Reporter:Stimate domnule Jean-Luc Habermacher, cum a ajuns să vă intereseze securitatea cibernetică?
Jean-Luc Habermacher: Am ocupat funcţii de conducere în cadrul unor mari grupuri industriale internaţionale vreme de treizeci de ani şi am avut diferite atribuţii, în special de Risk Manager şi de Ofiţer de Securitate Central.
Am absolvit Institutul de Înalte Studii de Apărare Naţională, aşadar am preluat şi dezvoltarea acţiunilor de Inteligenţă Economică în cadrul întreprinderilor, şi contribui la prevenirea riscurilor, în general, şi a riscurilor cibernetice în cadrul unei misiuni, pe post de Locotenent-Colonel (R) al Jandarmeriei.
Sunt preocupat de necesitatea creării unei culturi a gestionării riscurilor în interiorul întreprinderilor, predau în cadrul mai multor specializări universitare şi sunt membru al Asociaţiei naţionale pentru managementul riscurilor şi al asigurărilor în întreprinderi. Particip activ la lucrările unor comitete naţionale cu privire la mai multe aspecte legate de siguranţă.
Acum zece ani, am creat primul cluster francez al industriilor producătoare de energie numit "Vallee de l'Energie", al cărui preşedinte sunt în prezent. Lucrăm la promovarea şi dezvoltarea industriilor sectorului energetic în Franţa.
Am avut oportunitatea de a câştiga un mandat parlamentar, ceea ce mi-a permis şi îmi permite în continuare ca munca mea să aibă o strânsă legătură cu anumite subiecte legate de siguranţă.
De mai mulţi ani, prin intermediul diferitelor mele activităţi în cadrul întreprinderilor şi operatorilor economici şi datorită cunoştinţelor de Risk Manager, am încercat să înţeleg cum analizau aceştia riscurile şi expunerea la acestea, în cadrul unei viziuni globale.
Mi-am dat seama foarte rapid că digitizarea tehnologiilor în cadrul unei întreprinderi nu era percepută ca un "risc cibernetic" la dimensiunea sa reală.
În timpul discuţiilor mele cu reprezentanţii companiilor şi fără a fi paranoic, în momentul în care abordam cu ei subiectul percepţiei personale cu privire la expunerea la diferite riscuri, aspectul digital nu era analizat decât dintr-o perspectivă tehnologică, fără a exista percepţia aspectului de strategie economică globală.
Din punctul meu de vedere, aveam de a face cu un refuz al conştientizării riscurilor economice legate de digitalizarea industrială.
Studiile mele în Inteligenţă Economică m-au făcut să realizez necesitatea sensibilizării şi interpelării mediilor economice cu privire la această lacună importantă în analizarea riscurilor întreprinderilor.
Reporter:Care aspecte ale lumii cibernetice vă preocupă în prezent?
Jean-Luc Habermacher: Dependenţa tehnologică a întreprinderilor faţă de aparate şi de sisteme digitale este atât de mare încât o analiză inadecvată a expunerii lor la riscuri poate să le fie fatală.
Mulţi ani la rând, managerii întreprinderilor s-au concentrat pe pierderile de date, prin dezvoltarea de strategii de backup, multiplicând astfel interconectivitatea aparatelor şi a sistemelor.
"Uzina 4.0" nu a fost suficient de mult analizată din perspectiva vulnerabilităţii aparatelor şi sistemelor conectate.
Cele mai recente exemple de atacuri cibernetice au generat conştientizarea defectelor serioase ale instrumentelor de producţie sau de supervizare.
În prezent, o mare parte din arhitectura globală a sistemelor conectate din întreprinderi va trebui regândită şi reconstruită.
Din păcate, mizele geostrategice economice nu sunt percepute de către reprezentanţii IMM-urilor, care cred că în spatele atacurilor cibernetice care afectează reţele economice şi întreprinderi se ascund, în mod evident, "interese superioare".
Atacurile cibernetice reprezintă reflectarea versiunii moderne a războiului economic purtat de marile puteri publice sau private. Interconectarea instrumentelor şi a sistemelor generează o interdependenţă care prezintă vulnerabilităţi foarte semnificative.
