Securitatea cibernetică este un subiect complex. Societatea se mişcă rapid înspre lumea digitală. Guvernele şi companiile doresc să treacă la digitalizare presându-şi departamentele să se transforme de la "vechiul stil" la unul nou digital. În anii "70 au fost introduse calculatoarele personale, în anii "80 primele ATM-uri. În 1991, WWW a devenit accesibil public, în timp ce după 2000 telefoanele mobile au devenit un dispozitiv comun. Din 2010 s-au răspândit pe scară largă smartphone- urile, tabletele, infrastructura de cloud, Big şi Open Data. Mai multe studii prognozează că în 2020 vor exista circa 34-50 de miliarde de dispozitive conectate la Internet. Considerând că populaţia globului va fi de aproximativ 7 miliarde, aceasta înseamnă că fiecare om va avea 5 până la 7 dispozitive conectate la Internet.
Suntem capabili să facem faţă aces-tui fenomen? Progresul se întâmplă mai repede decât capacitatea umană de a-l stăpâni. Cel mai recent raport Digital Economy & Society Index 2016 relevează faptul că 1/3 din populaţia Italiei nu utilizează Internetul în mod regulat şi că există carenţe în specializarea digitală.
Adoptarea digitalizării şi a securităţii cibernetice porneşte de la educaţie şi conştientizare. Majoritatea atacurilor exploatează erori umane. Pornind de la statisticile generale şi până la vulnerabilitatea exploatată de un atac, în 80-90% din cazuri erorile sunt umane.
Un malware, cum ar fi un ransomware, exploatează o vulnerabilitate umană. Furturile de date, cum a fost şi în cazul Linkedin, reprezintă mari probleme pentru companii. O mulţime de oameni utilizează aceeaşi parolă pentru diferite servicii. Dacă o persoană se înregistrează într-o reţea socială cu adresa de email a companiei şi utilizează aceeaşi parolă pentru autentificare pentru ambele identităţi digitale (intranetul companiei şi Linkedin), aceasta poate reprezenta o vulnerabilitate şi pentru companie.
Activităţile de monitorizare ale unei companii trebuie să ia în considerare şi aceste aspecte, dar eforturile pot fi invers proporţionale cu gradul de conştientizare al angajaţilor, clienţilor şi utilizatorilor în general.
Un departament de informaţii privind ameninţările cibernetice trebuie să monitorizeze şi Deep Web-ul pentru a verifica dacă scurgerea anumitor date poate avea vreun impact asupra companiei. Bazele de date publicate pe Dark Web pot conţine informaţii care pot dăuna business-ului şi intereselor companiei.
Un al doilea aspect îl constituie lipsurile din oferta educaţională în privinţa securităţii cibernetice. Italia se află pe locul 22 din 28 de ţări europene (21 după Brexit) ca număr de absolvenţi STEM (Science Technology Engineering Mathematics).
În studiul "The 2015 (ISC) 2 Global Information Security Workforce Study" realizat de Frost & Sullivan, se vede în mod clar necesarul global de cunoştinţe, aptitudini şi abilităţi în domeniul securităţii IT. În piaţă există o lipsă acută de experţi (analişti de securitate, auditori de securitate, arhitecţi de securitate...) precum şi de competenţe (evaluarea şi administrarea riscurilor, investigarea şi răs-punsul la incidente, guvernanţă...).
Programele educaţionale trebuie să includă mai multe subiecte STEM şi o abordare progresivă şi mai profundă în securitatea cibernetică, pentru studenţii interesaţi. În prezent, securitatea cibernetică este doar un subiect printre altele, în cadrul unui program de mas-terat, cu puţine activităţi practice. Este prea târziu să mai apelăm la analişti de securitate sau la alţi experţi operaţionali. Piaţa italiană are o lipsă de resurse operaţionale în securitatea IT, care trebuie completată.
Programele educaţionale naţionale în domeniul securităţii cibernetice trebuie să înceapă cu programe puternice STEM şi de conştientizare pentru a insemina bazele subiectelor de securitate cibernetică. Universităţile trebuie să înceapă să creeze programe dedicate pentru securitatea cibernetică, cu training-uri operaţionale. În Italia există o lipsă acută de programe universitare de securitate cibernetică şi facultăţile de inginerie, mai ales, trebuie să vină cu o soluţie.
Soluţiile nu trebuie să fie decuplate de mediul de muncă. Examinând National Initiative for Cybersecurity Education (NICE) din SUA şi com- parând această iniţiativă cu framework-ul naţional de securitate cibernetică (National Cybersecurity Framework) (adoptat şi în Italia), nu se văd cu claritate conexiunile dintre cele două iniţiative. Între ele există un fel de pod neterminat.
Iniţiativa naţională pentru educaţie în domeniul securităţii cibernetice (National Initiative for Cyber- security Education) a NIST prezintă 7 categorii (provizionare sigură, operare şi întreţinere, protecţie şi apărare, investigare, supraveghere şi guvernare, colectare şi operare, analiză). Pentru fiecare categorie, sunt stabilite zone de specialitate (circa 32 în total). Pentru fiecare zonă specializată sunt stabilite anumite sar-cini (task-uri) pe care un expert trebuie să le execute, dobândind cunoştinţe specifice, abilităţi şi aptitudini [Knowledge, Skills and Abilities (KSA)] circa 800.
Dobândirea de KSA permite aspirarea către anumite funcţii, listate, de asemenea, în framework. Problema o reprezintă lacunele logice dintre cele 2 iniţiative (educaţională şi operaţională), deoarece categorisirea subiectelor în cele 2 framework-uri este diferită.
Framework-ul este împărţit în 5 func-ţii (identificare, protecţie, detectare, răspuns, recuperare) cu subcategorii diferite şi aşa mai departe. Efortul de a conecta framework-ul NICE cu cel de securitate cibernetică naţională a fost lăsat în seama cititorului. Ar fi fost util să se folosească un limbaj şi un framework comun pentru a descrie categoriile educaţionale şi de training pentru a avea o anumită continuitate în domeniu.
În concluzie, câteva recomandări pentru România ar fi:
1. Începerea diseminării campaniilor de conştientizare începând încă de la grădiniţă, nu prin iniţiative sporadice, ci prin inserarea lor în activităţi educaţionale;
2. Creşterea învăţământului STEM pe toate nivelele educaţionale;
3. Introducerea unor programe de securitate cibernetică în licee şi a unor cursuri de securitate cibernetică în universităţi;
4. După framework-ul naţional de securitate cibernetică, următorul pas care trebuie făcut este dezvoltarea unor programe educaţionale care să instruiască lumea în efectuarea func-ţiilor şi activităţilor listate în framework.
Massimo Cappelli este Planning Operations Manager la GCSEC. În calitate de PMO, el coordonează activităţile educaţionale şi de cercetare ale fundaţiei. A urmat studii economice şi ulterior a obţinut un PhD în «Geoeconomics, Geopolitics and Geohistory of border regions» (Geoeconomie, geopolitică şi geo-istoria regiunilor de frontieră) concentrat pe programe de protecţia infrastructurilor critice şi un masterat în «Intelligence and Security Studies» (Studii de securitate şi informaţii). Anterior a ocupat funcţia de Associate Expert in Risk Resilience and Assurance (ex- pert asociat în asigurare şi rezilienţă la riscuri) la Booz & Company şi Booz Allen Hamilton. A fost şi consultant în mai multe grupuri de consiliere industrială pentru NATO. Este PMO în cadrul mai multor proiecte GCSEC.