Interviu cu dl. Cătălin Aramă, Director General al CERT-RO, Câștigător OSPA România 2018

Dl. Cătălin Aramă are peste 15 ani de experiență în industria IT și a deținut funcții de conducere atât în mediul public cât și în mediul privat. El a fost Președinte al Cluster-ului de IT Dunărea de Jos și Administrator al Software Park Galați, precum și Președinte al Centrului Național România Digitală – instituție în subordinea Ministerului Comunicațiilor și Societății Informaționale, în care și-a desfășurat activitatea timp de 4 ani. Este licențiat în inginerie electrică în cadrul Universității Dunărea de Jos Galați.
Începând din noiembrie 2017, domnul Aramă este Director General al Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO).

Vocea Securității Private (VSP): Cât de importantă este cyber-security pentru o țară, în acest moment?
Cătălin Aramă: E o întrebare retorică, nu? (zâmbește) În acest moment, o parte din ce în ce mai consistentă din activitatea noastră de zi cu zi se desfășoară în spațiul virtual. Ne deplasăm la serviciu cu ajutorul dispozitivelor conectate la sisteme aflate la mii de kilometri distanță, la birou folosim calculatoare pentru a procesa informații – unele cu caracter confidențial sau care sunt esențiale pentru succesul companiei sau a instituției – acasă copiii noștri se joacă pe tablete conectate la spațiul virtual. În plus, rețelele de date asigură transferuri bancare, plăți, funcționarea în siguranță a livrărilor de gaze și de curent, decolarea, zborul și aterizarea în siguranță a avioanelor. Rețele de date au devenit parte integrantă a vieții noastre de zi cu zi și – ca orice lucru – prezintă vulnerabilități pe care unii vor să le speculeze. Securitatea cibernetică este foarte importantă. Chiar nu pot să subliniez cât de importantă – esențială, aș spune – a devenit ea.

VSP: Ca orice lucru important, presupun că și securitatea digitală costă. Și nu puțin…
Cătălin Aramă: Discuțiile pe marginea costurilor securității cibernetice sunt mai ample și, spun eu, trebuie să pornim această analiză de la importanța datelor pe care trebuie să le protejăm și a costurilor pe care le-am avea dacă nu le-am proteja. Ne permitem să nu asigurăm impenetrabilitatea tranzacțiilor bancare și secretul datelor unei plăți online? Ne permitem să nu asigurăm securitatea informațiilor care ajung la piloții avioanelor de linie? Avem un principiu al proporționalității pe care nu avem cum să nu-l respectăm: cu cât un tip de informație este mai prețioasă, cu atât ea este mai vânată de un posibil atacator și, în consecință, cu atât va trebui să cheltuim mai mulți bani și să facem un efort mai mare efort pentru a o securiza.

VSP: Ce este mai greu de securizat: ”bit”-ul propriu-zis sau informația pe care o transferă el dintr-un loc în altul sau dintr-un sistem în altul?
Cătălin Aramă: Din punctul nostru de vedere, ”content”-ul nu este un incident de securitate cibernetică. O putem numi ”manipulare”, o putem numi ”influențare”. Pe noi ne interesează ca ”biții” care au intrat în sistem să iasă teferi și nevătămați la celălalt capăt. Pe de altă parte, dacă scopul tău este să alterezi informația pe care o transmit ”biții” respectivi și, prin aceasta, pătrunzi în mod fraudulos într-un sistem, folosești în mod neautorizat informația respectivă, încerci să o copiezi, încerci să o modifici, etc. atunci da, avem un incident de securitate cibernetică. Tu, ca să ajungi la o informație pe care o consideri valoroasă, ataci o infrastructură și atacarea vulnerabilităților unei infrastructuri este un atac cibernetic. Furtul de date care nu-ți aparțin este un incident cibernetic, cum – la fel – cineva care folosește un server dintr-un minister pentru a ”mina” pentru criptomonede dă naștere unui incident cibernetic.

