Ultimele știri ⏱️Război în Ucraina Război în Israel Istoria zilei

Războiul cibernetic, între realitate şi mit: „Securitatea vine înainte de intimitate“

Publicat: 22.10.2013 16:53

Ultima actualizare: 08.08.2022 04:13

Ilias Chantzos, Symantec

Vom avea parte de un război cibernetic? Cum se poate apăra o ţară ca România de un atac cibernetic şi care este răspunsul potrivit? Am încercat să aflăm răspunsurile la câteva dintre întrebări la o întâlnire cu Ilias Chantzos, director de relaţii guvernamentale la firma de securitate Symantec.

În cadrul unei mese rotunde, Chantzos a răspuns întrebărilor jurnaliştilor privind problemele de securitate cu care se confruntă omenirea, evoluţia viruşilor şi modul corect de apărare. Chantzos consideră că nu vom avea parte de un război cibernetic, pentru că nici nu ştim ce înseamnă asta, dar că securitatea naţională trebuie să ia în vedere şi acest lucru. De asemenea, strategiile clasice de apărare nu mai sunt la ordinea zilei, pentru că un război nu mai funcţionează simplu: ataci şi eşti atacat.

De ce e importantă securitatea cibernetică?

Securitatea cibernetică e importantă pentru că este o politică publică de Nivel 1. Ameninţările informatice pot fi o ameninţare economică, o ameninţare asupra societăţii şi asupra securităţii naţionale. De ce? Sunt de 14 ani în domeniul ăsta. În trecut, cibersecuritatea era un subiect exotic: geeks, Coca Cola, oameni în subsoluri, fără prietene, fără viaţă socială. Cibersecuritatea este acum o componentă integrantă a sistemului de securitate naţională, deoarece reprezintă ceea ce caută atacatorii: informaţie, date, încearcă să facă bani şi să compromită sistemele valoroase. Majoritatea lumii crede că un atac targetat va lovi guvernele sau Ministerul Apărării, o rafinărie. Dar nu este chiar adevărat. 50% din atacuri ţintesc organizaţii cu peste 2.000 de oameni, aşa numitele antreprize mari. Cealaltă jumătate este împărţită, iar 30% din atacuri ţintesc firme mici şi mijlocii, cu maximum 250 de oameni.

Folosesc aceste firme ca pietre de temelie, pentru că băieţii mai mici sunt contractori pentru firmele mai mari. Astfel, atacatorii încearcă să vină după lanţul de furnizori. Vreau să atac o companie de curăţenie, dacă are legătură directă cu una mai mare. Voi încerca să mă duc mereu după peştele mai mare, folosind metodele cele mai uşoare.

Plantează o cârtiţă în sistem...

Poţi să o descrii şi aşa, dar nu neapărat. Termenul de cârtiţă reprezintă o persoană şi cineva care este în interiorul unei organizaţii, un informator, care pretinde că este parte din echipă, deşi nu este cazul. Termenul nostru este de backdoor (uşă de acces) sau cal troian.

Multe lucruri care privesc atacurile cibernetice nu pot fi descrise în alb şi negru. Nu putem separa direct între guverne şi infractori. E o combinaţie între aceste două lucruri. De exemplu, am prezentat raportul privind Hidden Lynx, un grup de hackeri mercenari care vor ataca ţinte, fără să se uite cine sunt: guverne, instituţii, organisme educaţionale, companii din industria tehnologiei. Aceste grupuri de mercenari vor să fure informaţiile, fac spionaj. Hidden Lynx avea angajaţi uneori 100 de oameni, aveau diviziunea muncii. Câte state din Uniunea Europeană îşi permit 100 de specialişti de securitate pentru divizia lor de apărare? Ei au reuşit totuşi să aibă 100 de experţi şi diviziunea muncii în funcţie de tipul atacului. Majoritatea atacurilor sunt realizate de către infractori, iar uneori ai atacuri hibride, în care este implicat şi un guvern.

Practic, ai o industrie care uneori lucrează ca piraţii din secolul al XVII-lea. Cum era atunci? Eu eram Regele Angliei şi voiam să atac spaniolii. Aşa că-ţi dădeam ţie, un pirat, o aprobare scrisă prin care erai autorizat să ataci toate navele spaniole. În ceea ce ne priveşte, aceasta nu este piraterie. În porturile din Anglia vei fi tratat ca un erou, ca un soldat. Pentru spanioli vei fi un pirat - dacă te prind, te spânzură. Dar ce se întâmplă dacă ai o aprobare din aceasta, eşti în apele din Caraibe timp de trei luni şi nu ai văzut nicio navă spaniolă, dar îţi apare în faţă una franceză. Ce faci? O ataci, pentru că vrei banii.

