English
• Interviu cu Andrei Petruş, Product Manager "Bitdefender"
Reporter: Preşedintele Traian Băsescu a declarat, recent, că securitatea cibernetică reprezintă o prioritate pentru ţara noastră. Cât de expuşi suntem, în prezent, în faţa unor atacuri cibernetice?
Andrei Petruş: România, din punctul acesta de vedere, are două mari probleme: educaţia pe care noi, ca şi cetăţeni, o avem în aceas-tă lume digitală şi faptul că am fost bombardaţi de serviciile acestea noi, pe care le consider sensibile, cum ar fi reţelele sociale. Până acum trei-patru ani rata de penetrare a Internetului în România era foarte mică. Acum am început să îl folosim cu toţii, iar ceea ce este mai grav este că îl folosim pentru a efectua tranzacţii bancare, precum şi pentru a trimite informaţii în interes de serviciu. Acest lucru este important pentru că nu întotdeauna se desfăşoară pe canale sigure. Băncile au adoptat politici şi standarde de securitate naţionale în acest domeniu, iar metodele de control al accesului utilizatorului la contul său de Internet banking sunt destul de vaste. În România avem un sistem bazat pe ceva ce ştii şi ceva ce ai, respectiv pe numele sau numărul de utilizator şi de o parolă pe care fie o generezi cu un dispozitiv de tip token, fie o primeşti pe telefonul mobil.
Reporter: Avem în clipa de faţă, în ţara noastră, bănci care furnizează servicii online-banking care să nu necesite una dintre cele două metode de autentificare?
Andrei Petruş: Pe plan mondial sunt foarte multe bănci la care autentificarea se face, pur şi simplu, pe baza unei parole. La noi, însă, din câte ştiu, majoritatea au unul din cele două sisteme. Mai mult, sunt bănci care au sisteme de autentificare chiar mai puternice, care se bazează pe un sistem de certificate digitale, care sunt stocate pe un card, iar în momentul în care vrem să facem o tranzacţie, acea tranzacţie trebuie să fie autentificată printr-un token generat de un dispozitiv, care este capabil să citească certificatul digital memorat, astfel încât banca va şti cu siguranţă că persoana titularul contului, care a semnat pentru acel certificat digital, a autorizat tranzacţia. Este un lucru benefic şi pentru client, pentru că siguranţa este mai mare, şi pentru bancă, pentru că în orice moment se poate demonstra că persoana respectivă a autorizat tranzacţia.
Încă un lucru foarte important. Trebuie să ne asigurăm întotdeauna că, atunci când facem tranzacţii pe platforme de online banking, suntem conectaţi la un site de tip "https". Acest lucru ne asigură că site-ul accesat este chiar cel pe care dorim să îl accesăm, pentru că exis-tă foarte multe site-uri clone.
Reporter: Dacă am înţeles bine, există posibilitatea ca anumite site-uri să nu fie cele pe care noi credem că am intrat.
Andrei Petruş: Da. Cele mai multe atacuri se bazează pe tehnici de inginerie socială. Acest lucru înseamnă că se mizează pe ajutorul direct al victimelor, care, din cauza neglijenţei, a naivităţii sau a curiozităţii, ajută direct infractorul în a-şi atinge scopul. Să vă dau câteva exemple. Un astfel de atac este cel de tip "phishing". Acesta se referă la practica prin care victima primeşte un email, în care i se spune: "Hei, noi suntem banca ta. Pentru a evita blocarea contului, avem nevoie să ne furnizezi câteva informaţii". Acel mesaj are un nivel de confidenţă vizuală foarte mare, este o replică aproape 1 la 1, cu toate comunicatele, pe care acea bancă le emite. Adică poartă header-ul, poartă disclaimer-ul de la final, în care se zice că informaţiile sunt confidenţiale, şi uneori chiar are o zonă de contact (evident, nu o să fie numărul de telefon al băncii, o să fie un număr de telefon unde va răspunde o persoană, infractorul sau un complice al acestuia, care va încerca să ghideze utilizatorul într-un mod cât mai fidel, după cum ar face cei de la call-center-ul băncii). Foarte multe persoane, pentru a evita blocarea contului, accesează link-ul pentru a furniza informaţiile cerute. Odată intraţi, sunt redirecţionaţi către o bancă, care are adresa băncii, însă fără radicalul "https" în faţă, şi unde li se cer informaţii referitoare la card, suficiente pentru a efectua tranzacţii cu respectivul card. O persoană de bună credinţă poate să ofere aceste informaţii, liniştit că a scăpat de blocarea contului. Apoi, când va cere un extras de cont, va observa că îi lipsesc sume pe care nu le recunoaşte iar, de obicei, este vorba despre sume mari. De aceea este important să avem o educaţie digitală, pentru că majoritatea atacurilor pe zona de finanţe sunt săvârşite cu ajutorul victimelor.
