii cibernetic, trebuie intai inteles cadrul actual al masurilor si controalelor de preventie si detectie. Securitatea datelor, reprezentând protejarea sistemelor informatice prin asigurarea integrității, confidențialității și disponibilității informațiilor pe care le conțin, este recunoscută ca fiind un domeniu de cercetare separat. În plus, în contextul în care atacurile cibernetice, considerate încălcări ale securității informațiilor, sunt într-o continuă creștere în frecvență, puține organizații ignora aceste principii. In prezent, organizațiile se confruntă cu obstacole majore în asigurarea securității informațiilor din mai multe puncte de vedere:

Lipsa bugetelor corespunzătoare (atat ca disponibilitate dar si ca previzionare);

Creșterea îngrijorătoare a amenințărilor cibernetice complexe;

Tehnologiile emergente (ex. cloud computing).

Conceptul de securitate informatică a apărut simultan cu posibilitățile moderne de transfer și prelucrare ale informației. Intr-o prima etapa, companiile au realizat că acest bun virtual, informația, de multe ori valorează mai mult decât bunurile materiale, de aceea furtul, distrugerea, alterarea sau împiedicarea accesului la aceasta informație ar putea aduce prejudicii enorme. Din păcate mediul informatic este unul în care atacurile atat asupra instituțiilor de stat, asupra mediului privat și orice sursă de informații considerate critice sunt extrem de frecvente. Legislația în vigoare asigura o protecție iluzorie, de multe ori atacatorii nu sunt prinși niciodată, iar prejudiciul provocat nu poate fi acoperit.

Importanta securității în rețelele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date și a transmiterii acestora prin intermediul Internetului ca mediu virtual. În cazul operării asupra unor informații confidențiale, este important ca avantajele de partajare și comunicare aduse de rețelele de calculatoare să fie susținute de facilități de securitate substanțiale. Acest aspect este esențial în condițiile în care rețelele de calculatoare au ajuns sa fie folosite inclusiv pentru realizarea de operațiuni bancare, cumpărături sau plata unor taxe. Mai mult, informațiile unui stat, atât din punct de vedere economic cât și afectând toate caracteristicile acestuia, sunt stocate în medii virtuale și în lipsa unor metode de securitate foarte bine puse la punct, pot fi ușor atacate, punând în pericol întregul stat.

Conceptul de securitate informationala poate fi structurat pe trei niveluri, si anume:

Securitate fizicã: reprezentand nivelul „exterior” al securitãtii si constã în prevenirea, detectarea și limitarea accesului direct asupra bunurilor, valorilor și informațiilor; de exemplu, într-un sistem distribuit, prima mãsurã de securitate care trebuie avutã în vedere este cea de securitate fizicã, prin prevenirea accesului fizic la echipamente,

Securitate logicã: reprezentand totalitatea metodelor ce asigurã controlul accesului la resursele retelelor si ale sistemelor de aplicatii. Poate fi reprezentat de masurile si controalele definite pentru a impiedica accesul neautorizat (definirea conturilor individuale, politici de parole, etc.).

Celor doua niveluri de securitate, anterior definite, li se adauga cadrul procedural atat intern cat si extern (reglementari) al unei organizatii. Politicile si procedurile de securitate a informatiei reprezinta fundatia protejarii resurselor disponibile. Prin urmare, se poate constata faptul cã, între nivelurile de securitate fizicã si logicã existã o interconectivitate semnificativa, ele influențându-se reciproc. În orice caz, cele precizate mai sus, susțin faptul cã soluția cea mai eficientã pentru asigurarea securitãtii la un moment dat, este analiza globalã a gradului de securitate oferit de fiecare nivel în parte si compensarea acelui nivel prin proceduri de remediere.

Insa o problemă semnificativă, ce caracterizează atât sectorul privat cât și sectorul public, o reprezintă setul de răspunsuri la următoarele întrebări:

Alocă într-adevăr o organizație suficiente resurse pentru asigurarea unui nivel corespunzător al securității informatice;

Care sunt nivelurile costurilor implicate, atât istorice cat și potențiale, atunci când este exploatata o breșă de securitate;

Cât de des pot fi de așteptate încercări ale criminalității informatice sau chiar atacuri cibernetice;

Pot fi cuantificați cu precizie factorii caracteristici ai securității informatice, astfel încât entitățile organizaționale să determine cantitatea optimă a cheltuielilor implicate de elementele specifice si mai mult, sa determine măsurarea eficacității controalelor pe care le are implementate la un moment dat?

O mare parte din răspunsurile la aceste întrebări trebuie să vină in urma efectuării unei analize economice. Conform unui raport de specialitate, nimeni în domeniul securității informaționale nu este mulțumit de abilitatea curentă a organizațiilor/entităților publice de evaluare a costurilor și a probabilității asociate evenimentelor de tipul atacurilor cibernetice. Nu există încă implementate mecanisme standardizate in vederea măsurării costurilor specifice, precum a riscurilor asociate și nici un studiu corespunzător al frecvenței atacurilor, aceste aspecte fiind îngreunate de abordarea organizațiilor de a nu face publice experiențele lor cu privire la evenimentele de exploatare a breșelor de securitate informationala. Cooperarea intre organizații si instituțiile publice din domeniu trebuie îmbunătățita.

Există o discrepanță clară între ceea ce organizațiile raportează intern, către comitetele strategice de luare a deciziilor și ceea ce ei declara către instituțiile specializate (de ex. centrele naționale de răspuns la incidente de securitate cibernetică). Însă, ca și măsuri de îmbunătățire, conform unei legi propuse la nivel european (pe data de 7 februarie 2013) exista posibilitatea ca in viitorul apropiat toate statele membre ale UE să numească o autoritate națională responsabilă de securitatea informațiilor și de înființarea unei echipe de răspuns centralizate care să se ocupe de incidente de securitate de urgență. Astfel, peste 40.000 de firme atât din domeniile de sănătate, financiar, public, etc. din cadrul Uniunii Europene ar trebui să informeze autoritățile de reglementare evenimentele de exploatare a breșelor de securitate, printr-un sistem de monitorizare si raportare a atacurilor majore on-line către autoritățile naționale.

Însă și în acest context, unele organizații prezintă aceste reglementari ca fiind prea vagi putând astfel însemna costuri suplimentare si prezintă o reticenta asupra obligativității divulgării atacurilor resurselor si rețelelor proprietare către autoritățile de reglementare. Pentru a decide dacă să facă public sau nu un atac cibernetic, nivelul de informații si sanitizarea acestora, autoritatea națională ar trebui să ia în considerare interesul public de a cunoaște incidentul împotriva eventualelor daune reputaționale.

Evaluarea modelului clasic al securitatii informationale

Conform unui studiu de specialitate, foarte puține organizații de nivel mediu si mediu spre mare sunt în întregime de sine-stătătoare. Cele mai multe se bazează foarte mult pe parteneri în asigurarea lanțului serviciilor, și pe alte terțe părți, pentru îndeplinirea activităților cheie de afaceri. Asigurarea securității în acest lanț distribuit de valoare este mult mai dificilă decât asigurarea securității în cadrul unei entități mici, de sine stătătoare.

Astăzi, activitățile de infracțiune cibernetică au loc cât mai bine ascunse, și fără granițe, pe fiecare continent, mai ales prin încercarea de a se încorpora în cadrul organizațiilor și instituțiilor guvernamentale prin utilizarea unor tehnici de exploatare pe termen extins. Practicile de securitate clasice nu mai sunt suficiente pentru a proteja obiectivele semnificative, cum ar fi organizațiile de cercetare și dezvoltare, strategii de afaceri, proprietate intelectuală, date bancare, precum și alte informații operaționale critice din diferite industrii, care, în cazul unor compromiteri de sistem, ar putea afecta în mod semnificativ entitatea căreia aparțin. De asemenea sunt în mod direct afectate și relațiile cu consumatorii sau investitorii/ partenerii de afaceri, furnizorii de servicii.

Multe organizații își desfășoară procesele de securitate a informației și operațiunile specifice de monitorizare și analiză in mod segregat, ca urmare, informații aparținând diferitelor divizii de lucru, de obicei, nu se vor agrega niciodată, nu vor fi corelate, și analizate. Planificate cu pricepere, acțiunile neidentificate si susținute ale unui atacator cibernetic subminează constant organizația victimă prin utilizarea diverselor tehnici care maschează amenințările persistente si complexe. De fapt, atacurile cibernetice curente folosesc rareori tactici care afectează infrastructura de securitate a unei entități, astfel încât să ridice alarme, deoarece acestea beneficiază de acoperirea activității frauduloase. Obiectivul devine astfel implementarea accesului nedetectat, care să permită atacatorului diverse privilegii de furt, alterare a datelor, supraveghere neautorizată a diferitelor procese de lucru, precum și colectarea de date. Elementele detectabile din mediul informatic apar mult mai târziu, după ce informația a fost deja obtinuta.

În plus, datorită evoluției semnificative a rețelelor de socializare și metodelor de comunicare, atacatorii combină informațiile obținute din mediile de socializare, surse mass-media, cu tehnici de obținere frauduloase a datelor de identitate, de exemplu prin e-mail-uri false, obținând astfel acces la aproape orice angajat si orice informație (metode de inginerie sociala). Prin intermediul acestor procese, de exemplu, un atacator poate în esență sa realizeze o întreagă bază de date legate de profilele angajaților diferitelor organizații țintă. Profilul poate include elemente cum ar fi titlul locului de muncă, responsabilitățile asignate, sistemele informatice la care are acces, date de identificare, etc.

Ca si concluzie preliminară, ca o caracteristică prezentă a securității informatice, organizațiile nu sunt in totalitate conștiente în cele mai multe cazuri de desfășurarea unui atac cibernetic, datorită unei abordări de apărare reactive (figura 6).

Figura 6. Abordarea clasică a securității informației – caracteristica reactivă

Metodologia tradițională de securitate permite infractorilor oportunități multiple pentru a profita de vulnerabilitățile cunoscute și mai mult, de exploatare a celor încă nerealizate de către furnizorii de servicii de securitate. Cea din urmă evoluează în mod constant din cauza erorilor umane, configurațiilor necorespunzătoare la nivelul infrastructurii sistemelor informatice și a problemelor/ limitărilor de configurare ale aplicațiilor operaționale.

Propunerea unei abordari proactive, dinamice a securității cibernetice: infractorii cibernetici își alocă timp și utilizează resurse importante pentru a înțelege procesele de afaceri utilizate de către entitatea vizată. În general, criminalitatea cibernetică a cunoscut un transfer semnificativ de la atacul individual, cu o țintă unică, simplă (de tipul hacktivismului), la abordarea complexă, bazată pe colaborare, pe inovare și schimb de metode și informații. În ultimii 10 ani, se identifică o dezvoltare majora a un ecosistem de activitate malițioasă care susține acest val de criminalitate si o economie subterana strans legata de acest mediu, în care infractorii pot cumpăra în prezent nu doar informatiile obtinute in mod ilegal (de ex. carduri bancare, clienti, etc.) ci mai ales programe rău intenționate la preturi accesibile.

In acest context, este necesara o abordare proactiva de monitorizare a activitatii in spatiul cibernetic. Mai jos este modelul propunerii unei astfel de abilitati de conștientizare a elemenelor securității informatice:

Figura 7. Abilitatea de conștientizare a securității informatice în contextul criminalității cibernetice

Modalitatea de protejare a activelor informaționale de amenințările cibernetice începe cu înțelegerea ecosistemului corporativ, pe componenta comportamentală a angajaților, chiar și a atacatorilor în funcție de datele stocate, de informațiile procesate.

De aceea este necesara efectuearea unor evaluari periodice a riscurilor ce pot aparea in urma anlizei prin procesul de constientizare a amenintarilor cibernetice (conform modelului anterior), dar și de implementarea unei metodologii de înțelegere a criminalității cibernetice. De asemenea, este important să se determine ce informații, relații strategice, sau alte resurse ar fi găsite ca fiind valoroase în accepțiunea infractorilor cibernetici. In figura urmatoare este prezentata abordarea proactiva de analiza a elementelor caracteristice securitatii cibernetice, asa cum este propusa in cadrul lucrarii de cercetare curente:

Figura 8. Abordarea proactivă a securității cibernetice

Majoritatea organizațiilor nu privesc metodologiile de securitate dintr-un alt punct de vedere decât abordarea tradițională. Cu toate acestea, în contextul în care a fost menționat anterior faptul că o amenințare poate proveni din mai mulți vectori de atac. Standardele clasice, metodele de acțiune punctuală asupra problemei și soluția standard conform modelului reactiv (figura 6) nu mai este suficientă. Strategiile de securitate și resursele implicate în proces necesită revizuirea întregului sistem și a tuturor interdependențelor. Ca si entitate impactata, conform statisticilor furnizate de Eurostat, 5% din totalul populatiei a fost impactata de abuzul informatiilor personale si 2% a suferit pierderi financiare in urma unor atacuri de tipul fraudelor cu carduri bancare utilizate in mod neautorizat. De asemenea, se estimeaza si un procent de aproximativ 50% a persoanelor care au fost infectate cu cod malitios.

La nivel global in anul 2013 Romania era clasata pe locul 7 la nivel mondial ca si sursa de origine a unui procent de aproximativ 2.8 atacuri cibernetice (indiferent de natura acstora), trendul general al activitatii criminalitatii virtuale fiind inregistrat doar crescator cel putin in ultimii ani. Incepand cu anul 2013, si la nivelul Romaniei exista un document numit “ Strategia de securitate cibernetică a României” (aprobat in 2013), avand cel putin urmatoarele obiective: transformarea cadrului actual atat legislativ cat si cel referitor la institutii (atat de stat cat si private) pentru a corespunde in special caracterului dinamic al criminalitatii cibernetice, sustinerea unui mediu cooperativ, atat in plan intern cat si international, trasarea unor linii directoare minime de securitate aplicabile participantilor mediului virtual cat si sustinerea uor procese de constientizare a acestora cu privire la importanta adresarii breselor de securitate, a riscurilor emergente si importanta implementarii unor masuri de protectie a sistemelor informationale.

Ca și concluzie preliminară, ne confruntăm cu o amenințare care prezintă o constantă și impresionantă creștere, având un potențial serios de ofensivă. O evaluare consistentă a pregătirii unei organizații, unei țări cu privire la un potențial atac cibernetic depinde de mai mulți factori, cum ar fi punerea în aplicare a contramăsurilor tehnologice (de ex., sisteme automatizate de management al riscului specific,) și probleme mai complexe, inclusiv programe de informare guvernamentală dar și de conștientizare a populatiei. Pentru a combate amenințarea este esențială în primul rând o cooperare solidă între guvern și sectorul privat.

Evaluarea resurselor necesare unui atac cibernetic

O analiza de cost completa a criminalitatii cibernetice este relativ absentă din literatura de specialitate/academica din Romania. Cele mai multe studii existente până în acest moment tratează aspecte individuale, cu implicații restrânse, specifice unui anumit domeniu de activitate. Astfel efectele economice ale atacurilor cibernetice se evaluează în general din punct de vedere al organizației și cu impact direct asupra mediului financiar, a securitatii informaționale din punct de vedere tehnic, al imbunatatirii eficientei sistemelor tehnologice, etc. Însă nu se poate identifica în mod clar o lucrare de ansamblu, care să prezinte o sinergie a acestor domenii, să coaguleze toate aceste elemente și să ofere un cadru suport pentru procesul de gestiune al deciziilor, de evaluare din punct de vedere economic al riscurilor specifice, ajutand in acelasi timp si in procesul de prevenire, cercetare, si combatere a criminalitatii cibernetice.

In cadrul acestei secțiuni a lucrării va fi prezentat nivelul de cunoștințe legat de analiza costurilor asociate atacurilor cibernetice și impactul asupra aspectelor economice ale securității informaționale; conform cercetărilor din domeniu, fiecare atac cibernetic costă o organizație oriunde între câteva mii la mai multe milioane de euro ca si daune.

Limitarea de intrare în domeniul criminalității informatice este relativ scăzută, astfel încât orice atacator poate profita de oportunitatea de a beneficia chiar și de o parte extrem de mică din aproximativ 300 de miliarde de euro, valoare la care este apreciat în prezent comerțul criminalității informatice, potrivit unui studiu recent. Mai jos este prezentat un set de instrumente caracteristice criminalității informatice, împreună cu costurile asociate acestora:

Tabel 2. Costurile asociate resurselor necesare efectuării unui atac cibernetic. Sursa: Ibid.35

Constituirea setului de instrumente caracteristice criminalității cibernetice nu trebuie întotdeauna să includă achiziționarea unor soluții de tip cod malitios, așa cum este Zeus Builder.

Atacatorul cibernetic poate de asemenea descărca mici aplicații gratuite sau instrumente de tipul implementarii individuale (engl. „do-it-yourself”). Acestea reprezintă metode cu costuri extrem de reduse prin care atacatorii identifică site-uri web sau servere vulnerabile. Motoarele de căutare cunoscute sunt folosite de mult timp în identificarea informațiilor folositoare în exploatarea vulnerabilităților sistemelor expuse în Internet.

In ceea ce priveste simplificarea costurilor legate de un atac cibernetic pentru o mai buna analiza, ar trebui luate in considerare urmatoarele categorii:

Costurile implicate prin procesul de anticipare a evenimentelor specifice, reprezentate in general de sistemele informatice implementate in vederea protejarii informatiei (de ex. solutii de antivirus, de colectare si corelare a jurnalizarilor de securitate),

Costurile rezultate ca o consecinta a materializarii unui atac cibernetic, precum pierderi directe, cuprinzand si subcategoria de costuri indirecte generate de exemplu de o imagine/competitivitate scazuta ca urmare a compromiterii proprietatii intelectuale,

Costurile inregistrate ca si raspuns in urma unui atac cibernetic, reprezentand totalitatea cheltuielilor pentru remedierea exploatarii bresei de securitate, plati compensatorii catre entitatile afectate acolo unde este cazul, amenzi platite cate institutiile de reglementare,

Orice alte costuri implicate de deteriorarea reputatiei unei organizatii, scaderea numarului de tranzactii efectuate in mediul virtual efectuat de clienti, chiar si cele generate de cresterea economiei subterane prin valoarea informatiilor obtinute in mod fraudulos, etc.

In timp ce categoriile a), c) si d) sunt foarte greu de evaluat fiind intotdeauna caracterizate de lipsta datelor pe baza carora sa fie calculate cat mai aproape de realitate, categoria b), incluzand atat costuri directe cat si indirecte, poate furniza date mai exacte ce pot fi utilizate in procesele de analiza.

Mai jos este o reprezentare grafica a diagramei costurilor asociate criminalitatii cibernetice, clasificate in doua categorii

directe, asociate de cele mai multe ori cu apecte interne organizationale, si

indirecte, legate de aspectele externe:

Figura 9. Cadrul costurilor directe si indirecte asociate infractiunilor cibernetice

Veniturile rezultate din criminalitatea cibernetica reprezinta echivalentul in bani din castigurile brute ce rezulta din exploatarea unei brese de securitate. Trebuie luate in considerare de exemplu activitatile de escrocherie promovate prin transmiterea de e-mailuri de tip spam. Venitul atacatorului cibernetic in acest caz este dat de suma de bani pe care acesa o obtine prin exploatarea conturilor la care primeste acces in mod neautorizat prin obtinerea informatiilor personale ale victimei. Insa aceasta definitie nu include si scaderea cheltuielilor legitime efectuate de catre un infractor. De exemplu, un infractor cibernetic poate plati in mod legal pentru serviciile unui furnizor de Internet sau pentru serviciile de gazduire a unor resurse, reducandu-si astfel castigurile, dar contribuind in acelasi timp la economia in care este localizat.

In contextul prezentat mai sus, costurile directe reprezinta valoarea pierderii, deteriorarii sau oricarui alt tip de prejudiciu adus de un atac cibernetic. Urmatoarele exemple reprezinta pierderi directe ce ar trebui luate in considerare in cadrul fiecarei etape a unui incident de securitate, de la costurile blocarilor resurselor tehnice (oprirea unor servere sau retele de comunicatii incetinite) pana la sumele de bani sustrase din conturi bancare prin impersonare, costurile asociate cu timpul si efortul depus de partile impactate pentru remedierea incidentului, dar si costuri secundare generate de indisponibilitatea serviciilor blocate pentru beneficiari.

Costurile indirecte reprezinta echivalentul monetar al costurilor de oportunitate impuse de catre ceilalti participanti, putand sa se materializeze prin simpla raportare a unui eveniment de exploatare a unei brese de securitate, chiar daca a avut loc sau nu si independent de complexitatea atacului. Acestea pot fi reprezentate de exemplu de pierderea in serviciile de efectuare a platilor pe internet ale unui furnizor, rezultand in scaderea veniturilor din tranzactiile on-line si cresterea costurilor de mentinere a unor servicii mai putin utilizate, limitarea unei companii de a mai comunica prin intermediul serviciilor de e-mail cu clientii, pierzand astfel oportunitatea prestarea serviciilor, etc.

Costurile de prevenire a criminalitatii cibernetice includ atat costuri directe de protejare a resurselor informationale disponibile (de ex. costul de implementare a politicilor de securitate si conformitate a sistemelor informatice, de mentinere a acestora si de dezvoltare) cat si costuri indirecte, inregistrate prin cheltuieli de inconvenienta si/sau de oportunitate generate de masurile specifice. Acestea sunt reprezentate de sistemele de securitate dedicate, de serviciile specifice furnizate (de ex. instruirea personalul legat de bunele practici de securitate informationala, externalizarea unor servicii de monitorizare a retelei, etc.) inclusiv de pierderea unei oportunitati de afaceri prin blocarea in mod fals a unui mesaj electronic inregistrat ca fiind un risc.

Veniturile din atacurile cibernetice sunt in general mai mici decat costurile directe si mult mai scazute decat suma totala a acestora cu cele indirecte. De asemenea, exista o mare posibilitate in cadrul companiilor mari de a cheltui prea mult pe masurile de securitate, in combinatie cu o alocare deficitara a resurselor si a infrastructurii suport. Alocarea greșită a resurselor specifice securitatii cibernetice care duc la exploatarea breselor de securitate este generata in cea mai mare parte de factori economici și politici (atat interni cat si externi unei organizatii), intr-o masura semnificativ mai mare decât factorii comportamentali ai responsabililor de sisteme. Acest lucru se datoreaza globalizarii si a reglementarilor diferite utilizate mai ales in solutionarea unor atacuri cibernetice internationale.

De asemenea, pierderile inregistrate de o organizatie ar puatea fi clasificate si din perspectiva timpului consumat in vederea adresarii si remedierii incidentelor de securitate informationala, rezultand astfel urmatorele trei categorii:

Efectul economic imediat care include afectarea sistemelor informatice, necesitând astfel intervenție umană pentru repararea sau înlocuirea acestora; întreruperi semnificative la nivelul mediului operațional și întârzieri în efectuarea tranzacțiilor și a altor activități financiare.

Efectul economic pe termen scurt spre mediu, ce poate include timpul necesar de a inspecta sistemele deteriorate post atac pentru imbunatatirea masurilor de securitate existente, atât la nivel logic cât și fizic, de restaurare a datelor și a resurselor informatice, dar si ingreunarea temporara a legaturilor cu alte organizații la nivelul lanțului de furnizare a serviciilor (scăderea vânzărilor), impactul negativ asupra reputației organizaționale și blocări în dezvoltarea noilor servicii de afaceri.

Impactul economic pe termen lung, care poate include timpul de identificare a tuturor datelor care au fost obținute în mod fraudulos si mai ales valoarea acestora, costurile totale ale orelor pierdute din cauza indisponibilității sistemelor, a serviciilor, cât și analiza declinului valorii de piată a unei organizații, deteriorarea încrederii investitorilor/clientilor pe termen nedeterminat, etc.

Alocarea greșită a resurselor specifice securitatii cibernetice care duc la exploatarea breselor de securitate este generata in cea mai mare parte de factori economici și politici (atat interni cat si externi unei organizatii), intr-o masura semnificativ mai mare decât factorii comportamentali ai responsabililor de sisteme. Acest lucru se datoreaza globalizarii si a reglementarilor diferite utilizate mai ales in solutionarea unor atacuri cibernetice internationale.

Informatiile statistice colectate in acest capitol prezinta o imagine „statica” asupra elementelor economice implicate de criminalitatea cibernetica. De asemenea trebuie incluse in metodologia de evaluare si trasaturile dinamice, insa acestea nu pot fi evaluate corespunzator, fiind date de cele mai multe ori de dezvoltarea economiei subterane care sprijină activitățile ilegale (aceasta include vanzarea programelor malitioase, activitatea atacatorilor ce poate fi „inchiriata”, foști angajați nemulțumiți din diverse organizații ce vand diverse baze de date, etc).

