Home » Media / Tech » Citesti:

Un proiect CERT-RO si inceputul abordarii integrate a prevenirii si combaterii criminalitatii informatice in Romania

Cristian Driga iunie 9, 2015 Media / Tech
2 comentarii 694 Vizualizari

Anul trecut am avut ocazia sa contribui, impreuna cu alti experti, la elaborarea unor propuneri de politici publice pe domeniile prevenirii si combaterii criminalitatii informatice si cresterii gradului de securitate cibernetica, in cadrul proiectului “CyberCrime” dezvoltat de CERT-RO.

Unul dintre aspectele extrem de importante de care trebuie tinuta seama pentru  eficientizarea luptei impotriva criminalitatii informatice, este

Abordarea multi-dimensionala a fenomenului

Cu cat adancesti analiza starii de fapt in cautarea unor solutii, cu atat constati ca numarul problemelor de rezolvat creste semnificativ.
Iar atunci cand schimbi unghiul de abordare functie de interesele sau directiile pe care activeaza  actorii  care pot contribui la ameliorarea situatiei,  paleta de solutii se schimba dinamic, uneori chiar radical.

Mai mult, atunci cand simulezi impactul asupra situatiei de ansamblu al unei masuri singulare sau al actiunii doar a unuia dintre actori in ipoteza in care acesta ar actiona singur  (si vizualizezi rezultanta), vine momentul adevarului: efectul masurii sau actiunii singulare este teribil de limitat daca nu chiar in unele cazuri potential destructiv.

Doua exemple pentru a explica:

  • Cresterea numarului de modalitati de  monitorizare si detectie timpurie (unghiul intelligence), desi absolut necesara, ca masura singulara nu are capacitatea de a rezolva si problema vulnerabilitatilor societal/umane care faciliteaza dezvoltarea fenomenului, putand avea doar un efect limitat la o perioada scurta de timp. Mai mult, avansand pe time-line-ul aplicarii masurii, va creste opozitia si rezistenta societatii in a participa/ajuta la eradicarea fenomenului, pe fondul temerilor legate de protectia vietii private.
  • Sporirea capacitatii organelor de politie de a identifica, cerceta si combate faptele antisociale din spatiul cibernetic,  in absenta unei specializari corespunzatoare a celor implicati in judecarea cauzelor, desi  poate creste numarul de “arestari” sau “trimiteri in judecata”, nu este de natura a asigura un proces penal corespunzator  si o condamnare pe masura faptelor comise.  Pe cale de consecinta, nu se va realiza nici scopul (re)educativ al sistemului penal, iar in planul drepturilor omului poate dauna dezideratului asigurarii unui proces echitabil si poate chiar uneori genera erori judiciare din lipsa capacitatii corelative la instante  de a decela faptele tehnice si semnificatia lor juridica si a le cantari corespunzator.

Astfel, o prima conditie in construirea unui “sistem eficient de prevenire si combatere ” a fost si ramane necesitatea abordarii integrate.

Concluzia subsecventa este aceea ca aplicarea politicilor publice trebuie demarata, coordonata si urmarita simultan, sistemic, fara a lasa una in urma celeilalte.

Fiecare institutie a statului de drept cu competente in zona de prevenire si combatere a criminalitatii informatice (Guvern, Ministerul pentru Societatea Informationala, SRI, SIE, Politie, Parchete, Instante de judecata etc.)  trebuie intarita si adaptata provocarilor actuale, fie ca vorbim de capacitatea de a colecta informatii, de a stabili strategii si directii de actiune, de a investiga sau cerceta penal, ori de a judeca.
Acestora li se pot adauga cu succes si alte intiative venite sa concure de o maniera proactiva la securitatea cibernetica, cum ar fi campanii de constientizare, crearea de puncte de informare accesibile publicului larg,  crearea unor programe educative privind utilizarea responsabila a calculatorului inca de pe bancile scolii. Similar putem adauga formarea de specialisti pe fundatia creata din scoala, formarea initiala si pregatirea continua a acestora, etc.

Alte elemente si axiome cheie in abordare.