Un alt tip de atac este "pharming-ul". Acesta este puţin mai inteligent şi mizează pe o iscusinţă mai ridicată din partea atacatorului. În mare parte este vorba despre compromiterea unui site legitim, prin redirecţionarea traficului către un site rău intenţionat. Cum se face acest lucru? Clientul încearcă să acceseze pagina de Internet a băncii sale şi, de fapt, intră pe un site care este o copie fidelă a acestuia. Acest lucru se poate face modificând un registru de adrese din calculatorul victimei, prin intermediul unor viruşi. Puteţi să primiţi, de exemplu, un e-mail care conţine o poză.
Descărcaţi poza, o vizualizaţi, ceea ce pare a confirma legitimitatea mesajului, însă, în acelaşi timp, acest fişier face modificări în calculator, modificări pe care utilizatorul nici nu le observă. Intervenţii de acest gen sunt totuşi, rare, pentru că trebuie să avem o congruenţă perfectă între ce accesăm şi paginile pe care ajungem. O altă modalitate de a executa atacuri de tip pharminig constă în exploatarea unei breşe în serverul DNS, cel care translatează adresele de tip nume în adrese IP. Dacă un hacker este destul de iscusit iar furnizorul de servicii de Internet al victimei are o infrastructură mai puţin sigură, îi este foarte uşor să deruleze un astfel de atac. Deci nu este nevoie ca cineva să aibă acces fizic la calculatorul victimei. Şi validitatea site-urilor către care suntem direcţionaţi în astfel de cazuri se poate verifica observând dacă acestea au extensia https. Acest lucru este esenţial atunci când efectuăm operaţiuni sensibile, precum transferuri bancare sau de comerţ electronic. Aceste adrese nu sunt nici ele 100% sigure, dar ridică gradul de securitate iar verificarea nu necesită cunoştinţe tehnice aprofundate.
Un alt tip de atac poate fi înfăptuit prin intermediul unor entităţi numite key-logger, care pot exista atât în implementări hardware, cât şi software. Poate să fie vorba despre un troian care, odată ce a infestat calculatorul, interceptează tot ce scrieţi la calculator, inclusiv nume sau număr de utilizator, parole, coduri de acces la diferite platforme, precum cele de online banking sau tranzacţionare online. Sau poate fi de natură hardware. Ceea ce este mai grav este că instrumentele de tip software sunt, în mare parte, detectate de soluţii de tip antivirus, şi de aceea este foarte important să avem un antivirus instalat, în tip ce dispozitivile de tip hardware sunt foarte greu de depistat fără o inspecţie fizică a PC-ului. Acestea sunt folosite mai ales în furtul de date din mediul corporatist.
Reporter: Să înţelegem că aceste tipuri de atacuri sunt purtate mai ales din interiorul companiilor? Presupun că este destul de dificil pentru cineva din exterior să aibă acces.
Andrei Petruş: Exact. Este un proces mai dificil, însă 41% din scurgerile de date sunt înfăptuite de către angajaţi ai companiilor. De asemenea, 80% dintre respondenţii unui studiu au afirmat că dacă ar fi concediaţi, iar informaţiile la care au acces ar putea fi monetizate, le-ar lua şi le-ar folosi. Această statistică este făcută la scară mondială. De aceea, politicile de securitate fizică sunt foarte importante într-o companie.
Un alt lucru foarte important: tranzacţiile pe mobil. Băncile au început să pună la dispoziţia clienţilor aplicaţii software pentru telefonul mobil sau tablete. Ne conectăm cu toţii la puncte de acces wireless, gratuite. Majoritatea sălilor de conferinţă şi hoteluri pun la dispoziţie servicii de tip WiFi, dar care sunt parolate. Cele care sunt gratuite folosesc un algoritm de criptare care este foarte şubred. Toate informaţile care se tranzactează pe o conexiune pe un telefon mobil sau tabletă şi un WiFi sunt interceptabile. Mai puţin cele care sunt făcute pe canale securizate.
Reporter: Şi persoanele care folosesc mobile banking sunt la fel de expuse ca persoanele ce folosesc reţele de socializare, de exemplu?
Andrei Petruş: Chiar mai mult. Pentru că telefonul mobil a devenit o realitate virtuală a noastră, cuprinde informaţii personale, lista de contacte etc. Aceste dispozitive conţin viaţa noastră. Dacă ele au fost furate şi nu au un software de securitate de mobil, cu opţiune de ştergere de la distanţă, atunci...
Reporter: Furtul telefoanelor mobile a căpătat altă implicaţie decât acum câţiva ani, când era furat doar pentru a-l monetiza direct.
