Conferința specialiștilor din Cyber Security la Sibiu
Lauren Chrzanovski, cetățeanul italo-elvețian care a fost numit în calitate de project manager de către ITU (International Telecommunication Union- Uniunea Internațională a Telecomunicațiilor), agenție specializată ONU, a vorbit într-un interviu pentru Gazeta de Cluj despre conferința pe care o organizează la Sibiu pe tema securității. La acest eveniment vor participa specialiști din 29 de țări, dar și conducătorii instituțiilor române specializate în domeniu. Proiectul este derulat de Swiss Webacademy, un ONG cu doar cinci angajați, care a reușit să dezvolte cel mai important proiect de acest gen din țară, aflată acuma la a 2-lea ediție. De altfel, Laurent Chrzanovski vorbește în acest interviu și despre pericolul utilizării unui telefon inteligent, dar și despre cum legislația română din domeniu este de uneori incompatibilă cu cea europeană.
Reporter: La Sibiu va avea loc o conferință foarte importantă pe tema Cyber Security. Din ce în ce mai multe oficialități vorbesc în momentul de față de atacuri cibernetice. Care credeți că sunt pericolele de care ar trebui să ne fie frică cel mai mult având în vedere și conflictul existent la granița României, în Ucraina?
Laurent Chrzanovski: Pericolul este inconștiența întreprinzătorului. Și a fiecăruia dintre noi. Noi folosim din ce în ce mai mult orice tip de program, orice fel de dispozitive să accesăm internetul: fie telefonul mobil, fie tableta, care sunt extraordinar de vulnerabile. Pe aceleași computer avem rețele sociale și baze de date confidențiale, ori prin rețele sociale trec 80% din viruși și din troieni invazivi din lume. Lipsește în România o cultură de securitate a înterprinderii, de fragmentare a bazei de date, de securizare a acestei baze de date. Cine are acces, la ce are acces, în ce loc și cu ce mijloc? Toată lumea vine la birou cu PC-ul propriu, cu telefonul propriu, cu el accesează anumite date. De fapt, acesta este riscul major. În plus, războiul din Ucraina a adus un val internațional de atacuri. Nu este numai un război haideți să spunem a unor forțe pro-ruse și a unui guvern partizan. Au profitat toți. Toate marile puteri de la agenție de stat până la criminali au profitat de acest moment. Pe internet circulă toate genurile de pericole: troieni, viruși. Competitorii încearcă să doboare concurența prin sistemele foarte sofisticate în care nu știm de unde vine atacul. Nu îmi place firma dumneavoastră, nu îmi place de Gazeta de Cluj îmi aranjez un atac care să pară că vine de la Moscova. De fapt nu vine de la Moscova, vine de la Cluj trece prin Austrlia, SUA și ultimul link vine de la Moscova. De fapt eu sunt competitorul dumneavoastră, vreau să știu baza de date, ce cifră de afaceri aveți, toate datele confidențiale, agenda dumneavoastră. În momentul de față șeful SRI a atras mai multe semnale de alarmă: România este o țintă. Și are dreptate. România s-a îmbogățit la un nivel de elită în IT, dar la nivelul anteprenorial este foarte greu să facem prevenție.
Rep.: Credeți că în cadrul conferinței se vor putea discuta problemele pe care le întâlnește o mică primărie din România, o mică companie?
Laurent C.: Acesta este scopul nostru. Este singura platformă de dialog public-privat din România. În România există două tipuri de conferințe de vârf: cele ca EUROPOL, care va avea loc săptămâna următoare la București, conferința tipică de specialiști cu ușile închise, unde participă numai reprezentanții statului și a cele mai bune companii din sector privat de security, sau cele de marketing, unde anumite firme nu fac altceva decat a promovă serviciile lor. Asadar, nu există niciun fel de dialog intre consumator, stat si firme de securitate. Noi ce am reușit deja de anul trecut, acum suntem la a doua ediție, este să instaurăm acest dialog. Conferința de la Sibiu se adresează prioritar intreprinzatorilor, iar si tuturor șefilor de instituție decentralizate ale statului român, la șefi de la primării, la șefi de la județe care au bazele de date foarte fragile. Ținta noastră va fi greu de atins în anii imediat următori. În momentul de față avem 170 de înscriși din care 120 vin din străinătate. Oportunitatea enormă să dialogheze cu statul român, cu cei mai buni experți din străinătate, sunt 29 de țări reprezentate. Câteva mari firme din România s-au înscris masivi pentru că vor să se apere. În schimb, IMM-urile sunt mult mai greu de sensibilizat, deși conferința nu va fi una tehnică. Va fi o parte juridică, va fi o parte de atacuri informatice, de dificultăți cu telefoanele mobile și cloud, partea de investigație și mai ales partea de resurse umane. Cu ajutorul resurselor umane o firmă se poate blinda 90%. Dacă aveți un inginer de securitate IT și fiecare vine cu telefonul și cu laptopul de acasă, acel inginer nu mai poate să facă nimic. Degeaba ați cheltuit milioane în structura de securitate și într-un inginer foarte bun care nu va putea decât să limiteze daunele.
Rep.: Ați putea să ne explicați de ce angajații nu ar trebui să își ia calculatoarele de serviciu acasă și să nu intre de pe Facebook la serviciu?
La: Din acest motiv am și gândit conferința care a luat o amploare foarte mare datorită unui grant de la Națiunile Unite. Ne-am gândit la o primă zi de 1 octombrie care să fie inițiere pentru factorul decizional non-tehnic. Asta înseamnă proprietarul unui IMM, care ar trebui să știe despre ce este vorba, mai ales că există o ciudățenie în România: este primul stat din Europa care aplică o normativă europeană din 1 octombrie: dacă aveți o firmă și sunteți atacat aveți 48 de ore să denunțați acest atac la Inspectoratul General al Poliției Române (IGPR), dacă nu puteți fi considerat complice. Ori cum știți că sunteți atacat dacă nu știți ce este un virus? Că vă spune Bitdefender că aveți un virus? Problema asta merge mult mai departe. Dacă nu știți în ce lume trăim și care sunt interesele: poate să meargă de la simpla calomnie până la furtul masiv. Hackerii au niște aparate de scanat pentru toate statele. Un exemplu foarte bun a fost spargerea Casei Corpului Didactic din Sibiu. Nu a fost ea vizată, dar a fost făcută praf de un grup de hackeri din Turcia pentru a intra într-un sistem care are legături la internet și mailuri. Ei au văzut că în Sibiu există acesta instituție care nu au niciun fel de infrastructură de securitate. Îi atacăm masiv. Noi folosim tot sistemul lor pentru a lansa un atac împotriva cuiva. Când se termină atacul, sistemul dumneavoastră este praf.
Rep.: Care credeți că este gradul de protecția a instituțiilor publice și a micilor primării din România?
L.C.: Depinde cu cine au lucrat. Primăria nu deține portofolii importante în afară de registrul nașterilor, cununii, decese.
Rep.: Se ocupă și de licitații și s-ar putea încerca să se intre în această componentă…
L.C.: Acolo este o problemă mare. Însă vorbim de un atac țintit care nu reprezintă decât 4-5% din ținta atacurilor. Când eu vreau să aflu ceva de la dumneavoastră atunci trebuie să angajezi hackerii foarte performant și să le spun ce caut. Atacuri nețintite este pur și simplu să vă distrug site-ul. De pildă gazetadecluj.ro nu va mai fi vizibilă pe internet și va fi o poză porno în loc. Asta vă dăunează credibilitatea și imaginea către clienți. Dar nu intru în sistem pentru că în acest caz este nevoie de un hacker foarte bun. Sunt mai limitate. În România avem printre cele mai bune servicii ale statului din Europa, care văd deja ce se întâmplă pe internet. Acolo vor vedea că este cineva care încearcă să intre forțat în dosare. În schimb, la privat nu au voie să facă așa ceva decât prin cerere. La privați este mult mai greu. În SUA se estimează că o firmă fără o disciplină de IT Security care merge de la resurse umane până la specialiști are trei luni speranțe de viață. Pentru că acea competiție va afla cât plătiți furnizorii, ce beneficii faceți. Cu asta se duce la furnizor îi oferă puțin mai mult. Se duce la client îi oferă un preț mai bun și v-a distrus. Nici nu știți de unde vin informațiile.
Rep.: Ați vorbit mai devreme despre sistemul cloud. Care este siguranța acestui sistem de stocare a datelor pe internet? De ce ar trebui cineva să își pună datele pe internet?
L.C.: Datele pe cloud sunt vitale în societatea în care trăim. Oamenii de afaceri se deplasează, totul este în continuă mișcare. Ai un plus de siguranță a datelor tale într-un spațiu securizat. În cazul în care sunteți atacați știți că toată baza poate să fie recuperata pentru ca este și în cloud. Toată problema este evident dacă un înteprinzător imprudent alege cel mai ieftin cloud, și nu va fi protejat. Cel mai ieftin cloud evident este cel mai prost protejat. Și de acolo se ivesc tot felul de probleme. Cea mai mare problemă este accesarea datelor de pe telefonul mobil. Și asta este absolut îngrozitor. Telefoane mobile criptate în România nu se vând și nu au succes. Tot ce nu este Iphone sau nu este sistem bine pus la punct de mare branduri este vulnerabil la orice program descarcat, în particular jocuri. Jocurile pot conține un troian. Nu ar trebui să descărcați aplicații care nu sunt agreate de site-ul producătorului, cum face Apple. Altfel, vă poate intra oricine în tot ce aveți: contacte, parolele dumneavoastră de acces.
Rep.: Este ușor să clonezi un telefon mobil?
L.C.: A clona una telefon mobil este cel mai frecvent job în marile aeroporturi internaționale. Pentru asta îți trebuie cam 10 minute și să aveți un om foarte practic care în general iese din mediul criminal. Trebuie să pună mâna pe telefonul dumneavoastră și să pună o priză în acesta. Dacă vă logați cu telefonul mobil pe o rețea wireless fără parolă poate să intră oricine.
Rep.: Care este sfatul pe care îl dați utilizatorilor de telefoane mobile?
L.C.: Sfatul este de a pune cea mai puțină informație despre viața sa personală pe rețele sociale. Sfatul numărul 1: orice rețea socială gratis se plătește. Pentru moment îl plătim prin anunțuri personalizate. Dar și printr-o anumită slăbiciune. Mai departe, să nu folosească niciodată același mobil pentru lucru și pentru divertisment.
Rep.: Legenda este că România este cunoscută pentru hackerii din Râmnicu Vâlcea, unii chiar reușind să spargă site-uri din SUA. După ce aceștia sunt prinși sunt angajați de marile companii. Cum credeți că ar trebui stopat fenomenul acesta al infracționalității în domeniul informatic?
L.C.: Povestea Râmnicu Vâlcea a fost lansată de presa americană. Nu sunt mai mulți hackeri la Râmnicu Vâlcea decât la Cluj, Brașov sau Sibiu. Sunt două tipuri de hackeri: tineri care vor să aibă o slujbă foarte bine plătită și atunci vor încerca să intre în Pentagon, să intrea la Cotroceni, la Palatul Victoria și în schimb grupările organziate, care în general sunt transnaționale, unde s-a văzut foarte bine că pe site-uri de vânzare online este cel mai mare număr de furturi. În general este mafia americană cu mafia rusă și cu un intermediar român, ucrainian, chinez. Acest lucru nu v-a fi limitat niciodată și privește interesul băncilor. În schimb, acolo trebuie spus o chestie importantă: de ce băncile din România continuă să dea cărți de credit cu 4 numere în loc de 6? Când patru numere în doua ore se poate sparge. Șase numere în patru zile se poate sparge.
Rep.: Cum vedeți viitorul numărului hackerilor și a atacurilor din România?
L.C.: Nu cred că va crește numărul hackerilor din România. Va crește exponențial numărul atacurilor asupra firmelor române care au acuma consistență și valori economice să fie interesante pentru aceștia. Până acuma, hackerii nu prea erau interesați să atace firme ca Napolact. Nu aveau o cifră de afaceri suficientă să fie ”interesanți” pentru hackeri.
Rep.: Se vorbește din ce în ce mai mult de creerea unei inteligențe artificiale pe care o vedem și în rețele sociale ca și Facebook în care utilizatorul să poată să găsească chestiuni relevante în legătură cu căutările sale precedente. Chiar și Google folosește un astfel de sistem. Cum vedeți dezvoltarea inteligenței programelor?
L.C.: Acestea se vor dezvolta, dar problema este a confidențialității fiecăruia dintre noi. Dacă vă puneți să căutați că nu sunteți mulțumiți în cuplu, aveți diverse căutări porno poate să vă șantajeze oricine care are acces prin wi-fi la computerul dumneavoastră. Dacă nu știți că pe Google puteți pune că nu doriți să fiți urmăriți, că nu doriți să știe Google unde vă aflați, nu doriți să păstrați niciun istoric al cercetărilor dumneavoastră, este evident că un om de intelligence poate să construiască tot trecutul dumneavoastră. Ceea ce mă îngrijorează foarte mult este liberalismul total cu care o țară dezvoltată adoptă noile tehnologii: hai să îmi deschid mașina cu telefonul, hai să fac banking cu telefonul, hai să aprind lumina la mine acasă cu telefonul. CIA a trebuit să transmită 60 de oameni înarmați până-n dinți în Arizona pentru că acolo trimiteau 60.000 de spam pe secundă. Ce era acest diavol? Un frigider. Internet of things, adică cât mai multe scule vor fi conectate prin wireless la smartphone, este o inconștiență totală a statelor noastre să fie liberale. Pentru că este o ușă de intrare pentru criminalitate. Se vede foarte bine cum hoții fură mașinele de lux: intră pe sistem de muzica sau gps și vă pornește motorul. Mulțumesc informaticii. Nu există niciun regulament, niciun standard și nu putem să ne punem de acord.
Rep.: În SUA se vorbește din ce în ce mai mult despre urmărirea fiecărui om. Credeți că oamenii ar mai putea avea viață personală?
L.C.: Fiecare stat face așa. Să nu ne mirăm pentru că a fost scandalul Snowden și fiecare stat are un serviciu de inteligence care trebuie pentru motive de criminalitate organizată și terorism să urmărească mai multă lume decât trebuie. Problema este cine îl face. Problemele care s-au ridicat cu cazul Snowden este că au avut atâta nevoie de interceptări că au subcontractat la firme private. Acuma se pune o problemă de democrație: din momentul în care vă ascultă propriul stat prin service competente eu nu am probleme să fiu ascultat. Din moment în care mă ascultă o firmă privată pentru stat și poate să aibă scurgeri din cauza unui prieten pe care îl are care mie îmi e dușman s-ar putea să aibă probleme foarte mari. Se poate observa cât timp le-a luat americanilor să îl prindă pe Bin Laden: aveau porumbei, aveau mesaje scrise pe mână, nu mai aveau telefon mobil, nici rețea, nici nimic. Puteți dispărea de pe planetă: nu aveți numai cash, nu aveți smarthphone, nu aveți laptop decât cu falsă identitate și folosiți computerele publice.
Rep.: În România s-au înregistrat toate convorbirile telefonice și orice operator trebuia să le păstreze timp de șase luni. Legea a fost declarată neconstituțională, iar în schimb acum nu mai poți să îți cumperi o cartelă de telefon fără CNP. Cum vedeți aceste două lucruri?
L.C.: Cartela fără CNP este o legislație europeană și este normal. Mulți teroriști au făcut mai ales pentru atacuri ratate ale aeroportului din Heathrow și atunci nu mai știm cine cumpără ce.
Rep.: Dar nu ar putea oricine să convingă un cerșetor să-i cumpere o cartelă sim?
L.C.: Faptul că voi dați un telefon unei persoane fără să ai despre el nicio informație este periculos. În Italia de pildă la un internet cafe trebuie să arăți un buletin și trebuie să îți facă o copie. Ce s-a întâmplat în România legat de nterceptara telefoanelor este scandalos pentru că este o atingere fundamentală la dreptul de expresie și la libertățile omului. Mai ales că aceste ascultări au fost date nedescriminator nu la SRI sau la SIE, ci au fost date peste tot. Din moment ce sunt motive întemeiate de la DIICOT, DNA, SRI mi se pare legitim. Din moment în care orice procuror, orice polițist, orice om al statului român poate să ceară o interceptare mi se pare un abuz flagrant demn de un regim care nu este tolerabil în Europa.
Rep.: Credeți că dacă cineva s-ar putea îndrepta împotriva României ar putea câștiga la Curțile Europene un proces pe aceste teme?
L.C.: Desigur, pentru că în Franța au câștigat deja. Știți foarte bine că numai președintele și numai după avizul Consiliul Suprem de Apărare stabilește avizele de urmărire pentru spionaj și în ceea ce privește cetățeanul sunt multe proceduri legale care trebuiesc urmărite până când acesta poate să fie urmărit. Procedurile duc până la ministrul de Interne și trebuie să fie suficiente dovezi că acest om face anumite chestii atât de ilegale că merită să fie urmărit. În România în momentul în care companiile au cedat și au păstrat informațiile este o problemă pentru că legislațiile europene spun că acest lucru este ilegal. Încă o dată pun problema: Cine ne înregistrează? Nu statul, ci o companie. Și dacă eu am dușmani la Vodafone?
Rep.: Cum va fi organizată conferința din acest an?
Conferința va fi foarte interesantă pentru că anul acesta va fi configurată pe ateliere de lucru cu moderatori foarte buni sau din ambele domenii: public și privat sau unul român și unul străin pe regula Chatam House adică fiecare să garanteze că nu a înregistrat ce s-a vorbit. Așa va și facilita dialog între cetățean și instituție publică. Omul de afaceri poate să spună că eu am aceeași problemă despre care vorbiți. Statul trebuie să devină un aliat și nu poate să facă acesta dacă nu se colaborează cu el. Statul ne-a arătat prin prezența sa din toate instituțiile de vârf disponibilitatea de a discuta, iar acuma mingea este în câmpul antreprenorilor. Noi le-am ridicat mingea și le-o vom ridica în fiecare an la Sibiu. Îi așteptăm cu mare drag.