CAPITOLUL 3: Utilizarea metodologiei specifice de risc in vederea combaterii criminalitatii cibernetice

În momentul regândirii abordării principiilor de securitate informatică, pentru o organizație este important să înțeleagă ciclul de viață al unei amenințări cibernetice (chiar si al tendintei comportamentale al atacatorilor la un moment dat), cat și modul în care sistemul de analiză și protecție implementate sunt proiectate si actualizate astfel incat sa participe cat mai eficient in procesul de atenuare a nivelului riscurilor aferente atacurilor cibernetice.

O analiza de risc efectuata corespunzator in contextul securității informatice si a prevenirii atacurilor informationale poate reduce semnificativ costurile specifice prezentate in sectiunea anterioara. Astfel, in acest capitol este propus un instrument de analiza de risc ce poate fi aduce un plus de valoare în procesele de decizie ale managementului.

Nivelul de maturitate al unei organizatii din punct de vedere al riscului

Asa cum a fost prezentat in capitolul anterior, nivelul de securitate si preocupările legate de metodele de protejare a datelor pot determina usor clienții unei organizații să renunțe la serviciile acesteia. Reacțiile negative în rândul investitorilor dar mai ales la nivel social pot conduce chiar la pierderi de valoare de piață. În plus, din cauza faptului că amenințările cibernetice sunt o sursă relativ nouă de riscuri și în continuă evoluție, multe organizații nu pot fi la fel de eficace in procesul de gestionare a riscurilor specifice generate de amenințările informatice, cum sunt în adresarea altor riscuri operaționale sau specifice mediului de afaceri (previzionarea evolutiei acestuia fiind mult mai stabila).

Cu excepția cazului în care o companie a atins un nivel de maturitate al activitatilor de lucru si al proceselor de gestionare a riscului specifice atacurilor cibernetice optimizate, aceasta trebuie sa isi imbunatateasca in mod constant setul de instrumente utilizate in aria securitatii informationale. Prin aplicarea unei perspective a maturității gestionarii riscurilor pentru modul în care aspectele amenințărilor informatice sunt abordate, se poate obține un instrument esential ce poate fi utilizat in mod eficient în analiza punctelor slabe de gestionare a a riscurilor cibernetice, precum și modul în care aceasta ar putea să se îmbunătățească.

In general, organizațiile se concentrează pe atacurile cibernetice de nivel mic si mediu din cauza faptului ca acestea sunt ușor de detectat prin sistemele clasice standard de monitorizare. O altă tendință a companiilor identificată în prezent prin studii de specialitate o reprezinta tendinta acestora de a subestima amenințările, acest lucru putand reflecta lipsa cunoștințelor în ceea ce privește tipul de infiltrare și al daunelor pe care le pot efectua în mediul informatic. De obicei, există o corelație inversă între conștientizarea situației și percepția de pregătire, iar infractorii cibernetici se bazează pe acest lucru in momentul în care încalcă securitatea sistemelor unei entități țintă. In acest caz, organizațiile care nu sunt pregătite adeseori nu reușesc să recunoască un atac informatic si sa il opreasca în timp util.

In acest context, o abordare bazată pe risc poate începe cu presupunerea că un utilizator neautorizat poate obține acces la sistemul informatic al oricarei entitati, din care să obțină apoi răspunsurile de proiectare a controalelor de securitate bazate pe valoarea datelor care ar putea fi astfel compromise. Această acțiune solicită însă clasificarea datelor pe diferite criterii definite intern, de către responsabilii de procese. Aceștia pot decide ce date trebuie protejate și în funcție de gradul de senzitivitate să se decidă concentrarea resurselor de securitate corespunzătoare.

În funcție de gradul de maturitate al unei companii, ar trebui implementată o abordare a adresare a riscului, la diferite niveluri de dezvoltare. Mai jos prezentăm o clasificare a acestor niveluri pentru a susține o organizație în evaluarea interna si pentru a determina mai precis masurile ce trebuie luate:

Astfel, nivelul inițial este caracterizat de următoarele aspecte:

Guvernanța riscului este în principal reactivă, existand un nivel scazut de comunicare, si doar în caz de incident;

Infrastructura de risc este definita prin:

Factorul uman, în care echipa executivă este conștientă de riscul amenințării cibernetice, însă are cunoștințe de bază legate de politicile de securitate dorite, de procesele necesare, instrumentele de securitate, si tehnologiile adecvate; rolurile și responsabilitățile de gestionare a riscurilor specifice amenințărilor informatice nu sunt clar definite, echipa de securitate a tehnologiei informationale nu prezinta cunoștințe de specialitate cu privire la astfel de riscuri specifice;

Procese definite ad-hoc, dezorganizate, și/sau fragmentate, marea majoritate fiind efectuate manual, fără controale suplimentare, bazate pe resurse informatice învechite (de ex. soluții operaționale in limbaje de programare depasite, sisteme de operare pentru care nu se mai ofera suport, etc.);

Tehnologie instalată/actualizată în funcție de necesitate, fără o periodicitate predefinită. Sunt implementate însă controale pe bază de semnătură, soluții de de securitate de baza (de ex. o apliatie de tip anti-virus, software de detectare a intruziunilor, etc.). Sunt activate funcționalitățile de înregistrare a jurnalizărilor de acces, insa nu sunt centralizate și nu există implementate sisteme specializate de analiză si corelare a acestora.

Responsabilitatea gestiunii riscului: există definite în cadrul organizației proceduri scrise, prezentări și/ sau activități de instruire a administratorilor de sisteme, însă fără o coordonare centralizată, la nivel de entitate și de disponibilitate a unor controale de asigurare a implementării politicilor de prevenire a atacurilor cibernetice.

Nivelul al doilea este caracterizat de îmbunătățirea (însă in continuare considerata fragmentată) a aspectelor prezentate mai sus (la nivelul anterior):

Guvernanța riscului este ocazională și/sau există o comunicare informală cu persoanele responsabile privind anumiți indicatori oarecum standardizați, dar se identifică o lipsă a legăturii cu obiectivele si valorile mediului de afaceri (mai specific, aria tehnologiei informationale);

Infrastructura de risc:

Factorul uman: echipa executivă recunoaște riscul caracteristic amenințărilor cibernetice ca o zonă generatoare de risc potențial semnificativ ce trebuie evaluată; roluri și responsabilități cu privire la gestionarea riscurilor specifice pot exista definite în cadrul departamentelor operaționale, dar nu sunt coordonate la nivel central. Echipa de securitate informationala prezinta unele cunoștințe de specialitate cu privire la riscul indus de amenințările cibernetice.

Procesele operationale sunt definite, însă fara o corelare complexa intrea acestea, fiind limitate la nivelul ariilor functionale. Proiectarea și metodologia de execuție poate varia de la unitate la unitate; există unele proceduri operaționale legate de securitatea cibernetică.

Din punct de vedere al tehnologiei, există un sistem de jurnalizare centralizat și sunt stabilite corelațiile de bază si alertele pentru a monitoriza amenințările cibernetice; cateva instrumente de diagnosticare sunt utilizate pentru a răspunde la incidente, însă doar după ce acestea au avut loc (nu exista masuri de prevenire, doar de detectare).

Responsabilitatea gestiunii riscului: există definite politici, linii directoare de instruire și modalități de comunicare a acestora în cea mai mare a organizației, dar nu sunt coordonate la nivel centralizat; trebuie să se identifice la acest nivel o responsabilizare de bază a proprietarilor de procese, care pot avea roluri specifice de monitorizare a activităților neautorizare la nivelul fluxurilor de lucru administrate.

Nivelul al treilea este caracterizat prin standardizarea și îmbunătățirea gradului de formalizare ale aspectelor de la nivelul anterior:

Guvernanța riscului este formalizată, dar inconsistentă în cadrul proceselor de comunicare cu persoanele responsabile; sunt definiți indicatori specifici de monitorizare a amenințărilor cibernetice, în cea mai mare parte standardizați și disponibili pentru a fi prezentati la cerere;

Infrastructura de risc:

Factorul uman: echipa executivă a stabilit la nivel de întreprindere rolurile și responsabilitățile pentru gestionarea riscului specific amenințărilor informatice; personalul-cheie este instruit cu privire la procedurile de răspuns la incidente; echipa de securitate informațională prezinta o intelegere cuprinzatoare a riscurilor specifice, ca pe o competență necesară;

Există procese definite care se aliniază cu un cadru stabilit de gestionare a riscurilor; există unele procese de automatizare și de ridicare a alertelor în caz de incidente (de ex. sisteme de detectare a intruziunii), iar procesele sunt executate în mod consecvent și clar documentate;

Tehnologia disponibilă de monitorizare a intruziunilor în sistemele informatice este integrata cu înregistrările centralizate a jurnalizarilor de evenimente, iar capacitatea de monitorizare și de generare alerte este automatizată;

Responsabilitatea gestiunii riscului: Sunt definite politici standardizate și revizuite, exista disponibile metodologii de formare și instruire a personalului cu privire la tipurile de atacuri cibernetice; există procese de comunicare periodică a evenimentelor exceptionale, însă conformitatea acestor proceduri nu este executată în mod consecvent. Proprietarii de procese, angajații cheie cu privire la procesele de securitate informatica au roluri definite în mod clar, specifice responsabilităților de management a riscurilor specifice.

Nivelul al patrulea este caracterizat prin integrarea proceselor de gestionare a riscurilor menționate la nivelul anterior:

Guvernanța riscului este caracterizată de comunicări periodice si documentate cu persoanele responsabile (de exemplu, trimestriale); sunt utilizați parametri standardizați, folosiți pentru a construi indicatori cheie de performanță, care se leagă în mod clar de obiectivele si valorile mediului de afaceri;

Infrastructura de risc:

Factorul uman: echipa executivă desfășoară activități specifice pentru a colecta informații legate de amenințările cibernetice, atât din surse comerciale cât și din surse libere. Alertează unitățile operaționale și responsabilii de procese (inclusiv membrii IT), de orice cerință cu scopul de a dezvolta controale suplimentare. Echipa de securitate informationala dispune de cunoștințe legate de mediul operațional și amenințările informatice specifice pentru a putea administra procesele de colectare a informațiilor legate de atacurile cibernetice și pentru a fi capabili să ia măsurile corespunzătoare în caz de incidente, într-un timp cât mai scurt;

Procesele se bazează pe eficiența procedurilor de măsurare și monitorizare a riscurilor. Activitatea de automatizare este urmărită ca și obiectiv; procesul de gestionare a riscurilor specifice amenințărilor cibernetice poate fi organizat ca un program de sine stătător;

Din punct de vedere al tehnologiei utilizate, resursele informatice sunt puse în aplicare pentru a efectua automat corelații avansate de date și de le converti în controale de alerte asupra cărora să se poată acționa în timp corespunzător;

Responsabilitatea gestiunii riscului – politicile, procedurile documentate, și standardele sunt difuzate în mod eficient angajaților și respectarea acestora este în mod constant monitorizată și pusă în aplicare. Majoritatea sau chiar toți angajații (nu doar cei cu roluri de supervizare, administratori de sisteme) au responsabilități clar definite pentru gestionarea riscurilor cibernetice, adecvate acestora.

Ultimul nivel este reprezentat de optimizarea aspectelor anterior menționate:

Guvernanta riscului este efectuată sub forma unui dialog permanent cu conducerea, documentat si formalizat; exista metrici clar definite și indicatori cheie de performanță, agreați cu toți proprietarii de procese; toate aceste elemente sunt monitorizate atat în timp real cat si ca parte a unui proces de analiza si imbunatatire a fluxurilor operationale;

Infrastructura de risc:

Factorul uman – echipa executivă prezintă cunoștințe specifice și deține în mod curent informații actualizate cu scopul de a integra în mod activ riscurile cibernetice în deciziile de abordare a procesului de gestionare al evenimentelor operaționale mai extinse; organizația folosește informații legate de domeniul amenințărilor cibernetice din mai multe surse (atât comerciale cât și libere) pentru a susține gestionarea riscurilor în toate procesele (nu doar riscul cibernetic), la niveluri de toleranță agreate anterior în mod formalizat;

Procesele sunt abordate prin eforturile de îmbunătățire continuă, inclusiv de automatizare și de implementare a altor tehnologii care să permită, dacă este cazul, soluții de detecție și prevenție, etc. Există structurat un program de gestionare al riscurilor cibernetice integrat cu programul de gestionare a riscurilor IT general, cu cele de gestionare a riscurilor operaționale. Procesele sunt evaluate în mod constant în vederea actualizării acestora;

Tehnologia este utilizată nu doar pentru a automatiza si monitoriza sistemele de detecție a amenințarilor specifice și alerte, dar și alte procese de securitate, cum ar fi analize de investigare, analiza programelor malițioase în scopul definirii unor controale proprii organizației, corelari de evenimente, etc;

Responsabilitatea gestiunii riscului: În plus față de cea precedentă (la nivelul patru – integrat), sunt proiectate modalități de a recompensa personalul-cheie, pe baza performanței acestora de identificare si gestiune a amenințărilor/ atacurilor cibernetice.

Pe baza rezultatelor colectate de catre Institutul de Integrare a Capabilitatilor Modelului de Maturitate in urma colectarii raspunsurilor a companiilor participante, printre care si Romania, a fost estimat nivelul mediu de maturitate al organizatiilor (din mediul privat) din tara noasta, acestea incadrandu-se in general in caracteristicile nivelului 3 (procese gestionate, aflate in etapa de definire astfel incat sa fie atinsa o consecventa si o stabilitate a actiunilor de lucru) prezentate anterior. Mai jos am sumarizat grafic situatia generala a companiilor din tara noastra participante la chestionar, prezentand in figura de mai jos ariile de lucru, specifice mediului tehnologic, reprezenand de asemenea si instrumentul de evaluare a nivelului de maturitate in scop (sistem, proces):

Figura 10. Nivelul de maturitate estimat al companiilor din Romania

Asa cum reiese si din imagine, cele mai avansate procese se leaga de modalitatea de inregistrare a evenimentelor, a disponibilitatii serviciilor si a continutatii. Aceste arii sunt cele mai dezvoltate reprezentand domeniile critice pentru o buna functionare a operatiunilor unei companii. Procesul de gestiune a incidentelor are de asemenea un scor ridicat pe baza abilitatii reactive (de detectie) a unei organizatii de a remedia serviciile si resursele impactate in cazul unei eventuale exploatari a unei brese de securitate.

Insa procesul de gestiune a unei baze de cunostinte, a planificarii resurselor si de gestiune a configurarilor au cele mai mici puncte, sustinand ideea limitarii proactive, lipsa unor instrumente de identificare a trendurilor cibernetice si a unei reactii eficiente, inainte ca acestea sa aiba loc (a masurilor de prevenire).

În opinia noastră, metodologia de adresare a riscurilor specifice mediului cibernetic (în funcție si de gradul de maturitate al unei organizații) ar trebui sa fie efectuat conform fluxului definit în figura de mai jos, ca parte a cadrului de gestiune al riscului general, la nivelul mediului operațional aplicabil:

Figura 11. Cadrul de abordare a funcționalităților de analiză a amenințărilor cibernetice

In acest context, este necesara stabilirea unui echilibru intre modelul clasic de securitate cibernetica (reactiv) si modelul stabilit de continua crestere (dinamic), de stabilire activa a masurilor de preventie si de detectie a atacurilor cibernetice. O stagnare in nivelurile inferioare de maturitate a unei organizatii poate asigura un nivel corespunzator al remedierii incidentelor de securitate, insa nu asigura elementele de colectare, corelare, analiza si distribuire a datelor referitoare la evenimentele de exploatare a breselor de securitate. O abordare de gestiune cantitativa si calitativa, dar mai ales optimizata (nivelurile 4 si 5 din modelul de maturitate ale unei organizatii) asigura metodologia proactiva de protejare a mediului informational.

In acest context, in vederea obtinerii unui proces de supraveghere proactiva a mediului de securitate informationala trebuie obtinute si evaluate informatii atat externe (din surse comerciale, rapoarte de specialitate, forumuri de securitate, etc.) cat si interne (investigarea codului malitios in urma unui atac, monitorizarea activa a retelelor, etc.). Aceste tipuri de informații ar trebui să urmeze un flux centralizat, bine definit, orientat pe analiza riscurilor specifice, astfel incat să fie procesate, distribuite către toate entitatile impactate. Ultima etapa este reprezentata de reluarea fluxului de lucru la intervale de timp prestabilite, pentru asigurarea relevantei metodologiei create, a controalelor actualizate a metodelor de securitate implementate, imbunatatirea proceselor de lucru cat si raportarea cat mai eficienta a amenintarilor cibernetice.

Companiile sunt în primul rând stimulate de profit și de realizarea unui avantaj competitiv față de celelalte organizații din domeniu. In general, strategia prin care este necesara adoptarea de noi măsuri de securitate în plus față de ceea ce deja există ca și standard de implementare este vazuta ca si factor ce poate afrecta semnificativ câștigurile, reprezentand investitii fara beneficii directe, vizibile. Insa trebuie inteles faptul ca o abordare de gestiune a riscurilor optimizata poate reduce în mod considerabil costurile și probabilitatea unei acțiuni malițioase asupra mediului operațional doar prin analiza tenditelor infractionale si realocarea optimizată a resurselor disponibile, fara investitii suplimentare. Insa aceste doua actiuni de prevenire sunt caracteristice unui nivel de maturitate foarte ridicat al organizatiilor, ce trebuie insa atins.

Principala concluzie în urma activităților de cercetare este legata de comportamentul atacatorilor cibernetici, ce se remarcă printr-o dinamica si complexitate în continuă creștere, iar modele clasice de securitate nu mai fac față amenințărilor informatice. Apoi, sinergia sistemelor informatice si emergența noilor tehnologii cu o viteaza mult mai mare decat dezvoltarea proceselor de securitate infomrationala, generează o creștere a vulnerabilităților sistemelor infrastructurilor critice, iar implementarea acestora fără o analiză de risc, un control intern riguros și fără un control dinamic genereaza riscuri semnificative.

O tranziție spre implementarea abordării bazate pe risc va duce la definirea a noi seturi de vectori de date și cunoaștere legate de amenințările cibernetice și de problemele de securitate, care vor necesita într-adevăr strategii de atenuare și controale suplimentare. Astfel, în momentul în care infractorii vor începe mobilizarea asupra infrastructurilor gestionate prin metodologii bazate pe managementul riscurilor cibernetice, organizațiile vor fi pregătite să facă față unui atac mult mai eficient.

O abordare integrată, având în centru datele și evaluarea continua a masurilor de protejare a acestora acestora, ar contribui în general în cadrul organizațiilor la îmbunătățirea profilelor de risc informational asociate (implicit și în procesul de evaluare corespunzătoare a efectelor economice asupra mediului operațional), conducând în același timp la costuri operaționale reduse prin minimizarea incidentelor și amenințărilor informatice. Principiile fundamentale ale gestionării riscului sunt următoarele:

Orice organizație trebuie sa evalueze permanent adecvarea resurselor diponibile la riscuri și sa asigure un nivel corespunzător al capitalurilor în funcție de rezultatul evaluării riscurilor semnificative la care este expusă (inclusiv pe parte de tehnologia informatiei);

Strategia organizațiilor trebuie sa fie definită astfel încât procesul de alocare a bugetelor periodice și analiza profitului scontat să justifice expunerea la risc pentru segmentele de servicii furnizate (realizarea profitului scontat în corelație cu menținerea riscului la nivelurile acceptate).

Analiza riscurilor specifice amenintarilor caracteristice mediile digitale

Identificarea riscurilor in contextul criminalitatii cibernetice (din punctul de vedere al securitatii cibernetice) este inca un domeniu în curs de dezvoltare. Foarte multe companii nu prezinta inca un cadru stabil de analiza si prevenire a exploatarilor breselor de securitate informationala. Pentru a putea determina riscurile tehnologice (aflate de asemenea într-o continuă schimbare si creștere, proces strans legat de evolutia constanta a tehnologiei informatiei), ar trebui luate in considerare in prima faza obiectivele și ipotezele definitorii pentru metodologia de risc:

Determinarea riscurilor tehnologice asociate cu procesele operationale de afaceri, de stocare a datelor, mai ales cele de tipul depozitelor de informatii centralizate, provienind dintr-o gamă largă de surse din cadrul organizației si cu activele tehnologice (sisteme, baze de date, echipamente fizice, etc.).

Identificarea politicilor interne, a standardelor, procedurilor, normelor de securitate informationala deja implementate, precum și cerințele legislative (externe), bunele practici aplicabile, în funcție de tipul industriei companiei si implementarea acestora la nivelul resurselor disponibile.

Evaluarea probabilitatii și a impactului materializarii acestor riscuri, prin definirea in acelasi timp a severitatii riscului si a clasificarii acestora, în contextul primelor doua mentiuni de mai sus.

Determinarea preliminară a responsabilităților și a controalelor organizației pentru gestionarea riscurilor identificate și chiar pentru evaluarea costurilor asociate.

Din punct de vedere simiplificat, acest lucru se rezuma la analiza celor trei arii generale prezentate mai jos, oameni, procese si instrumente (figura. 12), acestea reprezentand principiile de baza ale unui proces de gestiune eficient:

Figura 12. Principalele arii generale din care rezulta riscurile specifice oricarui domeniu

Pentru a determina cel mai bine eficiența procesului de evaluare a riscului, este necesara „rationalizarea”setului initial de riscuri astfel incat sa fie obtinut cel mai bun set de evenimente care urmează să fie considerate ca fiind inerente sau incrementale pentru mediul virtual specific. Ca si concepte:

Prin risc inerent trebuie să se înțeleagă evenimentul care implică expunerea la orice tip de amenințare, relevant in acelasi timp pentru mediul informational al unei entitati.

Prin risc incremental trebuie să se înțeleagă o situație in care un risc deja existent (incadrat in categoria anterioara) s-a modificat (insa nu prin elementele de probabilitate si impact asupra resurselor, ci prin schimbarea catacteristicilor de infrastructura).

In orice situatie, metodologia de risc adoptata ar trebui sa fie structurata astfel incat sa sustina procesele de identificare si de reducere a posibilitatii de materializare a riscurilor specifice vulnerabilitatilor cibernetice. O evaluare efectuata corespunzator ajuta o organizatie in procesul de eficientizare a intelegerii modului in care factorii de risc externi (precum schimbari economice, cerinte legale, modificari tehnologice, etc.) si factorii de risc intern (incidente in livrarea serviciilor/produselor, deficiente de resurse, etc.) afecteaza obiectivele stabilite de afaceri. Conform celor mai bune practici in procesul de gestionare a riscurilor, proiectarea fluxului de lucru este urmatorul:

Figura 13. Procesul de analiza al riscurilor specifice afacerii

Asa cum reiese din schema grafica de mai sus, procesul de evaluare a riscurilor este compus din trei activitati de baza: colectarea datelor, analiza si prioritizarea riscurilor si acordarea unui raspunsi si a unei planificari. Datorita caracterului dinamic al riscurilor, acestea fiind in constata schimbare, pasii generali ce trebuie parcursi trebuie sa ramana intotdeauna aceeasi: identificarea riscului > evaluarea riscului > livrarea unor raspusuri/controale de minimizare a vulnerabilitatilor > implementarea actiunilor ce reies din pasul anterior > revizuirea periodica a riscurilor si a masurilor de adresare a acestora. Periodicitatea de reluare a acestui flux poate varia in functie de mai multe criterii, precum senzitivitatea informatiilor cu care lucreaza o organizatie, activitatea de lucru in care se desfasoara, etc.

Abordarea si elementele constitutive ale riscurilor

In multe situatii este recomandata abordarea riscurilor plecand de la un nivel general astfel incat sa fie identificate ariile cu prioritati ridicate de analiza si alocare a resurselor disponibile, apoi urmand o evaluare in detaliu astfel incat sa fie definite masuri cat mai detaliate pentru zonele critice. Procesul este efectuat prin clasificarea riscurilor utilizandu-se o matrice a impactului si a probabilitatii:

Figura 14. Matricea riscurilor – determinarea severitatii unui eveniment

Tabel 3. Nivelurile de evaluare a severitatii unui risc

Punctual, amenintarile cibernetice prezinta un aspect complex, specific, datorat incertitudinii informationale existente, a schimbarilor constante care au loc atat la nivelul dezvoltarii tehnologiei, cat si la nivelul trendului comportamental al atacatorilor. De aceea, in cele mai multe cazuri este recomandata inceperea analizei riscurilor ce reies din exploatarea breselor de securitate informationala la nivel general, pentru a identifica astfel zonele ce necesita cea mai rapida atentie pentru masuri de remediere. Apoi trebuie efectuata si analiza de detaliu, pentru a rafina astfel si mai mult controalele existente si a asigura minimizarea cat mai eficienta a evenimentelor generatoare de risc.