VSP: Ce deosebește un ”tâlhar” din viața reală de un cyber-”tâlhar”?
Cătălin Aramă: Foarte interesantă întrebarea și nu cred că se referă doar la faptul că unul acționează în lumea reală și celălalt în spațiul virtual. Într-un raport recent publicat la nivel mondial se arată că din ce în ce mai multe atacuri din categoria ”phishing” au o componentă de ”inginerie socială”, în care atacatorul se folosește de unele slăbiciuni umane pentru a-și atinge ținta. Cyber-tâlharul, spre deosebire de cyber-hoțul care exploatează o vulnerabilitate a programului, se folosește de vulnerabilitățile ”verigii slabe”, adică a persoanei care utilizează calculatorul. Aceste vulnerabilități sunt fie o experiență relativ precară în folosirea computerelor, fie credulitatea, fie dorința de îmbogățire peste noapte, fie teama de a raporta incidentul de securitate celor care sunt îndreptățiți să-l cunoască. Multe din tâlhăriile clasice de acum din lumea reală, precum metoda ”accidentului”, metoda ”ați câștigat un premiu, dați-ne datele bancare să intrați în posesia lui”, își au corespondentul în lumea virtuală. Am avut recent, de exemplu, o campanie cu Microsoft pentru contracararea unor atacuri cibernetice de tipul suportului tehnic fals. Cineva suna la telefon pretinzând că este de la Microsoft și te informa că vei primi un mail pentru un update de soft, urmând ca tu să dai click pe un link pentru instalarea unui așa-zis patch de securitate. În realitate era o aplicație de remote desktop client și din acel moment calculatorul practic intra sub controlul atacatorului. După aceea, atacatorul începea să ceară bani, date de card și așa mai departe, pagubele produse fiind semnificative. Unele dintre incidente au fost raportate la CERT-RO, iar noi le-am dat mai departe Poliției unde s-au transformat în dosare penale. Concluzia e simplă: tâlharii s-au adaptat rapid mediului on-line, însă pagubele produse de cyber-tâlhari sunt cât se poate de reale.

VSP: Ajută educația digitală la prevenirea criminalității cibernetice?
Cătălin Aramă: E absolut obligatorie azi și una din condițiile pentru creșterea securității digitale este educația digitală. Este una din activitățile noastre de bază, încă de la începutul înființării instituției, în 2011. Dincolo de cursuri și de seminarii – unele pe care le organizăm noi, altele la care suntem prezenți în mod activ – lansăm alerte aproape zilnice pe rețele de socializare cu privire la amenințările din spațiul virtual. De fiecare dată când ne este raportat un incident îl verificăm dacă este valid și apoi, imediat, emitem alerta. Elaborăm și diseminăm ghiduri de bună conduită: pentru copii și învățători, pentru funcționari publici, pentru internet banking etc., ghiduri pe care le avem pe site-ul nostru și pe care le aducem, în permanență, la zi. De asemenea, oferim consultanță oricărei instituții cu privire la cerințele de securitate cibernetică care i se aplică, în conformitate cu cerințele legii.

VSP: Mai avem mult până să avem o ”poliție cibernetică”?
Cătălin Aramă: Există o deosebire clară între securitatea cibernetică și criminalitatea informatică. CERT-RO se ocupă de securitate cibernetică, de criminalitate cibernetică – Poliția. Poliția aceea reală, căci criminalitatea informatică, după cum spuneam, are consecințe cât se poate de reale. Legislația este clară și domeniul este suficient de bine reglementat. În 2016, când UE a lansat Directiva NIS, a creionat cadrul legislativ comun pentru asigurarea unui nivel ridicat de securitate… Comun și ridicat, ambele, în același timp… Acesta este un aspect foarte important. România a transpus directiva NIS în legislația națională la finele anului trecut, aducând norme pentru a crea acest nivel ridicat comun de securitate pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale din cele șapte sectoare de activitate: transporturile, sectorul energetic, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizare și distribuire de apă potabilă și infrastructură digitală. Pentru CERT-RO adoptarea legii este extrem de importantă prin prisma noilor responsabilități care îi revin, respectiv rolul de autoritate competentă la nivel național, punct unic de contact pentru rețeaua europeană și echipă națională de răspuns la incidente.
Responsabilitățile sunt atât pe zona cooperării funcționale în sistemul comun european, cât și la nivel național, prin constituirea registrului operatorilor de servicii esențiale, stabilirea normelor de securitate și notificare, primirea de notificări de incident, autorizarea echipelor de răspuns și cooperarea cu autoritățile, operatorii și furnizorii vizați de lege în scopul unei implementări eficiente a prevederilor acesteia.

VSP: Colaborați cu divizia specializată din SRI?
Cătălin Aramă: Colaborăm cu toate instituțiile și departamentele care au responsabilități în domeniul securității cibernetice.

