O analiză empirică asupra modului în care COVID-19 a influențat industria de securitate cibernetică la nivel global, însoțită de un scurt studiu de caz pentru România.
Am auzit cu toții despre COVID-19, o boală infecțioasă cauzată de sindromul respirator acut sever SARS-CoV-2. La momentul scrierii acestui text, la nivel global sunt 28 mil. de cazuri și 919.000 de morți. Pe lângă impactul la nivel medical, COVID-19 încă exercită un puternic efect negativ asupra economiei globale, fiind afectate în special business-urile ce necesitau apropiere fizică, precum turism sau transporturi. Banca Mondială estima, în iunie 2020, că aproximativ 60 mil. de oameni sunt amenințați de sărăcie extremă și că economia mondială se va contracta cu până a 8%, din cauza pandemiei COVID-19.
S-a scris mult despre subiectul COVID-19, atât ”good news” cât și ”fake news”, dar nu mă voi aventura prea mult în disecarea subiectului, ci voi analiza modul în care criza COVID-19 a influențat industria de securitate cibernetică la nivel global, precum și piața din România.
Multe publicații din presa internațională de specialitate, au vehiculat câteva titluri ce reprezintă în momentul de față trend-uri, acceptate de facto. Vom face un mic ”deep dive” în fiecare dintre ele.
Dacă ați trăit cu impresia că într-o astfel de criză, hacker-ii vor acționa cu compasiune și empatie, și ne vor cruța de atacuri, ca să permită concentrarea pe rezolvarea crizei economice si sanitare, v-ați înșelat. Actorii malițioși și-au amplificat atacurile, în vederea obținerii foloaselor financiare. Nu doar că au profitat de ambiguitatea inițială, pentru a lansa campanii de phishing bazate pe COVID-19 (sursă), dar au lansat atacuri ce au avut ca țintă sectorul medical (sursă). Apelul Crucii Roșii pentru unitate globală împotriva atacurilor cibernetice împotriva sectorului medical, nu a avut efectul scontat, ba mai mult, posibil să fi contribuit la sporirea numărului de atacuri, odată ce atacatorii au realizat ușurința cu care își pot atinge obiectivele.
Multe spitale, la nivel global, s-au confruntat cu atacuri de tip ransomware, ce le-au blocat activitatea și au pus viața pacienților în pericol. Multe companii de securitate au raportat creșteri ale numărului de amenințări, incidente și alte tipuri de activități malițioase ce indică exploatarea acestei situații de către hackeri. Un raport Interpol menționa faptul că în martie 2020, în plină pandemie, au fost înregistrate aprox. 2.022 domenii malițioase și peste 40.000 de domenii potențial malițioase, ce conțineau cuvintele cheie Corona/Covid.
Pe de altă parte, multe companii de profil, au venit în întâmpinarea acestui fenomen și s-au grăbit să ofere soluții gratuite de securitate pentru spitale. Gestul este prin definiție nobil, dar se poate să nu fi adus foarte multe beneficii în realitate, având în vedere timing-ul ofertei. De obicei, implementarea de orice fel de soluții în cadrul unei organizații, nu se poate face de pe o zi pe alta, în special în perioadele când aceste organizații se confruntau cu o altă criză majoră.
O poveste cel puțin interesantă, ivită odată cu declanșarea pandemiei, o reprezintă evoluția platformei de videoconferințe ZOOM.
Piața soluțiilor de videoconferințe a înregistrat o creștere spectaculoasă în ultimele luni, din moment ce mulți angajați au început să lucreze de acasă. Majoritatea furnizorilor de astfel de soluții și-au modificat politica, oferind mai multe funcționalități gratuite pe timpul pandemiei. Organizarea unei conferințe cu 100 de utilizatori, pentru aproximativ o ora, a devenit o opțiune gratuită din partea mai multor vendori. Totuși, deși nu a dispus de cea mai bună ofertă, popularitatea unei singure soluții a crescut vertiginos, captând atenția tuturor.
În primele 100 de zile ale pandemiei, Zoom a înregistrat o creștere de 2000% a numărului de utilizatori, de la 10 mil. (decembrie 2019) la 200 mil. (martie 2020), conform acestui articol. La data scrierii acestor rânduri, Zoom are în jur de 300 mil. de utilizatori. Creșterea exponențială a prins compania pe picior greșit, cel puțin din punct de vedere al securității cibernetice. Pe lângă atacurile cu iz comic, precum cele de tip zoom-booming (utilizatori ce puteau intra neinvitați în call-uri), platforma Zoom a suferit cel puțin în 3 mari zone: probleme referitor la protecția datelor (trimiterea de date către Facebook, chiar dacă utilizatorii nu aveau cont pe platforma de social media, posibilitatea de a colecta cantități uriașe de date cu caracter personal și de a le partaja cu terți), vulnerabilități ce au permis atacatorilor să acceseze camerele video ale utilizatorilor și eșecul în asigurarea criptării end-to-end, în unele situații.