O analiza de risc la nivel general a amenintarilor caracteristice mediilor digitale identifica evenimentele potentiale eligibile pentru o analiza in detaliu. Aceasta se orienteaza spre fluxurile operationale si tehnologice prin identificarea activelor critice, a masurilor deja existente, stabilind astfel criteriile de baza pentru evaluare. Beneficiile imediate sunt legate de costuri de evaluare mai scazute, prin punerea accentului evaluarii pe prioritatile operationale. Din cauza faptului ca nu exista definite in mod explicit amenintarile si vulnerabilitatile la care este expusa o organizatie, in mod normal riscurile standard reprezinta mai mult arii de lucru decat evenimente specifice, acest lucru ducand la o alocare ineficienta si chiar mai ridicata a costurilor specifice.

Clasificarea unui risc este stabilita prin urmatoarele valori: scazut, moderat, ridicat si este calculata luand in considerare cel putin urmatoarele elemente constitutive (de dimensiune calitativa, acestea putand fi scoase sau adaugate in formula, in functie de specificul mediului operational al organizatiei):

Severitatea riscului = activul operational impactat de eveniment

x criticitatea activului operational (scazuta, moderata, ridicata)

x senzitivitatea activului (scazuta, moderata, ridicata)

x probabilitatea evenimentului

x impactul (nivelurile din tabelul 3)

Activul operational reprezinta sistemul, colectia de date, aplicatia, infrastructura, etc. care face parte din procesul operational evaluat. Criticitatea (valoarea sau importanta pentru organizatie) si senzitivitatea (nivelul de protectie necesar pentru a sustine integritatea, confidentialitatea si disponibilitatea unui sistem) reprezinta importanta acordata de catre responsabilii de procese activului operational.

Probabilitatea reprezinta calculul posibilitatii unei anumite amenintari de a exploata cu succes o vulnerabilitate, rezultand astfel intr-un eveniment nedorit pentru mediul de afaceri. Scorul acestei variabile poate fi clasificat de exemplu in functie de frecventa cu care evenimentul poate avea loc (atat intern, la nivel de organizatie, cat si/sau extern, la nivel de domeniu de activitate, industrie):

Tabel 4. Scorul probabilitatii unui risc generat de exploatarea unei vulnerabilitati

Impactul reprezinta efectul estimat in momentul in care un activ operational este pierdut, compromis sau intrerupt, intr-o anumita masura. O pondere semnificativa o are nivelul costurilor asociate, fiind necesare sa fie incluse atat cele directa cat si cele indirecte (procesul de remediere, pierderea clientilor din cauza indisponibilitatii serviciilor, etc.).

Tabel 5. Variabilele ce cuantifica impactul unui risc in mediul organizational

Determinarea riscurilor reziduale

Riscurile reziduale reprezinta nivelul acceptat al scorurilor riscurilor generale, ce nu mai necesita masuri imediate de control. In prima faza poate reprezenta reducerea scorurilor tuturor riscurilor sub un prag prestabilit al organizatiei. In procesul de imbunatatire al gestionarii, riscul rezidual poate de asemenea sa fie clasificat (mic, mediu, major) si este influentat de cel putin urmatoarele componente:

Riscul rezidual = severitatea riscului evaluat

x toleranta la risc (scazuta, moderata, ridicata)

x optiunile de masuri existente (controale deja stabilite: administrative, organizationale, tehnologice, etc.)

x complexitatea (scazuta, moderata, ridicata)

Toleranta reprezinta nivelul acceptat al riscului de catre managementul organizatiei. O toleranta scazuta poate fi tradusa printr-o caracteristica de aversiune la risc sau in termeni de cost, o disponibilitate de a accepta riscuri ce pot rezulta in pierderi de sub 0,1% din venitul net total anual (sau din capitalizarea de piata) al companiei. O toleranta moderata se poate traduce printr-o pierdere rezultata din materializarea unor riscuri cu valoare cuprinsa intre 0,1 si 0,5% in timp de o toleranta ridicata reprezinta o acceptare a unor pierderi de pana in 1% (in contextul variabilelor de impact definite anterior).

Optiunile de masuri reprezinta alternativele disponbile pentru reducerea riscurilor inerente. Cele mai importate din perspectiva amenintarilor cibernetice, sunt:

controalele administrative/organizationale, o clasa de controale de securitate ce se ocupa cu procesele de constientizare a angajatilor, de instruire a politicilor, procedurilor, a rolurilor si responsabilitatilor legate de securitatea tehnologiei informationale.

cele tehnice reprezinta o clasa de controale de securitate legate de gestionarea drepturilor de acces, jurnalizare, criptarea datelor, protejarea impotriva codului malitios, a configurarilor corespunzatoare, etc.

Complexitatea stabileste nivelul de proiectare, implementare si operabilitate al proceselor, sistemelor, etc. astfel incat sa permita responsabililor decizionali posibilitatea alegerilor bazate pe cat mai multa informatie si pe un nivel cat mai scazut al riscurilor inerente.

Riscurile reziduale trebuie sa reflecte in final totalitatea riscurilor acceptate de catre o organizatie, la un moment dat. Ilustrativ, procesul de determinare a riscurilor reziduale este rezumat in figura 14:

Figura 14. Modalitatea de generare a riscului rezidual

In cadrul Anexei 1 a lucracrii este prezentata o analiza de risc aplicabila amenintarilor cibernetice. Clasificarea riscurilor este facuta pe baza metodologiei prezentate in capitolul curent. Evenimentele generatoare de risc au fost create astfel incat sa caracterizeze o plaja cat mai larga de medii de afaceri si sa cuprinda cat mai multe aspecte de securitate informationala astfel incat sa fie cat mai cuprinzatoare pentru orice caz ulterior.

Aceasta poate fi dezvoltata si mai mult prin aplicarea, insa am considerat ca o evaluare din punct de vedere al maturitatii unei entitati (si in mod specific a programului de securitate informationala) ce intra in componenta analizei de risc nu face scopul principal al acestei cercetari. Acest subiect a fost descris in detaliu in sectiunea 3.1 si poate completa procesul de identificare a lacunelor existente intre starea curenta a practicilor de lucru si starea tinta, descrisa de cele mai bune practici in domeniu.

La finalul Anexei 1 sunt prezentate rezultatele de baza ce pot fi obtinute dintr-o analiza de risc, dar si modul in care acestea contribuie semnificativ in procesul decizional al conducerii unei organizatii (atat din punct de vedere tehnologic, cat si de afaceri).

Tendinta comportamentala a atacatorilor cibernetici, factor de impact al riscului

Creșterea numărului amenințărilor presupuse de criminalitatea cibernetică a depășit alte tipuri de amenințări caracteristice securității informaționale. Această constatare indică faptul că atacurile de tip cibernetic constituie o problemă mult mai frecvent întâlnită în mediul informatic decat orice alta indisponibilitate de sistem sau blocare de proces, devenind în mod alarmant și din ce în ce mai complexe. Într-adevăr, infractorii cibernetici sunt conduși de perspectiva câștigurilor semnificative pe care le pot obține (fie materiale sau reputationale).

Asa cum este mentionat in capitolele anterioare, atat inovația criminalității cibernetice cat și tehnicile/metodele folosite în scopul atacurilor au depășit modelele tradiționale de securitate. Conform unor studii în domeniu, ca o trăsătură generală, infractorii cibernetici de azi sunt din ce în ce mai mult “adepții” accesului nedetectat și menținerea unei prezențe persistente, cu profil redus de detecție, pe termen lung în mediile informaționale. În paralel, multe organizații devin vulnerabile la atacurile cibernetice, bazându-se pe o infrastructura clasica de securitate, indusa de soluții și procese de control neactualizate permanent. Mulți nu reușesc să recunoască atacurile cibernetice în mediile interne IT, alocând greșit resursele disponibile dar limitate la amenințări mai mici, mai rare și nu la fel de critice. De exemplu, multe organizații se concentrează foarte mult pe blocarea diferitelor site-uri pe Internet, în timp ce atacurile cibernetice trec nedetectate sau neadresate în timp corespunzător prin anonimizarea caii de acces. Acest lucru generează expunerea la riscuri semnificative, asa cum au fost descrise in sectiunea anterioara (de ex. pierderi financiare semnificative, probleme legislative, expunerea de date confidentiale, deteriorarea reputației, pierderea clienților, etc.).

Intr-un articol de specialitate, este prezentat si sustinut o noua tendinta a infractorilor cibernetici pentru a asigura un proces de durata a unei industrii profitabile, si anume reinvestirea unor porțiuni semnificative din profiturile obtinute in mod ilegal în dezvoltarea noilor abilități, metode și instrumente de a ocoli tehnologiile actuale de securitate și de a accesa informațiile și resursele organizatiilor cat mai eficient. Mai mult decât atât, aceștia pot urmari in paralel si componenta cea mai vulnerabila din cele mai multe modele de securitate, și anume utilizatorul final, prin intermediul Internetului, prin intermediul tehnicilor de inginerie socială (acesta din urmă referindu-se la modalitățile pe care atacatorii le utilizează pentru a face un utilizator să creadă ca sunt colegi, clienți, sau alți participanți legitimi la mediul operațional pentru a obține în mod neautorizat informații pe care sa le utilizeze in procesele de autentificare neautorizata). În plus, tehnicile de acces secretizat (engl. “stealth techniques”) permit infractorilor cibernetici să acționeze, fără teama de a fi detectați.

Abordările curente ale infractorilor cibernetici pot fi caracterizate ca fiind proactive. Mai mult, acțiunile atacatorilor sunt dinamice, prin frecvența lor și mai agravant, colaborative, în sensul că se evidențiază o tendința de participare a mai multor atacatori cu scopul comun de a comite fraudă, furt și exploatarea vulnerabilităților sistemelor informatice. Un număr tot mai mare de infractori este angajat in mod dedicat in actiuni cibernetice ilegale, achiziționează sau dobândesc soluțiile de securitate de pe piață utilizate cel mai frecvent de către organizații, îmbunătățindu-si capacitatea de a se infiltra cu tehnici de penetrare a sistemelor noi, dezvoltându-și în același timp o rețea a infracțiunilor asupra mediilor de afaceri caracterizate de preponderența resurselor informatice.

Cei care au atacat inițial un sistem electronic doar pentru provocarea intelectuală, pentru a produce direct daune sau cu alte intenții ostile, au descoperit recompense financiare semnificative, perfecționându-se astfel în domeniul criminalității virtuale. Din punctul de vedere al evoluției trendului atacurilor cibernetice, reprezinta o sursa semnificativa de risc, deoarece majoritatea indicatorilor de monitorizare prezintă rata criminalității cibernetice viitoare mai severa, atacuri mai complexe, mai dificil de detectat si de prevenit, mult mai greu de adresat decât cele actuale.

In plus, în jurul activității de furt a evoluat o economie subterană, cu scopul de reutilizare neautorizată a informației obținute. Tot aici, autorii de programe rău intenționate, își oferă abilitățile de scriere cod malitios, aplicatiile si metodele de încălcare a securității informatice în scopul "externalizării" acestor servicii către infractori cibernetici profesioniști. Acestea includ achiziționarea și stocarea de date, accesul nedetectat la sistemele informaționale, colectarea și furtul de identitate, redirectarea greșita de elemente de comunicații, înregistrarea activității la nivelul sistemelor informatice, autentificarea identității, cat și compromiterea stațiilor de lucru, printre altele. Între timp, modelele de securitate curente acționează în principal în mod reactiv.

Orice tendinta tehnologica este utilizata in avantajul atacatorului cibernetic:

Crearea de rețele sociale și comunicarea constantă online – incluzând proliferarea dispozitivelor de comunicare, a rețelelor și a utilizatorilor – genereaza noi vulnerabilități atat la nivelul accesului la informatie, cat si la nivelul diversitatii dispozitivelor mobile, facilitând mai multe oportunități de atac.

Mediile de afaceri online, abilitățile de plati electronice, comerțul electronic, expunerea și transferul de proprietate intelectuală, toate aceste oportunități prezentând nenumărate posibilități de furt, fraudă, de a sustrage informații, identități, etc.

Entități străine, organizațiile teroriste, ce deseori exploatează bresele de securitate ale unor tehnologii depasite, caracteristice institutiilor de stat, pentru a ajuta la finanțarea acțiunilor lor de spionaj, de război, chiar și a campaniilor teroriste.

În esență, punctul de vedere susținut este că infracționalitatea cibernetică este acum mai serioasă, pe scară largă, mai agresivă și în continuă creștere, și ce în ce mai complexă, prezentând implicații majore. Astfel, multe industrii, instituții publice și organizații din sectorul privat (în special cele din cadrul infrastructurii critice ale unei națiuni) sunt expuse unor noi riscuri externe. Relativ puține organizații recunosc in prezent rețelele organizate cibernetice de infracțiuni ca o amenințare semnificativă; acestea sunt văzute mai degrabă ca simple comunități de hackeri. Chiar mai puține organizații sunt pregătite pentru a aborda corespunzător și eficient această amenințare. Organizațiile au tendința de a implementa soluții clasice de securitate, de tipul "zid-și-cetate" (engl. “wall-and-fortress”); aceste abordări sunt însă ineficiente în contextul mediului IT curent, așa cum am susținut în sectiunile anterioare ale lucrării.

Una dintre cele mai eficiente abordări pe care o organizație ar trebui să o ia în considerare în abordarea amenințărilor criminalității cibernetice implică trecerea de la o abordare în primul rând bazată pe securitate spre o abordare mai mult bazată pe risc. Maturitatea tehnologică în jurul procesului de analiza si gestiune a riscului generat de amenințările cibernetice se încadrează în două categorii. Prima o reprezintă măsura în care tehnologia sprijină procesul de execuție. În special, procesele de automatizare pot face mai eficace și mai eficientă abordarea gestiunii riscului specific prin creșterea vitezei, îmbunătățirea fiabilității și reducerea nevoii de efort uman în diferite etape de procesare. A doua dimensiune a maturității tehnologice este modul în care resursele disponibile sunt folosite pentru a descuraja inițial un atacator, de a preveni, detecta și apăra împotriva amenințărilor cibernetice în sine. Tehnologiile de securitate informatica trebuie sa varieze de la simple aplicații de protecție a soluțiilor software (de ex. configurarea unor politici de parole) până la tehnici complexe de monitorizare și analiză automată a datelor, a jurnalizărilor de securitate.

Schimbarea focalizării modelului clasic de securitate pentru a include monitorizarea și identificarea proceselor de transfer de date înafara unei organizații, a activității utilizatorilor, a terțelor părți cu care o entitate interacționează, sau printr-o abordare proactivă de combatere a infracționalității informatice, poate duce la detectarea activităților nepermise, a tehnicilor și tehnologii rău intenționate, sau a acțiunilor de exploatare a mediului operațional mult mai eficient. Elementele relevante pot include metodele de autentificare ale utilizator, informații personale de identificare, date financiare, precum și detalii legate de vulnerabilitățile de sistem.

Cunoasterea valorii interne de catre o organizatie este critica, deoarece aceasta este ea insasi generatoare de amenintari, prin devenirea unei tinte, dar si de vulnerabilitati, prin infrastructura suport de natura tehnologica pe care se bazeaza. Așa cum am menționat anterior, o abordare bazată pe risc trebuie să înceapă cu presupunerea că un utilizator neautorizat poate obține acces la un sistem, și din acest punct să se implementeze proiectarea de răspunsuri bazate pe o clasificare a datelor care ar putea fi astfel compromise. Această acțiune solicită însă prioritizarea de date și de informații bazate pe valoarea alocată de o organizație, de specificul industriei sau alte criterii utile. Această abordare poate ajuta organizația să treacă peste strategia clasică de a construi un "mare zid" împotriva tuturor amenințărilor, spre identificarea și abordarea celor mai importante si reorientarea optima a resurselor catre protejarea activelor critice.

Este necesară depunerea unui efort pentru implicarea tuturor parților participante la mediul de afaceri ale unei entități, de cheltuieli pe termen scurt, de formare profesională, precum și resurse pentru a dezvolta un sistem de clasificare de valoare și de a urmări datele si informațiile critice, dar toate acestea se amortizează pe termen lung, prin eficiență și reorganizarea periodica a acelorasi resurse, fata de achizitionarea constanta a unor noi resurse. Relativ puține organizații și-au dezvoltat strategii bazate pe valoare sau risc.

Datele cele mai valoroase, cum ar fi formulele de produse sau informațiile financiare, juridice, pot fi “etichetate” și monitorizate, astfel încât o entitate să cunoască în orice moment unde aceasta se găsește, unde este transmisă, locațiile de procesare si de adresare, și pe baza cărei autoritate aceasta a fost astfel procesată. Resursele informatice critice pot fi apoi concentrate pe datele importate, rămânând sistemele de bază de securitate (de ex. soluții de firewall cu configurații standard) legate de informațiile mai puțin valoroase, cum ar fi activitatea de rutină pe paginile web cu conținut informativ, conținuturile e-mail-urilor din surse cunoscute, care în caz de incidente pot fi tratate în consecință.

Pornind astfel si de la intelegerea obiectivelor unui atacator cibernetic, abordarea riscului este cel mai bine efectuată în cadrul organizației în mod integrat, în cadrul metodologiei generale de gestionare a riscurilor. În acest fel, tendinta comportamentala a atacatorilor cibernetici poate deveni un element standard de securitate ce poate fi luat in calculul riscului (în completarea/ optimizarea formulelor tradiționale).

In scopul determinarii evolutiei evenimentelor de exploatare a breselor de securitate informationala, pe baza unor informatii legate de atacuri cibernetice publicate in presa la nivel global si centralizate pe site-uri de specialitate, sunt prezentate mai jos tendintele privind cele patru tipuri de amenintari cibernetice majore:

Atacuri cibernetice (criminalitate cibernetica),

Activism cibernetic (hacktivism),

Spionaj cibernetic,

Razboi cibernetic.

Cifrele prezentate nu au intentia de a fi considerate exhaustive din punct de vedere al adresarii tuturor amenintarilor cibernetice materializate, ci doar un procent de evenimente descoperite de catre responsabilii acestui proces de identificare din diverse surse publice. Pot fi considerate ca fiind relevante din perspectiva oferirii unei imagini de ansamblu a tendintelor amenintarilor cibernetice.

Figura 16. Tendintele atacurilor cibernetice in perioada ianuarie 2012 – iunie 2014. Sursa: ibid.54

Cifrele detaliate legate de numarul de evenimente se pot consulta in Anexa 2.

Cea mai mare frecventa o au evenimentele legate de criminalitatea cibernetica (furt, frauda, etc.) si activism cibernetic (indisponibilitatea unor servicii cu scopul de a promova anumite idei politice, drepturi umane, etica informatica, etc.). Acest lucru este explicabil in contextul in care amenintarile de tip spionaj si acte de razboi sunt orientate mai mult spre caracteristica de a fi mai greu detectabile sau mediatizate.

Distributia tipurilor de atacuri pe cele patru mari categorii generale poate fi calculata pe baza mediei evenimentelor din componenta prezentarii lunare a amenintarilor (figura 16). Diagrama grafica a acestor procente (figura 17) reflecta tendinta catre infractiunile bazate pe un profit, in cele mai multe cazuri financiar dar si reputational. Cu un procentaj cumulat semnificativ mai mic (8%) se evidentiaza intruziunile motivate politic spre sabotaj de cele mai multe ori sau spre obtinerea informatiilor cu caracter personal, clasificat, proprietate intelectuala, ce pot fi utilizate in continuare in avantaj strategic, economic, militar, politic, etc.

Figura 17. Distributia procentuala a categoriilor generale de amenintari cibernetice. Sursa: ibid.54

Pe baza datelor statistice detaliate in Anexa 2 (tendintele amenintarilor cibernetice), luna iunie 2012 a inregistrat cele mai multe evenimente de securitate, in contrast cu aceleasi luni din urmatorii doi ani. Acest lucru se datoreaza activitatilor gruparii de atacatori UGNazi, atat la nivel infractional, prin exploatarea unor vulnerabilitati descoperite la nivelul motorului de cautare Google, cat si la nivel de activism, facand publice pe internet mai multe informatii personale ale unor oficiali guvernamentali din mai multe tari. Acestora se adauga activitatile unor altor hackeri ce au actionat pe cont propriu, aducand prejudicii mai multor companii din domeniul sanatatii si a unor linii aeriene.

Tot in aceasta luna a inceput sa fie prezentata schema de frauda de catre McAffee asupra mai multor banci afectate de un atac ( in urma caruia infractorii au incercat sa transfere sume de bani cuprinse intre 60 si 200 de milioane de euro. Pierderea nu poate fi estimata mai exact din cauza stergerii urmelor de catre infractori (jurnalizarile tinute pe serverele utilizate pentru a pierde urma au fost sterse in urma fiecarei exploatari). Acest atac a fost primul eveniment de proportii in care s-au folosit si tehnici de modelare, prin intermediul carora atacatorii au creat programe avansate de identificare, invatare si replicare a comportamentului de plati al victimelor, astfel incat sa poata maximiza profiturile, asigurand o sursa de venit pe termen lung. De asemenea, simulau in timp real comportamentul website-urilor bancare astfel incat victimele furnizau informatii cheie de autentificare si tranzactionale pe care acestia le foloseau mai apoi, in limitele prestabilite pentru a nu fi identificati.

Tipul de exploatare a pornit din Europa, extinzandu-se si in America si Asia foarte repede, datorita flexibilitatii programelor de adaptare la modelele financiare specifice fiecarui stat afectat. O importanta majora a dificultatii detectarii a reprezentat-o si colaborarea dintre atacatori dar si o buna cunoastere a practicilor bancare si a sistemelor de antifrauda. Mai mult, atacatorii au exploatat exact vulnerabilitatile create de solicitarile tot mai mari ale clientilor de a dispune de acces mai rapid si mai flexibil online. In urma acestor evenimente, institutiile financiar-bancare au fost nevoite sa includa si acest tip de comportament in politicile de monitorizare si antifrauda.

O alta perioada de activitate intensa este ianuarie 2013. Atunci au fost inregistrate foarte multe atacuri de tipul indisponibilitatii serviciilor, in cazul a mai multor banci din Statele Unite ale Americii. Acest val de atacuri nu a rezultat in pierderi financiare, insa din punct de vedere al analistilor in domeniu, a reprezentat o verificare a nivelului de securitate a institutiilor financiar-bancare, a testarii sistemelor de protectie utilizate in acea perioada. Din punct de vedere tehnologic, au fost utilizate trei tipuri de trafic de Internet de catre infractori astfel incat sa supravegheze si sa inteleaga mai bine modul de raspuns al aplicatiilor bancilor in fiecare caz. De asemenea, a fost monitorizat timpul de răspuns si de atingere a pragului de indisponibilitate, pentru a stabili măsura în care sistemele de securitate pot fost afectate și de a evalua in acelasi timp tehnicile de adresare si de remediere a incidentelor specifice.

Acest tip de comportament sustine complexitatea metodologiei de atac, prin investirea de resurse tehnologice, cunostinte si timp pe care acestia sunt dispusi sa le expuna pentru castigarea unei intelegeri mai mari a sistemelor de securitate de la un moment dat. Dupa aceasta perioada, tendinta frecventei atacurilor cibernetice insa este de usoara scadere, inca o data aceasta observatie nesemnificand in mod clar faptul ca infractiunile nu mai prezinta aceeasi preocupare, putand in acelasi timp sa reflecte o noua adaptare la elementele de securitate existente si dezvoltarea unor noi metode de anonimizare a infractiunilor.

Legat de tendinta atacurilor de tip spionaj si razboi cibernetic privite mai in detaliu pe perioada analizata, prima categorie prezinta o tendinta constanta a evenimentelor, in timp ce in cazul celei de-a doua categorii, se inregistreaza o usoara scadere in inregistrarea/raportarea cazurilor. In figurile urmatoare sunt prezentate detaliile statistice, putand fi identificata in fiecare reprezentare grafica perioade de reducere a frecventei evenimentelor (echivalentul unei etape de analiza si cercetare din partea infractorilor a entitatilor tinta) urmata intotdeauna de o intensificare a numarului de incidente.