Poziţiile dominante ale anumitor actori tehnologici creează scheme de dependenţă structurală extrem de serioase.
"Al treilea război mondial" a debutat, iar mizele sunt de ordin economic şi, mai ales, geopolitic. Refuzul de a înţelege situaţia din această perspectivă ar fi un gest iresponsabil.
Reporter:Cum evaluaţi stadiul conştientizării în cadrul întreprinderilor în care aţi fost sau sunteţi activ?
Jean-Luc Habermacher: Marile grupuri industriale au înţeles de mai mulţi ani că sistemele informatice ar putea fi ţinte ale unor atacuri de destabilizare, astfel că au implementat procese de securizare.
Platformele şi conectivitatea instrumentelor de producţie au fost trecute cu vederea cu ocazia analizei riscurilor, însă evenimentele recente au dus la o conştientizare a acestor noi puncte vulnerabile.
Legăturile cu prestatorii de servicii de întreţinere şi mentenanţă a echipamentelor trebuie îmbunătăţite, întrucât reprezintă surse de ameninţări care încă nu au fost securizate corespunzător.
Politicile securitare ale marilor întreprinderi au fost întărite puternic în ultimii trei ani, iar comportamentul colaboratorilor în situaţii de risc a fost urmărit.
PC-urile şi instrumentele conectate sunt guvernate de reguli foarte stricte şi sunt controlate sistematic.
Din punctul meu de vedere, Datacenter-urile externalizate folosite de numeroase companii rămân în continuare puncte slabe serioase şi nu m-ar surprinde dacă am afla, în viitor, că din ele au loc scurgeri de informaţii sau sunt ţinte ale unor atacuri.
Reporter:Ce ne puteţi spune despre clusterul "Vallee de l'Energie"?
Jean-Luc Habermacher: Clusterul "Vallee de l'Energie" reuneşte reprezentanţi ai industriei şi actori din sectorul energetic din Franţa, iar eu, în calitate de preşedinte, conduc acţiuni pentru sensibilizarea şi informarea membrilor, în special cu privire la riscurile cu care ar putea să se confrunte în activităţile lor.
Tehnologiile digitale vizează tot lanţul de fabricare a componentelor, dar şi pe cei care concep softuri de control/comandă care supraveghează unităţile de producţie şi de distribuţie a energiei.
Consecinţele sunt diferite în fiecare din aceste două contexte.
Procesul de înţelegere reală a vulnerabilităţilor "Uzinei Conectate" este încă la stadiul incipient în cadrul IMM-urilor, fiind deci necesară utilizarea studiilor în acest domeniu şi sprijinirea întreprinderilor în realizarea unor audituri globale.
Alt sector foarte sensibil vizează pilotarea sistemelor de producţie, de operare şi de distribuţie a energiei.
În această privinţă, evident că există riscuri majore, întrucât platformele şi softurile care pilotează şi gestionează echipamentele nu sunt, din păcate, suficient de securizate în prezent.
Este esenţial să se lucreze în coordonare cu întreprinderile care creează şi dezvoltă sisteme de operare pentru a integra în mod corect măsurile de protecţie necesare şi pentru a implementa procese de intervenţie controlabile. Acest demers necesită schimbarea percepţiei actuale a anumitor actori.
În acest sens, mi se pare importantă difuzarea de mesaje şi promovarea lor în diferite reviste specializate, cu sprijinul structurilor Camerei de Comerţ şi Industrie, Comitetelor Industriale, sindicatelor profesionale.
Ar trebui să lucrăm, de asemenea, la implementarea de studii specifice în domeniul analizei şi managementului riscurilor cibernetice în cadrul universităţilor şi facultăţilor de inginerie, deoarece firmele au nevoie de sprijin în aceste domenii.
Lucrăm în strânsă legătură cu serviciile de stat (Poliţie şi Jandarmerie) pentru aducerea la cunoştinţa membrilor noştri a alertelor emise şi, eventual, pentru sprijinirea lor în procedurile administrative, în caz de atac.
