LAURENT CHRZANOVSKI, SWISS WEBACADEMY: "Întreaga Uniune Europeană se află în obscurantism total privind securitatea informatică"

Reporter: Care este opinia dumneavoastră cu privire la securitatea informatică în România?

Laurent Chrzanovski: Consider că întreaga Uniune Europeană se află într-o perioadă de obscurantism total în ceea ce priveşte securitatea informatică. Numai SUA şi Canada (prin ONG-uri şi patronate) sau Rusia (prin Poliţie) au informat corect cetăţenii şi firmele despre ceea ce constituie cea mai mare ameninţare din istorie.

În Europa, acelaşi patron care a dublat paza la sediul firmei sale, cel mai adesea, nu are PC-uri securizate, accesează date confidenţiale prin smartphone, în timp ce cetăţeanul de rând postează "live" pe reţele sociale selfies cu familia la plajă, informând hoţii că domiciliul său este "self-service" (reţelele sociale sunt prima cauză a spargerilor de locuinţe).

Paradoxul aici este că România deţine, de pe o parte, un CERT [n.r. Centrul de Răspuns la Incidente de Securitate Cibernetică] - chiar dacă insuficient dotat cu personal şi mijloace (din cauza deciziilor politice greşite) - care este dat ca un exemplu de bune practici de către UE şi de către ITU (n.r. International Telecommunication Union- Uniunea Internaţională a Telecomunicaţiilor), un SRI care este în contact permanent şi face o treabă bună cu toate companiile care sunt clasificate în grupul de "infrastructură critică" şi, pe de altă parte, unul dintre cele mai capabile departamente de securitate cibernetică europeană în cadrul Poliţiei Naţionale, să nu mai vorbim de faptul că procurorul DIICOT pentru criminalitate informatică are un record de premii europene şi internaţionale consecutive, fiind recunoscut ca "cel mai bun procuror al anului" în acest domeniu.

Pe de o altă parte, se glumeşte adesea (într-adevăr!) că limba română este a doua limbă după engleză în orice multinaţională de IT (de la Google la Microsoft). România este singura ţară care nu este o super-putere, dar care are un antivirus în top 3 mondial (Bitdefender), şeful tehnic Kaspersky Labs este român şi Avira este conceput în măsură de 80% în România.

În concluzie, dacă Statul şi Companiile din România ar reuşi să construiască împreună un program de sensibilizare, ţara noastră ar putea să devină, fără exagerări, cea mai sigură din lumea virtuală.

Reporter: Cum ne putem proteja de atacurile cibernetice?

Laurent Chrzanovski: Singura soluţie este de a învăţa, cu mult înainte de a investi (eventual), în soluţii de protecţie. Cetăţeanul şi Patronul trebuie să ştie despre ce este vorba şi să aplice din timp măsuri care ţin în majoritatea lor de bunul simţ şi de fragmentarea informaţiei şi mijloacele de acces la ea.

Apărarea în faţa atacurilor cibernetice nu mai este o opţiune personală şi nici măcar una naţională. Doar că populaţia, indiferent de vârstă, nu este nici măcar avertizată, darămite pregătită să facă faţă noilor ameninţări. Problema este că presa specializată fie lipseşte (în special în limba română), fie vorbeşte într-un jargon prea puţin comprehensibil, pe când presa generalistă fie nu înţelege problematica, fie este interesată doar de senzaţional şi trece de la un scandal la altul fără a mai reflecta la implicaţiile reale şi la consecinţele pe termen lung.

În faţa unui război total şi a unei ameninţări globale, trebuie făcut front comun: utilizatorii - companii private şi instituţiile statale - instituţii transfrontaliere.

Reporter: Cum apreciaţi legislaţia din domeniu comparativ cu alte state? Dar legislaţia UE din domeniu cum vi se pare?

Laurent Chrzanovski: Legislaţia din România, în ceea ce priveşte justiţia şi poliţia, este foarte adecvată. În schimb, "măcelul juridic" făcut din vina incompetenţei celor care au redactat legea "Big Brother" şi care a avut ca o consecinţă neconstituţionalitatea sa, este catastrofal.