Figura 18. Distributia infractiunilor de tip spionaj cibernetic. Sursa: ibid.54

Varful spionajului cibernetic din februarie 2013 a fost raportat de catre o companie de cercetare in domeniu solutiilor avansate de detectare a amenintarilor cibernetice, reprezentand activitatea de colectare date confidentiale de la mai mult de 140 de organizatii de catre mai multe grupari cu orientare politica din China. Industriile tinta variau de la tehnologie aerospatiala, sisteme si componente de securitate la servicii financiare. In plus, in raportul de secialitate sunt prezentate si dovezi ale sustinerii acestor grupari de catre institutii guvernamentale din Asia.

De asemenea exista si o observatie in cazul organizatiilor de constientizare a unui numar suplimentar de aproximativ 20 de alte grupari, sustinute tot de catre institutii guvernamentale, dar care nu au putut fi facute publice la acel moment din cauza faptului ca se aflau sub o monitorizare a activitatii in vederea crearii unor metode ce contraofensiva. Astfel au determinat un tipar de reintoarcere periodica a atacatorilor la aceleasi companii la un interval de timp de cateva luni cu scopul de a transfera cat mai multe secrete posibile. O trasatura fundamentala a acestui tip de amenintare o reprezinta integrarea perfecta in resursele din internet ca orice alt utilizator normal, folosind servicii de e-mail, domenii web reale, adrese IP din zonele tinta inclusiv servicii in cloud legitime (utilizarea intermediarilor legali). Astfel detectarea si blocarea lor impune o abordare complexa, total diferita de modalitatile clasice de a nega conexiunile aflate pe „liste negre”, existand riscuri majore in a bloca trafic real, din partea clientilor adevarati.

Alte atacuri caracteristice varfurilor din lunile urmatoare au fost legate tot de spionaj cibernetic din partea unor grupari infractionale de asemenea din China, asupra unor publicatii media din S.U.A. (New York Times, Washington Post, Wall Street Journal, etc.), acestia reusind sa fure date personale si credentiale de acces apartinand reporterilor acestora si a altor angajati. Acestia investigau la momentul respectiv mai multi oficiali si corporatii din Asia.

In ceea ce priveste razboiul cibernetic, se poate observa o perioada de inactiviate semnificativa inainte de raportarea fiecarei etape de evenimente semnificative. Lunile mai 2012 si 2013 reprezinta varfurile graficului legat de datele statistice colectate (figura. 19).

Figura 19. Distributia infractiunilor de tip razboi cibernetic. Sursa: ibid.54

Programul malitios Flame, descoperit de Kaspersy Labs, a fost raportat in mai 2012, fiind insa evaluat mai tarziu din punct de vedere al activitatii ca activand cu cel putin doi ani inainte. Prin natura sa de asemenea complexa, sugera faptul ca a fost dezvoltat de institutii guvernamentale, candidati fiind Agentia Nationala de Securitate a S.U.A., C.I.A. si institutii militare din Israel cu scopul de a colecta informatii in cadrul unei campanii de sabotaj cibernetic contra activitatilor nucleare iraniene. Alte atacuri folosind acelasi cod malitios au fost directionate in acelasi timp si catre alte tari din Orientul Mijlociu (inclusiv Israel).

Programul malitios era creat sa transmita foarte multe tipuri de informatii, de la capturi de ecran, la fisiere deja stocate, date introduse de la tastatura, chair și conversații audio (prin activarea microfoanelor incorporate) si informatii pe alte dispozitive aflate in proximitate (prin utilizarea tehnologiei wireless de tip bluetooth). A fost de asemenea considerat ca fiind cauza pentru care in aprilie 2012 oficialii iranieni au fost nevoiti sa ceara deconectarea din Internet a terminalelor de petrol cauzand astfel o indisponibilitate serioasa la nivel de stat. Din cauza complexitatii acestuia a fost catalogat drept o arma cibernetica de aceeasi intensitate cu virusul Stuxnet (creat pentru a ataca mecanismele de automatizare electromecanice industriale) si Duqu (colectare de informatii) din anii anteriori.

In mai 2013 au avut loc mai multe evenimente de natura politica, intre Taiwan si Filipine (primul stat atacand website-urile guvernamentale ale celui de-al doilea stat in urma unui incident maritim), Iran si S.U.A. (primul stat incercand sa obtina acces in reteaua energetica a celui de-al doilea), Israel si Siria (Armata Electronica a Siriei a incercat sa acceseze reteaua de apa a orasului Haifa), etc.

Astfel, putem caracteriza aceste doua categorii de atacuri strategice, mult mai complexe si consumatoare de resurse si experienta din partea atacatorilor, mai ales prin implicarea unor institutii oficiale de stat. Sunt de asemenea mai rar identificate, necesitand o perioada extinsa de timp pentru a fi investigate, raportate si pagubele remediate, de cele mai multe ori existand o probabilitate foarte ridicata de a nu identifica responsabilii din spatele atacurilor. Insa razboiul cibernetic, poate avea un impact major asupra economiei unui stat, asa cum a fost demonstrat si prin exemplele anterioare de cazuri, creand indisponibilitatea unor servicii de baza la nivelul infrastructurii unui stat. Unele furturi de informatii, in special in domeniul cercetarii si dezvoltarii militare, pot costa o natiune si cateva zeci de milioane de euro.

Acest tip de atac depaseste sfera amenintarilor cibernetice (pornind de la utilizarea programelor malitioase), interferand cu zona clasica strategic-militara (spionaj, invadarea si controlul informatiei clasificate, a unor structuri critice industriale sau a unor servicii publice, etc.). O entitate nu are nevoie de o economie sau o infrastructura de ofensiva majora pentru a initia un conflict de tipul razboiului cibernetic, mult mai usor gestionabil in contextul mediului virtual. In aceeasi masura, aceste evenimente faciliteaza si dezvoltarea terorismului cibernetic, nu doar a spionajului si activismului politic.

Pe baza statisticilor colectate de website-urile de specialitate, a fost centralizata mai jos o situatie a domeniilor afectate cel mai des de amenintari cibernetice. Dintre toate, se remarca domeniile financiar-bancare, institutiile guvernamentale si industrie, prezentand in cele mai multe cazuri zonele de profit ale atacatorilor cibernetici de orice natura. La fel, se poate interpreta faptul ca evenimentele cu impact politic-militar, fiind cel mai greu de detectat, nu reflecta o situatie reala in contextul prezentat mai sus.

Figura 20. Distributia domeniilor cel mai des impactate de catre atacatorii cibernetici. Sursa: ibid. 54

Criminalitatea cibernetică este o alternativă plauzibilă a infracționalității moderne, care are potențialul de a depăși forțele convenționale sau bariere fizice, geografice.

Internetul oferă anonimatul care permite unui atacator să acționeze în locuri care sunt total diferite. Această caracteristică, in combinatie cu experienta si disponibilitatea/motivatia atacatorilor, cu un control exterior redus, accesul la un public mare, fluxul de informații aproape copleșitor, interactivitate, și cost redus, pot aduce prejudicii semnificative entitatilor tinta. Creșterea continuă a spațiului cibernetic și dependența față de resursele informatice continuă să seteze condițiile pentru noi atacuri cibernetice.

Acestor observatii se adauga si faptul ca Internetul reprezintă o resursă globală și un mijloc de transfer și procesare al informației care nu se află sub controlul nici unui stat. Legislațiile, reglementările și practicile care pot interzice unele acțiuni într-un stat pot fi legale în altul. În cadrul contextului curent al economiei pentru a putea răspunde eficient provocărilor războiului informațional, este nevoie de o abordare globală, prin integrarea de sisteme, discipline și tehnici diferite, colaborative, in continua evolutie.

În prezent, dinamica comportamentului unui atacator cibernetic este foarte mare; atat ca o comonunitate cat si pe cont propriu, folosesc resursele libere si nelimitate ale Internetului pentru a planifica, crea si conduce conflicte politice si militare, pentru a recruta noi membri, a răspândi propaganda, pentru a colecta informatii care sa finanteze acțiuni viitoare de atac (inclusiv achizitie si testare a oricarei noi solutii de securitate ce apare la un moment dat), etc. În acest context, infractorii cibernetici prezinta o dispozitie de a gestiona mult mai eficient și aproape întotdeauna cu un pas inaintea expertilor in securitate informationala spațiul virtual și tehnologiile existente pentru a-și atinge tinta, de orice natura ar fi (financiara, reputationala, strategica, etc.).

CAPITOLUL 4: Studiul impactului economic al razboiului cibernetic

Amenintarile cibernetice reprezinta un subiect complex, fiind in acelasi timp greu de detectat si greu de masurat din punct de vedere al impactului economic asupra mediului organizational. Asa cum reiese din capitolele anterioare, exista numeroase studii care incearca sa estimeze costurile atacurilor cibernetice si efectele pe care le pot avea asupra economiei, insa din cauza lipsei de transparenta in general, valorile rezultate pot varia foarte mult de la o lucrare de cercetare la alta, sustinand astfel si mai mult sentimentul fals de neincredere in potentialul actiunilor atacatorilor cibernetici.

In plus, metodologiile aplicate pana in prezent, prin care rezultatele sondajelor de specialitate efectuate pe esantioane relativ mici (de ordinul zecilor de firme) sunt extinse din punct de vedere al costurilor agregate estimate la nivelul intregii economii, chiar si de la o tara la alta, afecteaza imaginea clara a impactului unui eveniment de securitate asupra activelor organizationale.

Analiza aplicata in aceasta sectiune incearca sa evalueze legatura dintre fluctuatiile de cost inregistrate de o companie si diversele caracteristici ale unei organizatii, in vecintatatea unui atac cibernetic. Intr-o lucrare de cercetare, Fredrikson et al. studiaza o metodologie declarativa a analizei intruziunii. Examinarea comportamentului costurilor activelor pe un esantion de 50 de firme, pe parcursul unui interval de timp de 5 zile (in perioada 2005 – 2010), centrat pe momentul in care organizatiile au inregistrat un atac cibernetic urmareste evaluarea costurilor din perspectiva modificarii acestora in functie de dependenta companiilor de Internet. Ca si concluzie preliminara, a fost inregistrata o pierdere cuprinsa intre 3 si 5% din valoarea de piata in cazul firmelor dependende de serviciile oferite cu ajutorul Internetului fata de cele ce adopta inca modelel clasice de economie. De asemenea a fost verificata existenta unor diferente suplimentare pentru aceste companii care au inregistrat pierderi mai mari.

Pe baza datelor colectate din sondajele cuprinzand evaluarile proprii ale acestora legate de analiza riscurilor materializate prin utilizarea mai intensa a comertului electronic, autorii au determinat faptul ca variatiile in expunerea perceputa la risc poate fi corelata cu variatiile din pierderea valorii de piata, existand dovezi ale faptului ca investitorii disting cu usurinta companiile dependende de Internet si vulnerabilitatile acestora la atacurile cibernetice.

Intr-un alt studiu asemanator din 2006, Anderson si Moore prezinta, pe baza analizei a 20 de companii si a amenintarilor cibernetice aferente, ca rezultat al acestor atacuri au fost inregistrate pierderi in valoarea de piata de aproximativ 0,5% in comparatie cu media pietei generale in ziua urmatoare evenimentului de securitate. In cadrul acestui studiu, corelarea acestor evenimente a fost analizata din perspectiva datelor impactate. Astfel, pentru companiile care au suferit atacuri de tipul indisponibilitatea serviciilor web acestea nu au inregistrat fluctuatii de costuri directe pe parcursul perioadei analizate. In cazul companiilor impactate doar la nivel informativ, amenintarea fiind identificata si de catre medii externe insa nicio informatie fianciara fiind afectata, au fost inregistrate cele mai mici scaderi ale valorii pietei, si anume de sub 0,01%. Insa in cazurile furtului de informatii critice, confidentiale (carduri bancare), scaderea inregistrata a fost cea mai mare, de aproximativ 1%. Astfel, a fost determinata corelarea dintre criticitatea informatiei si impactul asupra unei organizatii. In plus, in functie de volumul de date financiar impactat (numarul de carduri expuse), a fost identificata si o crestere a efectului negativ al furtului de date asupra valorii de piata.

Din punct de vedere comparativ intre cele doua studii, se observa o fluctuatie in costurile organizatiilor in perioada imediat urmatoare atacurilor cibernetice. Se identifica astfel o legatura directa intre tipurile de atac, senzitivitatea informatiilor obtinute si costurile directe suferite de organizatii. Insa analiza peste o perioada de maxim 3 pana la 5 zile in cazul amenintarilor cibernetice critice trebuie restrictionata pentru a asigura izolarea impactului atacului de alte evenimente economice de exemplu, ce ar putea influenta metodologia de analiza.

Pentru o exemplificare a relevantei acestor procente, pe baza datelor publicate de Bursa de Valori Bucuresti, pentru topul de 100 de emitenti dupa capitalizare am calculat media capitalizarii in lei pe ultimele 3 luni la momentul iunie 2014, rezultand valoarea de 886,507,899.748 lei. Aplicand cel mai mic si cel mai mare procent inregistrat in studiile de specialitate prezentate anterior, poate fi estimat un interval general de pierdere; astfel, in tabelul de mai jos au fost calculate intervalele pentru cateva societati de interes national, pentru a evalua impactul din punctul de vedere al razboiului cibernetic, acesta presupunand un atac complex si asupra unor institutii strategice:

Tabel 6. Pierderi estimate conform studiilor de specialitate in cazul materializarii unor amenintari cibernetice de interes national. Sursa capitalizarii in lei: ibid. 56

Cum nici un act de infracțiune cibernetică nu a fost raportat in mod formalizat la nivelul Romaniei (nici o informatie clara nu a fost publicata, fiind prezentate doar esitmari la nivel general), nu există dovezi empirice pentru a dezvolta studii de caz in detaliu. James Dunnigan, analist al jocurilor de război si strategie militară, abordează amenințarea criminalității cibernetice în cartea ”Următoarea zonă de război: Confruntarea Amenințării Globale a Terorismului Cibernetic”. Lucrarea este orientată spre utilizatorul general sau non-tehnic al resurselor informatice. Ideea principală, semnificativă, o reprezintă faptul că rețelele electronice și informațiile transmise sunt folosite ca arme și că viitorul războiului cibernetic este atacul direct asupra institutiilor de interes public. Dunnigan recunoaște că cei mai importanți jucători (marile corporații și guvernele) au posibilitățile și resursele pentru a reduce amenințările care provin din mediul cibernetic, fiind cele care expun sub forma unei tinte cea mai mare valoare a unui stat.

Disponibilitatea datelor statistice caracteristice efectelor vulnerabilitatilor cibernetice

In luna martie 2014 CERT.RO (Centrul national de raspuns la incidente de securitate cibernetica) a publicat primul raport legat de evenimentele de securitate cibernetica primite de institutie cu privire la anul 2013. Nu sunt mentionate insa estimarile impactului avut de exploatarile breselor de securitate din punct de vedere al costurilor; acesta este limitat din punct de vedere al unei analize a pierderilor valorice de exemplu pe fiecare tip de atac. Se remarca relevanta informatiei de tipul celei mai costisitoare amenintari cibernetice.

Sunt insa prezentate cele mai frecvente amenintari cibernetice: dezvoltarea unor retele de tip botnet, calculatoare infectate cu o diversitate de programe malitioase, reprezentand un procent de 78% din totalul evenimentelor raportate pe perioada in scop (2013).

De asemenea, nu se poate valida reprezentativitatea incidentelor raportate in mod individual (nu prin alerte automate) din punct de vedere al industriilor in care acestea s-au materializat. Este prezentata o statistica a tipurilor de entitati impactate, cele mai multe alerte fiind raportate de catre institutii bancare (142 de alerte), insa intr-o mai mare masura existand un numar semnificativ de surse nespecificate (158 alerte primite), afectand astfel posibilitatea unei alocari eficiente a unor costuri pe tipuri de industrii. Mai mult, este mentionat faptul ca evenimentele de securitate au fost transmise de catre entitati din tara sau strainatate.

Lucrarea faciliteaza suport pentru mai multe aspecte tehnologice relevante pentru literatura de securitate informationala, insa poate fi imbunatatit cel putin prin adaugarea unor arii de evaluare suplimentare, cum ar fi: sursele atacurilor, asocierea unor pierderi incidentelor raportate si furnizarea unei metodologii standardizate (prin calitatea de entitate independenta de cercetare si dezvoltare pentru protejarea infrastructurilor de tip cibernetic).

Cifrele legate de costurile atacurilor cibernetice mentionate de cele mai multe ori in presa au ca sursa in general studii efectuate de companii de securitate private din Romania (HP, KasperskyLab), care prezinta in general date la nivel european, fara detalii statistice orientate pe alte tari decat principalele puteri economice ale UE. Aceste organizatii nu sunt in principal entitati de cercetare, seturile de date nefiind publicate liber, mai mult existand informatii lipsa sau estimari ale informatiilor legate de tari precum Romania. Singura raportare formala, punctuala, preluata de articolele de presa, dateaza din anul 2008, pe baza unor statistici DGCCO in urma carora rezulta un singur interval de valoare al costurilor cauzate de atacuri cibernetice de aproximativ 4 – 5 milioane de euro, insa fara alte detalii suplimentare sau situatii statistice legate de datele suport.

Asa cum am mentionat in capitolele anterioare, exista o oarecare rezistenta in raportarea unor informatii specifice legate de exploatarea breselor de securitate, deoarece valoarea acestor date nu este recunoscuta la nivel general. Problema majora este reprezentanta de faptul ca organizatiile beneficiaza de stimulente economice din actiunea de a nu dezvalui astfel de evenimente de securitate. Costurile unor astfel de anunturi pot afecta de exemplu companiile de asigurare, acestea putand creste preturile produselor oferite in cazul asigurarilor cibernetice. In cazul institutiilor financiar-bancare, acestea pot creste profilurile de risc ale companiilor cu un grad ridicat de servicii furnizate prin intermediul Internetului afectand in mod negativ pragurile la care acestea pot accesa de exemplu un credit sau o finantare.

Din punct de vedere legal, orice raportare formalizata a unui atac cibernetic poate fi folosita de catre clienti/investitori sau alte parti interesate in justitie pentru recuperarea pierderilor in contextul in care reglementarile legate de amenintarile cibernetice sunt si in prezent in curs de imbunatatire. De asemenea pot fi percepute amenzi semnificative de catre institutiile care regelementeaza piata cardurilor bancare (Visa, Mastercard) prin standardele de securitate impuse (PCI DSS, SOX, etc.).

Orice alerta publica poate reprezenta de asemenea o reorientare a activitatii frauduloase a altor atacatori cibernetici asupra organizatiei impactate. Totate tipurile de divulgare a materializarii unor riscuri cibernetice prezentate anterior pot avea costuri semnificative.

La polul opus insa beneficiile presupuse ale unor raportari publice nu sunt la fel de clare si nici nu sunt sustinute pentru a facilita un mediu suport pentru o alertare eficienta. Securitatea în spațiul cibernetic depinde de cooperarea dintre guverne, organizațiile din diferitele medii de industrie și entitățile individuale. Fără această cooperare, vulnerabilitățile inerente sistemelor informatice și a infrastructurii suport, combinate cu incapacitatea de a reglementa in mod unitar Internetul pun în pericol pe oricine. În cele din urmă, cerința de libertate a Internetului este întotdeauna în conflict într-o oarecare măsură cu cerința de securitate. Încercările curente de dezvoltare a unei strategii de cooperare între organizații, industrii și guverne, inclusiv la nivel global sunt problematice, deoarece nici un stat nu poate obliga entitățile ce activează în spațiul cibernetic să folosească o abordare de securitate standardizată sau să își crească măsurile de protecție informatică.

O propunere ar fi dezvoltarea unei arhitecturi de evaluare a impactului si din punct de vedere economic, care să prezinte efectele financiare directe la nivel național in prima faza. La aceasta initiativa (fie din partea organismelor deja existente, fie noi structuri), se poate adauga elaborarea unui program național de conștientizare a compnaniilor din mediul privat pentru a evalua, reglementa și a implementa cai de comunicare sigure a evenimentelor cu impact semnificativ, a metodologiilor standardizate de securitate informatică, specifice activităților întreprinse, pentru a dispune de instrumente comune de analiza.

Diferentele dintre costuri si beneficii pot duce la un esec al adresarii amenintarilor cibernetice din punct de vedere economic: entitatiile private, institutiile publice, etc. care actioneaza in mod rational, urmarindu-si doar propriile interese nu vor sustine niciodata de la sine o activitate care ar fi benefica in mod colectiv daca ar fi adoptata de catre toti participantii din mediul cibernetic. Dogrul et al. construiesc in cadrul unui studiu din 2011 un exemplu de model prin care arata faptul ca schimbul de informatii genereaza atat pierderi dar si castiguri in cazul organizatiilor si ar sustine si bunastarea sociala.

Consecintele macroeconomice ale amenintarilor cibernetice

Resursele tehnologice sunt critice pentru orice organizatie. Gradul de inovare si evolutia rapida a acestora duc la o reducere constanta a costurilor implicate, insa si o crestere in diversitate si severitate a riscurilor asociate. In plus, impactul asupra productivitatii este semnificativ, prin furnizarea unei cresteri accelerate a acesteia, influentand procesele decizionale, ce tind sa nu ia in calcul parametrii de detaliu a mediului suport cibernetic. In acelasi timp, costurile din ce in ce mai scazute, stimuleaza noi investitii in cercetare si dezvoltare, sustinand astfel si mai mult evolutia resurselor tehnologice, reluandu-se si fluxul descris anterior. Insa cat de evident este impactul tehnologiei in contextul productivitatii economice, fara o monitorizare clara a unor indicatori specifici?

Intr-un studiu legat de analiza efectului tehnologiei asupra productivitatii unei organizatii, economistul Robert Solow este citat intr-un enunt legat de „era calculatoarelor”, ale carei beneficii(efecte) pot fi vazute in orice domeniu, putand fi insa mai putin evidente in datele statistice legate de productivitate.

Calitatea tehnologiei a impactat cresterea productivitatii in mod direct prin procesul de creare si dezvoltare a calculatoarelor si a resurselor suport. În al doilea rând, scăderea accentuată a prețurilor resurselor tehnologice a stimulat mai mult investițiile in cercetare si dezvoltare, participand si mai mult la creșterea totala a capitalului de lucru (componenta a capitalului permanent al unei organizatii utilizat in sustinerea proceselor operationale). Creșterea stocului de capital, în general, are tendința de a crește productivitatea muncii, daca ne bazam pe definitia de baza a productivitatii multifactor, ca legatura intre rezultatele activitatii unei organizatii si utilizarea (in diverse cantitati) a factorilor de productie (si considerand ca factor de masura pe langa munca si capitalul).

Mai multe studii recente au incercat sa evalueze raportul general de creștere a productivității in contextul inovatiei tehnologice. O trecere în revistă a literaturii de specialitate relevă faptul că lucrări care examinează asocierea dintre tehnologia informației și a performanței organizaționale sunt limitate ca si rezultate de analiza, fiind prezentate doar concepte cheie și interdependențele logice dintre acetea, fara o analiza cantitativa, estentiala pentru procesele de afaceri decizionale. In 2004, N. Mellville et al. dezvolta un model de analiza si impact a valorii IT in mediul de afaceri, pe care il aplica in mod integrativ (luand in considerare mai multe tipuri de resurse informatice caracteristice unei organizatii) cu scopul de a sintetiza o relatie intre inovatia tehnologica (suport pentru procesele operationale) si rata productivitatii organizationale. O constatare principală a acestui studiu o reprezinta faptul că tehnologia informatica este valoroasa, dar ca măsura in care aceasta impacteaza nivelul productivitati este dependent de foarte multi factori interni și externi specifici fiecarei industrii, inclusiv de mediul concurential si macroeconomic. Pe parcursul intregii lucrari de cercetare, atat la nivel de organizatie cat si la nivel de tara, este demonstrata o concluzie de tip calitativ, si anume faptul ca unui nivel de investitii crescut ii este asociat o crestere mai mare a productivitatii.

Efectele asupra factorilor de productie

La nivel european, conform unui studiu la nivelul anului 2014 efectuat de catre ITIF, capitalul tehnologic a avut urmatoarea contributie in produsul intern brut mediu anual:

Tabel 7. Contributia capitalului tehnologic in PIB. Sursa PIB: Trading Economics, sursa procentului de impact: ibid. 81

Se evidentiaza, pe baza datelor furnizate in tabelul de mai sus, faptul ca exista o contributie importanta la nivelul productivitatii globale ale unei tari a capitalului tehnologic. Acesta poate fi considerat si un nivel cantitativ estimat al impactului unui atac cibernetic asupra factorului productie, deoarece in cazul unui eveniment critic, capitalul tehnologic ar fi primul afectat prin indisponibilitate completa. Insa, daca se pleaca de la caracteristica razboiului cibernetic prin care un atacator ar bloca functionalitatea unor retele de calculatoare considerate strategice, care ar putea fi efectele macroeconomice suplimentare ale utilizarii tehnologiei informationale?