Reporter:Care domenii ce ţin de securitatea lumii digitale vi se par cele mai trecute cu vederea?
Jean-Luc Habermacher: Aşa cum am amintit şi mai devreme, conectivitatea sistemelor, atât a celor interne cât şi a celor externe întreprinderii, a devenit o necesitate a societăţii la care va trebui să ne adaptăm.
Măsurile tehnologice de securitate se vor dovedi dificil de implementat cu atât mai mult cu cât, prin natura lor, oamenii vor încerca să le ocolească.
Multiplicarea datelor colectate din mediul imediat al indivizilor şi operările încrucişate care ar putea fi realizate cu aceste date vor constitui mize economice enorme în viitor.
Din această cauză, mulţi actori doresc să se înscrie în această înlănţuire a colectărilor de date directe sau indirecte.
Pentru acest lucru, sunt folosite o multitudine de aplicaţii care, pe neobservate, colectează şi transferă atât datele individuale, cât şi cele colective, acestea din urmă nu sunt supuse controlului individual, însă ar putea să devină opozabile fiecăruia.
Decizia de a asocia tehnologii digitale numeroaselor activităţi de zi cu zi ar trebui să fie luată după conştientizarea dependenţei tehnice pe care acestea o generează şi a consecinţelor sociale pe care le implică.
Reporter:Cum ar trebui să se dezvolte cultura de apărare digitală într-o întreprindere?
Jean-Luc Habermacher: În prezent, în cazul multor structuri, strategia de apărare digitală este concepută de către responsabilii de sisteme informatice, care au o abordare şi o cultură foarte tehnice.
Aşa cum am mai menţionat, mizele au un caracter tot mai pronunţat economic, iar întreprinderea trebuie să îşi poată analiza vulnerabilitatea.
Tehnologia sau, mai precis, instrumentele tehnologice digitale devin vectorii sau armele de atac folosite împotriva firmei respective.
Din această cauză, este esenţială o viziune bazată pe o analiză de 360E.
Pentru aceasta, trebuie dezvoltată o cultură a riscului diferită, începând cu identificarea motivelor şi continuând cu anticiparea mecanismelor care ar putea fi folosite împotriva întreprinderii, dar şi cu înţelegerea consecinţelor la care întreprinderea s-ar expune în cazul diferitelor scenarii.
În acest context, nu sunt sigur că profilul "tehnicianului de sisteme informatice" este cel mai potrivit pentru buna desfăşurare a acestui raţionament şi pentru dezvoltarea culturii riscului în întreprindere.
Administratorii ar trebui să se informeze cu privire la vulnerabilităţile strategice la care întreprinderile lor ar putea fi expuse şi să conştientizeze faptul că răspunsurile la acţiunile defensive nu ţin doar de domeniul tehnologic. Trebuie luate în considerare şi aspectele umane, culturale, sociale şi chiar geopolitice.
Implementarea de instrumente de acoperire a riscurilor trebuie obligatoriu să integreze acest aspect; bineînţeles, trebuie acoperite daunele materiale, însă este esenţială şi acoperirea daunelor imateriale.
Profilul managerului de risc trebuie să cuprindă toate aceste aspecte.
Reporter:În opinia dumneavoastră, de ce au fost ignorate atât de mult timp, în Europa, tranziţia către digital şi noile mize în materie de securitate, în ceea ce priveşte marile puteri?
Jean-Luc Habermacher: Nu ştiu dacă Europa a ignorat în mod real mizele în materie de securitate legate de schimbările digitale, însă ceea ce e sigur este că folosirea noilor tehnologii nu a fost întotdeauna luată în considerare în cadrul unei analize globale.
Interesul imediat pentru anumite instrumente sau aplicaţii a eclipsat într-o anumită măsură consecinţele indirecte pe care urmau să le producă în final.
Pe de altă parte, nu am anticipat suficient consecinţele dependenţelor tehnologice pe care aveau să le genereze marii producători de softuri de operare, de reţele şi manageri de reţele informatice digitale.