Cu toate acestea, Zoom a fost destul de agilă, a profitat de oportunitățile generate de creșterea numărului de utilizatori și au reușit să adreseze toate problemele raportate, într-un timp relativ scurt. Astfel, Zoom a cumpărat serviciul de mesagerie și schimb securizat de fișiere Keybase (pentru a adresa problema criptării) și l-au angajat pe Alex Stamos, renumitul ex-CISO al Facebook, ca și consultant responsabil cu partea de securitate cibernetică. Ca și rezultat, din mai-iunie nu am mai auzit de alte probleme de securitate ale platformei Zoom.
Concluzia principală este că adopția masivă a Zoom, a adus în lumina reflectoarelor multiplele vulnerabilități de securitate ale platformei. Totuși, în ciuda startului deficitar, Zoom a fost capabil să se adapteze rapid nevoilor pieței și să-și susțină creșterea. Hackerii își vor îndrepta întotdeauna atenția asupra produselor/serviciilor populare. Expresia ”follow the money” se pretează foarte bine pentru ”modelul lor de business”.
Poate că Zoom nu a fost platforma ideală pentru discuții confidențiale, în primele luni ale pandemiei, dar cu siguranță a fost mai mult decât perfectă pentru școli, dezbateri publice etc.
Munca de acasă a devenit norma în ultimele luni, în special în sectorul IT. Dacă ești printre cei ce acum citesc acest articol de acasă, într-o zi normală de muncă, ar trebui să te simți norocos. Nu toate industriile au beneficiat de același condiții favorabile în această perioadă.
Problemele nu au ezitat să apară însă, în special pentru companiile ce nu erau pregătite pentru un asemenea pas. ”Digitalizare” este un buzzword foarte des folosit până și în România, dar cu mai puțină aplicabilitate practică. Multe organizații, din peisajul mioritic, au pierdut ”lupta” cu informatizarea de acum 15-20 de ani, așadar e clar că digitalizarea (o informatizare puțin mai elaborată) a pornit cu stângul.
În primul rând, accesul de la distanță la resursele organizației, a devenit o necesitate. Accesul pe bază de VPN la rețeaua internă, este încă un lux pentru organizațiile românești. Alte tehnologii precum MFA (Multi Factor Authentication), criptare, cloud sau SDP (software defined perimeter), arhitectură de tip zero-trust au ajuns pe buzele tuturor, dar nu neapărat și în suita de tehnologii folosite. Pe Internet au circulat o mulțime de meme-uri hazlii, despre digitalizare vs. COVID-19, dar preferatul meu este cel referitor la întrebarea ”Cine conduce digitalizarea în cadrul companiei dvs.?”, având ca posibile răspunsuri CIO, CISO sau COVID. Hilar, dar foarte adevărat. Multe companii au fost forțate să se adapteze la noul trend și să implementeze noi măsuri sau tehnologii de securitate. Pe deasupra, angajații au trebuit să folosească echipamentele personale (laptop, router WI-FI etc.) pentru munca de acasă. Deodată, companiile s-au trezit cu sute/mii de device-uri externe ce trebuiau să acceseze resursele interne. Iar această situație a creat cu siguranță probleme de privacy/protecția datelor cât și de administrare device-uri.
Principala concluzie, poate fi faptul că COVID-19 a schimbat norma socială vizavi de modul de lucru, forțând adoptarea telemuncii la scară largă. Trecerea la noua paradigmă, nu se poate face cu ușurință, dacă organizația nu a ”îmbrățișat” IT-ul cu toate evoluțiile acestuia din ultimii ani și nu a cochetat măcar un pic cu zona de securitate cibernetică. Dacă până acum, securitatea era privită ca un moft în unele cazuri, acum a devenit esențială.
Pe măsură ce scriu acest articol, realizez că nu există date statistice relevante, care să permită o analiză pertinentă, bazată pe fapte, a impactului COVID-19 asupra securității cibernetice la nivel național!
Presa locală nu a făcut decât să preia știri sau titluri din presa internațională, considerând că se aplică și la noi, într-o mai mică sau mai mare măsură.
S-a presupus că COVID-19 a avut un impact omogen la nivel global, în zonele descrise mai sus, care au dus automat la apariția unor probleme similare precum și creșterea nevoii de securitate cibernetică și la noi în țară. Problema este că, în România, nivelul de securitate cibernetică, nu a fost niciodată măsurat, ci doar intuit. Însă, se recomandă folosirea intuiției cu moderație, în cazul lipsei totale a datelor statistice, pentru că poate duce la erori fatale.