Intelegerea performantei economice a inovatiei tehnologice necesita mai multe date istorice (colectate pe o perioada mai mare de timp) pentru a intelege mai in detaliu diferitele mecanisme operationale de impact asupra productivitatii. In prezent, capitalul uman si cel tehnologic, ce depind foarte mult de infrastructuri digitale complexe nu sunt analizate, schimbarile din rezultatele financiare ale organizatiilor nu sunt evidentiate de exemplu in modificarile productiei multifactor (inclusiv echipamentele IT ca platforma suport operationala).

Intr-un alt studiu de specialitate efectuat la nivel european in anul 2009 se mentioneaza intr-una din concluzii faptul ca la nivelul productivitatii multifactor anuale, se poate afirma in cazul organizatiilor cu specific de servicii, faptul ca aproximativ 50% din rezultatele obtinute se datoreaza cercetarii si invoatiei tehnologice. Asa cum am mentionat anterior, echipamentele IT se afla in prezent in spatele unei cresteri accelerate a productivitatii, doarece investitiile in tehnologie faciliteaza fluxurile de lucru si implicit duc la castiguri mai mari pentru organizatii, dar schimba si modul in care acestea opereaza, facandu-le in acelasi timp dependente de inovatia in domeniu. Astfel, care sunt riscurile si costurile asociate unei evolutii atat de rapide a cresterii economice in contextul utililizarii tot mai mari a tehnologiei informationale? Este efectul pozitiv asupra bunurilor si serviciilor economice compatibil pe termen lung cu emergenta crescuta a noilor solutii tehnologice? Care este expunerea organizatiilor intr-un mediu aflat intr-o schimbare mai accelerata decat procesele decizionale si abilitatile de analiza detaliata a responsabililor de procese?

Inca de la inceputul anilor 2000 a inceput sa fie observat impactul utilizarii Internetului si a tehnologiei informationale in general, prin incercarea unei intelegeri a beneficiilor si a riscurilor implicate. Intr-o lucrare de cercetare privind efectul resurselor virtuale este validat faptul ca la nivel microeconomic, acestea au efecte pozitive asupra productivitatii companiilor. La nivelul tarilor europene ce fac scopul studiului mentionat anterior, a fost determinata pe perioada evaluata o crestere generala cu 8.6% a productivitatii nationale si o scadere a costurilor totale cu 2.6%, doar prin utilizarea resurselor tehnologice. Bineinteles, impactul cel mai mare este inregistrat de entitatile care au adoptat comertul electronic in totalitate (de ex. Finlanda, Suedia, Germania, etc.).

Din punct de vedere al definitiei, productivitatea este vazuta ca raportul intre volumul fizic al produselor obtinute si factorii de productie utilizati in procesele de obtinere a acestora. Astfel, orice crestere in resursele ce intra in fluxurile de productie care nu contribuie in mod evident si cuantificabil in rezultatele de eficienta ale unei companii, va reduce productivitatea masurata. Aceasta este si tendinta de abordare a securitatii informationale, vazuta ca un domeniu „bine de avut” si nu critic. In cazul unei cresteri a costurilor asociate cu procedurile de protejare a mediului tehnologic, va fi inevitabil inregistrata si o scadere (insa unica) in nivelurile standardizate ale productivitatii. Trebuie inteles faptul ca atacurile cibernetice, prin costurile asociate, nu mai reprezinta exclusiv „o problema de IT”, ci una legata de mediul de afaceri, operational, ca un intreg.

In contextul ridicat al incertitudinii si al potentialelor costuri ce pot fi asociate amenintarilor cibernetice, atat la nivelul companiilor cat si la nivel national, trebuie sa se adopte o noua metodologie de evaluare continua si mai ales proactiva a evenimentelor de securitate. Prin alocarea unei investitii majore in vederea protejarii resurselor tehnologice, acestea vor avea in mod realist o reducere in productivitate, insa inregistrata o singura data, care va aduce beneficii mai mari pe termen lung. Din cauza cerintelor tot mai mari in domeniul securitatii cibernetice, se poate observa in mod direct o crestere in resursele ce sunt utilizate in protejarea infrastructurii tehnologice de productie si livrare a bunurilor si serviciilor, insa fara o crestere corespunzatoare a rezultatelor firmelor ce ar putea fi legata de instrumentele si procesele tehnologice (si implicit de securitate informationala).

O alta consecinta a unui potential atacu cibernetic major ar fi reprezentata de schimbarea perspectivei la nivel de resurse umane. Companiile pot sa ceara reorientarea angajatilor din domeniul IT in vederea alocarii unor perioade mai mari de timp in adresarea problemelor de securitate, in detrimentul timpului petrecut in mod obisnuit in cercetarea si dezvoltarea, de exemplu, a unor noi solutii operationale (inregistrarea si gestiunea relatiilor cu clientii, etc.). Indiferent daca necesitatea imbunatatirii metodelor si resurselor de securitate informationala are efecte directe asupra cresterii productivitatii pe termen lung, acestea depind in mod evident una de cealalta.

Pe langa costurile directe si indirecte inregistrate in cazul unui eveniment major cibernetic de catre institutii publice si/sau companii, la nivel national, fiind vizate mai ales institutiile statului, ar putea fi afectate cel mai sigur serviciile si resurseler catre populatie precum transporturile, furnizarea de energie electrica, de apa, apoi serviciile financiare, etc. Astfel, o buna parte din procesele de productie, ar putea fi intrerupte, fie prin indisponibilitatea de comunicatii, de transport si al fluxurilor de livrare a diferitelor bunuri si servicii, fie printr-un cumul de astfel de elemente si ar implica de asemenea o redirectionare a resurselor guvernamentale.

Insa ca toate aceste efecte sa aiba loc in acelasi timp, ar fi necesar un atac cibernetic foarte complex, la care sa participe mai multe entitati. Probabilitatea de a avea loc este extrem de mica, insa stabileste in mod realist limita superioara a oricarei estimari a costurilor ce pot fi inregistrate in exploatarea breselor de securitate.

De exemplu, in cazul Romaniei, daca toate activitatile industriale si economice ar fi intrerupte in mod temporar de catre un atac cibernetic major, singura caracteristica relevanta in evaluarea costurilor ar fi durata de adresare a evenimentului si de restabilire a proceselor critice. Pentru a evidentia limita superioara a pierderilor de exemplu (calculate la nivelul anului 2014), pe baza produsului intern brut (P.I.B.), estimat la aproximativ 658,6 mld. lei, rezulta pe zi un procent de aproximativ 0.0028% produs din total pe zi (o valoare de 1.84 mld. lei/zi costuri la nivel de tara). Intr-adevar, resursele afectate nu reprezinta o pierdere totala, dar vor fi indisponibile in mod complet pe toata perioda de remediere a efectelor atacului. De asemenea, daca se ia in considerare si faptul ca o parte semnificativa din PIB nu este dependenta in mod direct de sisteme informationale, costul final va fi mai scazut.

Pentru a restrange si mai mult din punct de vedere regional impactul materializarii unei amenintari informatice la nivel de tara, si prin evidentierea unei tendinte de crestere constanta a efectelor exploatarilor unor brese de securitate informationala, in tabelul nr. 8 de mai jo, am aplicat valorilor PIB-ului pe regiuni procentul mediu de 0.0028% din total P.I.B. pe zi, rezultand urmatoarele limite superioare de pierderi estimate la nivel macroeconomic:

Tabel. 8 Valoarea P.I.B. pe regiuni (2014 – 2017) si efectele macroeconomice ale unui atac cibernetic. Sursa P.I.B.: ibid. 85

Pe baza acestor date se observa usor o tendinta generala de crestere a impactului unui atac major la nivelul infrastructurii cibernetice a tarii, mai ales in eventualitatea manifestarii unor evenimente specifice caracteristicilor razboiului cibernetic. Regiunile considerate economii mai mici pot fi considerate mai vulnerabile la un eveniment cibernetic, in comparatie cu regiunile dezvoltate (de ex. zona capitalei). Un motiv poate fi dat si de faptul ca acestea sunt mai putin diversificate si mature din punct de vedere al instrumentelor de securitate informationala, avand astfel diminuate abilitatile de a face fata usor unui eveniment major.

Din perspectiva timpului de recuperare la nivelul comparativ al tarilor, orice razboi cibernetic ar avea un efect mult mai costisitor pentru natiunile aflate in curs de dezvoltare decat pentru cele ce prezinta deja un nivel de maturitate ridicat. Aceasta ultima afirmatie ar putea fi sustinuta si de capacitatea dezvoltata de a urmari in mod eficient un cadru procedural bine pus la punct si de a aplica in mod eficient seturile de metode de remediere deja standardizate, aceasta abilitate lipsind insa (sau gasindu-se in proces de stabilizare) in cazul unor tari cu venituri mai mici.

Astfel, se poate sustine impactul negativ al unui atac cibernetic de proportii majore la nivel national, asupra P.I.B. Insa orice estimare a costului economic potențial al exploatarilor breselor de securitate informationala ramane în cele din urmă speculativ (atat in lipsa deja mentionata a datelor cat si prin imposibilitatea evaluarii unui eveniment real ce nu a avut niciodata loc), chiar dacă resursele reprezentate de tehnologia informatiei, vulnerabile la orice tip de atac, aduc o contribuție directă la producția de bunuri și servicii, atat la nivel macroeconomic cat si la nivel de organizatie.

De asemenea, nu poate fi bine definita nici efectul individualizat pe factori de productie, atat capitalul cat si munca, prin prisma dependendei de tehnologie. De exemplu, in contextul evolutiei mobilitatii angajatilor intr-un ritm foarte alert (prin existenta echipamentelor portabile, a telefoanelor inteligente, prin tehnologiile de comunicatie ce anuleaza limitarile geografice) la care se adauga activitatea la nivelul retelelor sociale (in care companiile vad tot mai mult un mediu de marketing necostisitor), devine foarte greu asigurarea unui nivel corespunzator de securitate informationala.

Intr-un raport emis in 2014 de catre firma de consultanta PWC legat de viitorul fortei de munca, structura companiilor din punct de vedere al angajatilor este de asemenea in continua schimbare, prin adoptarea procedurilor de externalizare a unei multitudini de servicii (in special acordarea suportului tehnologic), a parteneriatelor, etc. Toate aceste schimbari rapide si in domeniul fortei de munca, guvernate si de evolutia resurselor informatice, faciliteaza astfel utilizarea platformelor virtuale de lucru, a angajatilor temporari ce pot lucra de la distanta, crescand in acelasi timp riscurile identificarii si exploatarii vulnerabilitatilor de sisteme. Atat organizatiile cat si institutiile publice cer personalului sa isi dezvolte competentele tehnologice, in timp ce foarte multi specialisti din domeniul IT se reorienteaza catre securitatea informatiei pentru a acoperi cererea de forta de munca specializata.

La nivelul capitalului uman se por inregistra de asemenea efecte. Intr-o economie caracterizata de sectorul serviciilor, in care tot mai multe companii incep sa permita angajatilor sa lucreze de acasa pentru functiile mai putin critice din organizatie, faciliteaza utilizarea propriilor instrumente de lucru ale colaboratorilor (fie persoane fizice sau alte firme) sau ale angajatilor, impactul unu atac major cibernetic poate fi resimtit foarte puternic iar costurile implicate sa fie foarte apropiate de estimarile maxime. In cazul unui atac cibernetic, orice angajat este afectat atat direct (ca specialist al departamentelor IT) dar si indirect (ca si indisponibilitate a operativitatii acestuia). Luand in considerare faptul ca perioada medie de recuperare in urma unui atac cibernetic este intre una si trei zile, costurile asociate direct fortei de munca pot creste exponential, contribuind intr-o oarecare masura la diminuarea veniturilor la nivel de stat de la un moment dat.

Alte estimari ale efectelor evenimentelor majore informationale ar putea influenta nivelul investitiilor. In prima faza, nivelul acestora nu ar fi seminificativ impactat, pentru ca s-ar inregistra o reorientare spre investitiile de remediere (ar fi transpus temporar), insa pe termen mediu, exista posibilitatea observarii unei scaderi in nivelul acestora, din cauza reducerii credibilitatii (atat interne cat si externe unei tari) in asigurarea securitatii infrastructurii cibernetice. Perceptia privind un nou atac informational de proportii semnificative ar putea afecta aceasta componenta macroeconomica si pe termen lung. Acelasi impact ar putea fi inregistrat si in cazul importurilor si a exporturilor, pe baza acelorasi considerente.

Alte elemente ce ar trebui luate in considerare in procesul de evaluare al factorilor macroeconomici analizati ar trebui sa fie atat nivelul de dezvoltare al tarii, fiind evident faptul ca o economie in curs de dezvoltare este mult mai vulnerabila in fata unui razboi cibernetic, in comparatie cu o economie dezvoltata, stabila. Din lipsa datelor istorice, observatiile nu pot fi insa sustinute si statistic.

Atâta timp cât orice exploatare a unei brese de securitate nu afecteaza in mod complet toti factorii de productie și este de scurtă durată spre medie, probabilitatea cea mai apropiata de un scenariu realist este faptul ca orice cumul de consecințe macroeconomice sa fie cuantificata sub limita superioara data de procentul din produsul intern brut pe o zi.

O alta modalitate de a incerca evaluarea efectelor la nivel macroeconomic a atacurilor cibernetice o reprezinta compararea acestora cu efectele unor atacuri fizice. Insa aceasta abordare intalnita de asemenea in studiile de specialitate, nu ia in calcul faptul ca exista o diferenta fundamentala intre cele doua tipuri de atacuri, si anume faptul ca in mediul tehnologic, orice eveniment duce la o indisponibilitate a elementelor impactate, astfel timpul de remediere este considerat mediu daca nu redus, in comparatie cu orice atac fizic ce duce la pierderi de vieti omenesti, prejudicii asupra proprietatilor (atat publice cat si private), prezentand in acest context si un timp de recuperare foarte mare. Astfel, aceste incercari de evaluare prin comparatie sunt foarte limitate ca si utilitate.

Exista trei mari trasaturi economice ce guverneaza atat riscurile generate de atacurile cibernetice, si anume: competitia, raspunderea, in cazul institutiilor, si castigurile, in cazul atacatorilor. Astfel, organizatiile care vor sti sa gestioneze cel mai eficient aceste riscuri specifice, vor primi un feedback pozitiv din partea pietei economice. In acelasi timp, acelasi principiu se aplica si atacatorilor. In ceea ce priveste raspunderea, perspectiva amenzilor, a posibilitatii de a fi dat in judecata pentru despagubirea unor informatii confidentiale facute publice, reprezinta un stimulent semnificativ pentru orice organizatie de imbunatire a politicilor interne de securitate a informatiei. Legat de castigurile atacatorilor, acestea au fost dezbatute in detaliu in sectiunile anterioare ale lucrarii.

Insa, sub forma unei noi oportunitati de extindere a profiturilor, se dezvolta domeniul asigurarilor impotriva ricurilor cibernetice. Dezvoltarea unor astfel de servicii profitabile ar fi foarte utile in reducerea costurilor asociate cu procedurile complexe de a cuantifica riscurile specifice. Prin achizitionarea a unei astfel de polite de asigurare, organizatiile nu ar mai trebui sa masoare (de cele mai multe ori fara un succes evident) riscurile legate de atacurile cibernetice, ci ar externaliza acest efort catre o functiune dedicata de analiza. Aceasta tendinta noua a pietei nu poate avea decat efecte benefice de ambele parti, procesul descentralizat si fara o metodologie clara, putand fi in sfarsit abordat uniform si sustinut de un proces de colectare de date corespunzator. Aceasta contributie ar putea reprezenta cel mai mare pas facut pana in prezent in combaterea atacurilor cibernetice.

Asigurarile impotriva riscurilor cibernetice

O caracteristica a evolutiei riscurilor cibernetice in contexul dezvoltarilor tehnologice accelerate o reprezinta atentia tot mai mare din zona asiguratorilor. Conform comunicatelor de presa periodice din aceasta zona financiara, amenintarile cibernetice urca rapid in clasamentele de riscuri pe care acestea le evalueaza periodic. In cadrul publicatiei anuale din partea grupului de asigurari Allianz, studiu ce a inclus la inceputul anului 2014 peste 400 de experti din 33 de tari in care activeaza, riscurile specifice legate de criminalitatea cibernetica, indisponibilitate tehnologica si spionaj au intrat pentru prima data in topul celor 10 riscuri globale de afaceri pe 2014. La nivelul continentului american, a avansat fata de 2013 un numar de 7 locuri in clasament (de pe locul 15), in Europa, Orientul Mijlociu si Africa se situeaza pe locul 9, iar in zona Asia-Pacific, ocupa locul 6. Acest tip de riscuri specifice (incluzand si aspectele de spionaj si razboi cibernetic), a devansat astfel evenimente semnificative precum impactul reputational, furtul organizational, frauda financiara, fluctuatii ale pietelor economice, declansarea unor programe de austeritate si indisponibilitatea personalului cu experienta (tabel 8). Tot in cadrul raportului sunt prezentate cateva tendinte ale costurilor, frecventei si timpului de remediere a atacurilor, acestea fiind intr-o constanta crestere inca din 2010.

Tabel 8. Cresterile semnificative ale riscurilor in domeniul asigurarilor. Sursa: ibid. 85

Pe baza datelor prezentate in tabelul anterior, se evidentiaza faptul ca evenimente tratate de cele mai multe ori intern de catre organizatii, precum gestiunea atacurilor cibernetice, a afectarii de imagine sau conditiile de piata la un moment dat, incep sa primeasca o atentie sporita. Aceste categorii reprezinta riscuri ale caror impact nu devine evident in mod imediat, companiile fiind de cele mai multe ori orientate direct catre evenimenele externe, considerate ca avand un efect major imediat, insa care de cele mai multe ori in momentul in care se materializeaza, ii surprind incomplet pregatiti, nefiind gestionate si standardizate ca alte procese care deja prezinta un istoric al metodologiei de abordare (exemplu evidentiat de scaderile majore inregistrate in cazul riscurilor precum dezastrele naturale, incendii, deficiente de calitate, etc.). Aceasta observatie reprezinta un inceput de schimbare pozitiva in perceptia generala a atacurilor cibernetice.

Considerat inca un risc emergent in domeniul asigurarilor de afaceri, criminalitatea cibernetica necesita un set de indicatori bine definiti, deoarece, asa cum a fost sustinut si in subcapitolul anterior, principalul inconvenient este reprezentat de indisponibilitatea datelor. Importanta unei abordari dedicate acestei zone, in contextul unui mediu tehnologic complex, ce evolueaza foarte repede, este esentiala. Suplimentar, trebuie avut in vedere constant segregarea riscurilor si individualizarea evenimentelor legate de atacuri cibernetice cat mai clar, deoarece prezinta un efect cumulativ cu orice alte riscuri aflate in clasamentele asigurarilor si considerate in acelasi timp majore. De exemplu, pierderea reputatioala poate fi strans legata de efectele unui atac cibernetic in urma caruia sunt facute publice date despre clienti. Insa cuantificarea costurilor implicate de opiniile publice (in acest caz defavorabile) trebuie sa fie clar delimitate de celelalte costuri ce caracterizeaza in mod direct un eveniment de exploatare a unei brese de securitate informatica.

Politele de asigurare variaza inca in termeni de acoperire, neexistand un standard. Acestea includ cel mai des riscurile externalizate catre terte parti, companiile considerand ca evenimentele interne pot fi mai bine gestionate in cazul sistemelor aflate sub controlul direct al companiei, prin procesele de gestiune de securitate proprii. Alte evenimente ce pot fi acoperite prin politele de asigurare cibernetica includ: materializarea unor atacuri asupra retelelor prin cod malitios sau acces neautorizat, afectarea continutului inregistrat pe Internet prin incalcarea drepturilor de autor sau a unor drepturi cerute pe materiale postate pe site-uri web, indisponibilitatea unor servicii critice ale sistemelor informatice si acoperirea pierderilor din intreruperea activitatilor de lucru, precum si in cazul unor evenimente mai noi, legate de remedierea imaginii companiei in urma unui atac cibernetic sau chiar si decontarea incercarilor de santaj in urma furturilor de date.

Toate aceste elemente pe care firmele de asiguratori sunt dispuse sa le acopere arata complexitatea amenintarilor cibernetice si prezenta acestora tot mai covarsitoare in randul companiilor. Inca din anii 80, cand conceptul de asigurare pentru sistemele tehnologice a fost propus, piata pentru asigurarile cibernetice se afla intr-un ritm evolutiv incetinit. Aceasta nu a reusit sa prospere, ramanand intr-o arie de nisa a asigurarilor considerate neobisnuite impotriva riscurilor la care se expun companiile. Se poate mentiona de asemenea, ca in comparatie cu cresterile exponentiale ale pietelor economice digitale, domeniul acestor tipuri de asigurari a stagnat in dezvoltare. Subdezvoltarea evidenta a acestora poate fi atribuita de cele mai multe ori lipsei de experienta a asiguratorior in abordarea acestor noi tipuri de riscuri, avand o rata foarte mare de schimbare, si a unor date actuariale insuficiente in vederea stabilirii unui pret corespunzator.

Asa cum este prezentat in paragrafele anterioare, acoperirea evenimentelor este foarte limitata. Pe baza unui raport publicat in 2014 de catre Federatia Asociatiilor de Management a Riscului la nivel european (FERMA), la care au participat 850 de experti ce activeaza in domeniul riscului din 21 de tari, 72% din respondenti au mentionat faptul ca nu prezinta o acoperire din punct de vedere al asigurarilor cibernetice, acest lucru evidentiand nivelul redus de cunoastere si intelegere a acestor evenimente aflate in continua dezvoltare. O strategie de acoperire a acestor riscuri este inca intr-un stadiu incipient, companiile preferand sa stabileasca obiective de remediere interne, prin instrumente si metode de protectie si securitate a datelor.

In figura nr. 21 este prezentata acoperirea detaliata a riscului cibernetic la nivel european, din care reiese si impactul ridicat negativ asupra achizitiilor de astfel de asigurari, rezultat in special din abordarea clasica a protectiei informationale:

Figura 21. Procentul respondentilor fara acoperire din punct de vedere al asigurarii de securitate cibernetica de sine statatoare. Sursa: ibid. 86

Pe baza concluziilor raportului FERMA, se confirma faptul ca domeniul asigurarilor cibernetice nu este inca maturizat. Cuantificarea politelor necesita o mai buna intelegere a riscurilor ce sunt transferate, in special a frecventelor de materializare a amenintarilor cibernetice si a posibilelor pierderi ce pot rezulta. Din nou apare observatia ce trebuie avuta constant in vedere si in acest domeniu, si anume latura calitativa a caracteristicilor acestor riscuri specifice, ce difera foarte mult de indicatorii evaluati in celelalte arii de asigurari (sanatate, munca, conformitate, resurse umane, etc.), unde analizele sunt cantitative.

Un motiv de rezilienta din partea institutiilor de asigurare de evaluare si promovare a asigurarilor de risc cibernetic il poate reprezenta si randamentul investitiilor in securitatea informationala, un indicator care, de asemenea, nu poate fi evaluat usor. O propunere de calcul ar putea veni chiar din partea ENISA, prin introducerea unei masuri specifice, denumita „randamentul investitiilor de securitate” (engl. „return on security investment” – R.O.S.I). Domeniul securitatii nu este generator de venit, insa previne pierderile asociate exploatarii unei brese de securitate. Astfel, pentru a furniza o masura cantitativa, evaluarea oricarui analist trebuie facuta din perspectiva pierderii care a fost impiedicata fata de bugetul alocat initial pentru prevenirea acesteia. Recomandarea ENISA este aceeasi abordare bazata pe riscuri, definind urmatoarele componente:

Estimarea unei singure pierderi (engl. „single loss expectancy”), reprezentand costurile totale asociate pierderilor in cazul unui singur eveniment,

Rata anuala de aparitie (engl. „annual rate of occurence”), reprezentand probabilitatea asociata materializarii unui risc in decursul unui an,

Estimarea pierderii anuale (engl. „annual loss expectancy”) fiind egala cu produsul dintre primul indicator (estimarea unei pierderi) si cel de-al doilea (probabilitatea materializarii evenimentului).

