Dialog inedit despre securitate cibernetică

Pentru evoluţia digitală, 2018 este un an deosebit de important în care, din păcate, în aproape toate ţările din Sudul Europei, din Portugalia până în România, nu se mai vorbeşte deloc despre pericole. Pe de o parte, suntem intoxicaţi zilnic de mass-media generaliste cu aşa-zisa "dezinformare", un fenomen care are loc, în toată media, de la începutul presei democratice la sfârşitul secolului al XIX-lea, dar care în pris­ma marilor vedete ale media româ­neşti se limita la informaţie manipulată, deformată sau chiar inventată, pe scurt - fake news. Nu se vorbeşte despre datele falsificate, care sunt majoritatea covârşitoare acestui fenomen şi, partea într-adevăr nouă, ţinta lor fiind să schimbe cursul unei acţiuni pe piaţa bursieră, să intoxice algoritme ale ma­şinilor şi software din generaţia "Machine Learning" sau "Artificial Intelligence" şi care, prin masa lor impresionantă, fac aproape imposibilă contracararea cantitativă cu datele reale.

În acelaşi timp, lipsesc numai între 12 şi 16 luni, în funcţie de fiecare stat, până la implementarea reţelei 5G, care va aduce o metamorfoză totală şi completă a mijloacelor umane şi tehnologice folosite în cadrul securităţii digitale. Încă de acum, cantitatea de informaţii accesate prin smartphone depăşeşte cu mult pe cea preluată prin laptop, iar dacă multiplicăm de 30 de ori viteza de recepţie/transmisie date (trecere de la 4G la 5G), uniunea celor mai slabe verigi de securitate (omul şi smartphone, prin care se vor accesa în 2020 peste 80% din date) va crea un cocktail exploziv pentru cei însărcinaţi cu apărarea fie a unei firmei, fie a unei infrastructuri, fie a unui stat.

Or, spre deosebire totală de ţări cu ecosisteme private mult mai mature în domeniul securităţii, cum ar fi Elveţia, Anglia sau SUA, fără a mai vorbi de Rusia, China sau Israel, în zona geografică menţionată domneşte pasivitatea firmelor cu beneficii mari, neimplicarea producătorilor de securitate în evenimente non-profit - sau unde marketing "hard style" nu este permis - şi discursuri guvernamentale care rămân vorbe fără fapte.

Acest cumul de reacţii în sectoare atât de diferite, cât şi complementare a fost creat de trei elemente distinse: cele două valuri de malware (Wannacry şi Non-Petya sau Goldeneye), intrarea în vigoare a GDPR şi amalgamarea (cu încrederea/neîncrederea) între statul ales şi instituţii stabile ale statului care apară naţiunile şi cetăţenii lor, mai ales în domeniul cyber. Ro­mânia nu este deloc o excepţie în panorama europeană, dar poate că este exemplul unde daunele acestor trei elemente fac cele mai multe ravagii.

Valuri de malware au determinat patronatele să spună că dacă multinaţionalele care au investit miliarde în securitate au fost lovite, atunci orice investiţii ar face companiile, tot nu vor putea fi complet protejate.

GDPR, foarte prost explicat şi interpretat, a antrenat costuri enorme în resetarea sistemului de securizare a datelor fără repunerea pe masă a întregului ecosistem de securitate a firmelor şi, mai mult, angajarea a mii de specialişti în redactarea unei birocraţii kafkaniene de "compliance" cerută de state membre ale UE şi pusă, în mod greşit, în rândul "securităţii", din bugetul firmelor. Chiar de la patru CEO ai firmelor cu cifre de afaceri de peste o sută de milioane de euro pe an, dintr-o ţară membră a G7, am auzit: "să nu mai auzim de investiţii în securitate în următorii doi-trei ani, pentru că întâi trebuie să amortizăm costuri şi cheltuieli susţinute «din vina» GDPR".