Ca și notă personală, am început să lucrez la CERT-RO în 2011, acum aproape 10 ani. Ca și autoritate națională în domeniu, am realizat destul de repede magnitudinea problemei, respectiv lipsa măsurilor elementare de securitate cibernetică, la orice fel de nivel, atât din punct de vedere tehnic cât și de strategie sau legislativ.
Intr-un raport publicat în 2017, CERT-RO a concluzionat că aprox. 30% din IP-urile publice alocate furnizorilor de internet din România, sunt implicate în cel puțin o alertă de securitate raportată la autoritatea națională! Exact, ați citit bine, aprox. 30% din utilizatorii de Internet din România, sunt fie victime ale hackerilor, fie vulnerabili! Da, o treime din țara asta are probleme de securitate cibernetică, dacă putem spune așa! Nu-mi imaginez ca acest procent să se fi micșorat mult în ultimii ani. Dar, CERT-RO nu a reușit niciodată să facă analize amănunțite asupra acestei situații, așadar nu prea cunoaștem cauza fundamentală (root cause). Putem intui că ar fi vorba de lipsa de conștientizare și informare a românilor, sau poate rata de piraterie software uriașă de 59% raportată de BSA la nivelul anului 2018, sau situația economică precară a populației, ce nu permite efectuarea de cheltuieli în această zonă. Practic, noi nu știm dacă românii nu vor să plătească pentru securitate, nu au bani sau cred ca nu e necesar?!
Pe deasupra, valoarea pieței naționale de securitate cibernetică rămâne necunoscută. Practic, nu există cifre care să descrie cât se cheltuie, ce fel de soluții sunt cumpărate sau cuantumul mediu al bugetelor destinate securității. În aceste condiții, devine aproape imposibil să tragem o concluzie sau să facem orice fel de previziuni. Pe bună dreptate, presa, în lipsă de alte surse, s-a îndreptat către surse externe.
Parafrazând-ul pe Sun Tzu și a sa operă ”Arta Războiului”, câștigarea unui război ”cibernetic” necesită atât cunoașterea de sine cât și cunoașterea adversarului (“if you know the enemy and know yourself, you need not fear the result of a hundred battles”). Cunoașterea propriilor capabilități îți poate asigura șanse de victorie, în jur de 50%. Simpla cunoaștere a adversarului (cum aparent încercăm noi să facem), nu este o strategie luată în calcul de către autor. Aparent, România s-a concentrat în ultimii 10 ani pe cunoașterea adversarului, fără o introspecție asupra propriilor probleme și capabilități.
Totuși, la nivel legislativ, se pare că stăm bine. Am transpus cele mai importante reglementări europene au internaționale (GDPR, directiva NIS, Convenția de la Budapesta etc.), doar că doar la nivel de hârtie. În realitate, autoritățile responsabile se mișcă greu, sunt rigide și nu dispun de resursele necesare pentru trecerea la faza de implementare coerentă a politicilor din domeniu. Trebuie să cam trecem la treabă, nu să scriem ghiduri despre cum să trecem la treaba!
O schimbare în mindset-ul colectiv trebuie făcută urgent. Suntem o tară unde industria IT crește rapid (6% din PIB momentan) și ar trebui să avem strategii coerente în acest domeniu (incluzând securitatea cibernetică), care să nu se bazeze în principal pe outsourcing. Cel mai mare eveniment de securitate cibernetică național (DefCamp) a avut peste 2.000 de participanți anul trecut, în București. Forța de muncă este deja aici, dar lucrează pentru alții. O dezvoltare coerentă a industriei autohtone de securitate cibernetică nu se poate face doar prin achiziții de echipamente pentru sectorul public, ci prin crearea de oportunități pentru mediul de afaceri, prin crearea de locuri de muncă, stimularea cheltuielilor pentru securitate, maturizarea organizațiilor ca și consumatori de securitate precum și prin implementarea de politici coerente și adaptate specificului național.
Ca și notă de final, nu este totul pierdut, dacă așa ați perceput mesajul acestui articol. Dar avem nevoie de un restart! Cu ce putem începe este să ne cunoaștem pe noi înșine și să planificăm cum să atacăm problema mai departe.
P.S. Întâmplări din zona de securitate cibernetică, din România, descrise de presa locală și internațională:
Scurtă biografie: Dr. Dan Tofan este consultant securitate cibernetică, cu mai mult de 10 ani experiență, dobândită în autorități naționale (CERT-RO), instituții europene (ENISA), zona academică, precum și în sectorul privat. Acesta își exprimă deseori opiniile despre tehnologie pe blogul https://technology-insights.com/
Acest articol face parte din proiectul “România post-pandemică și antidotul digital”, o inițiativă a Fundației C.A.E.S.A.R.
Opiniile, conținutul și originalitatea contribuției sunt atribuite exclusiv autorului și nu reprezintă în mod necesar poziția Fundației C.A.E.S.A.R. sau a partenerilor săi.