Prin utilizarea componentelor mentionate anterior, orice entitate ar fi in masura sa determine nivelul investitiilor de securitate cibernetica. Insa si limitarile acestei abordari raman aceleasi, deoarece componentele de evaluare ale randamentului investitiilor de securitate se bazeaza doar pe estimari si nu pe date exacte sau actuariale, nefiind disponibil un proces de asigurare a unor informatii istorice. Suplimentar, cum tendinta amenintarilor cibernetice este de a se schimba frecvent in modul de operare si in tehnologiile utilizate, astfel incat chiar si in momentul in care ar fi colectate informatii relevante, caracteristicile de atac s-au modificat, astfel incat datele nu mai pot furniza niste rezultate de valoare.

De cele mai multe ori, securitatea informationala este vazuta nu ca o investitie in urma careia se asteapta un venit, cu toate ca termenul este utilizat in planificarile bugetare periodice, ci ca un simplu cost care ar putea fi acoperit prin prevenirea pierderilor in cazul exploatarii unei vulnerabiliati de sistem informatic.

Pana in prezent, singura observatie clara asupra randamentului investitiilor in securitatea cibernetica o reprezinta faptul ca poate fi asociat cu nivelul pierderilor asteptate in urma unui eveniment nedorit. Intr-un articol inca de la inceputul anilor 2000, printr-un model ce ramane relevant ca si metodologie si in prezent, Gordon si Loeb formuleaza urmatoarele concluzii, si anume faptul ca nivelul optim al investitiilor in securitatea cibernetica nu creste intotdeauna o data cu magnitudinea vulnerabilitatilor pe care incearca sa le acopere si mai mult, costurile implicate nu ar trebui sa depaseasca aproape niciodata pragul de aproximativ 37% din pierderile potentiale.

In contextul in care riscurile cibernetice incep sa iasa din sfera departamentelor IT, devenind astfel o problema cu impact direct asupra mediului operational (de afaceri) al companiilor, strategiile de gestiune a riscurilor asociate ar trebui sa includa tot mai des instrumente de transfer prin polite de asigurari specifice. Pana in prezent, acestea reprezentau un nivel de protectie suplimentar, insa in contextul atacurilor tot mai complexe si a ratei de succes, se transforma intr-o necesitate in contextul masurilor de prevenire a atacurilor cibernetice.

Trebuie tinut cont de faptul ca sustinerea oricarei metodologii deja existente, poate porni de la o combinatie de optiuni, si anume de retinere a unor riscuri (internalizarea unor riscuri reziduale), de reducere a unor riscurilor semnificative considerate ca pot fi gestionate in cadrul companiei prin resursele si personalul deja existent, si apoi asigurarea celorlalte evenimente.

CAPITOLUL 5: Modelul de simulare al unui atac cibernetic major

Domeniul securitatii ciberneticii este caracterizat de asimetrie informationala (incertitudine), de un grad mare de complexitate a proceselor si o diversitate a rolurilor umane implicate. Insa prin procese de simulare se poate reda o imagine a efectelor componentelor acestuia, putand fi testate in acelasi timp scenarii de schimbări în procesele specifice, in resursele alocate și programe, fără implicarea suplimentara a unor costuri si investiții majore sau generarea unor riscuri suplimentare. In completarea tehnicilor de simulare, modelarea bazata pe agenti inteligenti poate defini sisteme caracterizate de autonomie și interacțiuni in vederea obtinerii unor scopuri predefinite. In cadrul acestui capitol se prezintă metodologia de utilizare a agentilor ce simuleaza un mediu cibernetic pentru a permite o mai bună înțelegere a fluxului de prevenire a atacurilor cibernetice (indiferent de magnitudinea acestora) si de a oferi un cadru de studiu al impactului economic asupra entitatii afectate de eveniment. De asemenea, poate îmbunătăți si performanța in cadrul proceselor de gestiune a riscurilor specifice in domeniul securitatii informationale.

Metoda de simulare a proceselor este propusă pentru a crea un cadru logic de analiza a problemelor existente, caracterizate de complexitate, cat și pentru a evalua aplicabilitatea rezultatelor si a soluțiilor propuse in lipsa validarii modelului prin date statistice disponibilie. In cadrul modelului sunt evidentiate trasaturile unui atac cibernetic descrise in capitolele anterioare, urmarind rezultatele de impact, prin modul de definire al agentilor inteligenti (caracteristicile), cat si prin logica de configurare a interactiunilor dintre acestia. Prin acest studiu este astfel propusa o planificare optimă pentru imbunatatirea si evaluarea efectelor unui eveniment cibernetic major (asemanator unui razboi cibernetic).

Modelele multi-agent reprezinta o oportunitate in mediul de analiza si programare pentru simularea aplicațiilor de securitate informationala, într-un mediu in care de cele mai multe ori resursele, datele de lucru, controlul și procesele sunt distribuite pe o scară largă de variabile, de cele mai multe ori de tip calitativ. Redarea activităților și a rolurilor din interiorul unui sistem cibernetic, la care se adauga si componenta atacatorului poate fi folosita pentru a sustine procesele de studiu ale eficienței abordarilor curente de securitate, cat și influența alegerilor diferitelor politici de adresare a unor evenimente, dar si de cuantificare (mai ales in momentul disponibilitatii datelor statistice) a impactului atacurilor informationale.

Cu toate acestea, punerea în aplicare a sistemului multi-agent este limitată de indisponibilitatea informatiilor statistice din partea entitatilor care se confrunta in mod real cu exploatari ale breselor de securitate, impactand astfel negativ mai ales validarea oricarui model, dar si capacitatea de dezvoltare a sistemelor bazate pe agenți intr-un mediu dedicat programabil, fiind utilizate doar ipoteze teoretice, asemanatoare cu cele emise in capitolele anterioare, bazate doar pe estimari (indirecte) ale variabilelor necesare pentru asigurarea unui nivel ridicat de acuratete a modelului. Astfel, chiar si după ce un astfel de sistem este in totalitate construit, prezinta dificultatea de a fi testat și de a-si menține caracteristicile de actualitate din cauza complexității sale si a vitezei de evolutie tehnologice, ce genereaza noi riscuri si noi spete ce ar trebui incluse in mod continuu in cadrul modelului. Insa prin propunerea utilizarii unor agenti ce invata progresiv si a unor procese de automatizare, prin gradul de flexibilitate privind introducerea de noi variabile si reguli de interactiuni, procesul de analiza isi poate pastra astfel relevanta.

O abordare bazată pe roluri, din care agentii sa isi poata alege caracteristicile in functie de incarcarea modelului ajuta de asemenea la construirea sistemelor multi-agent pentru o simulare eficienta a mediului cibernetic. Prin această metoda, roluri conceptuale asignate unor functii reale, precum analisti de securitate informationala, administratori de sisteme IT, a coordonatorilor generali de procese, chiar si a atacatorilor, sunt definite printr-un set de cunoștințe specifice domeniilor operationale aferente, incluzand resursele caracteristice de care dispun, interactiunile si permisiunile, relațiile de organizare, etc. Orice agent poate fi considerat un „container” ce poate acumula si utiliza informatii prin reguli de motivație (avand un obiectiv prestabilit), prin procese si algoritmi de invatare, dar care este caracterizat și de o capacitate de rezolvare a problemelor ce poate fi folosita in redarea cat mai exacta a oricarei situatii si/sau entitati reale dintr-un mediu de productie aferent. Fiecare agent definit poate sa fie configurat pe baza unui set de specificații clare, în funcție de cerintele si caracteristicile entitatii reale pe care o reda in mediul simulat. Astfel, instanța agentului inteligent este generata in mod dinamic ca si reprezentare a entitatii reale ce poate intra o data „caracterizat” în sistemul controlat.

Tot in cadrul acestui capitol, va fi descris un proces de generare si alocare automata a agentilor, care utilizează instrumentele și mecanismele existente cât mai mult posibil, in cadrul caruia orice utilizator sa poata selecta componente deja predefinite si să creeze conexiunile necesare între agenti în funcție de cerințele screnariului pe care il ruleaza. Aceasta etapa de optimizare a modelului permite agentilor sa fie utilizati sub forma unor obiecte flexibile, adaptabile. Urmarim crearea unei arhitecturi de agenti agent ce este guvernata de functii de utilitate, prezentand in acelasi timp si raționamente cantitative pe baza carora sa interactioneze. În cele din urmă, in cadrul acestui capitol va fi prezentat un instrument de execuție, decizional, în care agentii de lucru preiau roluri, planifica și simuleaza sarcinile asignate, colaborand intre ei pentru a atinge un obiectiv complex:

procesul de intelegere al comportamentului factorului uman atat in abordarea problemelor de securitate cibernetica dar si in ipostaza de atacator,

obtinerea unor rezultate cuantificabile, a constientizarii efectelor economice asupra entatilor impactate de un atac cibernetic.

Metodologia de definire a agentilor inteligenti

Termenul de „agent” este utilizat pentru definirea oricarei entitati din cadrul sistemului propus, ce prezinta proprietăți cheie precum abilitatea socială (de interactiune cu ceilalti participanti ai sistemului pe baza unor parametri predefiniti), autonomie, reactivitate in functie de reglulile stabilite și proactivitate in vederea atingerii scopului. In acelasi timp, un sistem multi-agent reprezinta un grup de astfel de entitati care interacționează unele cu altele, avand un scop comun de a rezolva problemele complexe pentru care au fost definiti. Astfel, metodologia multi-agent propusa prezinta o platformă eficienta prin intermediul careia se reprezinta entități reale si se optimizeaza fluxurile operationale, logistice, precum se evidentiaza in mod clar și rezultatele de impact.

Datorita acestor caracteristici de modularitate, de functionare eficienta in contextul schimbarii unor variabile interne si abilitatea de a fi usor reconfigurati prin intermediul programelor informatice, modelarea bazata pe agenti (M.B.A) reprezinta un instrument optim ce poate fi utilizat pentru îmbunătățirea performanței si pentru evaluarea sistemelor de securitate si a elementelor conexe; reprezinta un instrument eficient in analiza operationala a proceselor stocastice ce caracterizeaza mediul cibernetic, prin intermediul caruia se poate intelege mai bine experienta unei amenintari cibernetice.

Asa cum am mentionat si in capitolele anterioare, in contextul in care niciun atac cibernetic nu a fost facut public in mod formal, simularea proceselor implicate reprezinta cea mai eficienta solutie, modelele aplicandu-se mai usor modelarii complexe decât soluțiile analitice (matematice) deja existente. Insa cel mai greu element de modelat il reprezinta, pe langa gradul de incertitudie si variabilitate, factorul uman. Fara implicarea prin agenti cel putin a reprezentarii participantilor umani precum personalul cu experiență în operarea și administrarea sistemelor informatice si a atacatorului mediului cibernetic, o simulare semnificativa in vederea obtinerii unor rezultate relevante nu ar fi posibilă. Iar prin adaugarea a cat mai multor caracteristici ale comportamentului uman ale participantilor, modelul apropie cat mai mult de realitate, putand si invata chiar si anticipa aparitia unor problemele. Cum foarte multe alegeri in situatia unui atac cibernetic sunt luate de factorul uman si nu conform unui algoritm rational predefinit, chiar si in contextul unui cadru metodologic de securitate bine pus la punct, o standardizare printr-un model corect definit, conform unor standarde in domeniu, poate reprezenta un instrument de lucru puternic.

Insa o alta problema ce poate fi intalnita in implementarea modelelor complexe il reprezinta pierderea obiectivului initial, in cadrul proceselor decizionale definite, fie din cauza lipsei de variabile prin care se poate pierde informatie, fie prin ingreunarea proceselor cu prea multe variabile, ducand astfel la un model greoi, ce nu aduce niciun plus de valoare; poate fi cazul unei metodologii cu un nivel prea ridicat de abstractizare, indepartata astfel de obiectivele din realitate. Tehnologia bazată pe agenti aplicata corect, reprezinta in acest context o opțiune eficienta pentru evitarea problemelor mentionate anterior.

Asa cum am mentionat anterior, in cadrul unui sistem, agenții acționează în mod autonom, prin urmarirea realizarii propriilor interese definite initial, prin interacțiunile dintre ei si prin mecanisme de schimb de informații și de negociere, furnizand astfel un nivel ridicat de flexibilitate si adaptabilitate. Punctual, în cadrul unui sistem de securitate cibernetica, fiecare operațiune și persoana poate fi reprezentata de un agent propriu. Restrangand activitatea in cadrul modelului la scopuri simple dar clare, agentii pot prezenta un grad mai mare de siguranta in atingerea obiectivelor si in furnizarea unei valori adaugate procesului de analiza dorit. De exemplu, un agent asociat unui ofiter de securitate informationala se poate concentra asupra mentinerii unui numar cat mai mic de riscuri specifice considerate critice, prin notificarea masurilor de remediere, iar un agent asociat unui atacator poate să depună eforturi semnificative in obtinerea unui anumit nivel al profitului, redat chiar printr-un element pe care primul agent incearca sa-l protejeze.

O atentie sporita trebuie alocata insa procesului de configurare al agenților astfel incat sa prezinte un comportament orientat spre indeplinirea propriilor lor interese, prin care sa furnizeze o soluție optimă pentru întregul sistem. Astfel, in contextul datelor prezentate in capitolele anterioare, obiectivele studiului prezent devin urmatoarele:

îmbunătățirea si chiar optimizarea utilizarii resurselor disponibile,

definirea unor elemente ce ar putea caracteriza in mod eficient impactul unei amenintari cibernetice in eventualitatea materializarii acesteia, si

furnizarea unor masuri de adresare a vulnerabilitatilor de securitate.

Ideea de bază a modelului bazat pe agenti este de a furniza un instrument decizional, de analiza, si nu de evaluare din punct de vedere tehnic (aceste subiecte sunt prezentate in detaliu in lucrari de specialitate din domeniul ingineriei, existand foarte multe studii orientate pe aceste aspecte functionale). Din punct de vedere grafic, modelul conceptual este prezentat în figura următoare:

Figura 22. Componentele modelului utilizat in procesul de analiza a unui atac cibernetic complex

Suplimentar, in vederea imbunatatirii continue a modelului prin adaptarea oricarui agent din cadrul modelului prezentat la diverse medii de afaceri, in funtie de obiectivul simularii, trebuie sa aiba in vedere includerea cel putin a seturilor de informatii prezentate mai jos:

Atributele (caracteristicile), cum ar fi numele rolului pe care il primeste și elemenele de identificare in contextul mediului simulat.

Obiectivele, pentru care trebuie definit, pentru fiecare scop in parte, un arbore decizional. Acesta reprezinta descrierea ierarhică a alternativelor pe care agentul le are astfel incat sa isi atinga obiectivele de lucru.

Setul de acțiuni care pot fi efectuate de către agent, specifice rolului atribuit.

Permisiunile si conditiile caracteristice rolului asociat agentului, conditiile care specifică ce informații și resurse să poată fi accesate de catre agent in interactiunile cu alti agenti.

Setul de protocoale care descriu modul în care agentul ar trebui să interacționeze cu alti agenti in spatiul cibernetic simulat.

Cu cat agentii contin mai multe caracteristici, actiuni de indeplit, cu atat procesul de programare al acestora devine mai complex, fiind necesar chiar in unele cazuri implicarea specialistilor in domeniile modelate, acestia fiind cei mai familiari si in masura sa faca recomandari programatorilor in vederea definirii agentilor. De aceea este utila crearea unor entitati cu scopuri de lucru cat mai clare si mai simple, chiar daca este nevoie de segregarea in detaliu si implementarea mai multor agenti care sa colaboreze astfel incat sa fie obtinut un scop mai complex. Avantajele principale ale modelului bazat pe agenti reprezinta:

Posibilitatea de a integra in cadrul analizei a unor entitati eterogene (prin definirea agentilor ca si reprezentari ale rolurilor reale dar si prin definirea resurselor utilizate),

Abilitatea de a aborda modelul din multiple perspective in aceeasi etapa de simulare (cea a victimei si cea a atacatorului cibernetic),

Obtinerea unor raspunsuri decizionale rapide prin definirea usoara a caracteristicilor necesare si prin interactiunea cu o interfata grafica orientata utilizator.

Prezentate in capitolul 2 al lucrarii, exista deja o multitudine de modele ce abordeaza atacurile cibernetice, insa exclusiv din perspective precum imbunatatirea functionalitatilor tehnice, a configurarilor de securitate sau de intelegere a comportamenului atacatorului prin modul in care sunt afectate resursele atacate, furnizand de cele mai multe ori date cantitative legate de aceste aspecte, chiar si prin asocierea unor costuri pentru eficientizarea proceselor tehnologice.

Insa pe langa aceste aspecte, asa cum am sustinut in capitolul 4, este necesara dezvoltarea acestui instrument decizional, de evaluare a impactului din perspectiva unei gestiuni eficiente a resurselor deja existente, la un nivel mai ridicat decat componentele tehnice. Acestea pot fi usor reorganizate ulterior, pe baza unei metodologii mature, existente (prin standarde si cercetari deja validate), dar orice decizie de management trebuie sa fie sustinuta in mod corespunzator prin date economice, informatii care in prezent sunt limitate. Modelul de atac cibernetic sustinut in cadrul acestei lucrari este util partilor interesate de procesele decizionale, a metodologiei de evaluare a aspectelor economice calitative greu de analizat, a managementului executiv din cadrul unei companii, etc.

Pentru a asigura o interactiune eficienta a oricarui analist al modelului de atac cibernetic este necesara de asemenea utilizarea unui sistem informational de procesare a datelor instantelor de simulare, iar in sectiunile urmatoare este prezentata utilizarea unui mediu dedicat de vizualizare ca si interfață de simulare, asa cum reiese din figura urmatoare:

Figura 23. Interfata grafica a panoului de monitorizare al amenintarilor la nivel de retea

Prin definirea caracteristicilor agentilor in interfata interactiva pot fi evaluate mai usor interactiunile dintre nivelurile diferite ale acestora. In locul introducerii unor niveluri exacte ale variabilelor definite in modele matematice, prin aceasta integrare dinamica se pot modifica in timp real valorile caracteristicilor, fiind furnizat astfel un instrument flexibil de prezentare a unor scenarii operationale diferite de securitate cibernetica. Astfel, poate fi livrata o înțelegerecomple\tă a fluxului complex de actiune si mai mult, pot fi testate anumite decizii, inainte ca acestea sa fie luate, in vederea evaluarii efectelor fara alte costuri sau riscuri aditionale.

Componentele modelului de atac cibernetic

In contextul modelului de amenintare cibernetica si a componentelor principale care intra in procesul decizional prezentat in figura 22, obiectivul acestei sectini este de implementare a unei arhitecturi functionale bazata pe agenti inteligenti care sa simuleze mediul cibernetic, prin redarea curenta a operatiunilor si functiunilor participantilor din sistemul real. Asa cum mam mentionat si anterior, acesta poate facilita pentru orice analist sau factor de decizie impactat la un moment dat de componenta de securitate informationala, un instrument de validare a unor noi ipoteze care sa caracterizeze cat mai eficient utilizarea de resurse disponibile, realocarea imbunatatita a unor bugete sau pur si simplu testarea rezultatelor unor interactiuni, urmarite pe baza tendintelor din mediul cibernetic de la un moment dat.

Structura modelului si a entitatilor componente

Obiectivul principal in reprezinta optimizarea proceselor reactive ce rezulta in urma materializarii unor amenintari cibernetice, in vederea obtinerii unor actiuni proactive, optimizate din punct de vedere operational, astfel incat utilizarea oricaror instrumente disponibile va fi facuta in vederea reducerii costurilor asociate livrarii controalelor de securitate informationala. De asemenea, prin acest model, se pot furniza raspunsuri pentru cel putin cateva intrebari care guverneaza in prezent mediul decizional cibernetic, cu privire la:

Construirea unui model corespunzator din punct de vedere comportamental al agentilor aflati in continua schimbare,

Aplicabilitatea acestuia mai ales la nivel macro (privit din punct de vedere al magnitudinii caracteristice unui razboi cibernetic),

Transpunerea conceptelor intr-o aplicatie fiabila, un sistem distribuit, astfel incat componentele sa interactioneze independent de locatie (de unde rezulta astfel utilizarea modelarii bazate pe agenti independenti),

Utilizarea rezultatelor in vederea alocarii optime a resurselor disponibile,

Folosirea modelului pentru a propune procese decizionale îmbunătățite, în scopul de a îmbunătăți eficiența proceselor deja existente (defensive), si cel mai important, de a reduce costurile mari asociate cu un atac cibernetic.

In contextul unei aplicatii distribuite, fiecare instanță a unui agent astfel definit poate fi considerata o entitate software, de sine statatoare, care îndeplinește funcții specifice și, de asemenea, coordonează și comunică in acelasi timp cu alte instanțe de agenti. Solutia software permite definirea si introducerea unui numar foarte mari de entitati de analiza, prin simpla definire a parametrilor de actiune a acestora, fie dintr-o lista deja disponibila sau prin posibilitatea de customizare a unor noi variabile.

Astfel, am definit agentii care sa simuleze atat rolurile implicate in adresarea si tratarea unei exploatari de sistem cat si pe cele ale atacatorilor, conform Anexei 3 si sumarizati in tabelul de mai jos:

Tabel 9. Caracteristicile definite ale agentilor modelului unei amenintari cibernetice

Deoarece obiectivul studiului este dat de razboiul cibernetic, in contextul limitarii disponibilitatii datelor de analiza, am restrans studiul efectelor economice la nivelul caracteristicilor intalnite cel mai des la nivel de organizatie. Insa prin introducerea unor caracteristici suplimentare, specifice mediilor macroeconomice, modelul poate fi usor extins pentru a reflecta un nou mediu real, mai complex. Atat modelul de atac cibernetic cat si programul software utilizat permit adaugarea unui numar nelimitat de agenti ce pot lua roluri suplimentare si care pot dispune de o multitudine de resurse in procesul de simulare (de exemplu, rolul unei institutii de reglementare si introducerea unor noi variabile, specifice unui atac major).

Structura modelului propus este simetrica, astfel incat se identifica patru mari grupe de agenti, dar care, in egala masura, pot reprezenta un punct de pornire. Astfel, modelul prezinta un grad foarte mare de flexibilitate, deoarece poate fi privit din oricare perspectiva: a atacatorului, a analistului de sistem, a ofiterului de securitate si mai ales din punctul de vedere al angajatului non-tehnic.

O versiune simplificata a modelului ar putea fi redata doar prin utilizarea a trei componente, a agentilor tehnici, a celor non-tehnici si a atacatorilor, insa foarte multe din caracteristicile comportamentale si-ar pierde din valoare, prin estomparea unor variabile ce impacteaza in mod direct utilizarea resurselor prin rezultatele finale. De asemenea, acest tip de structura propusa, incorporeaza si o abilitate de interactiune ridicata a fiecarui participant, printr-un nivel foarte inalt de conectivitate intre agenti. Alaturi de caracteristica de simetrie, permite orice perspectiva de concentrare a procesului de evaluare a modelului asupra oricarui grup de interes (de agenti), valoarea obtinuta fiind la fel de relevanta, indiferent de obiectivul urmarit.

La nivel simplificat, structura simetrica a modelului poate fi vizualizata ca mai jos:

Figura 24. Structura simetrica a modelului bazat pe agenti propus

Fiecare cerc din figura 24 poate reprezenta fie un singur agent (de ex. un atacator), pana la un grup de agenti, care interactioneaza atat intern (in cadrul grupului), cat si cu celelalte entitati participante in model.

Astfel, o colectie de agenti poate include entitati cu acelasi scop, sporind astfel sansele de succes, de maximizare a functiei obiectiv in cadrul unei simulari (de ex. atacatorii tehnici si cei care prezinta cunostinte foarte bune legate de domeniul de afaceri tinta, putand fi in cazuri extreme chiar si agenti din alt grup, simuland astfel un atacator real intern, angajat chiar al organizatiei vizate).

Conceptual, daca sunt introduse si resursele din cadrul unei retele organizationale (transferabile simbolizate cu verde si non-transferabile cu albastru), schema se poate reda sub forma unui proces de planificare si insiruire a evenimentelor de interactiune din cadrul modelului (in functie de timpul in care au fost inregistrati Tx):

Figura 25. Structura conceptuala a modelului din perspectiva evenimentelor de retea

Etapele de lucru parcurse in construirea arhitecturii modelului sunt sunt prezentate de asemenea succint mai jos, urmand ca in sectiunile urmatoare sa fie completate de imagini efective din etapele de simulare si din aplicatia dedicata de analiza:

Definirea in sistem a caracteristicilor agentilor si a resurselor,

Stabilirea perioadei pe parcursul careia au fost izolate datele colectate de sistem,

Verificarea si validarea etapei de simulare,

Simularea mai multor pasi prin modificarea parametrilor de intrare stabiliti,

Analiza rezultatelor etapelor de simulare.