Legea conţinea elemente vitale pentru apărarea ţării. Aşadar, în acest moment, România este, mai mult decât oricând în istorie, vulnerabilă la atacuri din exterior, dar şi din interior. Trebuie o rapidă, dar adevărată consultaţie publică între Stat şi Societatea Civilă, din care să se nască prin consens larg o lege simplă, uşor de înţeles şi de aplicat, care să intre în vigoare cât mai repede. UE se află în aceeaşi situaţie: are legislaţie potrivită justiţiei şi poliţiei, dar în rest se rezumă la strategia de cybersecurity, neaplicată, încă, sub forma mai multor texte legale, exact cum se întâmplă în România cu strategia adoptată de ambele camere şi ratificată de guvern, preşedinţie şi Consiliul Suprem de Apărare a Ţării (CSAT) în 2013.

Reporter: Cum apreciaţi colaborarea dintre autorităţile publice şi mediul de afaceri în domeniul securităţii cibernetice?

Laurent Chrzanovski: Ca în multe ţări post-socialiste, unele instituţii de securitate, cum ar fi armata, au menţinut o rată ridicată de apreciere printre oameni sau au reuşit să-i recâştige - ca de exemplu, în România, SRI. În timp ce alte instituţii - am putea cita biroul procurorului - încă suferă de o reputaţie negativă exagerată, creată în principal de "imaginea" din tabloide, schiţată de mass-media populistă.

Această opinie destul de negativă, răspândită printre oamenii de rând, se regăseşte şi în mediul de afaceri. În anumite sectoare (bancar, industria IT) există o excelentă colaborare cu instituţii ale Statului.

În schimb, multe firme din România care, în prezent, au ajuns la o cifră de afaceri interesantă pentru criminalitatea organizată, nici nu cunosc care este numărul de urgenţă de apelat la IGPR, la CERT-RO sau la SRI, în caz de atac frontal. Mai mult, ca în orice ţară din UE, există o reţinere şi o ruşine să denunţi faptul că ai fost atacat. Legea s-a schimbat şi acum acest denunţ este obligatoriu, pentru că un atac în general ascunde şi o penetrare către terţi (clienţi, furnizori, simpli contacte sau prieteni). Pe de o altă parte, Statul nu a reuşit, încă, să mediatizeze suficient proprile sale prestaţii şi servicii către cetăţeni şi firme în ceea ce priveşte securitatea cibernetică.

Reporter: Suntem din ce în ce mai dependenţi de dispozitive informatice, conectate la internet, ceea ce duce la apariţia riscurilor aferente mediului cibernetic. Cum apreciaţi această dependenţă din punctul de vedere al securităţii informaţiei?

Laurent Chrzanovski: Toţi specialiştii au avertizat cu privire la pericolele acestei tendinţe, în plus, luând în considerare punerea masivă în aplicare, zi după zi, a conceptului Internet of Things şi inocenţa absurdă a celor mai multe companii în ceea ce priveşte enomenul "BYOD" (Bring your own device). Pentru prima dată, o persoană naivă - bărbat sau femeie - poate avea toată viaţa (privată, publică, profesională, socială şi financiară), stocată într-un mic smartphone nesecurizat. Cumpărăm imatur şi riscant, chiar în mod exagerat, dispozitive sau aplicaţii software. Şi niciun producător nu doreşte să mai lucreze la aceste produse, în timp ce atenţia sa este îndreptată către lansarea de noi dispozitive cu mai multe funcţii, toate slab testate, cât mai curând posibil pentru a nu pierde cota de piaţă, fără nicio reglementare de stat. Acest lucru nu este nici măcar tehnologie, acesta este un nonsens generat de marketingul pur şi, într-un anumit sens, un abuz de încredere al clientului asociat cu dorinţa constantă de a fi echipat cu cel mai recent produs. Este ca şi cum producătorii de autoturisme ar fi permis să vândă noi modele fără să îndeplinească toate criteriile obligatorii de performanţă, stabilitate rutieră şi a obligaţiilor testelor de coliziune.

Acum, extragerea acestor date nu a fost niciodată mai simplu de efectuat pentru statele puternice şi pentru criminali, din vina lipsei de educaţie de bază a cetăţenilor şi a factorilor de decizie din companii şi instituţii.