În sfârşit, neîncrederea în clasa politică într-o majoritate covârşitoarea de state membre ale UE are un impact devastator care se traduce în neîncredere în orice entitate statală, presupusă din start ca fiind o emanaţie sau o slugă a puterii alese.

În acest context, săptămâ­na trecută s-a desfăşurat la Sibiu a VI-a ediţie a "Cybersecurity-România", platformă de dialog public-privat, neutră şi non-profit, sprijinită şi pregătită de ONG Swiss Webacademy împreună cu Uniunea Internaţională a Telecomunicaţiilor (ITU - ONU/Geneva) şi sub egida Ambasadei Elveţiei în România.

În deschiderea evenimentului a avut loc tradiţionalul "Welcome dinner" oferit de către Poliţia de Stat din Geneva în onoarea Ambasadorului Elveţiei în Romania E.S. Urs Herren.

De ce am îndrăznit sa scriem în titlul articolului "inedit"? Pentru a califica cele două zile de congres faţă de toate evenimentele care au loc în România pe tema "cyber". Desigur, nici din orgoliu deplasat, nici pentru a dispreţui ceea ce fac companiile private sau statul în Bucureşti, dar şi la Timişoara, Cluj-Napoca sau Iaşi, dar pentru a marca o diferenţă majoră, aceea de a crea un moment de dialog şi de interacţiune de 48 de ore în cadrul unui congres şi, încă mai mult, în cursul momentelor informale unde atmos­fera şi calitatea ei, dacă este reuşită, întăreşte aceste relaţii.

Motivele sunt simple: această ediţie a fost croită pentru două sectoare absolut vitale pentru buna funcţionare a întregii ţări şi unde securitatea este întotdeauna la ordinea de zi: transporturi şi in­frastructuri critice.

Cu toate personalităţile prezente la eveniment, dialogul cu participanţii a fost permanent, constant, uman şi personalizat. Acest dialog a fost vital într-un moment extrem de confuz pentru sectorul privat, fiindcă, pe de o parte, legea care va defini competenţele, limitele şi obligaţiile fiecărei instituţii a statului în domeniul cybersecurity încă zace neadoptată după ani de zile de dezbateri sterile şi patru variante diferite - începând cu faimoasa lege stufoasă şi neconstituţională denumită "Big Brother" - dar, ceea ce este mult mai grav, Curtea Constituţională a declarat neconstituţională varianta de lege propusă pentru adaptarea corpusului legislativ român în vigoare cu normativa obligatorie UE - "NIS" (Directive on security of network and information systems) - plasând Româ­nia, la momentul de faţă, printre cele 18 state UE ale căror aparate juridice şi parlamentare sunt incapabile să trans­forme o directivă "crystal clear" într-o lege simplă şi clară.

Cât despre participanţi? Multe industrii locale au venit cu mare interes, atrase de faptul deja cunoscut de ele că evenimentul este un "cuib pentru a dialoga în toată liniştea cu actori majori ai instituţiilor centrale", de a prezenta invitaţii VIP din 9 ţări, dar şi de a se prezenta aproape tuturor actorilor majori din transporturi şi energie.

Toţi aceşti actori nu numai că au schimbat puncte de vedere, într-o dezbatere de tip "Davos", dar, ceea ce este mai important, au participat împreună la War-Game denumit "Scenario", creat special pentru transporturi la cererea IATA (International Air Transport Association) şi la War Game despre infrastructuri critice care se ţine în Israel pentru celula cyber a prim-ministrului. Ambele War-Games au fost inventate de către Dotan Sagi, fost director al El Al Security Academy şi fondator al companiei BeST, care a fost prezent în premieră în România pentru a îndruma participanţii. În cadrul acestor exerciţii în timp real cu ecrane care proiectează incidente cu caractere multiple, fiecare participant poate să joace rolul pe care şi-l doreşte: CEO, CIO, CISO, CSO etc.. Deosebirea faţă de un exerciţiu făcut în interiorul unei firme este major: trebuie ca fiecare să comunice cu toţi ceilalţi actori, privaţi sau statali, şi să se pună capăt unei crizei cu consecinţe extraordinar de grave şi repercusiuni internaţionale în mai puţin de 90 de minute. Scopul? Cum rezistă şi cum interacţionează umanul şi ce cultură de criză şi de securitate are. La fel de importantă este încrederea în proprii săi colegi, care este perfect nevizibilă în simulări conduse în interior şi îndrumate de către şefii direcţi. Iar când vine vorba de a interacţiona, atunci iese la iveală ranchiuna, ura, neîncrederea, superioritatea unui departament faţă de celălalt, exact când toate autorităţile aş­teaptă un răspuns clar despre ce se în­tâmplă, pentru a putea, la rândul lor, comunica cu omologii lor din alte state.