In prezent se dezvolta din ce in ce mai multe solutii de analiza si simulare a evenimentelor de securitate, in vederea furnizarii functiilor de baza necesare proceselor de evaluare a resurselor tehnologice la nivel de retea. Aceasta perspectiva de combatere a exploatoarii breselor de securitate primeste foarte multa atentie din punct de vedere al cercetarii, deoarece resursele perimetrale la nivelul retelelor oricarei organizatii reprezinta primele si cele mai importante elemente ce trebuie protejate, deoarece o data intrat in retea, orice atacator se poate folosi de resursele interne, deja interconectate si tratate diferit fata de prima linie defensiva, aflata la granita din Internet.

Pentru etapele initiale de simulare a modelului bazat pe agenti propus, a fost utilizat, asa cum am mentionat anterior, modului de gestiune a colectarii datelor legate de amenintari (engl. „Threat Intelligence Management”). Platforma completa, QRadar (Risk Manager), furnizeaza mijloacele de „monitorizare a topologiei unei retele, prezentand in acelasi timp si configurari de prevenire si detectie a intruziunilor in sistem. De asemenea, acesta prezinta si abilitatea de a simula atacuri la nivel de retea astfel incat sa modeleze schimbari ale parametrilor de securitate in vederea evaluarii impactului acestora asupra mendiului informational”. Prin utilizarea unui sistem software, instanțele agentilor in scop sunt astfel generate in mod automat pe baza definițiilor caracteristicilor, transpuse in functii predefinite de corelare si interactiune, pe baza carora rezulta la final o functie caracteristica a unui tip de amenintare cibernetica. Aceasta poate rezulta in furnizarea unor niveluri generale de impact, din urmatoarele puncte de vedere:

Financiar si/sau de conformitate – cat de mult este afectata o entitate, in urma unui atac (de ex. mai putin decat costul de remediere a vulnerabilitatii, impact inregistrat in profit, costuri semnificative ce egaleaza profitul, faliment – scoaterea din piata, etc.),

Reputational si/sau de confidentialitate – cat de mult este afectata imaginea de afaceri (de ex. pierderea unui portofoliu de client daune asupra marcii entitatii, etc.).

Arhitectura agentilor in cadrul sistemului

Fiecare agent/clasa de agenti este definit/a in cadrul aplicatiei prin caracteristicile prezentate in sectiunea anterioara. Astfel, asa cum am mentionat anterior, entitatile de tip specialisti IT pot reprezenta fie un singur analist, caracterizat de un singur set de variabile, fie un grup de analisti, ce urmaresc indeplinirea aceluiasi obiectiv.

Figura 26. Interfata grafica de definire a agentilor tehnici de tip „Specialist IT”

Pe baza arhitecturii generale a unui agent si a functionalitatilor disponibile in aplicatia de gestiune a amenintarilor dedicata, interfata grafica de definire a agentilor „SpecIT” este reflectata in figura nr.25. Utilizatorul stabileste astfel mecanismele agentilor de executie si de analiza, prin selectarea valorilor componentelor prestabilite, conform Anexei 3 a lucrarii.

Comportamentul acestei clase de entitati trebuie privit ca o functie bazata pe variabilele mentionate anterior si a mediului in care interactioneaza:

C_sIT = f(sIT_DetectAttack, sIT_AdminVulnerab, sIT_Maturity, sIT_Interact, sIT_Scope)

In mod similar, agentii de tip ofiterii de securitate informationala creeaza o alta clasa, care interactioneaza foarte mult cu specialistii IT, simuland astfel procesul de transmitere a masurilor de remediere a vulnerabilitatilor de sisteme, de informatii legate de cele mai bune practici in domeniu, etc. In general, departamentele de risc, de gestiune a securitatii informationale prezinta cel mai ridicat grad de comunicare cu toti ceilalti participanti din procesele operational-tehnologice. Acest aspect simuleaza mecanismele de adresare a monitorizarii posibilelor brese de securitate, de transmitere a unor linii directoare cu privire la bunele practici ce trebuie aplicate de angajati, etc.

Componentele ce definesc acest tip de agent sunt prezentate in figura de mai jos:

Figura 27. Interfata grafica de definire a agentilor tehnici de tip „Ofiter de securiate informationala”

Functia care guverneaza comportamentul acestui grup de agenti este data de relatia:

C_InfoSec = f(IS_Ctrls, IS_Confid, IS_Integr, IS_Availab, IS_interact, IS_Scope)

In ceea ce priveste grupul de agenti non tehnici, acesta este in general tratat sub forma de clasa, un singur agent de acest tip intr-un proces de simulare nefacand sens decat in cazul simplificat, de interactiuni intre entitati individuale, cate un singur reprezentant. Insa acest caz este relevant mai mult in evaluarea impactului unei variabile sau a mai multor caracteristici asupra alteia/altora.

Procedurile de adaptare ale agentilor non-tehnici (si ale tuturor celorlalte clase de entitati software) sunt puse în aplicare în cadrul scenariilor de simulare, astfel incat toti participantii acționeaza în funcție de celelalte activitati decizionale ale echipei din care un agent face parte, dar si in functie de reacția mediului (prin datele corelate la nivel de retea). Scenariile comportamentale ale claselor de agenti definite in cadrul modelului de atac cibernetic asigura consistența procesului de analiza prin variabilele definite. In cazul agentilor non-tehnici, caracteristicile definite in interfata sunt:

Figura 27. Interfata grafica de definire a agentilor tehnici de tip „Angajat non-tehnic”

Asa cum am mentionat anterior, trasaturile definite sunt intr-o oarecare masura conturate cu o componenta majora generata tot din domeniul IT/informational (de ex. nivelul de cunoastere al standardelor interne, reglementarilor de securitate, etc.).

Functia care guverneaza comportamentul acestui grup de agenti este data de relatia:

C_NonTehn = f(NT_Access, NT_Aware, NT_Interact, NT_Scope)

Comportamentul agregat al intregului sistem este evidentiat prin interacțiunile anumitor agenți, in functie de stabilirea nivelului în interfetele grafice. Modelul, redat prin rețeaua de calculatoare si prin datele colectate de platforma suport QRadar influenteaza agentii non-tehnici tot din perspectiva securitatii informationale, chiar daca acestia au definit un obiectiv de business. Scenariile de comportament ale acestora reprezintă diferitele etape de acțiuni intreprinse de clasa de agenti.

Agentii de tip atacatori pot fi in schimb evaluati atat la nivel individual, cat si la nivel de clasa. Prin simularea mecanismelor utilizate pentru depasirea obstacolelor de securitate, prin redarea unor operatiuni coordonate in exploatarea breselor de sisteme reprezinta doar cateva dintre strategiile ce trebuie luate in considerare in momentul modelarii unui atac cibernetic. Interfata de definire a acestui grup de agenti din cadrul modelului este redata in figura urmatoare:

Figura 28. Interfata grafica de definire a agentilor tehnici de tip „Angajat non-tehnic”

Functia care guverneaza comportamentul acestui grup de agenti este data de relatia:

C_ATip_n = f(ATT_Type, ATT_Underst, ATT_Competent, ATT_Interact, ATT_Scope)

Astfel, agentii definiti in echipele mentionate anterior prezinta interactiuni de cooperare, competitie dar si indiferenta, in momentul in care nu se inregistreaza o conexiune directa intre doua sau mai multe entitati. Participantii in cadrul modelului isi bazeaza comportamentul pe datele colectate si corelate din jurnalizarile inregistrate la nivel de retea, in cadrul orcarei organizatii, insa opereaza si cu o cantitate semnificativa de informatie incopleta, utilizand in acest caz metode de predictie, bazate pe baze de cunoastere mentinute de agentiile de softuri de securitate, prin platformele accesate de comunitatile de defensiva cibernetica, etc.

La nivelul aplicatiei de simulare, in cadrul unei iteratii complexe de simulare pentru evidentierea graficului interactiunilor la nivelul retelei de agenti, schema conexiunilor generate se prezinta ca in figura urmatoare:

Figura 29. Structura complexa a interactiunilor agentilor, intr-un pas de simulare aleator

In cadrul solutiei de Threat Intelligence Management, agentii predefiniti sunt programati sa estimeze de asemenea intențiile și acțiunile celorlalte entitati care participa intr-o etapa de simulare, pot încerca de asemenea să înșele agenții considerati concurenti (cum este cazul atacatorilor si al agentilor non-tehnici) si mai ales reacționează pe baza functiilor de comportament definite in cod.

Prin urmare, o componenta importanta a modelului din perspectiva comportamentului inteligent, complex al agentilor il reprezinta abilitatea acestora de a actiona in situatii de asimetrie informationala si de a gestiona cat mai eficient resursele/informatiile accidentale obtinute in urma interactiunilor.

Din punct de vedere al interactiunilor, la nivel general, aplicatia software utilizata prezinta mecanisme integrate de cooperare, limitate la nivelul componentelor sistemelor defensive (firewall, sisteme de detectare si prevenire a evenimentelor de securitate). In acest context, se pot delimita urmatoarele praguri:

Niciun nivel de interactiune, considerat nivel de cooperare 0 intre grupele de agenti, existand posibilitatea de a crea conexiuni doar intern, in cadrul grupurilor de entitati software,

Un nivel slab de interactiune, in care echipele de agenti primesc informatii cu privire la datele de traffic de la nivel de retea, aplicand functiile de comportament pe aceste date,

Un nivel ridicat de interactiune, in care clasele de participanti primesc informatii legate de trafic, la nivel de retea (legate chiar de atac), dar si informatii rezultate atat din mecanismele de cooperare interne cat si externe, dintre grupurile de agenti.

Un exemplu de atac cibernetic ce reflecta o situatie reala transpusa intr-o etapa de simulare, poate fi inteles mai bine prin diagrama grafica de mai jos si detaliile legate de interactiuni:

Fig. 30. Depasirea barierelor standard active de protectie informationala

In cadrul exemplului de mai sus, in cadrul modelului de atac, primul obstacol il reprezinta firewall-ul perimetral al retelei, reprezentand „granita” dintre Internet si reteaua interna a entitatii vizate de atac. Bineinteles, aceasta definire a blocajelor de acces este conceptuala, resursele de protectie utilizate in simulare reprezentand minimul de cerinte, putand fi adaugate si alte elemente pentru imbunatatirea gradului de complexitate al accesului neautorizat in cadrul unui atac cibernetic. Prin simpla adaugare a unor functionalitati de criptare a fisierelor in procesul de transmitere intre retele ar reprezenta un alt obstacol pentru care un atacator ar trebui sa consume resurse suplimentare (timp si experienta), putand fi considerat si un prag de descurajare a actiunilor acestuia.

Ca si exemplu real, aceasta bariera ar putea fi trecuta de un atacator prin identificarea unor porturi deschise in mod necorespunzator si executarea de cod malitios de la distanta prin exploatarea acestora. Odata ajuns in interiorul retelei, atacatorul trebuie sa gaseasca datele-tinta sau serviciile pe care vrea sa le blocheze. De cele mai multe ori, in acest punct are nevoie de combinatiile de conturi de utilizatori si parolele aferente ce au acces definit la nivelul resurselor vizate. Suplimentar, la nivelul unor servere de exemplu, s-ar putea lovi de al doilea nivel de firewall-uri create pentru a delimita zonele logice operationale (de test, productie, retele virtuale administrative, etc.). Insa prin spargerea parolelor sau identificarea altor porturi deschise in mod necontrolat, atacatorul poate trece si de aceasta etapa. Ultimul obstacol, in momentul in care ajunge pe serverul pe care sunt stocate informatiile sau ruleaza serviciile urmarite, din perspectiva atacatorului trebuie cercetate privilegiile de acces, pentru a descoperi astfel conturile cu drepturi de a ajunge la datele vizate fata de cele limitate, care nu reprezinta niciun ajutor. Cele mai des intalnite conturi si cele mai cautate sunt cele administrative, definite pe toate resursele din cadrul unei retele; si aici pot fi utilizate tehnici de spargere a parolelor sau chiar de ocolire a acestora.

Bresele de securitate identificate vor fi exploatate de catre atacator in momentul in care sunt identificate. De cele mai multe ori, in etapa de investigare a resurselor, atacatorul cauta si alte vulnerabilitati in sistemele adiacente, pentru a le utiliza in cazul in care o cale directa este prea greu de creat, creand astfel si alte cai potentiale de atac. In cazul diagramei conceptuale a modelului de atac cibernetic, este reflectata o metoda-pivot, prin intermediul careia infractorul „sare” de pe un server pe altul, identificand anumite servicii deschise in mod necorespunzator doar intre aceste doua resurse, cea din urma fiind configurata sa fie mai usor accesata dinafara ei (fiind considerata o resursa suport pentru serverul principal), in comparatie cu gazda-tinta, care este mai protejata datorita datelor sau a serviciilor criice stocate/rulate.

În cele din urmă, in cazul in care atacatorul nu mai necesita acces, poate incheia conexiunea, sau, pentru a asigura si alte castiguri pe durata mai lunga, poate crea si anonimiza o cale de acces pe care o va pastra deschisa, astfel incat sa o poata folosi si in viitoare atacuri, obtinand astfel si mai usor castigurile urmarite.

Definirea conceputului de „vector de atac”: Un vector de atac in cazul unei amenintari cibernetice reprezinta calea sau mijlocul de acces aleasa de catre un infractor cibernetic astfel incat sa obtina controlul asupra unei resurse informatice (de ex. un server sau mai complex, o rețea de calculatoare), prin utilizarea de cod malitios sau alte mijloace de atac. Astfel, adaptarea conținutului vectorului de atac în funcție de industria aleasă, fata de obiectivele urmarite, poate fi completata si de alte componente, cum ar fi ingineria socială. In functie de informatiile dorite sau de obiectivul urmarit, selectarea unui vector de atac trebuie definita in asa fel incat sa se potriveasca cel mai bine cu scopul și mai ales țintele de atac, deoarece de aceste elemente depinde procesul de dezvoltare a codului malitios ce va fi folosit, permitand astfel penetrarea și obtinerea controlului de la distanță intr-un mod cat mai silentios si de durata.

Vulnerabilitatile din sisteme pot fi vazute ca punctele de intrare pe baza carora infractorii isi construiesc calea de atac, si anume vectorul amenintarii. In cazul unui razboi cibernetic, acestea se pot gasi la orice nivel de clasificare: cu risc ridicat, mediu sau chiar scazut, cele mai multe probleme fiind generate de cele considerate mai putin importante. Aceste brese necesita de asemenea atentia in cadrul determinarii unui vector de atac de magnitudine mare, deoarece, nefiind adresate de cele mai multe ori cu rapiditatea cu care sunt remediate vulnerabilitatile ce prezinta un grad de risc ridicat, pot crea o adevarata reactie in lant, un avantaj semnificativ pentru un hacker.

Cum scopul in cazul unui razboi cibernetic il va reprezenta furtul de informatii critice, strategice, spionaj, etc., colectarea datelor de la nivel de retea, indiferent de clasificarea acestora in cadrul unei platforme dedicate (cum este solutia QRadar), este critica pentru identificarea vectorului de atac ce trebuie urmarit pentru a adresa cat mai eficient o amenintare informatica. Într-un sens general, vectorii de atac cibernetic insereaza o sectiune de cod intr-un sistem informatic deja existent, prin exploatarea unei vulnerabilitati a acestuia.

Deși in prezent nu există o clasificare formala a vectorilor de atac cibernetic din cauza diversitatii mari a componentelor (atasamente e-mail, mesaje instant – notificari, pagini web, inginerie sociala – prin dezvaluirea de informatii, etc.), acestia se pot clasifica de cele mai multe ori pe baza modului în care un infractor cibernetic interacționeaza cu resursele unei organizatii tinta sau cu personalul acesteia. De exemplu, in cazul unui fisier malitios, acesta trebuie descarcat si accesat de victima, necesitand si un oarecare nivel de interactiune umana. Pe de altă parte, un atac de tip injectare cod la nivelul unei baze de date necesită un nivel extrem de scazut de interacțiune cu componenta umana, deoarece resursele informatice proceseaza in mod automat sectiunea de cod o data primita. Aceste criterii mentionate anterior pot determina complexitatea unui atac. Astfel, in cazul ni care exploatarea unei brese de securitate necesită un grad de interacțiune mai scazut va avea, probabil, un impact mai puțin major (fiind in acelasi timp si foarte delimitat ca scop) decât exploatarea unei vulnerailitati ce prezinta un nivel ridicat de interacțiune, inclusiv cu victime umane.

Astfel, in contextul propunerii unei clasificari a vectorilor de atac cibernetic, acestia pot fi definiti in urmatoarele doua categorii:

Vectori de atac cu interactiune scazuta, in care numarul de resurse impactate este de obicei scazut la un moment de timp dat, obiectivul tinta fiind foarte bine orientat pe indisponbilitate de servicii sau furt de informatii de la nivelul unei baze de date. Pentru aceasta categorie, toata munca este efectuata integral de catre atacator.

Vectori de atac cu interaction ridicata, care depinde de un nivel mare de interacțiune cu victima vizata, deoarece, prin utilizarea unor programe rau intentionate accesate in mod necorespunzator, de exemplu angajatii entitatii vizate pot crea fara o implicare suplimentara din partea atacatorului calea de acces neautorizat catre mai multe resurse din cadrul retelei. In acest contect, nivelul de muncă foarte ridicat al infractorului cibernetic este depus înaintea desfasurarii atacului propriu-zis, iar deschiderea generala catre foarte multe zone de obtinere a informatiei in mod neautorizat este foarte mare, de unde rezulta si gravitatea unui astfel de vector de atac la un moment dat.

Asa cum am mentionat anterior, chiar dacă vulnerabilitățile sistemelor vizate, de risc mediu și scăzut sunt mai puțin periculoase, raman totusi semnificative pentru succesul unui atac. Un infractor cibernetic cu experiență, de cele mai multe ori are nevoie doar de identificarea si exploatarea unei singure brese de securitate dintre acestea pentru a provoca daune semnificative, cum ar fi furtul de date strategice sau de proprietate intelectuală.

Insa orice atac lasa o urmă, oricat de nesemnificativa sau de bine ar fi ea ascunsa in informațiile stocate în jurnalele de activitate, iar in contextul cresterii complexitatii oricarui tip de atac, modalitatea de detectie disponibila la nivelul corelarii evenimentelor de securitate din cadrul unei aplicatii software dedicate ramane analiza datelor fluctuatiilor de trafic la nivel de retea. Prin analiza acestei componente, din perspectiva caracteristicilor definite la nivelul unor entitati de detectie (cum sunt in cadrul modelului de simulare agentii de tip ofiteri de securitate a informatiei si/sau specialistii IT), pot fi determinate exceptiile de comportament inregistrate in momentul unui atac cibernetic orientat sau aleatoriu, participand cu succes la procesele defensive si chiar ofensive de securitate cibernetica.

Determinarea vectorului de atac specific razboiului cibernetic

Modulul software de simulare functioneaza ca un sistem de evenimente discrete ce se succed in timp, analizate din punct de vedere al traficului la nivelul retelei. Fiecare eveniment este inregistrat la un anumit moment in timp si marcheaza o schimbare a starii componentelor constitutive ale modelului simulat. Interfata solutiei prezinta date despre toti agentii si resursele implicate in model, prin reflectand grafice de trafic numarul de evenimente inregistrate de-a lungul timpului, semnalele de atac si valorile caracteristicilor care intra in componenta vectorului de atac inregistrat intr-o etapa de simulare.

Fereastra ce reda rezultatele de simulare prezinta de asemenea si resursele suplimentare, pe langa agenti (simbolizati de statii de lucru), impreuna cu legaturile dintre acestia si protocoalele de comunicare. Agentii isi pot schimba comportamentul la fiecare iteratie, in functie de stabilirea unor noi valori ale variabilelor care ii caracterizeaza, acestea reprezentand, asa cum am mentionat anterior, componentele functiilor de comportament, redate de protocoalele de interactiune proprietare aplicatiei utilizate. Suplimentar, pot fi modificati si parametrii resurselor, insa in contextul in care elementele cheie ale analizei impactului razboiului cibernetic sunt reprezentati de agenti si comportamentul acestora, au fost lasate sa fie alocate aletoriu de catre sistem, in functie de datele reale colectate la nivel de retea.

Aplicatiile operationale ale solutiei de Threat Intelligence Management, inclusiv agentii, sunt gazduite pe resursele de retea, in mod distribuit, iar modulele sunt conectate prin protocoalele de comunicare, „traduse” in cazul agentilor prin interactiuni. Diagrama de retea care se genereaza, pe langa graficele de trafic in functie de evenimente si de momentul inregistrarii acestora permite examinarea vizuala mai rapida a rezultatelor. Astfel, in cadrul aplicatiei, in functie de scenariul configurat prin caracteristicile agentilor, poate fi extras si redat vectorul de atac si nivelurile inregistrate la ale variabilelor, in momentul unui numar foarte mare de evenimente rezultat din intensificarea fluxului de trafic atunci cand se inregistreaza o exploatare de sistem, asa cum reiese si din imaginea de mai jos:

Fig. 31. Parametrii de retea inregistrati in functie de evenimentele interactiunilor dintre agenti

Astfel, pentru exemplul de mai sus, la momentele de timp 2:10 si respectiv 2:40 pe perioada analizata, se poate observa o crestere a numarului total de evenimente, generate pe clasele de agenti din modelul de simulare. Asa cum va fi evidentiat in continuarea acestei sectiuni, sunt redate in detaliu si valorile caracteristicilor agentilor, in momentul inregistrarii atacului la nivelul retelei. Acesta este evidentiat prin cresterea traficului si incarcarea retelei cu un numar mult mai mare de evenimente decat media. Atacurile evidentiate in acest exemplu, pe baza jurnalizarilor disponibile, nu sunt orientate spre o tinta anume, pot chiar fi considerate nesemnificative din punct de vedere securitate IT, deoarece nivelul traficului nu este mentinut, ci isi revine la valorile generale de fluctuatie, in urmatoarele 5 minute pe grafic. Astfel de cazuri sunt eliminate din procesul decizional, fiind inerente in contextul spatiului cibernetic. Evenimentele de securitate ce trebuie luate in calcul trebuie sa genereze fluctuatii mult mai mari de trafic si sa persiste pe o perioada mai lunga de timp, deoarece cu cat acestea dureaza mai mult la nivelul retelei, cu atat impactul este mai mare si afecteaza procesul decizional.

Mediul de simulare generat permite astfel dezvoltarea a mai multor experimente, prin alternarea caracteriticilor agentilor din model, astfel incat să poata fi investigate atacurile, strategiile de apărare, dar mai ales potențialul impact economic. Ultimul element de analiza reprezinta cel mai important factor decizional in mediul organizational. La nivel de natiune, acesta alterneaza in egala masura si cu strategiile de aparare.

In contextul in care scopul lucrarii de cercetare este concentrat asupra razboiului cibernetic, pentru determinarea variabilelor vectorului de atac specific modelului, atribuit unei astfel de amenintari, sunt prestabilite nivelurile anumitor caracteristici estimate pe baza detaliilor prezentate in capitolele anterioare. Acestea sunt prezentate mai jos:

Pentru Agentul de tip „Specialist IT”:

nivelul de detectare al unui atac (“sIT_DetectAttack”) a fost considerat variabil,

nivelul de administrare al vulnerabilitatilor de sistem (“sIT_AdminVulnerab” – variabil) si

gradul de interactiune cu ceilalti agenti (“sIT_Interact” – variabil),

pe baza studiilor lucrarilor de specialitate prezentate in capitolul 3 – sectiunea 3.1, nivelul de maturitate al agentilor de tip SpecIT (“sIT_Maturity”) va fi considerat de nivel mediu (clasificare 5), iar

obiectivul este unul tehnic (“sIT_Scope”), fiind clasificat la o valoare de nivel 3 conform Anexei 3 a lucrarii, reprezentand: (1) implementarea functionalitatilor tehnice de securiate si (2) adresarea controalelor operationale IT.

Observatie: Nivelul de interactiune, parametrii de cooperare a agentilor este tratat la sfarsitul determinarii tuturor celorlalte caracteristici a entitatilor software, pentru mai multe niveluri: non-cooperativ, cooperare partiala si completa.