Când accesaţi cu telefonul mobil baza de date a firmei şi acest telefon nu este securizat, uşa este larg deschisă. La fel când aveţi pe acelaşi PC atât acces la reţele sociale, cât şi intrare în baza de date confidenţiale. Acum să adăugăm şi conceptul de Internet of things, care permite să fiţi furaţi şi de către cei cu care sunteţi în contact, inclusiv prin anumite tipuri de electrocasnice conectate cum ar fi frigidere sau sisteme de iluminat ieftine, pe care le controlaţi cu smartphone-ul dumneavoastră.

Reporter: Atacurile cibernetice sunt din ce în ce mai dese în România. Se pare că autorităţile noastre reuşesc să le anihileze cu succes. Cum credeţi că vor evolua atacurile cibernetice, în condiţiile mai multor ameninţări, inclusiv conflictul Rusia-Ucraina şi gruparea teroristă ISIS? Laurent Chrzanovski: România are oameni de anvergură mondială în celule de apărare cibernetică, atât la IGPR, cât şi la CERT-RO şi SRI. Dar ei nu vor putea să continue să anihileze eficient toate atacurile, în condiţiile în care vârfurile decizionale ale infrastructurii critice (reţele şi centrale de gaz, petrol, electricitate, telefonie, etc.) nu cunosc nici măcar ABC-ul fenomenului. Recent, analistul Ionel Niţu a scris: "Mai puţin de 20% din stakeholderii din domeniul energetic cu care am discutat de la începutul acestui an au înţeles importanţa prevenirii ameninţărilor cibernetice".

În ceea ce priveşte evoluţia atacurilor, răspunsul este foarte simplu: orice mişcare puternică, fie ea geopolitică, militară sau inclusiv naturală (cutremur, inundaţie, tsunami) este acum un pretext ideal pentru a declanşa un val de atacuri la nivel global, fie pentru organizaţii criminale, fie pentru instituţiile anumitor state, şi nu numai pentru cei ale căror nume sunt vehiculate zilnic de editorialişti. Este foarte simplu pentru o bandă criminală să vă facă să credeţi că sunteţi atacaţi din Rusia sau de o zonă controlată de ISIS, pe când ea, de fapt, se află în blocul de pe lângă dumneavoastră.

Reporter: România va fi un fel de "cyber-lider" pentru NATO în conflictul cu Rusia-Ucraina. Care sunt provocările complexe din spaţiul cibernetic?

Laurent Chrzanovski: Prima afirmaţie este exagerată. Pentru un răspuns corect, trebuie să vă adresaţi MAPN, acest dosar nefiind public. Tot ce putem să spunem este că România, ca şi Polonia, vor juca, probabil, un rol-cheie pentru NATO, urmând strategia NATO care este foarte clară şi accesibilă publicului. În schimb, una dintre primele hotărâri ale Preşedintelui Poroşenko după alegerea sa a fost să ceară sprijinul României în două contexte precise: lupta împotriva corupţiei şi lupta împotriva criminalităţii cibernetice. România a răspuns pozitiv şi au loc schimburi de experienţă între DNA/SRI şi instituţiile ucrainene corespunzătoare.

Ca răspuns la întrebare, provocările în sine nu sunt niciodată complexe. Istoric vorbind, ţintele nu s-au schimbat: bani, brevete, informaţii confidenţiale comerciale, politice, militare. Iar tehnologia folosită este din ce în ce mai complexă. Pe scurt, există două intenţii clare: de a obţine baze de date confidenţiale pentru a avea supremaţie geopolitică/militară şi de a vinde aceste date către terţi sau de a le folosi în mod criminal.

Reporter: La Swiss WebAcademy instruiţi şi hackeri "etici"?

Laurent Chrzanovski: "Hackeri etici" este un termen care este probabil deja depăşit, deoarece este prea vag, chiar dacă a rămas încă la modă pentru conferinţe şi acreditări. O să oferim în schimb pregătirea de Penetration Testers începând cu anul 2016, cu standarde mai înalte faţă de cele propuse în România şi în UE. Dorim să propunem cursuri care să cuprindă şi metodologia, şi deontologia, şi folosirea corectă a diferitelor platforme, dând însă siguranţă că viitorii absolvenţi nu vor crea daune infrastructurii firmei care le vor comanda astfel de teste pentru a verifica soliditatea sistemului său.