Convergenţele economice, prin intermediul acestor actori diferiţi, nu au fost înţelese suficient pentru a permite pregătirea unor acţiuni defensive împotriva dependenţelor tehnologice pe care le creau.
Cadrul legislativ internaţional nu a fost adaptat astfel încât să permită evitarea acestor situaţii critice.
În plus, interesele economice ale statelor prevalează asupra interesului colectiv european.
Europa este o mare casă în care fiecare locatar ar dori să folosească şi să controleze după propriile interese deschiderea uşilor şi a ferestrelor, reţeaua electrică sau sistemul de încălzire, interesul comunitar oprindu-se într-un fel la uşa fiecărui apartament.
Crearea şi impunerea de reguli comunitare implică şi impunerea de constrângeri faţă de propria dezvoltare.
Regula care guvernează relaţiile dintre state este consensul, aşadar actele şi deciziile luate sunt întotdeauna "a minima".
Prin anumite proiecte precum GALILEO se încearcă crearea unor independenţe tehnologice, însă, după cum am putut vedea, implementarea lor este un proces foarte complicat şi de lungă durată.
Evoluţia tehnologiilor şi a structurilor digitale necesită timp de reacţie foarte scurt care, din păcate, este în mare parte incompatibilă cu procedurile administrative greoaie ale instituţiilor europene.
Reporter:Este încă posibilă reinstaurarea unui spirit de vigilenţă pe un continent care cunoaşte pacea încă din 1945, fără a fi acuzat de comportament big brother sau belicos?
Jean-Luc Habermacher: Actele de terorism care au afectat mai multe ţări europene au reactivat un anumit spirit de vigilenţă şi tind să reaprindă şi o conştiinţă cetăţenească.
Din păcate, atacurile cibernetice nu au aceeaşi vizibilitate precum atacurile şi atentatele de stradă, chiar dacă într-o anumită măsură consecinţele lor pot fi similare în ceea ce priveşte impactul economic şi social.
Suporturile tehnologice pe care se bazează autorii atacurilor cibernetice sunt atât individuale cât şi colective, oamenii reprezintă în egală măsură vectori de transmitere a armelor de atac.
Încercarea de a reglementa anumite practici ne-ar conduce la modificarea comportamentelor individuale şi la reformarea noţiunilor de libertate şi de ingerinţă.
Cursa pentru tehnologiile digitale şi numărul mare de aplicaţii de servicii la care aderă în mod spontan o mare parte din populaţie fac ca acţiunile de reglementare să fie şi mai greu de întreprins.
Ar trebui încercată o întărire a cadrului legislativ pentru a permite acţiuni de investigaţii mult mai mari şi pentru a putea aplica sancţiuni mai severe, însă pentru aceasta este necesară acceptarea de către concetăţenii noştri că securitatea lor depinde probabil de câteva restricţii ale libertăţilor individuale.
Reporter:Conferinţa de la Sibiu împlineşte deja 3 ani. Ce anume găsiţi util în această formulă de întâlniri?
Jean-Luc Habermacher: Am descoperit la Sibiu un congres care ia forma unui adevărat simpozion. Este o veritabilă platformă de schimburi de idei, de experienţe şi de cugetări.
Aici întâlnesc experţi şi actori care lucrează pe diferite niveluri în domenii legate de riscurile cibernetice.
Simbioza acestor comunităţi diferite constituie o sursă foarte valoroasă pentru schimburi, permiţând fiecăruia să îşi îmbogăţească diferite idei cu privire la temele care îl interesează, având totodată posibilitatea unei viziuni de 360E asupra subiectului.
În plus, cadrul vechii cetăţi a Sibiului permite stabilirea de întâlniri foarte agreabile şi chiar confidenţiale pentru cei care doresc acest lucru, precum şi un networking veritabil cu diferiţi actori ai comunităţii internaţionale în domeniul riscurilor cibernetice. Din punctul meu de vedere, formatul acestui congres este ideal pentru această tematică şi pentru contextul întâlnirii.
Reporter:Vă mulţumesc!