  • Multidisciplinaritatea fenomenului criminalitatii informatice si pe cale de consecinta a abordarii in prevenire si combatere. Am mai scris despre ea referitor la combinarea laturii juridice cu cea tehnica. Dar, evident, sunt si altele necesare pentru o abordare sistemica.
    Doua exemple:
    - Pedagogia – in conditiile necesitatii de a a instrui publicul cu privire la pericolele asociate spatiului cibernetic si determinarea unei atitudini defensive;
    - Psihologia – pornind de la simplul fapt ca multe dintre atacurile informatice reusite utilizeaza in cea mai mare parte elemente de psihologie (ex. ingineria sociala);
  • Securitatea informatica este un proces continuu – nici o masura sau solutie tehnica nu este infailibila si, mai mult, nu este cu siguranta perpetua.
  • Nu orice incident de securitate este infractiune si, pe cale de consecinta, responsabilitatea nu o poate avea doar statul in prevenire si combatere, insa abordarea incidentelor trebuie facuta de catre actorii implicati ca parte a sistemului integrat de prevenire si combatere.

    Un mic exemplu: in cazul unui atac venit din exterior asupra unei companii private, pe langa luarea masurilor de prezervarea eventualelor probe in cazul in care incidentul se va dovedi infractiune (si ar putea fi necesara cooperarea cu organele de urmarire penala), semnalarea chiar si anonimizata, prin intermediul CERT-RO, a faptului ca a avut loc un atac, pune in garda restul componentelor sistemului, contribuind la apararea comuna. Rezulta de aici nevoia de constientizare si formare adecvata a celor implicati.

Si fiindca am pomenit de limitele intre care statul poate interveni si ajuta, inchei cu un element care trebuie sa fie central unui sistem integrat de prevenire si combatere eficienta a criminalitatii informatice:

Parteneriatul public-privat, cooptarea industriilor, mediului academic si a specialistilor recunoscuti din societatea civila in programul national integrat.

Scriam acum cateva zile ca in comunitati de sute sau poate chiar mii de utilizatori in cautare de profituri mari si usoare, din schimbul de informatii si de experienta se nasc metodele inventive de atac, care spulbera masurile eminamente temporare de aparare a societatii, luate de stat prin institutiile sale.

De aceea, practic, actiunea pe o singura directie a unei institutii are sanse mici sa aduca vreo ameliorare in tabloul general al fenomenului.

In concluzie, este necesara constientizarea faptului ca pentru a avea rezultate, fiecare actor conteaza si trebuie integrat in efortul general, chiar daca a fost spre exemplu doar victima unui incident de securitate care nu constituie infractiune (caz in care statul nu are de ce sa intervina).

  • Pe palierul inovarii in domeniu si cresterii adaptabilitatii sistemului spre exemplu, comunitatea stiintifica, studentii si mediul academic sub egida institutiilor abilitate pot gasi solutii noi si nebanuite inca.
  • Pe cel al conceperii unor planuri eficiente, al actualizarii si coordonarii implementarii acestora, specialistii recunoscuti din societatea civila pot aduce aporturi considerabile.
  • NGO-urile si comunitatile de utilizatori, ajutate prealabil sa constientizeze utilitatea demersurilor, pot fi nu doar parteneri de nadejde ci pot asigura perenitatea demersurilor pe o anumita directie si care sa suplineasca resursele limitate ale institutiilor responsabile.
  • Antreprenorii din mediul privat si companiile din industria de profil, dincolo de a fi sponsori ai unor activitati sau subiecti ai unor masuri specifice, pot deveni cu adevarat parteneri atat pe taramul inovarii cat si al oferirii de solutii adecvate.

Deschiderea canalelor de comunicare, crearea de grupuri de lucru si consultare publica, implicarea societatii civile si parteneriatul public-privat devin directii cheie pe care politicile publice trebuie sa se axeze.

Toate acestea in contextul in care, pe palier administrativ se creaza protocoale de colaborare si se instituie proceduri de lucru comune si de comunicare.

Incheiere: Societate. Comunitate. Retea.

Amploarea fenomenului impune trecerea dincolo de epoca comunicatelor de presa, la construirea de punti si conlucrare in comunitate. Nu ne mai putem izola, indiferent de domeniul sau componenta din care facem parte.