Atacurile sunt de mai multe tipuri, dar acţionează la fel. Sunt contractat pentru ceva, dar am acces şi la alte informaţii. Ce fac? O fur ca să o vând mai departe. Un stat trebuie să se gândească serios când face strategia de securitate de ce are nevoie: am nevoie de o echipă de anchetă, trebuie să răspundă activ la incidente, trebuie să monitorizez în permanenţă reţelele? După ce ai realizat acest proces eşti capabil să-l implementezi. Ideea e următoarea: trebuie să pleci de la ideea că vei fi atacat, dar nu vei şti niciodată când, cum şi de cine.

Scopul nu este de a dezvolta securitate 100%, pentru că acest lucru e o iluzie sau e foarte scump. Dar trebuie să te concentrezi să fii pregătit, să ştii să prioritizezi. Trebuie să vezi cum pui în practică apărarea, cum răspunzi, cum analizezi. E un proces: analiză, împachetare, atribuţie şi colectarea de informaţii de securitate.

Încă o întrebare este: ce urmează? Ce alte pârghii ai la dispoziţie? Ce alte pârghii politice, economice sau chiar militare poţi folosi. Pentru că atacul cibernetic nu trebuie urmat neapărat de altul cibernetic, ci unul prin alte mijloace.

Cum te aperi de un atac cibernetic?

Asta e partea de prevenţie. Haideţi să analizăm ceea ce în termeni de război se numeşte deterenţă. Cum vom face asta? Deterenţa spune că am atât de multă putere, încât dacă mă ataci, te voi ataca şi eu cu tot ce am la dispoziţie. Iar ţie ţi-e frică să mă ataci pentru că eu te voi lovi cu un baros. În Războiul Rece, ruşii aveau 10.000 de tancuri, iar americanii aveau bomba nucleară. Dacă ruşii atacau cu tancuri, americanii îi spulberau cu bomba nucleară. O tabără este oprită din a ataca, cealaltă nu vrea să folosească bomba nucleară, pentru că ştie ce efecte are.

Cum se aplică asta în domeniul cibersecurităţii? Dacă mă ataci, te atac şi eu. În trecut, puteai demonstra forţa ta. Dar acum ce faci? Zici că ai multe computere sau mulţi ingineri? Sau ce mai poţi zice? Că ai o armă cibernetică atât de secretă încât nu o poţi pune în aplicare? Şi e atât de secretă, încât nu ai folosit-o şi nici nu ştii dacă va avea efect asupra sistemelor mele. Blufez? Poate. Încearcă-mă.

Tactica tradiţională de intimidare nu mai funcţionează în domeniul informatic. Nu există declaraţii de război, iar puterea nu mai poate fi demonstrată evident. Ştii ce poate face o bombă. Nu ştii ce poate face un atac cibernetic.

Cred că cea mai bună atitudine în cazul unui atac este să ştii că ţi-ai construit sistemele atât de bine, încât un atac nu va face daune prea mari. Asta se numeşte deterenţă prin negare - negi abilitatea celuilalt de a-ţi face rău. Dar, de asemenea, poţi să nu te bazezi doar pe atacuri cibernetice pentru a răspunde. De ce? Gândeşte-te că ai un atac cibernetic din Coreea de Nord şi vrei să ataci înapoi. Ce vei ataca? Nord-coreenii nu au atât de multe calculatoare. Care va fi efectul? Un contraatac cibernetic nu e un răspuns mereu. Trebuie să te concentrezi şi pe alte instrumente - economice, politice, militare, pe forţele de poliţie internaţională, pe securitatea colectivă.

Există un ghid de bune practici pentru un atac cibernetic? Cum ar trebui să răspunzi ca ţară dacă eşti atacată?

Ghidul de bune practici poate fi ca o diagramă. În momentul când ai informaţii despre o ameninţare informatică, ai mai mulţi timpi de reacţie. Cu cât ameninţarea devine mai reală, cu atât timpul acesta se apropie de zero. Dacă atacul ţi-a atins reţeaua, timpul de reacţie e negativ. Eşti în urmă. Sunt în interior şi te lovesc. Atunci trebuie să ai procese care să prevină astfel de momente.