"Cireaşa de pe tort" care a sus­citat interesul şi chiar admiraţia personalităţilor cu funcţii decizionale a fost reprezentată de două dezbateri unice de tip "Davos".

Prima a fost consacrată în "SUA, Elveţia, România: cine se ocupă, de ce şi cum colaborează cu celelalte instituţii ale statului şi cu sectorul privat" - un dialog de peste o oră cu Special Agent Peter Traven, Assis­tant Legal Attache al Ambasadei SUA în Româ­nia, Col. (=Gen.) Marc- Andre Ryter de la Statul Major al Armatei Elveţiene, Căpitanul Patrick Ghion, Şeful secţiunii de "Forensic" la Poliţia de Stat din Geneva şi Anton Rog, Directorul General al Centrului Naţional Cyberint (SRI).

Putem să spunem, ca rezumat, că marea miză peste tot este încrederea între oameni şi participarea colectivă la efort de securitate. Or, încrederea este deja o problemă în interiorul unui aparat de stat, oricare ar fi el, iar participarea colectivă, în afară de câteva exemple pilot derulate în Elveţia sau în puţine state SUA, precum New Jersey, face faţă unui val de egoism din partea unor actori mari din partea sectorului privat - şi uneori şi de stat -, când vine vorba de schimb de in­formaţii asu­pra vul­nerabilităţii.

Al doilea "Davos" major, despre ris­curi prezente şi viitoare ale Inteligenţei Artificiale, a fost lansat şi moderat de către Col. (= Gen.) Marc-Andre Ryter, în prezenţa Nicoleia Sotira, CISO a grupului Poste Italiane, şi Battista Cagnoni, specialist in Machine Learning and AI for security. Aici, problematicile scoase în evidenţă au fost două: "Inteligenţa" artificială de acum, adică accepţiunea anglo-saxonă a cuvântului, care înseamnă "culegere şi triere de informaţii" - deja mult mai folosită şi în mod mult mai avansat de către grupări criminale decât de către state sau companii pentru apărarea lor, şi inteligenţa artificială de mâine, cea care corespunde sensului cuvântului în limbile latine şi ale cărei prime produse sunt vehicule fără pilot. Aceasta ridică o provocare imensă prin vulnerabilităţile sale potenţiale şi eventuale sfidări ale legii roboticii, unde maşina trebuie sa fie stăpâ­nită şi să asculte omul.

Mai mult ca niciodată, succese sau eşecuri ale ecosistemelor noastre se vor baza pe o mărire accelerată a gradului de cultură digitală şi mai ales a întâlnirii şi încrederii interpersonale, fie la stat, fie la privat, şi, mai important, între stat şi privat, ceea ce s-a produs la Sibiu pe toată durata evenimentului. În acest context, cu peste 160 de participanţi, a 6-a ediţie a "Cybersecurity-România", conform feedback-ului primt de la cei mai înalţi reprezentanţi ai sectoarelor public şi privat, a avut un impact neaşteptat de pozitiv, cu un rol şi consecinţe pe termen lung pentru ecosistemul românesc, care abia vor începe să se producă în urma întâlnirii dintre personalităţile prezente la eveniment.