VSP: Colaborați cu hackerii etici?
Cătălin Aramă: Da, foarte bine. Există și un program numit Divulgarea Coordonată a Vulnerabilităților. Suntem, practic, un mediator între hackerii etici și companiile cărora le-au fost descoperite vulnerabilități de sistem. Pe de o parte, nicio companie nu dorește să se știe că cineva i-a descoperit vulnerabilități în rețea, iar pe de altă parte, hackerii etici fac o treabă foarte importantă, descoperind înaintea cyber-tâlharilor acele vulnerabilități. Este o zonă în care se acționează cu discreție, rapid și decisiv. În paranteză fie spus, conform noii directive NIS, raportarea incidentelor de securitate devine obligatorie pentru companiile din domeniile enumerate mai sus, rămânând benevole doar pentru celelalte, ca și până acum.

VSP: Premiul OSPA 2018 pentru domeniul cyber-security l-ați primit pentru implementarea unui proiect care face din CERT-RO o piesă esențială în mecanismul european de asigurare a securității cibernetice.
Cătălin Aramă: Proiectul, a cărui implementare s-a încheiat cu succes cu puțin timp în urmă, extinde capabilitățile de securitate cibernetică ale CERT-RO. Astfel, centrul nostru este de acum în măsură să participe pe picior de egalitate în Mecanismele de cooperare ale Uniunii Europene (UE) și în platforma de servicii de bază pentru securitatea informatică stabilită prin Programul de lucru privind telecomunicațiile din cadrul Facilității pentru interconectarea Europei (CEF) 2015 (C/2015/7381).
Proiectul eCSI dezvoltă capabilitățile Centrului de a conecta expertiza și infrastructura României în domeniul securității cibernetice la alte mecanisme de luptă similare din Uniunea Europeană, inclusiv prin intermediul Platformei Naționale de Servicii în domeniul cyber-security. Platforma conectează diferite grupuri țintă, precum: autorități, forțe polițienești, organizații partenere din domeniul cyber-security, asociații profesionale la Platforma Centrala de Servicii de Cybersecurity, MeliCERTes.
Astfel, CERT-RO are o platformă tehnică pentru susținerea serviciilor publice de securitate cibernetică operațională și interconectată cu Platforma Serviciilor Centrale; un Cyber Call Centre operațional; un laborator de Digital Forensics și analiză malware operațional; personal din cadrul CERT-RO, alte CSIRT-uri naționale/guvernamentale, instituții publice instruit prin cursuri în domeniul securității cibernetice.

VSP: Cum e mai bine să fii în această luptă: tu, de unul singur, sau ”european”?
Cătălin Aramă: Clar european, dacă nu ”global”. Nu poți să fii singur. Trebuie să înțelegem că spre deosebire de tâlhăria clasică, cea cibernetică nu are frontiere. Un atac asupra unei firme sucursale de bancă de la colțul străzii poate să fie dat de un ”vecin” situat două blocuri mai încolo, să treacă prin servere din China, Vietnam, Statele Unite sau Belgia, iar efectele atacului să le resimtă un om din Canada, din Argentina sau din Africa de Sud. Cooperarea, schimbul de informații, avertizările în timp real, reacția rapidă și decisivă sunt cheia pentru a preveni și a limita efectele unui atac cibernetic. Riscurile operatorilor de servicii esențiale sunt și ele transfrontaliere, căci o breșă la infrastructura de date într-o țară afectează capabilitățile sale de a opera într-una sau mai multe alte țări.

VSP: CERT-RO este o instituție publică care a luat un premiu acordat de industria securității private. Cum vi s-a părut?
Cătălin Aramă: Cât se poate de normal. Exact cum spuneam și mai înainte, chestiunea securității cibernetice nu este o chestiune individuală, ci este una a întregii societăți, nu este o responsabilitate doar a unor instituții sau a unor companii din domeniul privat. Malware-urile, atacurile de tip phishing, ransome-urile nu fac distincția între ”calculator privat” și ”calculator la stat”. Mi se pare lăudabil – și cât se poate de normal, pe de altă parte, că organizatorii programului Premiilor OSPA au înțeles că excelența într-un domeniu atât de sensibil nu trebuie să țină seama de artificiala graniță între ”privat” și ”stat”.

VSP: Gânduri despre viitoarele ediții ale OSPA?
Cătălin Aramă: Așteptăm să avem un nou proiect care să merite înscris într-o asemenea competiție, fie la nivel de instituție, fie individual. În orice caz, nu vom sta pe margine, suntem obișnuiți să fim în arenă.

A consemnat: Ovidiu Constantinescu

Lasă un răspuns