Cum faci asta? Te foloseşti de informaţii şi de serviciile secrete. Trebuie să ai informaţii despre ameninţările informatice şi atacuri, atât pentru tine, cât şi la nivel global.

Dacă îţi dai seama că un software are o vulnerabilitate de tip zero day, atunci intervii tu, nu aştepţi ca producătorul să vină cu un patch. În câteva ore vor fi atacuri care vor exploata acea gaură în sistem. Nu vrei să vină producătorul să acopere gaura, ci să pui cât mai mulţi soldaţi în faţa ei ca să te asiguri că nu trece nimeni pe acolo fără să realizezi.

De asemenea, mereu trebuie să monitorizezi porturile cu probleme, pe unde se atacă. Iar instituţiile trebuie să facă monitorizare 24/7.

Ai un atac din partea unui grup independent, nu din partea unei ţări. Cum te aperi atunci? Cum răspunzi?

Ăsta-i încă un motiv pentru care atacurile cibernetice sunt greu de atribuit cuiva, atunci când nu sunt ale actorilor statali. În cazul acesta, cui răspunzi? Pe cine ţii deoparte? Pe nimeni. Chiar dacă grupul care te-a atacat a fost plătit de un stat, ce o să faci? Vei avea nevoie de spionaj, de servicii de informaţii. Ce poţi face? Să trimiţi poliţia. Să lucrezi cu partenerii internaţionali.

Citește și: Ce rişti când îţi pierzi telefonul mobil

Pot exista războaie cibernetice? Al Treilea Război Mondial va fi cibernetic?

Sper să nu existe un Al Treilea Război Mondial. Cum a spus Einstein: Al Treilea Război Mondial se va lupta cu arme, dar al Patrulea va fi cu pietre şi bâte. Ar trebui să mai încetăm să vorbim de război cibernetic. Strict vorbind, nu ştiu ce e un război cibernetic. Războiul e o acţiune de ostilitate între două ţări. Nu am avut o astfel de ostilitate care să implice domeniul cibernetic. Poate cea mai apropiată situaţie de aceasta a fost în 2008, în Georgia. Dar dacă-i întrebi pe ruşi, atacatorii au fost nişte cetăţeni patrioţi, nu armata rusă. Evident, după acveea tancurile au început să meargă spre Tbilisi. Noţiunea unui război cibernetic nu există încă. Putem avea atacuri foarte bine ţintite, către platforme de comunicare, către sistemul de senzori, către infrastructura critică, aşa cum a fost Stuxnet.

Poate fi o ţară paralizată de un război cibernetic sau pur şi simplu de un atac masiv?

Nu ştiu. Depinde. Cât de puternică e ţara aceea, câte resurse are şi cât de bun este atacatorul. Dacă te uiţi la ce s-a întâmplat în Estonia în 2007, modelul a funcţionat. Dar Estonia e mică, punctele de intrare sunt puţine. Estonia a fost un caz bun pentru a vedea ce poate să meargă rău. Dar am învăţat de atunci. Malware-ul folosit în Estonia este echivalentul unui pistol din secolul XVIII. Pac, bum! Mult zgomot! Dacă iei Stuxnet, este echivalentul unui Kalaşnikov, în materie de calitate. Atacurile din Estonia aveau o slăbiciune sau o caracteristică: erau făcute să fie vizibile. Când te atacă cineva în stil DDoS (atacarea cu pachete de date multiple, care încarcă un sistem şi îl blochează) ştii că eşti atacat DDoS. Computerul nu mai merge, reţeaua nu mai merge. Dacă ai Stuxnet, nu ştii. E mult mai sofisticat. Şi vorbim de malware din 2010! Dacă te uiţi la răspunsul Estoniei, a fost exact ce trebuia: s-au dus către partenerii internaţionali şi i-au rugat să filtreze traficul ostil care venea dinspre anumite locuri, au curăţat infrastructura internă şi au reacţionat. Dar asta înseamnă că au reacţionat după atac. Era lucrul cel mai bun care trebuia făcut. Ştii cum e un DDoS. Ai un botnet, ştii de unde vine, ştii cum să-i supravieţuieşti şi cum să replici. Dar la un virus mai mare?

Video - Ce e un atac cibernetic?