Cu exceptia ariei aparare/securitate nationala, dar care si ea are nevoie de extensiile ei bidirectionale spre si dinspre zona civila, un management integrat al prevenirii si combaterii fenomenului criminalitatii informatice inseamna parteneriat extins, integrare, conlucrare, coordonare, implicarea tuturor pana inclusiv la nivelul cetateanului care sa devina si el partener.

Exista solutii, iar rezultatele unor proiecte precum cel al CERT-RO o arata. Este necesar sa adaugam insa la acestea si constientizarea pe toate nivelele a faptului ca cel putin in acest domeniu, actiunile si rezultatele lor trebuie sa fie unele de etapa, demersul sa continue coordonat, echipa largita iar dezideratele sa fie urmarite in continuare.

Despre CERT-RO:

  • CSIRT – centru de raspuns la incidente de securitate cibernetica – entitate organizationala specializata care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea si reactia la incidentele cibernetice.
  • CERT-RO reprezinta un punct national de contact cu structurile de tip similar.
  • CERT-RO asigura elaborarea si diseminarea politicilor publice de prevenire si contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competenta.

    Mai multe detalii gasiti pe pagina oficiala: http://cert-ro.eu/

Ai informatii despre tema de mai sus? Poti contribui la o mai buna intelegere a subiectului? Scrie articolul tau si trimite-l la editor[at]contributors.ro



Currently there are "2 comments" on this Article:

  1. Vlad spune:

    Daca statul devine unul tiranic e util ca cei care doresc sa se pazeasca de ochii indiscreti ai statului sa utilizeze software liber GPL. Platformele hardware libere devin si ele prioritare in acest context. Momentan singurele platforme cat de cat libere sunt SoC-urile de tip RaspberryPi a caror specificatii hardware sunt relativ deschise si functioneaza fara blob-uri proprietare (adica binare la care nu exista cod sursa liber ca sa vezi ce fac).

    Platformele libere de colaborare unde se poate partaja continut devin si ele tot mai utile pentru a ne putea bucura de libertatea de exprimare care cel mai probabil va fi afectata.

    In acest scop e disponibil un site intretinut de fundatia Ceata unde se partajeaza deja continut in mod liber.

  2. iosiP spune:

    Eu unul m-am oprit din citi dupa primul slide pe care scria “UTI” (securistii stiu de ce) :)



Comenteaza:







Do NOT fill this !

Autor

Cristian Driga


Cristian Driga

Cristian Driga este avocat specializat pe domeniul criminalitatii informatice, director executiv al asociatiei Centrul pentru Studiul Criminalitatii Informatice, autor al blogului ... Citeste mai departe


MIHAI MACI – Cel de-al doilea volum din Colectia Contributors.ro

"Atunci când abdică de la menirea ei, școala nu e o simplă instituție inerțială, ci una deformatoare. Și nu deformează doar spatele copiilor, ci, în primul rând, sufletele lor. Elevul care învață că poate obține note mari cu referate de pe internet e adultul de mâine care va plagia fără remușcări, cel care-și copiază temele în pauză va alege întotdeauna scurtătura, iar cel care promovează cu intervenții va ști că la baza reușitei stă nu cunoașterea, ci cunoștințele. Luate indi­vidual, lucrurile acestea pot părea mărunte, însă cumulate, ele dau măsura deformării lumii în care trăim și aruncă o umbră grea asupra viitorului pe care ni-l dorim altfel." - Mihai Maci

E randul tau

cu ani in urma un prieten cambodgian mi-a povestit cum a fost omorat pe taica-sau pe vremea khmerilo...

de: r2

la "Ce-ar fi să vorbim cu-adevărat corect politic despre Fidel Castro?"

Cauta articole

decembrie 2016
Lu Ma Mi Jo Vi Du
« Noi    
 1234
567891011
12131415161718
19202122232425
262728293031  

Valentin Naumescu – Marile schimbari. Crize si perspective in politica internationala. Editie bibliofila

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro

(An essay by Vladimir Tismaneanu and Marius Stan)