Andrei Petruş: Exact. Acum este vorba despre furt de identitate şi de informaţii personale, care sunt foarte valoroase. Implicaţiile sunt foarte mari. Este o piaţă de 65 de miliarde dolari, pe 2011, doar din fraude înfăptuite de pe urma furtului de identitate. Gândiţi-vă că această cifră este susţinută de achiziţia pe scară largă a telefoanelor inteligente, aflată în plină expansiune. Infractorii cibernetici sunt ajutaţi şi de faptul că există, practic, doar două platforme unificate, IOS şi Android, care reprezintă mai mult de 90% din piaţa de smartphone-uri. Nu mai este ca în trecut, când prima etapă din planificarea unui atac purtat pe o platformă mobilă era analizarea tipului de terminal pe care îl deţine victima. Acum atacurile sunt mult mai uşor de purtat.
Pentru potecţie este nevoie să avem instalat un antivirus şi să lucrăm cu o bancă ce oferă servicii sigure de Internent Banking, adică nu numai parolă, ci şi acel sistem de autorizare în doi paşi: ceva ceea ce ştii (parolă) şi ceva ceea ce ai (card de trecere). Ar fi ideal să fie şi ceva ceea ce eşti (verificare oculară sau digitală).
Reporter: Care sunt riscurile tranzacţionării pe platformele Forex, pe care omul poate să le realizeze de acasă? Prezentaţi-ne, vă rugăm, şi pericolele care pândesc tranzacţiile bursiere, având în vedere că şi acestea au loc în mediul electronic.
Andrei Petruş: Ambele tipuri de tranzacţii intră într-o clasă destul de mare, şi anume Corporate Security, pentru că, la urma urmei, contează mai puţin care sunt informaţiile pe care le tranzacţionezi şi contează mai mult că acele informaţii sunt valoroase. Fie că sunt informaţii de genul tranzacţii bursiere, fie că vorbim despre informaţii confidenţiale care se trimit între două mari bănci, cu sedii în oraşe diferite. Aici sunt foarte multe de spus. Să tratăm mai întâi al doilea caz. Peisajul ameninţărilor în zona corporativă este destul de animat, pentru că informaţia este congruentă cu puterea. Şi cât timp acest lucru va fi valabil, atât persoanele normale, cât şi companiile, vor încerca să capete cât mai multe informaţii, fie în mod legal, pentru a se documenta, a fi mai valoros pe piaţa muncii, fie în mod ilegal, pentru a specula anumite tranzacţii, pentru a hărţui, pentru a ameninţa şi a căpăta nişte bani în urma acestor informaţii. Companiile îşi îmbunătăţesc sistemele de protecţie, însă ingineria informatică şi iscusinţa hackerilor întotdeauna sunt cu un pas înainte. Acest lucru ne-a fost demonstrat de atacurile care au avut loc în ultima vreme, pe măsură ce marile companii, printre care instituţiile bancare şi instituţiile de tranzacţionare, continuă calea către globalizare. Globalizarea trage după sine şi o interconectare a sistemelor, fie că sunt distribuite geografic, fie că sunt distribuite local, dar pe nivele de acces diferite, creând o reţea-plasă cu foarte multe noduri. Dacă avem o breşă de securitate într-un nod, întreaga reţea este compromisă. De aceea, aceasta este principala parte negativă a globalizării, din punctul de vedere al susceptibilităţii sistemelor informatice la atacuri cibernetice.
Un risc important este factorul uman. Oamenii pot trimite informaţii către o adresă de email greşită, o "vină" importantă aici purtând-o funcţia care permite completarea automată a adreselor. De asemenea, din neglijenţă şi naivitate, deschid email-uri infestate de la un calculator conectat la reţeaua companiei.
Un alt aspect foarte important, care nu are, însă, legătură cu informatica, îl reprezintă debarasarea de informaţii confidenţiale pe suport de hârtie. Foarte puţine companii, inclusiv din zona bancară, din zona de risc maxim, folosesc acele dispozitive pentru a distruge fizic hârtiile. Acest obicei ar trebui să fie împământenit şi situat în topul listei politicilor de securitate al oricărei companii care lucrează cu informaţii confidenţiale pe suport de hârtie.
În privinţa operaţiunilor desfăşurate pe pieţele de capital internaţionale, care se realizează prin intermediul unor agenţi, riscul se naşte din nivelul de acces şi permisiunile pe care le au diverse grupuri în interiorul companiei. Este vorba despre informaţiile pe care trebuie să le cunoască şi pe care au dreptul să le cunoască fiecare într-o companie. De exemplu, niciodată cei de la recepţie nu ar trebui să aibă, într-un mediu normal, acces la informaţile intranet ale companiei cu privire la departamentul de marketing, la ce operaţiuni se desfăşoară acolo, ce informaţii sunt acolo, ce strategii sunt gândite acolo. Trebuie o politică de securitate în care să se stipuleze foarte clar cine, la ce informaţii trebuie să aibă acces. Este nevoie de asigurarea unui echilibru foarte bun între transparenţă şi încredere.