Mai multe experimente au fost generate pe baza traficului de retea astfel incat sa fie determinate nivelurile variabilelor nedeterminate in contextul conturarii vectorului de atac al razboiului cibernetic. Aplicatia software utilizata foloseste algoritmi de invatare pe baza jurnalizarilor de retea astfel incat un atac poate fi identificat in momentul in care la nivelul modelului (reteaua) se prezinta mai multe adrese IP decat cele standard, detectand astfel o crestere peste pragul normal de activitate zilnica. Astfel, se inregistreaza si un efect asupra evenimentelor inregistrate pe secunda, un alt indicator care se modifica semnificativ in cazul exploatarii unei brese de securitate.

Fig. 32. Determinarea nivelului componentei[sIT_DetectAttack]

Pe baza simularii unui atac cibernetic in functie de variabila [sIT_DetectAttack] a fost obtinut graficul din figura 32. Se poate observa initial o variatie nesemnificativa a evenimentelor la nivelul traficului normal de retea (absenta unui atac cibernetic). In momentul in care o bresa de securitate incepe sa fie exploatata, se poate diferentia un numar din ce in ce mai mare de trafic neautorizat. In momentul in care atacatorul intra in retea, evenimentele de trafic neautorizate se suprapun cu traficul normal (simuland astfel faptul ca un atacator obtine date de autentificare valide sau isi mascheaza activitatea in spatele unor resurse valide). Acesta incepe sa fie detectat de catre agentii de tip SpecIT pentru un nivel mediu al variabilei in scop.

In momentul in care se ia decizia de blocare a atacului si se aplica masurile efective la nivelul resurselor afectate, traficul atacatorului incepe sa se diferentieze inca o data de evenimentele standard de retea. Acesta este inca prezent la nivelul modelului, insa activitatea sa poate fi identificata usor si separata de activitatea utilizatorilor non-tehnici de exemplu, sau a resurselor de retea valide.

Aplicatia permite si modificarea altor elemente legate de topologia rețelei și de configurarea acestia, de structura și configurația agentilor de atac și apărare din punct de vedere al timpului si numarului de evenimente, insa in contextul limitarii activitatii de cercetare la subiectul lucrarii, toti acesti parametri au fost lasati nemodificati, asa cum au fost presetati de catre aplicatie in fiecare etapa de simulare.

Pentru determinarea valorii variabilei [sIT_AdminVulnerab], a fost folosit aceeasi metodologie de simulare a traficului, in functie de aceasta caracteristica. Graficul rezultat este prezentat mai jos:

Fig. 33. Determinarea nivelului componentei[sIT_AdminVulnerab]

Traficul de atac nu depaseste un nivel de valoare 6 de exploatare al vulnerabilitatilor in procesul de simulare, prag peste care datorita procedurilor de adresare a breselor de securitate mature, mijloacele de intrare in reteaua unei victime prezinta o probabilitate foarte mica. Conform Anexei 3 a lucrarii, in care sunt explicate pragurile caracteristicilor agentilor, un nivel 6 reprezinta: standardizarea unui proces proactiv de gestiune a vulnerabilitatilor.

Pentru Agentul de tip „Ofiter de securitate informationala”:

nivelul de control existent la nivelul organizatiei tinta (“IS_Ctrls”) a fost considerat variabil, in timp ce

gradul de confidentialitate al datelor tinta (“IS_Confid”), nivelul de integritate (“IS_Integr”) si nivelul disponibilitatii informatiilor (“IS_Availab”) sunt considerate constante, fiind clasificate la urmatoarele valori, in concordanta cu nivelurile de maturitate a acestor arii specifice (capitolul 3 – sectiunea 3.1):

[IS_Confid] → 3: toate datele sunt clasificate, acces controlat, insa fara o monitorizare periodica.

[IS_Integr] → 7: Coruperea/ alterarea in proportie de peste 75% din date.

[IS_Availab] → 9: Informatiile/ serviciile tinta pot fi recuperate in proportie de 75%.

Observatia legata de determinarea nivelului de interactiune dintre agenti este aplicabila si in cazul acestei grupe de entitati software, deoarece nivelul de cooperare optim poate fi determinat in functie de participarea tuturor grupurilor din cadrul modelului fata de tipurile de evenimente pe care acestea le genereaza (trafic normal in comparatie cu traficul specific unui atacator).

Determinarea valorii variabilei [IS_Ctrls] a fost facuta pe baza rezultatelor grafice prezentate mai jos:

Fig. 33. Determinarea nivelului componentei[IS_Ctrls]

Pragul de 250 de evenimente inregistrate pe secunda la nivel de retea reprezinta nivelul sub care orice trafic, de orice natura, reprezinta o incercare de atac efectuata in mod aleatoriu. In contextul razboiului cibernetic, sunt luate in considerere doar amenintarile persistente; pragul sub care nivelul controalelor devine eficient se inregistreaza in jurul valorii de 4.5, fiind rotunjita superior in cadrul modelului astfel incat sa fie micsorata cat mai mult probabilitatea de evaluare gresita a unei incercari de atac.

Evenimentele de securitate sunt influentate in mod direct de configurarile din sisteme. In cazul in care exista mai multe restrictii (deci mai multi parametri definiti), cu atat traficul prezinta un nivel general mai scazut de activitate iar sistemele si resursele care comunica intre ele sunt prezentate la nivel de retea foarte des, astfel incat orice exceptie este usor identificata si clasificata ca o potentiala amenintare.

Pentru Agentul de tip „Angajat standard”:

nivelul de acces alocat in sistemele informatice (“NT_Access”) a fost considerat variabil, la fel si

nivelul de constientizare al amenintarilor (“NT_Aware” – variabil), in timp ce

obiectivul este unul de afaceri (“NT_Scope”), fiind clasificat la o valoare de nivel 8 conform Anexei 3 a lucrarii, reprezentand: operarea unor informatii sensibile (ex. liste de clienti, date de card, etc.).

Observatia legata de determinarea nivelului de interactiune dintre agenti este aplicabila si in cazul acestei grupe de entitati software, deoarece nivelul de cooperare optim poate fi determinat in functie de participarea tuturor grupurilor din cadrul modelului fata de tipurile de evenimente pe care acestea le genereaza (trafic normal in comparatie cu traficul specific unui atacator).

Fig. 34. Determinarea nivelului componentei[NT_Access]

Cresterea in intensitate din punct de vedere al traficului reprezinta inregistrarea unor conexiuni suplimentare fata de evenimentele standard. Faptul ca acestea prezinta o crestere constanta, reprezinta un atac persistent. Acesta insa nu mai evolueaza insa o data ce a atins un nivel de valoare 8 al variabilei [NT_Access]. Acest nivel ridicat este sustinut de faptul ca atacatorii au reusit sa obtina informatii sensibile de la victime (angajatii non-tehnici) sau chiar sa exploateze privilegii de acces semnificative, lucru foarte probabil in cazul unui atac cibernetic in care activiatea infractionala este orientata catre toate mijloacele de obtinere a accesului fraudulos, inclusiv exploatarea din punct de vedere umana.

In cazul determinarii nivelului componentei [NT_Aware], in cadrul unui pas de simulare de asemenea generat pe baza definitiilor agentilor si a configurarilor modelului din punct de vedere trafic de retea prestabilite de catre solutia de jurnalizare si corelare evenimente de securitate, din perspectiva gradului de constientizare a cerintelor de securitate ce influenteaza nivelul de maturitate a proceselor operationale din cadrul unei organizatii, a fost obtinut graficul din figura 35 de mai jos:

Fig. 35. Determinarea nivelului componentei[NT_Aware]

In momentul in care activitatea valida prezinta o intensificare (de ex. in intervalul de timp 12.45 si 12.50 din graficul anterior), la fel se intampla si cu incercarile de acces fraudulos, atacatorii incercand de cele mai multe ori sa exploateze orice sansa li se ofera, pe langa bresele clasice furnizate de vulnerabilitatile de sistem. Insa, se poate observa ca numarul de evenimente de atac sunt consecvente, si urmaresc aceeasi tendinta ca si traficul standard. In cazul in care nivelul de constientizare ar fi efectuat necorespunzator la nivelul unei organizatii-tinta, traficul neautorizat ar fi crescut la un moment dat, reprezentand exploatarea cu succes a unei erori umane (dezvaluirea necorespunzatoare a unor informatii ce pot fi folosite de infractori).

Insa cum numarul de evenimente de securitate neautorizate nu evolueaza mai puternic decat traficul standard, scazand chiar dupa ce atinge o valoare de 6 (conform Anexei 3 – nivelul notificarilor legate de cerintele de securitate efectuate de fiecare data cand se inregistreaza evenimente exceptionale). Dupa acest prag de cunostinte din partea victimelor, orice exploatare cu succes devenind ineficienta, timpul de exploatare a unei erori umane ce trebuie depus fiind prea mare, scazand eficienta unui atac, reflectat si de faptul ca traficul din pasul de simulare nu depaseste acest nivel.

Pentru Agentul de tip „Atacator cibernetic”:

In contextul prezentarii lucrarilor de specialitate din Cap. 3 – sectiunea 3.3, cu privire la tendintele comportamentale ale atacatorilor cibernetici, mai ales cu privire la complexitatea amenintarilor unui razboi cibernetic, marea majoritate a nivelurilor caracteristicilor vectorului de atac au fost prestabilite, dupa cum urmeaza:

tipul de atac (“ATT_Type”) a fost considerat in toti pasii de simulare ca fiind razboi cibernetic (aceasta variabila a fost definita pentru a putea oferi flexibilitate modelului, putand fi utilizat pana la nivel de organizatie, prin selectarea unor tipuri de atacuri specific acestui mediu), in timp ce

gradul de intelegere a proceselor de afaceri specifice mediului tinta (“ATT_Underst”), a fost stabilit la un nivel de valoare 10 (intelegere foarte buna a proceselor de business din compania tinta, abilitati generale de programare),

nivelul competentelor tehnice ar putea fi de asemenea stabilit la o valoare de 10 (abilitati tehnice complexe, de mascare a traficului, de utilizare a programarii malitioase, etc.), nivel ce este validat si de graficul de mai jos:

Fig. 36. Determinarea nivelului componentei[ATT_Competent]

Se poate observa foarte usor faptul ca traficul specific atacatorilor (evidentiat separat in graficul de mai sus in scopul unei vizualizari mai clare a rezultatelor) urmareste indeaproape tendinta traficului standard pentru un nivel maxim de experienta, astfel incat activitatea lor sa nu fie identificata. Un astfel de caz simuleaza foarte usor de exemplu mascarea traficului fraudulos prin criptare sub forma unor evenimente valide, autorizate, ce pot trece prin retea fara sa faca diferenta de traficul standard.

De asemenea, observatia legata de determinarea nivelului de interactiune dintre agenti este aplicabila si in cazul acestei grupe de entitati software, deoarece nivelul de cooperare optim poate fi determinat in functie de participarea tuturor grupurilor din cadrul modelului fata de tipurile de evenimente pe care acestea le genereaza (trafic normal in comparatie cu traficul specific unui atacator).

Interactiunea dintre agenti in cadrul modelului:

Asa cum am mentionat anterior, nivelurile de cooperare intre agenti au fost determinate in trei pasi de simulare pentru a putea fi analizata evolutia evenimentelor de securitate: unul non-cooperativ, unul caracterizat de cooperare partiala (un nivel de interactiune mediu) si ultimul nivel, caracterizat de cooperare completa (interactiuni ridicate). Au fost obtinute urmatoarele trei grafice, interpretate in paragrafele urmatoare:

Fig. 36. Determinarea nivelului optim de interactiune intre agenti (gradul de cooperare)

In cele trei grafice prezentate mai sus am investigat modelele de cooperare din perspectiva evenimentelor de securitate evidentiate prin traficul de retea, influentate de informatiile ce pot fi intershimbate intre agenti; astfel:

in primul caz, de non-cooperare, traficul din perspectiva atacatorului inregistreaza un numar relativ mic de evenimente, care se pastreaza in principiu pe tot parcursul atacului, reprezentate majoritar de incercari nereusite (nivelul de exploatare a vulnerabilitatilor este foarte redus, influentat si de celelalte variabile determinate anterior si a interactiunilor aproape inexistente cu ceilalti agenti). De asemenea, varfurile din primul grafic reprezinta schimbarile dese in strategia de atac.

in al doilea caz, de cooperare partiala, traficul din perspectiva atacatorilor cibernetici prezinta o intensitate extrem de mare (numarul de evenimente inregistrate pe secunda depaseste pragul de 700 de evenimente, doar de la adrese malitioase); acest rezultat sustine faptul ca printr-un grad incipient de schimb de informatii intre agenti, se obtine accesul fraudulos mai usor. Suplimentar, varfurile din grafic nu mai sunt atat de evidente si dese, semnificand faptul ca rata de succes a exploatarilor breselor de securitate este mai mare fata de primul caz de interactiune 0 intre agenti. Insa in acelasi timp, traficul valid, intern, din partea victimei scade semnificativ (este reactiv); acest rezultat evidentiaza faptul ca atacurile sunt detectate, datorita schimburilor de informatii intre agenti si se adopta o politica defensiva, de protectie a datelor, din partea victimei.

In ultimul caz, de cooperare completa, atat traficul atacatorilor cat si cel al victimei (organizatia-tinta) variaza dinamic, semnificand un schimb de informatii corespunzator, un lant de evenimente de tip provocare si raspuns, putand fi aplicate reguli de filtrare a evenimentelor mult mai eficiente, fiind cunoscute din toate perspectivele modelului: analist IT, ofiter de securitate, angajat standard, inclusiv a atacatorului prin determinarea conexiunilor frauduloase. Existand varfuri si evenimente inregistrate de ambele parti (a victimelor si a atacatorilor) se deduce o abordare proactiva, dinamica a agentilor, in care acestia isi schimba strategiile de blocare si atac in functie de desfasurarea evenimentelor (acestea sunt predefinite, pe baza jurnalizarilor de securiate disponibile in aplicatia dedicata de gestiune a acestora).

Cea mai buna schema de interactiune pe care o pot prezenta agentii in cadrul modelului o reprezinta, pe baza parametrilor de ieșire prezentati mai jos, cooperarea deplină. Agentii de tip tehnic joaca rolurile cruciale defensiv si ofensiv in echilibru, in mod dinamic, schimbandu-se dupa modalitatea de atac adoptata de catre infractorii cibernetici. Caracteristicile de interactiune, determină gradul de cooperare dintre agenti, si anume schimbul de date de trafic permanent (evenimentele de securitate – atat vulnerabilitatile cat si adresele IP straine devin cunoscute de participanti in cadrul modelului).

Astfel, nivelurile caracteristicilor agentilor din echipa entitatii-tinta estimate pe baza studiilor de specialitate prezentate in capitolele anterioare fata de cele rezultate din etapele de simulare, sunt prezentate in tabelul urmator. Valorile elementelor vectorului de atac estimat in acelasi context fata de cel rezultat in urma rularii proceselor de simulare din cadrul modelului, sunt de asemenea evidentiate mai jos:

Tabel 10. Valorile rezultate ale variabilelor ce definesc agentii si vectorul de atac

Nivelurile estimate versus cele obtinute prin simulare… 1/2 pg. Si… vectorul de atac

Partea financiara… 2 pg.

Concluzii si future work… 5 pg.

CAPITOLUL 6: Concluzii si future work

ANEXA 1: Analiza de risc specifica amenintarilor cibernetice

Premisele ce duc la rezultatele analizei de riscuri considerate in cazul unui atac cibernetic sunt urmatoarele:

Presupunerea ca orice sistem informatic prezinta vulnerabilitati,

Informatiile stocate in sistemele informatice prezinta interes pentru un atacator cibernetic (proprietate intelectuala, date sensibile din punct de vedere commercial),

Prin exploatarea unei brese de securitate, rezulta o crestere a costurilor associate proceselor de lucru, o scadere a competitivitatii pe piata (de exemplu, prin aparitia de produse si servicii aemanatoare, a practicilor de lucru furate),

Din punct de vedere al maturitatii, mediul organizational evaluat este de nivel 3 – definit (a se consulta capitolul 3 – sectiunea 3.1),

Definirea ariilor functionale de risc pentru oferirea unei imagini de ansamblu a zonelor ce pot genera evenimente de securitate:

Tabel xxx –

Pe baza ideilor de baza a procesului de analiza a riscurilor, rezulta matricea detaliata a clasificarii acestora (obervatie: coloanele prescurtate reprezinta efectul evenimentului asupra oamenilor, angajatii companiei (5), asupra proceselor (6), instrumentelor de lucru, cu preponderenta sistemele informatice (7), apoi este evaluat impactul (8) si probabilitatea evenimentului (9)):

Tabel xxx –

Pe baza determinarii riscurilor, a efectelor acestora asupra resurselor si a clasificarii, pot fi determinate urmatoarele rezultate:

Distribuirea riscurilor pe tipuri:

Figura. Xxx – impartirea riscurilor in functie de nivelul de maturitate al controalelor

Pe baza nivelului de maturitate estimat in Capitolul 3 (sectiunea 3.1), in cazul unei organizatii in proces de devoltare (avand fluxuri operationale si tehnologice definite), riscurile inerente sunt mai des intalnite decat cele incrementale. Probabilitatea lipsei unui set de controale si implicit a unui cadru procedural definit de diminuare a cauzelor ce pot genera evenimente de securitate este relativ mare.

Figura. Xxx –

Se evidentiaza astfel necesitatea organizatiilor de alocare a resurselor suplimentare orientate spre definirea si implementarea masurilor de securitate orientate in primul rand pe procesele de lucru, urmat de imbunatatirea configurarilor sistemelor.

Insa acest cadru de controale implica si noi costuri. In cazul unei companii mature, avand deja o metodologie si un set de masuri de adresare a riscurilor, aceasta ar necesita doar o realocare a resurselor deja existente (fara implicatii de cost semnificative).

Distribuirea riscurilor pe arii functionale:

Tabel xxxx –

Figura. Xxx –

Din alocarea riscurilor pe ariile principale in scop, reies principale zone generatoare de vulnerabilitati, si anume cele legate de operatiuni, guvernanta si securitate si conformitate in IT. Efortul de protejare al activelor ar trebui redirectionat catre acestea, atat prin alocarea resurselor disponibile cat si prin noi bugete.

Distributia riscurilor pe categoriile generale este insa asemanatoare, fiind inregistrate 20 de riscuri de nivel scazut, 22 moderat si 17 ridicat. Pentru a asigura o protectie corespunzatoare, cel putin evenimentele critice si cele medii ar trebui adresate prin definirea unor controale si a unor configurari de securitate proactive si chiar ofensive (de blocare, de inchidere a sesiunilor de acces neautorizat, etc.), nu doar de simpla inregistrare si/sau detectie.

In vederea determinarii riscurilor reziduale, acceptate de catre organizatie, acestea ar trebui reduse catre evenimente cu impact minim si probabilitate de asemenea scazuta. Un astfel de exemplu este prezentat mai jos, pentru riscul cu nr. crt. 41 (securitate si conformitate informationala – accesul dispozitivelor externe):

Din analiza acestora, problemele cele mai des intalnite sunt legate de drepturile de acces alocate necorespunzator care pot fi usor exploatate in cazul unui atac si monitorizarea evenimentelor in mod proactiv de catre responsabilii de securitate informationala, in lipsa unor instrumente dedicate de analiza si notificare, aplicatii ce implica niveluri ridicate de cost.

Procesul de gestiune globala a riscurilor poate fi imbunatati pe baza analizei de mai sus:

Prin asocierea de controale si masuri predefinite ce pot fi implementate in cazul in care un risc este detectat;

Prin asignarea costurilor, determinand astfel investitiile necesare in procesele anticipative, de protectie impotriva criminalitatii cibernetice (aplicatii noi, programe de instruire a personalului, etc.), dar si stabilirea clara a pierderilor potentiale ce urmeaza unor evenimente de securitate informationala (referinta);

Prin determinarea unor tendinte de distributie a riscurilor de la o perioada la alta, de aparitie a noilor riscuri si ale ariilor functionale impactate, in vederea alocarii cat mai eficiente a resurselor disponibile;

Prin definirea unor indicatori de performanta (numarul de incidente de securitate pe o anumita perioada, timpul de recuperare in cazul unui atac cibernetic, etc.), pe baza carora se imbunatateste procesul de luare a deciziilor operationale dar si de afaceri;

Prin crearea unui model de simulare a amenintarilor cibernetice care sa ajute de asemenea actiunile decisionale ale responsabililor de procese (referinta);

Prin introducerea in procesul de evaluare a noi parametrii: probabilitatea evaluate si din perspectiva motivarii atacatorului (pe baza trendulul comportamental – capitolul 3, sectiunea 3.3), nivelul de cunostinta necesar pentru furtul de date, usurinta in detectarea si exploatarea vulnerabilitatilor de sistem tot din perspectiva atacatorului, etc.

ANEXA 2: Numarul de atacuri cibernetice inregistrate la nivel global in perioada 2012 – 2014

Distributia amenintarilor cibernetice pe tipuri de atacuri si pe domenii de activitate

ANEXA 3: Definirea agentilor modelului de atac cibernetic si caracteristicile acestora

Liniile directoare pe baza carora au fost definiti agentii modelului de atac cibernetic sunt prezentate in fisele de mai jos:

Analistii IT reprezinta agentii care urmaresc vulnerabilitatile din sistemele informatice si le corecteaza.

Factorii care participa in conturarea acestor agenti sunt prezentati mai jos (parametrii definiti in modulul de simulare QRadar – Threat Intelligence). Pentru a asigura o precizie cat mai mare a rezultatelor modelului, fiecare optiune poate fi modificata pe o scala predefinita de la 10 la 1 (10 reprezentand nivelul critic al optiunii, in timp ce 1 reprezinta inexistenta acesteia sau actiuni nesemnificative):

Nivelul de detectare al unui atac

Nivelul de administrare al vulnerabilitatilor de sistem

Nivelul de maturitate (experienta analistilor IT)

Nivelul de interactiune cu ceilalti agenti

Obiectivul:

Definirea agentilor de tip ofiteri de securitate informationala:

Ofiterii de securitate informationala reprezinta astfel agentii care redau caracteristicile de protejare in mod proactiv al datelor unei organizatii, prin asigurarea principiilor de integritate, confidentialitate si disponibilitate al acestora.

Factorii care participa in conturarea acestor agenti sunt prezentati mai jos (parametrii definiti in aplicatie). In cazul organizatiilor mici si chiar mijlocii, caracteristicile pot fi distribuite celorlalte tipuri de agenti (analisti IT, angajati non-standard), astfel incat sa redea cat mai bine mediul simulat.

Pentru a asigura o precizie cat mai mare a rezultatelor modelului, fiecare optiune poate fi modificata pe o scala predefinita de la 10 la 1 (10 reprezentand nivelul critic al optiunii, in timp ce 1 reprezinta inexistenta acesteia sau actiuni nesemnificative):

Nivelul de control existent (monitorizare):

Gradul de confidentialitate al datelor tinta:

Nivelul de integritate al datelor tinta:

Nivelul disponibilitatii datelor tinta:

Nivelul de interactiune cu ceilalti agenti

Obiectivul:

Definirea agentilor de tip angajati non-tehnici:

Angajatii non-tehnici reprezinta astfel agentii care redau caracteristicile utilizatorului standard din cadrul unei companii.

Factorii care participa in conturarea acestor agenti sunt prezentati mai jos (parametrii definiti in aplicatie). Pentru a asigura o precizie cat mai mare a rezultatelor modelului, fiecare optiune poate fi modificata pe o scala predefinita de la 10 la 1 (10 reprezentand nivelul critic al optiunii, in timp ce 1 reprezinta inexistenta acesteia sau actiuni nesemnificative):

Nivelul de acces alocat in sistemele informatice:

Nivelul de constientizare al amenintarilor:

Numarul de interactiuni generate cu succes per iteratie:

Obiectivul (motivatia):

Definirea agentilor de tip atacatori:

Atacatorii de tip 1 si 2 reprezinta agentii care urmaresc vulnerabilitatile din sistemele informatice si le exploacteaza.

Factorii care participa in conturarea acestor agenti sunt prezentati mai jos (parametrii definiti in aplicatie). Pentru a asigura o precizie cat mai mare a rezultatelor modelului, fiecare optiune poate fi modificata pe o scala predefinita de la 10 la 1 (10 reprezentand nivelul critic al optiunii, in timp ce 1 reprezinta inexistenta acesteia sau actiuni nesemnificative):

Tipul de atac:

Gradul de intelegere al proceselor de afaceri specifice mediului tinta:

Nivelul competentelor tehnice: