18.05.2022 - Opinie Dragoş C.-L. PREDA: “O nouă viziune la RADIOCOM - Diplomaţia cibernetică”

Opinie Dragoş C.-L. PREDA, Director GeneralRADIOCOM: "O nouă viziune la RADIOCOM - Diplomaţia cibernetică - construirea rezilienţei prin transformare digitală: XAAS şi QKD - încredere şi securitate ca serviciu (SECaaS & Trust as a Service)"

Autor: Dragoş C.-L. PREDA, Director general al Societăţii Naţionale de Radiocomunicaţii S.A. (SNR)


       Să recunoaştem, întreaga noastră economie şi infrastructură digitală gravitează în jurul unui singur lucru: încrederea. Avem încredere că sistemele noastre vor răspunde atunci când avem nevoie de ele. Avem încredere că serviciile şi API-urile vor fi sigure, bine testate şi disponibile atunci când sunt operate în propriile noastre aplicaţii. Avem încredere că datele care vin în sistemele noastre de analiză sunt datele corecte şi că sunt exacte. Avem încredere că furnizorii de cloud operează continuu, conform celor mai bune practici pentru a ne menţine datele şi tranzacţiile în siguranţă. Avem încredere că furnizorii noştri iau decizii de afaceri corecte.


       Paradigma Trust as a Service depăşeşte cu mult soluţiile tehnologice cum ar fi firewall-urile, protecţia împotriva programelor malware, Managementul evenimentelor şi informaţiilor de securitate (SIEM), Prevenirea pierderii datelor (DLP), Managementul accesului la identitate (IAM), securitatea aplicaţiilor şi a dispozitivelor, deşi acestea sunt importante.


       Securitatea nu se referă la securizarea activelor, ci la crearea de active de încredere care pot fi valorificate pe piaţă. Întreprinderile transformate digital, consumatorii adaptaţi acestei lumi digitale, într-o economie digitală, au nevoie, mai mult ca niciodată, să-şi construiască afacerea fundamentată pe elementul de încredere.


       Întreprinderile de astăzi se confruntă cu riscuri atât pentru activele lor interne, cât şi pentru cel mai mare activ al lor, clienţii lor. Hackurile şi furtul de date – în special datele personale ale consumatorilor – ruinează experienţa clientului şi scad nivelul de încredere


       Totodată, în noua abordare a RADIOCOM avem în vedere colaborări, tot în sensul abordării CaaS, a soluţiilor Security as a service (SECaaS), şi anume, gestionarea externalizată a securităţii afacerii către un contractant terţ. Deşi, un abonament de securitate cibernetică poate părea ciudat, nu este mult diferit de plata pentru licenţa antivirus. Diferenţa este că SECaaS este o combinaţie a multor produse de securitate împachetate într-un singur serviciu central. Gama de servicii de securitate oferite este vastă şi coboară la un nivel granular. Exemplele variază de la filtrarea simplă a SPAM pentru e-mail, până la antivirus găzduit în cloud, scanarea automată a vulnerabilităţilor de la distanţă, back-up gestionat, sisteme de continuitate a afacerii şi DR bazate pe cloud şi sisteme MFA bazate pe cloud. Serviciile sunt fie livrate direct de la furnizorul de unde cel care re-vinde, fie sunt livrate de la firme specializate care au abilităţile interne capabile să construiască, să integreze şi să gestioneze servicii de securitate specializate pentru clienţii lor.


       Doar o notă aici: sa nu confundam SaaS (software ca serviciu). Acest lucru este diferit de SECaaS.


       Aşa cum afirmasem şi în ultimele declaraţii RADIOCOM îşi propune parcurgerea unui nou ciclu evolutiv de 5 ani, aferent perioadei 2021-2025, în baza unui cadru strategic general care să ofere o viziune pe termen scurt, mediu şi lung – până în 2030/2035. Scopul principal este de a defini o nouă orientare strategică a RADIOCOM, astfel încât provocările viitorului să poată fi depăşite, iar obiectivele strategice să poată fi îndeplinite cu succes. în vederea realizării obiectivelor strategice, RADIOCOM trebuie să desfăşoare un ansamblu de activităţi şi acţiuni.


       Totodată, ca răspuns la ameninţările sus-amintite, entităţile interesate s-au orientat către ideea de „norme cibernetice” – aşteptări privind un comportament adecvat în spaţiul cibernetic – pentru a reglementa comportamentul statelor şi a limita daunele cauzate de activitatea cibernetică rău intenţionată. Pentru a dezvolta şi răspândi aceste norme cibernetice, diverse state şi entităţi non-statale interesate au promovat diferite procese, inclusiv în contexte multilaterale, private, industriale.


       Aşa a apărut diplomaţia normativă multilaterală care implică eforturile statelor de a elabora norme cibernetice. Cele mai importante eforturi au loc sub auspiciile Primului Comitet al Adunării Generale a ONU. Eforturile anterioare de identificare şi operaţionalizare a normelor cibernetice continuă şi astăzi în cadrul unui nou GGE al ONU privind evoluţiile în domeniul informaţiei şi telecomunicaţiilor în contextul securităţii internaţionale. Alte organizaţii au încercat, în plus, să stimuleze procese multilaterale proprii, cum ar fi Organizaţia de Cooperare de la Shanghai, G7 şi G20.


       Procesele normative private implică grupări de experţi de profil înalt din medii diverse care studiază şi oferă recomandări privind normele cibernetice pentru state sau entităţi non-statale. Câteva exemple din această dimensiune de cooperare de ordin normativ ar fi Comisia Bildt (în mod oficial Comisia Globală pentru Guvernarea Internetului) care a marcat una din primele procese de analiza normativă privind securitatea datelor. Comisia Globală pentru Stabilitatea spaţiului cibernetic şi Iniţiativa de politică cibernetică a lui Carnegie participă mai recent în această categorie de procese normative.


       Procesele normative axate pe industrie implică eforturile acesteia de a identifica norme în ceea ce priveşte securitatea cibernetică. Cele mai proeminente două exemple de acest fel în prezent sunt Acordul privind tehnologia de securitate-cibernetică, iniţiat de Microsoft şi Carta încrederii, demers condus de Siemens.


       Procesele normative reunesc şi entităţi din diverse medii în cadrul unor forumuri incluzive care reunesc state, organizaţii internaţionale, industrie, societate civilă sau mediul academic, generând oportunitatea dezbaterilor, identificarea sau promovarea unor norme deja experimentate. Uneori, aceste procese se concentrează asupra normelor cibernetice în mod indirect, fie pentru că procesul este pur şi simplu un forum de dialog (de exemplu, aşa-numitul Proces de la Londra sau Forumul de Guvernare a Internetului), fie pentru că misiunea sa este legată de elaborarea de norme (de exemplu, Forumul global pentru expertiză cibernetică). În alte cazuri, totuşi, procesele cu mai multe părţi interesate au militat în mod deschis pentru norme, fie pentru toate părţile interesate, fie pentru anumite subgrupuri. Iniţiativa NETmundial a făcut acest lucru cu accent pe guvernarea internetului, Apelul de la Paris s-a concentrat în mod special pe încredere şi securitate, iar Apelul Christchurch a căutat să coordoneze aşteptările normative referitoare la conţinutul extremist, violent din mediul online.


       Conceptul de securitate a infrastructurii include nu numai protecţie împotriva unui atac cibernetic tradiţional, ci şi protecţie împotriva dezastrelor naturale şi a altor calamităţi.


       De asemenea, se referă la tema rezilienţei, care ia în considerare modul în care o întreprindere îşi revine după un atac sau altă întrerupere.


       Scopul final este de a spori măsurile de securitate şi de a minimiza timpul de nefuncţionare şi uzura asociată a clienţilor, pierderea mărcii şi a reputaţiei şi costurile de conformitate cu care se confruntă companiile.


       În mod fundamental, securitatea infrastructurii descrie un mod la nivel înalt de a gândi protecţia întregului perimetru tehnologic al organizaţiei. Mai multe planuri tactice de securitate – (de exemplu, cum vom proteja datele de pe laptopurile angajaţiilor noştri?) – pot fi dezvoltate ca subseturi sub această strategie globală.


       Nu există o definiţie universală a diferitelor niveluri sau categorii de securitate a infrastructurii, dar într-o întreprindere, o modalitate obişnuită de a privi securitatea include securizarea următoarelor patru niveluri: Nivel fizic / Nivelul reţelei / Nivelul aplicaţiei / Nivelul datelor.


       Astăzi, datele sensibile sunt de obicei criptate şi apoi trimise prin cabluri de fibră optică şi alte canale împreună cu „cheile” digitale necesare pentru a decoda informaţiile.


       Datele şi cheile sunt trimise ca biţi clasici – un flux de impulsuri electrice sau optice reprezentând 1s şi 0s. şi acest lucru le face vulnerabile. Hackerii pot citi şi copia biţi în tranzit fără a lăsa urme.


       Comunicarea cuantică profită de legile fizicii cuantice pentru a proteja datele. Aceste legi permit particulelor – de obicei fotoni de lumină pentru transmiterea datelor de-a lungul cablurilor optice – să capete o stare de suprapunere, ceea ce înseamnă că pot reprezenta mai multe combinaţii de 1 şi 0 simultan. Particulele sunt cunoscute ca biţi cuantici sau qubiţi.


       Frumuseţea qubiţilor din perspectiva securităţii cibernetice este că, dacă un hacker încearcă să-i observe în tranzit, starea lor cuantică super-fragilă „se prăbuşeşte” fie la 1, fie la 0. Aceasta înseamnă că un hacker nu poate modifica qubiţii fără a lăsa în urmă un semn revelator al activităţii.


       Unele companii au profitat de această proprietate pentru a crea reţele de transmitere a datelor extrem de sensibile bazate pe un proces numit distribuţie de chei cuantice sau QKD. în teorie, cel puţin, aceste reţele sunt ultrasecurizate


       QKD implică trimiterea de date criptate ca biţi clasici prin reţele, în timp ce cheile pentru decriptarea informaţiilor sunt codificate şi transmise într-o stare cuantică folosind qubiţi.


       Au fost dezvoltate diverse abordări sau protocoale pentru implementarea QKD. Unul folosit pe scară largă cunoscut sub numele de BB84 funcţionează pe acest pattern.


       Începem deja să vedem că apar mai multe reţele QKD. Cea mai lungă este în China, care se mândreşte cu o legătură terestră de 2.032 de kilometri (1.263 de mile), între Beijing şi Shanghai. Băncile şi alte companii financiare folosesc deja QKD pentru a transmite date.


       În SUA, un startup numit Quantum Xchange a încheiat un acord care îi oferă acces la 500 de mile (805 de kilometri) de cablu de fibră optică care circulă de-a lungul Coastei de Est pentru a crea o reţea QKD. Etapa iniţială va lega Manhattan de New Jersey, unde multe bănci au centre mari de date.