O altă problemă pe care o au companiile constă în securitatea ineficientă a reţelei. Dacă sistemele nu sunt protejate corespunzător, sunt foarte uşor de penetrat de persoane rău voitoare. Sunt milioane de metode prin care se poate accesa în mod ilegal un sistem informatic şi nici un sistem informatic nu este 100% sigur, de aceea e necesar să ne asigurăm securitatea cu soluţii de securitate specifice pentru mediul enterprise care vin împreună cu un pachet de consultanţă din partea specialiştilor.
Să nu uităm riscul pus de utilizarea de social media. Angajaţii au început să-şi acceseze site-urile de socializare la serviciu, chiar dacă există interdicţii şi verificări, căci au telefon mobil, tabletă, de pe care accesează, şi nu puţine au fost cazurile în care informaţii confidenţiale de companii au fost postate de angajaţi pe peretele lor de Facebook. Majoritatea companiilor pun la dispoziţia angajaţilor puncte de acces wireless, care sunt, într-adevăr limitate, dar dacă ai şi o conexiune wireless în companie şi o conexiune liberă 3G, nefiltrată, s-ar putea să ai parte de un atac pe aparatul respectiv, iar hackerul să poată să aibă acces la intranetul companiei, unde sunt baze de date cu informaţii foarte valoroase. Deci creezi un pod între ceva intern şi ceva extern, reprezintă un punct susceptibil de atac. Orice companie care ţine la securitatea informaţilor sale trebuie să aibă o politică de social media protection.
Reporter: Vorbiţi-ne puţin şi despre Forex, unde eşti practic acasă, nu într-un mediu corporate, unde există filtre.
Andrei Petruş: Ar fi ideal să avem control asupra întregului sistem de tranzacţionare, să fie un bloc monolitic unde să controlezi. Pe piaţa Forex, unde avem de-a face cu clienţi distribuiţi geografic, la om acasă, nu e vorba de aşa ceva. Organizatorul pieţei nu are acces la capătul firului. Din acest motiv este important să avem instalate programe antivirus şi să avem grijă la conexiunea de Internet pe care o utilizăm. Nu trebuie să folosim niciodată reţele wireless nesecurizate atunci când facem tranzacţii pe Forex sau bancare.
Reporter: Care sunt metodele eletronice de prevenire şi combatere a spălării banilor?
Andrei Petruş: Trebuie monitorizate atât sumele, cât şi comportamentul utilizatorului. Dacă într-un cont intră sume mici, dar în mod regulat, şi cu frecvenţă foarte mare, ceva nu e în regulă, e dubios. Majoritatea băncilor au implementate sisteme de analiză a comportamentului utilizatorului.
Reporter: Ce se întâmplă când clientul retrage sume mici, din motive nu tocmai morale? Aici mai e valabilă alarma?
Andrei Petruş: Alarma există. Însă aceste operaţiuni nu se fac în sistemul bancar, ci prin sisteme electronice de transfer de bani. Sistemul electronic de plăţi nu este considerat bancă, dar şi cei din acest domeniu el au fost obligaţi să adere la nişte norme europene sau mondiale. În momentul când ai primit într-un cont mai mult de 2.000 dolari, indiferent în ce interval de timp, trebuie să confirmi informaţiile pe care le-ai introdus cu privire la identitatea ta, lucru care nu era necesar până la acea valoare. Fie că ai făcut plăţi prin sistemul electronic de transfer de bani la comerciant, fie că ai primit acea sumă, ţi se blochează contul şi ţi se cere o verificare suplimentară, precum o copie după cartea de identiate, iar, dacă este vorda despre contul unei companii, un act de înregistrare la instituţiile de registru al comerţului. În prezent, nu justificarea veniturilor este cea mai importantă pentru cei care încearcă să combată spălarea banilor, ci distribuţia acestora.
Reporter: În ultimii ani a scăzut foarte mult numărul infracţiunilor cu carduri fizice. În schimb, infractorii s-au mutat în mediul elctronic. S-au dezvoltat atât de mult sistemele de securitate?
Andrei Petruş: Cei din sectorul bancar datorează acestă scădere pe zona fraudelor efectuate cu cardul fizic pe implementarea sistemului de verificare EMV (Europay, MasterCard şi Visa), care se bazează pe cipul de pe card. Problema este că interesul infractorilor a migrat din zona fizică spre cea virtuală din cauză că aceştia şi-au dat seama că aici sunt mai multe metode de a se ascunde şi opera. Nu cred că este un rezultat direct al faptului că sistemele băncilor au devenit mai eficiente în protecţia datelor de pe card. Pur şi simplu este mai uşor să faci infracţiuni în mediul on-line.
Reporter: Vă mulţumesc!
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