Care a fost evoluţia viruşilor în ultimii ani şi ce este la modă acum?

Dacă mă duc înainte de 2000, viruşii erau făcuţi pentru a intra pe piaţă printr-un mare boom. Erau făcuţi pentru notorietate. Eram cool dacă dădeam internetul jos 60 de secunde.

Între 2005 şi 2006 am asistat la răspândirea atacurilor masive, care acoperă planeta în doar câteva minute. Code Blue, Code Red, Sasser, acestea erau atacurile de felul ăsta. Sasser s-a răspândit în toată planeta în doar 28 de minute. Ei au profitat de vulnerabilităţi de tip zero day, care nu erau cunoscute înainte. După aceea, se răspândesc cât mai rapid şi infectează pe toată lumea. Curând, comunitatea din domeniul securităţii ştie de existenţa viruşilor şi încearcă să ia măsuri, iar şi iar pentru a ţine infecţia în frâu.

Citește și: Antivirusul Norton, vulnerabil după intervenția hackerilor

După 2007 am văzut o schimbare. Poţi să-mi spui care a fost ultima infecţie masivă? Conficker a fost, în 2008. Nu am mai avut un virus aşa masiv de cinci ani. După acesta am început să vedem atacuri targetate, care lovesc doar o singură organizaţie şi au fost create astfel. Practic, am început să vedem echivalentul digital al ţânţarului, care vrea să ajungă după sistemul tău de securitate, vrea să fie nevăzut şi să stea acolo şi să-ţi sugă sângele, care în domeniul online înseamnă informaţiile. Între 2008 şi 2010 am început să vedem acest scenariu.

După 2010 s-a împământenit atacul unic, pentru o singură ţintă. Nu mai erau viruşi de anumit tip, ci viruşi care loveau indivizi, organizaţii. Malware-ul era făcut perfect pentru a lucra într-un singur mediu. Şi se răspândea şi funcţiona diferit. După 10 infecţii, a 11-a ar fi transformat virusul, s-ar fi produs o mutaţie. Acesta este echivalentul gripei digitale. Din punctul nostru de vedere, trebuie să vaccinăm fiecare persoană din cele 10 cu un vaccin diferit.

În unele cazuri, vaccinul trebuie să fie unic. Din acest motiv o firmă de securitate trebuie să se ducă dincolo de ceea ce se ştie pânî acum. Pentru că putem să spunem că am detectat 5 miliarde de viruşi noi, dar ce înseamnă asta? 48% vin aceleaşi 10 familii de viruşi. Dar cele mai importante atacuri vin de la malware care poate fi asemănat cu ingineria genetică. Un malware creat special pentru ADN-ul tău, pentru infrastructura ta.

Contează să ai, ca utilizator sau ca firmă, un antivirus bun? Te pot acestea proteja?

Ai software de calitate în calculator sau nu? Alegi un software gratuit pentru că este “destul de bun”? Te-ai urca într-o maşină la care frânile merg doar o dată din cinci apăsări? Pentru că asta este rata de detecţie a unor antiviruşi. Oamenii zic că sunt destul de bune. Dar ţi-ai pune soţia într-o maşină care nu are frâne şi nici centură de siguranţă? Nu ai face asta în viaţa reală. Dacă eşti o companie, defineşte-ţi un profil de risc şi află care-ţi sunt ameninţările.

Poate exista cibersecuritate şi confidenţialitatea datelor?

Sunt un fanatic după această întrebare. Hai să-ţi dau un exemplu. Pun portofelul pe masă. Aici am portofelul, cărţile mele de credit, informaţii personale. Acestea sunt datele mele. Ce se întâmplă dacă îmi las portofelul pe masă? Cineva va veni şi mi-l va lua. Abilitatea de a-mi proteja datele private ţine de abilitatea de a opri accesul la ele.

O spun direct: securitatea vine înaintea intimităţii. E legea naturii, e ca gravitaţia. Discuţia stă aşa: cibersecuritate sau intimitate? Securitatea este un drept fundamental, ca şi intimitatea. Nu pot să te apăr, dacă nu ştiu câteva lucruri despre ceea ce protejez. De asemenea, nu trebuie să fiu intruziv cu datele tale. Trebuie să găsim balanţa potrivită. Trebuie să avem securitate, pentru că fără ea nu va exista nici intimitate. Şi toate reglementările europene despre confidenţialitatea datelor au capitole despre securitate.